面向属性基访问控制的密码技术研究
发布时间:2020-12-27 22:04
属性基访问控制(ABAC)是一种细粒度且授权灵活的访问控制技术,作为下一代访问控制标准已引起学术界和工业界的广泛关注。同时,随着互联网开放性的增强,传统的系统防御逐渐转化为基于密码学的个体防御,一种被称为属性基加密(ABE)的密码化ABAC方法日益受到重视。然而,目前ABE研究中访问策略没有属性变量和属性值的严格区分,对访问策略中集合成员关系谓词(属于和不属于)的支持也鲜有提及,且不能支持属性凭证的实时授权和策略与密文的动态绑定。根据上述问题,本论文针对集合成员关系谓词的密码学构造以及密码学的属性基访问控制,开展面向属性基访问控制的密码技术研究,为密码学访问控制技术提供理论基础。本文通过将密码学安全协议构造技术和访问控制技术相结合,对支持双模式的广播加密、集合成员关系谓词的ABE、ABAC中属性实时授权及策略与密文动态绑定三个方面展开研究。本论文的创新性工作包括:1.提出一种同时支持指定和撤销机制的面向属性集合的双模式广播加密方案(DMBE)。在Dan Boneh等人提出的广播加密方案基础上,采用聚合移位相消方法提出了一个新的带有撤销机制的广播加密构造(RBBE);将上述两个方案相结合...
【文章来源】:北京科技大学北京市 211工程院校 教育部直属院校
【文章页数】:132 页
【学位级别】:博士
【部分图文】:
图1-1?ABAC访问控制机制??
?北京科技大学博士学位论文???(与)秘热??t221?P3?P4?tj22??图4-2给定策略的策略树??首先,访问策略可以被转换为一个策略树,如图4-2所示。在策略树中,??叶子结点必须是一个简单的属性规则(在此示例中是属性值的集合成员关系??判定),内部节点表示一个布尔操作符(与、或)。每个叶子节点中所写内容??为对应的谓词名称(即mG)。??下一步,将一个随机值分配给策略树的每个节点(包括叶子结点和内部??节点)。由系统管理员选择秘密/,(见加密算法并分配给根节点。然??后,父节点的值被共享给他的孩子节点,比如,令纟和/2是〖的两个共享,那??么他们分别被分配给根节点的两个孩子。重复这个过程直到所有的节点都分??配了共享,比如G的共享/22|和/222分别被分配给叶子结点户3和户4。在图4-2??中,这些值被标在每个节点的外边。??随后,选择四个随机元素■^和&来生成上述策略的共享生成矩阵??M。考虑到(《,《)门访问结构和与门()?—样,可以利用Shamir的门??限秘密共享方案"°5]?[1°61生成秘密/的共享:令/〇c)?=?/?+?r2;c表示一个随机的??度数为1的多项式,那么,,,=/〇,)?=?z?+?d,2?=/(s2)?=/?+?/^2。下面对??于或节点(〇/?),简单定义&=/22=/2。最后生成多项式g(x)?=?t22+/*3x来产??生/22的共享,那么/22丨=公(七)=/?+??52+"3>?3,/222=尽(15'4):=/?+?6'5'2+¥4。??根据的值和上述公式,秘密生成矩阵从可以由下式生成:??.?&?〇、??1?5,?0??M?=?2?.?
?n,?客体存储模块?广??主体?Subject????\?Object?Repository?/??策路判定点?? ̄ ̄ ̄?|环卿撗块|????Environment??fdT""?Perception??_fp一aSS二I?P:策,?:?tU—??Repo^crv?(PAP)?Pol.cv?.nfarma?,on?Pent?(P.P)?厲性存横块??、—?」?????????Attribute??Repository???????图5-1标准的ABAC模型框架??标准ABAC模型的参考架构如图5-1所示。这个框架包括四个服务节??点,B卩,策略执行点(Policy?Enforcement?Point,PEP),策略判定点(Policy??Decision?Point,?PDP),策略信息点(Policy?Information?Point,?PIP)和策略管理??点(Policy?Administration?Point,PAP)。对于每个访问请求,这个架构的工作??流程描述如下:??1)?PEP解释授权主体发来的访问请求并将请求发送给PDP;??2)?PDP根据PAP写入的访问策略以及从PIP查询得来的主体、客体、动作、??环境的属性信息进行判定;??3)?PDP将判定结果发送给PEP,?PEP根据PDP的判定结果(允许或者拒??绝)来完成访问请求。??上述架构还包括三个存储模块和一个环境感知模块。三个存储模块分别??用来存储和管理策略(策略存储模块,Policy?Repository)、实体属性(属性存??储模块,Attribute?Repository)和客体
【参考文献】:
期刊论文
[1]Revocable Broadcast Encryption with Constant Ciphertext and Private Key Size[J]. JIA Hongyong,CHEN Yue,YANG Kuiwu,GUO Yuanbo,WANG Zhiwei. Chinese Journal of Electronics. 2019(04)
[2]Revocable Hierarchical Identity-Based Broadcast Encryption[J]. Dawei Li,Jianwei Liu,Zongyang Zhang,Qianhong Wu,Weiran Liu. Tsinghua Science and Technology. 2018(05)
[3]EABDS: Attribute-Based Secure Data Sharing with Efficient Revocation in Cloud Computing[J]. HUANG Qinlong,MA Zhaofeng,YANG Yixian,FU Jingyi,NIU Xinxin. Chinese Journal of Electronics. 2015(04)
[4]密文策略的属性基并行密钥隔离加密[J]. 陈剑洪,陈克非,龙宇,万中美,于坤,孙成富,陈礼青. 软件学报. 2012(10)
[5]一种支持完全细粒度属性撤销的CP-ABE方案[J]. 王鹏翩,冯登国,张立武. 软件学报. 2012(10)
[6]新型自适应安全的密钥策略ABE方案[J]. 罗颂,陈钟. 通信学报. 2012(S1)
[7]可追踪并撤销叛徒的属性基加密方案[J]. 马海英,曾国荪. 计算机学报. 2012(09)
[8]基于属性群的云存储密文访问控制方案[J]. 杨小东,王彩芬. 计算机工程. 2012(11)
[9]基于属性的访问控制研究进展[J]. 王小明,付红,张立臣. 电子学报. 2010(07)
[10]多授权中心可验证的基于属性的加密方案[J]. 唐强,姬东耀. 武汉大学学报(理学版). 2008(05)
本文编号:2942574
【文章来源】:北京科技大学北京市 211工程院校 教育部直属院校
【文章页数】:132 页
【学位级别】:博士
【部分图文】:
图1-1?ABAC访问控制机制??
?北京科技大学博士学位论文???(与)秘热??t221?P3?P4?tj22??图4-2给定策略的策略树??首先,访问策略可以被转换为一个策略树,如图4-2所示。在策略树中,??叶子结点必须是一个简单的属性规则(在此示例中是属性值的集合成员关系??判定),内部节点表示一个布尔操作符(与、或)。每个叶子节点中所写内容??为对应的谓词名称(即mG)。??下一步,将一个随机值分配给策略树的每个节点(包括叶子结点和内部??节点)。由系统管理员选择秘密/,(见加密算法并分配给根节点。然??后,父节点的值被共享给他的孩子节点,比如,令纟和/2是〖的两个共享,那??么他们分别被分配给根节点的两个孩子。重复这个过程直到所有的节点都分??配了共享,比如G的共享/22|和/222分别被分配给叶子结点户3和户4。在图4-2??中,这些值被标在每个节点的外边。??随后,选择四个随机元素■^和&来生成上述策略的共享生成矩阵??M。考虑到(《,《)门访问结构和与门()?—样,可以利用Shamir的门??限秘密共享方案"°5]?[1°61生成秘密/的共享:令/〇c)?=?/?+?r2;c表示一个随机的??度数为1的多项式,那么,,,=/〇,)?=?z?+?d,2?=/(s2)?=/?+?/^2。下面对??于或节点(〇/?),简单定义&=/22=/2。最后生成多项式g(x)?=?t22+/*3x来产??生/22的共享,那么/22丨=公(七)=/?+??52+"3>?3,/222=尽(15'4):=/?+?6'5'2+¥4。??根据的值和上述公式,秘密生成矩阵从可以由下式生成:??.?&?〇、??1?5,?0??M?=?2?.?
