CN103597864B - 访问控制 - Google Patents
访问控制 Download PDFInfo
- Publication number
- CN103597864B CN103597864B CN201180071714.6A CN201180071714A CN103597864B CN 103597864 B CN103597864 B CN 103597864B CN 201180071714 A CN201180071714 A CN 201180071714A CN 103597864 B CN103597864 B CN 103597864B
- Authority
- CN
- China
- Prior art keywords
- user
- message
- access control
- opadd
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 18
- 230000006870 function Effects 0.000 description 18
- 238000013500 data storage Methods 0.000 description 15
- 230000015654 memory Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 101100203322 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SKS1 gene Proteins 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000000205 computational method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 210000003733 optic disk Anatomy 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 241000894007 species Species 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/52—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail for supporting social networking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Detail Structures Of Washing Machines And Dryers (AREA)
Abstract
一种通信访问控制系统(100)包括被实现在计算实体上的至少一个访问控制单元(160),用于基于系统用户(105)的请求来计算随机输入地址(205)和随机输出地址(210)。输入和输出地址是基于与至少一个访问控制单元(160)关联的服务设施(115)所持有的加密密钥(165)。
Description
背景技术
分布式计算是其中任务被分成相对较小的子任务的计算方法,所述相对较小的子任务然后分布在计算设备的网络中以供同时处理。分布式计算已经被用于无数应用和系统中,诸如例如社交网络、在线数字地图、视频共享网站、和高级协同软件。
然而,通常缺少确保通过分布式计算系统被处理的数据安全和完整性的内置(built-in)安全机制。例如,通常与分布式计算应用联合使用的统一资源标识符(URI)技术可以提供允许用户创建、共享和消灭诸如各种类型的文本、图像、多媒体对象和规格之类的数据对象的命名和访问机制。然而,在这些数据对象散布于分布式计算系统内的情况下,问题是如何防止对数据对象的未授权或不期望的访问、改变或删除。
附图说明
附图图示本文所述的原理的各种示例并且是说明书的部分。图示仅是示例并不限制权利要求的范围。
图1是根据本文所述的原理的一个示例的用于分布式计算环境的安全访问控制的系统的示图。
图2是根据本文所述的原理的一个示例的访问控制单元的示图。
图3是根据本文所述的原理的一个示例被实现成经由计算设备向用户提供给予另一个用户给该用户发送或写入消息的能力的能力的访问控制单元的示图。
图4是示出根据本文所述原理的一个示例被示出被实现成经由计算设备向用户提供给予另一个用户从该用户接收或读取消息的能力的能力的访问控制单元的示图。
图5是根据本文所述原理的另一个示例被实现成经由计算设备向用户提供给予另一个用户给该用户发送或写入消息的能力的能力的访问控制单元的示图。
图6是根据本文所述原理的另一个示例被实现成经由计算设备向用户提供给予另一个用户从该用户接收或读取消息的能力的能力的访问控制单元的示图。
图7是示出根据本文所述的原理的一个示例用于操作分布式消息传递系统的方法的流程图。
附图由始至终,相同的附图标记指定类似的但不一定是相同的元素。
具体实施方式
如上所述,由于云计算、Web 2.0和软件即服务应用的出现,分布式计算系统的使用最近越来越多。分布式计算使用分布式的资源、对象和服务以允许最终用户创建、共享和消灭诸如各种类型的文本、图像、多媒体和规格之类的信息资源。结果是,共享和同时使用分布式对象和资源持续增长。然而,其中实现分布式计算的应用仍然通常使用统一资源标识符(URI)来提供用于万维网的命名和访问机制。然而如上所述,统一资源标识符(URI)机制不包括可以允许诸如例如因特网之类的网络中的用户安全地命名、访问和保护其系统上的对象的任何内置安全机制。
为了克服该安全问题,系统可以使用访问控制列表(ACL)。访问控制列表(ACL)是包括经授权的实体或用户的列表以及系统中每个对象的列表的存储的信息列表。访问控制监视器然后可以查阅访问控制列表(ACL)来确定例如能够允许还是拒绝实体对对象进行访问的请求。为了实现该目的,访问控制监视器将验证发送所述访问请求的实体所声称的身份。因此在允许实体访问和以其他方式操作讨论中的对象之前,实体的认证是先决条件。
然而,当被实现在分布式计算系统中时,基于访问控制列表的控制监视系统不是没有其缺陷。例如,被访问控制监视器所使用的访问控制列表随着涉及的用户和对象的数量的增长而在大小上指数地增长。存储此类大量数据可以证明是艰巨的任务,并且因需要购买附加硬件而可能包括对系统的附加成本。
