可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。

“数据二十条”下探析数据资源持有权的内涵及框架构建

《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)提出了以“数据流通激励”为主旨的数据产权结构性分置制度。对数据资源持有权的合理配置影响到数据利益的第一次分配,是实现数据“共同使用、共享收益”的战略性目标的基础。基于传统排他性产权思维下的数据资源持有权分配模式,皆存在加剧数据共同生产者之间利益冲突的可能性。本文提出在数据生产者之间以“1+N”模式配置数据持有权,即“特定数据生产者的在先持有权+N个其他数据生产者的访问权”模式,通过技术治理和透明度治理等工具的支持,探索符合数据经济发展规律的、公平的高效的新型数据产权制度。

新型电力系统面向云边端架构的安全访问控制技术研究

新型电力系统的建设正朝着云边端一体化方向发展,云边端架构带来灵活性和可扩展性的同时,也带来了数据隐私安全、非法操作、缺乏标准化集成方案等问题。基于此,文章提出一种结合云边端架构特点的基于属性的安全访问控制方案(cloud-edge-device attribute-based access control,CED-ABAC),方案通过边缘融合终端进行重加密,既保护数据安全,又减轻终端设备的通信开销,在策略授权方面,使用可扩展的访问控制标记语言(extensible access control markup language,XACML)设计授权策略和策略匹配算法,实现对多终端访问控制策略的同时下发,更高效地解决标准化集成问题。同时通过实验仿真,证明CED-ABAC方案的效率和性能相比于已有方案具有明显优势。

分布式数据库隐私数据细粒度安全访问控制研究

为控制隐私数据的细粒度安全访问行为,提出分布式数据库隐私数据细粒度安全访问控制。通过分布式数据库空间划分,过滤隐私数据,利用分区方程,分解数据库空间内隐私数据,将隐私数据反应函数的构建过程定义为对分布式数据库中隐私数据挖掘的博弈过程,获取博弈因子,将细粒度划分问题转化为隐私数据在最小二乘准则下的规划问题,划分隐私数据的细粒度。利用加密算法,对隐私数据加密,依据密钥分发算法为用户分发密钥,通过密钥转换,将加密后的隐私数据上传到分布式数据库,利用数据库验证用户的令牌是否包含隐私数据的信息,建立令牌请求机制,实现隐私数据的细粒度安全访问控制。实验结果表明,经过文中方法控制后,分布式数据库的响应性能有所提高,在保证正确性的同时,还可以提高对恶意访问行为的控制能力,具有较高的实际应用价值。

互联网时代分布式关系数据库的有益探索

在实现分布式数据库的技术方案上,业界存在不同的选择.第一种方式需要对应用系统进行拆分,通过分库分表将原本单个数据库管理的数据分散到多个集中式数据库.分库分表方案要求应用系统重构,跨库访问效率较低,关系数据库的重要功能,如外键、全局唯一性约束.

面向云存储的属性基双边访问控制方案

针对目前云存储中细粒度双边访问控制机制安全模型较弱且外包解密结果缺乏验证的问题,提出了一种面向云存储数据的属性基双边访问控制方案。首先,提出了自适应安全可验证外包双边CP-ABE的形式化定义和安全模型;其次,以此为基础并结合批量可验证技术在合数阶群上设计了双边访问控制方案,支持数据拥有者与数据使用者同时为对方定义访问策略;最后,安全性分析表明,所提方案在自适应安全模型下针对选择明文攻击与选择消息攻击是不可区分的和存在性不可伪造的。实验结果显示,所提方案减轻了用户端的匹配、解密以及验证阶段的计算开销。

结合图卷积神经网络和集成方法的推荐系统恶意攻击检测

推荐系统已被广泛应用于电子商务、社交媒体、信息分享等大多数互联网平台中,有效解决了信息过载问题。然而,这些平台面向所有互联网用户开放,导致不法用户利用系统设计缺陷通过恶意干扰、蓄意攻击等行为非法操纵评分数据,进而影响推荐结果,严重危害推荐服务的安全性。现有的检测方法大多都是基于从评级数据中提取的人工构建特征进行的托攻击检测,难以适应更复杂的共同访问注入攻击,并且人工构建特征费时且区分能力不足,同时攻击行为规模远远小于正常行为,给传统检测方法带来了不平衡数据问题。因此,文中提出堆叠多层图卷积神经网络端到端学习用户和项目之间的多阶交互行为信息得到用户嵌入和项目嵌入,将其作为攻击检测特征,以卷积神经网络作为基分类器实现深度行为特征提取,结合集成方法检测攻击。在真实数据集上的实验结果表明,与流行的推荐系统恶意攻击检测方法相比,所提方法对共同访问注入攻击行为有较好的检测效果并在一定程度上克服了不平衡数据的难题。

