一种基于任务和可信等级的数控网络跨域互操作方法

随着工业4.0不断深化,数控网络不断开放导致网络攻击的可达性,使其面临巨大的安全风险。传统跨域互操作方法存在对访问主体认证客观性不足、任务执行效率低及身份权限分配粒度不够精确的问题。针对这些问题,文章提出一种基于任务和可信等级的数控网络跨域互操作方法,该方法通过可信计算3.0技术对访问主体进行可信评估,实现对访问主体的客观评价,提高跨域请求的安全性。文章同时提出一种互操作方法,以任务为互操作基础,在保障互操作细粒度安全性的同时,提高任务执行效率。仿真实验验证了该跨域互操作方法的有效性和适用性。

支持访问行为身份追踪的跨域密文共享方案

作为在云环境下被广泛应用的密文数据授权访问机制,密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)具有细粒度、1对多和拥有者可控的特点.由于多个用户可能拥有相同属性集合,传统属性基加密机制难以追溯到滥用解密权限的恶意授权用户身份.虽然现有研究解决了恶意用户的特定解密权限滥用行为(白盒攻击与黑盒攻击)的身份追踪问题,但仍难以实现针对授权用户访问行为的身份追踪,这将导致潜在的安全风险和数据访问知情权合规性问题.为了在现实应用场景中实现密文数据访问行为身份追踪,方案基于密文策略属性基加密机制构造跨域密文共享方法,通过数字签名和交互式外包解密流程将可追踪密钥和授权用户访问行为绑定为访问请求,并利用区块链的不可篡改性实现访问请求的完整性保护.为了解决引入区块链所导致的访问行为身份追踪效率低下问题,方案引入加密倒排索引结构以优化区块遍历效率,并通过BLS签名和隐私集合交集思想实现索引查询的隐私保护.理论分析和实验验证表明所提方案是实用与高效的.

基于区块链的汽车产业链权限委托方法

针对汽车产业链资源信息多源异构、跨平台交互建立困难的问题,提出了一种基于区块链的跨域权限委托方法(BCPDM)。该方法首先将区块链技术与基于属性的访问控制(ABAC)模型相结合,并建立权限过滤功能,以避免平台间权限冲突;其次,引入权限收回机制,提高模型授权的灵活性,避免长时间授权可能导致的信息泄露问题,旨在以灵活、动态、高效和可信的方式解决复杂汽车产业链多域环境下的访问授权问题。经安全性分析与实验表明:所提方法在复杂汽车产业链多域环境中能够保证用户的安全访问和各平台之间的数据信息交互,并且计算开销低。该方法能够满足汽车产业链协同交互的实时要求,为解决复杂汽车产业链中的访问控制问题提供了一种可行的解决方案。

域内与跨域访问信任评估机制研究

基于实体身份安全,零信任可实现网络动态可信访问控制,而访问实体的信任评估则是构成零信任能力的关键要素之一。在零信任访问控制架构下,建立域内和跨域访问信任评估机制。结合历史信任评估结果,域内访问信任评估机制通过引入时间衰减因子并采用指数加权平均的方法,解决单次信任评估结果易受外界因素影响的问题;参考跨域访问实体在他域的历史交互数据,跨域访问信任评估机制通过引入交互频率衰减因子进行指数加权平均,可以解决受访域因缺少足够跨域访问实体属性信息和行为交互数据,难以独立做出有效可信度量的问题。域内和跨域访问信任评估机制的构建,可促进零信任网络安全架构在典型应用场景中落地。

基于宽频认知层叠网的海上跨域协同组网通信技术

随着海上多平台远洋部署和强敌对抗形势日益严峻,依托于短波(HF)、超短波(V/UHF)、微波等单频段海上无线通信技术已不能满足海上跨域协同作战对多链融合组网、动态资源分配和体系化抗干扰的通信保障需求。文中提出一种基于宽频认知层叠网的新型多链融合网络通信架构,采用综合射频一体化前端进行宽频带射频资源管理,通过统一带宽、统一时隙、统一时空形成数据链融合元模型,在此基础上采用软件通信体系后端进行多链融合和层叠组网,通过宽带频谱感知、认知频谱接入和任务驱动自适应组网等技术实现对空海潜等海上多域通信环境的动态适应和强敌对抗环境的认知决策,可提升海上通信网络扩展、跨域传输和抗干扰通信能力。文中对宽频认知层叠网的关键技术进行了深入研究,给出了宽频认知层叠网的可行技术途径,可为本领域的体系架构设计和技术研究提供参考借鉴。

基于区块链技术的电网企业数据跨域访问控制研究

在跨域访问控制中,不同用户或应用程序可能根据各自的需求和权限,提出具有不同属性规格的访问请求。传统的跨域访问控制方法无法有效处理这种差异化的属性规格,导致访问控制操作变得低效,且精度有所降低。为此,提出了一种基于区块链技术的电网企业数据跨域访问控制方法。该方法首先构建以区块链技术为基础的电网企业数据跨域访问控制逻辑架构,在该架构的支持下区块链模块对原始的访问申请进行预处理,将访问请求信息转化为以属性集描述为基础的形式;然后根据访问请求信息的属性规格对电网企业数据进行一次映射和二次映射处理,结合映射处理结果在电网企业数据库的标准属性表中确定请求域中涵盖的属性集,为不同域的用户提供对应的数据,实现数据的跨域访问控制。试验结果表明,该方法的互操作性均值始终处于较高水平,稳定在0.95左右,并且电网企业数据跨域访问控制准确率在96%~98%,电网企业数据跨域访问控制效果好。

面向物联网的三因子跨域签密访问控制方案

在5G的海量机器类通信(massive Machine Type Communication,mMTC)物联网环境下,存在跨安全域的公钥加密体制PKI(Public Key Infrastructure)的物联网用户对无证书加密体制CLC(CertificateLess Cryptosystem)的物联网设备跨域安全通信问题.本文基于用户口令、生物特征和用户智能设备等组成的三因子和国密SM2的加密和签名算法,提出三因子跨域签密的访问控制方案(Three-factor Cross-domain Signcryption Access Control scheme for IoT environment,TCSAC-IoT),用于在跨安全域的情况下实现PKI物联网用户对CLC物联网设备跨域安全通信.方案通过三因子跨域签密算法对PKI物联网用户进行认证,对合法的PKI物联网用户建立与CLC物联网设备之间的共享秘钥,避免非法用户对CLC物联网设备资源非法访问,并在真实或随机ROR(Real-Or-Random)模型下证明了该方案在DY(DolevYao)模型和CK(Cantti-Krawczyk)模型下满足语义安全性,同时具有抗伪装攻击、抗重放攻击、抗中间人攻击、抗内部特权攻击和抗盗用或丢失PKI用户智能设备攻击,与类似方案对比分析的结果表明本方案有较低的计算开销和通信开销.

大规模网络跨域云安全访问控制方法仿真

为了确保网络运行的安全性,在跨域云环境下,设计大规模网络安全访问控制方法。引入信息属性概念,通过策略相似性和主体信任度属性对算子自动选择,同时引入综合赋权方法完成云用户行为信任评估。在访问主体和客体之间增加信任度计算,在信任度计算与评估的基础上引入可信度以及实体熟悉度等指标,并融合直接信任计算、间接信任计算以及推荐信任计算获取实体综合信任度,根据实体的综合信任度完成网络安全访问控制。分析实验结果可知,所提方法可以有效降低控制时间和误判率,提升网络访问安全性。

A Cross-Domain Access Control Model Based on Trust Measurement

Based on trust measurement, a new cross-domain access control model is proposed to improve the security performance of the cross-domain access control processes. This model integrates the trust management and trusted platform measurement, defines several concepts （user trust degree, platform configuration integrity and intra/inter-domain trust degree） and calculates them with users＇ uniform identity authentication and historical access behavior analysis. Then this model expands the extensible access control markup language （XACML） model by adding inside trust manager point （ITMP） and outside trust manager point （OTMP）, and describes the architectures and workflows of ITMP and OTMP in details. The experimental results show that this model can achieve more fine-grained access control, implement dynamic authorization in a simple way, and improve the security degrees of the cross-domain access control.

AJAX跨域访问的研究与应用

在异域数据集成的Web应用中,同源策略使AJAX跨域访问受到了限制。阐述了AJAX工作原理进而说明了同源策略如何影响AJAX跨域访问,分析了当前避开同源策略的主要方案,提出了XMLHTTP代理+JSON技术的解决方法,最后介绍了该方法在"科技基础条件平台异地软件共享系统"的应用。项目开发的实践结果表明,该方法有效地解决了AJAX跨域访问和展现数据的问题。

面向移动终端的云计算跨域访问委托模型

为实现移动节点跨域访问过程中的云资源保护,针对云环境和移动终端特点,借鉴已有的基于委托的RBAC访问控制技术,提出了一种面向移动终端的跨域访问委托模型、委托机制,有效解决了移动终端所属域的动态多变问题.域管理节点维护的动态路由表,实现了移动节点的准确定位.模型给出了角色合成方法,结合量化角色技术,避免了映射过程中权限的隐蔽提升问题.委托申请频率阈值,避免了恶意节点频繁申请带来的资源耗尽风险.分析结果表明,模型具有较好的实用性和安全性,为实现现有跨域访问控制模型向移动终端扩展提供了新思路.

基于等级的电子政务云跨域访问控制技术

针对电子政务云跨域访问中用户资源共享访问控制细粒度不足的安全问题,提出一种基于用户等级的跨域访问控制方案。该方案采用了云计算典型访问控制机制——身份和访问控制管理(IAM),实现了基于用户等级的断言属性认证,消除了用户在资源共享中由于异构环境带来的阻碍,提供一种细粒度的跨域访问控制机制。基于Shibboleth和Open Stack的keystone安全组件,搭建了云计算跨域访问系统,通过测试对比用户的域外和域内token,证明了方案的可行性。

一个通用的分布式访问控制决策中间件

将各种安全功能从上层应用中抽象出来形成一种通用和标准的安全服务,可以简化应用开发的复杂性和增强安全功能的可重用性。论文设计并实现了一个基于XACML的通用分布式访问控制决策中间件UDACD(Universal Distributed Access Control Decision),对分布式环境下的访问控制决策过程进行了封装,对外面向各种应用提供通用的决策服务。UDACD支持多种访问控制策略类型和跨管理域的匿名资源访问控制;实现了对策略的缓存和对用户安全属性的两级缓存,显著加快了决策速度。UDACD可以帮助简化策略管理,并提供跨应用的一致策略实施。

一种适用于云计算环境的跨域访问控制模型

使用控制模型(Usage Control,UCON)涵盖了传统的访问控制、可信管理及数字版权等复杂需求,被称为下一代访问控制模型.但是由于其授权实现较为复杂,其实际应用还处于探索阶段.将UCON模型中的义务元素删除、条件元素进拆分后使其实现大为简化.同时提出了三种在云计算环境下将传统访问控制模型转换为支持UCON模型的方法.

分布式站点间的跨域文件系统

高能物理科学研究大多依托固定站点大科学装置,拥有海量实验数据。因此数据计算往往基于异地站点的海量实验数据。针对这些海量的分布式实验数据,传统的高能物理计算模式中采用了网格的方式进行跨域数据共享,但资源利用率低、响应时间长以及部署维护困难等问题,限制了网格技术在中小型站点间的数据共享。针对高能物理计算环境中,中小型站点间的数据共享问题,以Streaming&Cache为核心思想,设计一种远程文件系统,提出远程数据访问本地化,提供高实时性数据访问模式,实现基于HTTP协议的按需数据传输与管理,拥有数据块散列存储和文件统一化视图管理。与高能物理计算中常用分布式文件系统EOS、Lustre、GlusterFS相比,具有广域网可用性、网络时延不敏感性和高性能数据访问模式。

基于岗位映射的应急组织间跨域访问控制研究

突发事件由于其自身特点,需要多组织、多部门来完成相应的应对、协调、善后等应急管理活动,但当前基于RBAC模型的应急组织间跨域访问控制,存在权限循环继承冲突、职责分离冲突和异构冲突等安全问题。通过总结应急管理系统的实际开发经验,从组织管理的岗位出发,提出基于岗位映射的应急组织间跨域访问控制机制。在分析应急组织间跨域访问控制机制具体实现流程的基础上,讨论其如何有效解决上述安全冲突问题,并结合某市应急管理平台的实际处理流程,验证了该机制的正确性和可行性。

基于组织的四层访问控制模型跨域访问过程中虚拟岗位构建方法

对于基于组织的四层访问控制(OB4LAC)模型在跨域访问控制过程中如何依据外域用户的申请权限集构建本域内虚拟岗位的问题,提出基于如下三阶段的处理流程,包括申请权限集与角色集的匹配搜索阶段、角色集职责分离(SoD)约束和激活约束判断阶段以及虚拟岗位的生成和撤销阶段。针对申请权限集与角色集的匹配搜索阶段,分别给出了面向完全匹配、可用性优先匹配和最小特权优先匹配的搜索算法;针对角色集SoD约束和激活约束判断阶段,则通过定义SoD约束矩阵(SODM)、非连通继承关系矩阵(AIM)和基数约束矩阵(CCM)以及对应的约束判断流程予以解决;针对虚拟岗位的生成和撤销阶段,给出了完成这一过程所需的管理函数。通过上述具体处理流程和实现算法,很好地解决了OB4LAC模型跨域访问过程中虚拟岗位的构建问题。

云环境下跨域RBAC模型中的风险研究

从云环境下跨域资源访问的安全需求出发,结合现有系统采用访问控制模型的现状,在RBAC模型的基础上,引入风险管理机制,将风险游标的概念扩充到访问发起域中,增强了跨域访问的安全性.在交互的双方中引入时效性约束,将访问时间与风险等级挂钩,从而实现细粒度基于风险的跨域访问控制.同时为域中每个节点设置跨域访问次数阈值,限定节点申请跨域访问的频率,避免了集中恶意行为的发生.通过设置标识位的方法,限制管理节点对历史记录的访问,实现对历史记录的隐私保护.

物联网安全问题研究及解决措施

对物联网应用领域面临的主要问题进行了研究,指出了物联网安全的现状。分析了物联网安全需求方面的特点,对于不同的安全问题给出了相应的安全解决对策。利用基于本体的跨域授权管理模型,解决物联网中不同主体授权难的问题。该问题的解决对物联网应用领域的安全起到了保障作用。

普适计算环境下的安全访问模型

针对移动终端的普及和可信计算技术对移动终端通信模式的影响,为满足普适计算环境的安全访问需求,本文提出普适计算环境下的安全访问模型,该模型定义了普适计算环境下用户的本地注册、域内访问和域间漫游3种机制,并详细介绍了相应的工作流程.安全性证明表明本文机制是CK安全的;分析显示本文模型在匿名性、安全性和效率上的优势,使其更加适合在普适计算环境下使用.