此外,随着用户数量的增长,访问请求的数量也会增长,这可能使系统超载。此外,如上所述,对于对系统的访问,单独的用户需要被认证。随着用户数量的增长,用于认证尝试对访问控制列表上的对象进行访问的每个用户所需的计算资源也是如此。在用户导航通过所述系统时,系统可能由于这些访问和认证请求而超载。最终,可能存在如此多的请求,以致可能产生访问请求的积压,从而导致对用户的缓慢服务。
在某一时刻,对用户的服务质量可能变得足够缓慢以致阻碍用户使用该应用或系统。例如,在分布式计算系统或应用是在线服务或网站的情况下,这可能导致业务和收入的损失。
本说明书因此描述用于在分布式计算环境中为了实现有效而安全的访问控制而使用的用于安全、基于能力的命名、访问、和保护机制的密码系统和访问控制原语(primitive)集。所述系统包括作为用于多个客户端之间的分布式消息传递系统的安全微内核的可信中央设施。中央设施可以拥有可以在例如经由合适的服务器而连接到因特网的一件可信硬件中存储和使用的秘密加密密钥。
中央设施包括当需要时基于多个密码规则而动态创建的多个单元。这些单元可以接收来自输入地址(IA)的数据并发送来自输出地址(OA)的数据,两个地址都是随机化的密码数字。所述单元表示由元组(tuple)(IA、OA)描述的通信能力,以使得在不拥有上述秘密加密密钥的情况下知道输入地址不能计算输出地址,反之亦然。
拥有输入地址(IA)的用户或实体能够向所述单元发送或写入消息,并且拥有输出地址(OA)的实体能够从所述单元接收或读取消息。然而,拥有输入地址(IA)的实体不能在没有输出地址(OA)的情况下从所述单元接收或读取消息,并且拥有输出地址(OA)的实体不能在没有输入地址(IA)的情况下向所述单元发送或写入消息。
密码地生成的输入和输出地址的这种概念能够被用于多个不同的情境中。
第一,在分布式计算环境中,能够向将具有对特定数据对象的访问权的用户提供用于该数据的位置的输入和/或输出地址。因此,关于由该用户发送的该数据的消息或命令不需要被访问控制列表所认证或处理。而是,拥有用于被指示的操作的正确的输入/输出地址被视为授权以执行该操作。并且,如本文所述,实体只有通过拥有正确的输入/输出地址才能够实际获得对数据对象的访问权以在该数据对象上执行任何操作。
第二,在同样作为分布式计算环境的社交网络和消息传递应用中,用户可能期望控制谁能够向他们发送消息以及谁能够接收他们发送的消息。密码地生成的输入和输出地址的构想能够被用于该情境中,以允许第一用户选择哪些其他用户能够向第一用户发送消息以及哪些其他消息能够从第一用户接收消息。不具有针对第一用户的输入地址的用户不能向第一用户发送消息。同样地,不具有第一用户的输出地址的用户不能从第一用户接收消息。
为了简单,下述详细描述将主要描述该第二场景,即使用密码地生成的输入和输出地址来控制何时其他用户能够向第一用户发送消息或从第一用户接收消息。然而,应该理解的是,术语“消息”也可以指代用于访问、编辑或删除在分布式计算环境中被处理的数据的操作命令,并且所指的“用户”可以是在分布式计算环境中的计算实体或数据位置。
因而,尽管下述描述具体涉及“用户”之间消息的受控传输,但所述原理同样适用于在处理多个数据对象作为被并行运行的多个实体所执行的特定任务的部分的分布式计算环境中控制在人类用户之间发送的消息和认证在计算实体或人类用户之间发送的操作命令消息。
在下述描述中,为了解释的目的,阐述了多个特定细节以便提供本系统和方法的透彻理解。然而,对本领域技术人员显而易见的是,本装置、系统和方法可以在没有这些特定细节的情况下实施。本说明书中对“示例”或类似语言的引用意为与所述示例结合描述的特定特征、结构或特性如所描述的被包含,而可能未被包含在其他示例中。
如上所述,本说明书和权利要求中所使用的术语“消息”可以指代在人类用户之间交换的消息或者去往计算实体的操作命令。本说明书和权利要求中所使用的术语“用户”可以指代操作计算设备的人类用户或者指代在分布式计算环境中可以根据编程而自动操作的计算实体。
现转向图1,示出根据本文所述的原理的一个示例用于分布式计算环境的安全访问控制的系统(100)的示图。在本示例中,为了说明简单的目的,用户(105)可以通过使用用户计算设备(110)经由网络(120)获得对被称作组消息web(网络)服务(GMWS)设施(115)的可信中央设施的访问权。然而,在本说明书中阐述的原理同样扩展到任何可替代配置,其中计算设备(110)可以获得对组消息web服务(GMWS)设施(115)的访问权。在一个示例中,计算设备(110)可以包括组消息web服务(GMWS)设施(115)并从而允许用户在不通过网络来访问组消息web服务(GMWS)设施(115)的情况下通过计算设备(110)来直接访问组消息web服务(GMWS)设施(115)。
此外,尽管图1图示了单个用户(105),这仅仅是为了说明简单。应该理解的是,任何数量的用户也可以对组消息web服务(GMWS)设施(115)的访问权。在该示例中,每个用户可以获得对组消息web服务(GMWS)设施(115)的访问权以便安全地读取和写入消息并识别其他用户以及由其他用户发送的消息。
又进一步,尽管图1图示基于web或云计算的场景,本文所述的原理可以同样扩展到其中单个单元被用于在计算设备之间安全地传递数据的其他应用。然而,为了说明简单的目的,本说明书将在万维网上的分布式计算场景的情境下进行描述,而不失一般性。
如上所述,系统(100)可以包括计算设备(110)和用户(105)可以通过其来获得对组消息web服务(GMWS)设施(115)的访问权的网络(120)。计算设备(110)可以是实现至少向组消息web服务(GMWS)设施(115)发送数据和从组消息web服务(GMWS)设施(115)接收数据的期望功能的任何设备。为了实现其期望的功能,计算设备(110)包括各种硬件组件。在这些硬件组件之中可以是处理器(125)、数据存储设备(130)、外围设备适配器(135)、网络适配器(140)、输出设备(145)和输入设备(150)。这些硬件组件可以通过使用多个总线和或网络连接进行互连。在一个示例中,处理器(125)、数据存储设备(130)、外围设备适配器(135)、和网络适配器(140)可以经由总线(155)通信地耦合。
处理器(125)可以包括用于从数据存储设备(135)中检索可执行代码并运行所述可执行代码的硬件架构。当被处理器(125)所运行时,可执行代码可以使处理器(125)实现至少下述功能:向组消息web服务(GMWS)设施(115)发送数据和从组消息web服务(GMWS)设施(115)接收数据。在运行代码的过程中,处理器(125)可以从多个剩余的硬件单元接收输入并向多个剩余的硬件单元提供输出。