太阳同步轨道遥感卫星快速目标访问计算方法

目标访问计算是指根据遥感卫星轨道和待观测目标的位置,计算遥感卫星对目标观测的时刻和姿态,是遥感卫星任务管控领域的重要基础技术之一。高效的目标访问计算方法可大幅提升卫星任务管控的时效性,对后续大规模遥感星座任务管控具有重要意义。利用太阳同步轨道卫星交点地方时不变的特点,快速估算出卫星经过目标的较短时间窗口,对时间窗口内的星历进行逐点计算,获取卫星对目标进行访问的最佳时刻。试验结果证明,该方法可大幅提升目标访问时间的计算效率。

云计算环境下的拟态IAM系统设计实现方法

随着云计算的快速发展及其普及,企业的传统数据安全边界被打破,出现云资产管理混乱、越权、误操作等现象,对用户的信息安全产生巨大威胁。基于此,对目前云计算环境下身份认证和访问管理(identity and access management,IAM)的安全问题进行研究,提出结合内生安全思想,采取拟态防御手段构建出一种具有内生安全效应的拟态身份认证和访问管理(mimicry identity and access management,MIAM)体系架构方案,并对其进行详细描述。将该方案分别进行稳定性测试、系统性能测试以及系统安全性评估,实验数据表明,该方案具有可行性和安全性。

高效低时延分级多PAN太赫兹无线网络MAC层优化协议

针对现有分级多PAN太赫兹无线网络MAC(Medium Access Control)协议中存在的子网形成方案不合理以及私有CTA(Channel Time Allocation)与子网内实际负载不匹配等问题,提出了一种高效低时延的MAC层优化协议.该协议采用基于泛听的按需形成子网机制避免了子网分布不均匀以及因子网形成后没有节点加入而造成的私有CTA资源浪费的问题.在子网形成后,子微微网协调器(Piconet Coordinator,PNC)根据子网内实际负载情况自适应选择私有CTA时隙资源优化机制,让有数据传输需求的节点及时将数据发出.仿真结果表明,所提出的方案能有效地降低数据帧平均接入时延,提高吞吐量以及数据帧的传输成功率.

基于场景感知的访问控制模型

动态访问控制模型是构建大数据动态访问控制系统的理论基础,而现有访问控制模型大多只能满足单一情景下的动态访问控制,无法适应大数据上下文环境变化、实体关系变更和客体状态变迁等多类型动态情景中的访问控制。针对上述问题,在现有访问控制模型的研究的基础上,对大数据动态因素进行分析,提出基于场景感知的访问控制(SAAC,scenario-aware access control)模型。将各类型动态因素转换为属性、关系等基本元素;并引入场景信息对各类组成元素进行统一建模;基于场景信息构建大数据动态访问控制模型,以实现对多类型动态因素、扩展动态因素的支持。设计SAAC模型的工作框架,并提出框架工作流程对应的基于场景感知的访问控制模型规则学习算法和SAAC规则执行算法,以实现访问控制规则自动学习和动态访问控制决策。通过引入非传递无干扰理论,分析并验证了对所提模型的安全性。为验证所提模型访问控制策略挖掘方法的有效性,将SAAC模型与ABAC-L、PBAC-X、DTRM和FB-CAAC等基线模型在4个数据集上进行了实验对比。实验结果表明,SAAC模型及其策略挖掘方法的ROC曲线的线下面积、单调性和陡峭度等指标的结果均优于基线模型,验证了所提模型能够支持多类型动态因素和动态因素扩展,其挖掘算法所得的访问控制规则的综合质量相对较高。

基于站点地图的Web访问控制漏洞检测方法

攻击者通常利用Web应用程序的访问控制漏洞实现对系统的非授权访问、信息窃取等恶意行为。针对Web应用程序的访问控制漏洞的检测问题,现有方法由于页面覆盖率低、检测过程开销大等问题,因此漏报率过高且效率低下。为此,基于动态分析,提出了一种基于站点地图的Web访问控制漏洞检测方法。该方法首先为不同角色下的用户分别建立各自的站点地图,并形成不同角色的完整站点地图,再通过对其分析生成Web应用程序预期访问控制策略,构建非法测试用例进行动态访问并分析执行结果实现对未授权访问、越权访问等类型访问控制漏洞的检测。最后,在7个真实开源Web应用程序中对所提方法进行验证,结果表明该方法能有效降低开销,其页面覆盖率达到90%以上;发现了10个真实漏洞,准确率达到了100%。

一种全生命周期可控的公共数据共享方案

公共数据作为数据要素将极大赋能政府公共服务和社会治理,然而,频繁爆发的数据泄露事件严重阻碍了公共数据共享的进程。虽然现有的属性基加密方案能够实现公共数据的安全访问,但存在授权管理低效、共享后难以管控等问题,不适合现有的公共数据共享模式。为此,文章提出了一种全生命周期可控的公共数据共享方案。该方案设计了一种数据胶囊封装方法,将共享的公共数据与访问授权策略进行深度绑定,并构建了共享数据多方参与的分层授权、全生命周期感知的访问管控方式。安全性分析以及实验仿真表明,该方案实现了公共数据共享的全生命周期可控,开销较小,符合现实需求。

零信任的安全模型研究

零信任被认为是一种新的安全范式,从安全模型视角,揭示了零信任架构以“身份和数据”为主线的安全模型深化与整合.零信任以身份为核心建立全景管控实体链条,围绕实体属性功能生命周期等建立深度防御,并集中重定向实体间信息的流动,整合信息通道,实现层层防护和细粒度动态化访问控制,最后从攻击者视角在信息流通道关键节点设置主动防御机制.由于零信任系统一定会成为高价值资产,探讨了零信任系统演进中与业务深度融合、零信任自身安全和弹性服务能力的新趋势.通过对零信任蕴含安全模型和自身安全性的分析,期望能够为零信任在应用中的架构设计、技术演进、应用安全提供更加清晰的技术发展路径.

