通信学报 ›› 2019, Vol. 40 ›› Issue (7): 67-76.doi: 10.11959/j.issn.1000-436x.2019151

• 学术论文 • 上一篇    下一篇

面向数据跨域流转的延伸访问控制机制

谢绒娜1,郭云川2,李凤华1,2,3(),史国振4,王亚琼1,耿魁2   

  1. 1 西安电子科技大学网络与信息安全学院,陕西 西安 710071
    2 中国科学院信息工程研究所,北京 100093
    3 中国科学院大学网络空间安全学院,北京 100049
    4 北京电子科技学院电子与通信工程系,北京 100070
  • 修回日期:2019-03-24 出版日期:2019-07-25 发布日期:2019-07-30
  • 作者简介:谢绒娜(1976- ),女,山西永济人,西安电子科技大学博士生,主要研究方向为网络与系统安全、访问控制、密码工程。|郭云川(1977- ),男,四川营山人,博士,中国科学院信息工程研究所副研究员、博士生导师,主要研究方向为访问控制、形式化方法。|李凤华(1966- ),男,湖北浠水人,博士,中国科学院信息工程研究所研究员、博士生导师,主要研究方向为网络与系统安全、信息保护、隐私计算。|史国振(1974- ),男,河南济源人,博士,北京电子科技学院副教授、硕士生导师,主要研究方向为网络与系统安全、嵌入式安全。|王亚琼(1994- ),女,山西朔州人,西安电子科技大学硕士生,主要研究方向为访问控制与网络安全。|耿魁(1989- ),男,湖北红安人,博士,中国科学院信息工程研究所助理研究员,主要研究方向为网络安全。
  • 基金资助:
    国家重点研发计划基金资助项目(016YFB0801002);国家自然科学基金资助项目(U1836203);中国科学院战略先导专项基金资助项目(XDC02040400)

Extended access control mechanism for cross-domain data exchange

Rongna XIE1,Yunchuan GUO2,Fenghua LI1,2,3(),Guozhen SHI4,Yaqiong WANG1,Kui GENG2   

  1. 1 School of Cyber Engineering,Xidian University,Xi’an 710071,China
    2 Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China
    3 School of Cyber Security,University of Chinese Academy of Sciences,Beijing 100049,China
    4 Department of Electronics and Communication Engineering,Beijing Electronic Science and Technology Institute,Beijing 100070,China
  • Revised:2019-03-24 Online:2019-07-25 Published:2019-07-30
  • Supported by:
    The National Key Research and Development Program of China(016YFB0801002);The National Natural Science Foundation of China(U1836203);The Strategic Priority Research Program of the Chinese Academy of Sciences(XDC02040400)

摘要:

针对复杂网络环境中数据跨域流转后的受控共享,提出了一种延伸访问控制机制。所提控制机制分为约束控制和传播控制2类,其中,约束控制解决访问请求实体在访问请求前对数据的访问授权问题,传播控制用于数据脱离数据中心后对数据的延伸控制。所提机制基于数据自身及数据流转过程中的起源信息,实现了对数据的直接和间接访问控制。理论分析证明了所提机制的安全性和有效性。以电子发票全生命控制为例,展示了所提机制的实施方法,该实例表明,所提机制能解决跨域跨系统交换后的数据细粒度延伸控制问题。

关键词: 跨域, 数据流控制, 数据起源, 延伸授权, 传播控制

Abstract:

Aiming at the controlled sharing for cross-domain data exchange for complicated application systems,an extended access control mechanism was proposed.The control process was divided into two steps:constraint control and propagation control.The constraint control was used to ensure that access to data was authorized before access request,and the propagation control was used for further extension control after obtaining data access right.In addition,by considering data self and data provenance,the direct and indirect access control were realized.Theoretically,the security and effectiveness of the proposed mechanism were proved.Finally,taking the control of electronic invoice as an example,the implementation approach was proposed.The example shows that the proposed mechanism can perform the fine-grained extended control before and after data in the cross-domain and cross-system are exchanged.

Key words: cross-domain, data flow control, data provenance, extended authorization, propagation control

中图分类号: 

No Suggested Reading articles found!