基于区块链的大数据访问控制机制

针对大数据资源来源广泛、动态性强且呈现出分布式管理的特点,当前主流集中式访问控制机制存在权限管理效率低、灵活性不足、扩展性差等不足.基于此,以ABAC模型为基础,提出一种基于区块链的大数据访问控制机制：首先,对区块链技术的基本原理进行描述,并对基于属性的访问控制模型进行形式化的定义;然后提出基于区块链技术的大数据访问控制架构,并对访问控制的基本框架与流程进行了详细的阐述与分析;同时,对基于区块链事务的访问控制策略及实体属性信息管理方法进行了说明,以此保证访问控制信息的不可篡改性、可审计性和可验证性;随后,采用基于智能合约的访问控制方法实现对大数据资源由用户驱动、全程透明、动态、自动化的访问控制;最后,通过仿真实验验证了该机制的有效性,并对该研究内容进行总结与展望.     

基于主侧链合作的区块链访问控制策略

传统区块链技术处理交易能力弱、吞吐量低,不仅难以处理工业环境下的海量数据,而且其访问控制策略权限管理效率低,安全性不足。针对上述问题,提出一种基于主侧链合作的工业物联网访问控制策略。通过Plasma Cash框架构建高性能DPOS侧链,并根据合约将侧链与主链双向锚定,实现区块链的主侧链扩容。根据工业物联网的节点特点和主侧链区块链的运行环境,设计适用于主侧链环境的访问控制模型,访问控制模型内的主客体信息收集点阻隔外部实体直接访问,信息处理点实现访问控制策略执行与存储分离。将模型编写成图灵完备智能合约后放至侧链上,侧链负责合约的执行并通过稀疏默克尔树算法与主链进行数据的批量同步验证。实验结果表明,该策略可对基于工业物联网的区块链传输速度和稳定性进行有效优化,提高了控制策略的管理效率和安全性,可满足工业物联网中的使用需求。     

基于区块链和用户信用度的访问控制模型

针对当前访问控制中用户权限不能随着时间动态变化和访问控制合约中存在的安全性问题，提出了一种以基于角色的访问控制(RBAC)模型为基础，同时基于区块链和用户信用度的访问控制模型。首先，角色发布组织分发角色给相关用户，并把访问控制策略通过智能合约的方式存储在区块链中，该合约设定了访问信用度阈值，合约信息对系统内任何服务提供组织都是可验证、可追溯且不可篡改的。其次，该模型根据用户的当前信用度、历史信用度和推荐信用度评估出最终信用度，并根据最终信用度获得对应角色的访问权限。最后，当用户信用度达到合约设定的信用度阈值时，用户就可以访问相应的服务组织。实验结果表明，该模型在安全访问控制上具有一定的细粒度、动态性和安全性。     

基于区块链的细粒度物联网访问控制模型

基于已有的区块链和访问控制相结合相关的研究存在难管理访问权限、低效率、难支持轻量级物联网设备的缺点,提出一种基于属性的物联网访问控制模型.通过引入属性的概念,支持细粒度的访问控制;将访问控制策略以智能合约部署在区块链上,降低物联网设备的计算压力,使该策略可以应用于轻量级设备;引入token概念,通过访问主体提前申请访问...     

物联网下的区块链访问控制综述

随着物联网的不断发展,物联网的隐私保护问题引起了人们的重视,而访问控制技术是保护隐私的重要方法之一.物联网访问控制模型多基于中央可信实体的概念构建.去中心化的区块链技术解决了中心化模型带来的安全隐患.从物联网自身环境特点出发,提出物联网终端节点设备轻量级、物联网海量终端节点和物联网动态性这 3个物联网下访问控制必须要解决的问题.然后,以这 3 个问题为核心,分析、总结了现有物联网中主流访问控制模型以及使用区块链后的访问控制模型分别是怎么解决这些问题的.最后总结出两类区块链访问控制模型以及将区块链用于物联网访问控制中的优势,并对基于区块链的物联网访问控制在未来需要解决的问题进行了展望.     

基于区块链的工业互联网系统设计

为了解决工业数字化、自动化进程中的生产信息安全问题,保障生产质量,提高系统自动化运转的能力,提出了区块链与工业互联网深度融合的概念.通过区块链的去中心化、可信协作、不可篡改等固有优势,利用Hyperledger Fabric平台搭建一个工业互联网系统,采用Raft算法以及智能合约实现节点共识以及流程设定,打造一个可信的...     

基于区块链和策略分级的访问控制模型

为应对当前访问控制动态变化、策略合约安全性以及策略检索效率的需求,以属性访问控制模型(ABAC)为基础,提出一种基于区块链和策略分级访问控制模型BP-ABAC。结合ABAC和区块链技术,使访问控制策略通过智能合约的方式储存在区块链,合约中对访问控制策略进行策略分级;用户根据等级评估获得相应策略集的访问权限;当请求属性和策略集中的策略相匹配时,获得访问资源权限。实验结果表明,该模型实现了对不同用户访问权限控制和提高访问控制的效率与灵活性,加强了访问控制策略的安全性和隐私性。     

基于区块链的策略隐藏大数据访问控制方法

针对大数据应用中用户共享数据的访问控制由半可信云服务商实施所带来的隐私泄露、策略和访问日志易被篡改等问题, 提出一种基于区块链的策略隐藏大数据访问控制方法 (A policy-hidden big data access control method based on blockchain, PHAC). 该方法采用区块链技术实施访问控制以减少对服务商的信任依赖, 引入属性基加密(Attribute-based encryption, ABE)以及双线性映射技术, 实现在不泄露访问控制策略的前提下, 通过智能合约正确执行访问控制策略. 同时, 解耦访问控制策略, 简化用户策略的发布、更新和执行. 并应用链上和链下存储相结合方式, 解决智能合约和访问控制策略占用区块链节点资源不断增大的问题. 最后, 对该方法进行了理论分析和HyperLedger Fabric环境下的实验评估, 结果表明该方法能在策略隐藏情况下有效实现访问控制, 但不会给数据拥有者、区块链节点增加过多额外计算和存储开销.     

基于区块链和智能合约的物联网访问控制架构

为解决传统的中心化的物联网(Internet of Things,IoT)访问控制解决方案中存在的单点失效、规模受限等安全问题,基于以太坊区块链和智能合约技术,采用中心化与去中心化相结合的方法,提出了一个面向IoT的访问控制架构.该架构中设计了多个访问控制合约、一个设备管理合约、一个管理员管理合约等多种合约,来实现去中...     

基于区块链的医疗数据分级访问控制与共享系统

针对当前医疗数据共享时访问控制粒度过粗、共享灵活性低、集中式医疗数据共享平台存在数据泄露的安全隐患等问题,提出一种基于区块链的医疗数据分级访问控制与共享系统。首先,对医疗数据按照敏感度分级,并提出了密文策略属性基分级加密（CP-ABHE）算法,实现对不同敏感度医疗数据的访问控制。该算法使用合并访问控制树和结合对称加密方法提升密文策略属性基加密（CP-ABE）算法的性能,并使用多授权中心解决密钥托管问题。然后,采用基于许可区块链的医疗数据共享模式解决集中式共享平台存在的中心化信任问题。安全性分析结果表明,所提系统在数据共享过程中保证了数据的安全性,可以抵御用户合谋攻击和权威合谋攻击。实验结果表明,CPABHE算法拥有比CP-ABE算法更低的计算开销,所提系统的最大平均时延为7.8 s,最高吞吐量为每秒处理236个事务,符合预期性能要求。     

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing, BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.     

工控系统数据访问中间件的研究与设计

通过对现有OPC规范的研究。提出了在现有的各种规范之上增加“中间件层”,从而建立一种真正开放的工控系统中间件规范的建议。针对工控系统的特点和数据访问中间件的需求分析,提出了工控系统数据访问中间件的3层C/M／S（Client／Middleware／Server）体系结构,并建立了系统模型。最后阐述了数据访问中间件的设计思路,也给出了实现方案。     

门禁系统之车辆出入管理

门禁系统中的一个重要应用就是车辆出入管理,是利用先进的技术和高度自动化设备,对车辆出入和停车场进行安全、有效的管理.车辆出入管理系统是用于小区内车辆的出入及停放的管理系统,实现对进出车辆的快速自动识别和自动管理.     

