基于区块链的属性分级访问控制方案

传统的数据访问控制方法无法满足教育大数据环境下的数据共享和数据安全的要求。文章提出基于区块链属性分级访问控制机制,旨在解决访问控制中心化和访问效率低的问题。通过智能合约实现访问控制的去中心化、可追溯且可审计的访问控制过程,提高访问控制可信度和数据共享的安全性;通过设置数据隐私等级和访问用户当前信誉等级实现访问控制策略,提高用户的访问效率。实验结果表明该方案能够实现控制去中心化、提高访问效率,实现访问控制可靠、可追溯,保证数据的安全与共享。     

一种新型的安全云存储模型

针对云存储中的数据安全访问控制问题,设计了一个以云服务器为中心节点,支持不同权限多用户访问的安全高效的云存储模型。该模型利用椭圆曲线公钥密码设计具有语义安全的可搜索加密算法,并结合关键字相关度定义和保序加密算法提高数据检索准确性,降低系统通信负担;通过代理加密思想、用户访问控制列表和用户——数据访问控制矩阵实现不同权限用户的访问控制,安全灵活解决动态用户密钥管理问题。最后通过对模型安全性和模型效率两个方面对比分析,对模型可行性给出了证明。     

基于RBAC模型用户访问控制的研究与实现

科技计划项目管理系统是一套由多个软件构成的综合系统,具有系统用户多、功能点多的特点,用户访问控制实现比较困难。基于角色的访问控制在系统用户访问控制中使用比较广泛,利用基于角色的访问控制模型,分析了系统中的用户和功能权限,将用户与功能权限相关联,实现了用户对系统的访问控制与用户和访问权限的逻辑分离,提高了在系统中权限分配和访问控制的灵活性与安全性。在基于角色的访问控制的基础上又引入数据权限控制,实现了用户对系统数据访问范围的控制,完善了基于角色的访问控制模型。     

一种基于角色和属性的云计算数据访问控制模型

云计算具有开放性、共享性和弹性等特点,这使得传统的访问控制模型不再适应云计算中大规模用户对海量数据灵活动态的访问控制。针对这一不足,该文从云计算实体的属性角度出发,提出一种基于角色和属性的云计算数据访问控制模型,该模型在基于角色的访问控制模型基础上为相关实体引入了属性元素,用户能够通过自身和所在租户的属性及当前的状态分配角色,从而访问不同属性的数据;对该模型进行了详细的设计,阐述了工作流程,并做了安全性证明和综合分析。结果表明:该模型能够在云计算环境下,为用户访问数据提供动态、安全、细粒度的访问控制保障。     

一种面向云计算环境的属性访问控制模型

针对云计算环境下的访问控制问题,结合云计算环境存在多个逻辑安全域的特点,提出一种面向云计算环境的属性访问控制模型。该模型采用基于属性的访问控制方法实现本地域和跨域访问决策。对该模型进行形式化描述并给出决策核心算法。在域间属性同步方面,设计一种信号量及P/V操作机制以解决对属性表调用和更新的互斥问题。仿真实验表明:该模型不仅实现细粒度访问控制,而且能够缩短访问控制决策时间,提高决策效率。     

云计算环境中基于对象和用户的角色访问控制模型*

针对云计算环境中资源按需访问的特点以及不同资源不同用户访问控制的特殊性,基于基本角色访问控制模型(role-based access control,RBAC),提出一种基于对象和用户的角色访问控制模型OURBAC(object-and-user based on RBAC);并设计了具体的用户访问权限判定规则。以实际实现应用为背景,设计了OURBAC的具体实现流程,对算法的安全性进行了分析,表明本算法使云资源访问控制得以进一步细化,能明显减少系统中角色数量,有效的提高了系统运行效率及安全性。     

基于信任的访问控制模型在煤矿企业管理系统中的应用

针对煤矿安全生产核心数据库的安全问题,结合传统的访问控制机制,提出了一种基于信任的访问控制模型。首先分析了当前煤矿企业管理系统中访问控制模型存在的不足,然后对现有的访问控制模型引入了信任的属性,将身份认证与用户行为认证结合起来,对登录系统的用户实行双重认证机制。实际应用和理论分析表明,该模型相比于传统的访问控制模型,通过引入用户信任属性,形成动态分配权限机制,符合访问控制模型中最小权限原则,可以有效维护煤矿企业管理系统的正常运行,提高核心数据的安全性和完整性。     

ABPAC:一种基于属性的起源访问控制模型

在复杂多变的网络环境下,起源数据的规模、复杂度、敏感度逐渐提升,对起源数据的访问控制比传统数据的访问控制更加复杂.为了防止细粒度的起源数据遭受未授权用户的非法访问,结合W3C标准下起源核心数据模型PROV-DM中定义的起源基本属性,提出了一种基于属性的起源访问控制模型ABPAC和ABPAC模型的属性描述模型.从六个方面对ABPAC模型进行形式化描述,划分了用户属性,并通过起源属性匹配方法实现了用户灵活、准确地对起源数据进行访问,最后给出了模型的实现流程.分析表明,该模型能够较好的满足对细粒度起源数据的访问需求.     

物联网环境下的访问控制技术探析

随着物联网技术的快速发展和大规模应用,物联网中的隐私保护问题越来越引起人们的重视.访问控制技术是隐私保护的重要技术手段之一,它可以保证信息资源被授权的合法用户访问而不被非法用户或非授权的用户访问.对物联网环境下的访问控制技术进行了分类研究.首先总结和分析了几类访问控制模型的特征,随后把物联网背景下的访问控制技术分成以角色和属性为基础、以使用控制为基础、以权能为基础和以模糊逻辑为基础四大类进行探析,最后对物联网环境下的访问控制发展趋势进行了总结和展望.     

云计算环境中基于策略的多用户全同态加密方法

全同态加密技术是解决云环境隐私安全问题的有效方法。考虑云环境下用户多样性特征,提出基于策略的多用户全同态加密方案(PB-MUFHE),该方案在全同态加密算法的基础上,通过在密文中设定适当的访问策略以及在密钥中设定属性,从而满足多用户密文的全同态运算以及多用户共享,并支持细粒度的访问控制。安全分析证明PB-MUFHE可以抵制共谋攻击,且在LWE困难度假设随机域模型下是IND-CPA安全的。性能评估表明:PB-MUFHE高效地实现密文数据的全同态运算,并能有效地支持访问控制和多用户共享。     

云环境下用户数据安全性访问控制算法

针对传统的用户数据安全性访问算法存在安全性及整体性能低下的问题,提出一种新的云环境下用户数据安全性访问控制算法。通过介绍所提算法的基本概念,利用模糊层次分析法计算云环境中用户数据直接信任值;通过用户和其他云服务之间的信任值求取用户数据推荐值;在此基础之上,确定用户数据综合信任值。通过用户数据信任等级分配得到用户访问权限,针对信任水平较低的用户,云服务供应商通过拒绝其访问保证整个云环境的安全性。实验结果表明,所提算法安全性高,整体性能强。     

多维适配算法对区块链节点可信授权的优化研究

区块链技术可解决物联网传统访问控制方案中管理集中、数据易丢失等问题,实现分布式、安全性高的访问控制,但容易忽视建立动态灵活的访问控制机制的重要性,当节点被破坏时无法自动捕捉网络的动态信息,并相应地调整其授权策略.本文设计了一种基于属性的物联网访问控制机制,具有辅助授权的信任和声誉系统,提出多维适配算法(MDAA),首先利用一个公有区块链和私有侧链,将敏感信息和公共数据分开存储,服务消费节点注册属性,服务提供节点定义访问门限策略;接着信任和声誉系统逐步量化网络中每个节点的信任和声誉评分,当服务消费节点发起访问请求后,智能合约验证服务消费节点是否满足访问门限策略要求的属性和信任声誉阈值,都满足则获得访问权限;最后依据节点间交互作用定期更新节点的信任和声誉评分,实现动态验证和授权.仿真结果表明,与TARAS算法、DADAC算法相比,MDAA支持双向信任评估,具有较好的算法收敛性,在确保授权安全的同时减少了处理访问控制的延迟,具有适用性.     

P2P系统中基于属性约减的可信度评价

由于P2P系统的开放、匿名等特点,传统的访问控制和认证方法已无法在P2P系统中对信任协商进行有效的支持.本文利用信任协商机制和多信任域技术对P2P系统进行安全管理.针对信任凭证在信任协商过程中存在的安全隐患,通过属性的使用记录实现信任凭证中属性集的约减,并给出一种基于属性集的可信度评估方法.该方法减少了访问者属性信息的不必要暴露,提高了信任协商交互的可靠性和安全性.     

基于802.1x和Web Portal认证技术的校园网用户端点准入控制系统的设计及应用

分析了当前高校校园计算机网络的网络安全和控制问题,指出原有认证系统无法满足现有的安全需求.探讨了基于802.1x和Web Portal认证技术的用户端点准入控制系统,并提出某高校校园网的实际组网设计及应用方式以解决网络安全和控制问题.     

电力终端基于信任和信誉的灵活数据访问控制

为了解决当前电力缴费终端身份认证和访问控制中存在的口令嗅探、重放攻击、越权操作等问题,提出了一种基于信任和信誉的灵活数据访问控制方案,结合云计算技术将其应用到电力终端设备数据访问控制中。该方案通过使用基于属性的加密和代理重加密、终端设备评估的信任级别和由多个信誉中心生成的用户信誉来共同控制电力终端的数据访问,将用户信任级别和信誉评估的概念集成到加密系统中,以支持各种控制方案和访问策略。通过对所提出方案的安全性和性能分析,证明该方案访问控制的细粒度,数据保密性良好,通信开销灵活可控,计算复杂度低,减少了电力终端设备的负担。     

采用区块链的物联网数据共享方案

针对物联网(IoT)数据共享过程中存在的安全漏洞和隐私泄露风险,提出一种基于区块链的物联网数据共享方案.采用数据的不可篡改、分布式存储、隐私保护、可追溯及访问控制,将消息队列遥测传输(MQTT)作为通信协议和中间件,并为其提供身份认证和主题权限管理.结合国产加密算法实现密钥交换、数据摘要和加密传输,通过区块链记录设备的行为,在提高可信度的同时提供追溯的能力,采用智能合约对数据和主题进行共享和管理,实现链上链下数据协同保障数据的一致性.通过系统原型实现与测试,结果表明：该方案能够确保物联网设备之间共享数据时的安全性和隐私性,满足物联网应用性能需求,具有可行性.     

一种大数据平台敏感数据安全共享的框架

 大数据平台存储了海量的用户敏感数据,这些敏感数据的共享有助于企业降低为用户提供个性化服务的成本,实现数据增值,而数据的安全共享是一个亟待解决的问题.通过分析敏感数据安全现状,提出了一个大数据平台敏感数据安全共享系统框架,包括数据平台上敏感数据的安全提交、存储、使用和销毁;研究了基于密文异构转化的代理重加密算法和基于虚拟机监控器的用户进程保护方法等关键技术,为系统功能的实现提供了支撑.该框架能够保护用户敏感数据的安全性,有效实现这些数据的安全共享,同时使数据拥有者完全掌握自身数据的控制权,从而有利于营造现代互联网信息安全的良好环境.     

数据库服务模型中数据安全机制的研究

针对DaaS中加密技术的局限性问题, 研究了数据库服务模型（DaaS： Database as a Service）中的数据安全机制, 提出了基于NetDB2的最小私密属性共享模型（NetDB2 MAMS: NetDB2-Minimum Attribute Multi-Secret Sharing), 通过获取最小共享属性集合, 应用秘密共享技术保护用户数据。实验结果表明, 该方法可以有效地保护DaaS中的隐私数据, 同时避免了数据加密和解密的高成本问题。     

网络第三方服务器中用户信息的细粒度访问控制方法

针对传统访问控制方法存在的访问控制粒度粗、访问效率低、实用性差的问题,提出一种新的网络第三方服务器中用户信息的细粒度访问控制方法。分析了整体方案设计过程,以分组与联系度两个属性为例对细粒度进行刻画。通过初始化阶段、加密阶段、密钥生成阶段、解密阶段和传输阶段实现属性基加密。在非分组成员向用户信息发出访问请求时,网络第三方服务器通过当前关系图,依据Dijkstra法确定成员的信任距离,如果该信任距离能够达到既定阈值,则网络第三方服务器向密钥生成中心提供参数以实现密钥解密,从而实现用户信息的细粒度访问控制。实验结果表明,所提方法效率高、访问控制能力和实用性强。