RBAC中基于信任的细粒度访问控制研究

针对传统的角色访问控制模型权限控制粒度较大,提出一种基于信任的细粒度访问控制模型,该模型在RBAC基础上引入授权信任约束,采用了一种基于忠诚度的信任度计算方法,有效地遏制恶意行为,实现细粒度访问控制。该模型不仅具有RBAC模型的所有优点,而且比RBAC模型具有更好的通用性、灵活性和可扩展性。     

基于HBase的细粒度访问控制方法研究

为增强HBase的安全访问控制能力,提出一种针对HBase的细粒度访问控制方法。该方法通过修改优化HBase源码,扩展访问控制权限、重写访问控制器达到细粒度访问控制的目的。归纳出应用于HBase的RBAC模型,内建数据库角色以解决权限扩展后细粒度权限管理难度增大的问题。通过设计实验测试用例,验证了提出的细粒度访问控制方法能更全面地保护HBase数据,解决了原有方法带来的权限过粗的问题,降低了数据可能被恶意地执行修改、删除等操作所带来的巨大安全风险。     

基于比特币区块链的公共无线局域网接入控制隐私保护研究

在公共无线局域网的访问控制中,用户隐私保护和用户可问责性是一对相互冲突的目标。针对该问题,提出了一种基于比特币区块链和Intel SGX的匿名且可问责用户管理与访问控制方案。在不修改已有的比特币协议的前提下,实现了对公共无线局域网访问凭证的安全管理,而无须依赖可信第三方;采用基于Intel SGX的混合技术,通过较小的开销提供了用户可控的访问凭证匿名性保护;设计的区块链验证路径规则在保持用户隐私的同时实现了对恶意用户的问责。理论分析和实验结果验证了该方案的安全性和可行性。     

基于区块链的细粒度物联网访问控制模型

基于已有的区块链和访问控制相结合相关的研究存在难管理访问权限、低效率、难支持轻量级物联网设备的缺点,提出一种基于属性的物联网访问控制模型.通过引入属性的概念,支持细粒度的访问控制;将访问控制策略以智能合约部署在区块链上,降低物联网设备的计算压力,使该策略可以应用于轻量级设备;引入token概念,通过访问主体提前申请访问...     

一种灵活的访问控制策略及其应用研究*

提出了一种声明式的、面向对象的、灵活访问控制策略的形式化描述、决策算法和实施框架。与传统访问控制策略相比,它包含授权类型、主体、权限、限制、影响等策略元素,能够更加精确地描述各类控制需求;同时,提出的策略决策算法和实施框架能适应决策环境的动态变化,有效满足复杂分布式系统的访问控制需求;最后,作为应用的例子,介绍了这种策略和实施框架在分布式园区网中的实现和应用情况。     

基于区块链的智能家居认证与访问控制方案

智能家居运用物联网技术为用户提供自动化的智能服务,但传统的集中式架构存在机密性和完整性等安全性问题,而现有的分布式架构又存在重复认证、高延迟等问题。针对这些问题,基于区块链和椭圆曲线集成加密技术提出了一种智能家居认证与访问控制方案,同时还引入了边缘计算,降低系统的延迟。并将基于权能的访问控制与区块链相结合,在区块链上存储权能令牌并设计了相应的智能合约以实现安全的访问控制。安全性分析表明,该方案具有去中心化、不可窜改、机密性、完整性和可扩展性等安全特性。在以太坊区块链上进行仿真,并根据计算开销、通信开销和响应时间等指标对方案进行了性能评估。评估结果表明,相比其他方案,该方案计算开销和通信开销更小,响应时间更短,具有明显的优势。     

基于属性的授权和访问控制研究

因开放环境的分布性、异构性和动态性，对访问控制提出了独特的安全挑战。基于属性的访问控制（ABAC）机制比基于身份的访问控制机制更能解决管理规模和系统灵活性问题，并提供细粒度的控制，已证明了对这种环境的适应性。讨论了ABAC的授权和访问控制机制、实现框架、属性管理等问题，并通过对关键技术的比较分析，提出了将来需要研究的内容，为该领域的进一步研究提供了思路。     

