CN116318865A - 一种数据跨域访问控制方法及系统 - Google Patents

一种数据跨域访问控制方法及系统 Download PDF

Info

Publication number
CN116318865A
CN116318865A CN202310114153.8A CN202310114153A CN116318865A CN 116318865 A CN116318865 A CN 116318865A CN 202310114153 A CN202310114153 A CN 202310114153A CN 116318865 A CN116318865 A CN 116318865A
Authority
CN
China
Prior art keywords
domain
cross
data
information
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310114153.8A
Other languages
English (en)
Inventor
殷丽华
李超
许皓珊
孙哲
田志宏
王滨
王星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202310114153.8A priority Critical patent/CN116318865A/zh
Publication of CN116318865A publication Critical patent/CN116318865A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种数据跨域访问控制方法及系统,涉及工业互联网,跨域访问控制,数据保护,特别是基于工业互联网的数据跨域访问控制方法。利用机器学习技术与基于属性加密的访问控制思想,设计了规则映射机制和跨域加密机制,实现了适合大规模动态工业互联网环境下的数据跨域的访问控制。提出跨域注册认证方案为跨域请求过程进行合法性认证,提出了规则映射方案利用NLP技术进行跨域的规则映射,为数据跨域提供安全基础,提出了跨域加密方案优化CP‑ABE实现多权限可溯源的跨域数据加解密。

