CN116170166A - 一种基于智能合约的可拓展高效属性访问控制机制 - Google Patents
一种基于智能合约的可拓展高效属性访问控制机制 Download PDFInfo
- Publication number
- CN116170166A CN116170166A CN202111415811.4A CN202111415811A CN116170166A CN 116170166 A CN116170166 A CN 116170166A CN 202111415811 A CN202111415811 A CN 202111415811A CN 116170166 A CN116170166 A CN 116170166A
- Authority
- CN
- China
- Prior art keywords
- attribute
- access control
- prefix
- strategy
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于智能合约的可扩展高效属性访问控制机制。本发明涉及访问控制领域。该方法针对现有访问控制方案可扩展性差、合约管理复杂、访问控制策略检索方法低效等问题,本发明提出了一个基于智能合约的可扩展高效属性访问控制机制——XADAC(eXtensile Attribute‑based Access Control)。该方案提出一种基于智能合约的分布式可扩展跨域访问控制架构,将策略与客体解绑,提出一种多对多的策略管理方法,提出一种基于前缀标记的高效策略检索方法;具有半中心化、可拓展、可审计、并发处理、隐私保护、低时延等特点。
Description
技术领域
本发明属于访问控制领域,具体涉及一种基于智能合约的可扩展高效属性访问控制机制,用于实现高效地策略检索。
背景技术
物联网场景下的访问控制机制应从物联网自身环境特点出发,满足物联网场景的需求。首先,物联网终端节点数量庞大,具有动态性和资源受限等特点。其次,物联网系统具有异构、异地、异主等特点。面向这样一个复杂场景,访问控制系统应满足以下需求:能感知上下文,如能够对不同时间、地点、状态的访问作出差异化的响应;用户友好,方便不同知识背景的员工使用;易于维护管理,保证系统可扩展且复杂度较低,保证其运行维护成本较低;可跨域,且应保证跨域访问授权结果的一致性;访问记录等隐私数据不被泄露;保证系统的健壮性,即当某个决策节点出现故障,仍然能够正常提供服务。
目前物联网场景下常见的访问控制模型包括:基于属性的访问控制(ABAC)、基于权能的访问控制(CapBAC)等,但是传统的ABAC和CapBAC在物联网这种复杂场景下都有其局限性。ABAC是一种中心化的模型,使用属性作为关键要素进行访问授权决策。ABAC的优点是灵活,不需关联主客体和策略,属性和策略独立管理;动态,只需为新主体分配访问必须的属性,不需修改现有策略和实体属性;安全和私密,可通过上下文进行访问限制,且属性有一定的匿名性且可加密处理。其缺点是作为中心化的访问控制模型,存在潜在的单点故障和性能瓶颈的问题;每个访问请求都指向同一个中央实体,对访问数据安全和隐私构成了极大的挑战。CapBAC是一种分布式的访问控制模型,可支持权限代理和撤销。CapBAC的优点是某种层面上更安全,如权能可撤销、没有混淆代理人问题;授权分散,访问实体数量不会增加系统复杂度;不需要管理复杂而动态的用户信息。
其缺点是不能感知上下文,无法作出不同的响应;轻量级设备无法保证自身安全,有可能被攻击者作为突破口,为整个访问控制系统带来威胁。
ABAC使用属性作为访问控制的关键要素实现访问控制授权决策,其中属性包括用户、资源、操作和运行上下文。首先,ABAC的灵活性表现在面对物联网中的海量设备,管理员不需关联主客体和策略,属性和策略独立进行管理,所以ABAC可以在很少的管理监督的情况下进行各种访问。其次,新主体的加入不影响现有策略和属性,只需要为其分配访问必须的属性,所以ABAC可以应对物联网中设备节点的动态接入问题。最后,ABAC支持上下文感知,可以限制用户在特定的时间或者特定情况下进行访问,而属性具有一定的匿名性,所以有一定的安全性和私密性。
但是,ABAC是一个中心化的访问控制模型,需要一个集中式的服务器完成授权决策,这带来了潜在的单点故障和性能瓶颈问题。此外,每个访问请求都指向同一个中央实体,这对异质化物联网中访问数据的安全和隐私构成了极大的挑战。
综上所述,设计一种基于智能合约的可扩展高效属性访问控制机制具有必要性。
发明内容
本发明目的在于针对上述现有访问控制方案的不足,以及现有基于属性的访问控制机制可扩展性差、合约管理复杂、访问控制策略检索方法抵消等问题,提供了一种可扩展访问控制方案XADAC。实现了灵活、管理简单、计算和存储成本低、高效的可扩展访问控制。
本发明采用的技术方案包括以下步骤:
步骤1、规则设定。简单起见,设定前缀标记的长度为8,即一个字节的长度。前缀标记从末位开始标号,起始序号为0。规定第0位标识策略的授权结果sign,0表示负向授权策略,1表示正向授权策略。剩余7位分别用于标识7个属性,每一位用0表示属性不存在,1表示属性存在。规定第1-3位标识主体属性,第4-6位标识客体属性,第7位标识环境属性。值得一提的是,前缀标记可以随属性库规模的增大进行扩展。
步骤2、为策略生成前缀标记。
步骤3、为设备生成前缀标记。按上述步骤1中的规定,当进行设备属性的增加、删除或修改操作时,对设备的前缀标记进行更新。设备前缀标记的访问权限位固定,设为0。
步骤4、合成访问请求的前缀标记。根据访问请求中主客体设备的标识符分别获取主体设备的前缀标识PS_{s}和客体设备的前缀标识PS_{o}。将PS_{s}的客体属性标识位置0得到PS_{s}^{'},将$PS_{o}$的主体及环境属性标识位置0得到PS_{o}^{'},将PS_{s}^{'}和PS_{o}^{'}执行或运算,得到访问请求AAR的前缀标记PS_{AAR}。
步骤5、将访问请求的前缀标记PS_{AAR}与访问控制策略的前缀标记PS_{P}进行逻辑或运算得到PS^{'}。
步骤6、将运算得到的PS^{'}与访问请求的前缀标记PS_{AAR}比较,若相等,则进入属性值比较过程;若不相等,则进入下一条策略的匹配过程。
步骤6.1、没有匹配的策略,遍历到最后一条策略。
步骤6.2、有匹配的策略,策略冲突配置为allowoverrides,当匹配到一条访问授权权限为allow的策略时,终止检索,最终策略授权结果为allow;否则,遍历到最后一条策略,最终授权结果为deny。
步骤6.3、有匹配的策略,策略冲突配置为denyoverrides,当匹配到一条访问授权权限为deny的策略时,终止检索,最终策略授权结果为deny;否则,遍历到最后一条策略,最终授权结果为allow。
本发明的积极效果是:
(1)本发明提出一种基于智能合约的分布式可扩展跨域访问控制架构。
(2)将策略与客体解绑,提出一种多对多的策略管理方法。
(3)提出一种基于前缀标记的高效策略检索方法。
附图说明
图1是XADAC系统架构图。
图2是访问请求的前缀标记计算流程图。
图3是XADAC的系统工作流程图。
具体实施方式
访问请求的基本要素包括主体、客体以及操作。基于属性的访问控制使用属性作为授权的依据,因此主体和客体最终会被映射为一组属性。传统的ABAC模型中操作也被认为是一种属性,但在XADAC中操作是策略的分类依据。
以太坊的计算和存储相对昂贵,因此在设计智能合约代码时需要精打细算。传统的策略检索方法需要遍历整个策略表,逐个将策略中的主客体属性与访问请求的主客体属性进行字符串比较,将这样的操作放在以太坊上将会消耗大量的Gas。相对于字符串的比较,位运算可以大幅缩减计算成本。XADAC引入属性序号值对的概念,利用属性序号信息为每条策略事先生成一个前缀标记(PS),前缀标记具有可以灵活延伸的特性,能够适应属性动态管理的需求。在对策略属性信息和访问请求属性信息进行比较前,先对策略的前缀标记进行位运算,对策略是否与访问请求的属性集合匹配进行预筛选,从而实现高效的策略匹配。工作流程主要可以分为两个阶段:系统的初始化以及访问授权。系统的初始化阶段具体流程描述如下:
步骤1、超级管理员部署智能合约,获取合约地址。
步骤2、设备在边缘网关中进行注册,边缘网关获取其全局唯一标识符。
步骤3、由设备管理员代理其管理域中设备在智能合约中的注册操作。
步骤4、为设备绑定管理员,并由管理员添加、删除、更新设备的属性及关联网关等信息。
步骤5、由超级管理员添加、删除、更新访问控制策略。
系统初始化完成后,主体设备A向客体设备B发起访问请求以获取访问授权结果,系统的具体访问控制工作流程描述如下:
步骤6、A向智能合约请求B的边缘网关地址。
步骤7、A向B发起访问请求,请求参数包括主客体标识符、操作类型等。
步骤8、B的代理网关验证主体身份后,向智能合约请求访问授权结果。步骤9、智能合约向主体及客体代理网关返回授权结果。
Claims (5)
1.一种基于智能合约的可扩展高效属性访问控制机制,其特征在于,所述方法包括以下步骤:
步骤1、规则设定,简单起见,设定前缀标记的长度为8,即一个字节的长度,前缀标记从末位开始标号,起始序号为0,规定第0位标识策略的授权结果sign,0表示负向授权策略,1表示正向授权策略,剩余7位分别用于标识7个属性,每一位用0表示属性不存在,1表示属性存在,规定第1-3位标识主体属性,第4-6位标识客体属性,第7位标识环境属性;
步骤2、为策略生成前缀标记;
步骤3、为设备生成前缀标记,当进行设备属性的增加、删除或修改操作时,对设备的前缀标记进行更新,设备前缀标记的访问权限位固定,设为0;
步骤4、合成访问请求的前缀标记,根据访问请求中主客体设备的标识符分别获取主体设备的前缀标识PS_{s}和客体设备的前缀标识PS_{o},将PS_{s}的客体属性标识位置0得到PS^{′}_{s},将PS_{o}的主体及环境属性标识位置0得到PS^{′}_{o},将PS^{′}_{s}和PS^{′}_{o}执行或运算,得到访问请求AAR的前缀标记PS_{AAR};
步骤5、将访问请求的前缀标记PS_{AAR}与访问控制策略的前缀标记PS_{P}进行逻辑或运算得到PS^{'};
步骤6、将运算得到的PS^{'}与访问请求的前缀标记PS_{AAR}比较,若相等,则进入属性值比较过程;若不相等,则进入下一条策略的匹配过程。
2.根据权利要求1所述的一种基于智能合约的可扩展高效属性访问控制机制XADAC,其特征在于:步骤1前缀标记可以随属性库规模的增大进行扩展。
3.根据权利要求1所述的一种基于智能合约的可扩展高效属性访问控制机制XADAC,其特征在于:提出一种基于智能合约的分布式可扩展跨域访问控制架构。
4.根据权利要求1所述的一种基于智能合约的可扩展高效属性访问控制机制XADAC,其特征在于:本方法提出的策略检索方法的响应时间相对于其他访问控制机制的优势会随着策略数量的增多而明显。
