基于区块链的链下个人数据保护方案

现有结合区块链保护个人数据的方案在授权第三方服务时多将用户的个人数据地址分享给第三方服务,在用户撤销对第三方服务的访问权限后,第三方服务仍然拥有个人数据地址。为避免用户数据泄露,通过采用链下存储的方式,提出一种基于区块链的匿名地址管理方案。利用资源服务处理个人数据的加密地址,并限制第三方服务只能获得用户个人数据地址的加密密文,使用户在修改对指定第三方服务的访问权限后,能够通过更改智能合约的访问策略实现细粒度访问控制。在此基础上,利用以太坊平台设计个人数据管理系统,使用Solidity语言编写智能合约,从而实现对个人数据的保护。该方案具有通用性,可由不同的区块链平台实现,合约部署后的调用结果以及对合约进行50次和500次的性能测试结果验证了其有效性和安全性。     

基于区块链和属性基加密的个人隐私数据保护方案

针对用户使用第三方应用提供的服务时所带来的隐私泄露问题,提出一种基于属性基加密和区块链的个人隐私数据保护方案.方案利用区块链来保存个人隐私数据的哈希值和第三方应用的属性集,而真正的隐私信息利用属性基算法加密后保存在分布式哈希表中.本方案实现了个人数据的一对多的安全传输和数据的细粒度访问控制;针对用户在不同时期的需求动态变化的特点,提出了一种新的属性基加密方案,用户可以随时撤销第三方应用的访问权限,并且不需要可信第三方.对整个方案进行了仿真实验,验证了方案的可行性和实用性.     

基于新浪微博开放平台的iPhone地图应用与开发

微博开放平台可在对第三方进行验证与授权后为其提供服务,验证与授权过程是根据OAuth 2.0协议进行的.在使用新浪微博开放平台服务的基础上,结合Xcode开发平台中iPhone地图组件提供的功能,开发出一个展示微博用户活动的地图应用.该应用为分析微博用户所进行的活动提供了重要依据,对研究iPhone地图定位和开放平台有着重要作用.     

系统科学视域下基于OAuth2.0的授权登录安全性提升方案研究分析

为了极大限度地给用户提供便利,如今的网络应用供应商都提供了第三方授权登录的方式,目前OAuth2.0为单点登录(SSO)最为广泛的身份认证授权协议.OAuth2.0是开放式标准的第三方授权协议,允许用户授权第三方平台获取在某一平台上存储的个人信息资源,而无需将用户名和密码提供给第三方平台;针对OAuth2.0协议实施过...     

安全中间件WebST

清华得实的 WebST 是一个企业级的安全解决方案,提供包括身份认证、访问控制、数据保密性完整性、审计记录等一整套安全解决方案。基于角色的访问控制WebST 中的角色包括用户、用户组及其访问权限。定义安全策略时,角色定义可以根据职称、职务、部门等多种方式定义,可以灵活地反映安全管理的需求。访问控制机制可以预先定义和集中保存访问控制策略,然后根据应用对象选用不同的访问控制策略,也可以将某一部分的访问控制的管理进行授权委托,这一机制减轻了管理负担,加强了资源访问控制的一致性。对第三方授权服务的支持通过 K-BIT 标准,WebST 支持第三方授权服务。在WebST 的 ACL 权限中,有一项是“K”位,通过设置该位,WebST 各安全服务器将授权服务请求传递给指定的第三方授权服务器。     

突破限制网易相册图片也能外链

“网易相册”是国内比较早的免费图片存储空间,具有容量大,使用稳定等优点。但网易相册一直不允许图片从外链接给用户带来了麻烦,上传后的图片不能转贴到其它网站、博客或论坛中,转贴后图片不仅会无法显示,还会用其他图片来代替,使用户无法尽情在网络上展示自己的精彩图片。现在不必为此烦恼了,一个名为“网易相册贴图代码生成器”的网站可以直接将网易相册的图片地址生成可以外链的第三方地址,从而突破限制,使你能够随意引用网易相册的图片。登录网址www.mysea.net/download/js/163pic.h t m l,在“图片”框中输入网易相册的图片原始地址(…     

基于CAS的网格安全授权机制的研究与应用

本文在对虚拟组织资源授权服务与授权模型研究的基础上,分析了CAS进行更细粒度的身份验证操作过程.并通过在网格服务申请实例中引入第三方团体授权服务,说明了应用该机制不仅增加了整个系统的灵活性和可扩展性,而且使得资源服务器与用户之间的授权关系变得简单且易于管理.     

DAS中一种XML查询完全性验证算法

随着XML数据库管理系统的发展,数据所有者和服务提供者分离.要享受第三方提供服务的前提是需要确保查询结果的正确性和完全性.在第三方提供查询服务的情况下,算法确保了客户端查询结果的正确性和完全性.该算法的基本思想是对查询结果二次构建Merkle Hash树来验证结果的正确性和完全性.     

基于区块链的多方隐私保护公平合同签署协议

传统的公平合同签署协议通过引入中心化的可信第三方来保证协议的公平性。当第三方不诚实且和签署一方进行合谋,就会对另一方产生不公平。同时,第三方可能会泄露参与方的敏感信息,这将极大地威胁参与方的隐私。故合同签署的公平性和隐私性均依赖于第三方的可靠性。基于区块链的公平合同签署协议可去中心化从而避免依赖第三方来解决公平性,但区块链可被公开访问和验证,这为参与方的隐私问题又带来新的挑战。已有的基于公开区块链的隐私保护公平合同签署协议利用参与方共享的秘密因子对合同信息及公钥进行加密从而隐藏了参与方数字证书中的真实身份信息;但在协议的承诺阶段,由于区块链的假名性,执行两笔保证金交易时可能会泄露正在签署合同的参与方信息。为最大限度保护参与方的身份隐私,本文基于混币技术,通过引入半诚实可信第三方来提供参与者身份的混淆服务,并结合盲的可验证加密签名方案,设计出新的隐私保护公平合同签署协议。该协议可支持多个合同签署人通过区块链完成公平的合同签署,不仅可以保护与合同相关的隐私内容,还可以保护参与方的身份隐私。     

基于DIFC的租户自主授权SaaS层数据隔离与共享模型*

SaaS服务提供者对租户间提供数据共享服务时,容易造成租户数据的泄露,并且在租户未经许可的情况下,可以非法获取租户的隐私数据。针对上述SaaS服务的缺陷,本文引入了分布式信息流控制(DIFC)安全防护机制,提出了基于DIFC的租户自主授权SaaS层数据隔离与共享模型。该模型强制SaaS服务提供者执行标签比对机制,各租户可以自主划分用户信息级别,定制全球唯一标记。并通过第三方可信标签管理授权服务(AS),细粒度地限制租户间的数据共享操作,并必须经用户授权标签才能访问相应数据。最终本文证明了此模型可以满足租户数据隔离与共享的安全。     

隐私数据验证场景下的隐私保护研究

隐私数据验证场景是信息验证服务下的一类特殊场景,其实用性要求数据在第三方数据库进行存储、发布且有能力处理任意形式声明的验证,其安全性要求数据在存储、更新与证明期间提供有效的隐私保护手段。目前该场景下的隐私保护研究尚且处于空白阶段,因此本文引入可证明数据加密策略的概念,以满足隐私数据验证场景下的实用性与安全性需求。本文主要有三个贡献：（1）对可证明数据加密策略进行讨论并给出形式化定义;（2）基于非交互零知识证明构造出首个可证明数据加密方案,并同时支持高效的数据更新操作;（3）基于承诺方案、非交互零知识证明与全同态加密,提出可证明数据加密策略的两种通用构造框架并给予相关性质证明。     

一种采用签名与哈希技术的云存储去重方案

针对单一云存储服务提供商可能对数据进行垄断控制和现有云存储去重系统采用的收敛加密算法容易遭受暴力攻击等问题,提出了一种采用签名与哈希技术的云存储去重方案,通过在数据去重过程中采用双层校验机制对数据完整性进行审计,能够校验文件的完整性和精确地定位到损坏的数据块;同时构造Merkle哈希树来生成校验值,计算出去重标签,保证重复数据能够被检测;使用Mapbox和Lockbox结合的机制加密数据信息,保证非授权用户无法对文件进行访问。安全性分析及仿真实验结果表明,方案有效抵制暴力攻击,并能够降低去重标签的计算开销和减少存储空间。     

科学数据挖掘网格服务框架*

在分析科学数据网格环境下数据挖掘之特点的基础上,提出了科学数据挖掘网格服务框架.科学数据挖掘网格服务以网格服务的形式提供了科学数据网格环境下的数据挖掘解决方案.与传统的数据挖掘系统相比,科学数据挖掘网格服务具有诸多优点,更适合科学数据网格和科学数据库环境.目前已经实际应用于几个数据库中,不仅具有简单的查询检索功能,而且可以进行数据统计分析及知识发现,进一步提高了科学数据网格服务的水平.     

多源异构电网运行时标量测数据接入方案设计

海量准实时数据服务平台是电网运行时标量测数据集中存储的场所;为了满足电网调度自动化、计量自动化等电网运行数据的接入需求,提出一种多源异构电网运行时标量测数据接入方案;该方案综合采用关系数据库和实时数据库存储数据,结合实时数据库存储数据的测点特性定义了电网时标量测数据存储命名规范,通过配置服务实现数据接入任务的启停控制和运行状态监控,使用接入调度器调度接入插件执行接入任务并引入主备冗余技术保证调度器的高可用;方案引入组件化程序设计思想,通过可插拔、易扩展的插件设计满足多源异构数据的接入需求;方案在南方电网公司海量准实时数据服务平台建设项目中得到实际应用,很好地满足了南方电网运行时标量测数据的接入需求。     

DAS下一种基于生成检测查询的数据有效性验证方法

在外包数据库服务(database-as-a-service,简称DAS)中,数据拥有者将数据外包给第三方:服务提供商(database service provider,简称DSP).与传统的DBMS相比,DAS通过提供基于Web的数据访问来节省数据库管理开销.为了保证DSP的服务质量,之前大部分工作关注于对数据隐秘性和数据有效性的研究.目前验证数据有效性的方法均要求DSP提供额外信息或储存额外数据,且每次更新都需要验证数据做相应调整,这在实际部署中是很低效的.为此提出了一种基于生成检测查询的数据有效性验证方法:通过用户发出过的多个查询生成检测查询,客户端根据检测查询的执行结果,并利用多个查询与检测查询的关系高效、有效地完成基于概率的有效性验证.通过实验验证了该方法的可行性.     

面向头戴式增强/混合现实设备的第三方视角技术研究

头戴式增强/混合现实设备虚实融合存在内容独占、不易分享等局限,在多人协同作业时,仅使用者能够获取虚实融合场景,其他人无法沉浸式介入内容,从而限制了相关设备的应用范围。为此,提出基于网络通信的低延迟虚实融合内容第三方视角可视化方法。通过计算捕捉空间方位反推虚实融合空间第三方视角方位,完成主视角与第三方视角空间匹配,根据多终端之间的数据通信要求,结合多视角的交互信息/环境信息/虚实状态的多种数据类型特点,提出多种信息同步策略,确保不同场景下内容的准确同步。实验结果表明,该方法可有效实现穿戴式增强/混合现实设备多人实时协同操作,具有稳定、高效的应用效果。     

支持受损数据定位与恢复的动态群用户可证明存储

The outsourced storage mode of cloud computing leads to the separation of data ownership and management rights of data owners, which changes the data storage network model and security model. To effectively deal with the software and hardware failures of the cloud server and the potential dishonest service provider and also ensure the availability of the data owners’ data, the design of secure and efficient data availability and recoverability auditing scheme has both theoretical and practical importance in solving the concern of users and ensuring the security of cloud data. However, most of the existing studies were designed for the security and efficiency of data integrity or recoverability schemes, without considering the fast identification and reliable recovery of damaged data under dynamic group users. Thus, to quickly identify and recover damaged data, a publicly verifiable proof of storage scheme was proposed for dynamic group cloud users. The designed scheme enabled a trusted third-party auditor to efficiently identify the damaged files through a challenge-response protocol and allowed the cloud storage server to effectively recover them when the degree of data damage is less than an error correction ability threshold. The scheme combined association calculation and accumulation calculation, which effectively reduced the number of calculations for the identification of damaged data. By combining erasure coding and shared coding technology, the scheme achieved effective recovery of damaged data of dynamic group users. At the same time, the scheme also supported dynamic user revocation, which ensured the integrity audit and reliable recovery of the collective data after user revocation. The network model and threat model of the designed scheme were defined and the security of the scheme under the corresponding security model was proved. Through the prototype implementation of the scheme in the real environment and the modular performance analysis, it is proved that the proposed scheme can effectively identify the damaged data and reliably recover the cloud data when the data is damaged. Besides, compared with other schemes, it is also proved that the proposed scheme has less computational overhead in identifying and recovering damaged data. © 2022, Beijing Xintong Media Co., Ltd.. All rights reserved.     

基于区块链的可搜索加密人才履历共享方案

随着社会的发展,人才履历真实与否在企业招聘环节至关重要,传统基于第三方机构的履历存证存在数据管理中心化、履历造假等问题难以解决.针对上述问题,提出一种基于区块链的可搜索加密人才履历共享方案.首先,利用区块链不可篡改的特性结合链上链下协同存储机制保证了履历数据的真实性;其次,在履历数据共享过程中,利用区块链去中心化的特性取代传统第三方机构,并结合可搜索加密技术实现了参与方之间的公平性与数据存储、更新时的隐私保护;最后从安全性和正确性角度对方案进行分析,证明了本方案能解决上述难题.