云存储环境下支持策略变更的CP-ABE方案

近年来,CP-ABE作为适用于云存储环境的访问控制机制,成为研究热点。由于现有的基于CP-ABE的访问控制方案在云存储环境下不支持系统属性灵活变更,利用云存储服务提供者的存储及计算资源优势,基于AB-ACER方案提出了支持系统属性灵活撤销及恢复的云存储访问控制方案。该方案通过引入虚拟属性来支持云存储环境下访问策略属性的撤销及恢复,且仅由存储服务提供者进行少量的重加密计算。安全及性能分析表明,该方案不仅支持数据属主访问策略的灵活变更,还保持了原有方案的安全性及细粒度访问控制,同时大大降低了数据属主的计算开销。     

基于雾节点的分布式属性基加密方案

为解决云存储中对用户访问数据权限划分笼统、细粒度化控制访问权限受限以及单授权机构中存在的单点失效问题,提出基于雾节点的分布式密文策略属性基加密方案。将数据的部分解密运算外包给雾节点,减少终端用户的计算开销,并由不同的属性授权机构为用户生成属性密钥,以适用于细粒度的访问控制要求,使用全局身份将属于特定用户的各种属性进行“捆绑”,防止各属性机构间的共谋攻击,同时引入权重属性简化访问结构,节省系统的存储空间。实验结果表明,基于判定性q-parallel BDHE问题证明了该方案的安全性,与基于区块链的多授权机构访问控制方案和mHealth中可追踪多授权机构基于属性的访问控制方案相比,该方案终端用户在解密阶段具有更小的计算开销。     

基于区块链和密文属性加密的访问控制方案

随着数字社会的到来,使得数据成为了重要的生产要素,为了充分释放数据要素价值,作为数据安全共享的访问控制技术是实现数据安全应用与治理的关键。因此,围绕分布式架构下密文及密钥的安全性问题提出了一种基于区块链的密文访问控制方案。该方案利用密文生成算法与验证合约实现外包密文存储的真实性与完整性验证;设计了基于安全多方计算的属性密码,实现了用户私钥的链下安全多方计算并确保了私钥的唯一性,极大缓解了单属性权威的计算压力,可有效保护用户属性隐私、避免单点故障;定义了格式化的事务数据结构,实现了访问控制的全过程追责。通过安全性分析、性能分析和实验仿真分析表明,该方案在安全性和性能上均满足通用区块链的需求,为数据开放共享提供了一种通用的区块链访问控制方案。     

可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。     

基于核函数非线性变换的无线光通信网络数据安全存储方法

为控制数据安全存储时间,开展基于核函数非线性变换的无线光通信网络数据存储方法的设计研究。数据发射端通过发送数据检测序列,在通信链路中动态检测数据的完整性,并在保证数据完整性和安全性的前提下进行数据存储。为处理低维无线光通信网络数据,采用核函数进行非线性变换,将数据映射到高维空间,并使用主成分分析法对高维空间中的核矩阵进行降维,以提取数据属性特征。为实现安全存储,使用云存储环境将数据包拆分成多个片段,并进行分布式加密安全存储。实验结果表明,利用设计方法能够有效缩短存储时间。     

分布式概念格的属性约简研究

概念格的属性约简是形式化概念分析理论的重要研究内容之一,传统的格属性约简方法主要是针对非分布式环境下单个形式背景的,而随着数据分布存储和处理的广泛应用,研究基于分布式环境下概念格的属性约简具有重要的意义.为此,提出属性的超集和确定集的概念,刻画了形式背景中不同类型属性的局部特征与全局特征,推导出属性约简的判定定理;在此基础上,给出计算分布式环境下概念格属性约简的ADSCL和DRCL算法.ADSCL算法用于计算属性的超集和最小确定集,这些约简信息将作为DRCL算法的输入,以计算得到全局形式背景的约简.理论分析和实验结果表明,该算法是有放可行的.     