基于区块链对溯源数据的多方共享系统

溯源可以辨别产品的真伪也可对流动人员的行动轨迹进行监控, 但由于数据存储时的安全问题很容易导致查询到虚假信息. 为了确保数据的真实性和可靠性, 我们提出了基于区块链对溯源数据的多方共享系统. 所提出的架构采用星际文件系统与区块链存储相结合的方式处理溯源数据量大的问题, 这样不仅可以大大缓解数据的存储压力还可以对链上数据施加另一层保护. 在安全问题上, 采用区块链和安全多方计算协议相结合的方法, 处理系统对外非法侵、对内横向渗透和隐私泄露的问题.     

基于任务的访问控制系统

从特点、基本组成、模型系结构以及应用前景这几个方面着手介绍一种新的访问控制模式－基于任务的访问控制（TBAC）,并着重说明了基于任务的访问控制模型与传统的访问控制模型的不同点。     

企业统一资源访问控制系统

整个企业范围的统一认证是企业信息化应用发展到今天的迫切要求,套用传统的访问控制方法不能满足此需求。该文提出企业统一访问控制系统的设计应该从研究企业行为入手;并在企业行为研究的基础上设计了一种基于企业行为树、角色化的访问控制方法,使得企业访问控制主体的计算复杂性由常规方法的O（n）降为O（1）。此外该系统很好地支持企业管理柔性化,保障用户权限规则的实施。     

基于区块链的轻量级匿名评审协议

同行评审的重要价值一直被学术界广泛认可,然而其过程的不透明广受诟病。近年来,区块链技术的快速发展正在迅速推动以太坊等开放式智能合约平台的成熟,为开发去中心化的评审系统奠定了坚实基础。然而,目前去中心化的评审协议面临两个有挑战性的问题。首先,由于区块链记录的信息是透明公开的,若评审方的身份在评审结果产生前被公开,会导致匿名性难以保障,不利于维护评审过程的公平性。其次,由于智能合约中函数的每一次调用都要花费一定量链上资源,执行包含n位评审方的协议需花费O（n）链上资源,导致可扩展性难以保障,协议难以应用到实际场景。本文提出一种基于区块链的轻量级匿名审稿协议（Blockchain-based Lightweight Anonymous Review, BLAR）,旨在解决去中心化评审协议的匿名性和可扩展性两个关键问题。BLAR协议不需要在评审结果展示前在区块链上存储任意可能导致指派信息泄露的信息,包括但不限于被选中评审方的账户地址或其哈希值,从而使攻击者无法确定性地找出对应某投稿的评审方。同时, BLAR协议不依赖区块链进行存储与计算,而是仅利用区块链进行验证和可信性保证,从而在最小程度造成...     

SaaS 系统访问控制模型的研究

SaaS 作为新的软件模式,以本地部署、互联网访问的方式向客户提供服务,降低运维成本。本文在研究传统 RBAC 模型的基础上,结合SaaS 多租户、可配置、个性化的特点,提出一种SaaS 系统下分层的访问控制模型,实现系统多租户、 个性化服务的功能,给出实现方案和设计原理。     

工作流系统上下文相关访问控制模型

访问控制是提高工作流系统安全性的重要机制。基于角色的访问控制（RBAC）被绝大多数工作流系统所采用,已成为工作流领域研究的热点。但是,现有的基于角色的访问控制模型没有考虑工作流上下文对任务执行授权安全的影响,容易造成权限冗余,也不支持职责分离策略。该文提出一种工作流上下文相关访问控制模型WfCAC,首先,定义该模型的构成要素和体系结构,然后讨论工作流职责分离和访问控制机制,并对模型性质进行分析。WfCAC模型支持用户组及其层次结构,支持最小权限授权策略和职责分离策略,实现了工作流上下文相关访问控制。