Description

一种数据跨域访问控制方法及系统
技术领域
本发明属于工业互联网,尤其涉及一种数据跨域访问控制方法及系统。
背景技术
近年来,伴随着信息技术的不断发展,各个行业数据资源的综合利用加速向信息化、智能化的方向转变。信息通信技术与工业经济深度融合成就了工业互联网的发展,工业互联网通过对人、机、物、系统等的全面连接,覆盖全产业链,加速制造业发展和提高服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径。工业互联网中需要加强各企业间的合作,实现系统互联的信息共享,提高信息化服务效率。目前工业互联网中的不同产业受到不同域的管辖。例如,在一条产业链中包括设计企业,制造企业、金融机构、物流企业等企业,为了安全管理,这些企业有各自的管理域,在各自的域中实施安全约束、管理数据资源。这些独立的管理域保障了工业互联网产业链中企业间通信交互的安全性。
尽管各自的管理域能够实现单域内数据资源的安全性,却无法实现跨域信息交互和数据共享的安全性。无法保证数据跨域共享的安全性是难以实现工业互联网的全面信息共享,产业链协同合作的主要原因之一。由于往往属于不同的管理域,将企业间的数据共享会导致原有单域安全约束的失效。企业间的数据共享面临来自跨域授权的挑战,主要由于可实施于工业互联网的数据跨域访问控制机制的缺失。
跨域访问控制是工业互联网中实现数据跨域共享的主要方式。由于不同管理域内安全策略的异构性,通用的授权管理难以被获得。通过制定有效的访问控制策略,对数据使用者的访问行为进行约束,实现对不同域敏感资源访问的管控。跨域访问控制是依据当前互联网需求的对基于单域访问控制的拓展,解决跨域管理异构性、动态性和大规模的问题,保护跨域数据资源的安全性。然而,由于缺少合适的跨域访问控制方法,数据跨域共享在现实世界的实现受到制约。
目前,提出了一些面向跨域访问控制的方法。尽管适合于工业互联网场景下的访问控制机制已被广泛研究,依然有所欠缺。现有方法主要分为以下三种:第一种是基于信任机制的跨域访问控制方法,这类方法通常计算数据使用者的信任度,进而评估授予访问权限问题。第二种是基于委托机制的跨域访问控制方法,主要是通过将访问能力进行委托的方法,依据授权令牌实现对数据资源的保护。第三种是基于映射机制的跨域访问控制方法,它通常与基于属性的访问控制(ABAC)模型和基于角色的访问控制(RBAC)模型相结合来进行控制。ABAC是一个使用属性与权限之间的连接建立的访问控制模型。RBAC主要使用跨域角色映射进行跨域授权,使配置和管理更容易、更方便。这类方法主要通过对角色和属性的映射,以拓展单域的访问控制模型来保护跨域数据的安全性。
但现有技术存在如下不足:
(1)现有基于信任机制的跨域访问控制方法存在诸多限制。最主要的限制之一是信任度量问题,在不同域之间选取具有代表性且通用的信任度量并保持动态评估是困难的,信任评估的可靠性决定访问控制机制的有效性,如果难以保证信任评估可靠性就无法保证跨域数据共享的安全性。由于数据跨域访问存在异构性和动态性的问题,传统的信任评估存在安全性风险,从而在数据跨域访问中存在敏感数据泄漏的风险。
(2)现有基于委托机制的跨域访问控制方法受到性能的限制。在大规模数据跨域共享的环境下这类方法中委托能力的更新和撤销增大计算量,对跨域系统的性能影响大,并导致令牌的传递过程延迟增高。在大规模的数据跨域访问下这类方法中委托能力的取证分析困难,影响数据共享的安全性。这种方法不能实现工业互联网大规模动态性场景下的数据跨域访问控制需求。
(3)现有基于映射机制的跨域访问控制方法中存在诸多问题。通过映射机制解决跨域数据访问控制异构问题,存在跨域访问过程效率低和敏感数据泄漏的问题,无法保障跨域数据的安全性。其中映射机制主要包括角色映射和属性映射。通过角色映射实现数据跨域的访问控制方法存在角色映射粗粒度引发数据泄漏问题,存在角色映射不灵活和跨域角色冲突的问题;通过属性映射实现数据跨域访问控制方法存在两个问题,第一是属性映射机制复杂,对不同域间的所有属性一对一映射较复杂。现有的属性映射库技术不适合大规模的跨域数据共享,多个域之间进行大量跨域访问的场景下,就存在多个映射库以及大量的映射表,这种技术处理大规模的映射需求时,增加跨域过程性能消耗的同时增加工作量并降低映射效率。第二是数据的跨域访问控制仅使用传统的密码学加解密方式或者使用基础的属性加密方式,不仅存在密钥管理复杂的问题,还无法进行追踪溯源,无法保障跨域数据的机密性和完整性。
发明内容
本发明的目的在于提供一种数据跨域访问控制方法及系统,通过新的数据跨域访问控制模型,实现了高效率的跨域规则映射机制和数据加密机制。为了达到上述目的,在本发明提供了一种数据跨域访问控制方法,所述方法包括:
S1、首先进行跨域数据共享的所有域在跨域中心进行信息注册;
S2、依据跨域证书检测参与数据跨域共享的所有域是否合法,并依据域管理者提供的信息验证数据拥有者和数据使用者的合法性,每一次认证需要域管理者和跨域中心的数字签名;
S3、跨域中心依据注册域提供的信息,提取出每个域的所有属性信息,并用向量表示不同域的不同属性,绑定属性值空间的相关性,进行模型构建;
S4、跨域数据中心从跨域证书中提取出跨域访问请求相关信息,跨域请求相关信息包括数据使用者身份信息以及访问资源的相关属性信息;