5.根据权利要求1所述的一种基于基于图像边缘监督的语义分割算法方法,其特征在于:引入边缘网关作为智能工厂物联网设备与区块链的中介,架构具有半中心化、高可扩展、可审计、可并发处理、隐私保护和低时延等特性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111415811.4A CN116170166A (zh) | 2021-11-25 | 2021-11-25 | 一种基于智能合约的可拓展高效属性访问控制机制 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111415811.4A CN116170166A (zh) | 2021-11-25 | 2021-11-25 | 一种基于智能合约的可拓展高效属性访问控制机制 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116170166A true CN116170166A (zh) | 2023-05-26 |
Family
ID=86418771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111415811.4A Pending CN116170166A (zh) | 2021-11-25 | 2021-11-25 | 一种基于智能合约的可拓展高效属性访问控制机制 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116170166A (zh) |
-
2021
- 2021-11-25 CN CN202111415811.4A patent/CN116170166A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11646940B2 (en) | Intent driven network policy platform | |
| WO2018028606A1 (zh) | 转发策略配置 | |
| US7603474B2 (en) | Efficient endpoint matching using a header-to-bit conversion table | |
| US8701168B2 (en) | Method and apparatus for associating a digital certificate with an enterprise profile | |
| KR101109379B1 (ko) | 네트워크 지문 | |
| WO2016169324A1 (zh) | 一种云计算数据中心访问管理方法和云计算数据中心 | |
| US20220247786A1 (en) | Security policy generation and enforcement for device clusters | |
| WO2016115757A1 (zh) | 一种组网数据中心系统及方法 | |
| US20170290074A1 (en) | Methods and systems for connecting to a wireless network | |
| US20200389426A1 (en) | In-data-plane network policy enforcement using ip addresses | |
| US9917861B2 (en) | Enabling access to an enterprise network domain based on a centralized trust | |
| US10250446B2 (en) | Distributed policy store | |
| US9015790B2 (en) | Integrating sudo rules with entities represented in an LDAP directory | |
| Lican et al. | Virtual and dynamic hierarchical architecture for E-science grid | |
| CN110445765B (zh) | 基于区块链的数据共享方法、终端设备及介质 | |
| US11166147B2 (en) | Roaming among different types of networks | |
| CN113067861A (zh) | 基于区块链的分布式可扩展访问控制授权系统和方法 | |
| US20160134612A1 (en) | User Authentication | |
| Zhang | Cloud Trust‐Driven Hierarchical Sharing Method of Internet of Things Information Resources | |
| Scherb et al. | Execution plans for serverless computing in information centric networking | |
| CN107736003B (zh) | 用于保护域名安全的方法和设备 | |
| US20220385596A1 (en) | Protecting integration between resources of different services using service-generated dependency tags | |
| CN116170166A (zh) | 一种基于智能合约的可拓展高效属性访问控制机制 | |
| CN116318931A (zh) | 一种基于跨域访问控制的属性映射方法及系统 | |
| Khaydaraliev et al. | Blockchain-enabled access control with fog nodes for independent IoTs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |