【技术实现步骤摘要】
一种基于层次化属性加密的外包强制访问控制方法
本专利技术涉及计算机学科、信息安全学科中的数据安全领域,特别涉及对数据的细粒度访问控制。
技术介绍
信息安全的主要目标是保密性、完整性和可用性。对于政府、军队和企事业单位来说,防止秘密信息泄露始终是工作的重中之重。访问控制是实现保密性的主要手段之一。自主访问控制(DiscretionaryAccessControl,简称DAC)策略允许用户自主控制其他用户对其拥有对象的访问权限,系统的访问控制工作分散给所有的用户,让这些用户共同完成。但是,DAC本身存在无法避免的缺陷,例如,它不能防止特洛伊木马的威胁。相比自主访问控制,强制访问控制(MandatoryAccessControl,简称MAC)提供了更高的安全性。强制访问控制策略一般是根据主体和客体的安全属性来管理用户对信息的访问。主体是那些访问信息的主动实体,客体是存放信息的被动实体。MAC利用强制性的规定防止信息的不安全流动,可以非常有效地防止特洛伊木马的攻击,让系统根据安全信息来管理用户访问对象的权限,用户无法自由地把其拥有对象的访问权限授予其他用户,MAC的目的在于保证信息的流动始终处于系统的控制之下。Bell-LaPadula模型是高安全等级系统中最常用的强制访问控制模型,是根据军方的安全政策设计的,解决的本质问题是对具有密级划分的信息访问进行控制,具有较强的保密性,能够很好地保护数据安全。BLP模型可以看作是矩阵模型的扩展,其基本思想是确保信息不向下流动,从而保证系统内的信息是安全的,BLP模型的信息不向下流动是通过简单安全特性和*-安全特性两个规则来 ...
【技术保护点】
1.一种基于层次化属性加密的外包强制访问控制方法,其特征在于,包括以下步骤:S1:系统初始化,生成系统公共参数、可信第三方服务器TP的公/私钥对以及属性的公/私钥对;S2:以受保护的数据为客体,使用强制访问控制规则对其进行安全等级划分,安全级别由授权集决定,数据安全类别为访问结构对应的属性向量集合,数据管理者为数据定义相应的安全等级;S3:以用户即为主体,使用强制访问控制规则对其进行安全等级划分,安全级别由用户属性的层次深度决定,用户安全类别为层次化的用户属性集合,可信第三方服务器TP为用户定义相应的安全等级;S4:根据主体和客体的安全级别和类别定义安全等级集合及其集合上的偏序关系,根据安全等级定义安全属性,判定用户的安全等级与数据的安全等级,实现用户对数据的细粒度访问控制;S5:用户权限撤销,当用户的权限发生变化时,则对用户安全等级进行更新,使其以一个新的身份重新加入到系统中来。
【技术特征摘要】
1.一种基于层次化属性加密的外包强制访问控制方法,其特征在于,包括以下步骤:S1:系统初始化,生成系统公共参数、可信第三方服务器TP的公/私钥对以及属性的公/私钥对;S2:以受保护的数据为客体,使用强制访问控制规则对其进行安全等级划分,安全级别由授权集决定,数据安全类别为访问结构对应的属性向量集合,数据管理者为数据定义相应的安全等级;S3:以用户即为主体,使用强制访问控制规则对其进行安全等级划分,安全级别由用户属性的层次深度决定,用户安全类别为层次化的用户属性集合,可信第三方服务器TP为用户定义相应的安全等级;S4:根据主体和客体的安全级别和类别定义安全等级集合及其集合上的偏序关系,根据安全等级定义安全属性,判定用户的安全等级与数据的安全等级,实现用户对数据的细粒度访问控制;S5:用户权限撤销,当用户的权限发生变化时,则对用户安全等级进行更新,使其以一个新的身份重新加入到系统中来。2.根据权利要求1所述的基于层次化属性加密的外包强制访问控制方法,其特征在于,所述步骤S1包括如下步骤:S11:可信第三方服务器TP初始化,输入安全参数,生成系统公共参数和可信第三方服务器TP的公/私钥对;S12:AA初始化其中S12包括如下步骤:S121:AA从可信第三方服务器TP处接收到系统公共参数和可信第三方服务器TP的公钥;S122:AA为其管理的属性生成公/私钥对。3.根据权利要求1所述的基于层次化属性加密的外包强制访问控制方法,其特征在于,所述步骤S2包括如下步骤:S21:数据管理者分别从可信第三方服务器TP和AA处接收到系统公共参数和属性树的公钥;S22:数据管理者基于全局属性集U,将属性组织为一棵层次化的树,给数据定义一个访问结构A,A由访问矩阵(M,ρ)来表示,其中函数ρ表示矩阵M每一行到一个属性向量的映射,数据的安全级别为访问结构A对应的属性向量的深度Co,安全类别为访问结构对应的所有属性向量集合Ko,数据的安全等级Lo=(Co,Ko);S23:从Zp中选取随机数s和一个向量Zp为模p剩余类的整数集合,s为其此向量的第一个元素;S24:计算对应的分享其中Mi是矩阵M的第i行;S25:选取随机数ri∈Zp;S26:计算对应的密文组件,输出对应的密文CTR;S27:数据管理者把密文上传到外包存储服务器上。4.根据权利要求1所述的基于层次化属性加密的外包强制访问控制方法,其特征在于:所述步骤S3包括如下步骤:S31:用户向可信第三方服务器TP提交身份信息进行注册;S32:可信第三方服务器TP认证用户的合法性;S33:若用户合法,根据用户的属性向量确定用户的安全等级Ls(Cs,Ks),其中,安全级别Cs为用户属性向量的深度,安全类别Ks为用户的属性向量集合,然后给用户分配一个GID,并给用户分发一个证书ACert和全局私钥,其中证书包含用户的GID、安全等级Ls以及用户的全局公钥;若该用户不合法,则拒绝加入系统;S34:当用户收到可信第三方服务器TP发来的证书和全局私钥,便把证书发给其所属的AA;S35:当AA收到证书后,AA使...
【专利技术属性】
技术研发人员:杨晓,肖敏,刘雪娇,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:重庆,50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。