基于密码学的访问控制

最新推荐文章于 2023-07-11 19:45:29 发布
最新推荐文章于 2023-07-11 19:45:29 发布
阅读量3.3k 收藏 31
点赞数 7
分类专栏: 密码学 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/115265040
版权

背景

大数据安全的基础, 就是基于密码学的访问控制. 这种访问控制技术依赖于密钥的安全性, 不需要可信监控机, 传统的基于引用监控机的访问控制不能适应庞大的数据量的需求, 出现难以管理和耗费大量资源的窘境, 因此基于密码学的访问控制技术就是数据时代的必由之路.

分类

基于密码学的访问控制主要有两大类

基于密钥管理的访问控制, 通过确保数据解密密钥只有授权用户持有来实现, 通常依靠可信密钥管理服务器实现. 不过这种方法同可信监控机一样不适用于大数据环境, 但是有一种广播加密技术提供解决方案.
基于属性加密的访问控制, 不带可信监控机的ABAC模型, 将属性集合作为公钥, 只有符合属性集合的用户才能解密数据. 衍生有两种, 基于密钥策略的属性加密(Key Policy Attribute-Based Encryption, KP-ABE)和基于密文策略的属性加密(Ciphertext Policy Attribute-Based Encryption, CP-ABE)


基于密钥管理的访问控制

两种实现方式, 基于单发送者广播加密的访问控制, 基于公钥广播加密的访问控制.

基于单发送者广播加密的访问控制

角色

  • 数据所有者: 拥有完整用户密钥树和数据, 根据目标对象选择性用密钥树的加密密钥加密数据之后广播给所有用户.
  • 普通用户: 拥有与自己相关的密钥树中的部分密钥, 能够解密相应的数据.

控制原理
用特定用户子集特有的密钥加密数据时就完成了访问控制, 密钥是对称密钥, 也只有相应用户子集可以解密数据.
在这里插入图片描述比如上图的用户密钥树, 每个叶节点表示一个用户, 同时每个节点表示一个密钥, 每个用户拥有从叶子节点密钥一直追溯到根节点每个节点的密钥. 如果用 k 1 k_1 k1来加密数据, 只有用户集{U5, U6, U7, U8}的用户能够解密数据, 如果用 k 01 k_{01} k01来加密数据, 只有用户集{U3, U4}可以解密数据, 如果用 k 001 k_{001} k001加密数据, 只有{U2}可以解密数据.


基于公钥广播加密的访问控制

角色

  • 公钥服务器: 产生公私钥对密钥集合, 给每个用户子集分发相应私钥
  • 数据所有者: 负责加密数据, 基于公钥广播加密技术分发加密密钥.
  • 数据服务者: 存储加密数据, 给用户提供数据服务.
  • 用户: 数据访问者, 只有被所有者授权的用户才能够解密相应数据.

数据产生, 加密, 授权, 访问过程略微复杂, 之后补充…


基于属性加密的访问控制

基本概念

  • 访问结构: 主要分为门限结构, 属性值与操作结构, 访问树结构, LSSS矩阵结构等. 主流应用是访问树结构.
  • 访问树结构: 相当于将各个门限结构作为节点用树结构表示. 简单介绍门限结构, ( t , n ) (t, n) (t,n)是门限结构的抽象形式, 意思是秘密信息分成n份, 至少需要t份才能恢复. AND相当于 ( n , n ) (n, n) (n,n)门限, OR相当于 ( 1 , n ) (1, n) (1,n)门限. 将各个属性作为叶子, AND/OR操作作为中间节点, 根节点, 构成树结构, 就是访问树结构, 定义:对于节点x, n x n_x nx为节点的子节点数目, k x k_x kx为门限值. 如果 k x = = n x k_x == n_x kx==nx则表示AND操作, k x = = 1 k_x == 1 kx==1表示OR操作.

访问树结构示例, 对于如图所示的访问树结构, 只有Place属性是Office或者Place属性是Home且ID是Alice的用户可以访问数据.
在这里插入图片描述
主要分为CP-ABE访问控制, 多属性权威访问控制, 外包加解密访问控制方案.

基于CP-ABE的访问控制

算法分为4个部分
(1) S e t u p ( ) Setup() Setup(): 生成主密钥MK, 公开参数PK. MK是只有算法构造者掌握, PK被所有相同参与者接收
(2) C T T = E n c r y p t ( P K , T , M ) CT_T = Encrypt(PK, T, M) CTT=Encrypt(PK,T,M): 使用PK, 访问结构T, 将明文M加密为密文 C T T CT_T CTT
(3) S K S = K e y G e n ( M K , S ) SK_S = KeyGen(MK, S) SKS=KeyGen(MK,S): 用MK, 用户属性值S生成用户私钥 S K S SK_S SKS
(4) M = D e c r y p t ( C T T , S K S ) M = Decrypt(CT_T, SK_S) M=Decrypt(CTT,SKS): 用户用私钥 S K S SK_S SKS解密 C T T CT_T CTT得到明文M, 当且仅当用户属性S满足访问结构T时才能解密成功.

访问控制方案

角色

  • 可信权威: 维护属性和密钥的对应, 负责执行算法的(1), (3); 持有MK, 同时要为用户分发密钥 S K S SK_S SKS
  • 数据所有者: 通过数据服务者向用户分享数据, 负责定义访问结构T, 执行算法的(2), 加密要分享的数据.
  • 用户: 持有可信权威分发的属性密钥 S K S SK_S SKS, 执行算法(4), 可以解密相应的数据.
  • 服务提供者: 只做数据存储功能的提供者, 不参与任何算法执行.

在这里插入图片描述



多属性权威访问控制
外包加解密访问控制方案

方案有一丢丢复杂, 之后补充…

fa1c4
关注
  • 7
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
密码学应用—访问控制模型简介
不怕死的假老练
07-09 1820
访问控制技术,指防止对任何资源进行非授权的访问,从而使计算机系统在合理的范围内使用。也指用户身份及其所属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能使用的一种技术,如UniNAC网络准入控制系统的原理就是基于此技术之上。 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 访问控制模型包括:自主访问控制模型(DAC)、强制访问控制模型(MAC)、基于角色访问控制模型(RBAC)和基于属性访问控制模型(ABAC)(面向对象)。我们这里就简单介绍一下自主访问控制模型(
密码学应用(二)访问控制
Love_Naive的博客
07-09 1458
密码学应用(二)简介访问控制模型自主访问控制模型 简介 访问控制技术:指防止对任何资源进行未授权的访问,从而使计算机在合法的范围内使用。 一般是指通过用户身份及其所属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 访问控制模型 访问控制模型:在为用户对系统资源提供最大限度共享的基础上,对用户的访问权限进行管理,防止对信息的非授权篡改和滥用。保证用户在系统安全策略下正常工作,拒绝非法用户的非授权访
密码学应用-访问控制
qq_45510720的博客
07-09 277
访问控制模型 自主访问控制模型(DAC) 自主访问控制是指用户有权对自身创建的对象进行访问,并可将这些对象的访问权授予其他用户和从授予的用户中收回访问权限。 getfacl Filename #获取文件控制访问列表 setfacl -m u:USERNAME:7Filename #设置用户在文件或目录控制访问列表 setfacl -m g:GROUPNAME:7Filename #设置组在文件或目录控制访问列表 setf.
论文研究-基于密码的访问控制研究.pdf
07-22
针对现有访问控制策略和机制复杂的特点,结合标签机制和多级安全的策略,以强制访问控制为基础,提出了一种新的访问控制机制。该机制的思想是根据客体的访问密钥来最终决定主体对客体有何种访问权限。基于这种思想将访问控制策略和机制进行了设计,给出了一种在LSM(Linux安全模块)框架下基于密钥对文件进行访问的策略实现方法。该访问控制方法通过设置密钥给了用户一定的自主权,限制了高级用户的部分权限,实现了文件共享。
密码学访问控制
weixin_44222852的博客
07-20 902
一、访问控制模型 目的:1、为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。 2、保证用户在系统安全策略下正常工作,拒绝非法用法的非授权访问请求,拒绝合法用户越权的服务请求。 模型分类: 访问控制模型 自主访问控制模型(DAC) 访问控制列表(ACL) 权能列表(Capacity List) 强制访问控制模型(MAC) ...
密码学应用----访问控制
tryheart的博客
07-09 2872
访问控制技术,是指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 ...
属性加密技术及基于属性的访问控制技术
12-30
学习过程中整理的关于属性加密技术以及基于属性的访问控制技术等信息,供大家参考学习使用。
基于PLC电子密码锁.doc
11-30
这种设计可以使密码锁的安全性提高,防止非法访问。同时,电子密码锁也可以设定不同的密码位数,例如六位或七位等,使密码锁更加安全。 四、电子密码锁的工作流程 电子密码锁的工作流程可以分为开锁环节和解锁环节...
探究物联网安全访问控制.pptx
01-21
其解决了基于信任的中心化模型带来的安全问题,基于密码学算法保证价值的安全转移,基于哈希链及时间戳机制保证数据的可追溯、不可篡改特性,基于共识算法保证节点间区块数据的一致性,基于自动化的脚本代码和图灵...
基于密码学的云数据确定性删除研究进展
01-14
面向安全的角度从基于可信执行环境的确定性删除、基于密钥管理的确定性删除和基于访问控制策略的确定性删除3个方面对近年来相关研究工作进行深入分析和评述,并指出各种关键技术与方法的优势及存在的共性问题;...
云计算下可信虚拟群体内访问控制研究
01-15
针对缺乏适合基于云计算的生产型重要信息系统内部隔离机制的问题,对云计算模式下现有的访问控制技术进行了比较,提出了基于两级密钥管理的访问控制方案。第一级构造了一个基于单项散列函数的访问控制多项式实现了子...
密码学基础06——身份认证与访问控制
weixin_43903568的博客
05-05 1231
身份认证 手段: 一、口令认证技术: 1.静态口令认证:就比如及时通讯软件,或者银行密码,等不常常更改的密码。登录时,用户系统会产生一个时间戳,将时间戳用口令和固定的密码算法加密,然后和用户名一起发送到相应的平台,平台进行解密来验证时间戳,但平台时看不到用户密码的,对于用户的账号密码只能通过比对加密后的值来判断是否登录成功。 容易受到字典攻击,暴力破解,社工,种植木马等攻击 2.动态口令认证: 采...
《大数据安全与隐私保护》读书笔记——2.安全存储与访问控制技术(三)
u013492648的博客
03-09 2933
第二章、安全存储与访问控制技术2.1 早期访问控制技术2.2 基于数据分析的访问控制技术2.3 基于密码学访问控制技术2.3.1 基于密钥管理的访问控制技术1.基于单发送者广播加密的访问控制2.基于公钥广播加密的访问控制2.3.2 基于属性加密的访问控制技术 2.1 早期访问控制技术 见博文“《大数据安全与隐私保护》读书笔记——2.安全存储与访问控制技术(一)” 2.2 基于数据分析的访问控制技...
API 限流器(二)史上最优秀的访问频率控制器的算法设计详解
TangAiYun专栏
05-26 2098
项目代码地址: https://github.com/tangaiyun/RedisRateLimiter举例如果限制的时间单位为分钟,限制前缀为一个IP(128.9.9.23),则当前有序集合的key的运算规则如下:求出当前时间所处的分钟序号: long index = Long.parseLong(jedis.time().get(0)) / 60; 当前有序集合的key为:“128.9.9....
访问控制
m0_50299484的博客
03-25 905
基于属性的访问控制策略 整体介绍 用户在携带自身的属性值包括主题属性,资源属性,环境属性,然后向资源发送请求,授权引擎 会根据subject所携带的属性进行判断,然后会给出拒绝或者同意的结果给用户,然后就可以访问资源。 详细步骤 策略决策点拥有属性和策略文件,根据这两个判断是否能够访问资源,可以访问的话就能够从资源中获取相应的数据。 ABAC授权的步骤: 1、用户访问资源,发送原始请求。 2、请求发送到策略实施点(PEP),PEP构建xacml格式请求。 3、PEP将xacml请求发送到策略决策点
基础4之接口、访问控制
手持代码的侠客博客
08-04 477
一、接口 一系列方法的声明,是一些方法特征的集合,一个接口只有方法的特征没有方法的实现,因此这些方法可以在不同的地方被不同的类实现,而这些实现可以具有不同的行为(功能)。   1.1、接口与抽象类的区别      抽象类也是类,除了可以写抽象方法以及不能直接new对象之外,其他的和普通类没有什么不一样的。接口已经另一种类型了,和类是有本质的区别的,所有不能用类的标准去衡量接口。     ...
网络安全学术顶会——S&P 2023 议题清单、摘要与总结(中)
漏洞战争
06-10 3554
注:本文由ChatGPT与Claude联合生成51、Effective ReDoS Detection by Principled Vulnerability Modeling and Exploit Generation正则表达式拒绝服务攻击(ReDoS)是一种算法复杂度攻击。对于易受攻击的正则表达式,攻击者可以精心制作某些字符串来触发超线性最坏情况匹配时间,从而导致正则表达式引擎的拒绝服务。最...
BIP0032(秘钥派生)
最新发布
qq_40403273的博客
07-11 765
HD Wallets( hierarchical deterministic wallets),在HD Wallet出现之前,比特币钱包是通过随机数生成互不相关的多个私钥。这种类型的钱包被称作非确定钱包(或随机钱包)。然而,一般情况下,区块链中的用户为了保证自己的匿名性,往往会生成多个私钥,以保证每次交易不会被追踪,非确定性钱包的方法会随机生成多个公私钥对,这些秘钥需要反复备份,导入在使用秘钥进行签名,占用空间,使用不便。
用算法实现操作系统访问控制
06-12
在操作系统中实现访问控制,需要采用一定的算法和技术来实现。以下是一些实现访问控制的常见算法: 1. 基于角色的访问控制(RBAC):RBAC是一种常见的访问控制算法,它将用户和资源分配给不同的角色,然后通过授予和撤销角色的权限来管理访问控制。RBAC算法可以有效地管理复杂的访问控制策略,同时也可以简化管理工作。 2. 基于属性的访问控制(ABAC):ABAC是另一种常见的访问控制算法,它将用户的属性作为访问控制的依据。例如,基于用户的工作职责,ABAC算法可以限制用户对特定资源的访问权限。 3. 基于内容的访问控制(CBAC):CBAC是一种基于内容的访问控制算法,它根据资源的内容来限制用户的访问权限。例如,基于文档的敏感程度,CBAC算法可以限制用户对特定文档的访问权限。 4. 强制访问控制(MAC):MAC是一种基于标签的访问控制算法,它将标签分配给用户和资源,然后根据标签的安全级别来管理访问控制。MAC算法通常用于高度安全的环境中,例如军事和政府系统。 5. 自主访问控制(DAC):DAC是一种基于所有者的访问控制算法,它允许资源所有者授权其他用户访问资源。DAC算法通常用于个人计算机和小型网络中。 以上算法可以单独或者组合使用,实现复杂的访问控制策略。在实现访问控制时,需要考虑安全性、性能、可扩展性等因素,同时也需要定期审计和更新访问控制策略,以保证系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值