CN116455645A - 一种用于网络靶场数据的细粒度隔离防护方法及系统 - Google Patents
一种用于网络靶场数据的细粒度隔离防护方法及系统 Download PDFInfo
- Publication number
- CN116455645A CN116455645A CN202310444583.6A CN202310444583A CN116455645A CN 116455645 A CN116455645 A CN 116455645A CN 202310444583 A CN202310444583 A CN 202310444583A CN 116455645 A CN116455645 A CN 116455645A
- Authority
- CN
- China
- Prior art keywords
- data
- access
- request
- user
- credential
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000002955 isolation Methods 0.000 title claims abstract description 28
- 238000012795 verification Methods 0.000 claims abstract description 25
- 238000013475 authorization Methods 0.000 claims abstract description 15
- 230000000977 initiatory effect Effects 0.000 claims abstract description 7
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract 1
- 238000012360 testing method Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 10
- 238000007726 management method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000005553 drilling Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及安全技术领域,提供了一种用于网络靶场数据的细粒度隔离防护方法及系统,其主旨在能够实现靶场中对敏感数据的访问权限的精细化管控。主要方案包括凭证生成阶段。数据拥有者将数据的元数据、可授权访问次数值、访问时间限制发送存储在区块链中;数据用户在区块链中检索数据的元数据并向区块链发送访问请求,区块链生成访问凭证并返回给数据用户。用户访问阶段。当用户需要访问数据时,用户首先确认授权密钥,然后计算用于访问的请求密钥QK并发起访问请求。权限验证阶段。当区块链系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
Description
技术领域
本发明涉及网络靶场技术领域,特别涉及一种用于网络靶场数据的细粒度隔离防护方法及系统。
背景技术
在军工企业,面临的网络安全风险较大,需要在网络对抗演练中主动发现安全漏洞、测试验证新技术和新产品、培养网络安全人才等,为达到“以攻促防”的目的网络靶场应运而生。目前,主流的的网络靶场是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品。
然而,在这些可以被称为网络靶场的产品中,也存在很大的差异:支持规模的量级差异、模拟环境的复杂程度、各行业应用场景的不同、网络靶场对现实的复现程度(即仿真程度)等等。网络靶场作为支撑网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估的重要基础设施,成为新兴网络安全战略、专业人才队伍建设的重要支撑手段。
正因为靶场是网络安全技术演练、模拟、仿真、孪生的平台,需要对靶场的计算资源、试验数据等反复利用,但是其中一些敏感数据,比如安全漏洞需要严格保护,如果泄漏出去会造成严重的危害。又比如同时有多个试验进行时,必须要保障试验间相互独立,互不干扰,防止一个试验的数据被意外被另外一个试验的参与者访问。因此,如何对网络靶场中各类敏感数据的进行隔离防护,是当前一个技术难点。
目前的网络靶场方案中,一般采用网络隔离的方式方法来实现对数据的分离管控,常见的方式是在网络第二层,即数据链路层实现隔离,通过在交换机上划分VLAN、监听ARP包、组播或广播包,实现了在数据链路层网络帧的转发控制。现有技术具体实现方式如下图3所示:
1、网络靶场根据演练需求对资源进行虚拟化,如图示例,有两个演练场景A和B;
