可验证外包数据访问控制方案的分析与改进

在双系统模型中,基于密钥封装机制,提出一个可验证的外包加密、解密方案。将计算量大的运算外包给加密服务提供者(ESP)和解密服务提供商(DSP),减少本地用户的计算量。同时引入防陷害功能;即若DSP返回正确结果,用户不能恶意指责DSP返回的结果为不正确;这可以有效解决用户和外包计算服务提供商之间的争议,服务提供者也将不会恶意给出错误的结果。提出的外包密钥生成算法,使得用户只进行一次指数运算,提高了转换密钥的生成效率。与同类的方案相比,本方案实现了细粒度的访问控制,增加了方案在实际应用中的可行性。     

Scheme on Cross-Domain Identity Authentication Based on Group Signature for Cloud Computing

In the cloud computing, different cloud service providers are often in different trust domains. As the traditional identity authentication mode cannot be applied to the cloud computing, the cross-domain identity authentication mechanism is needed to solve the identity authentication problem in the cloud computing. In view of the security problems in cloud computing, a cross-domain identity authentication scheme based on group signature is proposed. This scheme introduces a group of cloud service providers and users who are located in different trust domains. Any member of the group can generate the signature on behalf of the whole group, making the user access the cloud service provider in the case of privacy security. At the same time, with traceability it can track illegal operation of illegal users. In addition, the scheme uses the Chinese Remainder Theorem to integrate the message, and it can control the length of the data in the calculation process, simplifying the calculation process. It also realizes the join and revocation of group members without changing the key of other legitimate group members, and the maintenance cost of authentication schemes is low. The results show that the scheme has the advantages of anonymity, anti-counterfeit, traceability, anti-joint attack and so on. It can not only realize tracking function under the condition of guaranteeing user's privacy, but can also simplify the authentication calculation process to improve the efficiency of the cross domain identity authentication, and its performance is more suitable for large-scale cloud computing environment.     

一种多粒子群切换决策机制

提出了一种切换决策机制,支持总最佳连接ABC(always best connected).该机制综合考虑接入网络状况、应用需求、用户对接入网络编码制式偏好、用户对接入网络供应商偏好、终端当前运动速率和终端当前剩余电量等因素,通过博弈分析,基于含最优变异的多粒子群优化算法,寻找把N个终端分配到M个接入网络的最佳切换决策方案,使用户和网络提供方效用达到或接近Nash均衡下的Pareto最优.仿真结果表明,该机制是可行和有效的.     

混合云模式下数据安全存储方案

针对混合云模式下数据安全存储与共享使用的问题,提出一种适用于混合云模式下的高效数据安全共享方案,该方案采用密文策略的属性基加密机制加密数据,通过私有云将密文数据存储在公有云上;移动用户访问云数据时,采用匿名密钥协商技术和委托加解密方法,保证用户对数据的快速访问.实验结果表明,本方案能够保证公有云上数据的安全存储,支持细粒度的访问控制,同时将大部分解密计算委托给私有云,减少移动云用户访问云数据的处理时间,使得其加解密时间为恒定值,不会随着属性的增多而线性增长.      

一种层次信任的多粒度RBAC扩展模型

针对企业级网络应用集成环境中授权和访问控制要求,提出一种以信任角色授权的分层和多粒度的访问控制扩展模型(EmRBAC),结合NIST-RBAC的标准模型,利用可信凭证扩展用户和角色之间的层次,增加角色的信任层次,并从系统、应用、操作对象的功能和级别、操作数据的时间周期等多个维度对标准模型进行了访问权限的粒度细化,加强访问权限的多粒度控制,并通过角色状态分层预处理,降低权限判别时的复杂性,提高访问控制效率。最后以开源门户eXo Platform为实验平台,给出了模型的访问控制流程以及应用实例,以验证提出模型的有效性。     

云环境下用户数据安全性访问控制算法

针对传统的用户数据安全性访问算法存在安全性及整体性能低下的问题,提出一种新的云环境下用户数据安全性访问控制算法。通过介绍所提算法的基本概念,利用模糊层次分析法计算云环境中用户数据直接信任值;通过用户和其他云服务之间的信任值求取用户数据推荐值;在此基础之上,确定用户数据综合信任值。通过用户数据信任等级分配得到用户访问权限,针对信任水平较低的用户,云服务供应商通过拒绝其访问保证整个云环境的安全性。实验结果表明,所提算法安全性高,整体性能强。     

安全存储医疗记录的区块链方法研究

针对医疗信息系统中存在的医疗信息记录存储的安全和隐私保护问题,结合区块链和云存储技术,提出了一个医疗记录安全存储方案.该方案利用区块链来保存医疗记录的公共信息、匿名身份和访问权限,使医疗记录的真实数据加密保存在链下存储结构中,有效实现了病人对个人医疗数据的所有权和访问权限的控制以及对敏感医疗数据的安全存储.     

Collaborative Network Security in Multi-Tenant Data Center for Cloud Computing简

A data center is an infrastructure that supports Internet service. Cloud comput the face of the Internet service infrastructure, enabling even small organizations to quickly ng is rapidly changing build Web and mobile applications for millions of users by taking advantage of the scale and flexibility of shared physical infrastructures provided by cloud computing. In this scenario, multiple tenants save their data and applications in shared data centers, blurring the network boundaries between each tenant in the cloud. In addition, different tenants have different security requirements, while different security policies are necessary for different tenants. Network virtualization is used to meet a diverse set of tenant-specific requirements with the underlying physical network enabling multi-tenant datacenters to automatically address a large and diverse set of tenants requirements. In this paper, we propose the system implementation of vCNSMS, a collaborative network security prototype system used n a multi-tenant data center. We demonstrate vCNSMS with a centralized collaborative scheme and deep packet nspection with an open source UTM system. A security level based protection policy is proposed for simplifying the security rule management for vCNSMS. Different security levels have different packet inspection schemes and are enforced with different security plugins. A smart packet verdict scheme is also integrated into vCNSMS for ntelligence flow processing to protect from possible network attacks inside a data center network     

属性盲化的模糊可搜索加密云存储方案

为保护基于属性的密文策略（ciphertext-policy attribute-based encryption,CP-ABE）可搜索加密云存储机制中数据使用者的属性隐私,实现云存储模糊可搜索加密,该文提出一种属性盲化的模糊可搜索加密云存储（attribute blinding fuzzy searchable encryption cloud storage,ABFSECS）方案.数据使用者的每个访问属性被随机盲化,再聚合为一个完整的盲化属性.通过关键字索引集和数据使用者生成的关键字陷门的匹配计算,实现了模糊可搜索加密云存储机制.利用云服务器的强大计算资源,引入预解密操作,减少了数据使用者的计算时间开销.安全性分析表明,ABFSECS方案具有不可伪造性,可抵抗数据使用者与云存储服务器间的共谋攻击,不会泄露数据使用者的属性隐私信息.      

Privacy-preserving trust negotiation with hidden credentials and hidden policies in a multi-party environment

Until now, there are numerous protocols that can achieve privacy-preserving trust negotiation between two parties involved, but there is no effective privacy-preserving trust negotiation schemes proposed between multi-users. In this paper, a privacy-preserving trust negotiation scheme with multi-parties is proposed, which can protect their credentials and access control policies during the procedure for establishing the trust between multi-strangers, and its privacy-preserving ability also is proved. These works extend the trust negotiation mechanism to multi-users, which can be thought as a substantial extension of the state-of-the-art in privacy-preserving trust negotiations between two parties involved.     

基于CP-ABE的云存储数据访问控制方案

结合云存储的应用环境,构造了一种基于密文策略属性的加密(ciphertext policy attribute based encryption,CP-ABE)技术和收敛加密技术的混合加密数据访问控制方案.该方案包括密钥发布中心、用户和云服务器三方实体,能高效、灵活、细粒度地进行数据的访问控制,可提高云存储服务器的空间利用率,并使用签名技术支持数据源认证和数据完整性认证.理论分析与实验验证了该方案具有较高的实际应用价值.     

一种新的基于风险的智能访问控制方法

移动网络中设备和服务的移动性引起可用信息和服务的动态性和不确定性。针对这些特性带来的风险和访问控制问题,提出了采用云模型来度量风险,该方法能真实有效地评估用户间的安全风险。其次,基于该风险评估方法,结合现有的角色、策略、信任和上下文的访问控制技术,提出了一个更加安全可靠的智能访问控制方法。应用原型设计与分析表明,该智能访问控制方法能够有效表达用户间存在的动态性和不确定性,降低了安全风险,增强了移动系统的安全性。     

基于iRAM的抗物理内存泄露攻击密码算法轻量化实现

提出一种基于iRAM的轻量安全密码算法实现方案, 可以在不影响系统中需要iRAM辅助的正常功能情况下, 实现多个密码算法的并发执行。该方案将密码算法实现中的敏感数据限制在单个可加载段中, 同时分离该段中的非敏感数据, 并通过修改可信应用的加载方式、仅将包含敏感数据的段分配到iRAM空间等方法, 尽量减少密码运算对iRAM的占用。在真实设备上实现国内外具有代表性的一系列密码算法, 实验结果表明, 所有算法的性能开销均小于4.3%, iRAM使用量皆少于4.5 KB, 比现有方案节省78%以上, 能够支持方案在所有主流平台上部署。     

隐藏访问模式的高效安全云存储方案

围绕当前云存储环境中用户数据机密性和隐私泄露问题,提出一个隐藏访问模式的高效安全云存储方案.该方案首先将文件分为固定大小的数据块,利用伪随机函数和抗碰撞哈希函数将数据块编码、加密,并将密态数据块上传至云服务器的伪随机集合超集内,构建安全云存储结构;同时,设计两轮用户访问策略,在隐藏访问模式的同时降低了存储代价和访问交互次数,实现文件的动态高效更新.安全分析表明,选择适当的安全参数,方案满足L₁L₂-动态自适应安全性.实验结果表明,本方案在保证数据机密性的同时,更适用于实际的云存储环境.     

云存储安全关键技术分析

随着云计算的流行,云存储也得到了广泛的关注和支持。但云存储自身的数据安全问题阻碍其推广应用,云存储的安全问题也不仅仅是传统安全能够完全解决的,这其中涉及到一些新的关键技术和管理技术。本文主要对云存储安全中的数据加密存储与检索、密文访问控制等关键技术进行了分析。     

一种高效的具有属性撤销的访问控制协议

采用外包计算技术构造一种基于密文策略的属性加密数据访问控制方法,具有高效的属性撤销功能,可以减少用户的计算量和通信量.其最大特点是将解密秘钥分为两部分,一部分发送给云服务器,另一部分发送给用户,使得云服务器可以帮助用户解密密文,减少了用户计算量,也减少了用户和云服务器的通信量.     

Analysis of Classical Encryption Techniques in Cloud Computing

Cloud computing has become a significant computing model in the IT industry. In this emerging model,computing resources such as software, hardware, networking, and storage can be accessed anywhere in the world on a pay-per-use basis. However, storing sensitive data on un-trusted servers is a challenging issue for this model. To guarantee confidentiality and proper access control of outsourced sensitive data, classical encryption techniques are used. However, such access control schemes are not feasible in cloud computing because of their lack of flexibility, scalability, and fine-grained access control. Instead, Attribute-Based Encryption(ABE) techniques are used in the cloud. This paper extensively surveys all ABE schemes and creates a comparison table for the key criteria for these schemes in cloud applications.     

云服务器中基于同态加密的关键词检索方案

针对云服务器中海量密文文件的存储与检索需求,基于错误学习(learning with errors,LWE)问题以及近似最大公约数(approximate greatest common divisor,AGCD)问题设计一种新型同态加密方案,并通过建立加密关键词索引提出了新的检索方案.安全性分析与实验测试表明,方案可有效保护用户数据在存储与检索阶段的隐私,与传统的密文检索方案相比,具有较高的检索效率及准确性.     

一种Internet体系结构安全性的分析方法

提出一种分析Internet体系结构安全性的方法．通过引入访问关系和访问流的概念来说明，在网络安全中传统的访问控制是一种按照一定的安全策略来约减访问关系数量的过程，在此基础上提出了一种基于真实地址和匿名地址的控制数据和应用数据的网络地址数据分类方法，并在均衡网络可管理性及开放性、安全性和用户隐私性的条件下，建立了相应的全局访问控制规则．网络安全分析表明，所提方法可以对访问关系进行大量的约减，改进访问关系安全性，从整体上提高网络安全水平．     

基于区块链的无线体域网数据云存储完整性研究

针对无线体域网数据云存储的安全问题,设计了基于区块链的访问控制框架,框架通过区块链技术与数字签名相结合控制用户的访问请求;通过区块存储访问请求及其数字签名,利用改进的Raft算法保证节点间的区块链一致.其次,设计了有序数组和Merkle树相结合的方式存储数据,哈希表和Merkle树相结合的方式存储数据的访问请求;再次,提出针对无线体域网数据的完整性验证方案.最后,对区块链的一致性、数据完整性验证方案进行实验.结果表明,提出的框架能使各用户节点协同对访问请求进行控制,并且均能验证数据的完整性.