面向组件接口的XACML变异测试策略

XACML是一种适用于各种信息资源保护的访问控制语言。由于其严格的语法规范,且具有多种平台之间的可移植性,非常适用于各种组件交互的安全管理。借助该访问控制语言提出的一种面向组件的三层访问控制方法,组件交互、接口调用和参数访问都能实现安全控制。在该基础上设计了相应的变异测试策略,规则变异可以导致策略变异,策略变异可以导致整个策略集的变异;反之亦然。通过测试具体实例与验证其语义模型,该测试策略为组件访问及交互提供了安全保障。     

基于格的可撤销属性的个人健康档案共享方案

个人健康档案共享是一项高效便利的医疗信息交换服务。数据拥有者可以上传个人档案至第三方云数据服务器以实现信息共享,但数据的隐私安全值得考虑。文章采用格基上基于密文策略的属性基加密算法,在保证数据隐私安全的同时实现属性的细粒度访问控制,以解决个人健康档案共享系统中访问权限变动的问题。最后,在标准模型下基于误差学习问题证明了该方案是选择属性安全和选择明文安全的。     

Web服务中基于XACML的RBAC应用研究

对基于角色的访问控制(RBAC),Web Services和可扩展访问控制标记语言(XACML)相关核心技术进行了研究,提出了一种RBAC在Web服务中的通用实现方案,后者可用米提供企业级的访问控制服务.该方案使用XACML语言描述其访问控制策略,符合RBAC规范,按照Web Services标准提供服务;最后进行了实施.运用该方案可以提高开发效率和软件的质量.     

物联网感知层一种基于属性的访问控制机制

为了实现物联网感知层的细粒度访问控制和用户的匿名数据访问,提出了一种基于用户属性的访问控制机制,并利用双线性映射给出了具体的算法实现．该方案中,用户以其属性证书为依据向传感器节点发起数据访问请求,传感器节点根据门限原则决定是否允许用户访问．该方案可以实现灵活的细粒度访问控制和匿名的数据访问,用户和传感器节点的信息交互次数达到了最少,节点运算量少,只需要进行一次公钥加密．与现有的传感器网络访问控制方案相比,该方案传感器节点开销较小,可扩展性良好,可以适应物联网感知层的访问控制需求．     

PDM系统间的安全交互模型

现有的用户名/密码等访问控制机制在交互时存在着很大的安全缺陷.为了更有效地满足企业产品数据管理(PDM)系统安全交互的需求,在现有企业PDM系统的通用安全管理模型的基础上,提出并设计实现了基于公钥证书的属性证书模型-AA代理模型.新模型依据TTP(可信第三方)的结构来传递企业间的信任关系,增强了企业协作的自动化,减少了交互的成本.它不仅实现了可靠的身份鉴定和安全的数据传输,同时也实现了灵活的访问控制和安全审计功能,有效地解决了企业信息交互的问题,可用于汽车、电子、机械等制造行业.     

基于RBAC的跨多企业服务组合访问控制模型

为了解决单域环境下访问控制模型无法满足跨企业服务组合的访问授权需求的问题,提出一种以基于角色访问控制(RBAC)为基础的多域动态访问授权模型.根据组合服务的流程结构分析服务执行所需的权限,提出一个权限最小化的角色集挖掘算法,从原有的面向单域的角色授权关系中搜索满足服务执行的角色集.针对组合服务中的跨域操作进行端对端的域间自主授权协商,并根据挖据出的角色集建立最小成本的跨域角色映射以满足跨域访问授权需求.在此基础上提出一套与现有的工业标准相结合运行时框架,实现根据组合服务实际运行状态进行授权的动态访问控制机制.模拟实验结果验证模型中的该算法的主要部分在多种不同场景下的有效性.     

基于XML服务管理信息的访问控制模型

提出了一种基于XML细粒度的服务管理信息的访问控制模型,用于控制服务管理站对服务管理信息的访问.采用了形式化方法定义服务管理信息的访问控制模型的主体、客体和授权规则;讨论了授权规则的冲突解决方法,设计了标记XML文档中哪些节点的元素或属性可以被操作的标签树算法;描述了服务管理系统中细粒度访问控制模型的4种操作.该模型能控制服务管理站对服务管理信息的访问控制,控制粒度可以达到XML文档中的元素或属性.     

