云计算中数据隐私的安全保护机制

在云计算中,用户所拥有的数据信息通常被存放在遥远的云端,而其它用户常常能够访问这些数据且这些数据通常不由数据拥有者自己控制和管理.在此状况下,如何在云计算中保护用户的数据隐私安全则是一个十分具有挑战性的问题.为了解决这个问题,本文提出了一种数据隐私的安全保护机制.在此安全保护机制中,针对用户数据上载和访问的过程,首先提出了一种数据隐私保护的安全流程.在此基础上,提出了用户数据安全存储算法和云端数据安全访问算法.为了证明这种保护机制的有效性,本文对其安全性能进行了一系列的分析.分析结果表明：在云计算中使用这种机制能够确保数据隐私的安全性.     

一种可信第三方医学影像数据云平台身份认证

身份认证是云计算安全应用的挑战之一。针对Hadoop医学影像数据平台,提出改进的双服务器模型,并采用基于三角形原则的密码存储方法存储口令。其次,在该模型的基础上提出基于可信第三方的云存储架构。安全分析表明：基于双服务器模型的身份认证机制能够一定程度上改善口令认证的不足,加强口令存储安全,基于可信第三方的云存储架构能够实现用户信息管理和数据存储的分离,保护用户隐私。两者有机结合加强了医学影像平台的身份认证安全,防止攻击者访问云平台,窃取Dicom数据用于非法途径。     

基于信任的云计算身份管理模型设计与实现

随着云计算的发展,身份管理问题已经引起业界高度关注。基于群签名的身份认证机制保证了云服务提供者不能通过外包的数据回溯用户的身份信息,并广泛应用于云计算环境的身份管理中,但它无法阻止恶意用户对云服务的非法访问。针对此不足,改进了现有的身份管理模型,将信任管理与群签名机制相结合,设计了基于信任的身份管理模型。本模型首先计算用户信任度并将其作为群签名分组的依据,再利用群签名机制实现用户认证,在应用中既能保证用户隐私,又能帮助云计算提供者保护资源。实验结果表明,本模型能有效识别恶意用户,帮助云服务提供者阻止恶意用户对资源的访问。     

一种基于格的隐私保护聚类数据挖掘方法

由于云计算的诸多优势,用户倾向于将数据挖掘和数据分析等业务外包到专业的云服务提供商,然而随之而来的是用户的隐私不能得到保证.目前,众多学者关注云环境下敏感数据存储的隐私保护,而隐私保护数据分析的相关研究还比较少.但是如果仅仅为了保护数据隐私,而不对大数据进行挖掘分析,大数据也就失去了其潜在的巨大价值.本文提出了一种云计算环境下基于格的隐私保护数据发布方法,利用格加密构建隐私数据的安全同态运算方法,并且在此基础上实现了支持隐私保护的云端密文数据聚类分析数据挖掘服务.为保护用户数据隐私,用户将数据加密之后发布到云服务提供商,云服务提供商利用基于格的同态加密算法实现隐私保护的k-means、隐私保护层次聚类以及隐私保护DBSCAN数据挖掘服务,但云服务提供商并不能直接访问用户数据破坏用户隐私.与现有的隐私数据发布方法相比,论文的隐私数据发布基于格的最接近向量困难问题（CVP）和最短向量困难问题（SVP）,具有很高的安全性.同时算法有效保持了密文数据间距离的精确性,与现有研究相比挖掘结果也具有更高的精确性和可用性.论文对方法的安全性进行了理论分析并设计实验对提出的隐私保护数据挖掘方法效率进行评估,实验结果表明本文提出的基于格的隐私保护数据挖掘算法与现有的方法相比具有更高的数据分析精确性和更高的计算效率.     

考虑权值与熵值的媒体网络隐私数据访问认证

为提高媒体网络用户访问认证的身份认证准确度与效率,提出考虑权值与熵值的媒体网络隐私数据访问认证。建立隐私数据保护机制,在不改变数据统计特性的前提下,对隐私数据进行转换。根据媒体网络数据投放者要求,设置数据安全访问权限标签,明确数据安全等级。以用户的属性信息为基础,通过计算网络多个属性的相似度,识别访问用户身份。依据双线性映射思想,针对识别完成的用户身份信息,应用一个密钥计算中心进行离线验证,再通过随机数交互的方式完成访问认证。实验结果表明：所提出的访问认证方法比对照方法的认证准确度更高、平均认证时间更短,提升了认证的精度与效率。     