S5、跨域中心对跨域请求进行规则映射,将数据使用者所在域和数据拥有者所在域的属性以及属性值空间进行映射,生成新的跨域访问请求信息,并将该新信息发送给数据使用者;
S6、数据拥有者和数据使用者进行跨域协商,此时数据使用者需要携带跨域中心发的凭证;
S7、数据拥有者对资源设计访问控制树,对资源进行基于多权限可追溯的属性及逆行加密;
S8、数据使用者依据跨域中心计算的新跨域请求得出属性密钥集,运用属性密钥解密跨域的数据资源。
进一步地,步骤S1中所述信息包括域相关信息,拥有的属性信息,密钥信息和跨域数据共享的有效期。
进一步地,步骤S2中所述依据域管理者提供的信息验证数据拥有者和数据使用者的合法性:若合法,则允许处理下一步的跨域请求,并且将数据使用者和数据拥有者信息添加至跨域可信列表中;若不合法,则告知数据使用者相关问题信息,并拒绝为其进行跨域服务;
所述跨域中心接收到已注册过的域信息,则优先在跨域可信列表查找,若存在则直接为其提供跨域服务,若不存在则进行合法性认证。
进一步地,步骤S6中数据拥有者和数据使用者进行跨域协商的信息包括协商密钥算法;所述凭证用于验证身份真实性。
进一步地,步骤S8所述数据资源的资源端用跟踪算法用于判断是否为一个合法的解密过程,所述数据资源的审计方法用于判断是否为恶意用户,所述数据资源的跨域路径用于实现追踪溯源。
在本发明的第二方面提供了一种数据跨域访问控制系统,所述系统包括跨域初始化模块、规则映射模块和跨域加密模块;
所述跨域初始化模块用于认证跨域的数据拥有者和数据使用者身份和确保数据跨域共享各方的合法性;
所述则映射模块用于对各域内的属性名和属性值空间的映射;
所述跨域加密模块用于对多权限可溯源的数据加密。
进一步地,所述跨域初始化模块包括信息注册单元和认证检测单元;
所述信息注册单元用于进行跨域数据共享的所有域在跨域中心进行信息注册;
所述认证检测单元用于检测参与数据跨域共享的所有域是否合法,并利用跨域证书检测数据拥有者和数据使用者的合法性,每一次认证需要跨域节点的数字签名。
进一步地,所述规则映射模块包括模型构建单元、学习单元和存储单元;
所述模型构建单元用于依据注册域提供的信息,提取出每个域的属性信息,对其进行分类标记,对属性类型分为静态属性和动态属性,并对属性依据不同的域和不同类型使用向量表示;
所述学习单元用于使用自然语言处理技术映射数据使用者和数据拥有者的属性,所述跨域中心提取出数据使用者跨域访问请求的属性信息,通过自然语言处理技术提取属性特征,利用机器学习训练属性模型,映射成数据拥有者的属性;
所述存储模块用于利用存储机制将跨域中映射成功的属性名和属性值空间进行映射表存储,并运用稀疏矩阵存储技术,生成新的跨域访问请求信息,并将该新信息发送给数据使用者。
进一步地,所述跨域加密模块包括多属性权限单元和追踪溯源单元;
所述多属性权限单元用于实现细粒度和分布式的访问控制机制,运用多属性权限加密技术,生成基于多权限的属性密钥串。各组织的属性管理在不同的服务器上,运用多属性权限加密技术,生成基于多权限的属性密钥串。多属性权限CP-ABE的算法设置、AAKeyGen、CAKeyGen、加密和解密是关键组成部分。加密和解密的定义与基础CP-ABE的定义相同,只是访问策略和密钥中的属性来自不同的属性服务器(AAs)。
多属性权限加密方案:
1)Setup(1λ)→({pkk,skk}1≤k≤K,PK,MK)
初始设置算法,由CA运行。输入1λ后,算法返回(pkk,skk)作为AAK的公密钥对,它还输出PK和MK,其中PK是公开发布的,MK是由CA秘密维护。
2)AAKeyGen(PK,skk,GID,L(k))→skL(k)
属性密钥生成算法,由AAs运行。在输入PK后,AAk的密钥skk,一个用户的全局身份GID,和由属性服务器AAk管理的属性列表L(k),算法输出与L(k)对应的密钥SKL(k)。如果用户GID的属性列表是L={L(k)}k∈I,则SKL={SKL(k)}k∈I作为属性密钥,其中,I表示AAs的索引集,其中的属性域包括用户的属性。
3)CAKeyGen(PK,MK,GID)→SKc
中心密钥生成算法,它将由CA进行运行。在输入PK、MK和GID后,算法输出SKC作为用户GID的中央密钥。
在分布式的CP-ABE中,AAs的公钥对和秘密密钥对自己生成,不再需要中央密钥生成算法。该算法的生成属性密钥与上述启用CA的多权限CP-ABE相同。
所述追踪溯源单元实现细粒度和问责制的访问控制机制。该方法跟踪数据使用者的密钥滥用行为,防止合法用户的属性集被恶意用户持有。跨域路径主要记录跨域请求的过程。它记录域管理者和跨域中心进行请求合法性验证,资源端访问控制策略后生成的请求路径,成为域管理者进行跨域请求验证和跨域追踪溯源的重要信息,域管理者可通过跨域路径以及追踪密钥对跨域请求行为进行取证分析。对于追踪溯源方案中的算法设置、加密和解密的定义与基本的CP-ABE的定义相同。
追踪溯源方案:
1)KeyGen(PK,MK,ID,L)→SKID,L
AA运行此算法来生成属性密钥。算法输入PK、MK、身份ID、L后,返回SKID、L作为ID、L对应的密钥。
2)Trace(PK,SKID,L)→ID|τ
跟踪算法可以由任何服务器运行。输入PK和属性密钥SKID、L后,算法首先检查SKID、L是否正确。如果SKID、L是正确的意味着它可以用于一个正确的解密过程,算法输出ID,表示SKID、L链接到ID。否则,它输出T,表示SKID、L无效,则不需要追踪它。如果涉及到主密钥,该算法相应地定义问责制。