访问控制中基于粗糙集的授权规则知识发现

为实现访问控制中客体对主体预授权的准确和及时,针对基于信任的访问控制信任和权限的映射问题,将成功交互的实体授权信息作为用于知识发现的数据决策信息表,结合访问控制的授权规则,提出了一种基于粗糙集的授权规则知识发现方法,实现授权规则中的属性约简、知识决策规则的提取.最后,通过算例分析验证了基于粗糙集的授权规则知识发现方法的有效性.     

基于区块链的供应链数据分级访问控制机制

针对供应链企业与部门间存在数据共享程度低、访问透明性差以及隐私保护的问题,提出了一种基于区块链的供应链数据分级访问控制机制。设计了面向供应链场景的多链架构,实现供应链数据与访问控制信息的隔离存储;同时提出了基于分级属性和区块链的分级访问控制模型,及其智能合约的实现与部署,并针对某集采集配供应链业务进行了实例分析。实验表明该机制在大规模策略下,吞吐量仍维持在90 tps以上,策略判定时间开销平均为26 ms。     

MapX4.0中存在的问题及查询性能研究

针对组件式GIS应用系统中普遍关注的空间、属性信息交互查询功能的实现问题展开研究.对比分析了空间信息和属性信息等几种不同查询方式的实现过程；探讨了应用地理信息系统二次开发组件MapX构建系统时，提高查询效率的不同方法.同时，指出了在系统开发实践中采用MapX40进行属性信息查询时存在的问题，并给出了具体的解决方案.     

软件人协商中的自学习

首先提出了一个双边多主题的协商模型,给出了协商模型定义、协商要素及一个软件人双边协商框架,并详细讨论了协商主题、协商协议、效用函数、协商资源及协商策略,然后利用BP神经网络学习算法对协商策略中关键的最终结果集进行预测和学习,实现了软件人协商的自学习过程.与其他的相关研究相比,论文针对不完整信息环境下的协商交互过程,利用神经网络具有的网络自适应、自学习的能力,对协商最终结果集进行预测,提高了协商的效率.在协商交互中采用该框架的个体将得到更为有利的协商结果,因此更加适用于不完整信息环境下的协商.     

基于网格的电子商务架构和多Agent协商

提出基于网格的电子商务系统架构,它能合理地组织和管理系统中资源和用户,消除信息孤岛,提高信息查询的效率。该架构运用多种Agent完成电子商务过程,有效地反映现实世界交易的特性:其中,使用交易Agent(BA)进行实时监控、采集信息,为协商提供参考值;使用ABuyer和AProvider分别代表买卖双方实施多属性的自主协商,并为之设计灵活、自适应的协商策略,从而提高协商的性能和效率。     

云链协同的工业互联网数据共享访问控制方法

针对海量数据安全存储与可信共享的问题，提出了云链协同的数据共享访问控制方法。首先，构建基于区块链和云存储的数据共享访问控制方法的系统模型，改进了基于密文策略的属性加密算法，创建了用户-属性的多对多关联策略，实现对数据密文的访问控制，解决云服务器诚实且好奇的问题；然后，提出一种既支持细粒度访问控制又支持对加密数据进行多关键字搜索的有效公钥加密方法，可以实现加密数据的多关键字查询，并且在生成关键字索引时不需要提前定义字典库，可以降低一部分存储开销；最后，在判定性Diffie-Hellman和随机Oracle模型的假设下证明了所提方法是安全的。实验结果表明，所提方法在索引生成和关键字匹配阶段效率较高。     

面向对象系统的信息流安全研究

描述了面向对象系统的数据模型，研究了信息流和信息传输，并以此为基础给出了基于自主访问控制策略的分布式对象系统的信息流控制方法，该方法利用限制策略和消息过滤器算法可以在自主访问控制中实现强制访问控制中的＊属性，从而有效地防止特络伊木马对自主访问控制的威胁。     

云中基于常数级密文属性基加密的访问控制机制

针对当前云计算环境下基于属性加密访问控制机制中密文存储开销随属性个数成线性增长的问题,提出了一种基于常数级密文CP-ABE(CCP-ABE)算法的访问控制机制。先用一个对称密钥加密源数据,然后用一个与门访问策略加密该对称密钥,只有拥有满足该访问策略的属性集合的用户才能恢复出对称密钥。在CPA安全的CCP-ABE算法安全性的基础上证明了该访问控制机制的安全性,并且给出了CCA安全的CCP-ABE构造方法。性能分析结果表明:该访问控制机制将密文存储开销由随密文中包含的属性个数增加成线性增长降为常数级。     

单云服务提供者环境下的随机化属性保护研究

单云服务提供者环境下用户随机属性隐私保护包括防范属性集更新泄露与密钥关联属性泄露,主要通过代理认证、零知识证明、可信第三方和匿名签名实现.针对属性保护严重依赖第三方的密钥分配与属性授权,提出了一种密文策略属性基群签密随机属性保护方案.该方案利用无证书群签密的无连接交互验证特性,在用户计算密钥因子时防范云服务提供者获得密钥关联属性信息;利用属性撤销的密钥重构与属性分割的密文重构的相互独立特性,降低了用户签密所需要的最小属性集数量,抵制了攻击者利用属性集更新伪造签名;以密钥服务为中心设计了群签密的身份验证机制以防范其他用户身份伪装.结果表明:该方案实现了保护随机属性安全和消息隐私.     

属性基无中央授权中心DMA-ABE方案研究

针对当前云环境下属性基访问控制机制中采用中央授权中心带来的安全性问题,提出了分散多机构属性基加密DMA-ABE方案. 该方案采用多个授权中心负责用户密钥的分发,无需中央授权中心的协调;支持任意的线性秘密共享方案访问结构,访问策略灵活;采用代理重加密进行属性的即时撤销和授权,支持高效、灵活、细粒度的访问控制.安全性分析证明该方案达到选择明文攻击安全.     

基于效用最大化协商机制的云媒体资源分配算法

针对传统云媒体资源分配算法中没有考虑整体服务满意度和分配效用等因素对算法性能的影响,导致云媒体资源分配服务效率和可应用性不高的问题,引入云媒体服务提供者和云媒体服务请求者的效用函数模型,从服务价格、服务响应时间和服务带宽3个方面对该模型进行统一化描述。利用云媒体服务双方的效用函数值和让步策略,得到最大效用化的云媒体服务资源,并进行协商分配。基于协商机制效用模型,提出了资源分配算法RAANM(Resource allocation algorithm based on negotiation mechanism)。与传统调度算法相比,RAANM算法的云媒体资源分配的目标函数不再是最小化响应时间,而是最大化效用值,进而提高服务满意度。最后通过仿真实例验证了该算法的有效性。     

基于区块链的车联网数据安全共享方案

针对传统车联网（IoV）数据易被篡改、访问控制不够灵活的问题,提出基于区块链和带权密文策略属性基加密的车联网数据安全共享方案. 该方案由路侧单元共同维护区块的生成、验证和存储,实现分布式数据存储,保证数据不可篡改;基于属性对链上数据进行访问控制,保证只有授权的访问者才能访问数据内容;针对车联网场景下多实体、多角色的数据共享需求,通过挖掘车联网数据访问角色间属性权限的关联关系,构造基于多属性的层级访问策略制定方法,简化访问控制策略的复杂度. 实验分析表明,该方案能够实现对车联网数据的安全存储与灵活访问控制,所构建的层级访问策略制定方法能够有效降低车辆的计算和传输开销,满足车联网场景下多实体、多角色的访问需求.     

基于XYZ/ADL的Web服务组合形式化描述

组合现有的Web服务是为了能快速地开发复杂的Web服务。介绍了几种常见的Web服务组合方法，并根据4种关键需求（连通性、非功能服务质量属性、正确性、可伸缩性）对它们加以比较。提出了一种基于软件体系结构描述语言XYZ／ADL的Web服务组合形式化描述方法，由XYZ／ADL定义描述Web服务的组件、组件之间交互的连接件以及建立组件和连接件实例联系的配置．最后结合一个实例描述Web服务组合的工作方式。