基于角色访问控制模型的电网数据库安全代理方法

目前的云存储的访问控制存在权限控制动态伸缩有限以及权限效能偏差的问题。本文提出基于角色访问控制模型的电网数据库安全代理方法,有效提升云存储的权限控制兼容性。通过实验仿真,验证本文算法具有更好的并发处理性能。     

云平台下CRM系统访问控制研究与设计

文章对比分析了主流的访问控制模型,以基于角色的访问控制模型为基础,设计了适合云平台下CRM系统的访问控制机制,该机制增加了用户组、部门、资源、操作等实体。在优先通过角色授权的基础上,允许对用户直接授权,在权限设计中增加了用户权限直接授权,用户角色权限的动态授权等。本文还介绍了云平台下CRM系统的访问流程,并实现了云平台下CRM系统的访问控制。     

面向云存储的高效动态密文访问控制方法

针对云存储中敏感数据的机密性保护问题,在基于属性的加密基础上提出了一种密文访问控制方法HCRE。其思想是设计一种基于秘密共享方案的算法,将访问控制策略变更导致的重加密过程转移到云端执行,从而降低权限管理的复杂度,实现高效的动态密文访问控制。实验分析表明HCRE显著降低了权限管理的时间代价,而且没有向云端泄露额外的信息,保持了数据机密性。     

一种改进的云存储平台权限管理机制设计

针对云存储服务中用户访问权限撤销计算与带宽代价过大、复杂度过高等问题,以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计一种基于动态重加密的云存储权限撤销优化机制,即DR-PRO。该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销的实现过程。通过理论分析与模拟实验评估表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效地降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高。     

云计算环境下任务行为访问控制模型研究

近年来,云计算环境下访问控制机制成为研究热点。针对传统的访问控制模型不能满足云系统中的资源被非法用户恶意访问或处理的访问控制需求的问题,在传统访问控制基础上,通过对基于行为的访问控制(Action Based Access Control)模型的策略和授权机制的研究,基于ABAC模型中的优缺点,引入了用户信任度,给出了模型的形式化定义和信任相似度的算法,设计了基于信任相似度的权限授予机制,提出基于任务行为的访问控制模型(Task-action Based Access Control,TABAC)。安全及性能分析表明,该方案使访问控制灵活可靠,适用范围更广泛。     

云存储下多用户协同访问控制方案

CP-ABE被认为是云存储下最适合的数据访问控制方法之一,但它仅适合用户分别读取或者分别修改不同数据的情况,而直接应用CP-ABE进行多用户协同数据访问时,会存在修改无序、密文文件大量冗余等问题。多用户协同访问云端数据时,应该在保证机密性、抗共谋的前提下控制合法用户有序地修改同一密文文件,同时云端尽可能减少密文文件副本。针对文件和文件逻辑分块,提出了2个多用户协同访问控制方案MCA-F和MCA-B。MCA-F满足单个数据文件作为最小控制粒度的访问控制需求,该方案采用层次加密结构,云服务器承担部分解密计算,以降低用户解密的计算代价;针对多用户同时写数据的访问控制,提出了对多个用户提交的暂存数据的管理方法。MCA-B用于文件的逻辑分块作为最小控制粒度的访问控制,该方案设计了文件的逻辑分块机制、基于索引矩阵的表示方法,提出了子数据掩码表示方法以描述多个用户对同一文件不同逻辑分块的写权限;MCA-B支持用户集合、文件逻辑分块结构的动态变化,而且数据的拥有者和修改者无需一直在线。与现有的方案相比,所提方案不仅具有云存储下多用户协同写数据的访问控制能力,而且读访问控制的用户端存储量和加解密计算量是较小的。     

基于RBAC的权限管理系统的实现

本文介绍了基于RBAC模型的权限管理系统的实现.首先描述了RBAC模型的基本思想,然后重点阐述了权限控制系统设计和实现效果.研究内容主要是基于.NET Framewok2.0的多层体系结构设计,并讨论了基于RBAC的访问控制模型和动态授权机制的多级权限管理模型,以及权限访问、权限控制和权限数据存储等关键技术.文中提出采用RBAC模型进行权限管理系统的实现与部署,将用户纳入角色组进行集中统一管理的思路,在企业应用系统开发中具有重要的参考价值.     