基于区块链与边缘计算的物联网访问控制模型

边缘计算的出现扩展了物联网（IoT）云-终端架构的范畴,在减少终端设备海量数据的传输和处理时延的同时也带来了新的安全问题。针对IoT边缘节点与海量异构设备间的数据安全和管理问题,并考虑到目前区块链技术广泛应用于分布式系统中数据的安全管理,提出基于区块链与边缘计算的IoT访问控制模型SC-ABAC。首先,提出集成边缘计算的IoT访问控制架构,并结合智能合约和基于属性的访问控制（ABAC）提出并设计了SC-ABAC;然后,给出工作量证明（PoW）共识算法的优化和SC-ABAC的访问控制管理流程。实验结果表明,所提模型对区块连续访问下的耗时随次数呈线性增长,连续访问过程中央处理器（CPU）的利用率稳定,安全性良好。本模型下仅查询过程存在调用合约的耗时随次数呈线性增长,策略添加和判断过程的耗时均为常数级,且优化的共识机制较PoW每100块区块共识耗时降低约18.37个百分点。可见,该模型可在IoT环境中提供去中心化、细颗粒度和动态的访问控制管理,并可在分布式系统中更快达成共识以确保数据一致性。     

网格环境下基于属性的访问控制策略合成研究*

为了满足网格环境下资源聚合对访问控制策略合成的需求,达到建立统一的安全策略的目的,提出了一种扩展的基于属性的访问控制（ABAC）策略合成代数来实现安全策略的合成,该合成在策略表达式中引入了环境属性,并结合了一种新的策略合成算子实现访问控制策略的合成。用一个具体的策略合成案例展示了策略的合成,说明策略合成方法有良好的语义表达能力、灵活性以及可扩展性。     

基于属性的可净化签名方案

在属性基签名（attribute-based signature, ABS）方案中,签名者密钥由不同的属性生成,只有当所拥有的属性满足给定的签名策略时才能够产生有效签名.验证者不需要知道签名者真实身份就能判断签名是否有效.所以ABS因其匿名性而受到广泛关注.在ABS方案中,一旦密钥发生泄露,那么获得密钥的攻击者就可以生成一个有效签名.原始消息中往往包含一些敏感信息,例如在电子医疗或电子金融场景中,个人的医疗记录或交易记录中包含个人隐私信息,若未经脱敏处理将会导致个人敏感信息泄露.为了解决密钥泄露和敏感信息泄露问题,提出了一种前向安全的高效属性基可净化签名（forward-secure attribute-based sanitizable signature, FABSS）方案.基于η-DHE（η-Diffie-Hellman exponent）困难问题假设,在标准模型下证明了该方案的安全性.提出的方案不仅可以抵抗密钥泄露,保护签名者隐私,同时还具有敏感信息隐藏功能.此外,提出的方案具有固定签名长度,并且在验证阶段只需要计算常数个配对运算.实验分析表明提出方案的性能是高效的.

     

大数据环境下基于用户属性的细粒度访问控制

为解决大数据环境下统一授权管理的问题,分析开源组件Apache Ranger的模型与授权方式,综合考虑授权用户数量、策略管理难度等问题,提出基于用户属性的访问控制模型。将CP-ABE算法引入Ranger原生访问控制模型中,通过算法的加、解密为Ranger策略添加访问控制树,实现用户属性级别的授权和基于用户可变属性的动态访问控制。通过开发原型系统,实现权限管理、用户管理、属性管理等功能。在实验部分,通过对不同量级用户进行访问控制,验证模型的有效性。     

DRM细粒度使用控制模型及其安全机制

为了解决现有数字版权管理中使用控制模型缺乏对细粒度数字内容的灵活和安全使用的问题,基于对一般使用控制模型UCONABC的扩展,提出了形式化的细粒度使用控制理论模型Gran-UCON及其原型系统安全框架和实现机制.该方案将数字资源实体进行细粒度分割,使其粒度减小到具有完整意义的基本单元,进一步通过许可授权加以安全控制.应用实例验证了该模型在数字内容用户终端使用中的安全性和灵活性.     