3)Judge(·)→guilty|innocent
这是具有身份ID的用户和审计员间的交互式协议。当系统根据追踪键SK ID,L识别出该用户为恶意用户时,该用户输入(PK、SKID,L)和审计员输入(PK、SK ID,L),并判断用户是否为恶意。
进一步地,所述跨域证书包括:数据拥有者IDo、数据使用者IDu、访问操作、跨域路径、请求有效期、相关上下文信息、所在域相关信息和域管理者的数字签名。跨域路径是跨域请求的路径,其中包括数据拥有者、数据使用者以及访问请求经过的节点信息,包含着整个跨域请求经过的轨迹。请求有效期中记录了该跨域路径的有效期,用于跨域管理和资源端对跨域请求安全性的判断。相关上下文信息用于保存跨域访问请求中的上下文信息或标记该请求是否可以被响应,可以用于资源端的访问控制决策。签名是域管理者对认证信息的电子签名,代表该访问请求已被该域管理者接收并初步验证合法性。域管理者即单个域的管理点,主要是确认跨域请求的合法性验证,其功能可以由平台或服务器完成。作为跨域管理参与者,域管理者需要接受认证并与跨域中心进行交互,同时也是跨域过程的可信中心之一。域管理者可以通过数字签名初步验证跨域请求的合法性,并且支持对域的全局访问控制策略。所有的跨域访问必须由域管理者记录,保障跨域数据访问的真实性。
本发明的有益技术效果至少在于以下几点:
(1)保证数据跨域共享的安全性,保障工业互联大规模动态性的需求
现有的数据跨域访问存在安全性风险,信任机制的动态评估、委派机制的委托权限、映射机制的角色/属性映射都面临一定的安全问题。本发明提出了完整的数据跨域访问控制方案,其中利用机器学习提高跨域规则映射的效率,利用优化的属性加密方法实现多权限可追溯的跨域加密方案,确保数据跨域访问的安全性,满足工业互联网环境的大规模动态性的跨域需求。
(2)解决跨域访问管理异构的问题,提高跨域规则映射效率和映射精确度
跨域访问控制首先需要解决不同域访问授权规则异构的问题,现有基于标准库的映射方法来解决异构性问题,但该方法不适合动态大规模的映射场景。本发明利用NLP技术通过对跨域属性信息的特征提取和模型训练实现跨域规则映射机制。该方法是数据跨域的核心,它解决了数据跨域管理的异构性问题和规则映射复杂的问题,同时提高大规模的跨域场景中跨域规则映射的效率,减小映射的延迟时间,降低对跨域系统的性能消耗,并通过对属性名和属性值空间细粒度的映射保障精确的跨域映射,实现了高效率的数据跨域访问控制。
(3)保障跨域资源的机密性和完整性,利于实现细粒度问责制的访问控制
现有的传统属性加密方法无法实现细粒度问责和追踪溯源的功能,在跨域数据共享中无法进行跨域访问的安全性分析,会造成严重的安全问题。本发明针对分布式环境设计多权限可溯源的属性加密方法,利用跟踪密钥算法、审计方法和跨域路径记录实现跟踪跨域访问行为和检测恶意用户功能,并实现溯源取证功能,有利于恶意行为发生后的嫌疑确认和追责。保证跨域访问数据资源的机密性和完整性。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1为本发明一种数据跨域访问控制方法流程示意图。
图2为本发明一种数据跨域访问控制系统框架图。
图3为本发明实施例多权限可溯源的数据加解密方法示意图。
图4为本发明实施例一种数据跨域访问控制方法的具体实施例示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
具体实施方式一:如图1所示,本发明提供了本发明的一种数据跨域访问控制方法,能够实现单域和跨域的访问控制,单域访问控制方法无需进行规则映射流程,跨域的访问控制具体步骤如下:
S1、首先进行跨域数据共享的所有域在跨域中心进行信息注册,信息包括域相关信息,拥有的属性信息,密钥信息,以及跨域数据共享的有效期等。
S2、依据跨域证书检测参与数据跨域共享的所有域是否合法,并依据域管理者提供的信息验证数据拥有者和数据使用者的合法性,每一次认证需要域管理者和跨域中心的数字签名。如果是合法,则允许处理下一步的跨域请求,并且将数据使用者和数据拥有者信息添加至跨域可信列表中。如果不合法,则告知数据使用者相关问题信息,并拒绝为其进行跨域服务。跨域中心接收到已注册过的域信息,则优先在跨域可信列表查找,如果存在则直接为其提供跨域服务,如果不存在则进行合法性认证。
S3、跨域中心依据注册域提供的信息,提取出每个域的所有属性信息,并用向量表示不同域的不同属性,绑定属性值空间的相关性,进行模型构建;
S4、跨域数据中心从跨域证书中提取出跨域访问请求相关信息,跨域请求相关信息包括数据使用者身份信息以及访问资源的相关属性信息。
S5、跨域中心对跨域请求进行规则映射,将数据使用者所在域和数据拥有者所在域的属性以及属性值空间进行映射。生成新的跨域访问请求信息,并将该新信息发送给数据使用者;
S6、数据拥有者和数据使用者进行跨域协商(协商密钥算法等信息),此时数据使用者需要携带跨域中心发的凭证(验证身份真实性);
S7、数据拥有者对资源设计访问控制树,对资源进行基于多权限可追溯的属性加密;
S8、数据使用者依据跨域中心计算的新跨域请求得出属性密钥集,运用属性密钥解密跨域的数据资源。资源端用跟踪算法来判断是否为一个合法的解密过程,用审计方法判断是否为恶意用户,用跨域路径实现追踪溯源。