2、靶场根据设置虚拟了场景A环境,以及虚拟机A-1、A-2和虚拟交换机A,将虚拟交换A与物理交换机中的一个VLAN相连,并将场景A需要的试验数据从靶场的数据池中复制到场景A的虚拟环境中,即数据1、数据2;
3、靶场根据设置虚拟了场景B中虚拟了虚拟机B-1、B-2和虚拟交换机B,将虚拟交换B与物理交换机中的另一个VLAN相连,并将场景B需要的试验数据从靶场的数据池中复制到场景B的虚拟环境中,即数据2、数据3;
4、场景A中的用户因为无法跨VLAN访问场景B,即场景A用户无法访问场景B中的试验数据,从而实现了对场景A和场景B中数据的隔离。
这种方案有一定的局限性:扩展性差,VLAN技术最多支持4096多个VLAN,无法适用于上万台虚拟节点的靶场场景;最重要的是,管控粒度不够细,无法感知到靶场内数据具体被访问情况,如上面所述,靶场将试验数据复制给演练场景后,用户在场景中对数据如何使用是无法管控的,另外数据的复制也造成了额外的存储开销。
总的来说,目前的网络靶场只支持场景级的数据隔离方式,并且对场景内数据的具体使用情况无法管控。而在网络攻防演练中,对数据的使用情况,特别是如漏洞等敏感数据的使用情况不仅关系到对演练效果的评估结果,还关系到漏洞被意外使用导致的严重安全问题。
发明内容
发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种用于网络靶场数据的细粒度隔离防护方法及系统,能够实现网络靶场中关键重要数据(如靶标、漏洞等敏感数据)的防护与细粒度管控。
为实现上述技术目的本发明采用以下技术手段:
本发明提供了一种用于网络靶场数据的细粒度隔离防护方法及系统,能够实现靶场中对敏感数据(如漏洞等靶标数据)的访问权限的精细化管控。
一种用于网络靶场数据的细粒度隔离防护方法,包括以下步骤:
步骤1:凭证生成阶段。数据拥有者将靶标数据的元数据(包括数据的哈希值(hash)、数据的存储位置等)、可授权访问次数值(n)、访问时间限制(t)发送存储在本发明系统中;数据用户在本发明系统的区块链中检索数据的元数据并向本发明系统发送访问请求,本发明系统生成访问凭证并返回给数据用户。
步骤2:用户访问阶段。当用户需要访问靶标数据时,用户首先确认自己拥有数据的授权密钥,然后计算用于访问的请求密钥(QK)并发起对本发明系统的访问请求。
步骤3:权限验证阶段。当本发明系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
上述步骤1具体包括以下步骤:
步骤1.1:数据用户向本发明系统发送访问请求Req={TAGi,IDd},其中TAGi是元数据中包含的靶标数据唯一标识符(即,数据的哈希值),IDd是数据用户的标识;
步骤1.2:本发明系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制;
步骤1.3:本发明系统选择两个随机数x0、x1,然后通过哈希链生成算法生成哈希链;
步骤1.4:本发明系统将Vkey=(x0,x1,n,t)作为请求访问的凭证发送给用户,数据用户收到凭证Vkey后,用户需要妥善保管(相当于私钥)并记录自己访问靶标数据的次数,例如(Vkey,i)即(x0,x1,n,t,i),其中i表示已经访问了i次;
步骤1.5:本发明系统将V=(xn,xn+1,t)作为授权的凭证发送给访问控制智能合约(Access control contract,ACC),ACC将收到的凭证存储在凭证列表中Vtable=[V1,V2,…,Vi](i∈Z),该表以Vi=(v1,v2,t)的形式存储不同用户的授权凭证,用于验证访问权限。
上述步骤2具体包括以下步骤:
步骤2.1:根据靶标数据的Vkey=(x0,x1,n,t,i),数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i;
步骤2.2:数据用户根据i计算访问请求密钥(QK),然后得到QK=xn-i,使用与上述步骤1.3中相同的哈希链生成算法;
步骤2.3:数据用户向本发明系统发送QK以请求靶标数据访问权限验证。
上述步骤3具体包括以下步骤:
步骤3.1:当ACC接收到QK后开始遍历凭证列表Vtable;
步骤3.2:ACC会检查Vtable中是否存在满足v2=H(QK+v1)的(v1,v2,t),其中H是一个安全哈希函数,例如SHA1算法;
步骤3.3:ACC会检查当前时间t′是否满足t′<=t;
步骤3.4:如果步骤3.2和步骤3.3都满足,则通过访问验证,ACC将凭证(v1,v2,t)中的v2替换为v1,将v1替换为QK,即新凭证更新为(QK,V1,t),ACC将输出通过请求的结果,否则输出拒绝请求的结果。
本发明还提供了一种用于网络靶场数据安全防护的可配置限制的访问控制系统,包括以下模块:
凭证生成阶段模块:数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中;数据用户在区块链中检索数据的元数据并向区块链发送访问请求,区块链生成访问凭证并返回给数据用户;
