CN108200033A

CN108200033A - 一种基于ndn与开放式移动健康系统框架的访问控制方法

Info

Publication number: CN108200033A
Application number: CN201711446909.XA
Authority: CN
Inventors: 张丽; 蔡杰
Original assignee: Beijing University of Technology
Current assignee: Beijing University of Technology
Priority date: 2017-12-27
Filing date: 2017-12-27
Publication date: 2018-06-22

Abstract

本发明公开了一种基于NDN与开放式移动健康系统框架的访问控制方法，包括：路由器接收用户发送的用于请求数据的兴趣包；路由器通过身份过滤器对身份信息进行检查，判断用户是否为授权用户；当用户为未授权用户时，路由器忽略兴趣包；当用户为授权用户时，路由器将兴趣包转发；其中的数据采用预设加密方式加密；用户接收到数据后，需采用预设解密方式进行解密，才能获取对应的解密后的数据。本发明使得缓存在网络中间节点的数据可以被获取的同时，又能避免未授权的用户获取对应的加密数据。

Description

一种基于NDN与开放式移动健康系统框架的访问控制方法

技术领域

本发明涉及网络传输中的访问控制策略技术领域，尤其涉及一种基于NDN与开放式移动健康系统框架的访问控制方法。

背景技术

开放式移动健康系统，即Open mHealth系统，能够以前所未有的方式在不去医院的情况下收集和分享各种健康信息数据，目前Open mHealth系统都搭建在IP网络之中。因此由于IP网络本身的特性，使得健康信息数据在交换过程中有许多的漏洞，如安全性，隐私性及移动性等。

NDN(Named Data Networking，命名数据网络)是由美国国家科学基金会在2010年所发起的未来网络架构的研究方案之一，主旨为开发全新的网络架构，以符合新兴的通讯需求，并取代现有的TCP/IP协议。NDN网络中不考虑内容存储所在的物理位置，而是直接建立命名数据网络体系。力求从协议架构设计上彻底解决TCP/IP设计上的诸多不适应性，并保留了细腰沙漏模型，主要特点集中体现在多样灵活的路由策略和基于数据本身的安全机制上。由于NDN具有对用户移动性的内置支持，并能通过对数据包签证来确保数据安全，因此对于私密性要求极高的Open mHealth系统有着天然的优势。

但是由于健康信息数据的安全性至关重要。因此为了保证数据安全性，目前在大多数为消费者部署的服务中，数据安全性的建立都是通过与可信服务器的交互认证，例如通过具有隐式可信证书的TLS，数据的真实性是建立在信道安全上的。由于NDN网络会将数据缓存在中间节点，而TLS等方式为了确保数据安全都会到数据源处获取数据包，因此现有的数据访问控制方法并不能很好地体现NDN的优势。

发明内容

针对上述现有技术中存在的不足之处，本申请提供一种基于NDN与开放式移动健康系统框架的访问控制方法，该方法使得缓存在网络中间节点的数据可以被获取的同时，又能避免未授权的用户获取对应的加密数据。

该基于NDN与开放式移动健康系统框架的访问控制方法，包括：

路由器接收用户发送的用于请求数据的兴趣包，所述兴趣包中携带有所述用户对应的身份信息；

所述路由器通过自身的身份过滤器对所述用户的身份信息进行检查，判断所述用户是否为授权用户；

当所述用户为未授权用户时，所述路由器忽略所述兴趣包；当所述用户为授权用户时，所述路由器检查自身的本地缓存中是否存在与所述兴趣包所请求的数据相匹配的数据；

当所述本地缓存中存在相匹配的数据时，所述路由器将相匹配的数据发送到所述用户，当所述本地缓存中不存在相匹配的数据时，所述路由器将所述兴趣包转发到数据生产者，所述数据生产者经由所述路由器将相匹配的数据发送到所述用户，所述相匹配的数据为采用预设加密方式加密的加密数据；

