一种面向云存储的动态授权访问控制机制

云存储是一种新型的数据存储体系结构,云存储中数据的安全性、易管理性等也面临着新的挑战.首先,云存储系统需要为用户提供安全可靠的数据访问服务,并确保云端数据的安全性.为此,研究者们针对云存储中数据结构复杂、数据存储量大等特点提出了属性加密(attribute-based encryption,ABE)方案,为云储存系统提供细粒度的密文访问控制机制.在该机制中,数据所有者使用访问策略表示数据的访问权限并对数据进行加密.但数据的访问权限常会因各种原因发生改变,从而导致云中存储密文的频繁更新,进而影响数据的易管理性.为避免访问权限管理造成大量的计算和通信开销,提出了一种高效、安全、易管理的云存储体系结构:利用ABE加密机制实现对密文的访问控制,通过高效的动态授权方法实现访问权限的管理,并提出了不同形式的访问策略之间的转换方法,使得动态授权方法更为通用,不依赖于特定的访问策略形式;针对授权执行者的不同,制定了更新授权、代理授权和临时授权3种动态授权形式,使得动态授权更为灵活、快捷;特别地,在该动态授权方法中,授权执行者根据访问策略的更改计算出最小增量集合,并根据该增量集合更新密文以降低密文更新代价.理论分析和实验结果表明,该动态授权方法能减小资源的耗费、优化系统执行效率、提高访问控制机制灵活性.     

支持属性撤销的可验证外包的多授权属性加密方案

针对云存储中基于多授权属性加密（MA-ABE）访问控制方案存在数据使用者解密开销大,同时缺乏有效属性撤销的问题,提出了一种支持属性撤销的可验证外包的多授权属性加密方案。首先,利用可验证外包技术,降低数据使用者的解密开销,同时验证数据的完整性。然后,利用双线性映射保护访问策略,防止数据拥有者身份泄露。最后,利用每个属性的版本密钥实现立即的属性撤销。安全性分析表明所提方案在标准模型中判定性的q双线性Diffie-Hellman指数假设下是安全的,同时满足了前向安全性和抗合谋攻击。性能分析表明所提方案在功能性和计算开销两方面都具有较好的优势,因此所提方案更适用于云存储下多授权属性加密环境。     

针对基于变异错误定位的一种动态变异执行策略

在软件调试过程中,如何快速、精确地定位程序中的错误代码是软件开发人员普遍关注的问题。基于变异的错误定位方法是一种通过分析被测程序与程序变异体之间的行为相似性来估计语句出错概率、进行错误定位的方法。该方法有较高的错误定位精确度,但由于需对大量程序变异体执行测试用例集,因此其变异执行开销较大。为此提出了一种动态变异执行策略,它通过搜集测试用例执行信息,动态地调整变异体及测试用例的执行顺序,以减少其变异执行开销。实验结果表明,在6个程序包的127个错误版本上,应用提出的动态变异执行策略可在保证错误定位精确度的前提下,减少23%~78%的变异执行开销,显著提高了基于变异的错误定位方法的效率。     

CACDP:适用于云存储动态策略的密文访问控制方法

数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统的整体效率.针对此问题,提出一种适用于云存储动态策略的密文访问控制方法(cryptographic access control strategy for dynamic policy,CACDP),该方法提出了一种基于二叉Trie树的密钥管理机制,在此基础之上利用基于ELGamal的代理重加密机制和双层加密策略,将密钥和数据更新的部分开销转移到云端以减少DO权限管理负担,提高DO的处理效率.最后通过实验验证了该方案有效降低了策略更新为DO带来的性能开销.     

车联网环境下基于多策略访问树的安全访问控制算法

车联网环境下传统的资源访问控制技术效率较低且存在安全隐患。因此，提出了一种创新性多策略访问树算法的资源访问控制方案。该方案将传统的单策略访问树改进为多策略访问树，实现多级策略制定，有效提高策略访问效率，实现对资源的细粒度访问。同时，通过引入拉格朗日多项式秘密值恢复机制，将秘密值与授权令牌结合，解决了车联网访问控制授权的安全性问题。通过安全性分析证明了所提方案具有身份匿名性和消息不可否认性；性能分析的结果表明，与其他方案相比，该方案采用了多策略访问树存储策略，在策略执行系统中的存储开销较小；且随着该方案的策略匹配效率提高，计算开销明显变小，说明了该方案适用于在车联网环境下的安全、高效的资源访问控制。     

一种基于元模型的访问控制策略描述语言

为了保护云资源的安全,防止数据泄露和非授权访问,必须对云平台的资源访问实施访问控制.然而,目前主流云平台通常采用自己的安全策略语言和访问控制机制,从而造成两个问题：（1）云用户若要使用多个云平台,则需要学习不同的策略语言,分别编写安全策略;（2）云服务提供商需要自行设计符合自己平台的安全策略语言及访问控制机制,开发成本较高.对此,提出一种基于元模型的访问控制策略描述语言PML及其实施机制PML-EM.PML支持表达BLP、RBAC、ABAC等访问控制模型.PML-EM实现了3个性质：策略语言无关性、访问控制模型无关性和程序设计语言无关性,从而降低了用户编写策略的成本与云服务提供商开发访问控制机制的成本.在OpenStack云平台上实现了PML-EM机制.实验结果表明,PML策略支持从其他策略进行自动转换,在表达云中多租户场景时具有优势.性能方面,与OpenStack原有策略相比,PML策略的评估开销为4.8%.PML-EM机制的侵入性较小,与云平台原有代码相比增加约0.42%.     

基于多层次优化技术的XACML 策略评估引擎

给出一种采用多层次优化技术的XACML(extensible access control markup language)策略评估引擎实现方案MLOBEE(multi-level optimization based evaluation engine).策略判定评估前,对原始策略库实施规则精化,缩减策略规模并调整规则顺序;判定评估过程中,在引擎内部采用多种缓存机制,分别建立判定结果缓存、属性缓存和策略缓存,有效降低判定引擎和其他功能部件的通信损耗.通过两阶段索引实现的策略缓存,可显著降低匹配运算量并提高策略匹配准确率.仿真实验验证了MLOBEE所采用的多层次优化技术的有效性,其整体评估性能明显优于大多数同类系统.     

改进的物联网感知层访问控制策略

针对当前物联网感知层中海量终端节点访问控制策略可适应性以及运行效率的不足,提出一种高效的访问控制策略。一方面,该策略采用基于属性的访问控制(ABAC)机制,规范了ABAC形式化定义,给出了物联网感知层下的访问控制策略框架,实现了更加细粒度的授权;另一方面,该策略采用了一种改进的密文策略基于属性加密(CP-ABE)算法,引入了析取范式结构,用DNF树替代传统CP-ABE算法中AND/OR访问树结构,有效地简化了计算,提高了系统运行效率。通过实验分析,该策略相比传统的访问控制方法减少了系统的时间开销,在物联网环境下更具适应性和优越性。     

一种面向空间数据库矢量数据的授权模型与实现方法

空间数据库的广泛应用给人们的生活带来极大便利的同时,也带来了严重的安全威胁.空间应用要求授权系统支持灵活的细粒度授权策略以及否定策略,提供高效的授权实现技术.针对这些安全需求,提出一种基于谓词的矢量数据授权模型,并依据空间数据库管理系统在实现上的特征,采用谓词改写的方法实现对矢量数据的有效授权.和现有工作相比,该模型利用授权谓词表示授权区域,具有更灵活的表达能力,且支持否定授权;所提出的谓词改写的方式不仅避免授权判定时额外增加的一次空间查询,而且可以保证与空间数据库管理系统的低耦合度,还有利于空间谓词的优化,减少空间谓词的冗余.实验证明,该授权模型和实现方法能够满足空间应用的安全需求,实现对空间数据库矢量数据的访问控制和有效授权.     

基于区块链的策略隐藏大数据访问控制方法

针对大数据应用中用户共享数据的访问控制由半可信云服务商实施所带来的隐私泄露、策略和访问日志易被篡改等问题,提出一种基于区块链的策略隐藏大数据访问控制方法 (A policy-hidden big data access control method based on blockchain, PHAC).该方法采用区块链技术实施访问控制以减少对服务商的信任依赖,引入属性基加密(Attribute-based encryption, ABE)以及双线性映射技术,实现在不泄露访问控制策略的前提下,通过智能合约正确执行访问控制策略.同时,解耦访问控制策略,简化用户策略的发布、更新和执行.并应用链上和链下存储相结合方式,解决智能合约和访问控制策略占用区块链节点资源不断增大的问题.最后,对该方法进行了理论分析和HyperLedger Fabric环境下的实验评估,结果表明该方法能在策略隐藏情况下有效实现访问控制,但不会给数据拥有者、区块链节点增加过多额外计算和存储开销.     

网格中的分布式授权框架研究

对网格中的授权概念及授权过程涉及的主要理论模型和算法参数,进行全面地阐述,然后给出一个网格的分布式授权框架,框架对授权按层次划分为信任管理、策略管理、权限管理、授权机制与协议管理,授权请求管理,对各层分工也有明确描述。结合当前信任管理概念与框架的对比分析,表明框架的功能划分使各层实现技术的研究更具针对性,同时便于从整体上把握授权各环节,理顺建立授权机制的思路。     

多权限信息系统授权机制的研究与实践

本文针对信息系统中出现的权限管理问题，结合信息系统开发的实践经验，对多权限信息系统中的授权机制问题进行了深入浅出的研究。针对传统授权机制的缺陷，提出了动态授权机制和增强的授权机制，最后遵循软件复用的思想，利用软件构件技术开发了权限管理构件，并在实际的信息系统开发中成功地应用了该技术。     