用户访问阶段模块:当用户需要访问靶标数据时,用户首先确认自己拥有数据的授权密钥,然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求;
权限验证阶段模块:当区块链系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
上述凭证生成阶段模块的实现包括以下步骤:
步骤1.1:数据用户向区块链系统发送访问请求Req={TAGi,IDd},其中TAGi是元数据中包含的数据唯一标识符(即,数据的哈希值),IDd是数据用户的标识;
步骤1.2:区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制;
步骤1.3:区块链系统选择两个随机数x0、x1,然后通过哈希链生成算法生成哈希链;
步骤1.4:区块链系统将Vkey=(x0,x1,n,t)作为请求访问的凭证发送给用户,数据用户收到凭证Vkey后,用户需要妥善保管并记录自己访问数据的次数,如(Vkey,i)即(x0,x1,n,t,i),其中i表示已经访问了i次;
步骤1.5:区块链系统将V=(xn,xn+1,t)作为授权的凭证发送给访问控制智能合约ACC,ACC将收到的凭证存储在凭证列表中Vtable=[V1,V2,…,Vi](i∈Z),该表以Vi=(v1,v2,t)的形式存储不同用户的授权凭证,用于验证访问权限。
上述技术方案中,用户访问阶段模块的实现具体包括以下步骤:
步骤2.1:根据数据的凭证Vkey=(x0,x1,n,t,i),数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i;
步骤2.2:数据用户根据i计算访问请求密钥QK,然后得到QK=xn-i,使用与上述步骤1.3中相同的哈希链生成算法;
步骤2.3:数据用户向区块链系统发送QK以请求数据访问权限验证。
上述技术方案中,权限验证阶段模块的实现具体包括以下步骤:
步骤3.1:当ACC接收到QK后开始遍历凭证列表Vtable;
步骤3.2:ACC会检查Vtable中是否存在满足v2=H(QK+v1)的(v1,v2,t),其中H是一个安全哈希函数,如SHA1算法;
步骤3.3:ACC会检查当前时间t′是否满足t′<=t;
步骤3.4:如果步骤3.2和步骤3.3都满足,则通过访问验证,ACC将凭证(v1,v2,t)中的v2替换为v1,将v1替换为QK,即新凭证更新为(QK,v1,t),ACC将输出通过请求的结果,否则输出拒绝请求的结果。
因为本发明采用上述技术手段,因此具备以下有益效果:
1.数据的细粒度访问控制(对数据用户的访问权限的精细化授权),原因:通过智能合约技术和哈希链实现。
智能合约:是部署在区块链系统上的一种自动化执行程序,具有自动化、强制性的特点,提前将参数(访问次数n、截止日期t等)和函数功能写入智能合约再部署到区块链上,通过调用合约来“启动”执行,从而到达了防止恶意攻击者篡改执行内容。
哈希链:(h1,h2,h3,…,hn,hn+1,…),其中hi是一个由哈希函数生成的哈希值,而从h3开始后面的哈希值都由前两个哈希值产生,如h3=Hash(h1+h2),从而形成了一个哈希链,哈希算法的一个特点是不可逆向计算,即通过h1和h2可以计算出h3,但无法根据h3计算出h1+h2。从而攻击者无法推导出访问请求key(即,前面提到QK)
2.可信审计,原因:本发明系统基于区块链实现,智能合约部署在区块链上,可保证每次数据用户的访问记录都被区块链记录,区块链的防篡改和可追溯性特点保证了记录的可信性,可用于后续的审计和取证。
3.本发明提出的方法及系统结合了区块链系统、智能合约技术和哈希链,实现了面向网络靶场数据的细粒度隔离防护方法,该方法及系统对于网络靶场能够提升靶场中数据的安全保护能力,实现网络靶场中对敏感数据的精细化管控,该方法相较于已有的网络靶场数据隔离防护方法,具有以下优点:
3.1、对应步骤1的技术方案,实现了离线一对多数据访问控制,数据拥有者不需要一直在线,可以通过将数据托管给本系统,系统可以完成对不同数据用户的自动授权、访问权限验证等。
3.2、可以对数据的具体使用次数、使用期限做限制,并且每次使用都有记录,可用于审计。
3.3、相较于现有方案中对场景级的数据隔离,本发明能够实现对单个数据文件(如一个靶标/漏洞数据包)的数据隔离。
3.4不再对数据进行复制,数据用户每次对数据使用都是对原始数据的调用,降低了整个网络靶场的存储开销。
附图说明
图1为本发明的一种用于网络靶场数据的细粒度隔离防护系统的组成示意图
图2访问控制机制的具体执行方式图;为本发明的一种用于网络靶场数据的细粒度隔离防护方法的执行方式图
图3为一种常见的网络靶场数据隔离方法的实现方式示意图
图4为本发明的网络靶场数据的细粒度隔离防护方法的实现方式示意图
具体实施方式
