本文是一篇计算机论文,本文通过研究ABAC模型提出基于主从属性的分布式访问控制模型MSD-ABAC,提出属性分层验证算法和分布式属性管理方法,并且基于多方情报共享的案例设计了一种基于区块链的云存储情报共享的访问控制框架。
1绪论
1.1研究背景及意义
本研究来自国家级项目《基于区块链的多域作战XXX》,针对分布式环境中访问控制技术进行研究。随着网络环境,软件系统的发展,数据已经成为最重要的核心资源。数据不仅是重要的经济资产,还成为各行各业的核心竞争力。当下各种系统中数据资源的共享问题,数据资源的安全问题备受关注,尤其是如何对敏感的、重要的隐私数据的安全防护问题正面临着严峻的挑战[1]。近年来,访问控制作为保障数据与服务资源安全的重要技术之一,受到许多学者的关注。大规模的分布式存储数据使得数据流通共享变得庞杂复杂,并且存在安全风险。目前的访问控制方法主要分为传统访问控制方法和密码学方法两大类,传统方法主要通过建模访问控制策略来实现。随着区块链技术的发展,许多研究提出了一种基于区块链的、在开放环境中存储信息、记录事务、执行功能和建立信任的新型方法[2],为在分布式环境中实现数据的安全保护和安全的访问控制提供新方向。
最早在2008年由中本聪发表的文章[3]中提出并且定义了区块链的概念,初期的区块链以虚拟的数字货币系统作为表现,并没有让人们得以重视,但在各方学者开始注意到区块链技术安全、去中心化、多方信任的特点后,将其快速地发掘应用到了很多领域。区块链技术本质是一种分布式存储和共识技术,它是由密码学、共识算法为核心,多种技术融合的产物。密码学方面,它利用哈希计算和数字签名技术,实现了一个严谨、完整且不可篡改的信息数据存储结构。与传统的集中式数据管理方式相比,区块链访问控制借助区块链实现了去中心化或者部分中心化的数据管理模型。在区块链系统中,没有中心节点存在,事务的持久化操作依赖于网络内所有节点的共同参与,并且共同维护不断增长的链式数据结构和执行非集中式的共识机制,从而保证了数据的完整性和可信性。区块链技术融合了点对点网络、密码学原理、通信技术、共识机制以及智能合约等多种技术,能够为解决分布式、去中心环境下的信息溯源、信息信任的相关问题提供新的思路[4]。随着云存储的应用场景的多样性和数据安全需求变得愈发复杂,数据量也越来越庞大,传统的访问控制技术已经无法满足数据安全访问的需求。在这样的背景下,区块链技术的分布式架构与智能合约技术的特点能够为分布式结的大数据环境,提供灵活的、安全的访问控制需求提供新的解决方案和思路。
.............................
1.2国内外研究现状
TCSEC可信计算机安全评价标准最早由美国国防科学委员会定制,TCSEC提出访问控制指的是一种安全技术,它用于在计算机资源面临未经授权的操作威胁时,为系统提供保护和管理,以确保信息的完整性以及系统内部的机密性得到维护[8]。访问控制中包含主体、客体和访问策略三个基本部分,访问控制的操作过程涉及主体按照既定的访问策略对客体执行访问。在这个过程中,主体是一个主动寻求访问权限的实体,例如系统用户或设备。而客体则是被动的,作为访问请求的目标,如文件、数据或系统进程等。访问策略则规定了主体对客体操作权限的规则。主客体是相对的,一个主体也可以成为一个客体,例如一个进程在运行过程中调用另一个进程。
1.2.1访问控制模型现状
访问控制模型的建立使用形式化方法,用于描述主体对客体的访问规则集合及其实施方式,旨在阐述系统的安全机制[9]。传统的访问控制模型主要有基于角色的访问控制[10](Role-Based Access Control,RBAC),在用户和访问控制逻辑之间添加角色的概念,访问控制的权限是基于不同的角色授予,这简化了权限分配和管理的过程,实现了用户与访问权限的逻辑关系映射。基于属性的访问控制[11](Attribute-Based Access Control,ABAC),模型通过对主体、客体、权限、环境等的属性进行建模,来定义授权和访问控制的约束条件。这种模型的主要优势在于其强大的表示能力和便于扩展性,同时它也能够与其他访问控制模型结合使用。ABAC的缺点是它依赖于属性来描述所有要素,而这些属性之间的关系可能难以明确表达,在复杂的环境系统让属性的设计成为一项艰巨的挑战,细化属性的不足会导致权限授权不足和过度授权的问题。基于任务的访问控制TBAC[12],以任务为核心,站在工作流中的任务角度进行建模,依据任务执行状态对权限进行实时、动态的管理和分配。TBAC的优点在于其能够提供主动授权,并能根据任务的当前状态动态地调整权限设置。不过,这种模型的一个缺点是其配置过程可能相对复杂且繁琐。不同访问控制机制所适用的场景是不同的。
........................
2基于主从属性的分布式访问控制模型
2.1 MSD-ABAC主从属性的分布式模型定义
MSD-ABAC以属性为中心,将属性划分为主属性和从属性。主属性是用于定义系统中主体的相应属性的顶层约束,是抽象的概念,例如组织架构中的“部门”就是一种主属性,它不是具体的描述和定义,但直接约束了属性的内容。从属性继承了主属性,进行更加详细的定义,并且属性直接存在等级关系。这样的定义将属性的构成绘制成树的结构。一个主属性是多叉树的根节点,由根节点开始生成多个从节点,从节点直接的等级映射到树的层级关系。
以下是主属性和从属性的划分原则:
1)主属性(Master Attributes)主属性通常是属性层次结构的顶级属性,用于定义属性的基本特性。主属性对应于属性的高级概念,可以包含更多的属性值或属性子集。主属性通常是不可再细分的,它们代表了属性的基本特征。一个主属性可以有多个从属性,每个从属性可以继承主属性的一些特性。
2)从属性(Slave Attributes)从属性是主属性的子属性,它们继承了主属性的一些特性,并可以添加额外的属性值或细化属性的含义。从属性通常用于对主属性进行进一步描述或分类。可以用于将属性层次结构分解为更具体的属性子集,以支持更细粒度的属性管理。从属性可以有不同的等级,用于表示属性之间的父子关系,等级较低的从属性继承了等级较高的从属性的属性值和特性。
....................
2.2 MSD-ABAC模型工作流程
在进行访问控制的时候,首先需要系统管理员进行系统的初始化操作,对应不同的场景进行属性的配置、操作的配置、系统的初始化操作,进行最初的系统部署。访问控制机制是嵌入系统运行的,任何系统都需要进行访问控制,这个机制和系统本身在结构上分离,功能上耦合。属性管理员会对属性集合,属性分配进行管理,系统中的用户经过注册对应这每一个具体操作系统的主体。系统用户需要通过身份鉴权、属性赋予两大步骤,才能参与到系统运行过程中,在进行资源访问和操作的时候也需要进行身份验证,属性集合验证的操作,最后经过资源访问策略判断,返回访问结果。MSD-ABAC工作流程如图2.1所示。
计算机论文怎么写
...........................
3基于区块链的云存储访问控制机制研究........................................29
3.1总体访问控制架构设计...................................29
3.2属性策略更新算法.........................................30
4基于区块链智能合约的访问控制方案设计与实现....................................45
4.1访问控制方案设计....................................45
4.1.1数据上传流程.....................................46
4.1.2数据下载流程.....................................47
5总结与展望.......................................65
5.1结论.............................................65
5.2展望.....................................................66
4基于区块链智能合约的访问控制方案设计与实现
4.1访问控制方案设计
利用区块链技术的去中心化、数据不可篡改性和可追溯性特点,设计了基于区块链智能合约的访问控制方案,架构依托基于区块链的去中心化身份所设计,通过研究ABAC模型概念中的可扩展访问控制标记语言XACML[57],抽象出其策略信息点、策略管理点、策略实施点、策略决策点的概念实现整体的访问控制框架。并且利用分布式数字身份标识符来标识和认证用户,利用可验证凭证管理身份信息及权限分配。依靠智能合约设计了访问控制执行流程,包括用户注册、身份认证、资源发布、属性授权、属性验证,和策略访问控制等。
XACML可扩展访问控制标记语言,是一种用于表达访问控制策略的标准化语言和框架。如图4.1所示。
计算机论文参考
..........................
5总结与展望
5.1结论
本文针对云存储分布式环境下的访问控制应用背景,分析了云存储分布式环境的特点以及目前研究面临的相关问题,研究设计一种分布式云存储环境下的数据共享访问控制机制。本文通过研究ABAC模型提出基于主从属性的分布式访问控制模型MSD-ABAC,提出属性分层验证算法和分布式属性管理方法,并且基于多方情报共享的案例设计了一种基于区块链的云存储情报共享的访问控制框架,本文的主要研究成果如下:
首先,本文提出了一种创新的分布式访问控制模型,即主从属性分布式访问控制模型(MSD-ABAC)。在传统ABAC模型的基础上,引入了主从属性的概念,将属性划分为主属性和从属性,以建立更为灵活和有效的属性约束关系。通过详细的概念定义和集合约束定义,MSD-ABAC模型解决了分布式环境下属性定义的复杂性,层次结构的属性树能够提高属性验证的效率。此外,借助区块链技术,为主体被赋予唯一的分布式身份标识,增强了系统用户信息的安全性。
其次,研究了一种分布式的属性存储方法,将主体属性存储在分布式的节点中,由中心属性节点负责管理,分布式属性管理节点负责存储。在该方法中使用ACC通用动态累加器对属性树各个根节点进行累加,并且能够快速、安全的验证属性。在占用极小的存储空间条件下,创建快速安全的验证方法,保证系统中的属性不会被恶意窜改和赋予和保证整个系统的安全性。并且对方法的安全性和性能进行分析,得出方法能够保证安全和高效率的属性管理的结论。
本文根据分析多方情报共享的典型案例,设计基于区块链的云存储访问控制框架,以确保在多方参与的情报网中安全有效的情报共享需求。在框架中深入案例,根据MSD-ABAC进行详细的案例描述,提出基于XACML访问控制描述语言和智能合约结合的访问控制方法方案。在使用属性基加密算法基础上,改进提出一种基于签名的数据策略快速更新的方法,方案详细的设计了每一个合约算法,给出合约伪代码。在框架基础上,提出借助可信凭证的访问控制算法,优化访问控制的流程。
参考文献(略)