基于场景的数据过滤研究

多数信息系统对数据过滤的处理是以硬编码的方式实现。本文提出的方案以场景为基础,结合授权机制,可对数据隔离规则进行灵活的扩展。实践说明,该方案可极大地提高编码效率和代码的可靠性,降低了业务实现的复杂度。     

数据产品流通的两阶段授权模式

数据产品是电子化的非实物产品,可以几乎无成本地无限复制和传播,这给数据产品运营体系的设计带来了挑战.当前,数据产品主要通过一个运营平台到达终端消费者,其授权机制及相应的定价规则等关键难题仍未得到有效解决.基于数据产品的可共享性和易复制性,提出数据产品流通的本质是一种授权,使得数据产品的定价是一种授权定价,进而提出了数据...     

数据中心三维运行平台

三维运行平台主要为实现一个面向中小型数据中心的简单易用的管理系统来协助数据中心管理人员实现对数据中心的集中管理.用户在通过相关的授权认证后进入平台系统,完成对平台的通用功能的操作,具体包括可视化管理和可视化展示两个部分,可视化管理实现综合查询、系统监视、日志管理等内容,可视化展示借助Unity3D引擎,实现数据中心相关场景和模型的还原和实时数据三维展示.经过测试,该平台的使用极大了提高开发效率和平台可维护性,整个平台也很好的体现出三维可视化协作管理的好处,节约数据中心的管理成本和提高管理效率,降低潜在风险威胁.     

一种统一授权和访问控制模型的设计实现

企业信息平台(EIP)是一个基于企业模型的平台,目标是为了实现模型驱动的企业设计、分析和评价。EIP的目标之一就是建立一个可以容易地实现不同系统集成的架构,如:政府和其他企业中过程、结构、任务、目标和信息等的集成。论文的重点不是EIP中数据的集成,也不是应用的集成,而是授权的集成,主要针对的是EIP中工作流管理和资源管理中的授权集成问题。在现有的EIP系统中,工作流管理和资源管理一般都有各自独立的授权和访问控制模块,这种非一体化的授权方法容易引发多种安全问题。而先前的研究大都集中在单独的授权系统上,对它们的集成很少有讨论。论文提出了一种统一的授权和访问控制模型,可以以一种统一的策略来表示处理EIP系统中的各种授权和访问控制,解决了分散授权模型带来的一些安全问题,较好地实现了授权的集成。     

数据备份系统中基于角色访问控制模型的研究

基于角色访问控制(RBAC)是一种方便、安全、高效的访问控制机制。文中分析了RBAC的基本思想和模型，然后介绍了用户角色分配和角色许可分配的基本方法，最后提出了在数据备份系统中运用RBAC实现用户权限管理的应用模型。并实现了标准建模语言UML的交互图描述RBAC的授权流程，从而使系统开发人员能深刻理解RBAC模型和建立基于角色的系统。     

Performance Evaluation of a Hybrid Run-Time Management Policy for Data Intensive Web Sites

The issues of performance, response efficiency and data consistency are among the most important for data intensive Web sites. In order to deal with these issues we analyze and evaluate a hybrid run-time management policy that may be applied to data intensive Web sites. Our research relies on the performance evaluation of experimental client/server configurations. We propose a hybrid Web site run-time management policy that may apply to different Web site request patterns and data update frequencies. A run-time management policy is viewed as a Web page materialization policy that can adapt to different conditions at run-time. We define a concept that we have named the Compromise Factor (CF), to achieve the relationship between current server conditions and the materialization policy. The issue of Web and database data consistency is the driving force behind our approach. In some cases though, we prove that certain compromises to consistency can be beneficial to Web server performance and at the same time be unnoticeable to users. We first present a general a comparative cost model for the hybrid management policy and three other related and popular Web management policies. We then evaluate the performance of all the approaches. The results of our evaluation show that the concept of the CF may be beneficial to Web servers in terms of performance.     

基于Portal认证技术的科技成果数据跨平台访问控制

为避免科技成果数据外泄,设计一种基于Portal认证技术的科技成果数据跨平台访问控制方法。采用Portal认证技术构建请求访问平台和科技成果数据服务平台的访问控制模型,当这2个平台通过访客身份认证后,对其进行信任度评估和访问请求授权;服务提供平台利用策略实施点（PEP）完成访问请求用户属性信息的收集并传送至PEP,采用推荐算子计算存在访问请求的用户信任度,并通过合一运算获取用户在科技成果数据服务平台的信任度。将获取的信任度传送至策略决策点（PDP）,通过PDP对信任度进行分析,以给出是否对该访问请求进行授权的判定,实现科技成果数据跨平台访问控制。实验结果表明,该方法访问控制的有效性与精准度较高,平台响应时间短,实用性好。