基于认证可信度的角色访问控制模型

提出一种基于认证可信度的角色访问控制模型(AT-RBAC).该模型将可信度技术与访问控制相结合,将身份认证的结果用可信度值来度量,以此来强化身份认证与访问控制的联系.用户必须通过角色、权限的可信激活约束才能获得相应权限.实践表明,AT-RBAC模型可实现灵活的系统授权,达到对高安全级资源有效保护的目的.     

RBAC与MAC在多级关系数据库中的综合模型

多级安全数据库的安全策略需要各种模型来表达,访问控制模型是其中之一.强制访问控制(MAC)模型保证多级数据库中的信息流动符合系统的安全策略.利用基于角色的访问控制(RBAC)来实现MAC能方便多级安全数据库的权限管理.提出了一种MAC与RBAC的综合模型,定义了多级角色与内部角色的概念,并给出了综合模型中经过修改后的操作,使得系统能自动地完成符合强制访问控制策略的用户权限的管理.该模型方便了管理员的权限管理,适合用户较多,安全层次比较复杂的多级关系数据库系统.最后给出了模型的部分实现机制.     

基于ASP模式下UD_RBAC模型的研究与实现

随着应用服务提供商(ASP)模式的发展,为解决集成了越来越多应用服务的ASP平台与用户之间复杂的管理需求,提出了一种ASP模式下用户授权代理机制的角色访问控制(UD-RBAc)模型.文中对UD_RBAC模型形式化描述,细致地分析了其构成要素、用户授权代理管理模式和实施策略.采用LDAP目录访问协议统一存储用户身份和权限信息,通过代理策略保护应用服务资源,实现对用户的访问进行分级授权和控制.     

VPN在信息系统安全等级保护中的应用

在信息系统安全等级保护设计中,强制访问控制、数据传输加密是实现安全防护的重要功能指标。VPN是融合隧道技术、身份鉴别、访问控制、数据加密于一体的综合性安全防护手段,本文主要通过研究信息系统安全等级保护中边界防护和通信传输安全需求,结合VPN技术和产品特点,提出一种在信息系统安全等级防护设计中基于VPN的网络安全解决方案。     

一种基于用户评价值的动态访问控制模型

针对购物网站中大量信誉等级不同的用户却拥有相同权限的问题,提出一种依据用户评价值进行动态访问控制的模型。该模型将RBAC中权限的授权与用户的评价值相结合,通过综合评估购物网站用户评价值,对角色的权限范围进行动态调整,从而达到动态访问控制的目的。通过应用该模型对一个实例进行分析的结果表明,该访问控制模型能够提高用户评价值的准确性,实现了相同角色不同权限的动态分配,增强了购物网站中资源的安全性和可靠性。     

基于属性加密的云存储方案研究

云存储中往往采用属性加密方案来实现细粒度的访问控制,为了进一步保护访问控制策略中的敏感信息,并解决授权中心单独为用户生成密钥而产生的密钥托管问题。该文对访问控制策略中的属性进行重新映射,以实现其隐私性。另外在密钥生成算法中设计一个双方计算协议,由用户产生密钥的部分组件,与授权中心共同生成密钥以解决密钥托管问题。最后在标准模型下对方案进行了安全证明,并进行了性能分析与实验验证,实验结果表明,与已有相关方案相比,虽然为了实现访问控制策略隐藏并且解决密钥托管问题增加了额外的计算负载, 但是由于该文将大部分解密工作授权给云存储中心来执行,因此数据访问者的计算负载较小。     

基于PKI/PMI的授权管理模型设计

随着计算机应用系统的日益庞大,用户身份认证、访问控制和权限管理成为应用系统安全关注的焦点。如何结合PKI、PMI技术为应用系统提供一种统一的身份认证、授权管理和访问控制是论文想要探讨的问题。文中介绍了一种基于PKI的PMI授权管理访问控制模型,并提出了基于属性证书实现访问控制的方法。     

信息中心网络中授权视频访问控制

信息中心网络(ICN)能够极大地提高视频内容的传输效率,然而ICN中内网缓存机制也给授权视频的访问控制带来了严峻的挑战。授权视频访问控制的目的是保证只有已授权用户才能观看授权视频,防止授权视频被非法观看和使用。在ICN中,当授权视频被缓存在路由器上后,便不受视频发布者的控制,任何人都能够从路由器上获取授权视频。目前存在的方案不能很好地解决这个问题,提出了一种基于分割和数字水印的访问控制方案,将授权视频分割成PCB(public content block,公开内容块)和CKB(content key block,内容密钥块)两部分,其中PCB一般比较大,对所有用户都是相同的,而CKB一般比较小,并且采用数字水印技术实现不同的用户对应不同的CKB,用户必须收到PCB和CKB之后才能观看视频。通过分析,提出的授权视频访问控制方案在安全性和网络资源优化两个方面具有很好的性能。     