所述用户接收到所述相匹配的数据后，采用预设解密方式对所述相匹配的数据进行解密，从而获取对应的解密后的数据。

可选地，所述身份过滤器为存储有所有授权用户的身份信息的哈希表；

所述路由器通过自身的身份过滤器对所述用户的身份信息进行检查，判断所述用户是否为授权用户，包括：

所述路由器将所述用户的身份信息作为关键字查找所述哈希表中是否存在与所述关键字对应的哈希地址；

当所述哈希表中存在与所述关键字对应的哈希地址时，确定所述用户为授权用户；当所述哈希表中不存在与所述关键字对应的哈希地址时，确定所述用户为未授权用户。

可选地，所述哈希表由所述数据生产者根据注册用户表生成并分发至所述路由器。

可选地，所述预设加密方式为：

所述数据生产者通过对称密钥对待加密数据进行加密，所述待加密数据对应的数据所有者为授权用户生成消费者凭证；

所述数据所有者将所述消费者凭证中的私钥发送给所有授权用户，并通过所述消费者凭证中的公钥对所述对称密钥进行加密。

可选地，所述数据所有者将所述私钥发送给所有授权用户，具体为：

所述数据所有者将所述私钥通过待发送的授权用户所对应的消费者公钥加密后再发送给对应的授权用户。

可选地，所述预设解密方式为：

所述用户通过自身的消费者私钥对加密后的所述私钥进行解密，从而获取对应的所述私钥；

所述用户通过所述私钥对加密后的对称密钥进行解密，从而获取对应的所述对称密钥；

所述用户通过所述对称密钥对待解密数据进行解密，从而获取对应的解密数据。

可选地，当所述本地缓存中存在相匹配的数据时，所述路由器将相匹配的数据发送到所述用户之前，所述方法还包括：

所述路由器采用NDN中基于兴趣包的访问控制策略，对自身的本地缓存中存储的所述相配的数据执行权限检查；

当权限检查通过时，所述路由器将相匹配的数据发送到所述用户；当权限检查不通过时，所述路由器将所述兴趣包转发到数据生产者。

本发明通过在路由器上建立身份过滤器，利用身份过滤器过滤掉未授权用户所发送的兴趣包，从而避免未授权用户获取私密数据，同时节省网络开销。并且数据在生产过程中数据生产者通过对称密钥对其进行加密，同时由数据所有者控制解密密钥的分发，从而充分保证了数据的安全性，同时相对于现有的加密传输方式，本发明中的加密方式可进一步节省网络通信负担。

附图说明

图1为本发明实施例提供的基于NDN与开放式移动健康系统框架的访问控制方法的流程图；

图2为本发明实施例提供的基于NDN与开放式移动健康系统框架的访问控制方法中通过哈希表过滤兴趣包的示意图；

图3为本发明实施例提供的基于NDN与开放式移动健康系统框架的访问控制方法中的加密和解密过程的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，图1示出了本实施例中的基于NDN与开放式移动健康系统框架的访问控制方法的流程图，该基于NDN与开放式移动健康系统框架的访问控制方法包括以下步骤：

S101，路由器接收用户发送的用于请求数据的兴趣包，然后进入S102。

需要说明的是，本实施例中用户所发送的兴趣包中均携带有对应用户的身份信息，以便后续可以根据用户的身份信息判断该用户是否为授权用户。

具体地，在本实施例中，有关数据的命名空间为五层结构，其具体结构形式如下所示：user/type/data-bigtype/data-specific-type/data；其中user即用户名，type指对应内容是数据(data)还是消费者凭据(read)，data-bigtype指数据的大类，即数据是运动信息(activity)还是医疗信息(health)等等，data-specific-type指数据的具体信息，即如果是运动信息的话，是步数还是轨迹或者位置等等；是医疗信息的话是心脏相关还是其他疾病相关等等，而data层即具体的数据。

有关消费者凭证的命名空间则为六层结构，其具体结构形式如下所示：user/type/data-bigtype/data-specific-type/FOR/consumer/timestamp/data；其中user即用户名，type指对应内容是数据(data)还是消费者凭据(read)，data-bigtype指数据的大类，即数据是运动信息(activity)或者医疗信息(health)等等，data-specific-type指数据的具体信息，即如果是运动信息的话，是步数还是轨迹或者位置等等；是医疗信息的话是心脏相关还是其他疾病相关等等，FOR为加在消费者凭证之前的特殊层，即语义层，consumer指该消费者凭证权限授予者的用户名，timestamp指该消费者凭证的有效期时间范围，data则是具体数据。

