没有合适的资源?快使用搜索试试~ 我知道了~
基于区块链的可溯源访问控制机制.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 158 浏览量
2022-05-30
13:23:07
上传
评论
收藏 198KB DOCX 举报
温馨提示
试读
16页
基于区块链的可溯源访问控制机制.docx
资源推荐
资源详情
资源评论
1 引言
随着云计算、物联网、大数据等信息技术的发展,分布在不同域的各种不
同系统、设备之间频繁地互联互通,相互之间数据的访问和流转成为一种趋势 。
在数据访问和流转中,数据的安全性和隐私性成为制约信息技术发展的瓶颈。
访问控制技术为合法的主体在特定的访问环境下授予一定的访问权限,成为保
障数据安全和隐私的主要手段。
现有的基于角色的访问控制机制( RBAC, role based access control )基
于 主 体 的 角 色 进 行 访 问 授 权, 基 于 属 性 的访 问 控 制 机 制 ( ABAC, attribute
based access control)基于主体属性、客体属性和环境属性进行访问授权。传
统的访问控制机制大多通过集中授权点进行访问授权,存在单点失效导致整个
控制系统失效以及性能瓶颈等问题,还存在访问过程不可追踪和溯源等缺点。
如何实现访问控制过程的无中心、透明性、可溯源成为访问控制机制急需解决
的问题。
区块链技术允许建立一个分布式、透明的、不可篡改的账本,因此受到越
来越多的关注。自 2008 年被引入加密货币
[1]
以来,区块链技术被广泛应用于物
联网、云计算、大数据等场景
[2,3 ,4,5 ]
。Maesa 等
[6]
将区块链技术引入访问控制中,
通过区块链实现访问控制策略的存储和检索,而访问控制策略的评估通过传统
的访问控制系统实现。文献[7]将基于属性的访问控制策略转化成智能合约(SC,
smart con-tract)并部署在区块链上,通过智能合约实现访问控制策略的评估
和属性管理。上述文献对于如何实现数据访问的可追踪和溯源没有给出很好的
解决方案,同时存在一次授权多次访问的问题。
针对上述问题,本文利用区块链无中心、透明性和不可篡改等优点,以基
于属性的访问控制机制为基础,提出了基于区块链的可溯源访问控制机制。该
机制采用链上和链下相结合的方式,将客体资源存储在链下的数据服务器中,
基于客体存储地址和摘要值生成客体索引存储在区块链上;将访问控制策略以
智能合约的方式部署在客体区块链上,通过执行区块链上的智能合约实现访问
控制过程的透明性,并将访问授权日志和访问日志记录在日志区块链上,在保
障客体隐私性的前提下,实现访问过程无中心、透明性和可溯源。
本文主要贡献如下。
1) 提出了基于区块链的可溯源访问控制机制,把访问控制策略以智能合约
的形式部署在区块链上,访问控制执行和评估通过执行区块链上分布式的智能
合约实现,实现了访问授权的无中心和透明性,有效防止了策略执行点和策略
决策点非法授权或者拒绝访问请求等问题,同时避免了集中授权造成的性能瓶
颈。
2) 为保护客体资源的隐私性,采用链上和链下相结合的方式,客体资源采
用链下的方式存储在数据服务器,基于客体存储地址及摘要值生成的客体索引
存储在客体区块链上,提高了客体资源的安全性和隐私性。
3) 向授权访问主体分发访问凭据,并把访问凭据不可修改地记录在区块链
上。主体在对客体访问时,通过区块链对主体访问凭据的有效性进行验证,实
现细粒度的访问控制,有效避免了一次授权多次访问的问题。
4) 将区块链分为客体区块链和日志区块链,其中日志区块链详细记录了访
问授权日志和客体访问日志,实现访问授权过程的可追踪和可溯源。
2 相关工作
区块链由于无中心、透明性、不可篡改等优点,被广泛应用在物联网、云
计算、大数据等不同场景
[2-5 ]
,用来实现数据的安全性和隐私性。访问控制是保
证数据安全的一种有效手段,传统的访问控制采用中心授权,存在单点失效以
及性能瓶颈等问题,同时传统访问控制存在访问过程不透明、不可追踪和溯源
等缺点,已有不少文献将区块链技术应用到访问控制中。 Maesa 等
[6]
利用区块链
技术实现访问控制,通过比特币协议实现访问控制策略的存储和检索,而访问
控制策略的评估通过传统的访问控制系统实现。智能合约是部署在区块链上的
计算机程序,当满足必要条件时,以无中心的方式自动执行某些功能。最近不
少方案采用区块链和智能合约实现访问控制。文献[8]对文献[6]的方案进行改进,
通过智能合约实现访问控制的主要功能。为提高访问控制策略评估的可审计性,
文献[7]将基于属性的访问控制策略转化成智能合约并部署在区块链上,通过智
能合约实现访问控制策略的评估和属性管理。针对大数据资源的特点以及集中
式访问控制机制存在的问题,刘敖迪等
[9]
以 ABAC 模型为基础,提出一种基于区
块链的大数据访问控制机制,该机制采用基于智能合约的访问控制方法实现对
大数据资源透明、动态、自动化的访问控制。针对物联网中的特点,杜瑞忠等
[10]
提出一种基于层级区块链的物联网分布式体系架构,该架构以 ABAC 模型为基
础,采用智能合约的方式实现对物联网设备基于属性的域内和跨域的动态、自
动化访问控制。
数据安全保护是安全领域的一个研究热点。 2018 年 5 月,通用数据保护条
例(GDPR, general data protection regulation )在所有的欧洲国家强制执行,