面向对象的基于角色访问控制模型的探讨

提出一种应用于分布式系统的面向对象的基于角色访问控制(ORBAC)模型。基于角色访问控制,将权限与角色相关联,用户分配得多个角色从而获得与其关联的权限。引用对象的概念,通过策略控制器集中控制分散管理,为分布式系统提供高效的访问控制机制。模型考虑了静态和动态角色分配,并分析了面向对象访问控制模型的一些动态特性。     

基于属性的k次匿名大数据中心访问控制方案

在研究信息服务中心云存储用户的隐私保护问题时,基于属性的加密方案是一种前景看好的解决途径,它有效满足了匿名访问和数据加密等要求。然而,基于属性的加密方案只适用于对云存储服务中加密数据的认证访问。在云计算服务访问控制的环境中,部署这一方案是不切实际的。文章研究大数据中心云存储匿名访问控制的安全需求,介绍基于属性的访问控制方案构成,设计基于属性的k次匿名访问控制安全模型,描述方案的基本原理,给出方案的工作流程,并对方案的安全性和效率进行分析。     

访问控制聚合模型研究

文中在研究授权关系表的基础上,通过对访问控制信息在用户端、权限端的聚合处理,形成基于角色、基于分组的权限管理方法,实现对复杂信息系统的授权管理.文中还对上述两种方法进行了分析对比,并对访问控制聚合的有效性进行了分析.结果表明,访问控制聚合是解决大型复杂信息系统访问控制的有效方法,且基于角色的方法通常更易于满足系统的安全要求.     

一种支持更新操作的数据空间访问控制方法

数据空间是一种新型的数据管理方式,能够以pay-as-you-go模式管理海量、动态、异构的数据。然而,由于数据空间环境下数据的动态演化、数据描述的细粒度和极松散性等原因,难于构建有效的访问控制机制。该文提出一个针对数据空间环境下极松散结构模型,重点支持更新操作的细粒度和动态的访问控制框架。首先定义更新操作集用于数据空间的数据更新,提出支持更新操作的映射方法,可将动态数据映射到关系数据库中;给出支持更新操作权限的数据空间访问控制规则的定义,并分析与关系数据库的访问控制规则二者转换的一致性;然后提出具有可靠性和完备性的访问请求动态重写算法,该算法根据用户的读/写访问请求检索相关访问控制规则,使用相关权限信息重写访问请求,从而实现支持动态更新的细粒度数据空间访问控制。理论和实验证明该框架是可行和有效的。     

基于关系数据库的极松散结构数据模型的访问控制研究

 本文提出一个针对数据空间环境下极松散结构模型的细粒度和动态的访问控制框架:首先定义通用的极松散结构模型GLSDM(General very Loosely-Structured Data Model);给出GLSDM到关系表的映射方法,将GLSDM上细粒度的访问控制转换为关系表的row、cell等安全级别的访问;通过动态查询重写,在用户执行查询时将GLSDM的权限信息添加到SQL语句中,从而实现GLSDM的动态访问控制.理论和实验证明该框架是可行和有效的,本文的映射方法和动态查询重写算法能够保证对GLSDM的访问控制通过等价的关系数据库的访问控制来实现.     

Multiuser access control searchable privacy‐preserving scheme in cloud storage

Searchable encryption scheme‐based ciphertext‐policy attribute‐based encryption (CP‐ABE) is a effective scheme for providing multiuser to search over the encrypted data on cloud storage environment. However, most of the existing search schemes lack the privacy protection of the data owner and have higher computation time cost. In this paper, we propose a multiuser access control searchable privacy‐preserving scheme in cloud storage. First, the data owner only encrypts the data file and sets the access control list of multiuser and multiattribute for search data file. And the computing operation, which generates the attribute keys of the users' access control and the keyword index, is given trusted third party to perform for reducing the computation time of the data owner. Second, using CP‐ABE scheme, trusted third party embeds the users' access control attributes into their attribute keys. Only when those embedded attributes satisfy the access control list, the ciphertext can be decrypted accordingly. Finally, when the user searches data file, the keyword trap door is no longer generated by the user, and it is handed to the proxy server to finish. Also, the ciphertext is predecrypted by the proxy sever before the user performs decryption. In this way, the flaw of the client's limited computation resource can be solved. Security analysis results show that this scheme has the data privacy, the privacy of the search process, and the collusion‐resistance attack, and experimental results demonstrate that the proposed scheme can effectively reduce the computation time of the data owner and the users.     

Proxy re-encryption based multi-factor access control scheme in cloud

Cloud computing is one of the space-ground integration information network applications.Users can access data and retrieve service easily and quickly in cloud.The confidentiality and integrity of the data cloud have a direct correspondence to data security of the space-ground integration information network.Thus the data in cloud is transferred with encrypted form to protect the information.As an important technology of cloud security,access control should take account of multi-factor and cipher text to satisfy the complex requirement for cloud data protection.Based on this,a proxy re-encryption based multi-factor access control (PRE-MFAC) scheme was proposed.Firstly,the aims and assumptions of PRE-MFAC were given.Secondly,the system model and algorithm was defined.Finally,the security and properties of PRE-MFAC were analyzed.The proposed scheme has combined the PRE and multi-factor access control together and realized the multi-factor permission management of cipher text in cloud.Meanwhile,it can make the best possible use of cloud in computing and storing,then reduce the difficulty of personal user in cryptographic computing and key managing.     

面向云存储的基于属性加密的多授权中心访问控制方案

已有基于属性加密的访问控制研究多是基于单授权中心来实现,该种方案在授权方不可信或遭受恶意攻击的情况下可能会造成密钥泄露。提出一种基于属性加密的多授权中心访问控制模型PRM-CSAC。基于CP-ABE方法,设计多授权中心的属性加密方案以提高密钥安全性;设计最小化属性分组算法,使用户访问文件时,能够按需分配密钥,减少不必要的属性密钥分配,降低重加密属性数量,提高系统效率;增加读写属性加强加密方对文件的访问控制,使访问控制策略更加完善。安全性分析及仿真实验表明,相比已有方案,PRM-CSAC对用户访问请求的响应时间更短,开销较小,且能够提供很高的安全性。     

WCDMA基于区分服务的接入控制研究

针对WCDMA系统无线接入控制的问题和WCDMA系统各种业务的特点,提出了能有效保障QoS的上行接入控制算法———PCD(Priority Code based DiffServ)算法。方案依据具体业务的分类和QoS指标来分配网络资源,解决了3G系统无线接入控制对实时业务质量的影响问题。设计了实时和非实时业务呼叫的接入控制信令流程,并对提出的算法和现有的接入算法进行了仿真评估。     

基于IEEE 802.11的多信道多址接入协议性能分析

 本文对一种基于IEEE 802.11 DCF协议多信道多址接入方案的性能进行了分析,在该接入方案中,节点在公共的控制信道上预约数据信道,随后在预约成功的数据信道上,进行数据分组的传输.本文采用马尔科夫链构建了控制信道的预约模型,给出了多信道吞吐量的理论分析算法.最后,通过仿真验证了理论分析结果与仿真结果的一致性,并给出了信道吞吐量与信道数、数据分组长度、节点密度、信道切换时延等参数之间的数值关系.     

基于QoS保证的蜂窝系统接入算法研究

无线通信系统中的关键技术之一就是无线接入控制,它将影响用户终端传输语音和数据业务时得到服务质量的好坏.本文针对3G系统各种业务的特点论述了能有效保障QoS的上行接入控制方案,并据此提出了一种新的接入算法-PCD(Priority Code based Diffserv)算法.它的特点是依据具体业务的分类和QoS指标来分配网络资源,支持大量的用户拥有合理的服务质量水平,有效的解决了上行接入控制.文中设计了实时和非实时业务呼叫的信令流程,并对提出的算法和现有的接入算法进行了仿真评估.     

一种基于ORAM的数据可恢复性证明与访问模式的隐藏

随着云计算的发展与应用,越来越多的客户选择云存储作为存储媒质,因此,数据的完整性和私密性成为客户关心的主要问题。基于无关RAM模型机提出一种新的结构,将客户文件分割成大小相等的数据块,每个数据块在云存储中有两个备份,且随机地存储在不同的文件中,以保证数据的完整性。利用同态散列算法验证数据的可持有性,通过无关RAM隐藏客户对服务器的访问模式,敌手无法从客户的数据访问模式中获取有用的信息,从而实现了数据的私密性。