在一个示例中,计算设备(110)(具体是处理器(125))可以向组消息web服务(GMWS)设施(115)发送查询以获得随机访问控制单元(160),并且当适用时,与系统(100)的其他用户共享输入地址、输出地址或二者。处理器(125)还可以在访问控制单元(160)已经从另一个用户接收到消息并且机械地计算并转发该消息给用户(105)之后从访问控制单元(160)接收消息。
数据存储设备(130)可以存储诸如访问控制单元(160)之类的数据。尽管图1描绘了作为组消息web服务(GMWS)设施(115)的部分的访问控制单元(160),访问控制单元(160)还可以被存储在每个用户(105)的计算设备(110)的数据存储设备(130)上。当然,数据存储设备(130)可以存储多个访问控制单元(160)并且可以进一步将它们保存成数据库的形式以供当用户(105)再次访问所述访问控制单元(160)时容易检索。
数据存储设备(130)可以包括各种类型的存储模块,所述存储模块包括易失性和非易失性存储器。例如,本示例的数据存储设备(130)包括随机存取存储器(RAM)、只读存储器(ROM)和硬盘驱动器(HDD)存储器。许多其他类型的存储器在本领域中可用,并且本说明书预期在数据存储设备(130)中多种不同类型的存储器(130)的使用作为可以适合特定应用。在某些示例中,数据存储设备(130)中不同类型的存储器可以被用于不同的数据存储需要。例如,处理器(125)可以从只读存储器(ROM)中启动,维护硬盘驱动器(HDD)存储器中的非易失性存储、并运行存储在随机存取存储器(RAM)中的程序代码。
数据存储设备(130)通常可以包括计算机可读存储介质。例如,数据存储设备(130)可以是但不限于电子、磁性、光学、电磁、红外或半导体系统、装置或设备或者前述的任何合适的组合。计算机可读存储介质的更特别的示例可以包括例如下述组件:便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式光盘只读存储器(CD-ROM)、光学存储设备、磁性存储设备或前述的任何合适的组合。在本文档的上下文中,计算机可读存储介质可以是能够包含或存储访问控制单元(160)的任何有形介质。
外围设备适配器(135)可以给输入(150)和输出(145)设备提供接口以创建用户接口和/或访问存储器存储装置的外部源。如下所述,输出设备(150)可以被提供以允许用户与组消息web服务(GMWS)设施(115)进行交互。外围设备适配器(135)还可以创建处理器(125)和打印机、显示设备、或其他输出设备之间的接口。
网络适配器(140)可以附加地给网络(120)提供接口,从而实现向组消息web服务(GMWS)设施(115)发送数据和从组消息web服务(GMWS)设施(115)接收数据。具体地,网络适配器(140)可以实现计算设备(110)和组消息web服务(GMWS)设施(115)之间的访问控制单元(160)的传输。
组消息web服务(GMWS)设施(115)逻辑上包括多个访问控制单元(160)和多个加密密钥。组消息web服务(GMWS)设施(115)还可以包括与上述计算设备(110)内的处理器和数据存储设备类似的处理器(170)和数据存储设备(175)。如后文所述,处理器(170)可以被用于当适当的时候计算输入地址和输出地址。此外,数据存储设备(175)被用于存储秘密加密密钥和访问控制单元(160)二者。
在一个示例中,秘密加密密钥被称为在说明书内的一些方程中由字母“K”所表示的系统主密钥(165)。组消息web服务(GMWS)设施(115)可以利用系统主密钥(165)来生成包括输入地址(IA)和输出地址(OA)的多个访问控制单元(160)。使用该系统主密钥(165)而密码地生成这些地址。利用输入地址(IA)或输出地址(OA),用户可以有权给另一个用户写入消息或从另一个用户读取消息。此外,为了允许与其他用户进行交互,用户(105)需要仅向另一个用户发送访问控制单元(106)的输入地址(IA)或输出地址(OA)。下文将结合图3和4描述关于这可以如何实现的更多细节。
在另一个示例中,代替秘密加密密钥,用户(105)可以发送公共密钥,在本说明书内的一些方程中用字母“Y”表示。利用公共密钥,访问控制单元(160)可以使用基于该公共密钥Y的哈希函数来计算输入地址(IA)和输出地址(OA)。因此,用户(105)可以与用户(105)可能希望与之交互的那些用户共享公共密钥而不是单元地址。在下文结合图5和6将讨论关于这可以如何实现的更多细节。在三种不同类型(图3和4中的第一类型,和图5和6中的另外两个类型)的单元中的每一个,主密钥可以不相同。为了提高的安全性,密钥可以是独立的。
图2是根据本文所述的原理的一个示例的访问控制单元(160)的示图。访问控制单元(160)从系统(图1,100)的各个用户接收输入地址(205)并且给系统(图1,100)的各个用户提供输出地址(210)。如本文结合图3-7更详细描述的,输入地址(205)和输出地址(210)是可以为256位长的密码数字。输入地址(205)和输出地址(210)通过诸如在系统主密钥(图1,165)影响下由对称密钥加密算法定义的安全置换而相关。
在一个示例中,输入地址(205)可以被下述方程所定义:
方程(1)。
在上述方程(方程(1))中,由项“OA”表示的输出地址(210)从密码安全伪随机比特比特发生器(PRBG)所得出,并且E是诸如例如之类的对称加密方法。访问控制单元(160)因此表示由元组(IA,OA)描述的通信能力,以使得在没有系统主密钥K的情况下OA不能从IA计算得出,反之亦然。结果是,只有拥有输入地址(205)的那些用户能够发送或写入消息到访问控制单元(160)并且只有拥有输出地址(210)的那些用户能够从访问控制单元(210)接收或读取消息。
如上文简述的,访问控制单元(160)可以被存储在诸如例如组消息web服务(GMWS)设施(图1,115)之类的中央设施处或者在每个用户的计算设备(110)上。因此,每个用户的计算设备(110)可以存储多个访问控制单元(160)。可以使用无数不同类型的计算设备(110)。示例可以包括但不限于能够连接到网络的台式计算机、膝上型计算机、笔记本计算机、平板计算机、蜂窝电话、智能电话、个人数字助手(PDA)以及其他计算设备。
