基于属性加密的云存储方案研究

云存储中往往采用属性加密方案来实现细粒度的访问控制,为了进一步保护访问控制策略中的敏感信息,并解决授权中心单独为用户生成密钥而产生的密钥托管问题。该文对访问控制策略中的属性进行重新映射,以实现其隐私性。另外在密钥生成算法中设计一个双方计算协议,由用户产生密钥的部分组件,与授权中心共同生成密钥以解决密钥托管问题。最后在标准模型下对方案进行了安全证明,并进行了性能分析与实验验证,实验结果表明,与已有相关方案相比,虽然为了实现访问控制策略隐藏并且解决密钥托管问题增加了额外的计算负载, 但是由于该文将大部分解密工作授权给云存储中心来执行,因此数据访问者的计算负载较小。     

基于多元判决的动态访问控制架构的研究

论文在分析现有访问控制模型和技术的基础上,结合多元判决与动态访问控制的思想,提出了一种基于多元判决的动态通用访问控制架构,并重点阐述了多元判决与动态授权管理的设计思路,对架构中各模块、数据库进行了介绍。本体系架构克服了现有访问控制技术中判决依据单一、授权方式无法满足部分应用业务安全需求的不足,为访问控制实现提供了新的思路。     

面向医疗大数据基于零信任的UCON访问控制模型

医疗大数据的共享在现代医疗技术和服务中发挥着重要作用.针对医疗大数据共享过程中的安全性需求,提出了基于零信任和UCON的医疗大数据访问控制模型ZT-UCON.该模型将零信任思想与支持动态连续访问的UCON模型相结合,利用UCON模型的授权、义务和条件等访问控制策略,构建了面向医疗大数据访问控制决策方案.通过在医疗大数据访问控制的一个典型案例中应用ZT-UCON模型,并对比典型的传统访问控制模型,验证了 ZT-UCON的优势.结果表明:基于零信任的UCON访问控制模型,可以降低医疗大数据共享过程中过度访问的可能性,以满足医疗大数据访问控制的安全性需求.     

属性驱动的多策略网格授权机制研究

网格系统存在大量动态的访问用户和每个自治域有自己的访问控制策略,因此具有动态性和自治性的访问控制需求。基于属性的访问控制和网格系统的授权需求提出了一个属性驱动的多策略访问控制模型（MP_ABAC,Multipolicy_supported Access Control based on Attribute）并基于继承和封装思想和可扩展访问控制标记语言（XACML）设计了MP_ABAC授权框架。框架在网格访问控制中存在很大的优势,为网格授权系统提供了开放的架构,且能够集成第三方基于属性的授权系统。     

基于零信任的动态访问控制技术研究

传统的访问控制技术不能有效满足泛在接入的移动接入需求,提出一种基于零信任的动态访问控制技术。该技术通过持续监控大规模访问主体行为,结合主体行为、任务类型、服务、资源类型和网络安全状态对用户进行动态信任评估并根据信任值对访问主体进行动态授权,从而提高系统对恶意行为的识别率,提升企业数据资源的安全性。仿真表明,该方法能够适应访问主体在持续访问控制方案下的细粒度访问控制和动态授权管理,提升移动办公等应用的安全性。     

云平台下CRM系统访问控制研究与设计

文章对比分析了主流的访问控制模型,以基于角色的访问控制模型为基础,设计了适合云平台下CRM系统的访问控制机制,该机制增加了用户组、部门、资源、操作等实体。在优先通过角色授权的基础上,允许对用户直接授权,在权限设计中增加了用户权限直接授权,用户角色权限的动态授权等。本文还介绍了云平台下CRM系统的访问流程,并实现了云平台下CRM系统的访问控制。     

基于承诺-担保的访问控制模型

访问控制模型是信息安全领域研究的重点之一.现有文献中可以见到许多访问控制模型,但其只能依据已有的事实由授权系统单方面对授权请求进行判定处理,不适合电子商务环境下根据用户对未来可满足条件的承诺进行交互式访问授权的需要.提出了新的基于承诺-担保的访问控制模型(PABAC)以满足上述访问控制需要.讨论了模型体系结构,承诺担保机制,授权职责分离以及访问控制.模拟实验结果表明了模型的有效性.     

普适环境中的动态更新模型

致力于普适计算下的动态更新的研究,首先分析了普适计算下动态更新的场景,针对普适环境的动态性,我们提出了区别于传统更新方式的路径更新;通过分析集中式更新模型的局限性,提出了适合普适环境的分布式更新模型;最后使用类型与效果系统为更新模型做形式化分析.     

信息中心网络中授权视频访问控制

信息中心网络(ICN)能够极大地提高视频内容的传输效率,然而ICN中内网缓存机制也给授权视频的访问控制带来了严峻的挑战。授权视频访问控制的目的是保证只有已授权用户才能观看授权视频,防止授权视频被非法观看和使用。在ICN中,当授权视频被缓存在路由器上后,便不受视频发布者的控制,任何人都能够从路由器上获取授权视频。目前存在的方案不能很好地解决这个问题,提出了一种基于分割和数字水印的访问控制方案,将授权视频分割成PCB(public content block,公开内容块)和CKB(content key block,内容密钥块)两部分,其中PCB一般比较大,对所有用户都是相同的,而CKB一般比较小,并且采用数字水印技术实现不同的用户对应不同的CKB,用户必须收到PCB和CKB之后才能观看视频。通过分析,提出的授权视频访问控制方案在安全性和网络资源优化两个方面具有很好的性能。     

