【技术实现步骤摘要】
本专利技术涉及计算机网络安全,具体是一种基于rbac的物联网访问控制中数据水印溯源方法。
技术介绍
1、物联网存储着海量规模的隐私数据,这些数据在物联网的终端、网络、云端等之间进行传播,扩大了隐私数据的暴露范围,同时也增加了数据的泄露风险[1]。例如,黑客通过攻击智能音箱窃取用户的隐私信息[2],用户的隐私安全遭受威胁。智慧医疗的物联网设备记录并共享患者的隐私信息给多个医疗组织,给患者提供服务的同时,进一步扩大了用户医疗隐私泄露的可能性[3]。因此,我们需要一种精准定位数据泄露点的数据溯源方案,特别是在基于rbac的物联网访问控制下实现数据水印溯源。
2、物联网中的数据具有隐私性、海量性、价值性等特点,但目前基于数据进行风险溯源的方案还比较缺乏。特别是在基于rbac的物联网访问控制下实现数据水印溯源,需要一种能够精准定位数据泄露点的方案。目前关于数据溯源并且结合物联网访问控制的方案较少。比如杨蕾[4]提出了基于数据库水印的数据溯源技术,该方案是一种基于虚拟元组的数据溯源算法,在数据泄露以后通过提取和对比虚拟元组追溯到泄露数据的用户。肖馨舒[5]提出了一种基于多重数字水印ooxml文档安全防护方法,赵丽梅[6]等人论述基于区块链的科学数据溯源的可行性和必要性,从溯源内容、溯源平台以及融合私有链和联盟链的运行模式等3个维度提出基于区块链的科学数据溯源实施方案。还有基于区块链的智能合约方案实现数据溯源[7],基于工作流的数据溯源方案[8],基于图数据库neo4j的大数据中元数据溯源方案[9],大数据环境下的数据溯源[10]
3、然而,大多数的工作方案无法和访问控制相结合,而且粒度较粗,计算资源消耗较大,或者设计较复杂,不适合部署在大规模物联网中,无法满足物联网访问控制中数据溯源的需求。
4、[1]刘奇旭,靳泽,陈灿华,高新博,郑宁军,方仪伟,冯云.物联网访问控制安全性综述[j].计算机研究与发展,2022,59(10):2190-2211.
5、[2]guo z,lin z,li p,et al.skillexplorer:understanding the behavior ofskills in large scale[c]//proceedings of the 29th usenix conference onsecurity symposium.2020:2649-2666.
6、[3]张玉清,周威,彭安妮.物联网安全综述[j].计算机研究与发展,2017,54(10):2130-2143.
7、[4]杨蕾.基于数据库水印的数据溯源技术研究[d].天津理工大学,2019.
8、[5]肖馨舒.基于多重数字水印的ooxml文档安全防护方法的研究[d].北京交通大学,2018.
9、[6]赵丽梅.基于区块链理念的科学数据溯源研究[j].科技管理研究,2021,41(23):200-204.
10、[7]张国英.基于区块链的数据溯源技术的研究[d].南京:南京邮电大学,2019.
11、[8]吴渊.工作流系统-nebulas中数据溯源框架的设计与实现[d].昆明:昆明理工大学,2011.
12、[9]靳永超,吴怀谷.基于neo4j处理大数据中元数据溯源的研究[j].现代计算机:中旬刊,2015(3):61-64.
13、[10]郝鹏飞.大数据模型分析平台下的数据溯源关键技术研究[d].电子科技大学,2017。
技术实现思路
1、针对现有技术成本较高,并且无法精准确定越权用户信息,很难与访问控制的用户权限进行同步,且无法定位到数据泄漏点的问题,本专利技术提供一种基于rbac的物联网访问控制中数据水印溯源方法,这一方案消耗的计算资源较少,并且能够快速定位到数据泄露者,具备良好的拓展性和灵活性。
2、本专利技术采用的技术方案:一种基于rbac的物联网访问控制中数据水印溯源方法,包括以下步骤:
3、s1:将数据分为不同的类别,并为每个数据类别定义相应的访问控制策略;
4、s2:为每个敏感数据生成唯一的水印,并将其嵌入到数据中;
5、s3:在访问控制规则中,对敏感数据进行水印识别操作;
6、s4:当水印被检测到时,记录用户访问事件的信息,根据该信息追溯出数据泄漏点。
7、优选的,所述s1包括
8、将数据根据敏感性分为不同的类别,为每个数据类别定义的访问控制策略包括授权特定的角色或用户对特定数据进行访问、修改或删除,或者限制访问的时间和方式。
9、优选的,所述s1中数据分类方法包括
10、数据安全等级分类
11、在数据水印生成之前,将数据根据数据敏感性,访问频率特征进行分类,并为每种类别的数据分配对应的访问控制策略,以确保数据只能被授权的用户访问,设定数据安全等级集合l={levela,levelb,levelc};
12、访问控制等级分类
13、对不同的用户授予不同的访问控制权限,访问控制权限由高到低分为a,b,c三类,设用户集合u={u1,u2,u3},角色集合r={r1,r2,r3},权限集合p={p1,p2,p3},一组角色r可以访问一组权限p,用r→p表示,表示为:{r1}→{p1,p2},用户和角色之间的映射,用ua表示,表示为:ua={u1→r1,u2→r2}。
14、优选的,所述s2中为每个敏感数据生成唯一的水印的方法为:
15、将前述步骤获取的数据安全等级集合l={levela,levelb,levelc}中提取相应数据的安全等级,以及访问控制权限集合p={p1,p2,p3}中提取相应的访问控制权限等级,将二者进行拼接,获取值lp,将aes算法的密钥key赋值为lp,aes加密函数为e,则c=e(k,p),其中p为明文,k为密钥,c为密文,把明文p和密钥k作为加密函数的参数输入,则加密函数e会输出密文c,将l和p作为密钥k,lp作为明文p,通过aes加密获取到密文c1和c2。
16、优选的,所述s2中将水印嵌入到数据的方法为:
17、在数据水印嵌入之前,对c1和c2进行混淆,然后根据数据的特性和用户的需求,使用混淆函数confound对c1和c2进行混淆,得到水印wm(watermark),vm=confound(a,b),之后,将获得的水印vm嵌入到数据d中,生成水印数据wmd,其以文件形式存在。
18、优选的,所述s3中对数据水印识别的方法为
19、当用户访问水印数据时,对水印数据进行水印检测,将水印vm通过逆混淆函数iconfound将水印分解成c1和c2,设aes解密函数为d,则p=d(k,c),其中c为密文,k为密钥,p为明文,把密文c和密钥k作为解密函数的参数输入,则解密函数输出明文p,获得的密文c1和c2赋值给c,将lp赋值给k,获得明文p,即用户本文档来自技高网...
【技术保护点】
1.一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:所述S1包括
3.根据权利要求2所述的一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:所述S1中数据分类方法包括
4.根据权利要求3所述的一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:所述S2中为每个敏感数据生成唯一的水印的方法为:
5.根据权利要求4所述的一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:所述S2中将水印嵌入到数据的方法为:
6.根据权利要求5所述的一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:所述S3中对数据水印识别的方法为
7.根据权利要求5所述的一种基于RBAC的物联网访问控制中数据水印溯源方法,其特征在于:所述S3中对数据水印溯源的方法为
【技术特征摘要】
1.一种基于rbac的物联网访问控制中数据水印溯源方法,其特征在于:包括以下步骤:
2.根据权利要求1所述的一种基于rbac的物联网访问控制中数据水印溯源方法,其特征在于:所述s1包括
3.根据权利要求2所述的一种基于rbac的物联网访问控制中数据水印溯源方法,其特征在于:所述s1中数据分类方法包括
4.根据权利要求3所述的一种基于rbac的物联网访问控制中数据水印溯源方法,其特征在于:所述s2中为每...
【专利技术属性】
技术研发人员:黄海东,王黎明,付饶,余璟,周鹏,袁丁,史晓桢,李丹奇,代鹏,郝威,李念淼,高海龙,彭飞,
申请(专利权)人:国网江苏省电力有限公司徐州供电分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。