本实施例中通过上述命名方式，使得包含数据的数据包不再是针对某特定用户，而可以被所有授权用户获取。并且消费者凭证数据包采用FOR结构来指定访问权限。通过在每个加密数据的名字内附加一个“FOR”部分以及加密密钥的名字实现对相应加密数据的解读权限的限定。例如，用于解密Alice的数据的密钥由Bob的公钥加密，其名称为：“/alice/health/read/activity/DKEY/FOR/bob/health/access/E-KEY”，从而表示Bob有解读该解密密钥的权限。

S102，判断用户是否为授权用户，当用户为未授权用户时进入S103，当用户为授权用户时进入S104。

需要说明的是，本实施中是通过在路由器上建立一身份过滤器实现对未授权用户所发送的兴趣包的过滤，从而形成第一道防线，有效防止未授权用户获得私密数据。具体地该身份过滤器基于哈希表形式的数据结构创建，哈希表已经被用于NDN路由器的名字查找策略，其体现出了节省内存、查找高效等方面的优势。因此本实施例利用这种节省空间的数据结构，建立对兴趣包的预过滤机制。

具体为，通过哈希表存储有所有授权用户的身份信息；当路由器接收到来自用户的兴趣包时将该兴趣包中的用户的身份信息作为关键字查找哈希表中是否存在与关键字对应的哈希地址；当哈希表中存在与关键字对应的哈希地址时，确定用户为授权用户；当哈希表中不存在与关键字对应的哈希地址时，确定用户为未授权用户。

例如路由器接收到了用户A、用户B、以及用户C发送的兴趣包，此时路由器将用户A的身份信息A作为关键字对哈希表进行查找，可以查找到用户A的哈希地址为H(A)，将用户B的身份信息B作为关键字对哈希表进行查找，可以查找到用户B的哈希地址为H(B)，因此可以确定用户A和用户B均为授权用户，而当使用用户C的用户信息C作为关键字对哈希表进行查找时，并不能得到用户C对应的哈希地址，因此确定用户C为未授权用户，如图2所示。

其中，上述哈希表由数据生产者根据注册用户表生成并分发至路由器。在路由器中部署该身份过滤器的优势在于：(1)避免了向未授权用户发送加密的内容，防止了未授权用户获取并试图解密内容。(2)由于当用户为未授权用户时路由器忽略对应的兴趣包，因此可有效节省带宽资源。

S103，路由器忽略兴趣包。

该步骤是当发送兴趣包的用户为未授权用户时，路由器直接忽略该兴趣包，对其不作响应。这么做一方面可以有效避免未授权用户获取私密内容，另一方面由于省去了向用户发送内容的操作，且不再继续转发该数据包，因此可以有效节约宽带资源。

S104，判断CS中是否存在相匹配的数据，当CS中存在相匹配的数据时进入S105，当CS中不存在相匹配的数据时进入S106。

S105，路由器将相匹配的数据发送到用户。

上述步骤是当兴趣包对应的用户为授权用户时，路由器对该兴趣包作出响应，响应时该路由器首先检查自身的本地缓存CS中是否存在与该兴趣包所请求的数据相匹配的数据，如果有相匹配的数据则将CS中的数据的副本发送给相应的用户。

S106，路由器将兴趣包转发到数据生产者，然后进入S107。

S107，数据生产者经由路由器将相匹配的数据发送到用户。

上述步骤是当路由器的CS中没有与兴趣包所请求的数据相匹配的数据时，路由器将兴趣包转发到数据生产者，然后由数据生产者经由路由器将相应数据发送到用户。

S108，用户接收到数据后，对数据进行解密，从而获取对应的解密后的数据。

其中上述发送给用户的数据的无论是存在于路由器CS中还是数据生产者的数据存储单元，都是以加密的形式存在的。具体地该数据加密方式为：

数据生产者生产出数据后，通过对称密钥对数据进行加密，该数据对应的数据所有者为授权用户生成一对公钥和私钥，也即消费者凭证。并将其中的私钥(key-decryptkey，KDK)发送给所有授权用户，并通过其中的公钥(key-encrypt key，KEK)对上述对称密钥进行加密。其中数据所有者将KDY发送给授权用户时，首先通过待发送的授权用户所对应的消费者公钥对KDY加密后再发送给对应的授权用户。