多GPU系统非一致存储访问优化:研究进展与展望

随着晶体管缩小速度的减缓,单GPU(Graphics Processing Units)的性能提升已经变得越来越具有挑战性,因此,多GPU系统成为了提高GPU系统性能的主要手段.然而,由于片外物理设计的制约,多GPU系统中处理器间的带宽不均衡导致了非一致存储访问(Non-Uniform Memory Access,NUMA)问题,严重影响多GPU系统的性能.为了减少非一致存储访问所导致的性能损失,本文首先分析了非一致存储访问出现的原因,并对现有的非一致存储访问解决方案进行了对比.针对不同维度的非一致存储访问,本文从减少远程访问流量和提升远程访问性能两个方向出发,对非一致存储访问的优化方案进行了总结.最后,结合这些方案的优缺点,提出了未来多GPU系统非一致存储访问优化的发展方向.

具有介质访问约束的网络化控制系统H∞状态估计

研究了一类存在介质访问约束和信号量化的网络化控制系统的H∞状态估计问题。首先,考虑到介质访问约束和信号量化的影响,将信号量化误差转化为扇形有界的不确定性,对由于访问约束而未获得网络传输的系统输出采用加权补偿策略,根据网络介质的随机访问机制将网络化系统建模为具有不确定性的马尔可夫跳跃系统。然后,在此基础上借助李雅普诺夫稳定性理论和H∞性能约束条件,利用线性矩阵不等式(linear matrix inequality,LMI)方法给出状态估计器存在的充分条件,所设计的状态估计器使得估计误差系统渐近稳定且具有给定的H∞性能。最后,通过仿真实例验证了该设计方法的有效性。

大型实验室网络敏感数据访问认证方法仿真

由于大型实验室网络中的敏感数据认证过程繁琐复杂,且对其安全性要求较高,增加用户访问敏感数据的复杂性和时间成本。为此,提出一种大型实验室网络敏感数据访问多阶段认证算法。利用互补集合经验模态分解(Coplementary Ensemble Empirical Mode Decomposition,CEEMD),分解含有噪声的大型实验室网络数据,获取不同本征模态函数,通过改进小波阈值去噪,重构本征模态函数(Intrinsic Mode Functions,IMF)信息,获取降噪处理后的数据。通过Apriori算法和互信息理论,分析不同数据之间的相关性,挖掘其关联性,实现大型实验室网络敏感数据访问多阶段认证。通过仿真分析证实,采用所提算法可以精准完成大型实验室网络敏感数据访问多阶段认证,准确性在90%以上。

基于分区操作系统的文件系统设计

研究涉及一种基于分区操作系统的文件系统设计方法,解决分区操作系统下文件的安全访问问题。分区操作系统资源、空间彼此隔离,文件系统用于管理分区数据,不能违背数据资源的隔离需求。为此,通过将文件系统部署在分区操作系统的分区;分区内和分区外采用两层分区安全访问控制;采用快照管理实现文件系统自身对并行文件访问需求,实现文件系统设计。通过测试表明,该方法能够在满足分区操作系统设计约束下,实现文件的安全访问。

基于博弈的Web应用程序中访问控制漏洞检测方法

针对工业互联网中程序的访问控制策略隐藏在源码中难以提取,以及用户的访问操作难以触发所有访问路径而导致逻辑漏洞的通用化检测难以实现的问题,将博弈思想应用于访问控制逻辑漏洞检测中,通过分析不同参与者在Web应用程序中对资源页面的博弈结果来识别漏洞,使得不同用户的访问逻辑能被有针对性地获取。实验结果表明,所提方法在开源的11个程序中检测出31个漏洞,其中8个为未公开的漏洞,漏洞检测覆盖率均超过90%。

一种基于任务和可信等级的数控网络跨域互操作方法

随着工业4.0不断深化,数控网络不断开放导致网络攻击的可达性,使其面临巨大的安全风险。传统跨域互操作方法存在对访问主体认证客观性不足、任务执行效率低及身份权限分配粒度不够精确的问题。针对这些问题,文章提出一种基于任务和可信等级的数控网络跨域互操作方法,该方法通过可信计算3.0技术对访问主体进行可信评估,实现对访问主体的客观评价,提高跨域请求的安全性。文章同时提出一种互操作方法,以任务为互操作基础,在保障互操作细粒度安全性的同时,提高任务执行效率。仿真实验验证了该跨域互操作方法的有效性和适用性。