?n,?客体存储模块?广??主体?Subject????\?Object?Repository?/??策路判定点?? ̄ ̄ ̄?|环卿撗块|????Environment??fdT""?Perception??_fp一aSS二I?P:策,?:?tU—??Repo^crv?(PAP)?Pol.cv?.nfarma?,on?Pent?(P.P)?厲性存横块??、—?」?????????Attribute??Repository???????图5-1标准的ABAC模型框架??标准ABAC模型的参考架构如图5-1所示。这个框架包括四个服务节??点,B卩,策略执行点(Policy?Enforcement?Point,PEP),策略判定点(Policy??Decision?Point,?PDP),策略信息点(Policy?Information?Point,?PIP)和策略管理??点(Policy?Administration?Point,PAP)。对于每个访问请求,这个架构的工作??流程描述如下:??1)?PEP解释授权主体发来的访问请求并将请求发送给PDP;??2)?PDP根据PAP写入的访问策略以及从PIP查询得来的主体、客体、动作、??环境的属性信息进行判定;??3)?PDP将判定结果发送给PEP,?PEP根据PDP的判定结果(允许或者拒??绝)来完成访问请求。??上述架构还包括三个存储模块和一个环境感知模块。三个存储模块分别??用来存储和管理策略(策略存储模块,Policy?Repository)、实体属性(属性存??储模块,Attribute?Repository)和客体
【参考文献】:
期刊论文
[1]Revocable Broadcast Encryption with Constant Ciphertext and Private Key Size[J]. JIA Hongyong,CHEN Yue,YANG Kuiwu,GUO Yuanbo,WANG Zhiwei. Chinese Journal of Electronics. 2019(04)
[2]Revocable Hierarchical Identity-Based Broadcast Encryption[J]. Dawei Li,Jianwei Liu,Zongyang Zhang,Qianhong Wu,Weiran Liu. Tsinghua Science and Technology. 2018(05)
[3]EABDS: Attribute-Based Secure Data Sharing with Efficient Revocation in Cloud Computing[J]. HUANG Qinlong,MA Zhaofeng,YANG Yixian,FU Jingyi,NIU Xinxin. Chinese Journal of Electronics. 2015(04)
[4]密文策略的属性基并行密钥隔离加密[J]. 陈剑洪,陈克非,龙宇,万中美,于坤,孙成富,陈礼青. 软件学报. 2012(10)
[5]一种支持完全细粒度属性撤销的CP-ABE方案[J]. 王鹏翩,冯登国,张立武. 软件学报. 2012(10)
[6]新型自适应安全的密钥策略ABE方案[J]. 罗颂,陈钟. 通信学报. 2012(S1)
[7]可追踪并撤销叛徒的属性基加密方案[J]. 马海英,曾国荪. 计算机学报. 2012(09)
[8]基于属性群的云存储密文访问控制方案[J]. 杨小东,王彩芬. 计算机工程. 2012(11)
[9]基于属性的访问控制研究进展[J]. 王小明,付红,张立臣. 电子学报. 2010(07)
[10]多授权中心可验证的基于属性的加密方案[J]. 唐强,姬东耀. 武汉大学学报(理学版). 2008(05)
本文编号:2942574
本文链接:https://www.wllwen.com/shoufeilunwen/xxkjbs/2942574.html