面向云存储的基于属性加密的多授权中心访问控制方案

已有基于属性加密的访问控制研究多是基于单授权中心来实现,该种方案在授权方不可信或遭受恶意攻击的情况下可能会造成密钥泄露。提出一种基于属性加密的多授权中心访问控制模型PRM-CSAC。基于CP-ABE方法,设计多授权中心的属性加密方案以提高密钥安全性;设计最小化属性分组算法,使用户访问文件时,能够按需分配密钥,减少不必要的属性密钥分配,降低重加密属性数量,提高系统效率;增加读写属性加强加密方对文件的访问控制,使访问控制策略更加完善。安全性分析及仿真实验表明,相比已有方案,PRM-CSAC对用户访问请求的响应时间更短,开销较小,且能够提供很高的安全性。     

基于 IBE 的移动自组网安全接入机制

文中研究基于IBE的移动自组网安全接入机制,解决移动自组网拓扑动态变化、高时效性、快速切换等条件下的高效认证问题。对比分析各种认证机制的优缺点以及适用的环境,针对移动自组网内部的接入认证、动态组网认证、跨域认证,分别设计相关的认证流程及安全接入实现途径,保证骨干网、接入子网互联互通时的安全可控,为建设移动自组网安全防护体系提供理论依据和技术支撑。     

基于DiffServ的MIPv6安全接入方案

结合DiffServ网络QoS控制与AAA安全机制,文中设计了一种网络区域边界安全的MIPv6接入方案。方案采用AAA认证授权,实现MIPv6转交地址配置和应用层与网络层身份一一映射,为DiffServ区域提供了边界保护;采用应用层与网络层安全协同,减轻了边界路由安全负荷。     

基于RBAC的动态授权模型在SSL VPN系统中的应用

授权模块是SSL VPN系统的基础模块,主要是对系统内的用户进行访问控制。动态授权模型是在RBAC的基础之上,为了满足SSL VPN系统的访问控制需求,引入了客户端的安全状态值,根据用户的角色和安全状态值来判定用户的最终访问权限,用于控制不同安全状态客户端的访问请求,进一步提高了SSL VPN系统的安全性能。     

基于隐含格结构 ABE 算法的移动存储介质情境访问控制

摘 要：研究了如何增强可信终端对移动存储介质的访问控制能力,以有效避免通过移动存储介质的敏感信息泄露。首先在隐含密文策略的属性加密方法的基础上,提出了基于格结构的属性策略描述方法。将每个属性构成线性格或子集格,属性集构造成一个乘积格,并利用基于格的多级信息流控制模型制定访问策略。证明了新方法的正确性和安全性。新方法在保持已有隐藏访问策略属性加密算法优点的同时,还能有效简化访问策略的表达,更符合多级安全中敏感信息的共享,能够实现细粒度的访问控制。进一步地,通过将移动存储设备和用户的使用情境作为属性构建访问策略,实现了动态的、细粒度的情境访问控制。最终设计了对移动存储介质进行接入认证、情境访问控制的分层安全管理方案。分析了方案的安全性和灵活性,并通过比较实验说明了应用情境访问控制的方案仍具有较好的处理效率。该方案同样适用于泛在环境下敏感信息的安全管理。     

电子病历存储云系统访问控制研究

随着医疗信息化的快速发展,现行EMR系统在信息共享和安全性方面无法很好地满足医疗和患者的需要。文中基于云计算技术提出一种EMR存储云系统,为患者和医院提供统一的电子病历注册和使用服务,并重点对电子病历的访问控制策略进行了讨论,采用一般角色访问控制和用户个性化逐级授权相结合的策略,有效解决了动态授权和用户个性化需求问题,满足了患者对于信息安全性和隐私保护方面的需求。     

基于Acegi安全框架实现Web系统的安全控制

Acegi是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架。它充分利用Spring的IOC和AOP功能,提供声明式安全访问控制的功能。介绍了Acegi安全框架在认证和授权的基本流程,及其在Web系统中如何灵活利用其XML配置文件的声明式方法提供系统在认证和授权上的安全性。     

基于ECC算法的Intranet身份认证系统设计

身份认证是保障信息安全的关键一环,是提供访问控制的第一步。本文介绍了ECC算法和身份认证的相关理论,提出一种基于ECC算法的身份认证系统方案,其适用于Intranet内联网之中,使用混合密码体制和软硬件协同的工作方式,提供高速、安全可靠的身份认证服务。     

面向多维数字媒体的访问控制机制

在多维数字媒体场景中,用户期望利用环境、时态等因素实现访问权限的自我约束。针对该需求,综合环境、时态、角色定义授权属性,提出面向多维数字媒体的访问控制机制,该机制定义用户—授权属性分配关系和授权属性—访问权限分配关系,根据用户的ID、属性信息、所处环境和时态、角色,用户—授权属性分配关系为用户分配相应授权属性;根据用户所赋予的授权属性,授权属性—访问权限分配关系为用户分配相应访问权限。引入约束条件,用户通过设置约束条件进行访问权限的自我约束,实现访问权限随环境、时态、角色等因素的变化而动态缩减。使用Z符号对该机制进行形式化描述,通过实例分析验证其可行性,与现有工作的比较表明所提机制支持最小权限、职责分离、数据抽象等安全原则,支持访问权限的动态缩减。     

办公自动化系统中基于角色的访问控制机制

随着办公自动化系统的广泛应用,安全问题日益明显,因此需要一种可靠的安全机制来保证系统的可靠性。提出在办公自动化系统中用基于角色的访问控制来实现系统的安全性和可靠性,用动态授权和动态约束机制来保证系统的灵活性。