社交网络中具有可传递性的细粒度访问控制方案

针对社交网络中隐私保护的需求,基于属性基加密(ABE)算法,提出了一种权限可传递性的细粒度访问控制方案。在方案中通过属性的设置实现了社交网络成员不同粒度的刻画,为细粒度加密和访问提供了基础;同时在方案中引入了代理服务器,对非授权成员与授权成员之间的关系进行分析,从而判定非授权成员的访问权限。若该成员可以获得访问权限,密钥生成中心依据授权成员的属性为其生成解密密钥,进而实现访问权限的传递性。与其他基于访问控制或加密技术的隐私保护方案相比,所提方案将对数据的访问控制和加密保护相统一,在实现数据加密的同时,提供细粒度的访问控制;并结合社交网络的特点实现了访问权限的传递性。     

安全隔离状态下的身份鉴别和细颗粒度访问控制

本文介绍了一种将网络安全隔离技术和PKI/PMI技术有效地结合的完善的授权访问安全体系,实现了安全隔离状态下进行身份验证和细颗粒度的访问控制,实现了系统的主动安全管理,大大提高的安全性、可控性,促进电子政务建设的健康发展。     

基于属性的访问控制模型及其在企业信息系统中的应用

分析了基于属性的访问控制模型(ABAC)的工作原理及特点,并以在企业信息系统中的应用为例说明了该模型的有效性.     

基于角色和任务的工作流访问控制模型及其应用

提出了一种基于角色和任务的工作流访问控制模型RTBWAC,描述了模型中用户、角色、许可、活动等要素间的指派关系和该模型的静态、动态约束规则,最后给出了该模型在实际工作流系统中的应用.     

基于CP-ABE算法的区块链数据访问控制方案

与公有链不同,联盟区块链超级账本Fabric额外集成了成员管理服务机制,能够提供基于通道层面的数据隔离保护。但这种数据隔离保护机制在通道内同步的仍是明文数据,因此存在一定程度的数据泄露风险。另外,基于通道的数据访问控制在一些细粒度隐私保护场景下也不适用。为了解决上述提及的联盟链超级账本中存在的数据隐私安全问题,提出了一种基于CP-ABE算法的区块链数据访问控制方案。结合超级账本中原有的Fabric-CA模块,提出的方案在实现用户级细粒度安全访问控制区块链数据的同时,还能够实现对CP-ABE方案中用户属性密钥的安全分发。对该方案进行的安全分析表明,该方案实现了ABE用户属性私钥安全分发和数据隐私性保护的安全性目标,性能分析部分也说明了所提方案具有良好的可用性。     

可信网络接入认证协议的设计与分析

随着对TNC应用和研究的不断深入,其架构自身的安全性问题也逐渐成为人们所关注的焦点。在分析了TNC架构存在局限性的基础上,提出了一种新的基于TNC规范的网络接入认证协议,在服务器端和客户端安全协商会话密钥的前提下实现了通信双方的双向身份认证和双向平台认证,在提高认证效率的同时使得整个认证过程更为安全可靠。最后,对协议进行了安全性分析,并给出了协议的安全性验证过程,分析结果表明该接入认证协议能够达到预期的安全目标。     

具有细粒度访问控制和低存储空间开销的云存储系统

针对目前公有云存储系统中存在的数据机密性和系统性能问题,提出了一个安全高效的方案,并将其应用于基于密文策略属性基加密(CP-ABE)的具有细粒度访问控制的密码学的云存储系统中。在这个方案中,原始的数据首先会经过一个(k,n)算法分割成小块,然后随机选择其中部分小块进行加密,最后发布到云上,且只保存一份副本。该方案能够提升用户撤销操作的性能和降低存储空间的开销,同时安全性分析也证明了这个系统在计算上是安全的。通过分析对比,实验结果表明:该方案优化了用户撤销,减少了数据拥有者对数据管理的时间,由于只需要保存一份数据副本,因此有效地减少了数据的存储空间。该方案实现了公有云存储中敏感数据的安全共享和高效存储。     

Smart grid data access control scheme based on blockchain

The smart grid communication parties need to process the data by the trusted central node, which will lead to security issues such as single-point attacks and data tampering. This paper proposes a smart grid data access control scheme based on blockchain, the user completes the registration of the smart meter by three encryptions. After the registration is completed, the registration information will be uploaded to the blockchain. In the data access phase, the verification center verifies the user's data access request, the database will accept the user's request for data if the verification is passed, and that will be broadcasted on the entire network and uploaded to the blockchain. The security of the scheme is analyzed by using a random oracle model. Analysis shows that this scheme can resist public key replacement attacks and malicious key generation center (KGC) attacks. Compared with the existing scheme, this scheme can more effectively resist more types of attacks. It shows that the smart grid data access control scheme proposed in this paper is safe, reliable and efficient.