基于PBAC模型和IBE的医疗数据访问控制方案

医疗卫生领域形成的医疗大数据中包含了大量的个人隐私信息,面临着外部攻击和内部泄密的潜在安全隐患。传统的访问控制模型没有考虑用户访问目的在侧重数据隐私的访问控制中的重要作用,现有的对称、非对称加密技术又都存在密钥管理、证书管理复杂的问题。针对这些问题,提出了综合应用PBAC模型和IBE加密技术的访问控制方案,支持针对医疗数据密文的灵活访问控制。通过加入条件目的概念对PBAC模型进行扩展,实现了对目的树的全覆盖;以病患ID、条件访问位和预期目的作为IBE身份公钥进行病患数据加密,只有通过认证并且访问目的符合预期的用户才能获得相应的私钥和加密数据,从而实现对病患信息的访问。实验结果证明,该方案达到了细粒度访问控制和隐私保护的目的,并具有较好的性能。     

云平台下CRM系统访问控制研究与设计

文章对比分析了主流的访问控制模型,以基于角色的访问控制模型为基础,设计了适合云平台下CRM系统的访问控制机制,该机制增加了用户组、部门、资源、操作等实体。在优先通过角色授权的基础上,允许对用户直接授权,在权限设计中增加了用户权限直接授权,用户角色权限的动态授权等。本文还介绍了云平台下CRM系统的访问流程,并实现了云平台下CRM系统的访问控制。     

物联网移动RFID系统匿名访问控制认证密钥交换协议

针对物联网移动RFID系统标签隐私信息的访问控制以及用户身份隐私保护问题,本文采用身份加密和属性加密相结合的方法,建立了IB-AB-eCK安全模型,设计了基于身份及属性的认证密钥交换协议IB-AB-AKE。基于IB-AB-AKE协议,提出了移动RFID手机与信息服务器之间认证密钥交换协议,实现了在保护移动RFID手机用户身份隐私的同时,根据标签所有者定制的访问控制策略进行标签信息的访问控制认证和会话密钥交换,防止了隐私信息被非法访问。分析表明,IB-AB-AKE协议在IB-AB-eCK模型下是安全的,且在通信次数、通信量及计算量方面具有优势。      

改进的RBAC模型在大型OA系统中的应用

基于某研究所的大型OA系统安全访问控制的实际需求,分析了传统的RBAC模型所存在的问题,提出一种改进的RBAC模型,该模型中引入用户组进行了改进,增加了用户组对数据资源的授权,使用户的权限变为功能权限和资源权限之和,定义了访问规则,对特定的IP和用户的角色激活时间加以控制,采用独立的安全审计,对用户的每个角色的操作和超级管理员的操作进行审计,防止非法操作和滥用权力,在实际OA项目中应用时,该模型安全有效,并且适用于同类大型系统。     

云端数据访问控制中基于中间代理的用户撤销新方法

基于属性的加密机制是云端大数据细粒度访问控制的重要方法,其中的用户撤销是访问控制的重要一环,但现有的用户撤销方法因为仅仅重新加密对称密钥或者需要重新加密原始数据,所以存在安全性差或效率低的问题。针对上述问题,提出了一种基于中间代理的用户撤销方法,来解决在细粒度访问控制环境下用户撤销所带来的安全和效率问题。该用户撤销方法主要思想是利用中间代理辅助处理原始密文,继而由用户完成转化后密文的解密。由于用户没有单独解密密文的能力,因此不需要重新加密共享数据,从而在用户撤销后保证了数据的安全性,又解决了效率问题。理论分析以及实验结果表明,所提出的方法相较现有方法能够在细粒度访问控制环境下达到安全且高效的用户撤销。     

基于5G用户卡的5G接入认证分析及试验

用户卡承载移动用户身份标识和网络接入认证的重要功能。5G SA网络在接入认证方面新增不同于4G网络的用户隐私保护、EAP-AKA'认证/5G AKA认证、5G密钥体系及5G安全上下文等特性,这些特性对5G用户卡提出新的要求。本文首先介绍5G SA网络的安全模型,然后介绍5G用户卡为支持5G接入认证特性所支持的的SUCI、双向认证、新增卡文件及服务等功能,在此基础上介绍5G SA实验网络中开展的基于5G用户卡的接入认证试验及其成果。     

考虑终端安全和资源调度的垂直切换算法

存在恶意终端的超密集异构无线网络中,针对高并发接入请求带来的资源分配效率降低和拥塞问题,该文提出一种考虑终端安全和资源调度的垂直切换算法(CTSRS-VHA)。首先,在网络侧通过基于有限状态机的攻击检测算法,构建终端安全评估模型,计算得到终端安全度。其次,结合网络拥塞度、用户数据传输速率和终端安全度构建了一个多目标优化函数。再次,分析网络与终端之间的综合效益,把多目标优化函数转换成单目标优化函数求解,证明了该解为帕累托最优解。最后,仿真结果及分析表明,该算法能够提高网络的接入安全水平和总吞吐量,降低网络拥塞度和切换失败率。     

Behavior and Capability Based Access Control Model for Personalized TeleHealthCare Assistance

With the growing proportion of dependant people (ageing, disabled users), Tele-assistance and Tele-monitoring platforms will play a significant role to deliver an efficient and less-costly remote care in their assistive living environments. Sensor based technology would greatly contribute to get valuable information which should help to provide personalized access to the services available within their living spaces. However, current access control models remain unsuitable due to the lack of completeness, flexibility and adaptability to the user profile. In this paper, we propose a new access control model based on the user capabilities and behavior. This model is evaluated using the data sensed from our tele-monitoring platform in order to assist automatically the dependent people according to the occurred situation. The design of our model is a dynamic ontology and evolving security policy according to the access rules that are used in the inference engine to provide the right service according to the user’s needs. Our security policy reacts according to the detected distress situation derived from the data combination of both the wearable devices and the pervasive sensors. The security policy is managed through the classification and reasoning process. Our classification process aims to extract the behavior patterns which are obtained by mining the data set issued from our Tele-monitoring platform according to the discriminating attributes: fall, posture, movement, time, user presence, pulse and emergency call. Our reasoning process aims to explore the recognized context and the extracted behavior patterns which set up the rule engine to infer the right decision security policy.     

A combined public-key scheme in the case of attribute-based for wireless body area networks

The wireless body area networks (WBANs) is a practical application model of Internet of things. It can be used in many scenarios, especially for e-healthcare. The medical data of patients is collected by sensors and transmitted using wireless communication techniques. Different users can access the patient’s data with different privileges. Access control is a crucial problem in WBANs. In this paper, we design a new security mechanism named combined public-key scheme in the case of attribute-based (CP-ABES) to address the user access control in WBANs. Our scheme combines encryption and digital signatures. It uses ciphertext-policy attribute-based encryption to achieve data confidentially, access control, and ciphertext-policy attribute-based signature to realize the identity authentication. The access policy used in our scheme is threshold. Based on this feature, the length of ciphertext and signature of our scheme is constant. Our scheme provides confidentiality, unforgeability, signer privacy and collusion resistance. We prove the efficiency of our scheme theoretically and analyze the security level and energy consumption of our scheme.

     

基于雾计算的智能电表用户虚拟环隐私保护方案

作为智能电网的基础组件,智能电表(SMS)可以定期向电力公司报告用户的详细用电量数据。但是智能电表也带来了一些安全问题,比如用户隐私泄露。该文提出了一种基于虚拟环的隐私保护方案,可以提供用电数据和用户身份的隐私,使攻击者无法知道匹配电力数据与用户身份的关系。在所提方案中,智能电表可以利用其虚拟环成员身份对其真实身份进行匿名化,并利用非对称加密和Paillier同态系统对其获得的用电量数据生成密文数据;然后智能电表将密文数据发送给其连接的雾节点,雾节点定期采集其管理的智能电表的密文数据。同时,雾节点对这些智能电表的虚拟环身份进行验证,然后将收集到的密文数据聚合并发送给控制中心;最后控制中心对聚合后的密文进行解密,得到用电量数据。实验结果表明所提方案在计算和通信成本上具有一定的优势。     

模糊多类SVM模型

利用SVM处理多类分类问题,是当前的研究热点之一.本文提出了一种模糊多类支持向量机模型,即FMSVM.该方法是在Weston等人提出的多类SVM模型中引入模糊成员函数,针对每个输入数据对分类结果的不同影响,该模糊成员函数得到相应的值,由此得到不同的惩罚值.从而在构造分类超平面时,可以忽略那些对分类结果影响很小的数据.理论分析与数值实验都表明,该算法具有良好的鲁棒性.     

Hadoop cloud platform user dynamic access control model

In order to solve the problem that Hadoop cloud platform could not dynamically control user access request,a Hadoop cloud dynamic access control model based on user behavior assessment (DACUBA) was proposed.The model first collected the user instruction sequence in real time and the user behavior contour was obtained by parallel command sequence learning (PCSL).Then the global K model was established by using the forward profile,the subsequent sequence was classified and the classification results were evaluated.The evaluation results were combined with the improved Hadoop access control mechanism to make the cloud platform users’ access rights change dynamically with their own behaviors.Experimental results demonstrate that the model algorithm is effective and the dynamic access control mechanism is feasible.