基于SM2数字签名的匿名凭证协议

匿名凭证作为一种隐私保护的数字身份认证技术, 在认证用户数字身份有效性的同时, 能够保护用户身份隐私, 广泛应用于匿名身份认证、匿名通证、去中心化的数字身份管理系统等. 现有的匿名凭证通常采用承诺-签名-证明的构造范式, 通常要求采用的签名算法具备重随机化特性, 如CL系列签名、PS系列签名及结构保持签名. 现实应用中多采用ECDSA、Schnorr、SM2等数字签名进行数字身份认证, 但其缺乏对用户身份隐私的保护. 因此, 在认证的同时, 保护身份的隐私性, 构造兼容ECDSA、Schnorr、SM2等数字签名的匿名凭证具有一定的现实意义. 探索基于SM2数字签名构造匿名凭证协议的方法. 在申请证书阶段, 借助Pedersen承诺对用户属性进行承诺, 同时依据SM2签名消息为$ H(m) $的结构特点, 证明Pedersen承诺消息与哈希承诺中消息的相等性. 为实现这种代数结构和非代数结构陈述的等价性证明, 借鉴ZKB++技术对承诺消息进行转化, 进而实现跨域证明, 并签发基于SM2数字签名的授权证书. 在匿名凭证展示阶段, 结合零知识证明技术证明持有SM2数字签名, 保证了用户的匿名性. 给出基于SM2数字签名的匿名凭证协议的具体构造, 并进一步证明该协议的安全性. 最后, 通过对协议的计算复杂度分析与算法执行效率测试验证协议的有效性和可用性.     

基于国密算法和模糊提取的多因素身份认证方案

针对多因素身份认证方案需要额外硬件设备以及在隐私信息防护、密码运算安全上存在漏洞等问题,提出一种基于国密算法和模糊提取的多因素身份认证方案.该方案不需要智能卡等额外设备,首先使用Shamir秘密门限方案和SM4分组密码算法保护用户私钥安全;然后在注册阶段使用模糊提取和SM3密码杂凑算法实现基于用户身份和生物特征信息的双向认证,从而注册用户身份并发布用户公钥;最后在认证阶段使用SM2椭圆曲线公钥密码算法实现基于签名验签的双向认证,从而认证用户身份并协商会话密钥.经过BAN逻辑验证和启发式安全分析,该方案实现了注册和认证阶段双向认证,能够安全地协商会话密钥,可以抵抗已知攻击并提供用户匿名性和前向保密性.实验结果显示,该方案在客户端和服务端的计算开销都在毫秒级,在提高安全性的同时保持了较高的效率.     

基于OAuth的开放授权技术及在云计算中的应用

在云计算中,传统应用系统中使用的基于单一安全域的身份认证和资源授权模式已无法适应复杂环境中的管理要求,需要制定跨域访问的安全控制策略.在重点分析了云计算中数据安全和隐私保护所遇到的挑战的基础上,有针对性地介绍了OAuth2.0协议的原理和功能特点,提出了开放授权技术在云计算中的应用优势,并通过一个工程应用实例讨论了具体的实现方法和思路.     

基于雾计算的智能医疗三方认证与密钥协商协议

在智能医疗中,将云计算技术与物联网技术结合,可有效解决大规模医疗数据的实时访问问题.然而,数据上传到远程云服务器,将带来额外的通信开销与传输时延.借助雾计算技术,以终端设备作为雾节点,辅助云服务器在本地完成数据存储与访问,能够实现数据访问的低延迟与高移动性.如何保障基于雾计算的智能医疗环境的安全性成为近期研究热点.面向基于雾计算的智能医疗场景,设计认证协议的挑战在于:一方面,医疗数据是高度敏感的隐私数据,与病人身体健康密切相关,若用户身份泄漏或者数据遭到非法篡改将导致严重后果;另一方面,用户设备和雾节点往往资源受限,认证协议在保护用户隐私的同时,需要实现用户、雾节点、云服务器之间的三方数据安全传输.对智能医疗领域两个具有代表性的认证方案进行安全分析,指出Hajian等人的协议无法抵抗验证表丢失攻击、拒绝服务攻击、仿冒攻击、设备捕获攻击、会话密钥泄漏攻击;指出Wu等人的协议无法抵抗离线口令猜测攻击、仿冒攻击.提出一个基于雾计算的智能医疗三方认证与密钥协商协议,采用随机预言机模型下安全归约、BAN逻辑证明和启发式分析,证明所提方案能实现双向认证与会话密钥协商,并且对已知攻击是安全的;与同类...     

基于区块链应用模式的铁路旅客身份认证系统

采用“区块链技术+不对称加密+生物识别+身份认证”应用模式，依托智能手机客户端设计与开发一套铁路旅客身份认证系统.基于Ethereum开发平台，应用truffle开发框架，实现铁路旅客身份认证系统智能合约的编写与部署.系统针对传统铁路身份认证模式的不足，将旅客身份数据分布式存储，弱化中心化服务器的压力，提升旅客身份数据的安全性和鲁棒性；进行生物信息认证确保旅客对身份信息的所有权；利用非对称加密技术在保护旅客隐私、实现实名制的前提下增强数据的透明性.基于区块链应用模式的铁路旅客身份认证系统能够让用户身份实现本地存储、信息摘要链上校验，实现铁路旅客身份信息数据访问的细粒度控制，保障铁路旅客身份信息安全，提升铁路旅客的乘车体验.