云计算环境中数据分布式强制访问控制算法

在云计算环境中,用户把敏感数据外包在云端,所以数据强制访问控制成为目前云计算研究中亟需解决的问题。当前常用的解决算法是加密数据密钥;但这种算法因密钥分发及数据管理导致计算开销大。因此,提出一种新的云计算环境中数据分布式强制访问控制算法。介绍了云计算环境中数据访问流程,分析基于密文策略和属性的加密算法。利用属性集合对云计算环境中的用户身份进行描述,通过访问控制树表示数据分布式强制访问控制结构,在用户属性集符合既定访问控制结构的情况下,用户才能够完成对数据的解密。通过属性私钥申请、文件上传和文件下载三个过程,实现数据分布式强制访问控制。实验结果表明,所提算法在效率、安全性、内存消耗和控制精度四个方面均显示出了很大的优势。     

一种基于角色和属性的云计算数据访问控制模型

云计算具有开放性、共享性和弹性等特点,这使得传统的访问控制模型不再适应云计算中大规模用户对海量数据灵活动态的访问控制。针对这一不足,该文从云计算实体的属性角度出发,提出一种基于角色和属性的云计算数据访问控制模型,该模型在基于角色的访问控制模型基础上为相关实体引入了属性元素,用户能够通过自身和所在租户的属性及当前的状态分配角色,从而访问不同属性的数据;对该模型进行了详细的设计,阐述了工作流程,并做了安全性证明和综合分析。结果表明:该模型能够在云计算环境下,为用户访问数据提供动态、安全、细粒度的访问控制保障。     

基于CP-ABE在云计算中实现数据访问控制的方案

由于用户将敏感数据外包在云端,数据安全和访问控制因而成为当前云计算研究中面临的最大的挑战。现存的解决方案通常是通过披露加密数据密钥,采用加密的方法来解决安全性和访问控制问题,但这些方法因为密钥分发和数据管理而给数据拥有者带来巨大的计算开销,同时也面临在设计用户吊销机制时的困难。为此,采用CP-ABE(ciphertext-policy attribute-based encryption)的安全机制探讨了有效用户访问外包数据面临的安全挑战,并且基于CP-ABE-R提出了数据访问控制云安全方案,对用户吊销机制问题进行了有效地解决。通过分析显示该方案有效而安全。     

融合属性基加密和信用度的水利数据访问控制模型

针对传统水利系统在数据交互过程中存在所有者对文件控制权弱、访问授权集中以及访问控制过程中的安全性问题,提出了一种融合属性基加密和信用度的水利数据访问控制模型。首先,文件经高级加密标准(advanced encryption standard, AES)加密上传至星际文件系统(interplanetary file system, IPFS),再将文件哈希值、IPFS地址哈希值以及访问策略等上传至数据链,达到分布式存储和数据所有权明确的目的。其次,用户利用访问策略对AES密钥进行属性基加密,实现用户对文件强控制权,达到仅满足策略的用户可访问和减轻授权集中压力的目的。最后,对用户信用度进行评估,利用数据链结合访问链的优势实现水利数据的分隔以及访问留痕的目的,提高系统的安全性。实验结果表明,所提模型的多区块链架构具有良好的运行性能且能够结合信用度评估动态控制用户权限,AES对称加密与多属性中心加密结合方式加密与解密效率具有优势,因此,该模型能够有效满足水利数据的访问控制需求。     

一种面向云计算环境的属性访问控制模型

针对云计算环境下的访问控制问题,结合云计算环境存在多个逻辑安全域的特点,提出一种面向云计算环境的属性访问控制模型。该模型采用基于属性的访问控制方法实现本地域和跨域访问决策。对该模型进行形式化描述并给出决策核心算法。在域间属性同步方面,设计一种信号量及P/V操作机制以解决对属性表调用和更新的互斥问题。仿真实验表明:该模型不仅实现细粒度访问控制,而且能够缩短访问控制决策时间,提高决策效率。     

基于属性加密的共享文件分级访问控制方案

针对文件共享中对文件管理松散、对人员权限设置不明确、不能实现对密文分级访问等问题,设计了一种基于属性加密的共享文件分级访问控制方案。构造了一种新型的属性加密算法,它将属性加密分成两个阶段进行,用户可以通过制定两类属性加密策略对数据进行分级属性加密,实现数据的分级访问控制。使用属性加密算法加密对称密钥,SM4对称加密算法加密数据的混合加密方法,进一步提高方案的加密效率。最后,对数据的安全性、属性加密算法效率及SM4算法效率进行分析。     