基于上述方法,如图2所示,本发明还提供了一种数据跨域访问控制系统。根据图2所示,该系统包括:跨域初始化模块、规则映射模块和跨域加密模块。
其中,1)跨域初始化模块负责认证跨域的数据拥有者和数据使用者身份,确保数据跨域共享各方的合法性等。2)规则映射模块负责对各域内的属性名和属性值空间的映射,该模块是跨域访问控制的基础,也是跨域访问的核心。3)跨域加密模块负责多权限可溯源的数据加密,该模块是跨域访问控制的功能组件,是数据保护的核心。
跨域初始化模块包括信息注册模块和认证检测模块。
1)信息注册单元:数据拥有者和数据使用者所在域向跨域中心注册跨域相关信息(域相关信息,拥有的属性信息(加密)等),对进行跨域数据共享的所有域进行登记注册,实现跨域的第一道安全性检测。
2)认证检测单元:检测参与数据跨域共享的所有域是否合法,并利用跨域证书检测数据拥有者和数据使用者的合法性,每一次认证需要跨域节点的数字签名,以认证节点和操作的真实性。
跨域证书被定义为:数据拥有者IDo、数据使用者IDu、访问操作、跨域路径、请求有效期、相关上下文信息、所在域相关信息、域管理者的数字签名。
跨域路径是跨域请求的路径,其中包括数据拥有者、数据使用者以及访问请求经过的节点信息,包含着整个跨域请求经过的轨迹。请求有效期中记录了该跨域路径的有效期,用于跨域管理和资源端对跨域请求安全性的判断。相关上下文信息用于保存跨域访问请求中的上下文信息或标记该请求是否可以被响应,可以用于资源端的访问控制决策。签名是域管理者对认证信息的电子签名,代表该访问请求已被该域管理者接收并初步验证合法性。域管理者即单个域的管理点,主要是确认跨域请求的合法性验证,其功能可以由平台或服务器完成。作为跨域管理参与者,域管理者需要接受认证并与跨域中心进行交互,同时也是跨域过程的可信中心之一。域管理者可以通过数字签名初步验证跨域请求的合法性,并且支持对域的全局访问控制策略。所有的跨域访问必须由域管理者记录,保障跨域数据访问的真实性。
规则映射模块包括模型构建单元、模型单元和存储单元。
1)模型单元:依据注册域提供的信息,提取出每个域的属性信息,对其进行分类标记,对属性类型分为静态属性和动态属性,并对属性依据不同的域和不同类型使用向量表示;
2)学习单元:使用自然语言处理技术(NLP)映射数据使用者和数据拥有者的属性。跨域中心提取出数据使用者跨域访问请求的属性信息,通过NLP技术提取属性特征,利用机器学习训练属性模型,映射成数据拥有者的属性;
3)存储单元:利用存储机制将跨域中映射成功的属性名和属性值空间进行映射表存储,并运用稀疏矩阵存储技术(映射矩阵是稀疏矩阵),下次有相同跨域请求时利用存储的映射信息进行直接映射。
跨域加密模块如图3所示负责多权限可溯源的数据加密,包括多属性权限单元和追踪溯源单元。
1)多属性权限单元:实现细粒度和分布式的访问控制机制。各组织的属性管理在不同的服务器上,运用多属性权限加密技术,生成基于多权限的属性密钥串。多属性权限CP-ABE的算法设置、AAKeyGen、CAKeyGen、加密和解密是关键组成部分。加密和解密的定义与基础CP-ABE的定义相同,只是访问策略和密钥中的属性来自不同的属性服务器(AAs)。多属性权限加密方案:
1、Setup(1λ)→({pkk,skk}1≤k≤K,PK,MK)
初始设置算法,由CA运行。输入1λ后,算法返回(pkk,skk)作为AAK的公密钥对,它还输出PK和MK,其中PK是公开发布的,MK是由CA秘密维护。
2、
Figure SMS_1
属性密钥生成算法,由AAs运行。在输入PK后,AAk的密钥skk,一个用户的全局身份GID,和由属性服务器AAk管理的属性列表L(k),算法输出与L(k)对应的密钥SKL(k)。如果用户GID的属性列表是L={L(k)}k∈I,则SKL={SKL(k)}k∈I作为属性密钥,其中,I表示AAs的索引集,其中的属性域包括用户的属性。
3、CAKeyGen(PK,MK,GID)→SKc
中心密钥生成算法,它将由CA进行运行。在输入PK、MK和GID后,算法输出SKC作为用户GID的中央密钥。
在分布式的CP-ABE中,AAs的公钥对和秘密密钥对自己生成,不再需要中央密钥生成算法。该算法的生成属性密钥与上述启用CA的多权限CP-ABE相同。
2)追踪溯源单元:实现细粒度和问责制的访问控制机制。该方法跟踪数据使用者的密钥滥用行为,防止合法用户的属性集被恶意用户持有。跨域路径主要记录跨域请求的过程。它记录域管理者和跨域中心进行请求合法性验证,资源端访问控制策略后生成的请求路径,成为域管理者进行跨域请求验证和跨域追踪溯源的重要信息,域管理者可通过跨域路径以及追踪密钥对跨域请求行为进行取证分析。对于追踪溯源方案中的算法设置、加密和解密的定义与基本的CP-ABE的定义相同。追踪溯源方案:
1、KeyGen(PK,MK,ID,L)→SKID,L
AA运行此算法来生成属性密钥。算法输入PK、MK、身份ID、L后,返回SKID、L作为ID、L对应的密钥。
2、Trace(PK,SKID,L)→ID|τ
跟踪算法可以由任何服务器运行。输入PK和属性密钥SKID、L后,算法首先检查SKID、L是否正确。如果SKID、L是正确的意味着它可以用于一个正确的解密过程,算法输出ID,表示SKID、L链接到ID。否则,它输出T,表示SKID、L无效,则不需要追踪它。如果涉及到主密钥,该算法相应地定义问责制。
3、Judge(·)→guilty|innocent
这是具有身份ID的用户和审计员间的交互式协议。当系统根据追踪键SK ID,L识别出该用户为恶意用户时,该用户输入(PK、SKID,L)和审计员输入(PK、SK ID,L),并判断用户是否为恶意。
具体实施方式二:
如图4所示,是一种数据跨域委派访问控制方法的具体实施例,为一个双域访问控制系统,供应商和设备制造商在两个不同的管理域内,这两个企业间进行协同合作的过程,需要进行相关数据的共享,比如供应商品的数量和库存等信息,设备制造商的需求和产量等信息,这些信息都属于敏感数据,如果泄漏会造成严重的数据安全问题和经济损失。本方法保障供应商和设备制造商两个组织间数据跨域访问的最小权限原则,实现跨域数据共享的安全性。并且,如果有产业链需要多个组织数据共享合作的情况下,也能够保障多个企业间高效的数据跨域访问控制。
供应商和设备制造商间数据跨域访问控制的具体流程如下:
1)供应商和设备制造商的域管理者在跨域中心进行跨域的相关信息注册,包括各自的域管理者相关信息,各自拥有的属性信息,密钥信息以及跨域访问的有效期。
2)依据供应商和制造商提供的跨域证书检测这两个域的合法性,并依据各自的域管理者提供的信息验证供应商用户(数据拥有者)和制造商用户(数据使用者)的合法性。如果合法,将参与跨域的用户信息添加到跨域可信列表中,并进行下一步的跨域服务。
跨域证书包含:供应商IDo、制造商用户IDu、访问操作、跨域路径、请求有效期、相关上下文信息、域相关信息、域管理者的数字签名。
3)跨域中心依据注册域提供的信息,提取出每个域的供应商和制造商的所有属性信息。属性信息用{属性名称:属性值空间}的格式表示。并用向量表示供应商和制造商的不同属性,并绑定相关属性值空间,用词向量进行特征提取。
供应商属性信息有{姓名:全名},{性别:男/女},{年龄:18-100},{职位:员工/经理/高级经理/总经理/董事长等},{工作角色:安全经理/接待员/技术员/会计等},{组:技术组/项目组/产品组等},{等级:1/2/3/4},{电子邮件:邮件地址};设备制造商属性信息有{姓名:全名},{性别:男性/女性},{年龄:18-80},{标题:员工、经理、董事、CEO、COO、总裁、副总裁等},{角色:技术员/系统分析师/安全管理员/系统管理员/秘书/会计/产品经理等},{部门:技术部/安全部门/产品部门等},{安全级别:P1/P2/P3/P5},{电子邮件:邮件地址};
4)跨域中心从跨域证书中提取出设备制造商用户(数据使用者)的跨域访问请求相关信息,跨域请求相关信息包括:{制造商用户ID:Alice;角色:产品经理;部门:产品部门;安全级别:P5等}
5)跨域中心对制造商用户的跨域请求进行规则映射,将其与供应商的相关属性名称和属性值空间放到模型进行映射。生成新的跨域访问请求信息,并将新信息发送给制造商用户。
6)制造商用户需要携带跨域中心发的凭证,与供应商用户进行跨域协商(协商密钥算发等信息)。
7)供应商用户对资源设计如图的访问控制树,并对资源进行多权限可追溯的属性加密。在分布式环境下有不同的属性服务器,因此可以有多个AAs。该访问控制树代表安全级别为P5的产品经理才能够访问某个资源。
8)制造商用户依据跨域中心计算的新跨域请求计算出属性密钥(制造商用户的属性信息满足供应商设计的访问控制树),运用属性密钥解密跨域的数据资源。供应商用跟踪算法来判断是否为一个合法的解密过程,用审计方法判断是否为恶意用户,利用跨域中心提供的跨域路径实现追踪溯源(该实例的跨域路径为制造商用户->跨域中心->供应商用户)。
综上所述,本发明利用机器学习技术与基于属性加密的访问控制思想,设计了规则映射机制和跨域加密机制,实现了适合大规模动态工业互联网环境下的数据跨域的访问控制。本发明提出了跨域注册认证方案为跨域请求过程进行合法性认证,提出了规则映射方案利用NLP技术进行跨域的规则映射,为数据跨域提供安全基础,提出了跨域加密方案优化CP-ABE实现多权限可溯源的跨域数据加解密。本发明技术关键点如下:
数据跨域访问控制系统的设计。本发明设计的数据跨域访问控制系统,利用机器学习技术和优化的属性加密技术,保障了大规模动态环境下数据跨域访问的安全性。
跨域认证机制。本发明设计跨域认证机制保障了跨域的合法性,该机制用跨域中心验证跨域数据共享参与者的合法性,构建跨域属性信息,生成跨域路径,为跨域数据共享做安全防护。
跨域规则映射机制。本发明提出的跨域规则映射机制利用NLP技术提取属性信息特征并训练属性模型,实现了高效率的跨域属性信息映射,解决数据跨域管理的异构性问题,降低跨域映射的性能影响,提高跨域映射的可靠性。
多权限可追溯跨域加密方案。本发明提出的多权限可追溯跨域加密方案实现了数据跨域过程的机密性和完整性。该方案优化了传统的CP-ABE方案,提出跟踪密钥算法和跨域审计方法,并利用跨域路径,实现了针对分布式环境的属性进行多属性权限的加密功能,同时实现了对跨域数据访问的追踪溯源。
尽管已经示出和描述了本发明的实施例,本领域技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变形,本发明的范围由权利要求及其等同物限定。

Claims (10)

1.一种数据跨域访问控制方法,其特征在于,所述方法包括:
S1、首先进行跨域数据共享的所有域在跨域中心进行信息注册;
S2、依据跨域证书检测参与数据跨域共享的所有域是否合法,并依据域管理者提供的信息验证数据拥有者和数据使用者的合法性,每一次认证需要域管理者和跨域中心的数字签名;
S3、跨域中心依据注册域提供的信息,提取出每个域的所有属性信息,并用向量表示不同域的不同属性,绑定属性值空间的相关性,进行模型构建;
S4、跨域数据中心从跨域证书中提取出跨域访问请求相关信息,跨域请求相关信息包括数据使用者身份信息以及访问资源的相关属性信息;
S5、跨域中心对跨域请求进行规则映射,将数据使用者所在域和数据拥有者所在域的属性以及属性值空间进行映射,生成新的跨域访问请求信息,并将该新信息发送给数据使用者;
S6、数据拥有者和数据使用者进行跨域协商,此时数据使用者需要携带跨域中心发的凭证;
S7、数据拥有者对资源设计访问控制树,对资源进行基于多权限可追溯的属性及逆行加密;
S8、数据使用者依据跨域中心计算的新跨域请求得出属性密钥集,运用属性密钥解密跨域的数据资源。
2.根据权利要求1所述的一种数据跨域访问控制方法,其特征在于,步骤S1中所述信息包括域相关信息,拥有的属性信息,密钥信息和跨域数据共享的有效期。
3.根据权利要求1所述的一种数据跨域访问控制方法,其特征在于,步骤S2中所述依据域管理者提供的信息验证数据拥有者和数据使用者的合法性:若合法,则允许处理下一步的跨域请求,并且将数据使用者和数据拥有者信息添加至跨域可信列表中;若不合法,则告知数据使用者相关问题信息,并拒绝为其进行跨域服务;
所述跨域中心接收到已注册过的域信息,则优先在跨域可信列表查找,若存在则直接为其提供跨域服务,若不存在则进行合法性认证。
4.根据权利要求1所述的一种数据跨域访问控制方法,其特征在于,步骤S6中数据拥有者和数据使用者进行跨域协商的信息包括协商密钥算法;所述凭证用于验证身份真实性。
5.根据权利要求1所述的一种数据跨域访问控制方法,其特征在于,步骤S8所述数据资源的资源端用跟踪算法用于判断是否为一个合法的解密过程,所述数据资源的审计方法用于判断是否为恶意用户,所述数据资源的跨域路径用于实现追踪溯源。
6.一种数据跨域访问控制系统,其特征在于,所述系统包括跨域初始化模块、规则映射模块和跨域加密模块;
所述跨域初始化模块用于认证跨域的数据拥有者和数据使用者身份和确保数据跨域共享各方的合法性;
所述则映射模块用于对各域内的属性名和属性值空间的映射;
所述跨域加密模块用于对多权限可溯源的数据加密。
7.根据权利要求6所述的一种数据跨域访问控制系统,其特征在于,所述跨域初始化模块包括信息注册单元和认证检测单元;
所述信息注册单元用于进行跨域数据共享的所有域在跨域中心进行信息注册;
所述认证检测单元用于检测参与数据跨域共享的所有域是否合法,并利用跨域证书检测数据拥有者和数据使用者的合法性,每一次认证需要跨域节点的数字签名。
8.根据权利要求6所述的一种数据跨域访问控制系统,其特征在于,所述规则映射模块包括模型构建单元、学习单元和存储单元;
所述模型构建单元用于依据注册域提供的信息,提取出每个域的属性信息,对其进行分类标记,对属性类型分为静态属性和动态属性,并对属性依据不同的域和不同类型使用向量表示;
所述学习单元用于使用自然语言处理技术映射数据使用者和数据拥有者的属性,所述跨域中心提取出数据使用者跨域访问请求的属性信息,通过自然语言处理技术提取属性特征,利用机器学习训练属性模型,映射成数据拥有者的属性;
所述存储模块用于利用存储机制将跨域中映射成功的属性名和属性值空间进行映射表存储,并运用稀疏矩阵存储技术,生成新的跨域访问请求信息,并将该新信息发送给数据使用者。
9.根据权利要求6所述的一种数据跨域访问控制系统,其特征在于,所述跨域加密模块包括多属性权限单元和追踪溯源单元;
所述多属性权限单元用于实现细粒度和分布式的访问控制机制,运用多属性权限加密技术,生成基于多权限的属性密钥串;
所述追踪溯源单元用于实现细粒度和问责制的访问控制机制,记录域管理者和跨域中心进行请求合法性验证,资源端访问控制策略后生成的请求路径,成为域管理者进行跨域请求验证和跨域追踪溯源的重要信息,域管理者可通过跨域路径以及追踪密钥对跨域请求行为进行取证分析。
10.根据权利要求7所述的所述的一种数据跨域访问控制系统,其特征在于,所述跨域证书包括:数据拥有者IDo、数据使用者IDu、访问操作、跨域路径、请求有效期、相关上下文信息、所在域相关信息和域管理者的数字签名。
CN202310114153.8A 2023-02-13 2023-02-13 一种数据跨域访问控制方法及系统 Pending CN116318865A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310114153.8A CN116318865A (zh) 2023-02-13 2023-02-13 一种数据跨域访问控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310114153.8A CN116318865A (zh) 2023-02-13 2023-02-13 一种数据跨域访问控制方法及系统