基于属性访问控制策略管理方法

针对云计算下基于属性访问控制策略容易被第三方修改造成资源被恶意访问的情况和现有策略检索方法效率低的问题,提出基于默克尔-帕特里夏树(MPT)和布隆过滤器(Bloom Filter)的属性访问控制策略管理方法.为访问控制策略集合构建一棵MPT树,通过PDP进行验证的方式监督策略是否被修改,把策略集合通过Hash函数映射到...     

基于属性证书的权限管理平台GoAccessPMI

该文介绍基于X.509属性证书的权限管理平台GoAccessPMI。该系统使用X.509属性证书(Acs)来存储用户的角色以及相关的访问控制策略,这样可以保证信息的完整性。该系统将属性证书(Acs)存储在LDAP目录中,客户系统通过LDAP接口访问属性证书。     

基于互信属性调配机制的访问控制模型

在基于属性的访问控制中一个重要的问题是对属性资源的获取以及对敏感属性和敏感访问控制策略的保护。传统访问控制属性资源的获取方法已经不能满足开放式的网络环境下的访问控制要求。在自动信任协商机制基础上提出了一种新的授权决策机制——互信属性调配机制（MTAD）,并将其应用到基于属性的访问控制模型中。通过对模型的分析可以看到该模型较好地解决了动态授权、访问效率、授权粒度、属性信息的安全性和敏感属性的保护等问题。     

基于门限属性加密的安全分布式云存储模型

针对云存储存在越来越多的安全问题,设计了一种新的基于门限属性加密的安全分布式云存储模型。该模型由加密、存储、解密三个阶段组成且均具有分布式特点。利用基于属性加密体制不仅提高数据存储的安全性,而且多属性服务器的模式也使得该模型能支持门限解密功能及任意个属性服务器的加入与撤出问题;在存储阶段使用的分布式删除码可充分保障模型的健壮性,且该模型能抵抗共谋攻击。在一些特有云环境中,该模型可向用户提供较好的安全云存储服务。     

基于信任度属性的访问控制策略合成

运用代数系统来形式化的描述、推理和演算跨域环境下基于属性的访问控制策略合成,是解决策略冲突和合成的有效途径。通过引入由上下文环境及时间衰减性动态判决的信任度属性,增加信任度投票算子,并将属性授权项扩展为由主体属性、客体属性、环境属性、信任度属性、操作属性构成的五元组,提出了基于信任度属性的策略合成代数系统。通过四个安全域中的策略合成实例分析,详细阐述了利用信任度属性值实时监控访问请求主体在授权后访问行为的安全性,并展示了策略合成更强的描述能力、灵活性和安全性。最后使用现有的策略合成表达式的代数性质来验证策略合成的结果。     

支持属性撤销的可验证外包的多授权属性加密方案

针对云存储中基于多授权属性加密（MA-ABE）访问控制方案存在数据使用者解密开销大,同时缺乏有效属性撤销的问题,提出了一种支持属性撤销的可验证外包的多授权属性加密方案。首先,利用可验证外包技术,降低数据使用者的解密开销,同时验证数据的完整性。然后,利用双线性映射保护访问策略,防止数据拥有者身份泄露。最后,利用每个属性的版本密钥实现立即的属性撤销。安全性分析表明所提方案在标准模型中判定性的q双线性Diffie-Hellman指数假设下是安全的,同时满足了前向安全性和抗合谋攻击。性能分析表明所提方案在功能性和计算开销两方面都具有较好的优势,因此所提方案更适用于云存储下多授权属性加密环境。     

支持权限管理的高效属性撤销机制

针对基于属性的访问控制模型中存在属性撤销后权限确定的问题,本文提出一种支持权限管理的高效属性撤销机制。该方案通过在访问控制机制中引入基于密文策略的属性加密机制CP-ABE来实现密文访问控制,将访问树用主析取范式来表示,主析取范式的每个子集即为访问主体访问资源所需满足的限定条件最小属性集。因此,当属性撤销时,通过判断最小属性集与被撤销属性的关系,来确定被撤销属性对主体的访问是否有影响,进而确定主体的访问权限。性能分析表明,该方案具有较高的安全性,不仅能够实现属性撤销后权限的确定,而且能够抵抗共谋攻击等。     