网络安全文件系统SecNFS中文件密码算法的选择与实现

当SecNFS作为安全网络文件系统使用时,文件服务器上存储的是文件的密文数据,客户端直接通过网络访问文件服务器上的文件,网络上传输的也只是文件的密文数据,所有文件数据的加／解密操作都在客户端内核中进行。每个文件都有自己的对称密钥,这个密钥使用用户的公钥加密存储在用户的访问控制文件中,用户只有通过自己的私钥解密文件密钥,才能对加密文件进行透明的读写操作。另外,对文件数据还提供完整性保护,在文件服务器或者在网络传输过程中对文件数据的任何篡改,都能被客户端察觉。     

支持撤销的多授权中心访问控制方案

为了缓解单授权中心的计算压力,近些年提出了多授权中心的访问控制方案.这些方案对于用户及属性的撤销问题并没有有效地解决.本文提出了一种基于CP-ABE的支持用户和属性撤销的多授权中心访问控制方案.通过引入密钥加密密钥（key encryption key,KEK）树实现用户和属性层级的撤销,同时将计算压力分散给多个授权中心,并将部分解密交给云服务器,减少了用户的计算消耗.通过安全性证明和实验结果表明,方案可以抵御合谋攻击,同时有效地降低撤销过程中密文和密钥更新的消耗时间.￣      

一种基于节点映射关系的云数据安全代理访问机制

随着移动终端多媒体技术的发展,用户逐渐将本地数据通过各种网络备份到云存储服务器上.云平台在提供廉价便捷的数据存储服务的同时也存在数据安全防护问题,尤其是密文数据访问控制完全依赖于云服务商.为了防止数据被非授权用户和半可信云存储提供商的非法访问,提出一种基于节点映射关系的CP-ABE属性加密算法,即通过属性管理降低权限管理的复杂度.在密文访问控制机制中引入密钥授权中心和安全代理实现存储服务与安全服务异地存储,保证在开放环境下云存储系统中数据的安全性.实验结果表明,这种属性管理机制在少量的系统开销下实现了数据存储与密钥存储的分离,具有较高的应用价值.     

基于物联网农田环境数据的安全访问控制

随着当前物联网边缘计算技术的发展,使得物联网数据安全访问的问题日益严峻,传统的基于用户权限的数据访问控制策略不能很好解决相关数据安全访问控制问题。为此,从用户身份认证和数据访问控制等方面研究物联网数据安全共享问题的解决方案。以物联网农田环境数据安全共享系统为应用背景,提出了一种基于用户属性和用户行为的数据安全访问控制模型,该模型以用户行为构建信任机制,并结合用户属性的设置与判定共同实现系统的数据安全访问控制。本文给出了模型的规则定义与构建、具体结构设计、数据处理控制流程以及用户信任度评价体系设计的详细过程及实例分析。通过分析结果表明,该模型设计具有较好的动态性和扩展性,能够实现物联网中用户对农田环境数据的安全访问,从而解决物联网数据安全共享问题。     

云环境下用户数据安全性访问控制算法

针对传统的用户数据安全性访问算法存在安全性及整体性能低下的问题,提出一种新的云环境下用户数据安全性访问控制算法。通过介绍所提算法的基本概念,利用模糊层次分析法计算云环境中用户数据直接信任值;通过用户和其他云服务之间的信任值求取用户数据推荐值;在此基础之上,确定用户数据综合信任值。通过用户数据信任等级分配得到用户访问权限,针对信任水平较低的用户,云服务供应商通过拒绝其访问保证整个云环境的安全性。实验结果表明,所提算法安全性高,整体性能强。     

基于UCON改进模型在云环境虚拟访问控制中的应用研究

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

属性盲化的模糊可搜索加密云存储方案

为保护基于属性的密文策略（ciphertext-policy attribute-based encryption,CP-ABE）可搜索加密云存储机制中数据使用者的属性隐私,实现云存储模糊可搜索加密,该文提出一种属性盲化的模糊可搜索加密云存储（attribute blinding fuzzy searchable encryption cloud storage,ABFSECS）方案.数据使用者的每个访问属性被随机盲化,再聚合为一个完整的盲化属性.通过关键字索引集和数据使用者生成的关键字陷门的匹配计算,实现了模糊可搜索加密云存储机制.利用云服务器的强大计算资源,引入预解密操作,减少了数据使用者的计算时间开销.安全性分析表明,ABFSECS方案具有不可伪造性,可抵抗数据使用者与云存储服务器间的共谋攻击,不会泄露数据使用者的属性隐私信息.      

