CN116318931A - 一种基于跨域访问控制的属性映射方法及*** - Google Patents

一种基于跨域访问控制的属性映射方法及*** Download PDF

Info

Publication number
CN116318931A
CN116318931A CN202310207409.XA CN202310207409A CN116318931A CN 116318931 A CN116318931 A CN 116318931A CN 202310207409 A CN202310207409 A CN 202310207409A CN 116318931 A CN116318931 A CN 116318931A
Authority
CN
China
Prior art keywords
mapping
attribute
domain
cross
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310207409.XA
Other languages
English (en)
Inventor
李超
殷丽华
许皓珊
孙哲
田志宏
王滨
王星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202310207409.XA priority Critical patent/CN116318931A/zh
Publication of CN116318931A publication Critical patent/CN116318931A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提出了一种基于跨域访问控制的属性映射方法及***,属于跨域访问控制领域。***的组成:跨域认证模块,属性映射模块和映射存储模块。跨域认证模块参与跨域数据共享的各个管理域在可信中心进行认证,并协商参与跨域必须携带的属性信息,确保跨域各方及属性的合法性等。属性映射模块主制定属性名和属性值空间的相关映射方式,实现细粒度和动态化的属性映射和高效率的属性映射。映射存储模块降低属性映射计算资源的消耗,减少属性映射的时间成本。通过新的属性映射方法实现细粒度动态化的跨域访问控制;减少属性映射中资源的消耗,提高属性映射机制的效率和性能,实现大规模的跨域访问;优化属性映射方法,实现多域动态化的属性映射机制。

Description

一种基于跨域访问控制的属性映射方法及***
技术领域
本发明属于跨域访问控制领域,尤其涉及一种基于跨域访问控制的属性映射方法及***。
背景技术
近些年,我国的信息科技产业飞速发展,实现了万物互联的新局面。在万物互联的场景下,通过用户与数据资源的全面连接,迈进了信息共享的大数据社会,加速了制造业数字化发展,实现网络化和智能化改革,提高了社会信息化服务效率。实现互联的信息共享需要加强各组织间的合作,例如,在工业互联网中需要各企业间数据共享来实现产业链的数字智能化,在智慧城市中需要政府部门、银行、企业等机构的数据共享来实现高效的信息化服务。各组织合作共享数据时,为了保证数据资源的机密行和完整性,各组织有各自的管理域,来建立数据所有者与数据使用者通信的安全管理规范。
但是各组织的管理域是相互独立的,并有不同的访问管理机制,现实环境中存在数据使用者与数据所有者不再同一域的情况,这种情况下数据所有者无法认证数据使用者信息或者源域的安全管理失效,即无法实现安全的数据跨域交互。因此出现了跨域的访问控制机制,来实现数据使用者和数据所有者在不同管理域中的安全的数据交互。跨域访问控制安全机制是单域访问控制安全机制的拓展,解决不同管理域访问策略和模型的异构性问题,也是实现安全的数据跨域共享的主要方式。当前的跨域访问控制机制主要是基于RBAC、ABAC和属性加密访问控制方法的拓展,这些访问控制方法已十分成熟并且被大规模运用在访问资源的场景中。针对这种跨域访问控制方法的核心是映射机制,映射不同域间的角色、属性以及访问策略,来实现跨域数据通信。
目前,提出了一些基于跨域属性映射的方法。尽管这些方法能够实现跨域访问控制,依然有所欠缺。现有的跨域映射方法主要分为以下三种:第一种是基于第三方可信中心的映射方法,主要通过标准库实现映射机制,标准库对不同域之间角色和属性实现一对一映射。第二种是基于边缘计算的映射机制,利用边缘计算或用户代理等方式,数据拥有者所在域依据数据使用者属性列表计算访问策略。第三种是基于联合属性的映射机制,数据跨域交互的各个域制定标准属性,所有资源请求的属性依据标准属性在各自的域进行映射。
但现有技术存在如下不足:
现有基于第三方可信中心映射机制存在诸多限制。最主要的限制之一是构建标准映射库,如果对多个域的角色或属性进行一对一映射,就存在多个映射库以及多个映射表,这种方法处理大规模的映射时,增加跨域过程性能消耗的同时增加工作量并降低映射效率。这种标准库的方式只适合少数域参与的跨域映射,不适合大规模的、动态的数据跨域访问。
现有基于边缘计算的映射方法受到性能的限制。首先将数据使用者的属性列表发送给数据拥有者所在域的过程中存在中间人攻击的风险,其次数据拥有者所在域需要依据所有的数据使用者属性列表,分别计算相应的访问策略,这一过程无疑增大了数据拥有者的计算量,消耗大量计算资源,对跨域***性能影响大,存在拒绝服务的风险。
现有基于联合属性的映射机制中存在一些问题。这一机制中支持数据跨域的各方,制定一个联合属性(标准属性),每个域将自己的属性与标准属性映射,最后按照标准属性进行跨域访问。其中存在标准属性的协商、生产、发放、撤销等环节,这些环节会增加各域计算量并且存在安全风险。这一方法中设计的联合属性没有考虑属性的动态性,会限制跨域访问的灵活性,不适合动态的访问控制需求。
发明内容
本发明的目的在于提供一种基于跨域访问控制的属性映射方法及***,通过新的属性映射方法实现细粒度动态化的跨域访问控制;减少属性映射中资源的消耗,提高属性映射机制的效率和性能,实现大规模的跨域访问;优化属性映射方法,实现多域动态化的属性映射机制。
为了达到上述目的,在本发明的第一个方面,提供了一种基于跨域访问控制的属性映射方法,所述方法包括:
S201:可信中心认证参与跨域数据共享的所有管理域的合法性,各管理域携带证书以及管理域相关信息在可信中心注册,如果可信中心验证管理域是合法的,则会颁发认证标识符;
S202:参与跨域数据共享的域与可信中心协商必须携带的跨域请求属性;
S203:制定映射规则并匹配请求属性的标识符,依据标识的属性等级选择映射方法;
S204:利用深度学习聚类,针对属姓名进行一对一映射,针对属性值进行权重计算、填充计算和格式化再映射;
S205:可信中心经过属性映射,生成新的跨域属性证书后,发送给数据使用者,数据使用者将新属性证书与旧属性对比,生成属性静态存储表;若静态映射表过期或不满足有效期条件则删除,否则静态映射生效;后续进行跨域访问先查看有效的静态表进行属性映射;若映射成功则直接进行跨域访问,若无法映射则跳回S204步骤;
S206:可信中心将属性映射结果动态存储,依据各域的认证标识符和跨域请求属性变化,动态地更新相应的属性映射表,并为动态映射表设定失效条件,后续到可信中心的跨域访问请求先至动态映射表查询,若查询无果则回到S204步骤进行映射。
进一步地,所述标识符是唯一且实现完整性校验的。
进一步地,所述跨域请求属性包括数据拥有者域ID、数据管理者域ID、源域签名和可信标识。
在本发明的第二方面,提供了一种基于跨域访问控制的属性映射***,包括:
跨域认证模块:用于对参与跨域数据共享的各个管理域在可信中心进行认证,并协商参与跨域必须携带的属性信息,确保跨域各方及属性的合法性;
属性映射模块:用于实现细粒度和动态化的属性映射和实现高效率的属性映射;
映射存储模块:用于降低属性映射计算资源的消耗,减少属性映射的时间成本。
进一步地,所述跨域认证模块包括跨域注册单元和属性认证单元;
所述属性映射模块包括制定映射规则单元和深度学习映射单元;
所述映射存储模块包括静态存储单元和动态存储单元。
进一步地,所述跨域注册单元用于保证属性所有者以及可信中心获取的属性是可信的;
所述属性认证单元用于规范化请求中必须携带的跨域属性信息,增加了跨域访问的安全性。
进一步地,所述制定映射规则单元用于利用标识符设定属性映射的等级,针对属性名和属性值都设定标记,所述标记区分映射规则;
所述深度学习映射单元用于依据指定的映射规则进行属性映射,需要匹配相应的标记符完成两次映射。
进一步地,所述映射规则包括:1、属性名的映射;2、具有唯一性的属性值空间的映射;3、具有动态性的属性值空间的映射;4、具有可信指标的属性值空间的映射;
所述属性值空间包括职位、等级和角色;
所述两次映射具体为:第一次是针对属性名的一对一映射,第二次是对针对属性值空间的映射。
进一步地,所述静态存储单元用于将可信中心的属性映射结果静态存储至数据使用者管理域,并设置静态表的失效时间和失效条件,如果满足条件则管理域删除该静态映射表,如果静态映射表有效,数据使用者进行跨域请求时先从静态表进行映射。
进一步地,所述动态存储单元用于实现可信中心的动态存储,依据属性映射结果构建动态映射存储表并设置失效条件,通过不同跨域访问请求的属性映射动态地更新存储表,后续可信中心收到跨域请求首先从动态映射表查找映射结果,再依据标记的等级进行常规映射。
本发明的有益技术效果至少在于以下几点:
(1)实现大规模的属性映射,保证跨域访问控制的安全性:
映射机制是实现数据跨域访问控制的核心,通过角色或属性的映射来认证不同管理域的访问控制策略,从而解决管理域访问控制策略的异构性问题。目前的映射机制主要是利用标准库实现,这种技术主要是通过人工设置映射规则,多个域间的属性相互映射大大增加了工作量,降低了映射效率,因此不适合大规模的跨域访问。此外,基于标准库的映射可能存在映射规则不精确,导致访问控制机制出现漏洞。本发明设计了一种跨域访问控制的属性映射方法,实现了精确的跨域属性映射,保证了跨域访问控制的安全性。同时,本发明设计的基于深度学习的属性映射方法提高了属性映射的效率,满足适合大规模数据跨域访问场景下的需求。
(2)实现高效率的属性映射机制,降低属性映射的性能消耗:
各个管理域中实现映射计算,会消耗大量计算资源。多个域参与数据跨域访问,需要发送访问域的属性列表,域管理者依据各属性列表映射出被访问域的新属性。大量的跨域请求的场景下,发送属性列表和属性映射计算增加了属性映射机制的性能消耗。本发明设计了一种基于第三方可信中心的跨域属性映射机制,减少了各管理域中的计算量,降低了属性映射资源和性能的消耗,实现高效率的属性映射机制。
(3)实现细粒度灵活性的属性映射,满足动态化的属性映射需求:
目前属性映射方法主要通过映射各个域属性名实现,并且利用已构建的标准库映射,这种方法存在粗粒度并且映射不够灵活的问题。本发明设计的跨域访问属性映射方法,通过属性名和属性值空间的双维度的映射,实现细粒度的跨域属性映射。本发明设计的基于属性等级的映射方法,通过制定属性信息的映射规则,满足灵活动态化的属性映射需求。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1为本发明一种基于跨域访问控制的属性映射方法流程图。
图2为本发明一种基于跨域访问控制的属性映射***示意图。
图3为本发明一种基于跨域访问控制的属性映射方法具体实施例。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
实施例1,如图1所示,本发明提供了一种基于跨域访问控制的属性映射方法,所述方法包括:
S201:可信中心认证参与跨域数据共享的所有管理域的合法性,各管理域携带证书以及管理域相关信息在可信中心注册,如果可信中心验证管理域是合法的,则会颁发认证标识符(标识符唯一且实现完整性校验)。
S202:参与跨域数据共享的域与可信中心协商必须携带的跨域请求属性(数据拥有者域ID、数据管理者域ID、源域签名,可信标识等信息)。
S203:制定映射规则并匹配请求属性的标识符,依据标识的属性等级选择映射方法。
S204:利用深度学习聚类,针对属姓名进行一对一映射,针对属性值进行权重计算、填充计算、格式化再映射。
S205:可信中心经过属性映射,生成新的跨域属性证书后,发送给数据使用者,数据使用者将新属性证书与旧属性对比,生成属性静态存储表。如果静态映射表过期或不满足有效期条件则删除,否则静态映射生效。后续进行跨域访问先查看有效的静态表进行属性映射。如果映射成功则直接进行跨域访问,如果无法映射则跳回S204步骤。
S206:可信中心将属性映射结果动态存储,依据各域的认证标识符和属性信息变化,动态地更新相应的属性映射表,并为动态映射表设定失效条件,后续到可信中心的跨域访问请求先至动态映射表查询。如果查询无果则回到S204步骤进行映射。
如图2所示,在本发明的第二方面,提供了一种基于跨域访问控制的属性映射***,设计了新的属性映射机制,实现了高效率、细粒度、动态化的属性映射,满足大规模数据跨域交互场景下的跨域访问控制需求。该方法由三个模块组成:跨域认证模块,属性映射模块和映射存储模块。其中,1)跨域认证模块包括跨域注册和属性认证,参与跨域数据共享的各个管理域在可信中心进行认证,并协商参与跨域必须携带的属性信息,确保跨域各方及属性的合法性等。2)属性映射模块主要包括制定映射规则和深度学习映射机制,映射规则中制定属性名和属性值空间的相关映射方式,实现细粒度和动态化的属性映射,深度学习映射机制实现高效率的属性映射。3)映射存储模块包括动态存储和静态存储方式,降低属性映射计算资源的消耗,减少属性映射的时间成本。
跨域认证模块:
跨域注册单元:跨域的各方在可信中心注册各管理域信息,可信中心依据各域的认证信息验证其合法性。保证属性所有者以及可信中心获取的属性是可信的,合法性认证是跨域属性映射安全的基础。
属性认证单元:可信中心与跨域各方协商跨域访问请求中必须携带的属性信息(数据拥有者所在管理域和数据使用者所在管理域信息以及可信中心的认证ID等信息),规范化请求中必须携带的跨域属性信息,增加了跨域访问的安全性。
属性映射模块:
制定映射规则单元:利用标识符设定属性映射的等级,针对属性名和属性值都设定标记,标记主要区分以下映射规则:a.属性名的映射;b.具有唯一性的属性值空间(用户ID等信息)的映射;c.具有动态性的属性值空间(上下文属性信息)的映射;d.具有可信指标的属性值空间(职位、等级、角色等信息)的映射等。
深度学习映射单元:依据指定的映射规则进行属性映射,需要匹配相应的标记符完成两次映射,第一次是针对属性名的一对一映射,第二次是对针对属性值空间的映射(包括权重计算)。映射方式利用深度学习聚类技术,提取出各属性信息的词向量,利用深度学习网络和聚类算法,其中总损失为网络损失与聚类损失之和,对属性信息进行深度聚类并映射。这种方法提高了大量的属性映射时的效率和性能,适合大规模动态化的跨域访问数据场景。
通过神经网络将数据xi映射到特征zi,用zi做聚类,同时对特征zi迭代更新,对应网络损失函数如下:
Figure BDA0004114047860000061
gw':zi→x'i
其中xi为数据,zi是xi在低维特征空间中的嵌入点,嵌入点是输入样本的有效特征表示,通过聚类算法在zi进行聚类,x'i是xi经过解码器后的重构样本,用于重置损失,设计重构样本是为了来保障嵌入式空间特征的代表性,使嵌入点更适合聚类任务,以此来得到最优的聚类结果,gw'为zi到x'i的映射。
该方法设计编码器和解码器,通过重建损失训练自动编码器,完成数据经过非线性映射到潜在特征空间的数据表示,并将该数据表示即特征,用作聚类模块的输入。之后,使用聚类分配强化损失对网络进行微调,同时迭代改善聚类。
映射存储模块:
静态存储单元:将可信中心的属性映射结果静态存储至数据使用者管理域,并设置静态表的失效时间和失效条件,如果满足条件则管理域删除该静态映射表,如果静态映射表有效,数据使用者进行跨域请求时先从静态表进行映射,这种存储映射表在数据使用者端的设计,可节省属性映射的时间,从而提高跨域访问的效率。
动态存储单元:可信中心实现动态存储,依据属性映射结果构建动态映射存储表并设置失效条件。通过不同跨域访问请求的属性映射动态地更新存储表,后续可信中心收到跨域请求首先从动态映射表查找映射结果,再依据标记的等级进行常规映射,这种设计减少了可信中心的计算资源消耗,提高了属性映射的效率。
实施例2:
如图3是一种跨域访问控制的属性映射方法的具体实施例子,为一个多域访问控制***,供应商企业、制造商企业、物流企业在三个不同的管理域内,三个企业间进行有效的协同合作,需要部分数据共享。比如供应商企业的商品库存等信息,设备制造商的产量等信息,这些信息都属于敏感数据,涉及企业机密和企业资金,如果泄漏会对企业造成重大的损失。解决其中的数据安全问题需要跨域的访问控制安全机制,但是跨域访问控制中属性映射是基础也是至关重要的,本文方法通过实现安全的属性映射来保证了跨域访问控制的安全性。本方式通过实现细粒度、动态化、高效率的属性映射机制,实现了大规模动态环境下的跨域访问控制需求,实现高效安全的跨企业数据交互。供应商企业、制造商企业、物流企业的跨域属性映射具体流程如下:
1)参与跨域访问的各企业发送管理域的信息(证书信息)至可信中心,可信中心认证供应商企业、制造商企业、物流企业的管理域的合法性。如果是合法的则生成管理域认证标识,如果是不合法则无法参与跨域访问。
2)供应商企业、制造商企业、物流企业域管理者与可信中心协商必要属性信息(各域ID,时间、数据拥有者标识、数据使用者标识等),并协商属性等级。
3)各域管理者制定属性映射规则,依据协商的属性等级为各域的属性名和属性值空间划分等级标识符。各个跨域请求的属性列表可分为四列(属性名等级、属性名、属性值等级、属性值空间)。
例如:供应商企业的数据使用者的跨域请求属性为:{[name:xx];[age:xx];[uid:xxx];[roal:xxx];[level:xxx];[evn:xxx];[gid:xxx];[time:x xx]...}。制造商企业数据拥有者的属性策略为{[姓名:xxx];[年龄:xx];[用户标识:xxx];[职位:xx];[职级:xxx];[上下文:];[时间:];},依据属性等级划分,类name、age、time、姓名、年龄信息为a级别,这类映射属性名,对属性值空间进行格式化设置,无需映射属性值空间;roal、level、职位、职级为d级别,这类可信指标的属性值空间需要结合权重计算进行映射。
4)可信中心将跨域请求的属性依据等级标识符进行映射,利用深度聚类算法对属性名和属性值空间进行细粒度的映射。
例如:其中供应商的属性列表[level:1-5],制造商的属性列表[职级:1-9],
物流企业的属性列表[等级:1-3];这类属性先计算权重在进行聚类。这类属性首先识别属性等级,然后进行映射,最终结果将供应商的3级映射到制造商的5级,映射到物流企业的2级。
5)可信中心实现映射后,发送新的属性证书给供应商的域管理者,数据使用者(供应商)用映射后的属性信息访问数据拥有者(制造业),数据拥有者依据自身管理域的访问控制策略限制使用者对数据资源的访问。供应商的管理域依据新旧属性生成静态存储表,后续供应商的数据使用者跨域访问数据拥有者时,首先到静态表进行属性映射,如果查询不到再将跨域请求发送至可信中心进行映射(第四步)。
6)可信中心将映射结果动态存储,依据每次的映射结果动态更新存储表,动态存储表的有效期内可信中心收到跨域请求,首先到动态表进行属性映射查找,如果查询不到映射结果再跳回第四步,如果动态表的有效期已过可以清除缓存。综上所述,本发明所设计的基于区块链的数据受控访问方法及***,实现了基于区块链的可信访问控制逻辑,可靠高效的数据加解密以及可信的私钥分发方案,通过链下存储,链上身份验证的机制实现了数据的可信受控访问。数据访问者发送访问请求,经由区块链上所设计的基于智能合约的访问控制逻辑实现对访问者身份信息的可信验证;访问者身份信息验证成功后,会触发智能合约预设条件,将加密后的私钥以及文件位置信息发送给访问者;访问者再使用预先接收的共享私钥将用户私钥解密,再使用私钥解密文件地址检索文件,最后使用用户私钥解密所检索到的文件。
综上所述,本发明设计了基于可信中心属性映射的思想,利用深度学习属性映射的技术,设计了细粒度、动态化、高效率的属性映射方法,实现了适合大规模数据跨域交互的访问控制安全机制。本发明设计了跨域认证的方法,保证属性映射机制的安全性。可信中心认证各管理域的合法性,对合法的域生成的认证标识,并进行属性协商及认证,保证属性所有者以及可信中心获取的属性是可信的,保证了属性映射机制的安全性。设计了深度聚类的属性映射机制,深度子空间聚类算法能充分利用神经网络强大的特征提取能力,使用更具判别性的特征寻找更准确的子空间,完成属性精准聚类,实现高效率的属性映射。同时,这种属性映射方法可以应对灵活改变的属性信息,能够实现动态化的属性映射。设计了基于属性等级的映射方法,对属性名和属性值空间进行等级划分,实现细粒度属性映射。设计了属性映射的静态存储和动态存储方法,通过数据使用者域存放静态映射存储表,可信中心存放动态映射存储表的方法,利用有效的缓存机制,提高了属性映射的效率,无需管理域计算属性映射,减少映射计算资源的消耗。
尽管已经示出和描述了本发明的实施例,本领域技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变形,本发明的范围由权利要求及其等同物限定。

Claims (10)

1.一种基于跨域访问控制的属性映射方法,其特征在于,所述方法包括:
S201:可信中心认证参与跨域数据共享的所有管理域的合法性,各管理域携带证书以及管理域相关信息在可信中心注册,如果可信中心验证管理域是合法的,则会颁发认证标识符;
S202:参与跨域数据共享的域与可信中心协商必须携带的跨域请求属性;
S203:制定映射规则并匹配请求属性的标识符,依据标识的属性等级选择映射方法;
S204:利用深度学习聚类,针对属姓名进行一对一映射,针对属性值进行权重计算、填充计算和格式化再映射;
S205:可信中心经过属性映射,生成新的跨域属性证书后,发送给数据使用者,数据使用者将新属性证书与旧属性对比,生成属性静态存储表;若静态映射表过期或不满足有效期条件则删除,否则静态映射生效;后续进行跨域访问先查看有效的静态表进行属性映射;若映射成功则直接进行跨域访问,若无法映射则跳回S204步骤;
S206:可信中心将属性映射结果动态存储,依据各域的认证标识符和跨域请求属性变化,动态地更新相应的属性映射表,并为动态映射表设定失效条件,后续到可信中心的跨域访问请求先至动态映射表查询,若查询无果则回到S204步骤进行映射。
2.根据权利要求1所述的一种基于跨域访问控制的属性映射方法,其特征在于,所述标识符是唯一且实现完整性校验的。
3.根据权利要求1所述的一种基于跨域访问控制的属性映射方法,其特征在于,所述跨域请求属性包括数据拥有者域ID、数据管理者域ID、源域签名和可信标识。
4.一种基于跨域访问控制的属性映射***,其特征在于,包括:
跨域认证模块:用于对参与跨域数据共享的各个管理域在可信中心进行认证,并协商参与跨域必须携带的属性信息,确保跨域各方及属性的合法性;
属性映射模块:用于实现细粒度和动态化的属性映射和实现高效率的属性映射;
映射存储模块:用于降低属性映射计算资源的消耗和减少属性映射的时间成本。
5.根据权利要求4所述的一种基于跨域访问控制的属性映射***,其特征在于,所述跨域认证模块包括跨域注册单元和属性认证单元;
所述属性映射模块包括制定映射规则单元和深度学习映射单元;
所述映射存储模块包括静态存储单元和动态存储单元。
6.根据权利要求5所述的一种基于跨域访问控制的属性映射***,其特征在于,所述跨域注册单元用于保证属性所有者以及可信中心获取的属性是可信的;
所述属性认证单元用于规范化请求中必须携带的跨域属性信息,增加了跨域访问的安全性。
7.根据权利要求5所述的一种基于跨域访问控制的属性映射***,其特征在于,所述制定映射规则单元用于利用标识符设定属性映射的等级,针对属性名和属性值都设定标记,所述标记区分映射规则;
所述深度学习映射单元用于依据指定的映射规则进行属性映射,需要匹配相应的标记符完成两次映射。
8.根据权利要求7所述的一种基于跨域访问控制的属性映射***,其特征在于,所述映射规则包括:1、属性名的映射;2、具有唯一性的属性值空间的映射;3、具有动态性的属性值空间的映射;4、具有可信指标的属性值空间的映射;
所述属性值空间包括职位、等级和角色;
所述两次映射具体为:第一次是针对属性名的一对一映射,第二次是对针对属性值空间的映射。
9.根据权利要求5所述的一种基于跨域访问控制的属性映射***,其特征在于,所述静态存储单元用于将可信中心的属性映射结果静态存储至数据使用者管理域,并设置静态表的失效时间和失效条件,如果满足条件则管理域删除该静态映射表,如果静态映射表有效,数据使用者进行跨域请求时先从静态表进行映射。
10.根据权利要求5所述的一种基于跨域访问控制的属性映射***,其特征在于,所述动态存储单元用于实现可信中心的动态存储,依据属性映射结果构建动态映射存储表并设置失效条件,通过不同跨域访问请求的属性映射动态地更新存储表,后续可信中心收到跨域请求首先从动态映射表查找映射结果,再依据标记的等级进行常规映射。
CN202310207409.XA 2023-03-06 2023-03-06 一种基于跨域访问控制的属性映射方法及*** Pending CN116318931A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310207409.XA CN116318931A (zh) 2023-03-06 2023-03-06 一种基于跨域访问控制的属性映射方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310207409.XA CN116318931A (zh) 2023-03-06 2023-03-06 一种基于跨域访问控制的属性映射方法及***

Publications (1)

Publication Number Publication Date
CN116318931A true CN116318931A (zh) 2023-06-23

Family

ID=86786393

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310207409.XA Pending CN116318931A (zh) 2023-03-06 2023-03-06 一种基于跨域访问控制的属性映射方法及***

Country Status (1)

Country Link
CN (1) CN116318931A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294465A (zh) * 2023-08-11 2023-12-26 广州大学 一种基于跨域通信的属性加密***及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117294465A (zh) * 2023-08-11 2023-12-26 广州大学 一种基于跨域通信的属性加密***及方法
CN117294465B (zh) * 2023-08-11 2024-06-07 广州大学 一种基于跨域通信的属性加密***及方法

Similar Documents

Publication Publication Date Title
US11875400B2 (en) Systems, methods, and apparatuses for dynamically assigning nodes to a group within blockchains based on transaction type and node intelligence using distributed ledger technology (DLT)
US11431486B2 (en) System or method to implement consensus on read on distributed ledger/blockchain
US11876910B2 (en) Systems, methods, and apparatuses for implementing a multi tenant blockchain platform for managing Einstein platform decisions using distributed ledger technology (DLT)
CN110268677B (zh) 在区块链***中使用域名方案进行跨链交互
US20170155686A1 (en) Fine-grained structured data store access using federated identity management
CN111919417A (zh) 在基于云的计算环境中用共识管理为分布式分类账技术实现超级社区和社区侧链的***、方法和装置
CN110543545B (zh) 基于区块链的档案管理方法、装置及存储介质
CN112085417A (zh) 一种基于区块链的工业互联网标识分配与数据管理方法
Chen et al. Bidm: a blockchain-enabled cross-domain identity management system
Sicari et al. Security&privacy issues and challenges in NoSQL databases
CN112703499A (zh) 用于计算以及可信验证的分布式平台
CN113271311B (zh) 一种跨链网络中的数字身份管理方法及***
Piao et al. Privacy preserving in blockchain-based government data sharing: A Service-On-Chain (SOC) approach
CN110046156A (zh) 基于区块链的内容管理***及方法、装置、电子设备
EP3744071B1 (en) Data isolation in distributed hash chains
US20230069247A1 (en) Data sharing solution
EP3817320B1 (en) Blockchain-based system for issuing and validating certificates
CN116318931A (zh) 一种基于跨域访问控制的属性映射方法及***
CN113011960A (zh) 基于区块链的数据访问方法、装置、介质及电子设备
Xiong et al. BDIM: A Blockchain-Based Decentralized Identity Management Scheme for Large Scale Internet of Things
Zhang et al. Research on access control scheme of system wide information management based on attribute association
CN116055051A (zh) 一种基于区块链网络的数据处理方法及相关设备
Tao et al. UEPF: A blockchain based Uniform Encoding and Parsing Framework in multi-cloud environments.
Lathiya et al. Blockchain-enabled Dynamic Document Ownership Verification
Yang Cloud data integrity verification algorithm for sustainable accounting informatization

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination