一种低代价的云计算存储权限管理机制

以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计出一种基于动态重加密的云存储权限撤销优化机制(DR-PRO).该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销过程.理论分析与模拟实验表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高.     

云存储环境下支持用户动态撤销的属性加密方案

基于CP-ABE算法,提出一个云存储环境下支持已注册合法用户动态撤销的属性基加密方案。与传统的委托云中心代理重加密思想不同,本方案中密文是由云存储中心产生的部分密钥k和数据拥有者放在访问结构中的s值共同作用产生,满足属性访问结构的用户可以重构s,恰好抵消部分密钥k在密文中的盲化因子而得到数据明文。当已注册合法用户撤销后,云存储中心更新原来用于加密的部分密钥为k′以及部分密文,即可阻止注册用户撤销后无法解密数据,从而保护数据的后向安全性。未注销用户也仅需更新部分解密私钥即可正常解密,方案整体所需计算量、更新存储量和通信量较低。     

基于CP-ABE算法的云存储数据保护机制

针对电子政务和企业外包数据服务,在用户并不能完全信任云服务提供商这一前提下,研究了基于密文策略属性基加密(CPABE)算法的云存储安全机制,实现了类似基于角色的数据访问控制机制.还将CP-ABE加密和层级访问控制机制相结合,构造简单高效的访问结构树,从而简化了密钥管理的过程;同时利用代理重加密技术实现权限撤销,从而将大部分计算任务交给云服务提供商完成.     

一种基于异或运算的属性撤销CP-ABE方案

针对属性撤销CP-ABE方案中密钥更新时属性授权机构与用户之间的通信开销过大及密文更新时云存储中心的计算复杂度过高的问题,本文提出一种基于异或运算的、支持属性级撤销的密文策略属性基加密方案. 在该方案中,属性授权机构先将需要撤销的属性名称、被撤销用户的标识及新的时间参数发送给云存储中心,然后云存储中心根据用户标识和新的时间参数的异或结果与密文的一部分进行异或运算,得到新密文.收到新密文后,正常用户可以利用自己的密钥解密得到原密文,进而得到明文,而被撤销用户则只能使用已撤销属性的新密钥才能解密得到原密文,从而实现属性级撤销. 理论分析和数值模拟表明,在保证系统安全性的前提下,该方案能够减少属性授权机构与用户间的通信开销,降低云存储中心的计算复杂度.     

混合云模式下数据安全存储方案

针对混合云模式下数据安全存储与共享使用的问题,提出一种适用于混合云模式下的高效数据安全共享方案,该方案采用密文策略的属性基加密机制加密数据,通过私有云将密文数据存储在公有云上;移动用户访问云数据时,采用匿名密钥协商技术和委托加解密方法,保证用户对数据的快速访问.实验结果表明,本方案能够保证公有云上数据的安全存储,支持细粒度的访问控制,同时将大部分解密计算委托给私有云,减少移动云用户访问云数据的处理时间,使得其加解密时间为恒定值,不会随着属性的增多而线性增长.      

基于属性加密的用户隐私保护云存储方案

为了保护云存储环境下用户数据的隐私,该文提出一种基于属性加密(ciphertext-policy attribute based encryption,CP-ABE)的用户隐私保护云存储(user privacy-preserving cloud storage,UPCS)方案。首先,数据所有者为不同的文件设置不同的访问权限属性;其次,可信第三方使用CP-ABE方案将访问属性嵌入到密文中,只有当用户的属性满足密文的访问属性,才能解密相应密文;最后,为减少数据所有者和用户的计算时间开销,在索引生成和文件解密阶段,将部分操作授权给分布式代理服务器。结果表明:该方案可以有效地保证用户数据和关键词的隐私以及减少数据所有者和用户的计算时间开销。     

隐藏访问模式的高效安全云存储方案

围绕当前云存储环境中用户数据机密性和隐私泄露问题,提出一个隐藏访问模式的高效安全云存储方案.该方案首先将文件分为固定大小的数据块,利用伪随机函数和抗碰撞哈希函数将数据块编码、加密,并将密态数据块上传至云服务器的伪随机集合超集内,构建安全云存储结构;同时,设计两轮用户访问策略,在隐藏访问模式的同时降低了存储代价和访问交互次数,实现文件的动态高效更新.安全分析表明,选择适当的安全参数,方案满足L₁L₂-动态自适应安全性.实验结果表明,本方案在保证数据机密性的同时,更适用于实际的云存储环境.     

适用于云存储的并行无证书代理重加密方案

为了保证云存储中数据的安全访问控制,并基于CPU已进入多核阶段的现状,将并行计算思想用于代理重加密算法中,提出了一个并行代理重加密方案(PCL-PRE).数据拥有者使用对称加密密钥(DEK)加密敏感数据,同时使用代理重加密算法加密该DEK,将这些加密内容存储于云存储中心.云存储中心作为半可信的代理节点,根据访问控制列表,将数据拥有者的DEK进行代理加密,转化为多个接收者可以用自己私钥解密的密文,而在整个过程中都无法获取任何明文信息.接收者收到密文后,即可解密.该方案使用随机数复用技术,对消息进行优化并行,并结合密文聚合,进一步提高了传输效率.实验表明,并行代理重加密方案具有明显的效率优势.     

一种基于节点映射关系的云数据安全代理访问机制

随着移动终端多媒体技术的发展,用户逐渐将本地数据通过各种网络备份到云存储服务器上.云平台在提供廉价便捷的数据存储服务的同时也存在数据安全防护问题,尤其是密文数据访问控制完全依赖于云服务商.为了防止数据被非授权用户和半可信云存储提供商的非法访问,提出一种基于节点映射关系的CP-ABE属性加密算法,即通过属性管理降低权限管理的复杂度.在密文访问控制机制中引入密钥授权中心和安全代理实现存储服务与安全服务异地存储,保证在开放环境下云存储系统中数据的安全性.实验结果表明,这种属性管理机制在少量的系统开销下实现了数据存储与密钥存储的分离,具有较高的应用价值.     

云存储中的代理重加密技术研究

数据机密性已成为云存储发展的关键问题.通常采取的方案是对数据加密后再上传至云端存储,并只对授权用户公开解密密钥,但这会给客户端带来巨大的性能消耗,使用代理重加密技术可以把客户端的部分工作转移到云端完成,从而减轻了客户端的压力.首先对代理重加密在云存储中的基本应用模型进行描述,然后结合其他安全技术讨论代理重加密技术的相关扩展,最后描述代理重加密技术在用户权限撤销和更新方面的应用模型.     

远程高性能计算环境的设计与实现技术

Ri CE(remote high computing environm ent)系统旨在建立以高性能并行计算机为计算资源的远程计算环境。系统合理划分本地机和远端机的工作任务 ,引入增量更新、压缩传送、检查点设置和恢复等多种传输措施 ,并集成了负载平衡工具 ,提供了身份检查、日志记录等安全机制 ,改变了传统的 Telnet工作模式。具有联网、远程执行过程对用户透明、系统安全性好和适应我国低带宽、实时性差、可靠性低的网络现状的特点。用户可以以较低的成本方便地使用远程计算机系统 ,从而充分发挥高性能计算机的性能。 Ri CE系统目前已在曙光 2 0 0 0和 IBM SP2等系统上运行通过 ,表明该系统性能良好 ,达到了系统设计目标     

云计算环境中数据分布式强制访问控制算法研究

在云计算环境中,用户把敏感数据外包在云端,所以数据强制访问控制成为目前云计算研究中亟需解决的问题。当前常用的解决算法是加密数据密钥,但这种算法因密钥分发及数据管理导致计算开销大。因此,提出一种新的云计算环境中数据分布式强制访问控制算法,介绍了云计算环境中数据访问流程,分析基于密文策略和属性的加密算法,利用属性集合对云计算环境中的用户身份进行描述,通过访问控制树表示数据分布式强制访问控制结构,在用户属性集符合既定访问控制结构的情况下,用户才能够完成对数据的解密。通过属性私钥申请、文件上传和文件下载三个过程实现数据分布式强制访问控制。实验结果表明,所提算法在效率、安全性、内存消耗和控制精度四个方面均显示出了很大的优势。     

PSL:针对大规模数据应用的并行Slope One算法

提出并行Slope One算法PSL,并展示了它的Map-Reduce计算模型实现。PSL有效地克服了(1)原Slope One算法空间复杂度过高,单机无法存储其中间文件的缺点;(2)计算代价高,通常只能使用在小规模数据上的不足。并且此算法:(1)能够进行增量计算,实现准实时的用户推荐,(2)可以运行在成本低廉的集群上,不仅具有学术意义,更具商业价值。采用了Net-flix Prize真实数据进行实验,结果表明,PSL可以应用在真实的大规模数据之上,并且具有良好的容错性和伸缩性。     

数据库应用系统动态用户权限管理方法与实现

介绍基于角色存取控制模型的数据库应用系统的用户权限管理,结合开发实践,提出了一种通用的动态用户权限管理方案及实现方法。     

电力终端基于信任和信誉的灵活数据访问控制

为了解决当前电力缴费终端身份认证和访问控制中存在的口令嗅探、重放攻击、越权操作等问题,提出了一种基于信任和信誉的灵活数据访问控制方案,结合云计算技术将其应用到电力终端设备数据访问控制中。该方案通过使用基于属性的加密和代理重加密、终端设备评估的信任级别和由多个信誉中心生成的用户信誉来共同控制电力终端的数据访问,将用户信任级别和信誉评估的概念集成到加密系统中,以支持各种控制方案和访问策略。通过对所提出方案的安全性和性能分析,证明该方案访问控制的细粒度,数据保密性良好,通信开销灵活可控,计算复杂度低,减少了电力终端设备的负担。     

基于云计算的多目标服务调度算法的改进研究

在研究现有云计算服务调度算法的基础上,设计了基于QoS的分布式多目标服务调度算法。该算法兼顾用户需求和系统整体性能,依据完成时间、费用、开销和负载均衡多个参数进行服务调度,从而获得较好的调度质量。仿真实验表明该调度算法能够满足云用户的QoS要求,调节云内各种设备的负载均衡,提高云计算平台运行效率。     

基于树型角色的访问控制策略及其实现

对于工作职能耦合度高、业务呈交叉状的企业，传统的基于用户或角色的访问控制(RBAC)策略已难以实现信息系统的权限管理．文中结合RBAC的基本思想，提出了一种分层的树型角色访问控制(TRBAC)模型，并在应用程序层实现了基于角色的权限管理方案，实践表明，TRBAC简化了用户、角色和许可三者之间的配置规则，方便了系统的授权管理．     

云环境下用户数据安全性访问控制算法

针对传统的用户数据安全性访问算法存在安全性及整体性能低下的问题,提出一种新的云环境下用户数据安全性访问控制算法。通过介绍所提算法的基本概念,利用模糊层次分析法计算云环境中用户数据直接信任值;通过用户和其他云服务之间的信任值求取用户数据推荐值;在此基础之上,确定用户数据综合信任值。通过用户数据信任等级分配得到用户访问权限,针对信任水平较低的用户,云服务供应商通过拒绝其访问保证整个云环境的安全性。实验结果表明,所提算法安全性高,整体性能强。     

支持大规模地震探测数据快速可视化的云端数据缓存技术

首先, 基于云计算应用模式, 提出一种能有效利用云存储架构的双层缓存技术. 通过在客户端和服务器端建立分布式缓存, 能有效避免用户频繁访问远端数据, 为用户构建轻量级的客户端, 解决了目前地学数据可视化软件大量占用用户本地存储容量的问题. 同时服务器端也避免了多次访问云存储文件系统, 减少了大量的数据检索与加载时间. 其次, 提出一种ARLS(association rule last successor)访问预测算法, 根据用户的历史访问记录, 利用关联规则挖掘用户的访问模式, 对其访问行为进行预测, 进而提前加载数据, 提高缓存命中率, 解决了用户在可视化过程中不断移动兴趣区域, 频繁更换渲染数据的问题, 能有效应对用户具有多种访问模式的情况, 提高了预测准确率. 实验结果表明, 该云存储架构显著减少了本地资源消耗, 访问预测算法的准确率在最差情形下可达47.59%, 平均准确率达91.3%, 分布式缓存的平均缓存命中率达95.61%, 可有效支持云端大规模地震数据的快速可视化.     

基于广域网的事件通知服务安全解决方案

分析了基于广域网的事件通知服务的安全需求,给出了一种针对基于内容的事件通知服务的安全体系结构,并分析了访问控制中的客户端权限定义.该技术使用基于内容的事件通知服务中的覆盖关系来定义系统客户端的访问权限.实验证明它能够有效的解决未授权用户发布虚假信息,耗费系统资源的问题.