NDN访问控制最近调研总结

因为毕设是做NDN安全相关的内容，导师说让做访问控制方面，所以就调研了相关文献。发现现在NDN的访问控制主要分为：以普通加密为基础的、以属性加密为基础的、以代理重加密为基础的、以会话为基础的、多种方式组合的。现在的方案每种方式或多或少都有些问题，具体问题如下：

1.过多的额外通讯或者计算开销，效率低

2.需要额外的可信第三方

3.用户权限回收无法做到

4.个别方案放弃了缓存的利用

具体调研的文章如下，大都是一篇综述中的相关文章。综述文章为：

Zheng Q, Wang G, Ravindran R,et al. Achieving secure and scalable data access control in information-centric networking[C]//Communications(ICC), 2015 IEEE International Conference on. IEEE, 2015: 5367-5373.

Toward Content-CentricPrivacy in ICN:Attribute-based Encryption and Routing

提供了一种思路，把名字与属性值以及元数据结合，通过ABE(KP-ABE,CP-ABE)加密来实现访问控制。

思考：这样的做法把访问控制放在了数据本身上，做到了消费者与发布者之间的解耦，有待考虑，不过ABE来实施访问控制确实有它的好处，可以深入了解下。ABE有一定的缺点：低效率、缺乏属性回收机制。

 

Li B, Huang D, Wang Z, etal. Attribute-based access control for ICN naming scheme[J]. IEEE Transactionson Dependable and Secure Computing, 2016.

这篇论文提出了一种基于ABE加密访问控制实施方案。

内容的属性分为两部分一部分为描述属性，用于转发，一部分为访问控制属性用于访问控制。每一个属性都是由一个属性权威(attributeauthority)管理和分发，系统启动时每个属性权威都要给拥有它分发的属性的节点生成一个秘钥。

发布者对每一个内容定义访问策略(即定义访问控制属性),之后生成一个随机加密秘钥加密数据，连同元数据组成内容，之后根据访问控制策略和加密秘钥生成内容名。

消费者需要用他的属性对应的秘钥将文件名解开，如果能加文件名完全解开便可以获得解密秘钥，从而得到内容数据。

没有权限的消费者即使获得文件也无法获得文件解密秘钥，更不能得到内容数据。

  

Interest-Based AccessControl for Content-Centric Networks

由于兴趣包的名称必须要匹配到对应的数据包才能得到返回的数据包，所以就可以通过模糊名称，使得只有合法消费者才能够得到对应的模糊名称从而得到对应的内容。由于ICN需要使用名称前缀进行路由，所以这里采用部分模糊，通常是模糊名称的后缀。文中提到两种模糊方式：基于加密的模糊和基于哈希的模糊。

 

基于加密的模糊:消费者加密名称得到模糊名称，请求该模糊名称的内容，生产者解密模糊名称，用模糊名称回复对应的内容。对于具有不同权限的组之间分发不同的秘钥，请求内容时需要将秘钥的哈希值作为身份信息发送，使发布者知道用什么秘钥解密。

基于哈希的模糊：模糊名称是通过带秘钥的哈希得到，发布者要维护模糊名称和真正名称的一个映射表。增加了计算和存储开销。。

为了应对重放攻击，需要将nonce、时间戳、秘钥哈希值以及对这三者和模糊名称的签名作为interst的负载一同发出。路由器需要维护一个nonce表。

为了认证签名，当兴趣包到生产者的时候，需要根据身份信息来找到对应的公钥，之后认证成功后，解密并返回对应的内容连同找到的公钥。路由器便会储存对应的公钥，当再次请求时便可认证请求者的身份。

 

思考：因为不同组对于同一个内容有不同的秘钥，所以在网络中会遇到许多不同的副本，若要解决这个问题可以使用基于哈希的模糊，两者各有利弊。并且文中这种方法很难做到回收权限。不过思路倒是可以借鉴。

 

Data-based access control inNamed Data Networking

没什么新奇的地方。

有一个认证服务器用来认证身份判断权限，有权限则给对应的密码用来读取文件。

多了额外的通信花费。

哎，真没啥涵养。。。

  

Li Q, Sandhu R, Zhang X, etal. Mandatory Content Access Control for Privacy Protection in InformationCentric Networks[J]. IEEE Transactions on Dependable and Secure Computing,2015.

将网络中的成员分为主体和客体，主体是敏感的(内容转发进程和内容缓存进程)和非敏感的进程，客体是内容和内容请求。给主体和客体都分配一个标签来表示其保护等级，标签由高到低为h,n,d,p。

内容转发进程的等级为h,内容缓存进程的等级为n，非敏感进程由于其只读一些不受保护的即等级是p的内容其等级也为p。

客体的等级与系统的安全策略相对应：

客体等级为h时，用来实现非缓存策略；客体等级为n时，用来实现1-level缓存策略(发布者与第一个路由建立连接，第一个路由读取后将客体等级改为h)；客体等级为d时用来实现n-level缓存策略；客体等级为p时，用来实现都可读策略。

一个客体可以被任何内容转发进程读取，因为内容转发进程等级为h。

只有安全等级小于h的客体可以被内容缓存进程读取。

为了实现路由器之间的硬件上的信任，需要THM(可信硬件模块)来证实路由器中其他模块的完整性。MCAC路由器主要有三个模块，TSM(可信存储模块)用来相邻路由器协商秘钥并交给TEM(可信实施模块).TLM(可信标签模块)用来执行MCAC。TEM负责转发内容以及重新给内容定级。

整体流程：

路由器启动，从TSM中从THM中获取秘钥k，然后和相邻路由器进行DH秘钥交换，将得到的秘钥传递给TEM。内容提供商生成带标签l的内容给第一个路由器，之后由TLM检测内容的等级，如果是h则，则通过协商的秘钥加密传给下一个路由器。如果是n则内容传递给TSM，重定义等级，加密后传给下一个路由器。如果是d则直接传递给TSM和下一个路由器。如果是p则直接传递给TSM、下一个路由器以及其他应用。

Tan X, Zhou Z, Zou C, et al. Copyright protection in named datanetworking[C]// International Conference on Wireless Communications &Signal Processing. IEEE, 2014:1-6.

主要思路是把文件分成两部分，一部分很小但是没它就不能读这个文件，只有合法用户才能获取小部分文件，大部分文件可以再路由器缓存，小部分问件每次都要去源找。

Chen T, Lei K, Xu K. An encryption and probability based access controlmodel for named data networking[C]// IEEE International PERFORMANCE Computingand Communications Conference. IEEE, 2014:1-8.

主要思路是在源维护一个合法用户的表，通过布隆过滤器来判断是不是合法用户，这个不是完全的准确有几率出错。

da Silva R S, Zorzo S D. An access control mechanismto ensure privacy in named data networking using attribute-based encryptionwith immediate revocation of privileges[C]//Consumer Communications andNetworking Conference (CCNC), 2015 12th Annual IEEE. IEEE, 2015: 128-133.

这篇文章利用之前有人提出的CP-ABE权限回收方案提出了自己的NDN访问控制机制。

大体思路：有一个代理服务器负责访问结构的转换，用户发布内容会分为两部分，一部分为加密的数据，它会被路由器缓存，另一部分为访问结构(用来实施访问控制),它会被传输到代理服务器中。当有用户请求相应数据时，加密的数据会直接返回给用户，其次代理服务器用它的代理秘钥转换访问结构，发送给用户，只有合法用户利用他的私钥和访问结构一起才能够解开加密的数据。如果有用户权限被收回，发布者将那些用户的ID发给代理服务器，代理服务器生成新的代理秘钥，这样被回收权限的用户就不能够正常获取内容。