面向普适边缘计算服务的分布式访问控制框架论文总结
基本信息
| 标题 | APECS: A Distributed Access Control Framework for Pervasive Edge Computing Services |
|---|---|
| 作者 | Sean Dougherty、Reza Tourani |
| 会议 | ACM Conference on Computer and Communications Security(ACM顶会) |
| 发表日期 | 2021年 |
| 关键词 | 安全和隐私→访问控制;分布式系统安全;网络→安全协议。 |
摘要信息
背景: 边缘计算是一种新的计算模式,其中应用程序在网络边缘运行,提供低延迟服务,增强用户和数据隐私。边缘计算的一个理想目标是普适性,即使边缘上任何有能力和授权的实体能够提供所需的边缘服务——普适边缘计算(PEC)。
研究目的: 然而,在不牺牲性能的情况下,对接收服务的用户和处理用户数据的边缘服务器进行有效的访问控制是一个挑战。当前的解决方案基于云中“永远在线”的身份验证服务器,抵消了边缘服务的延迟优势,也不能保护用户和数据隐私。
研究方法: 在本文中介绍了APECS,这是一个用于PEC的高级访问控制框架,它允许合法用户利用任何可用的边缘服务,而不需要网络边缘以外的通信。APECS框架利用基于属性的多权限加密来创建联合权限,将身份验证和授权任务委托给半可信的边缘服务器,而消除了对云中“始终在线”身份验证服务器的需求。此外,APECS可防止未经授权的边缘服务器访问加密内容。
实验结果: 在通用可组合性框架下分析和证明了APECS的安全性,并在GENI测试平台上提供了实验结果,以证明APECS的可扩展性和有效性。
主要贡献
-
身份验证令牌
令牌 τ p u \tau_{pu} τpu表示服务提供商p为用户u生成的唯一JSON Web令牌(JWT),本方案的JWT格式提供了比传统的承载令牌(如OAuth中使用的那些)更强大的功能。 τ p u \tau_{pu} τpu是一个独特的令牌,它包括服务提供商的唯一标识符 I D p ID_p IDp、服务标识符 I D s ID_s IDs(或服务标识符列表)、用户证书 C e r t u Cert_u Certu、用户的授权级别 L u L_u Lu(或授权级别列表)及令牌的到期时间 T e x p T_{exp} Texp。τ p u \tau_{pu} τpu = < I D p , [ I D s ] , C e r t u , [ L u ] , T e x p > =<I Dp,[I D_s],Cert_u,[Lu],T_{exp}> =<IDp,[IDs],Certu,[Lu],Texp>.
τ p u \tau_{pu} τpu中的服务提供商标识符 I D p I D_p IDp使访问控制执行者(即PEC服务器)能够获取p的证书用于令牌签名验证,从而确保令牌的完整性和签发对象的正确性。相较OAuth的令牌,缺乏令牌完整性和签发对象的正确性验证是它的主要缺点之一。服务标识符 I D s ID_s IDs表示u被授权使用的服务的名称。PEC服务器根据接受的 τ p u \tau_{pu} τpu中包含的 I D s I D_s IDs,可防止u未经授权访问p提供的其他服务,这些服务需要每个服务的独立会员资格。对于每个服务(静态或动态), L u L_u Lu表示u的授权级别,即铜牌、银牌或金牌,以匹配所请求服务的所需授权级别。令牌 τ p u \tau_{pu} τpu还包括u的证书 C e r t u Cert_u Certu,它使PEC服务器能够验证u签名请求的真实性,从而防止未经授权的用户使用被劫持的令牌。最后, τ p u \tau_{pu} τpu包括一个到期时间作为系统参数。在 T e x p T_{exp} Texp结束时,用户可以请求更新他的令牌,这由服务提供商自行决定。 -
异步服务器身份验证
APECS专为动态边缘计算生态系统而设计,边缘服务器可以随意离开和加入。在传统的生态系统中,用户必须首先发现可用的PEC服务器、然后创建安全连接,再对所选服务器进行身份验证,在这样的传统身份验证机制下无法扩展。因此,APECS利用【3】中提出的MABE方案设计了一个异步PEC服务器认证框架。在APECS的异步PEC服务器认证框架中,用户使用MABE方案加密他们的数据(服务执行所需),允许任何具有从多个属性发布机构获得的必要属性集的PEC服务器解密数据并执行所请求的服务,而无需服务器发现、安全通道建立或用户与PEC服务器之间的同步交互。为了获得相关的凭证(例如,密钥和属性),PEC服务器应该与相应的服务提供商和基站相关联。在介绍MABE方案【3】之前,我们注意到广播加密(BE)是异步认证的另一种相关技术。尽管BE很简单,但它并不适合PEC生态系统,因为它不能很好地用于几个一对一(消费者边缘服务器)通信【9】,并且在执行动态撤销方面存在不足。此外,联合的BE方法在文献中不存在。
系统模型
如图上图:
步骤①:每个服务提供商启动其AIA,作为虚拟机托管在云上。
步骤②:AIA装载在PEC服务器上,并为PEC服务器提供用于其注册服务的属性和密钥。
步骤③:类似地,每个基站启动其AIA以装载其本地PEC服务器。
步骤④:在这个阶段,PEC节点被两类AIA全部加载后,用户对感兴趣的服务提供商注册并获得认证/授权令牌。
步骤⑤:为了请求服务,用户使用服务提供商和他的本地基站感兴趣服务的属性加密他的数据,并通过基站将加密的数据(和他的令牌)发送到网络中。
步骤⑥:基站将用户的请求中传递给现存的PEC服务器,以实行访问控制和服务执行。
步骤⑦:PEC服务器将服务的结果返回给基站,基站再将结果转发给用户。
论文链接
APECS: A Distributed Access Control Framework for Pervasive Edge Computing Services
扫一扫
1798
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
