云计算环境中数据分布式强制访问控制算法研究

在云计算环境中,用户把敏感数据外包在云端,所以数据强制访问控制成为目前云计算研究中亟需解决的问题。当前常用的解决算法是加密数据密钥,但这种算法因密钥分发及数据管理导致计算开销大。因此,提出一种新的云计算环境中数据分布式强制访问控制算法,介绍了云计算环境中数据访问流程,分析基于密文策略和属性的加密算法,利用属性集合对云计算环境中的用户身份进行描述,通过访问控制树表示数据分布式强制访问控制结构,在用户属性集符合既定访问控制结构的情况下,用户才能够完成对数据的解密。通过属性私钥申请、文件上传和文件下载三个过程实现数据分布式强制访问控制。实验结果表明,所提算法在效率、安全性、内存消耗和控制精度四个方面均显示出了很大的优势。     

一种基于角色和属性的云计算数据访问控制模型

云计算具有开放性、共享性和弹性等特点,这使得传统的访问控制模型不再适应云计算中大规模用户对海量数据灵活动态的访问控制。针对这一不足,该文从云计算实体的属性角度出发,提出一种基于角色和属性的云计算数据访问控制模型,该模型在基于角色的访问控制模型基础上为相关实体引入了属性元素,用户能够通过自身和所在租户的属性及当前的状态分配角色,从而访问不同属性的数据;对该模型进行了详细的设计,阐述了工作流程,并做了安全性证明和综合分析。结果表明:该模型能够在云计算环境下,为用户访问数据提供动态、安全、细粒度的访问控制保障。     

基于CP-ABE在云计算中实现数据访问控制的方案

由于用户将敏感数据外包在云端,数据安全和访问控制因而成为当前云计算研究中面临的最大的挑战。现存的解决方案通常是通过披露加密数据密钥,采用加密的方法来解决安全性和访问控制问题,但这些方法因为密钥分发和数据管理而给数据拥有者带来巨大的计算开销,同时也面临在设计用户吊销机制时的困难。为此,采用CP-ABE(ciphertext-policy attribute-based encryption)的安全机制探讨了有效用户访问外包数据面临的安全挑战,并且基于CP-ABE-R提出了数据访问控制云安全方案,对用户吊销机制问题进行了有效地解决。通过分析显示该方案有效而安全。     

一种面向云计算环境的属性访问控制模型

针对云计算环境下的访问控制问题,结合云计算环境存在多个逻辑安全域的特点,提出一种面向云计算环境的属性访问控制模型。该模型采用基于属性的访问控制方法实现本地域和跨域访问决策。对该模型进行形式化描述并给出决策核心算法。在域间属性同步方面,设计一种信号量及P/V操作机制以解决对属性表调用和更新的互斥问题。仿真实验表明:该模型不仅实现细粒度访问控制,而且能够缩短访问控制决策时间,提高决策效率。     

融合属性基加密和信用度的水利数据访问控制模型

针对传统水利系统在数据交互过程中存在所有者对文件控制权弱、访问授权集中以及访问控制过程中的安全性问题，提出了一种融合属性基加密和信用度的水利数据访问控制模型。首先，文件经高级加密标准(advanced encryption standard, AES)加密上传至星际文件系统(interplanetary file system, IPFS),再将文件哈希值、IPFS地址哈希值以及访问策略等上传至数据链，达到分布式存储和数据所有权明确的目的。其次，用户利用访问策略对AES密钥进行属性基加密，实现用户对文件强控制权，达到仅满足策略的用户可访问和减轻授权集中压力的目的。最后，对用户信用度进行评估，利用数据链结合访问链的优势实现水利数据的分隔以及访问留痕的目的，提高系统的安全性。实验结果表明，所提模型的多区块链架构具有良好的运行性能且能够结合信用度评估动态控制用户权限，AES对称加密与多属性中心加密结合方式加密与解密效率具有优势，因此，该模型能够有效满足水利数据的访问控制需求。     

基于属性加密的共享文件分级访问控制方案

针对文件共享中对文件管理松散、对人员权限设置不明确、不能实现对密文分级访问等问题,设计了一种基于属性加密的共享文件分级访问控制方案。构造了一种新型的属性加密算法,它将属性加密分成两个阶段进行,用户可以通过制定两类属性加密策略对数据进行分级属性加密,实现数据的分级访问控制。使用属性加密算法加密对称密钥,SM4对称加密算法加密数据的混合加密方法,进一步提高方案的加密效率。最后,对数据的安全性、属性加密算法效率及SM4算法效率进行分析。     

网络安全文件系统SecNFS中文件密码算法的选择与实现

当SecNFS作为安全网络文件系统使用时,文件服务器上存储的是文件的密文数据,客户端直接通过网络访问文件服务器上的文件,网络上传输的也只是文件的密文数据,所有文件数据的加／解密操作都在客户端内核中进行。每个文件都有自己的对称密钥,这个密钥使用用户的公钥加密存储在用户的访问控制文件中,用户只有通过自己的私钥解密文件密钥,才能对加密文件进行透明的读写操作。另外,对文件数据还提供完整性保护,在文件服务器或者在网络传输过程中对文件数据的任何篡改,都能被客户端察觉。     

一种基于节点映射关系的云数据安全代理访问机制

随着移动终端多媒体技术的发展,用户逐渐将本地数据通过各种网络备份到云存储服务器上.云平台在提供廉价便捷的数据存储服务的同时也存在数据安全防护问题,尤其是密文数据访问控制完全依赖于云服务商.为了防止数据被非授权用户和半可信云存储提供商的非法访问,提出一种基于节点映射关系的CP-ABE属性加密算法,即通过属性管理降低权限管理的复杂度.在密文访问控制机制中引入密钥授权中心和安全代理实现存储服务与安全服务异地存储,保证在开放环境下云存储系统中数据的安全性.实验结果表明,这种属性管理机制在少量的系统开销下实现了数据存储与密钥存储的分离,具有较高的应用价值.     

支持撤销的多授权中心访问控制方案

为了缓解单授权中心的计算压力,近些年提出了多授权中心的访问控制方案.这些方案对于用户及属性的撤销问题并没有有效地解决.本文提出了一种基于CP-ABE的支持用户和属性撤销的多授权中心访问控制方案.通过引入密钥加密密钥（key encryption key,KEK）树实现用户和属性层级的撤销,同时将计算压力分散给多个授权中心,并将部分解密交给云服务器,减少了用户的计算消耗.通过安全性证明和实验结果表明,方案可以抵御合谋攻击,同时有效地降低撤销过程中密文和密钥更新的消耗时间.￣      

基于物联网农田环境数据的安全访问控制

随着当前物联网边缘计算技术的发展,使得物联网数据安全访问的问题日益严峻,传统的基于用户权限的数据访问控制策略不能很好解决相关数据安全访问控制问题。为此,从用户身份认证和数据访问控制等方面研究物联网数据安全共享问题的解决方案。以物联网农田环境数据安全共享系统为应用背景,提出了一种基于用户属性和用户行为的数据安全访问控制模型,该模型以用户行为构建信任机制,并结合用户属性的设置与判定共同实现系统的数据安全访问控制。本文给出了模型的规则定义与构建、具体结构设计、数据处理控制流程以及用户信任度评价体系设计的详细过程及实例分析。通过分析结果表明,该模型设计具有较好的动态性和扩展性,能够实现物联网中用户对农田环境数据的安全访问,从而解决物联网数据安全共享问题。     

基于信任和属性的云服务访问控制模型研究

针对云计算环境下访问控制的高度动态化问题,在基于属性的访问控制(ABAC-Attributebased access control)模型的基础上,引入上下文环境管理进行扩展,给出一种基于信任度量和属性约束的云计算服务化访问控制模型。针对租户信任度量的问题,引入频次衰减函数H(k),提出适用于云计算访问控制的信任度量算法。同时就客体资源服务化问题进行研究,将基础服务与服务管理的概念引入到模型中。最后通过实验进行了仿真与分析。     

云计算服务中安全动态访问控制在电子健康档案系统中的应用

针对云计算服务下电子健康档案中多用户、多权限和权限实时更新的特点,提出一种可以精确控制的安全动态的访问控制方案。首先,根据拉格朗日插值多项式的特点,提出电子健康档案系统中安全动态访问控制方案,使授权用户能准确安全地获取电子健康档案中的信息;其次,根据所提出的访问控制方案,给出相应的密钥管理策略,减少密钥管理的复杂性,实现根据用户需要实时更新用户权限,有效地保护用户的隐私;最后,通过实例对方案的实用性和安全性进行分析。此方案适用于多用户环境,可以动态地支持云计算服务中个人隐私的保护,为电子健康档案提供灵活有效的访问控制机制。     

网络第三方服务器中用户信息的细粒度访问控制方法

针对传统访问控制方法存在的访问控制粒度粗、访问效率低、实用性差的问题,提出一种新的网络第三方服务器中用户信息的细粒度访问控制方法。分析了整体方案设计过程,以分组与联系度两个属性为例对细粒度进行刻画。通过初始化阶段、加密阶段、密钥生成阶段、解密阶段和传输阶段实现属性基加密。在非分组成员向用户信息发出访问请求时,网络第三方服务器通过当前关系图,依据Dijkstra法确定成员的信任距离,如果该信任距离能够达到既定阈值,则网络第三方服务器向密钥生成中心提供参数以实现密钥解密,从而实现用户信息的细粒度访问控制。实验结果表明,所提方法效率高、访问控制能力和实用性强。     

电力终端基于信任和信誉的灵活数据访问控制

为了解决当前电力缴费终端身份认证和访问控制中存在的口令嗅探、重放攻击、越权操作等问题,提出了一种基于信任和信誉的灵活数据访问控制方案,结合云计算技术将其应用到电力终端设备数据访问控制中。该方案通过使用基于属性的加密和代理重加密、终端设备评估的信任级别和由多个信誉中心生成的用户信誉来共同控制电力终端的数据访问,将用户信任级别和信誉评估的概念集成到加密系统中,以支持各种控制方案和访问策略。通过对所提出方案的安全性和性能分析,证明该方案访问控制的细粒度,数据保密性良好,通信开销灵活可控,计算复杂度低,减少了电力终端设备的负担。     

云计算环境中基于属性的多权威访问控制方法

在云计算环境中,如何实现在不可信及动态变化的云计算环境中对加密数据的访问控制是云计算走向实际应用亟待解决的问题之一.文中提出了一种基于属性的访问控制方法,该方法将密文长度及加解密过程的计算量限制为固定值,提高了系统的计算效率,并且引入了层次化的授权结构,降低了单一权威授权的负担,提高了安全性.文中分析了方法的安全性、可扩展性和计算复杂性等性能,实验结果证明了该方法在域权威授权、用户授权及加解密等过程中的计算量上的优越性.     

分布式安全存储中基于共享组的周期性密钥更新

分布式存储是解决海量数据存储的重要手段, 而多用户环境下密钥的分发和更新是分布式安全存储的重要问题. 传统方法大多采用密钥分发中心(key distribution enter, KDC)进行控制, 但随着用户数的增多, 密钥中心的工作量增大. 利用Chebyshev多项式的周期性特性和逻辑密钥树(logical key hierarchy, LKH)的层次密钥结构, 设计一种分布式文件存储中基于文件共享组的周期性密钥更新方案(cyclic key update scheme, CKUS). 该方案的特点是密钥的更新和传递无需借助公钥密码体制, 而直接通过文件所有者进行组播; 文件共享者采用本地计算, 提高了计算效率. 同时, 利用Chebyshev多项式的周期性特点, 使每个文件共享者自适应密钥更新, 有效降低密钥更新时的通信量, 减少用户节点的密钥存储量.     

ABPAC:一种基于属性的起源访问控制模型

在复杂多变的网络环境下,起源数据的规模、复杂度、敏感度逐渐提升,对起源数据的访问控制比传统数据的访问控制更加复杂.为了防止细粒度的起源数据遭受未授权用户的非法访问,结合W3C标准下起源核心数据模型PROV-DM中定义的起源基本属性,提出了一种基于属性的起源访问控制模型ABPAC和ABPAC模型的属性描述模型.从六个方面对ABPAC模型进行形式化描述,划分了用户属性,并通过起源属性匹配方法实现了用户灵活、准确地对起源数据进行访问,最后给出了模型的实现流程.分析表明,该模型能够较好的满足对细粒度起源数据的访问需求.     

改进SPRINT算法及其在分布式环境下的研究

通过引入一种动态数据结构, 解决了SPRINT算法使用多个属性列表存储数据、 占用过多系统资源、 需创建哈希表对属性列表进行分割以及节点分割处理相对复杂的问题, 并探讨了改进算法在分布式环境下的工作过程. 实验结果表明, 改进的算法减少了属性列表占用的存储空间以及分割节点操作所需的时间.     

基于MA-ABE的云存储访问控制方法

针对于跨域云数据访问控制中的安全性和有效性问题,提出了一种基于树访问结构的多授权机构属性加密(Attribute-Based Encryption,ABE)的跨域数据访问控制方法.通过建立分散授权模型,将属性私钥的生成与中央认证机构(Central Authority,CA)分离,由数据属主(Data Owner,DO)和授权机构分别生成并分发属性私钥组件.利用基于访问结构树的控制策略,有效预防了用户之间以及用户和授权机构之间的联合攻击.此外,用户密钥计算无需使用全球唯一标识(Global Identity,GID),支持匿名用户跨域数据访问.最后,利用双线性判定Diffie-Hellman(Decision Bilinear Diffie-Hellman,DBDH)假设理论分析了方案的安全性.研究结果表明,本方案在解密操作和加解密平均时间上具有较高的性能,能够有效地应用于多授权机构并存的云存储环境.     

云计算环境中的组合文档模型及其访问控制方案

针对云计算环境缺乏有效的组合文档模型及其元素分级安全保护的现状,结合多级安全思想和基于身份的加密(IBE)算法,提出了一种新的组合文档模型(ComDoc)及其访问控制方案(ICDAC)。ComDoc包含组合文档的密文部分和密钥映射部分:前者保存具有安全等级的文档元素的密文;后者保存由IBE加密的密钥映射记录密文。ICDAC依据授权用户的身份信息,利用IBE解密对应的记录后获得映射对,提取访问权限并解密授权的文档元素密文,实现组合文档元素分级安全保护的细粒度访问控制。实验结果表明:ComDoc满足云计算环境中组合文档的特征以及安全需求;在加密相同组合文档的前提下,ICDAC的密钥数量和计算开销明显优于已有方案。