通过委托授权服务提供者实现对个人数据的控制,并通过第三方监管机构验证
服务提供者是否严格遵守 GDPR。如何验证服务提供者是否严格遵守 GDPR 是
数据保护机制面临的挑战。针对上述问题, Truong 等
[11]
基于区块链和智能合约
的优点,提出个人数据管理平台,利用区块链和智能合约实现数据授权的透明
性,验证服务提供者是否遵守 GDPR,任何违反规则的行为都将被记录,通过
给每个参与者颁发公私钥对进行身份管理,并采用非对称加密算法保护参与者
身份和敏感信息。在策略部署和访问授权方面通过数字签名算法对相关信息进
行验证,随着管理数据量的增加,该算法在密钥管理和访问控制效率等方面都
面临巨大挑战。Wu 等
[12]
提出了采用公共区块链提供策略遵守的证据,并通过粘
性策略的方式实现对跨域访问中策略遵守的监管。针对区块链数据的隐私性问
题,Zyskind 等
[13]
结合区块链和链下的数据存储实现个人数据管理,但该方案仅
考虑对用户数据的读操作,没有考虑其他访问操作。Kosba 等
[14]
提出一种去中
心化的智能合约系统 Hawk,该系统以密文形式在区块链上存储交易,实现交易
的隐私性。Hawk 能以直观的方式编写智能合约,编译器使用零知识证明等加密
原语,自动生成有效的加密协议,使合同方与区块链进行交互。为提高智慧城
市中数据的可用性、完整性和隐私性, Makhdoom 等
[15]
提出了基于区块链的隐
私保护和数据共享方案 PrivySharing,该方案将区块链网络分成不同的通道,
不同通道的数据相互隔离,每个通道包含有限个授权组织处理特定类型的数据。
PrivySharing 通过在智能合约中嵌入访问控制规则实现对数据的访问控制。针
对数据跨域共享存在的安全问题,Rahman
[16]
等提出了跨域的数据共享平台,并
将数据共享平台部署在一个全局的云服务器中。当有跨域访问请求时,云服务
器通过域内安全网关收集存储在本地的数据,并通过区块链记录数据转移。全
局的云服务器通过区块链来检验完全网关的错误行为,但该方案通过一个全局
云服务中心实现数据共享,存在单点失效造成的安全问题和性能问题。王秀利
等
[17]
提出了一种应用区块链的数据访问控制与共享模型,利用属性基加密对数据
进行访问控制与共享,达到细粒度访问控制和安全共享的目的。针对云存储电
子病历(EMR, electronic medical record)共享的问题,牛淑芬等
[18]
提出了一
种区块链上基于可搜索加密的 EMR 数据共享方案。该方案采用私有链和联盟链
实现 EMR 的安全存储与共享,利用可搜索加密技术实现对联盟链上关键字的安
全搜索,利用代理重加密技术实现 EMR 的共享。Neisse 等
[19]
利用部署在区块链
上的公开审计合同提高数据访问、使用的透明度,实现记账能力和溯源追踪。
但是,上述文献对如何利用区块链和智能合约实现访问控制无中心、透明
性、可追踪和溯源都没有给出完整的、详细的解决方案。
3 基于属性的访问控制机制及其面临的挑战
本节以基于属性的访问控制为例,介绍复杂网络环境下集中授权的访问控
制机制及其面临的挑战。
3.1 基于属性的访问控制
基于属性的访问控制主要包括 3 个阶段,主要步骤如图 1 所示。
第一阶段为客体上传阶段,所有者将生成的客体上传到数据服务器,主要
步骤如下。
Step1 数据所有者(DO, data owner),以下简称所有者,将生成的客体
(O, object)上传到数据服务器(DS, data service)。
Step2 所有者针对客体生成对应的访问控制策略(P, policy)上传到策略
管理点(PAP, policy administration point)。
第二阶段为访问授权阶段,访问控制系统对主体提出的访问请求进行授权
判断,主要步骤如下。
Step3 主体(S, subject)生成访问请求(AR, access request)发送给策
略执行点(PEP, policy enforcement point)。
Step4 策略执行点针对主体的访问请求生成访问决策请求( ADR, access
decision request)发送给策略决策点(PDP, policy decision point)。
Step5 策略 决 策 点 针对 访问 决 策 请 求生 成策 略 查 询 请 求( PQR, policy
query request )发送给策略管理点,策略管理点 查询访问控制策略库( PR,
policy repository)得到对应的访问控制策略并发送给策略决策点。
Step6 策略决策点根据访问控制策略和访问决策请求生成属性查询请求
(AQR, attribute query request)发送给策略信息点(PIP, policy information
point),策略信息点查询相关主体属性、客体属性和环境属性,并将查询得到
的属性发送给策略决策点。
Step7 策略决策点根据访问控制策略和属性进行访问授权判断,生成访问
控制结果(ACR, access control result)发送给策略执行点。
第三阶段为客体访问阶段,对于同意授权的访问请求,主体对客体进行访
问操作,主要步骤如下。
剩余15页未读,继续阅读
资源评论
罗伯特之技术屋
- 粉丝: 3521
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功