可变动RBAC的密钥管理方法研究
发布时间:2020-09-05 12:10
针对基于角色的访问控制(RBAC)模型已有许多基于密码学的密钥管理方法被提出。信息系统中人员的流动和业务的变更造成了角色的变动,静态的RBAC模型难以对这些变动作出快速高效的响应。本文研究了可变动RBAC模型的密钥管理方法。信息系统的用户可以划分为不相交的用户集合,每一个集合表示为一个角色,依照角色间的部分有序关系形成多层结构,大致可以划分为线性结构,树形结构与有向无环图结构。其中线性结构与树形结构符合有限继承的RBAC模型,即每一个角色至多只有一个直接的支配角色。本文着重讨论线性与树形多层结构,对于有向无环图结构不予展开讨论。通过对以角色标识分配为基础的密钥管理方法的分析与研究,利用离散对数,提出一个引入参数的密钥管理方法PTH(Parameters Table-based key management scheme for Hierarchies)并对其进行了安全性证明,该方法可以有效应用于可变动RBAC的线性结构与树形结构中。通过对比实验发现,PTH方法的变动响应时间随角色数量的增加基本保持稳定,而其他密钥管理方法的变动响应均与角色规模呈正相关,验证了理论分析结果。虽然PTH在构建过程中的时间消耗大幅度增长,但是由于构建是一次性的,随着信息系统的使用,在角色发生多次变动后,该劣势可以被忽略。实验表明,PTH可以有效提高可变动RBAC的变动响应效率。
【学位单位】:中国科学技术大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TN918.4
【部分图文】:
逦第1章绪邋论逦逡逑色之间存在的继承关系,提高了模型对于现实组织结构中权利和责任关系的描逡逑述能力,提升了模型的授权管理效率。RBAC角色层次的基本规则约定是:两个逡逑层次关联的角色之间互为上下级。上级角色能够拥有下级角色的所有许可权限,逡逑而下级角色继承上级角色被明确指派的部分权限。逡逑在当下的访问控制研究当中,多数集中在访问控制模型的设计与实现,较少逡逑的研究致力于在信息系统生命周期中随业务更改与人员流动而产生的变动f8]。逡逑对云托管数据实施可移植与动态的访问控制,同时确保云本身的机密性,是逡逑许多用户和组织期望达到的一个明确的目标。为此,许多密码学研究提出使用多逡逑层基于身份的加密,基于属性的加密,谓词加密,函数式加密以及相关技术来对逡逑不可信的云提供商执行健壮的私有访问控制。然而其中绝大多数工作的研究了逡逑集中在执行访问控制策略的静态模型,这意味着其模型不会随时间而改变或者逡逑面对变动很难作出积极响应。这违背了大多数实际应用的需求[9]。逡逑Action邋Type
息、计算、通信或物理层面可供访问的都包括在资源内,一般来说是文件,有时逡逑在系统中也可能是内存等。主体对于客体的访问,就是通过这些资源获得信息,逡逑改变这些资源传递信息或者利用这些资源完成某种特定功能。如图2.1所示。逡逑授权数据库逡逑L^J逡逑访问控制^逡逑审计数据库逡逑\逦y逡逑图2.1访问控制机制逡逑7逡逑
对于任何使用公钥加密的信息,只有持有私钥的一方才能解密,使得对建立逡逑密钥的信道的安全性要求降低,其重大意义一是让信息系统可以更加开放,二是逡逑可以同时满足信息加密与数字签名的需求,如图2.3所示。逡逑在加密的情形下:发送方以公钥&加密原文得到密文,将密文发送至接收逡逑方。接收方以私钥&解密密文获取原文。在签名情形下:签名方以私钥&对逡逑信息(的哈希值)进行签名,将签名后的数据发送,接收方以公钥&对数据解逡逑密进行验证。在两种情形中,不要求密钥的生成方必须是私钥的持有方,但是均逡逑必须保证私钥的保密性。逡逑一个合格的非对称加密算法至少应满足:逡逑1、
本文编号:2813005
【学位单位】:中国科学技术大学
【学位级别】:硕士
【学位年份】:2018
【中图分类】:TN918.4
【部分图文】:
逦第1章绪邋论逦逡逑色之间存在的继承关系,提高了模型对于现实组织结构中权利和责任关系的描逡逑述能力,提升了模型的授权管理效率。RBAC角色层次的基本规则约定是:两个逡逑层次关联的角色之间互为上下级。上级角色能够拥有下级角色的所有许可权限,逡逑而下级角色继承上级角色被明确指派的部分权限。逡逑在当下的访问控制研究当中,多数集中在访问控制模型的设计与实现,较少逡逑的研究致力于在信息系统生命周期中随业务更改与人员流动而产生的变动f8]。逡逑对云托管数据实施可移植与动态的访问控制,同时确保云本身的机密性,是逡逑许多用户和组织期望达到的一个明确的目标。为此,许多密码学研究提出使用多逡逑层基于身份的加密,基于属性的加密,谓词加密,函数式加密以及相关技术来对逡逑不可信的云提供商执行健壮的私有访问控制。然而其中绝大多数工作的研究了逡逑集中在执行访问控制策略的静态模型,这意味着其模型不会随时间而改变或者逡逑面对变动很难作出积极响应。这违背了大多数实际应用的需求[9]。逡逑Action邋Type
息、计算、通信或物理层面可供访问的都包括在资源内,一般来说是文件,有时逡逑在系统中也可能是内存等。主体对于客体的访问,就是通过这些资源获得信息,逡逑改变这些资源传递信息或者利用这些资源完成某种特定功能。如图2.1所示。逡逑授权数据库逡逑L^J逡逑访问控制^逡逑审计数据库逡逑\逦y逡逑图2.1访问控制机制逡逑7逡逑
对于任何使用公钥加密的信息,只有持有私钥的一方才能解密,使得对建立逡逑密钥的信道的安全性要求降低,其重大意义一是让信息系统可以更加开放,二是逡逑可以同时满足信息加密与数字签名的需求,如图2.3所示。逡逑在加密的情形下:发送方以公钥&加密原文得到密文,将密文发送至接收逡逑方。接收方以私钥&解密密文获取原文。在签名情形下:签名方以私钥&对逡逑信息(的哈希值)进行签名,将签名后的数据发送,接收方以公钥&对数据解逡逑密进行验证。在两种情形中,不要求密钥的生成方必须是私钥的持有方,但是均逡逑必须保证私钥的保密性。逡逑一个合格的非对称加密算法至少应满足:逡逑1、
【相似文献】
相关硕士学位论文 前1条
1 魏弋翔;可变动RBAC的密钥管理方法研究[D];中国科学技术大学;2018年
本文编号:2813005
本文链接:https://www.wllwen.com/guanlilunwen/yunyingzuzhiguanlilunwen/2813005.html
最近更新
教材专著