一种基于区块链的安全云存储方案设计

云存储方式是将数据上传到云服务器中,以此来减轻本地存储的负担。然而,把数据存储到不受信任的第三方云服务器上,可能导致一些数据安全隐患的出现,其中最典型的是数据的完整性问题和隐私问题。针对数据完整性问题和隐私问题,提出一种基于区块链的云存储方案。该方案利用区块链的梅克尔树属性、匿名性、不可篡改等特点构建安全云存储系统,有效地解决了数据完整性问题和隐私保护问题。     

基于PMI的系统访问安全管理研究与设计

为了加强大型分布式环境下访问控制的安全管理，分析了现有的安全访问控制缺陷，根据PMI权限管理机制的特点，建立了基于角色层次模型的多平台系统下的统一授权策略，提出了基于PMI的应用系统访问安全管理原则，并阐述了其在一类关键性业务系统中的 应用。     

一种基于Internet的电子政务安全对策

为了满足电子政务中信息的机密性、完整性和不可否认性,提出了一种基于Internet的电子政务安全对策,该对策采用PKI系统实现身份认证,采用存储加密及传输加密系统,保证数据的传输和存储安全,采用灾难恢复系统抵御大规模灾难,采用日志水印系统保证日志的完整性和不可抵赖性,采用访问控制策略系统按照不同安全级别对资源访问实施严格的访问控制。     

移动网络中心云计算存储数据访问安全自动监测系统设计

为了提高移动网络中心云计算存储数据访问和安全监测能力,提出一种基于深度学习和交叉编译控制的移动网络中心云计算存储数据访问安全自动监测系统设计方法。采用混合属性数据模糊加权聚类方法进行移动网络中心云计算存储数据的优化访问控制模型设计,根据云计算存储数据之间的属性相似度进行离散化数值属性分解,提取移动网络中心云计算存储数据的混合属性特征量,根据最小化云存储数据访问成本为代价进行移动网络中心云计算存储数据访问的安全监测。结合深度学习方法进行数据访问的自适应控制,在交叉编译环境下实现云计算存储数据访问安全自动监测系统开发设计。测试结果表明,采用该方法进行移动网络中心云计算存储数据访问的安全性较好,自动化控制能力较强。     

支持撤销的位置分层属性加密研究

基于属性加密的位置分层访问方案允许用户依据自身情况灵活设置自己的位置访问信息,不仅解决了社交网络中位置共享问题,还在算法上进行改进使解密效率得以提升。但在系统运行过程中,存在用户有更正自己属性信息的需求或运行过程中部分私钥遭泄露的可能,因此支持撤销对于系统安全非常必要。基于此提出了一种支持撤销的位置分层属性加密方案,将部分解密运算外包给解密服务器,并结合了双因子身份认证的方法。该方案在减少用户计算代价的同时,提高了算法的安全性。     

基于ATP-ABE的访问控制方案

对访问控制机制中存在的安全性和有效性的问题进行了研究，提出了基于访问树剪枝的属性加密ATP-ABE（Access Tree Pruning Attribute Based Encryption）的访问控制方案。当ATP-ABE算法需要访问它的树型结构访问策略时，通过剪枝处理访问树结构中包含用户ID属性节点的分支，提高了用户所有者DO（Data Owner）管理和控制属性的效率，更加有效地实现了数据共享。还为访问树结构设计了许可访问属性，使DO仍保留共享数据的关键属性，并且能够完全控制它们的共享数据。基于决策双线性密钥交换算法DBDH（Decisional Bilinear Diffie-Hellman）假设分析了ATP-ABE方案的安全性，研究结果表明与两种经典ABE方案比较，ATP-ABE更加有效地减少了算法的系统设置、私钥生成、密文大小、用户属性撤销以及加解密过程中的计算开销，并给出了定量结论。