以下将对本发明的实施例给出详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明,但需要注意的是本发明并不仅仅只局限于这些实施方式。相反,对本发明进行的修改或者等同替换,均应涵盖在本发明的权利要求范围当中。
另外,为了更好的说明本发明,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员将理解,没有这些具体细节,本发明同样可以实施。
本发明提供了一种用于网络靶场数据的细粒度隔离防护方法及系统,能够实现靶场中对敏感数据(如漏洞等靶标数据)的访问权限的精细化管控。
一种用于网络靶场数据的细粒度隔离防护方法及系统,通过区块链系统、哈希链和智能合约实现对网络靶场中靶标数据细粒度地访问控制。明确地说,我们的方法可以限制靶场用户在特定时间范围内访问靶标数据的总次数。例如,假设对用户的授权访问次数为n,则用户在截止时间之前最多可以访问n次靶标数据。
当网络靶场建立试验场景后,会向数据池请求所需的靶标数据,数据拥有者(或靶场管理员)根据请求将所需的靶标数据发布到本发明系统上,本发明系统接收到靶标数据后,将执行如下方法(即本发明的方法)实现对靶标数据的细粒度管控,方法具体包括凭证生成阶段、用户访问阶段和权限验证阶段三个阶段:
步骤1:凭证生成阶段。数据拥有者将靶标数据的元数据(包括数据的哈希值(hash)、数据的存储位置等)、可授权访问次数值(n)、访问时间限制(t)发送存储在本发明系统中;数据用户在本发明系统的区块链中检索数据的元数据并向本发明系统发送访问请求,本发明系统生成访问凭证并返回给数据用户。
步骤2:用户访问阶段。当用户需要访问靶标数据时,用户首先确认自己拥有数据的授权密钥,然后计算用于访问的请求密钥(QK)并发起对本发明系统的访问请求。
步骤3:权限验证阶段。当本发明系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
上述步骤1具体包括以下步骤:
步骤1.1:数据用户向本发明系统发送访问请求Req={TAGi,IDd},其中TAGi是元数据中包含的靶标数据唯一标识符(即,数据的哈希值),IDd是数据用户的标识;
步骤1.2:本发明系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制;
步骤1.3:本发明系统选择两个随机数x0、x1,然后通过哈希链生成算法生成哈希链;
步骤1.4:本发明系统将Vkey=(x0,x1,n,t)作为请求访问的凭证发送给用户,数据用户收到凭证Vkey后,用户需要妥善保管(相当于私钥)并记录自己访问靶标数据的次数,例如(Vkey,i)即(x0,x1,n,t,i),其中i表示已经访问了i次;
步骤1.5:本发明系统将V=(xn,xn+1,t)作为授权的凭证发送给访问控制智能合约(Access control contract,ACC),ACC将收到的凭证存储在凭证列表中Vtable=[V1,V2,…,Vi](i∈Z),该表以Vi=(v1,v2,t)的形式存储不同用户的授权凭证,用于验证访问权限。
上述步骤2具体包括以下步骤:
步骤2.1:根据靶标数据的Vkey=(x0,x1,n,t,i),数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i;
步骤2.2:数据用户根据i计算访问请求密钥(QK),然后得到QK=xn-i,使用与上述步骤1.3中相同的哈希链生成算法;
步骤2.3:数据用户向本发明系统发送QK以请求靶标数据访问权限验证。
上述步骤3具体包括以下步骤:
步骤3.1:当ACC接收到QK后开始遍历凭证列表Vtable;
步骤3.2:ACC会检查Vtable中是否存在满足v2=H(QK+v1)的(v1,v2,t),其中H是一个安全哈希函数,例如SHA1算法;
步骤3.3:ACC会检查当前时间t′是否满足t′<=t;
步骤3.4:如果步骤3.2和步骤3.3都满足,则通过访问验证,ACC将凭证(v1,v2,t)中的v2替换为v1,将v1替换为QK,即新凭证更新为(QK,v1,t),ACC将输出通过请求的结果,否则输出拒绝请求的结果。
本发明还提供了一种用于网络靶场数据安全防护的可配置限制的访问控制系统,包括以下模块:
凭证生成阶段模块:数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中;数据用户在区块链中检索数据的元数据并向区块链发送访问请求,区块链生成访问凭证并返回给数据用户;
用户访问阶段模块:当用户需要访问靶标数据时,用户首先确认自己拥有数据的授权密钥,然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求;
权限验证阶段模块:当区块链系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
上述凭证生成阶段模块的实现包括以下步骤:
步骤1.1:数据用户向区块链系统发送访问请求Req={TAGi,IDd},其中TAGi是元数据中包含的数据唯一标识符(即,数据的哈希值),IDd是数据用户的标识;
步骤1.2:区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制;
步骤1.3:区块链系统选择两个随机数x0、x1,然后通过哈希链生成算法生成哈希链;
步骤1.4:区块链系统将Vkey=(x0,x1,n,t)作为请求访问的凭证发送给用户,数据用户收到凭证Vkey后,用户需要妥善保管并记录自己访问数据的次数,如(Vkey,i)即(x0,x1,n,t,i),其中i表示已经访问了i次;
步骤1.5:区块链系统将V=(xn,xn+1,t)作为授权的凭证发送给访问控制智能合约ACC,ACC将收到的凭证存储在凭证列表中Vtable=[V1,V2,…,Vi](i∈Z),该表以Vi=(v1,v2,t)的形式存储不同用户的授权凭证,用于验证访问权限。
上述技术方案中,用户访问阶段模块的实现具体包括以下步骤:
步骤2.1:根据数据的凭证Vkey=(x0,x1,n,t,i),数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i;
步骤2.2:数据用户根据i计算访问请求密钥QK,然后得到QK=xn-i,使用与上述步骤1.3中相同的哈希链生成算法;
步骤2.3:数据用户向区块链系统发送QK以请求数据访问权限验证。
上述技术方案中,权限验证阶段模块的实现具体包括以下步骤:
步骤3.1:当ACC接收到QK后开始遍历凭证列表Vtable;
步骤3.2:ACC会检查Vtable中是否存在满足v2=H(QK+v1)的(v1,v2,t),其中H是一个安全哈希函数,如SHA1算法;
步骤3.3:ACC会检查当前时间t′是否满足t′<=t;
步骤3.4:如果步骤3.2和步骤3.3都满足,则通过访问验证,ACC将凭证(v1,v2,t)中的v2替换为v1,将v1替换为QK,即新凭证更新为(QK,v1,t),ACC将输出通过请求的结果,否则输出拒绝请求的结果。
实施例:如图2显示了本发明的访问控制机制的具体执行方式。在图中,访问最大次数n设置为3,数据用户持有Vkey,即(x0,x1,3,t,0),而V=(x3,x4,t)已经存储在ACC智能合约中,其中t是截止日期;第一次访问时,数据用户发送QK=x2,ACC将使用QK和V来验证数据用户是否具有访问权限(具体方法如步骤3所述),如果数据用户通过验证,ACC将更新V;第二次访问时,数据用户需要通过发送QK=x1来通过验证,也就是说,X2只能使用一次。如此这样,数据用户总共可以通过3次验证;最后一次(第三次)访问时,数据用户向智能合约发送x0以通过验证。由于数据用户无法生成另一个QK来满足第步骤3中的验证条件,因此数据用户无法再通过验证。
本技术提案有如下特点:结合采用的手段,逐条进行优点说明
本申请提案的关键点和欲保护点
我们提出的方法及系统结合了区块链系统、智能合约技术和哈希链,实现了可配置限制条件的数据细粒度访问控制方法,该方法使数据拥有者能够托管其数据,并实现离线的一对多数据访问控制。同时,由于区块链的防篡改和可追溯特性,该方法还确保了数据的访问记录的不可否认性。
这种方法能够提升网络靶场中数据的安全保护能力,实现网络靶场中对敏感数据的访问权限的精细化管控。目前未检索到面向靶场中的数据细粒度访问控制方法。
Claims (8)
1.一种用于网络靶场数据的细粒度隔离防护方法,其特征在于,包括以下步骤:
步骤1:凭证生成阶段,数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中;数据用户在区块链中检索数据的元数据并向区块链发送访问请求,区块链生成访问凭证并返回给数据用户;
步骤2:用户访问阶段。当用户需要访问靶标数据时,用户首先确认自己拥有数据的授权密钥,然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求;
步骤3:权限验证阶段,当区块链系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
2.根据权利要求1所述的一种用于网络靶场数据的细粒度隔离防护方法,其特征在于,上述步骤1具体包括以下步骤:
步骤1.1:数据用户向区块链系统发送访问请求Req={TAGi,IDd},其中TAGi是元数据中包含的数据唯一标识符(即,数据的哈希值),IDd是数据用户的标识;
步骤1.2:区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制;
步骤1.3:区块链系统选择两个随机数x0、x1,然后通过哈希链生成算法生成哈希链;
步骤1.4:区块链系统将Vkey=(x0,x1,n,t)作为请求访问的凭证发送给用户,数据用户收到凭证Vkey后,用户需要妥善保管并记录自己访问数据的次数,如(Vkey,i)即(x0,x1,n,t,i),其中i表示已经访问了i次;
步骤1.5:区块链系统将V=(xn,xn+1,t)作为授权的凭证发送给访问控制智能合约ACC,ACC将收到的凭证存储在凭证列表中Vtable=[V1,V2,…,Vi](i∈Z),该表以Vi=(v1,v2,t)的形式存储不同用户的授权凭证,用于验证访问权限。
3.根据权利要求1所述的一种用于网络靶场数据的细粒度隔离防护方法,其特征在于,上述步骤2具体包括以下步骤:
步骤2.1:根据数据的凭证Vkey=(x0,x1,n,t,i),数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i;
步骤2.2:数据用户根据i计算访问请求密钥QK,然后得到QK=xn-i,使用与上述步骤1.3中相同的哈希链生成算法;
步骤2.3:数据用户向区块链系统发送QK以请求数据访问权限验证。
4.根据权利要求1所述的一种用于网络靶场数据的细粒度隔离防护方法,其特征在于,上述步骤3具体包括以下步骤:
步骤3.1:当ACC接收到QK后开始遍历凭证列表Vtable;
步骤3.2:ACC会检查Vtable中是否存在满足v2=H(QK+V1)的(v1,v2,t),其中H是一个安全哈希函数,如SHA1算法;
步骤3.3:ACC会检查当前时间t′是否满足t′<=t;
步骤3.4:如果步骤3.2和步骤3.3都满足,则通过访问验证,ACC将凭证(v1,v2,t)中的v2替换为v1,将v1替换为QK,即新凭证更新为(QK,v1,t),ACC将输出通过请求的结果,否则输出拒绝请求的结果。
5.一种用于网络靶场数据的细粒度隔离防护系统,其特征在于,包括以下模块:
凭证生成阶段模块:数据拥有者将靶标数据的元数据、可授权访问次数值n、访问时间限制t发送存储在区块链中;数据用户在区块链中检索数据的元数据并向区块链发送访问请求,区块链生成访问凭证并返回给数据用户;
用户访问阶段模块:当用户需要访问靶标数据时,用户首先确认自己拥有数据的授权密钥,然后计算用于访问的请求密钥QK并发起对区块链系统的访问请求;
权限验证阶段模块:当区块链系统收到访问权限验证请求时,会调用ACC对接收到的QK进行权限验证,确认发起请求的数据用户是否具有访问权限,ACC输出通过请求或拒绝请求的结果。
6.根据权利要求5所述的一种用于网络靶场数据的细粒度隔离防护系统,其特征在于,上述凭证生成阶段模块的实现包括以下步骤:
步骤1.1:数据用户向区块链系统发送访问请求Req={TAGi,IDd},其中TAGi是元数据中包含的数据唯一标识符(即,数据的哈希值),IDd是数据用户的标识;
步骤1.2:区系统将根据数据拥有者设置的可授权访问次数值n(n∈Z)、访问时间限制t来确定授权的访问限制;
步骤1.3:区块链系统选择两个随机数x0、x1,然后通过哈希链生成算法生成哈希链;
步骤1.4:区块链系统将Vkey=(x0,x1,n,t)作为请求访问的凭证发送给用户,数据用户收到凭证Vkey后,用户需要妥善保管并记录自己访问数据的次数,如(Vkey,i)即(x0,x1,n,t,i),其中i表示已经访问了i次;
步骤1.5:区块链系统将V=(xn,xn+1,t)作为授权的凭证发送给访问控制智能合约ACC,ACC将收到的凭证存储在凭证列表中Vtable=[V1,V2,…,Vi](i∈Z),该表以Vi=(v1,v2,t)的形式存储不同用户的授权凭证,用于验证访问权限。
7.根据权利要求5所述的一种用于网络靶场数据的细粒度隔离防护系统,其特征在于,用户访问阶段模块的实现具体包括以下步骤:
步骤2.1:根据数据的凭证Vkey=(x0,x1,n,t,i),数据用户能够确认自己在截止时间t之前剩余的访问权限次数n-i;
步骤2.2:数据用户根据i计算访问请求密钥QK,然后得到QK=xn-i,使用与上述步骤1.3中相同的哈希链生成算法;
步骤2.3:数据用户向区块链系统发送QK以请求数据访问权限验证。
8.根据权利要求5所述的一种用于网络靶场数据的细粒度隔离防护系统,其特征在于,权限验证阶段模块的实现具体包括以下步骤:
步骤3.1:当ACC接收到QK后开始遍历凭证列表Vtable;
步骤3.2:ACC会检查Vtable中是否存在满足v2=H(QK+v1)的(v1,v2,t),其中H是一个安全哈希函数,如SHA1算法;
步骤3.3:ACC会检查当前时间t′是否满足t′<=t;