如此一来，当用户为授权用户时，其通过发送兴趣包请求数据时，就可以获取带有加密数据的数据包、带有加密后的对称密钥的数据包、带有加密后的KDY的数据包。当用户检索到上述三个数据包时首先通过自身的消费者私钥对加密后的KDY进行解密从而获取KDY；然后通过KDY对加密后的对称密钥进行解密从而获取对称密钥；最后通过对称密钥对加密数据进行解密从而获取对应的解密后的数据，实现对数据的读取，上述加密和解密过程如图3所示。

此外，为了方便数据共享，用户可能会上传所有与健康相关的数据到网络中，以便授权用户可以在任何时间对数据进行访问，在这种情况下作为中间节点的路由器中可能存有大量的隐私数据，因此很可能会成为一个潜在的被攻击对象。

所以为了进一步提高数据的安全性，本实施例中路由器在用其本地缓存满足兴趣包之前，首选需要采用NDN中基于兴趣包的访问控制策略，对自身的本地缓存中存储的数据执行权限检查；只有当权限检查通过时，才将对应的数据发送到用户；否则路由器需要将兴趣包转发到数据生产者从数据生产者处获取对应数据。

其中，上述权限检查具体包括以下内容：

认证过程：数据生产者为数据生成一对公钥和私钥用来对数据进行签名和核查。数据所有者发布数据生产者的公钥证书。在该公钥证书中，数据所有者明确指定生产权限。数据生产者使用相应的私钥来签名生成的数据。任意一个数据消费者(包括最终消费者和数据存储器)都可以用上述公钥证书来验证对应的数据生产者是否被授权生产数据。

信任模型：NDN要求数据生产者对其生成的每个数据包都要将其签名密钥名称放入KeyLocator字段中。通过这些信息，数据消费者可以从数据生产者签名密钥到一个已知的受信任的密钥构建一个签名密钥链。数据消费者可以根据预先确定的签名密钥链检查信任模型，从而确定对应的数据生产者是否获得授权来产生一个特定的数据包。

本实施例中访问控制方法充分利用了NDN网内缓存特性和代理重加密的思想，数据生产者只需对数据加密一次并发布，路由器中便储存有加密后数据的副本，从而便于多个用户获取该加密后的数据并解密。因此，数据生产者的加密开销与访问用户数量无关，保持为一个常量。而现有访问控制方法虽然也可以实现NDN中端到端的安全访问，但其数据生产者需针对每位访问用户，用每一用户的公钥对数据分别进行加密。因此现有访问控制方法的通信负担与访问用户总数成正比。因此对于本实施例中的访问控制方法，当用户总数非常大时，其所节省的通信负担是相当可观的。

此外，本实施例中的访问控制方法通过在路由器中建立身份过滤器实现对未授权用户所发送的兴趣包的过滤，因此有效降低了网络中来自未授权用户的兴趣包的数量，有效降低了网络占用率，并且省去了对未授权用户的兴趣包的处理过程，从而实现了高效的访问控制。

本实施例通过在路由器上建立身份过滤器，利用身份过滤器过滤掉未授权用户所发送的兴趣包，从而避免未授权用户获取私密数据，同时节省网络开销。并且数据在生产过程中数据生产者通过对称密钥对其进行加密，同时由数据所有者控制解密密钥的分发，从而充分保证了数据的安全性，同时相对于现有的加密传输方式，本发明中的加密方式可进一步节省网络通信负担。

此外，本领域内的技术人员应明白，本发明的实施例可提供为方法或计算机程序产品。因此，本发明实施例可采用完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

还需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，包括：

2.如权利要求1所述的基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，所述身份过滤器为存储有所有授权用户的身份信息的哈希表；

3.如权利要求2所述的基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，所述哈希表由所述数据生产者根据注册用户表生成并分发至所述路由器。

4.如权利要求1所述的基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，所述预设加密方式为：

5.如权利要求4所述的基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，所述数据所有者将所述私钥发送给所有授权用户，具体为：

6.如权利要求5所述的基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，所述预设解密方式为：

7.如权利要求1所述的基于NDN与开放式移动健康系统框架的访问控制方法，其特征在于，当所述本地缓存中存在相匹配的数据时，所述路由器将相匹配的数据发送到所述用户之前，所述方法还包括：