图3示出根据本文所述的原理的一个示例被实现成经由计算设备(110)向用户(105)提供给予另一个用户(305)给该用户(105)发送或写入消息的能力的能力的访问控制单元(160)。如上所述,多个用户可以具有对组消息web服务(GMWS)设施(115)的访问权。然而,许多非系统用户(305)可能不具有对系统用户(105)进行写入的访问权或权利。为了允许非系统用户(305)向组消息web服务(GMWS)设施(115)的用户(105)写入消息,用户(105)可以执行图3中所示的计算协议。特别地,用户(105)可以发送获取单元查询消息(315)到组消息web服务(GMWS)设施(115)。该获取单元查询消息(315)可以例如以HTTP消息或能够保证消息保持机密的机密切安全消息传递系统的形式被发送。
当发送获取单元查询消息(315)到组消息web服务(GMWS)设施(115)时,用户(105)可以获得输入地址(205)和输出地址(210),同样在图3中分别表示为IA和OA。特别地,当用户(105)发送获取单元查询消息(315)到组消息web服务(GMWS)设施(115)时,组消息web服务(GMWS)设施(115)生成包含随机化输入地址(205)和输出地址(210)的随机访问控制单元(160)。访问控制单元(160)使用多个方程来生成输入地址(205)和输出地址(210)。在一个示例中,输入地址(205)可以使用诸如例如具有256位的密钥大小的美国国家标准和技术协会的高级加密标准之类的对称加密方法()来生成。此外,在一个示例中,访问控制单元(160)可以通过使用系统主密钥(165)(同样在图3中表示为K)来对随机生成的输入地址(205)进行加密来生成输出地址(210)。
一旦用户(105)已经获得随机化的输入地址(205)和输出地址(210)并为了允许非系统用户(305)能够向用户(105)发送消息,用户(105)可以发送输入地址(205)到非系统用户(305)。在知道输入地址(205)的情况下,非系统用户(305)可以通过适当的计算设备(310)来发送包含输入地址(205)的消息到访问控制单元(160)。访问控制单元(160)然后可以通过所附的输入地址(205)而知道消息的发送者(在图3中表示为“m”)被授权将消息转发到用户(105)。通过这种方法,组消息web服务(GMWS)设施(115)保证被发送到随机访问控制单元(160)的消息在还没有被转发或读取的情况下被丢弃。
由于非系统用户(305)将消息连同输入地址(205)一起发送到访问控制单元(160),访问控制单元(160)通过使用系统主密钥(165)(即,)来解密所附的输入地址(205)而机械地计算输出地址(210)。因此,系统主密钥(165)被组消息web服务(GMWS)设施(115)保持秘密并且任何非系统用户(305)或系统用户(105)决不会拥有系统主密钥(165)。
在另一个示例中,组消息web服务(GMWS)设施(115)可以包含多个系统主密钥(165)。使用多个系统主密钥(165)可以进一步使组消息web服务(GMWS)设施(115)能够通过不时地调整系统主密钥(165)值而提供更高的安全性。
在访问控制单元(160)已经使用系统主密钥(165)将输入地址(205)转换成输出地址(210)之后,访问控制单元(160)然后可以允许消息被转发到用户(105)。因此,监听包含特定输出地址(210)的消息的用户(105)将接收并能够读取由非系统用户(305)所发送的消息。以这种方式,用户(105)通过与他或她希望从之接收消息的那些用户共享他或她的输入地址(205)可以以安全的方式接收那些消息。用户(105)因此可以与他或她希望从之接收消息的系统(图1,100)的多个用户或非用户共享输入地址(205),从而创建发送者的逻辑组。
用户(105)可以附加地被给予以下能力:在不阻止来自剩余的批准的发送者的消息的情况下撤销(revoke)从所选的个体发送消息的能力。特别地,用户(105)可以引导系统(图1,100)停止转发具有与先前共享的输入地址(205)对应的特定输出地址(210)的消息。因此,可以通过用户发送获取单元查询消息(315)来创建多个访问控制单元(160),每个单元(160)包含不同的输入地址(205)和对应的输出地址(210)。
现转向图4,示出根据本文所述的原理的一个示例被实现成经由计算设备(110)向用户(105)提供给予另一个用户(305)从该用户(105)接收或读取消息的能力的能力的访问控制单元(160)。同样地,为了允许非系统用户(305)从组消息web服务(GMWS)设施(115)的用户(105)接收消息,用户(105)可以执行图4中所示的计算协议。特别地,用户(105)可以发送获取单元查询消息(315)到组消息web服务(GMWS)设施(115)。该获取单元查询消息(315)可以例如以HTTP消息或能够保证消息保持机密的机密且安全消息传递系统的形式被发送。
当发送获取单元查询消息(315)到组消息web服务(GMWS)设施(115)时,用户(105)可以获得输入地址(205)和输出地址(210),同样在图4中分别表示为IA和OA。特别地,当用户(105)发送获取单元查询消息(315)到组消息web服务(GMWS)设施(115)时,组消息web服务(GMWS)设施(115)生成包含随机化输入地址(205)和输出地址(210)的随机访问控制单元(160)。访问控制单元(160)使用多个方程来生成输入地址(205)和输出地址(210)。以与图3所述的类似的方式,输入地址(205)可以使用诸如例如具有256位的密钥大小的美国国家标准和技术协会的高级加密标准之类的对称加密方法()来生成。此外,访问控制单元(160)可以通过使用系统主密钥(165)(同样如图4中表示为“K”)来对随机生成的输入地址(205)进行加密来生成输出地址(210)。
一旦用户(105)已经获得随机化的输入地址(205)和输出地址(210)并为了允许非系统用户(305)能够从用户(105)接收消息,则用户(105)可以发送输出地址(205)到非系统用户(305)。在知道输出地址(210)的情况下,非系统用户(305)可以通过适当的计算设备(310)来接收包含去往访问控制单元(160)的输入地址(205)的消息。访问控制单元(160)然后可以通过所附的输入地址(205)而知道消息的接收者(在图4中表示为“m”)被授权通过用户(105)将消息转发到它们。通过这种方法,组消息web服务(GMWS)设施(115)保证被发送到随机访问控制单元(160)的消息不被转发到错误的接收者。