步骤3.4:如果步骤3.2和步骤3.3都满足,则通过访问验证,ACC将凭证(v1,v2,t)中的v2替换为v1,将v1替换为QK,即新凭证更新为(QK,v1,t),ACC将输出通过请求的结果,否则输出拒绝请求的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310444583.6A CN116455645B (zh) | 2023-04-24 | 2023-04-24 | 一种用于网络靶场数据的细粒度隔离防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310444583.6A CN116455645B (zh) | 2023-04-24 | 2023-04-24 | 一种用于网络靶场数据的细粒度隔离防护方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116455645A true CN116455645A (zh) | 2023-07-18 |
CN116455645B CN116455645B (zh) | 2024-02-02 |
Family
ID=87121774
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310444583.6A Active CN116455645B (zh) | 2023-04-24 | 2023-04-24 | 一种用于网络靶场数据的细粒度隔离防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116455645B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102025837B1 (ko) * | 2018-11-15 | 2019-09-26 | 주식회사 트라이앵글랩 | 블록체인 네트워크 및 이를 활용한 스마트컨트랙트가 적용된 출입통제 시스템 |
CN111814201A (zh) * | 2020-07-17 | 2020-10-23 | 中国工商银行股份有限公司 | 网络靶机数据记录方法、装置、系统和电子设备 |
CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
CN115277168A (zh) * | 2022-07-25 | 2022-11-01 | 绿盟科技集团股份有限公司 | 一种访问服务器的方法以及装置、系统 |
US20230087557A1 (en) * | 2021-06-10 | 2023-03-23 | Huazhong University Of Science And Technology | System for privacy protection during iot secure data sharing and method thereof |
CN115987592A (zh) * | 2022-12-15 | 2023-04-18 | 山东省计算中心(国家超级计算济南中心) | 基于区块链的移动医疗物联网细粒度访问控制方法及系统 |
-
2023
- 2023-04-24 CN CN202310444583.6A patent/CN116455645B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102025837B1 (ko) * | 2018-11-15 | 2019-09-26 | 주식회사 트라이앵글랩 | 블록체인 네트워크 및 이를 활용한 스마트컨트랙트가 적용된 출입통제 시스템 |
CN111814201A (zh) * | 2020-07-17 | 2020-10-23 | 中国工商银行股份有限公司 | 网络靶机数据记录方法、装置、系统和电子设备 |
CN112565453A (zh) * | 2020-12-22 | 2021-03-26 | 内蒙古大学 | 一种物联网下的区块链访问控制策略模型及策略保护方案 |
US20230087557A1 (en) * | 2021-06-10 | 2023-03-23 | Huazhong University Of Science And Technology | System for privacy protection during iot secure data sharing and method thereof |
CN115277168A (zh) * | 2022-07-25 | 2022-11-01 | 绿盟科技集团股份有限公司 | 一种访问服务器的方法以及装置、系统 |
CN115987592A (zh) * | 2022-12-15 | 2023-04-18 | 山东省计算中心(国家超级计算济南中心) | 基于区块链的移动医疗物联网细粒度访问控制方法及系统 |
Non-Patent Citations (3)
Title |
---|
TENG HU等: "Tracking the insider attacker:A Blockchain Traceability System for Insider Threats", SENEORS(BASEL) * |
李利等: "当前网络空间安全技术发展现状及思考", 信息技术与网络安全 * |