支持大规模地震探测数据快速可视化的云端数据缓存技术

首先, 基于云计算应用模式, 提出一种能有效利用云存储架构的双层缓存技术. 通过在客户端和服务器端建立分布式缓存, 能有效避免用户频繁访问远端数据, 为用户构建轻量级的客户端, 解决了目前地学数据可视化软件大量占用用户本地存储容量的问题. 同时服务器端也避免了多次访问云存储文件系统, 减少了大量的数据检索与加载时间. 其次, 提出一种ARLS(association rule last successor)访问预测算法, 根据用户的历史访问记录, 利用关联规则挖掘用户的访问模式, 对其访问行为进行预测, 进而提前加载数据, 提高缓存命中率, 解决了用户在可视化过程中不断移动兴趣区域, 频繁更换渲染数据的问题, 能有效应对用户具有多种访问模式的情况, 提高了预测准确率. 实验结果表明, 该云存储架构显著减少了本地资源消耗, 访问预测算法的准确率在最差情形下可达47.59%, 平均准确率达91.3%, 分布式缓存的平均缓存命中率达95.61%, 可有效支持云端大规模地震数据的快速可视化.     

一种高效的具有属性撤销的访问控制协议

采用外包计算技术构造一种基于密文策略的属性加密数据访问控制方法,具有高效的属性撤销功能,可以减少用户的计算量和通信量.其最大特点是将解密秘钥分为两部分,一部分发送给云服务器,另一部分发送给用户,使得云服务器可以帮助用户解密密文,减少了用户计算量,也减少了用户和云服务器的通信量.     

一种基于MapReduce的粗糙集并行属性约简算法

云计算技术是海量数据挖掘的一种高效解决方案,将MapReduce并行计算模型与粗糙集属性约简算法相结合,提出一种基于MapReduce的浓缩布尔矩阵并行属性约简算法.该算法提高了粗糙集属性约简算法对大数据的处理能力和效率,并能适应云计算环境.实验结果表明,所提算法具有良好的效率、加速比和可扩展性.     

云存储环境下基于CP-ASBE数据加密机制

针对基于属性集合加密机制依赖一个授权中心进行密钥计算,容易成为系统安全瓶颈问题,提出基于多个属性授权机构的属性集合加密机制,提高密钥的安全性.授权中心由多个属性授权机构(attribute authority,AA)构成,每个AA负责管理部分属性集合,完整的密钥计算需要多个AA的参与,提高攻击难度.将该机制应用于云环境,对文件加密、密钥计算及文件解密进行分析,设计云存储环境下行之有效的数据加密机制,并对该机制的安全性及时间开销进行分析,实验表明该方法是可行的.     

航空电子系统的云计算模型研究

云技术是提高分布式系统灵活性和扩展性的关键技术,在航空电子系统中引入云技术可以降低产品研发周期和成本,但首先需要设计符合机载环境需求的云模型。在分析商用云的服务模型结构基础上,结合行业内的相关标准,给出了一种新型航空电子云模型。建立了层次化的云模型架构,包括物理资源层、本地资源管理层、资源虚拟层、平台管理层和应用功能层;采用虚拟化技术建立资源虚拟模型,隔离软件APP与硬件资源和软件环境;分布式的数据动态发布与订阅,提高应用部署的灵活性;分布式资源管理,实现资源池管理、健康监控和故障管理;分布式存储模型,提供分布式数据和文件共享能力。遵循行业标准,为应用软件提供面向服务的航空电子云计算模型,对工程实践具有一定的指导意义。     

云计算环境中基于对象和用户的角色访问控制模型*

针对云计算环境中资源按需访问的特点以及不同资源不同用户访问控制的特殊性,基于基本角色访问控制模型(role-based access control,RBAC),提出一种基于对象和用户的角色访问控制模型OURBAC(object-and-user based on RBAC);并设计了具体的用户访问权限判定规则。以实际实现应用为背景,设计了OURBAC的具体实现流程,对算法的安全性进行了分析,表明本算法使云资源访问控制得以进一步细化,能明显减少系统中角色数量,有效的提高了系统运行效率及安全性。     

多目标云资源最佳适应匹配算法的研究

随着云计算的持续研究和发展,面向用户需求的云资源管理与选择是云计算中的重要研究方向之一.为了满足用户的多种云资源需求,使用树型云资源属性管理表(AMT-Tree)对云资源进行管理,并提出一种多目标云资源最佳适应匹配算法(MoOam),保障用户在海量数据下得到最优资源.实验结果表明:MoOam算法在资源匹配中是有效的.