由于非系统用户(305)连同输入地址(205)一起从访问控制单元(160)接收消息,访问控制单元(160)通过使用系统主密钥(165)(即,)来解密所附的输入地址(205)而机械地计算输出地址(210)。因此,系统主密钥(165)被访问控制单元(160)保持秘密并且任何非系统用户(305)决不会知道系统主密钥(165)。
在访问控制单元(160)已经使用系统主密钥(165)将输入地址(205)转换成输出地址(210)之后,访问控制单元(160)然后可以允许消息被转发到非系统用户(305)。因此,监听包含特定输出地址(210)的消息的非系统用户(305)将接收并能够读取由用户(105)所发送的消息。当然,以这种方式,用户(105)通过仅与他或她希望向其发送消息的那些用户共享输出地址(210)可以以安全的方式发送那些消息。用户(105)因此可以与他或她希望接收消息的系统(图1,100)的多个用户或非用户共享输出地址(205),从而创建接收者的逻辑组。
用户(105)可以附加地被给予以下能力:在不影响其他用户接收用户(105)的消息的能力的情况下撤销非系统用户(305)从用户(105)接收消息的能力。特别地,用户(105)可以引导系统(图1,100)停止转发具有与特定共享输入地址(205)对应的特定输出地址(210)的消息。因此,可以通过用户发送获取单元查询消息(315)来创建多个访问控制单元(160),每个单元(160)包含不同的输入地址(205)和对应的输出地址(210)。
图5是示出根据本文所述的原理的另一个示例被实现成经由计算设备(110)向用户(105)提供给予另一个用户(305)给该用户(105)发送或写入消息的能力的能力的访问控制单元(160)。与图3中所述的组消息web服务(GMWS)设施(115)类似,用户(105)可以具有选择谁能够和不能向他或她发送消息的能力(在附图中用“m”表示)。然而,与图3不同,图5描绘了基于识别的访问控制单元(160)。因为,一些用户可能不具有先前与用户(105)的任何其他交互并因此将不具有用于发送或接收消息的信息(即,输入地址(图3和4,205)或输出地址(图3和4,210)),该系统可以被实现以便允许其他用户发送或接收消息。
在图5所呈现的场景中,用户(105)可以发送他或她的公共密钥(在附图中用“y”表示)给组消息web服务(GMWS)设施(115)以获取与用户(105)的公共密钥对应的输入地址(205)或输出地址(210)。特别地,用户(105)可以发送获取地址查询消息(415)给组消息web服务(GMWS)设施(115)。在图5描述的场景中,获取地址查询消息(515)是用于基于用户(105)的公共密钥y接收输出地址(210)的查询。在一个示例中,公共密钥可以是提供给系统(图1,100)的用户(105)的某个随机值。在另一个示例中,公共密钥可以由用户(105)选择并可以在组消息web服务(GMWS)设施(115)和用户(105)之间以及在用户(105)和他或她希望与之交互的那些其他用户之间保持机密。此外,获取地址查询消息(515)可以例如以HTTP消息或能够保证消息保持机密的机密且安全消息传递系统的形式被发送。
一旦已经发送获取地址查询消息(515),访问控制单元(160)可以被生成并且各个地址将被计算并发回到用户(105)。在图5所述的场景中,用户(105)已经请求接收输出地址(210)。因此,访问控制单元(160)可以首先通过将公共密钥应用于哈希函数来计算输入地址(205)。该哈希函数可以是任何哈希函数并可以是例如具有256位输出的SHA3。可以使用附加的哈希函数,例如也输出具有256位地址大小的值的哈希函数。
因此,用户(105)将公共密钥y发送到他或她希望与之交互的用户(305)。单独的用户(305)然后能够计算输入地址(205)或输出地址(210)作为哈希函数的输出并且使用用户(105)的提供的公共密钥作为哈希函数的输入来计算输入地址(205)或输出地址(210)。这样,在不预先与用户(105)进行交互的情况下,用户(305)能够发送消息到用户(105)或者从用户(105)接收消息。
在该场景中,如果用户希望改变其他用户发送或接收消息的先前能力,则用户可以仅仅采用新公共密钥。在另一个示例中,公共密钥可以被附加计数器,以使得用户(105)能够在不是必须改变公共密钥的情况下从访问控制单元(160)撤销能力。
现转到图6,示出被实现成经由计算设备(110)向用户(105)提供给予另一个用户(305)从用户(105)接收或读取消息的能力的能力的访问控制单元(160)。在图6所示的示例中,获取地址查询消息(615)是基于用户(105)的公共密钥y接收输入地址(210)的查询。同样地,在一个示例中,公共密钥可以是由系统(图1,100)提供给用户(105)的某个随机值。在另一个示例中,公共密钥可以由用户(105)选择并可以在组消息web服务(GMWS)设施(115)和用户(105)之间以及在用户(105)和他或她希望与之交互的那些其他用户之间保持机密。此外,获取地址查询消息(615)可以例如以HTTP消息或能够保证消息保持机密的机密且安全消息传递系统的形式被发送。
一旦已经发送获取地址查询消息(615),访问控制单元(160)可以被生成并且各个地址将被计算并发回到用户(105)。在图6所述的场景中,用户(105)已经请求接收输入地址(205)。因此,访问控制单元(160)可以首先通过将公共密钥应用于哈希函数来计算输入地址(205)。该哈希函数可以是任何哈希函数并可以是例如具有256位输出的SHA3。可以使用附加的哈希函数,例如输出具有256位地址大小的值的哈希函数。
因此,用户(105)将公共密钥y发送到他或她希望与之交互的用户(305)。单独的用户(305)然后能够计算输入地址(205)或输出地址(210)作为哈希函数的输出并且使用用户(105)的提供的公共密钥作为哈希函数的输入来计算输入地址(205)或输出地址(210)。这样,在不预先与用户(105)进行交互的情况下,用户(305)能够发送消息到用户(105)或者从用户(105)接收消息。
同样地,为了撤销对应的访问控制单元(160),如果用户(105)希望新近(freshly)帮助访问控制单元(160)的服务,则他或她将必须停止发送消息到访问控制单元(160)或从访问控制单元(160)接收消息并且使用另一个公共密钥值。在一个示例中,公共密钥可以被附加以计数器,以使得用户(105)能够在不必须改变公共密钥的情况下从访问控制单元(160)撤销能力。
图7是示出用于根据本文所述的原理的一个示例来操作分布式消息传递系统的方法的流程图。过程开始于组消息web服务(GMWS)设施(115)从用户(图1,105)接收(块705)获取单元查询(图3和4,315)或获取输出地址/输入地址查询(图5,515和图6,615)。同样地,如前所述,获取单元查询(图3和4,315)或获取输出地址/输入地址查询(图5,515和图6,615)可以通过诸如例如安全超文本传输协议(HTTP)之类的安全信道进行发送。
一旦组消息web服务(GMWS)设施(图1、3、4、5和6,115)已经接收(块705)获取单元查询(图3和4,315)或获取输出地址/输入地址查询(图5,515和图6,615),其生成(块710)用户(图1,105)可以传递到其他用户(图3、4、5和6;305)以供它们能够发送和接收来自用户(图1,105)的消息的信息。如上所述,所述信息可以包括多个生成的访问控制单元(图1、2、3、4、5和6,160)以及安全且随机化的输入地址(图3和4,205)或输出地址(图3和4,210)。该信息然后由组消息web服务(GMWS)设施(图1、3、4、5和6,115)提供(块715)到用户(图1,105)。
用户(图1,105)然后能够根据情况自由发送生成的输入地址(图2、3和4,205)、输出地址(图2、3和4,205)、或公共密钥到如上所述的非系统用户(图3、4、5和6,305)。一旦非系统用户(图3、4、5和6,305)已经接收到该信息,他或她将能够向用户(图1、3、4、5、6,105)发送消息或从用户(图1、3、4、5、6,105)接收消息(块720)。例如,当生成的访问控制单元(图1、2、3、4、5和6,160)从非系统用户(图3、4、5和6,305)接收消息时(块720),所述消息可以包含输入地址(图2、3和4,205)。当访问控制单元(图1、2、3、4、5和6,160)接收该消息时,其机械地计算(块725)输出地址(图2、3和4,205)。
在访问控制单元(图1、2、3、4、5和6,160)机械地计算(块725)输出地址(图2、3和4,205)之后,访问控制单元(图1、2、3、4、5和6,160)将该消息路由(块730)到适当的接收者。
上述方法可以通过包括其中包含计算机可用程序代码的计算机可读存储介质的计算机程序产品来实现,当所述计算机可用程序代码被运行时执行上述方法。特别地,当被处理器(图1,125)所运行时,计算机可用程序代码使处理器(图1,125)发送获取单元查询(图3和4,315)或获取输出地址/输入地址查询(图5,515和图6,615)到组消息web服务(GMWS)设施(图1、3、4、5和6,115)。当被处理器所运行时,计算机可用程序代码还可以使组消息web服务(GMWS)设施(图1、3、4、5和6,115)机械地计算输出地址(图2、3和4,205)和输入地址(图2、3、和4,205)并发送输出地址(图2、3和4,205)和输入地址(图2、3、和4,205)到系统(图1,100)的用户。又进一步,当被处理器所运行时,计算机可用程序代码可以使访问控制单元(图1、2、3、4、5和6,160)机械地将与发送的消息关联的输出地址(图2、3和4,205)或输入地址(图2、3、和4,205)转换成相互的(reciprocal)输入地址(图2、3和4,205)或输出地址(图2、3、和4,205)。
本说明书和附图描述通信访问控制系统。所述系统保证被发送到随机访问控制单元的消息在还没被读取的情况下而被丢弃。所述系统进一步向用户提供高度集中的访问策略决策和集中式访问策略执行。因此,用户可以使用来自包括蜂窝电话、膝上型计算机和台式计算机的无数类型的计算设备的组消息web服务设施。此外,因为系统是安全的及服务器辅助的多点到点和点到多点的通信路径可用,一组用户可以以实时且安全的方式彼此交互。
前述描述已经被呈现以仅说明和描述所述原理的示例。该描述非意在是穷尽的或将这些原理限制成公开的任何精确形式。根据上述教导许多修改和变形是可能的。
Claims (13)
1.一种通信访问控制系统(100),包括:
实现在计算实体上的至少一个访问控制单元(160),用于基于系统用户(105)的请求来计算随机输入地址(205)和随机输出地址(210);
其中所述输入和输出地址是基于与所述至少一个访问控制单元(160)关联的服务设施(115)所持有的加密密钥(165)的。
2.根据权利要求1所述的系统(100),其中所述服务设施(115)基于系统用户(105)的请求而动态创建访问控制单元(160)。
3.根据权利要求1所述的系统(100),其中访问控制单元(160)从第一用户(305)接收包含输入地址(205)的消息,并在使用加密密钥(165)将输入地址(205)转换成对应的输出地址(210)之后将该消息路由到第二用户(105)。
4.根据权利要求3所述的系统(100),其中消息是从一个人类用户到另一个的通信。
5.根据权利要求3所述的系统(100),其中消息是去往分布式计算环境中的计算实体的操作命令。
6.根据权利要求1所述的系统,其中至少一个访问控制单元(160)被存储在用户(105)的计算设备(110)上以控制对该用户的计算设备(110)的访问。
7.根据权利要求1所述的系统,进一步包括多个访问控制单元(160),每个驻留在分布式计算环境内不同的计算实体上。
8.一种用于操作分布式消息传递系统(100)的方法,包括,利用编程的处理器(125)来:
在组消息web服务(GMWS)设施(115)处从用户(105)接收(块705)用于接收输入地址(205)和输出地址(210)的查询(315,515,615);
生成(710)随机输入地址(205)和随机输出地址(210);
向用户(105)提供(715)输入地址(205)和输出地址(210);
接收(块720)包含输入地址(205)的消息;
使用加密密钥来计算(块725)输出地址(210);
基于计算的输出地址来路由(块730)所述消息。
9.根据权利要求8所述的方法,进一步包括动态创建与组消息web服务(GMWS)设施(115)关联的访问控制单元(160),所述访问控制单元基于系统用户(105)的请求来计算随机输入地址(205)和随机输出地址(210)。
10.根据权利要求9所述的方法,其中访问控制单元(160)被存储在用户(105)的计算设备(110)上。
11.根据权利要求8所述的方法,其中加密密钥(165)不是系统(100)的用户(105,305)可访问的。
12.根据权利要求8所述的方法,其中系统(100)被实现在分布式计算环境上。
13.根据权利要求8所述的方法,其中随机输入地址(205)和随机输出地址(210)是256位密码数字。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/IN2011/000257 WO2012143930A1 (en) | 2011-04-18 | 2011-04-18 | Access control |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103597864A CN103597864A (zh) | 2014-02-19 |
CN103597864B true CN103597864B (zh) | 2017-12-22 |
Family
ID=47041118
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180071714.6A Expired - Fee Related CN103597864B (zh) | 2011-04-18 | 2011-04-18 | 访问控制 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9294447B2 (zh) |
EP (1) | EP2700255B1 (zh) |
CN (1) | CN103597864B (zh) |
WO (1) | WO2012143930A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108040014B (zh) * | 2017-10-30 | 2022-01-11 | 维沃移动通信有限公司 | 一种流量控制方法和装置 |
US11825301B2 (en) * | 2019-11-15 | 2023-11-21 | Qualcomm Incorporated | Secret construction of physical channels and signals |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101276309A (zh) * | 2007-03-31 | 2008-10-01 | 珠海天威技术开发有限公司 | 对外部数据存储器加密、解密及重写的方法 |
CN101782956A (zh) * | 2010-02-09 | 2010-07-21 | 杭州晟元芯片技术有限公司 | 一种基于aes实时加密的数据保护方法及装置 |
CN102541762A (zh) * | 2010-12-27 | 2012-07-04 | 北京国睿中数科技股份有限公司 | 用于外部存储器的数据保护器和数据保护方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2947664B2 (ja) * | 1992-03-30 | 1999-09-13 | 株式会社東芝 | 画像専用半導体記憶装置 |
DE69427347T2 (de) | 1994-08-15 | 2001-10-31 | International Business Machines Corp., Armonk | Verfahren und System zur verbesserten Zugriffssteuerung auf Basis der Rollen in verteilten und zentralisierten Rechnersystemen |
US5999978A (en) | 1997-10-31 | 1999-12-07 | Sun Microsystems, Inc. | Distributed system and method for controlling access to network resources and event notifications |
US6064656A (en) | 1997-10-31 | 2000-05-16 | Sun Microsystems, Inc. | Distributed system and method for controlling access control to network resources |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
DE10345385B4 (de) * | 2003-09-30 | 2005-10-06 | Infineon Technologies Ag | Entschlüsselung bzw. Verschlüsselung bei Schreibzugriffen auf einen Speicher |
US20060143454A1 (en) * | 2004-05-27 | 2006-06-29 | Silverbrook Research Pty Ltd | Storage of multiple keys in memory |
CN1655504B (zh) | 2005-02-21 | 2010-05-05 | 西安西电捷通无线网络通信有限公司 | 基于端口的对等访问控制方法 |
US20070016637A1 (en) * | 2005-07-18 | 2007-01-18 | Brawn John M | Bitmap network masks |
CN101005359B (zh) * | 2006-01-18 | 2010-12-08 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
GB0601913D0 (en) * | 2006-01-31 | 2006-03-08 | Ericsson Telefon Ab L M | Packet re-direction in a communication network |
US10097612B2 (en) * | 2006-05-26 | 2018-10-09 | Fuze, Inc. | Selecting routes through a network |
JP5056529B2 (ja) | 2007-03-28 | 2012-10-24 | 富士通株式会社 | アクセス制御プログラム |
WO2009140983A1 (en) | 2008-05-21 | 2009-11-26 | Telefonaktiebolaget L M Ericsson (Publ) | Access control for an ip access network to multicast traffic |
CN101370012B (zh) * | 2008-07-09 | 2011-04-20 | 南京邮电大学 | 基于代理的对等计算信任机制构造方法 |
-
2011
- 2011-04-18 WO PCT/IN2011/000257 patent/WO2012143930A1/en active Application Filing
- 2011-04-18 US US14/112,549 patent/US9294447B2/en not_active Expired - Fee Related
- 2011-04-18 CN CN201180071714.6A patent/CN103597864B/zh not_active Expired - Fee Related
- 2011-04-18 EP EP11863920.2A patent/EP2700255B1/en not_active Not-in-force
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101276309A (zh) * | 2007-03-31 | 2008-10-01 | 珠海天威技术开发有限公司 | 对外部数据存储器加密、解密及重写的方法 |
CN101782956A (zh) * | 2010-02-09 | 2010-07-21 | 杭州晟元芯片技术有限公司 | 一种基于aes实时加密的数据保护方法及装置 |
CN102541762A (zh) * | 2010-12-27 | 2012-07-04 | 北京国睿中数科技股份有限公司 | 用于外部存储器的数据保护器和数据保护方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2012143930A1 (en) | 2012-10-26 |
EP2700255A4 (en) | 2014-10-29 |
US20140040619A1 (en) | 2014-02-06 |
EP2700255A1 (en) | 2014-02-26 |
EP2700255B1 (en) | 2018-02-21 |
CN103597864A (zh) | 2014-02-19 |
US9294447B2 (en) | 2016-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109144961B (zh) | 授权文件共享方法及装置 | |
CA3116405C (en) | Systems and methods for distributed data storage and delivery using blockchain | |
US11132451B2 (en) | Secret data access control systems and methods | |
CN104885093B (zh) | 基于加密的数据访问管理 | |
US9900288B2 (en) | Cloud key escrow system | |
US10063372B1 (en) | Generating pre-encrypted keys | |
CN108737374A (zh) | 一种区块链中数据存储的隐私保护方法 | |
CN105049196B (zh) | 云存储中指定位置的多个关键词可搜索的加密方法 | |
CN106575427A (zh) | 基于零知识环境的社交网络引擎 | |
CN107370595A (zh) | 一种基于细粒度的密文访问控制方法 | |
CN107211049A (zh) | 无线接入点上的预缓存 | |
Bahar et al. | Security architecture for mobile cloud computing | |
CN101977184A (zh) | 多身份选择登录装置及服务系统 | |
US20180367308A1 (en) | User authentication in a dead drop network domain | |
CN112000632A (zh) | 密文的分享方法、介质、分享客户端及系统 | |
Ramachandran et al. | Secure and efficient data forwarding in untrusted cloud environment | |
CN103597864B (zh) | 访问控制 | |
WO2018212794A1 (en) | Encrypted search cloud service with cryptographic sharing | |
Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
JP7361384B2 (ja) | 電子申請の補助方法、電子申請補助システム、電子申請補助システムのプログラム及びその記録媒体 | |
Agarwal | A Safe and Resilient Cryptographic System for Dynamic Cloud Groups with Secure Data Sharing and Efficient User Revocation | |
Jain | Secure big data access control policies for cloud computing environment | |
CN116599647B (zh) | 信息处理方法、服务节点、区块链网络和存储介质 | |
US20230177209A1 (en) | Distributed Communication Network | |
US9407641B2 (en) | Service access control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171222 |