胡腾等: "基于区块链的DApp数据与行为分析", 计算机科学 * |
Also Published As
Publication number | Publication date |
---|---|
CN116455645B (zh) | 2024-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131145B (zh) | 一种隐匿通信关键节点的管理查询系统及方法 | |
CN109246137A (zh) | 基于区块链的海上作战数据的安全防护方法及装置 | |
Rawat et al. | iShare: Blockchain-based privacy-aware multi-agent information sharing games for cybersecurity | |
CN114139203B (zh) | 基于区块链的异构身份联盟风险评估系统、方法及终端 | |
US11924332B2 (en) | Cryptographic systems and methods using distributed ledgers | |
JP2008005156A (ja) | 情報処理端末および状態通知方法 | |
Wang et al. | Perm-guard: Authenticating the validity of flow rules in software defined networking | |
Hao et al. | A blockchain-based cross-domain and autonomous access control scheme for internet of things | |
CN112019481A (zh) | 基于有向无环图架构的区块链设备管理和数据传输系统 | |
CN111464503A (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
Yao et al. | A trust management framework for software‐defined network applications | |
He et al. | ROAchain: Securing route origin authorization with blockchain for inter-domain routing | |
Ulybyshev et al. | (WIP) blockhub: Blockchain-based software development system for untrusted environments | |
Franchi et al. | Information and password attacks on social networks: An argument for cryptography | |
Xu et al. | Trustworthy and transparent third-party authority | |
CN109818923A (zh) | 一种基于属性密文重加密的属性基云服务访问控制方法 | |
CN117040896A (zh) | 一种物联网管理方法及物联网管理平台 | |
Wang et al. | Achieving fine-grained and flexible access control on blockchain-based data sharing for the Internet of Things | |
CN115296916A (zh) | 一种基于决策树模型的零信任安全系统 | |
CN116455645B (zh) | 一种用于网络靶场数据的细粒度隔离防护方法及系统 | |
CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
Xu et al. | Blockchain-based transparency framework for privacy preserving third-party services | |
CN111600871A (zh) | 一种防止攻击方法及装置 | |
Jena et al. | A Pragmatic Analysis of Security Concerns in Cloud, Fog, and Edge Environment | |
Debes et al. | Blindtrust: Oblivious remote attestation for secure service function chains |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |