A General Attribute and Rule Based Role-Based Access Control Model

Growing numbers of users and many access control policies which involve many different resource attributes in service-oriented environments bring various problems in protecting resource.This paper analyzes the relationships of resource attributes to user attributes in all policies, and propose a general attribute and rule based role-based access control(GAR-RBAC) model to meet the security needs. The model can dynamically assign users to roles via rules to meet the need of growing numbers of users. These rules use different attribute expression and permission as a part of authorization constraints, and are defined by analyzing relations of resource attributes to user attributes in many access policies that are defined by the enterprise. The model is a general access control model, and can support many access control policies, and also can be used to wider application for service. The paper also describes how to use the GAR-RBAC model in Web service environments.

General Attribute Based RBAC Model for Web Services

Growing numbers of users and many access policies that involve many different resource attributes in service-oriented environments cause various problems in protecting resource. This paper analyzes the relationships of resource attributes to user attributes based on access policies for Web services, and proposes a general attribute based role-based access control（GARBAC） model. The model introduces the notions of single attribute expression, composite attribute expression, and composition permission, defines a set of elements and relations among its elements and makes a set of rules, assigns roles to user by inputing user＇s attributes values. The model is a general access control model, can support more granularity resource information and rich access control policies, also can be used to wider application for services. The paper also describes how to use the GARBAC model in Web services environments.

Attribute-Based Secure Data Sharing with Efficient Revocation in Fog Computing

Fog computing is a concept that extends the paradigm of cloud computing to the network edge. The goal of fog computing is to situate resources in the vicinity of end users. As with cloud computing, fog computing provides storage services. The data owners can store their confidential data in many fog nodes, which could cause more challenges for data sharing security. In this paper, we present a novel architecture for data sharing in a fog environment. We explore the benefits of fog computing in addressing one-to-many data sharing applications. This architecture sought to outperform the cloud-based architecture and to ensure further enhancements to system performance, especially from the perspective of security. We will address the security challenges of data sharing, such as fine-grained access control, data confidentiality, collusion resistance, scalability, and the issue of user revocation. Keeping these issues in mind, we will secure data sharing in fog computing by combining attributebased encryption and proxy re-encryption techniques. Findings of this study indicate that our system has the response and processing time faster than classical cloud systems. Further, experimental results show that our system has an efficient user revocation mechanism, and that it provides high scalability and sharing of data in real time with low latency.

访问控制日志驱动的ABAC策略自动提取与优化增强

为解决基于属性的访问控制(ABAC)策略自动提取的低质量问题,提出一种基于访问控制日志驱动的ABAC策略自动提取与优化增强方法。首先,构建集成学习模型,将用户行为和权限分配映射为策略逻辑树,识别访问授权决策的关联性及潜在规律,初步生成策略;其次,通过单属性优化和规则二元约简两种方法深度优化策略,简化策略结构并压缩策略规模;最后,提出基于误差度量的规则冲突解决方法,以增强互斥、完备的ABAC策略,并进一步基于多目标优化的策略性能平衡算法实现不同场景需求的最优模型选择。分别在平衡数据集和稀疏数据集上进行测试和验证,实验结果表明,该方法在平衡数据集上的准确性最高可达96.69%,可将策略规模压缩至原来的19.7%。在稀疏数据集上的准确性最高可达87.74%,可将策略规模压缩至原来的23%。此方法兼顾策略的预测精度与结构的简洁性,同时适用于平衡日志和稀疏日志,确保访问控制系统在实际应用中能够实现高效、安全的访问授权管理。

Hybrid Cloud Security by Revocable KUNodes-Storage with Identity-Based Encryption

Cloud storage is a service involving cloud service providers providingstorage space to customers. Cloud storage services have numerous advantages,including convenience, high computation, and capacity, thereby attracting usersto outsource data in the cloud. However, users outsource data directly via cloudstage services that are unsafe when outsourcing data is sensitive for users. Therefore, cipher text-policy attribute-based encryption is a promising cryptographicsolution in a cloud environment, and can be drawn up for access control by dataowners (DO) to define access policy. Unfortunately, an outsourced architectureapplied with attribute-based encryption introduces numerous challenges, including revocation. This issue is a threat to the data security of DO. Furthermore,highly secure and flexible cipher text-based attribute access control with role hierarchy user grouping in cloud storage is implemented by extending the KUNodes(revocation) storage identity-based encryption. Result is evaluated using Cloudsim, and our algorithm outperforms in terms of computational cost by consuming32 MB for 150-MB files.

可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。

面向物联网的基于智能合约与CP-ABE的访问控制方案

随着物联网设备数量激增,传统的集中式访问控制方案在面对当前大规模物联网环境时显得力不从心,现有的分布式访问控制方案存在高货币成本和处理访问请求的低吞吐量等问题。针对这些问题提出一种区块链智能合约结合密文策略属性基加密(ciphertext policy attribute based encryption,CP-ABE)实现对物联网资源的访问控制方案。以超级账本(Hyperledger Fabric)为底层网络,对功能令牌执行属性基加密,利用星际文件系统(interplanetary file system,IPFS)保存令牌密文,通过智能合约公开令牌获取地址实现一对多授权。进一步设计合约部署到区块链实现对令牌请求的去中心化权限评估,维护主体在特定资源对象上允许的操作,实现更为细粒度的属性访问控制。仿真实验及性能分析表明,所提方案与现有方案相比能够使数据所有者在更短的时间内完成对大量请求主体的安全访问授权,压力测试表明链码具有较好性能。

计算机网络通信中的数据加密技术研究

基于网络入侵攻击、匿名用户访问的安全防护管理需求,利用Hadoop分布式软件框架、CP-ABE(Ciphertext Policy ABE)属性基加密算法,建构起访问身份认证、密钥共享的云服务控制平台,由属性授权中心机构自主生成网络通信的公钥、主私钥,数据所有者基于CP-ABE加密算法的双线性映射规则作出数据属性集合的密钥加密,数据接收者基于访问结构的密文、解密密钥完成数据属性集合解密操作,并在公有云服务平台形成加密数据存储和细粒度共享,有效提升计算机网络通信的数据访问、传输管理安全性。

基于区块链的轻量级物联网医疗数据访问控制方案

基于物联网的智慧医疗系统,给患者和医务工作者带来极大的便利,但是物联网医疗设备产生的海量医疗数据包含着患者的个人隐私,一旦泄露会造成重大损失,以往的访问控制方案存在不灵活,中心化,加密效率较低等问题。针对这些问题,提出了一种基于区块链的轻量级物联网医疗数据访问控制方案。提出了一种改进的多中心属性基加密(multi-authority attribute-based encryption, MA-ABE)方案为患者提供细粒度的安全数据共享,并且利用IPFS技术存储患者数据。结合雾计算技术,利用雾节点承担属性基加解密过程中大部分的计算开销,减轻了物联网设备负担。进行安全性分析和仿真实验,结果表明,提出的方案在保证安全的情况下为物联网医疗数据提供了高效并且轻量级的访问控制。

基于区块链的医疗数据分类加密共享方案

针对医疗数据共享时,存在共享数据多于需求数据,以及加密大量元数据会产生较大的计算开销问题,提出一种基于区块链的医疗数据分类加密共享方案,结合基于属性的加密和区块链实现对医疗数据的访问控制和数据共享。首先,按照基本信息、医疗科室、疾病类型将完整医疗数据分类划分为医疗元数据,对数据进行细粒度访问控制。其次,提出数据访问策略分类算法,将数据访问策略划分为属性加密策略和区块链访问策略,合并多个元数据的属性加密策略用以降低基于属性加密时构建访问结构树的计算开销;智能合约依据区块链访问策略对链上数据进行访问控制,并通过修改区块链策略实现权限撤销。最后,通过安全性分析和仿真实验表明该方案具有可行性和较高的效率。

一种基于Fabric区块链的云端数据动态访问控制方案

【目的】云端存储数据的安全性是用户使用云存储服务的重要条件,一般用户与云服务提供商之间需要相互信任,而中心化的云服务器存在单点故障问题并且云端的数据存在泄露、丢失的风险。【方法】为解决上述问题,提出了一种基于Fabric区块链的云端数据动态访问控制方案。【结果】方案利用区块链难以篡改的特性解决了用户与云端的信任问题,使用去中心化云存储解决了云服务器的单点故障问题,利用智能合约实现了方案的自动执行,并采用属性基加密的方式实现了对云端数据的动态访问控制。【结论】通过对方案的安全分析与实验验证,方案具有良好的安全性与可用性。

双重授权的多组织协同数据共享方案

针对现有的多组织协同数据共享框架缺乏信任机制,存在数据隐私和安全风险、数据一致性和对共享数据使用的监管问题,借助区块链的特性,提出一种双重授权的多组织协同数据共享方案,通过双重授权方式解决各组织主体之间协同管理共享数据的访问问题。首先,使用基于属性的访问控制(ABAC)技术利用不同组织的一组属性管理共享数据,实现第1层授权,防止未经授权用户的非法访问;其次,基于访问控制,引入多重签名协议进行第2层授权,实现参与协同组织对共享数据访问的监管,提高访问的安全性。实验结果表明,当协同组织数为4时,系统整体时间开销为21 s;当协同组织数增加至10时,所提方案依旧能够保持较低的时间开销。因此所提方案能够同时满足实际生产中安全性和实用性的需求。

一种ABAC静态策略冲突检测算法

在分布式计算环境下,传统基于属性的静态访问控制策略多存在扩展性差、难以实现等问题。针对上述问题,提出一种基于策略属性分解的冲突检测算法。该算法对策略属性进行分解,构造策略属性分解图,判断策略属性值之间的相交关系,根据静态策略冲突的定义进行策略冲突检测,从而提高策略冲突检测算法的可扩展性和易实现性。实验结果表明,该算法对静态策略冲突的检测率接近85%。

基于属性可搜索加密的农产品区块链追溯隐私数据访问控制方法

区块链追溯对于保障食品安全、提升农产品品质、维护消费者权益至关重要。针对农产品供应链中隐私数据安全与保护需求,提出了一种基于属性的可搜索加密的农产品区块链追溯隐私数据访问控制方法,该方法允许追溯供应链数据拥有者利用基于属性的可搜索加密技术对访问控制中的访问控制策略进行加密处理,追溯供应链数据请求者通过生成陷门与加密策略进行匹配,以确保访问控制的安全性,有效抵御恶意节点伪造信息非法获取权限的行为,隐藏用户身份,避免策略信息泄露问题,确保了隐私数据的安全性。采用以太坊权威证明共识机制搭建私有链进行仿真实验,系统测试结果表明,可搜索密文生成时间为2.5 ms,陷门生成时间为39.8 ms,可搜索密文与陷门的匹配时间为8.6 ms,同时密文生成时间不随属性数量增加而线性增长,具有稳定性特征。可搜索密文和陷门上传至区块链平均时间为2033 ms,查询匹配时间为3.54 ms。因此,本研究提出的访问控制方法实现了访问控制策略隐藏,保障了追溯隐私数据的安全共享,适用于农产品区块链追溯环节中。

基于改进CP-ABE算法的ABAC机制研究

为解决基于属性的访问控制(ABAC)机制下的数据安全问题,从访问体系结构和形式化定义两方面对ABAC机制进行研究,并进行了仿真和性能分析。通过与传统CP-ABE算法进行比较,提出一种适用于ABAC环境的改进CP-ABE算法,给出了改进算法的形式化定义。与传统CP-ABE算法相比,该算法在ABAC环境下具有更低的存储消耗和更高的效率。

mHealth中细粒度策略隐藏和可追踪去中心访问控制方案

基于属性基加密的访问控制协议在个人健康档案共享中发挥着越来越重要的作用.但传统的基于密文策略属性基加密的访问控制方案存在着些许问题.首先,中心化的属性授权机构的抗风险能力低.其次,随密文发送未隐藏的访问策略可能会泄露患者的隐私.此外,传统方案难以追踪恶意泄露密钥的用户.为解决上述问题,提出一种适用于mHealth中细粒度策略隐藏和可追踪去中心访问控制方案.实现了去中心化的属性授权机构.属性由属性名称和属性值2部分构成,在加密阶段属性值隐藏在密文中,只对外公开通用的属性名称.当密钥遭到恶意泄露时,监管机构利用身份映射表可以追踪到恶意的用户.经过实验模拟和对比分析,所提方案在安全性方面和性能上适用于实际的mHealth环境.

面向云存储且支持重加密的多关键词属性基可搜索加密方案

针对一对多模型下共享数据细粒度访问控制、密文密钥的安全共享和更新等问题,提出了一种面向云存储且支持代理重加密的多关键词属性基可搜索加密方案。增加节点信息改进访问树结构,实现对密文数据读写权限的细粒度访问控制;对查询关键词进行属性基加密优化处理,实现陷门信息不可区分性和限制不同用户的检索能力;利用重加密方法更新密文及密钥,解决已撤销用户恶意访问隐私数据带来的系统安全问题;设计了一种基于区块链的安全性验证算法来识别第三方托管隐私数据被攻击篡改的问题。基于DBDH困难问题和DDH困难问题,推理证明了所提方案能够满足自适应关键词密文安全和陷门安全。实验结果表明,该方案在密钥生成、陷门生成、关键词索引生成和正确性验证阶段能够保证隐私数据及密钥安全,同时相比于同类方案,在时间开销方面具有更高效率。

自动车辆排中可撤销可追溯的访问控制方案

在提高燃油效率和驾驶安全性上智能交通系统中的自动车辆排是一种优秀的解决方案。以物联网和5G通信技术为基础的自动车辆排在实现智能组队和行为通信过程中容易受到各种攻击,导致安全事故的发生。为此,结合边缘计算技术,提出一种基于属性的可撤销可追溯的访问控制方案。首先,使用基于属性的加密实现了细粒度的访问控制;其次,利用中国剩余定理动态更新排密钥实现消息的可撤销存储,并借助路边基础设施降低车辆侧的计算开销;接着在此基础上,利用椭圆曲线加密机制实现了用户的匿名和对恶意车辆的追溯。安全性分析和仿真实验结果表明,该方案在安全性和效率方面是可行的。

支持属性立即撤销的可复用属性基签名及其密钥协商方案

为了解决后台分布式微服务-前端反向代理网络架构中统一细粒度访问控制和数据安全通信的问题,提出了可撤销属性的认证方策略属性基签名,基于Type-3配对的属性基签名及其互认证密钥协商方案。在所提方案签名算法中,无须关联访问策略,生成的签名只和用户部分属性有关,访问策略在验证算法中输入,来校验与签名相关联的用户属性是否真实合法并满足访问策略,所以签名与访问策略实现了解耦,使得一个签名可复用于多个访问策略的认证过程。另外,提出了属性哈希过滤算法,并基于该算法实现了属性的立即撤销机制,使得签名者不能用过期无效的属性继续用于策略认证。并在选择策略模型下严格地验证了所提属性基签名方案的存在不可伪造性。进一步地,为了实现数据的安全通信,提出了与所提属性基签名方案配套的满足扩展Canetti-Krawczyk安全模型的认证密钥协商方案。最后,通过理论和实验对比分析得知,在安全级别为128 bit高级加密标准的要求下,所提方案中的微服务器端的认证算法比其他属性认证算法消耗更少的时间,因此所提方案更加适用于复合微服务请求的场景。

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing,BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.