一种新的双钥－锁对访问控制方案

针对钥－锁对访问控制方案存在的问题，基于整数二进制表示的唯一性，该文提出了一种新的双钥—锁对访问控制方案。该方案实现简单，有良好的动态特性，从系统删除一个用户(文件)时，不必保留用户(文件)行的任何信息，而直接将之删除，提高了空间利用率。而所有的双钥－锁对访问控制方案都存在严重的溢出问题，且在实现用户对文件的多种访问权限时，均假设权限具有递增关系，这使得访问控制系统不适合对文件进行细粒度保护。该方案实现了用户对文件的多种访问控制权限，并减少了溢出问题的发生。     

一种基于复合问题的双重认证存取控制方案

本文基于复合问题针对信息保密系统提出了一种双重认证的存取控制方案。该方案与已有类似方案相比要更安全。要攻破该方案，攻击者得同时具有攻破ＲＳＡ方案和ＥＬＧａｍａｌ方案的能力。在该方案中，用户认证信息不仅用来计算对所需访问文件的存取权，也用于认证需访问保密文件的请求用户的合法性。此外，该方案还能够在动态环境中执行像改变存取权和插入／删除用户或文件这样的存取控制操作，而不影响任何用户的认证信息。     

基于数字签名的安全认证存取控制方案

基于Harn数字签名方案和零知识证明,针对信息保护系统构造了一种认证存取控制方案.该方案与已有的存取控制方案相比要更加安全.因为在该方案中,用户与系统不必暴露秘密信息就可以进行双向认证,并且其共享密钥可用于认证用户访问保密文件的请求合法权限.该方案能够在动态环境中执行像改变存取权限和插入/删除用户或文件这样的存取操作,而不影响任何用户的保密密钥.     

群签名中成员删除问题的更新算子解决方案

提出了Camenisch-Stadler群数字签名方案中成员删除问题的一个新的解决方案.新方案使用了群组成员秘密特性钥更新算子方法.新方案中当一个成员加入或被群组删除后,群主管计算并公布群组新的特性公钥及群组成员秘密特性钥更新算子,群中的每个成员只需要利用公开的更新算子重新计算各自的秘密特性钥,系统不需要对每个成员更新颁发成员证书.因此,新方案对大的群组是一个可接受的方案.群组的公开钥、成员的秘密钥及签名的长度都是固定不变的.新方案比Bresson-Stern的群组成员删除方案要好,因为Bresson-Stern的群组成员删除方案中对信息的签名含有证据,这些证据的个数随着被删除对象的个数呈线性增长.更新算子的思想受到了Kim-Lim-Lee的启发,但是该签名算法更为简明.所提出的方案的安全性是基于RSA问题的困难性假设,新方案是抗伪造攻击的,伪造成功等同于求解RSA问题.     

基于身份的动态可搜索加密方案

可搜索加密技术节省用户的本地存储资源,简便用户对所要查询加密文件的搜索操作,但是多数可搜索加密方案都只是静态搜索。为此,提出一种基于双线性对的可以删除指定身份文件的动态可搜索加密方案。引进认证技术,在服务器删除文件之前对删除用户的合法性进行认证,以防止非法用户的恶意删除。分析结果表明,该方案在实现删除功能基础上,具有选择明文攻击下的不可区分安全性。     

基于中国剩余定理的无线局域网安全方案

针对无线局域网中用户的不确定性,提出一种基于中国剩余定理的用户身份认证方案.该方案的优点是为每个用户分配私人密钥,并借助于简单模运算,便可判断该用户对AP的访问权;更新用户时,无需修改其他用户的私人密钥,管理方便、快捷.     

一种基于Harn数字签名的双向认证访问控制方案

针对信息保护系统,该文在于Harn数字签名方案和零知识证明构造了一种双向认证访问控制方案。在该方案中,用户与系统不必暴露秘密信息就可以进行双向认证,并且用户和系统的共享密钥可用于认证有 访问保密信息体的请求的合法权限。因此,该方案与已有该问控制方案相比要更加安全。该方案能够执行像改变存取权限和插入／删除用户或信息体这样的该访问操作,而不影响任何用户的保密密钥,不需重建信息保护系统。因此,该方案动态特性好。基于Harn数字签名方案和零知识证明给出的这一认证访问控制方案的计算安全性不低于求解“离散对数问题”的计算复杂性。     

一种支持属性撤销的密文策略属性基加密方案

针对传统属性基加密方案中单授权中心计算开销大以及安全性较差等问题,通过引入多个授权中心以及安全两方计算协议等技术,提出一种支持细粒度属性级撤销和用户级撤销的密文策略属性基加密方案。引入多个属性授权中心以颁发并更新属性版本秘钥,同时秘钥生成中心与云存储服务器之间进行安全两方计算等操作,生成并更新用户密钥,从而进行细粒度属性级撤销。在云存储服务器中,对用户列表中的用户唯一秘值及唯一身份值进行操作以实现用户级撤销,同时通过多个授权中心抵抗合谋攻击,并将部分计算工作外包给云端。分析结果表明,与基于AND、访问树和LSSS策略的方案相比,该方案有效增强了系统的安全功能,同时显著降低了系统的计算复杂度。     

浅谈EFS加密和安全

随着信息网络的不断发展,用户对文件保密度要求的提高,我们有了许多用于加密文件的软件,EFS是Windows2000／XP所特有的一个实用功能。它仅允许认证的用户访问加密文件。     

一种在网络上设置“安全层”的方法

本文提出了采用单钥算法和垂直认证方式的安全架构,在网络用户的客户机或手机端的智能卡芯片里,建立各种安全协议,在网络密钥中心端加密卡芯片里,建立密钥交换协议,采用一种组合密钥实时生成算法,来解决单钥的更新管理难题,并采用在线或离线认证和文件加密传输协议,实现用户之间的可信连接。从而,在INTERNET网上设置"安全层",让每个网络用户都拥有简捷的加密能力,建立可信、安全的网络体系。     

Secure cloud file sharing scheme using blockchain and attribute-based encryption

This paper presents a novel collaboration scheme for secure cloud file sharing using blockchain and attribute-based encryption(ABE). Blockchain enables us to implement access control as a smart contract between data owner and users. Each data owner creates its own smart contract where in a data user can request to access a specific file by registering a transaction. In response transaction, the data owner sends the required credential to the user thereby enabling her/him to decrypt the intended file on the cloud storage. This scheme is decentralized, fault tolerant and secured against DoS attacks. The cipher-key, which is used for file encryption, is embedded into a set of coefficients of a polynomial so-called access polynomial. It is attached to the encrypted file on the cloud storage as a metadata. The data user can restore the cipher-key by means of the credential receiving in response transaction and access polynomial. The data owner uses ABE scheme in response transaction to impose her/him access policy to the file as well as preserving user anonymity. This scheme supports fast revocation of the user access by means of updating the access polynomial coefficients and without any communication overhead to non-revoked users. Through formal verification, we show that the scheme is secure in terms of secrecy of credential information and authentication of participants. Finally, the evaluation results show that our scheme is scalable with acceptable performance up to 20,000 users.     

增强Linux文件系统的访问控制功能

阐述了Linux文件系统及其访问控制机制。提出应用ACL模型，增强Linux文件系统的访问控制功能，使其实现基于单个用户和组的访问控制。分析了两种可行的ACL实现方式。并结合其中一种，给出了详细的实现过程。     

面向高效文件访问的目录结构优化研究

针对气象水文应用中,大量常规观探测报文批量访问出现的低效问题,研究文件存储特性,定量分析了目录级数和文件数量对访问性能的影响,发现文件数相对于文件大小,对于系统的访问效率影响更大,当单个目录下文件数目过大时,文件存取延时较大,严重影响用户体验与服务性能。根据NTFS下的实验数据,设计了一种高效的目录组织方法,优化用户态文件存储管理算法。实验表明,优化后的文件目录结构和组织形式,能极大地提高批量文件的读取效率,降低20%—73%的访问延时,改善网络环境下的大规模文件接收处理效率。     

A dynamic access control scheme based upon the knapsack problem

A new dynamic access control scheme for information protection systems is proposed in this paper. The main idea of it is inspired by the concept of the trapdoor knapsack problem proposed by Merkle and Hellman. Since the knapsack problem is an NP-complete problem, the security of access control is achieved henceforth. Our scheme associates each user with some user keys and each file with some file keys. There is a positive integer set of S′; through a simple formula on keys and S′, the corresponding access privilege can be easily revealed in the protection system. Moreover, by employing our scheme, insertion or deletion of the user/file can be processed effectively with only a few previously defined keys and locks required to be modified.     

一种支持分级用户访问的文件分层CP-ABE方案

文件分层的密文策略基于属性的加密（FH-CP-ABE）方案实现了同一访问策略的多层次文件加密,节省了加解密的计算开销和密文的存储开销.然而,目前的文件分层CP-ABE方案不支持分级用户访问,且存在越权访问的问题.为此,提出一种支持分级用户访问的文件分层CP-ABE方案.在所提方案中,通过构造分级用户访问树,并重新构造密文子项以支持分级用户的访问需求,同时消除用户进行越权访问的可能性.安全性分析表明,所提方案能够抵御选择明文攻击.理论分析和实验分析均表明,与相关方案相比,所提方案在计算和存储方面具有更高的效率.     

基于BLP模型的摆渡木马防御技术的研究

分析了摆渡木马的工作原理和特点,提出了控制数据从计算机流向移动存储介质的解决方法。根据BLP模型的基本思想,提出了基于BLP模型的摆渡木马防御方案。在该方案中,根据内网或计算机中文件的重要程度,将文件分成不同等级;将用户对文件的访问权限也分成相应的不同等级;当用户对文件进行访问时,通过比较权限等级和文件等级来决定是否能读或写,读或写采用＂下读上写＂的策略。由于把移动存储介质的级别设为最低,所以该方案能有效的防止摆渡木马。     

基于eCryptfs的多用户加密文件系统设计和实现

加密文件系统eCryptfs能有效防止存储介质在丢失或失窃情况下导致的信息泄露隐患。它的不足在于：不支持多用户环境下的联机数据保护,即一个用户一旦成功授权访问加密文件系统中的数据,则系统中的其他用户都可以访问加密文件系统中的数据。提出了以密钥为权能的加密文件系统访问控制机制,并基于eCryptfs设计和实现了多用户加密文件系统,确保只有拥有合法密钥的用户才能访问密文数据。     

云计算环境基于客体属性匹配的逆向混合访问控制方案

云计算提高了大数据的使用、分析和管理的效率,但也给数据贡献者带来了对云服务的数据安全及隐私信息泄露的担忧。针对这个问题,结合了基于角色的访问控制、基于属性的访问控制方法并采用了下一代访问控制的体系结构,提出了云计算环境下的基于客体属性匹配的逆向混合访问控制方法。首先,数据贡献者设置共享文件访问权限级别,逆向规定了访问客体的最低权值;然后,采用变异系数加权的方法直接计算各属性的权值,取消了以属性为中心的基于角色的访问控制中策略规则匹配的过程;最后,把数据贡献者对数据文件设定的权限值定为数据访问者被允许访问的阈值,这样既实现了数据访问控制,又保障了对隐私数据的保护。实验结果表明,随着访问次数的增多,所提方法对恶意行为、权限不足行为等的判断基准趋于稳定,检测能力越来越强,成功率趋于一个较为平稳的水平。该方法在用户访问数量较大的环境下相较传统的访问控制方法能够实现更高的决策效率,验证了所提方法的有效性和可行性。     

一种SAN文件系统raw磁盘访问授权方法

操作系统通常仅提供超级用户进程直接访问raw磁盘的方法。为使非超级用户进程也能够利用SAN文件系统访问raw磁盘,SAN文件系统必须对非超级用户进程进行授权。该文提出了一种基于访问权力传递的raw磁盘访问授权方法,实现了非超级用户进程对SAN文件系统的透明访问,并结合一个实际的SAN文件系统,给出了该方法的具体实现例子。