云环境下的 CRUAC访问控制模型

提出了云计算环境下的CRUAC访问控制模型。该模型以使用控制模型为基础,引入了角色的概念,并将约束信息加入到决策判定因素中。该模型能够解决使用控制模型中将权限直接分配给用户所带来的系统开发、重用和系统安全管理等复杂性问题,并且为云用户访问不同云服务器上的资源提供了一种解决方案,能够较好地满足云计算环境对访问控制的需求。     

基于PBAC模型和IBE的医疗数据访问控制方案

医疗卫生领域形成的医疗大数据中包含了大量的个人隐私信息,面临着外部攻击和内部泄密的潜在安全隐患。传统的访问控制模型没有考虑用户访问目的在侧重数据隐私的访问控制中的重要作用,现有的对称、非对称加密技术又都存在密钥管理、证书管理复杂的问题。针对这些问题,提出了综合应用PBAC模型和IBE加密技术的访问控制方案,支持针对医疗数据密文的灵活访问控制。通过加入条件目的概念对PBAC模型进行扩展,实现了对目的树的全覆盖;以病患ID、条件访问位和预期目的作为IBE身份公钥进行病患数据加密,只有通过认证并且访问目的符合预期的用户才能获得相应的私钥和加密数据,从而实现对病患信息的访问。实验结果证明,该方案达到了细粒度访问控制和隐私保护的目的,并具有较好的性能。     

基于CP-ABE的车联网云端数据安全访问控制方案

针对车联网云环境的不可信任,数据种类和数据访问用户身份复杂,访问内容多样化,以及数据所有者与数据使用者之间多对多等特点,改进CP-ABE安全算法,提出了适合车联网的云端数据安全访问控制方案(DAC-VCS)。该方案中,设置属性管理机构,根据合法用户的角色和身份为其赋予一个属性集,并利用该属性集产生用户的访问私钥;数据所有者对要上传的数据用允许访问的用户属性为加密式样,进行加密;并生成可访问数据的用户列表,将两者一起发送到云端存储。当用户访问云中数据时,首先判断用户是否位于访问列表中,如果用户在列表中且访问私钥中的属性集满足数据加密时采用的加密式样,云端将为用户生成解密口令,并将解密口令和密文一起发给用户。用户利用解密口令即可解密密文,获得自身所要的数据内容。通过这种双层保护,保障了云中数据的访问安全性,降低了所使用的云存储空间并且加解密效率得到大幅度提高。     

扩展了信任与隐私的ABAC模型研究

基于属性的访问控制模型(ABAC)特别适用于大规模分布式网络。然而,由于其访问控制决策依赖于属性的暴露,又没有有效的敏感属性保护机制,使得访问主体的敏感属性存在非法暴露的风险。本文提出了一种扩展了信任与隐私的ABAC模型,它包含了信任与隐私这两个特殊属性,并使访问控制决策敏感于跨组织的协作上下文,以解决ABAC模型本身不含敏感属性保护机制的问题。设计了一种促使管理者在危机管理系统中做出更优决策的图形化原型工具,并验证本文方法的有效性。     

云存储安全模型研究

针对云存储服务对传统存储技术在数据安全性、可靠性、易管理性等方面提出的新挑战,在分析云存储的基本概念、结构和特点的基础上,研究了云存储的安全性;同时,针对云存储系统各个结构层次的特点,讨论了云存储的安全技术,并构建了云存储安全模型,保证了云存储系统的安全性和可靠性.     

数据分发服务访问控制方法研究

针对DDS的访问控制需求,分析了DDS提供的访问控制机制,并在此基础上提出了一种基于证书的数据分发服务参与者动态访问控制方法,该方法在无需修改参与者自身访问控制信息的前提下,提供灵活的、可配置的访问控制。研究DDS访问控制方法对DDS技术的应用具有指导意义。     

基于安全三方计算的密文策略加密方案

针对现有密文策略属性加密方案存在用户密钥易泄露的问题,提出一种基于安全三方计算协议的密文策略方案。通过属性授权中心、云数据存储中心及用户之间进行安全三方计算构建无代理密钥发布协议,使用户端拥有生成完整密钥所必需的子密钥。安全分析表明,该方案能够有效消除单密钥生成中心及用户密钥在传输给用户过程中易泄露所带来的威胁,增强用户密钥的安全性。     

SDN技术背景下校企合作机制探究

不断加强并深化学校和企业之间的合作交流,是提高企业自身在市场上的竞争优势和有针对性地培养可满足社会需求的各种实用型的人才的有效途径。SDN技术的发展和应用,可在传统校企合作机制的基础上提供更多便利和保障。基于此,笔者详细分析了传统校企合作机制存在的不足,然后针对这些问题,通过结合SDN技术的各种优势,提出了相应的完善策略。     

带时间约束的访问控制模型的研究与应用

基于角色的访问控制已经广泛应用于管理信息系统中,但其只能通过角色来实现用户和权限的关联,当系统有临时授权用户的需求时操作不便,且用户角色关联关系缺乏灵活性,不能随时间动态变化。本文在研究已有访问控制策略基础上,建立了用户权限直接关联关系,并提出了时间约束因子,将其引入用户角色指派与用户权限指派中,建立了带时间约束的访问控制(TRAC,Time-Restricted Access Control)模型。在档案管理系统的实际应用表明,该模型能很好的实现用户权限随时间的动态变化,提高系统访问控制策略的灵活性与可配置性。     

基于ATP-ABE的访问控制方案

对访问控制机制中存在的安全性和有效性的问题进行了研究，提出了基于访问树剪枝的属性加密ATP-ABE（Access Tree Pruning Attribute Based Encryption）的访问控制方案。当ATP-ABE算法需要访问它的树型结构访问策略时，通过剪枝处理访问树结构中包含用户ID属性节点的分支，提高了用户所有者DO（Data Owner）管理和控制属性的效率，更加有效地实现了数据共享。还为访问树结构设计了许可访问属性，使DO仍保留共享数据的关键属性，并且能够完全控制它们的共享数据。基于决策双线性密钥交换算法DBDH（Decisional Bilinear Diffie-Hellman）假设分析了ATP-ABE方案的安全性，研究结果表明与两种经典ABE方案比较，ATP-ABE更加有效地减少了算法的系统设置、私钥生成、密文大小、用户属性撤销以及加解密过程中的计算开销，并给出了定量结论。