基于区块链上策略密文检索的属性访问控制方案

现有的基于属性访问控制(ABAC)技术大多利用中心化主体,而中心化的结构在使用中会带来可扩展性低、同步性弱和信任缺失等问题.区块链是一种去中心化的技术,有着可追溯、防篡改、可扩展等优点.基于这些特性,本文提出了一种基于区块链上策略密文检索的属性访问控制(BPCS-ABAC)方案,将区块链和智能合约技术引入传统的访问控制方案,使用智能合约技术实现了ABAC中对访问请求进行的细粒度判决,旨在解决传统访问控制技术过度依赖中心化实体以及访问控制策略数据的隐私性差等问题.此外,为了减少访问控制策略增多所带来的存储压力,同时增强访问控制策略的隐私性,BPCS-ABAC方案利用公钥可搜索加密技术对访问控制策略进行加密.仿真结果表明,本文提出的BPCS-ABAC方案的访问耗时、策略搜索耗时、陷门匹配耗时、密文、陷门的生成时间和空间消耗相比于已有方案在性能上具有优势.

基于属性的空间数据访问控制研究

目前空间数据网格中的访问权限控制基本是采用的设置用户角色和空间数据分级映射的机制,不能满足开放网格环境中的访问主体属性多样化和访问数据细粒度控制的要求。针对该问题,研究并提出了一种基于属性的空间数据安全访问机制。提出了基于ABAC(attribute based access control)的目标用户、空间数据、网格环境的属性描述模型;在XACML(extensible access control markup language)的基础上,设计了完整的基于属性的空间数据访问策略、框架和流程。通过该项目的应用,表明了该机制能够有效满足空间数据网格访问控制要求。

数字版权管理中的访问控制研究

访问控制问题是数字版权管理中的一个重要安全问题。为了提高数字版权管理中的访问控制效率并降低系统实现难度,在数字版权管理系统中提出一种基于属性的访问控制模型(Attribute-Based Access Control,ABAC),并将该模型成功运用到数字化考试阅卷系统中。基于属性的访问控制模型具有逻辑严密、访问控制和安全控制具有一致性、符合面向对象设计的方法,系统易于实现等优点。该模型的提出,一方面为数字版权管理中的访问控制提供了一条新的解决方案,另一方面该模型对研究访问控制也具有一定的理论和现实意义。

一种ABAC中合理属性值指派计算方法

为实体(如用户、主体、客体等)指派合理的属性值是基于属性的访问控制模型实施与安全性的关键.针对现有属性管理权限委派中在属性值划分上缺乏相应客观依据及方法,提出一个基于有向图的属性值计算方法.该方法把来自一个属性内或多个属性之间的关系定义为前提关系,构造得到一个以属性为顶点、前提关系为有向边的有向图.该方法计算属性值的过程分为三步,首先,搜索有向图中与目标属性相关的所有前提关系;第二步,代入属性值确定各个前提关系对目标属性的函数约束;第三步,按照目标属性的函数约束形式分为三种分别聚合,计算得到属性值满足的函数.实验结果验证其与一般的计算方法相比,平均时间加速比可达到3倍以上.

家庭物联网中基于智能合约的访问控制机制

在海量家庭数据存储模式下,家庭中的物联网设备并非完全可信,为了保证设备使用者的数据安全和数据查询效率,需要实施访问控制,然而,目前已有的多数访问控制方案无法在大型分布式系统下既保证安全性又兼顾运行效率。针对该问题,提出基于智能合约技术的访问控制框架并设计分组策略检索算法,以实现一种家庭物联网中安全高效的访问控制。在智能合约访问控制框架中,通过区块链存储访问控制策略保证访问信息的可追溯性以及用户数据的安全性,同时改进基于属性的访问控制模型,实现灵活且可扩展的访问控制。通过构造分组策略检索算法来提高策略的检索效率,在访问控制判决时快速搜索策略。基于智能家居进行访问实现,结果表明该机制能提供安全且高效动态的细粒度访问控制,在大量相同的策略规则下,其系统吞吐量不低于65 T/s,优于Fabric-IoT、DAHB等访问控制方案,更适合大规模家庭物联网环境下的访问请求场景。

基于区块链技术的安全访问控制机制

针对基于属性的访问控制模型存在的安全性问题,笔者提出了基于区块链技术的安全访问控制机制。该机制将区块链技术与基于属性的访问控制相结合,利用区块链去中心化、分布式等特点,在实现匿名访问控制的基础上实现了访问控制策略管理。分析表明,区块链对策略的存储管理能够防止出现客体资源恶意拒绝访问的情况。

电子材料可控共享控制模型--基于政务联盟链

为解决现有电子材料共享方法中存在的访问权限不明、原有基于属性的访问控制方法不能完全满足需求、数据安全难保证等问题,提出一种基于政务联盟链的访问控制模型。明晰政务材料不同权限主体的划分方法,应对政务中存在的多头管理、权属不明的问题,并后续通过添加有序多重签名的方法保障各方权益;融合基于属性的访问控制方法和基于事务访问控制方法,满足材料共享应用细粒度化访问控制和动态事务响应的需求;通过改进的基于属性基的加密算法提升模型的整体安全性。算法评估表明,该模型在计算开销上整体优于现有算法,可实现政务链上细粒度化、动态化、安全可靠的电子材料“可控共享”应用。

基于SOA的属性访问控制模型的研究

本文提出了基于SOA的属性访问控制模型,在角色中通过属性的引入,能够在相同访问控制效果下,使得角色的创建和维护工作量得到大幅度的降低。另外,通过规则的引入,能够支持角色属性,并且也能够支持工作流访问控制模型中出现的按照时间、空间、系统状态等上下文进行访问控制的需求。

基于SOA的属性访问控制模型研究

在面向服务的架构的环境下,由于服务的动态性,常见的自主访问控制(DAC)、强制访问控制(MAC)和基于角色的访问控制(RBAC)等传统访问控制机制,已经不能完全满足面向服务的架构(SOA)环境的要求,导致访问控制策略管理非常复杂。为了简化面向服务的架构下的访问控制策略管理,通过采用将基于属性的访问控制(ABAC,Attribute-Based Access Control)方法,可以简化对于面向服务的架构下的异构属性的授权策略。研究发现,ABAC拥有更高的灵活性和更细的访问控制粒度,能够表现语义更丰富的访问控制策略,更适用于SOA环境。

一种ABAC静态策略冲突检测算法

在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题。针对上述问题,提出一种基于策略属性分解的冲突检测算法。该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态策略冲突的定义进行策略冲突检测,从而提高策略冲突检测算法的可扩展性和易实现性。实验结果表明,该算法对静态策略冲突的检测率接近85%。