Publications (1)

Publication Number Publication Date
CN116318865A true CN116318865A (zh) 2023-06-23

Family

ID=86835112

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310114153.8A Pending CN116318865A (zh) 2023-02-13 2023-02-13 一种数据跨域访问控制方法及系统

Country Status (1)

Country Link
CN (1) CN116318865A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294465A (zh) * 2023-08-11 2023-12-26 广州大学 一种基于跨域通信的属性加密系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294465A (zh) * 2023-08-11 2023-12-26 广州大学 一种基于跨域通信的属性加密系统及方法
CN117294465B (zh) * 2023-08-11 2024-06-07 广州大学 一种基于跨域通信的属性加密系统及方法

Similar Documents

Publication Publication Date Title
Bhushan et al. Untangling blockchain technology: A survey on state of the art, security threats, privacy services, applications and future research directions
Lu The blockchain: State-of-the-art and research challenges
Yu et al. Blockchain-based solutions to security and privacy issues in the internet of things
Zhao et al. Blockchain enabled industrial Internet of Things technology
Salman et al. Security services using blockchains: A state of the art survey
Mishra et al. Privacy protected blockchain based architecture and implementation for sharing of students’ credentials
Gao et al. CoC: A unified distributed ledger based supply chain management system
Li et al. A decentralized and secure blockchain platform for open fair data trading
Deebak et al. A robust and distributed architecture for 5G-enabled networks in the smart blockchain era
Bose et al. BLIC: A blockchain protocol for manufacturing and supply chain management of ICS
Feng et al. Blockchain Data Privacy Protection and Sharing Scheme Based on Zero‐Knowledge Proof
Ouyang et al. Artificial identification: a novel privacy framework for federated learning based on blockchain
Yeasmin et al. Unblocking the potential of blockchain
Yang et al. Application of blockchain in internet of things
CN115277122A (zh) 基于区块链的跨境数据流动与监管系统
Rashid et al. RC-AAM: blockchain-enabled decentralized role-centric authentication and access management for distributed organizations
Saleem et al. ProofChain: An X. 509-compatible blockchain-based PKI framework with decentralized trust
Mahmood et al. Blockchain technology and internet of things: review, challenge and security concern
ElGayyar et al. Blockchain-based federated identity and auditing
CN116318865A (zh) 一种数据跨域访问控制方法及系统
Gao et al. BFR‐SE: A Blockchain‐Based Fair and Reliable Searchable Encryption Scheme for IoT with Fine‐Grained Access Control in Cloud Environment
Xue et al. Design of a Blockchain‐Based Traceability System with a Privacy‐Preserving Scheme of Zero‐Knowledge Proof
Qiu et al. Traceability anti-counterfeiting system based on the ownership of edge computing on the blockchain
Grüner et al. Analyzing and comparing the security of self-sovereign identity management systems through threat modeling
CN117196618A (zh) 一种基于区块链的分布式交易用户跨域认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination