智慧园区信息化安全管控与追溯技术研究

作     者：牛一如 

作者单位：中国电子科技集团公司电子科学研究院 

学位级别：硕士

导师姓名：江泓

授予年度：2023年

学科分类：08[工学] 0813[工学-建筑学] 0814[工学-土木工程] 

主      题：智慧园区 双因子认证 基于属性的访问控制 防篡改 联盟链 

摘      要：近年来,智慧园区建设已成为代表性的信息化设施,是全球园区发展的新趋势。但是目前针对智慧园区的研究大多关注的是如何实现“智慧,而其“安全并未得到足够的重视,未重点关注到智慧园区中出现最多的“人可能产生的安全风险。智慧园区内目前针对智慧园区内用户的管理存在缺失,安全需求仍较高,迫切需要将园区内所有智能设备的数据进行统一管理,充分利用收集到的数据对用户进行认证与管控。同时要做好用户移动日志的记录,便于事后对移动轨迹进行追溯,真正利用园区智能设备为园区安全管理提供数据支持。为实现以上目标,本文开展了以下研究工作:(1)在园区用户移动时,设计了针对用户的身份认证和精细化权限管控方案。针对以往单因子认证安全性不足,多因子认证效率较低的问题,结合用户人脸信息和RFID标签信息设计了一种双因子认证协议,保证安全性的同时又具有较好的效率;然后对Wang所提出的策略冲突检测方案无法检测冗余策略,以及目前检测方案在智慧园区场景下可做优化的情况,提出了策略分类存储方法及改进的策略冲突与冗余检测方法;(2)在园区用户移动后,设计了对用户移动日志的防篡改存储及可追溯方案。由于目前针对日志安全存储及审计的方案基本是为云存储或计算机系统所设计,与本文研究场景的日志产生主体和研究重点都有所不同。因此本文设计了日志生成协议,使得每条日志都由生成该日志的实体进行签名,并使用MHT和分布式存储、Hyperledger Fabric联盟链分别设计了两套日志安全存储方案,以保证日志的不可伪造性、不可否认性、防篡改和可追溯。(3)对上述方案进行了模拟实验实现,其中由于基于Fabric的方案容易获取用户上次访问区域,因此实验时仅对此日志安全存储方案进行了实现。实验中实现了用户身份双因子认证、多方联合授权及策略冲突检测,以及抗篡改、可追溯的用户移动日志生成存储等所需功能。