本发明专利技术涉及一种基于超级SIM卡的访问控制方法,属于计算机信息安全技术领域。本发明专利技术通过超级SIM卡的物理防克隆功能,实现用户的身份识别、认证以及秘钥存储,从而保证可通过超级SIM卡来实现访问控制。数据拥有者和访问者都需要通过超级SIM卡进行注册,并有授权中心分配属性。数据拥有者可利用系统公钥对自己的数据加密,之后通过智能合约上传至区块链。数据访问者访问数据时,向区块链发起请求,若其属性达到访问该数据的需求,则可通过自身私钥对其解密后访问。本发明专利技术主要通过超级SIM卡来实现访问控制,提高了数据访问的安全性。提高了数据访问的安全性。提高了数据访问的安全性。
【技术实现步骤摘要】
一种基于超级SIM卡的访问控制方法
[0001]本专利技术涉及一种基于超级SIM卡的访问控制方法,属于计算机信息安全
技术介绍
[0002]随着信息技术的飞速发展和互联网的日益普及,信息化已经成为当今世界发展的一个明显特征,信息通过网络深入到人们工作和生活的方方面面,信息安全问题正变得越来越突出,受到人们的广泛关注。
[0003]身份认证是指在计算机及网络环境中对用户真实身份进行鉴别,访问控制作为数据安全共享的关键技术,是保护数据不被未授权用户使用和访问的一种手段,从而使系统和资源能在合法的范围内使用。两者作为信息安全系统中的第一道防护措施,是保障系统安全稳定运行的重要技术之一,对保护用户信息安全发挥着巨大作用。
[0004]但传统的访问控制机制大多采用了集中式的可信服务决策实体模型,极易导致数据垄断和安全风险,且难以满足海量异构、动态性和分布式等新型计算环境。因此,需要设计更加可靠、灵活动态的细粒度访问控制机制来保护数据的机密性和完整性。
[0005]区块链作为一种新兴的集成技术,因其具有对数据确权、不可篡改和共识同步等特性,可以使个体或组织之间在弱信任或无信任网络中建立可信的数据访问控制,因此区块链技术与访问控制技术相结合成为当下的研究热点。智能合约作为区块链的核心技术之一,被广泛的应用到各行各业中,通过区块链可以安全有效的实现信息共享。
技术实现思路
[0006]本专利技术要解决的技术问题是提供了一种基于超级SIM卡的访问控制方法,以用于解决访问控制的问题,通过超级SIM卡来进行注册认证,并结合区块链,来设计更加可靠、灵活动态的细粒度访问控制机制来保护数据的机密性、完整性和可用性。
[0007]本专利技术的技术方案是:一种基于超级SIM卡的访问控制方法,首先构建系统,所述系统包括授权中心、区块链、数据拥有者及数据访问者。授权中心负责密钥的分发,用户认证,给不同可属性的访问者分发私钥。区块链上实现数据的上传和访问。数据拥有者和访问者都需要通过超级SIM卡进行注册,并有授权中心分配属性。数据拥有者可利用系统公钥对自己的数据加密,之后通过智能合约上传至区块链。数据访问者访问数据时,向区块链发起请求,若其属性达到访问该数据的需求,则可通过自身私钥对其解密后访问。
[0008]所述方法的具体步骤为:Step1:由于超级SIM卡中带有GBA身份验证机制,所以数据拥有者和访问者可在运营商的帮助下与授权中心执行可信身份验证,从而注册唯一身份凭证。注册时,用户除个人信息外,授权中心还需对其分配属性,按属性给用户分配私钥,从而使其能够对相应的数据进行访问;Step2:数据拥有者产生自身数据时,首先根据自身需要和认证中心对属性的定义指定访问策略,之后利用公钥对自己的数据进行加密,以自己的身份标识为索引将密文上
传至区块链。
[0009]Step3:数据访问者访问数据时,根据自身的属性获得私钥,根据私钥对指定的数据的密文进行解密,若访问者的属性满足访问该数据所需,则可解密出明文,进行访问,反之则访问失败。
[0010]新一代超级SIM卡需通过EAL5+以上(含)安全认证以及国密二级以上(含)安全认证,且其支持物理防克隆功能(PUF),使其具有不可复制、不可预测的独特特性,保证其在身份认证和秘钥存储等领域的强安全性。
[0011]GBA机制即在用户注册时,运营商应用服务器与超级SIM卡的终端设备之间建立共享的用户密钥,并利用该密钥来实现身份认证,在客户端与应用服务器交互过程时进行用户认证鉴权。
[0012]利用无证书公钥密码和HMAC算法来对使用者进行身份认证。其中,密钥生成中心负责产生部分私钥并将其分发给使用者,认证服务器完成用户的注册和身份认证,客户端来产生完整私钥,完成与认证服务器之间的身份认证过程。区块链部署两个智能合约,合约一存储系统密钥,合约二存储用户的信息和公钥。
[0013]对于数据的加密和解密,本专利技术采用密文策略属性加密方案,其包括:初始化Setup算法,密钥生成KeyGen算法,加密Encrypted算法以及解密Decrypt算法。使得私钥与属性相关联,密文与访问结构相关联,更好的实现抗合谋攻击。
[0014]属性集即认证中心对用户分配的等级,数据访问者想要访问数据时,根据自身的属性获得私钥,只有访问者的属性到达访问该数据所需的属性等级,获得的私钥才可解出指定的数据的密文的明文。同时,用户拥有者也可通过进一步限制访问者的属性集来达到只能由指定的某一个访问者对数据进行访问。
[0015]本专利技术支持对访问主体进行细粒度的访问控制,既可以在不知道访问用户身份的情况下指定访问策略,也可以通过访问策略将访问权限赋予某一特定用户。
[0016]本专利技术并不局限于某一特定的用户,只要自身属性满足访问策略的访问者都可以用自身私钥解密出所需的符合的数据的明文,从区块链上获取数据,不必和数据拥有者通信,减轻其通信负担。
[0017]本专利技术的有益效果是:本专利技术通过超级SIM卡的物理防克隆功能,实现用户的身份识别、认证以及秘钥存储,从而保证可通过超级SIM卡来实现访问控制,提高了数据访问的安全性。
附图说明
[0018]图1是本专利技术的整体架构图;图2是本专利技术数据上传和访问的系统流程图。
实施方式
[0019]下面结合附图和具体实施方式,对本专利技术作进一步说明。
[0020]实施例1:如图1
‑
2所示,一种基于超级SIM卡的访问控制方法,通过超级SIM卡的物理防克隆功能,实现用户的身份识别、认证以及秘钥存储,从而保证可通过超级SIM卡来实现访问控制。包括授权中心、区块链、数据拥有者及数据访问者。授权中心负责密钥的分发,
用户认证,给不同可属性的访问者分发私钥。区块链上实现数据的上传和访问。数据拥有者和访问者都需要通过超级SIM卡进行注册,并有授权中心分配属性。数据拥有者可利用系统公钥对自己的数据加密,之后通过智能合约上传至区块链。数据访问者访问数据时,向区块链发起请求,若其属性达到访问该数据的需求,则可通过自身私钥对其解密后访问。
[0021]具体步骤为:Step1:数据拥有者和访问者通过带有GBA身份验证机制的超级SIM卡,在授权中心执行可信身份验证,注册唯一身份凭证;注册时,用户除个人信息外,授权中心还需对其分配属性,按属性给用户分配私钥,从而使其能够对相应的数据进行访问;Step2:数据拥有者产生自身数据时,首先根据自身需要和认证中心对属性的定义指定访问策略,之后利用公钥对自己的数据进行加密,以自己的身份标识为索引将密文上传至区块链;Step3:数据访问者访问数据时,根据自身的属性获得私钥,根据私钥对指定的数据的密文进行解密,若访问者的属性满足访问该数据所需,则可解密出明文,进行访问,反之则访问失败。
[0022]所述超级SIM卡需通过EAL5+以上安全认证以及国密二级以上安全认证,且其支持物理防克隆功能。
[0023]所述GBA机制为:即在用户注册时本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于超级SIM卡的访问控制方法,其特征在于:Step1:数据拥有者和访问者通过带有GBA身份验证机制的超级SIM卡,在授权中心执行可信身份验证,注册唯一身份凭证;注册时,用户除个人信息外,授权中心还需对其分配属性,按属性给用户分配私钥,从而使其能够对相应的数据进行访问;Step2:数据拥有者产生自身数据时,首先根据自身需要和认证中心对属性的定义指定访问策略,之后利用公钥对自己的数据进行加密,以自己的身份标识为索引将密文上传至区块链;Step3:数据访问者访问数据时,根据自身的属性获得私钥,根据私钥对指定的数据的密文进行解密,若访问者的属性满足访问该数据所需,则可解密出明文,进行访问,反之则访问失败。2.根据权利要求1所述的基于超级SIM卡的访问控制方法,其特征在于:所述超级SIM卡需通过EAL5+以上安全认证以及国密二级以上安全认证,且其支持物理防克隆功能。3.根据权利要求1所述的基于超级SIM卡的访问控制方法,其特征在于,所述GBA机制为:即在用户注册时,运营商应用服务器与超级SIM卡的终端设备之间建立共享的用户密钥,并利用该密钥来实现身份...
【专利技术属性】
技术研发人员:和建文,孔令南,冯国栋,冯林,李晢燊,傅磊毅,陈洲廷,李涛,张柳凤,钱振东,
申请(专利权)人:中国移动通信集团云南有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。