Ensuring Security, Confidentiality and Fine-Grained Data Access Control of Cloud Data Storage Implementation Environment

With the development of cloud computing, the mutual understandability among distributed data access control has become an important issue in the security field of cloud computing. To ensure security, confidentiality and fine-grained data access control of Cloud Data Storage (CDS) environment, we proposed Multi-Agent System (MAS) architecture. This architecture consists of two agents: Cloud Service Provider Agent (CSPA) and Cloud Data Confidentiality Agent (CDConA). CSPA provides a graphical interface to the cloud user that facilitates the access to the services offered by the system. CDConA provides each cloud user by definition and enforcement expressive and flexible access structure as a logic formula over cloud data file attributes. This new access control is named as Formula-Based Cloud Data Access Control (FCDAC). Our proposed FCDAC based on MAS architecture consists of four layers: interface layer, existing access control layer, proposed FCDAC layer and CDS layer as well as four types of entities of Cloud Service Provider (CSP), cloud users, knowledge base and confidentiality policy roles. FCDAC, it’s an access policy determined by our MAS architecture, not by the CSPs. A prototype of our proposed FCDAC scheme is implemented using the Java Agent Development Framework Security (JADE-S). Our results in the practical scenario defined formally in this paper, show the Round Trip Time (RTT) for an agent to travel in our system and measured by the times required for an agent to travel around different number of cloud users before and after implementing FCDAC.

Study on Mandatory Access Control in a Secure Database Management System

This paper proposes a security policy model for mandatory access control in class B1 database management system whose level of labeling is tuple. The relation hierarchical data model is extended to multilevel relation hierarchical data model. Based on the multilevel relation hierarchical data model, the concept of upper lower layer relational integrity is presented after we analyze and eliminate the covert channels caused by the database integrity. Two SQL statements are extended to process polyinstantiation in the multilevel secure environment. The system is based on the multilevel relation hierarchical data model and is capable of integratively storing and manipulating multilevel complicated objects ( e.g., multilevel spatial data) and multilevel conventional data ( e.g., integer, real number and character string).

Privacy Protection Based Access Control Scheme in Cloud-Based Services

With the rapid development of computer technology, cloud-based services have become a hot topic. They not only provide users with convenience, but also bring many security issues, such as data sharing and privacy issue. In this paper, we present an access control system with privilege separation based on privacy protection(PS-ACS). In the PS-ACS scheme, we divide users into private domain(PRD) and public domain(PUD) logically. In PRD, to achieve read access permission and write access permission, we adopt the Key-Aggregate Encryption(KAE) and the Improved Attribute-based Signature(IABS) respectively. In PUD, we construct a new multi-authority ciphertext policy attribute-based encryption(CP-ABE) scheme with efficient decryption to avoid the issues of single point of failure and complicated key distribution, and design an efficient attribute revocation method for it. The analysis and simulation result show that our scheme is feasible and superior to protect users' privacy in cloud-based services.

Cloud-Based Access Control to Preserve Privacy in Academic Web Application

Emerging cloud computing has introduced new platforms for developing enterprise academic web applications, where software, platforms and infrastructures are published to the globe as services. Software developers can build their systems by multiple invocations of these services. This research is devoted to investigating the management and data flow control over enterprise academic web applications where web services and developed academic web application are constructing infrastructure-networking scheme at the application level. Academic web services are invoked over http port and using REST based protocol;thus traditional access control method is not enough to control the follow of data using host and port information. The new cloud based access control rules proposed here are to be designed and implemented to work at this level. The new proposed access control architecture will be a web service gateway, and it published itself as a service (SaaS). We used three case studies to test our moodle and then we apply JSON parsers to perceive web service description file (WSDL file) and supply policies according to data are to be allowed or denied based on user roll through our parsing.

可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。

基于场景感知的访问控制模型

动态访问控制模型是构建大数据动态访问控制系统的理论基础,而现有访问控制模型大多只能满足单一情景下的动态访问控制,无法适应大数据上下文环境变化、实体关系变更和客体状态变迁等多类型动态情景中的访问控制。针对上述问题,在现有访问控制模型的研究的基础上,对大数据动态因素进行分析,提出基于场景感知的访问控制(SAAC,scenario-aware access control)模型。将各类型动态因素转换为属性、关系等基本元素;并引入场景信息对各类组成元素进行统一建模;基于场景信息构建大数据动态访问控制模型,以实现对多类型动态因素、扩展动态因素的支持。设计SAAC模型的工作框架,并提出框架工作流程对应的基于场景感知的访问控制模型规则学习算法和SAAC规则执行算法,以实现访问控制规则自动学习和动态访问控制决策。通过引入非传递无干扰理论,分析并验证了对所提模型的安全性。为验证所提模型访问控制策略挖掘方法的有效性,将SAAC模型与ABAC-L、PBAC-X、DTRM和FB-CAAC等基线模型在4个数据集上进行了实验对比。实验结果表明,SAAC模型及其策略挖掘方法的ROC曲线的线下面积、单调性和陡峭度等指标的结果均优于基线模型,验证了所提模型能够支持多类型动态因素和动态因素扩展,其挖掘算法所得的访问控制规则的综合质量相对较高。

分布式数据库隐私数据细粒度安全访问控制研究

为控制隐私数据的细粒度安全访问行为,提出分布式数据库隐私数据细粒度安全访问控制。通过分布式数据库空间划分,过滤隐私数据,利用分区方程,分解数据库空间内隐私数据,将隐私数据反应函数的构建过程定义为对分布式数据库中隐私数据挖掘的博弈过程,获取博弈因子,将细粒度划分问题转化为隐私数据在最小二乘准则下的规划问题,划分隐私数据的细粒度。利用加密算法,对隐私数据加密,依据密钥分发算法为用户分发密钥,通过密钥转换,将加密后的隐私数据上传到分布式数据库,利用数据库验证用户的令牌是否包含隐私数据的信息,建立令牌请求机制,实现隐私数据的细粒度安全访问控制。实验结果表明,经过文中方法控制后,分布式数据库的响应性能有所提高,在保证正确性的同时,还可以提高对恶意访问行为的控制能力,具有较高的实际应用价值。

一种全生命周期可控的公共数据共享方案

公共数据作为数据要素将极大赋能政府公共服务和社会治理,然而,频繁爆发的数据泄露事件严重阻碍了公共数据共享的进程。虽然现有的属性基加密方案能够实现公共数据的安全访问,但存在授权管理低效、共享后难以管控等问题,不适合现有的公共数据共享模式。为此,文章提出了一种全生命周期可控的公共数据共享方案。该方案设计了一种数据胶囊封装方法,将共享的公共数据与访问授权策略进行深度绑定,并构建了共享数据多方参与的分层授权、全生命周期感知的访问管控方式。安全性分析以及实验仿真表明,该方案实现了公共数据共享的全生命周期可控,开销较小,符合现实需求。

可追溯高安全的高效访问控制模型

为有效解决现有的支持外包的属性基加密(CP-ABE)方案中不可信云服务商以及恶意用户对系统带来的安全隐患,提出一种可追溯高安全的高效CP-ABE方案。为追踪恶意用户以及预防云服务商为寻求利益从而作恶的可能,搭建双层架构的区块链并分别存储相关加密验证数据以及用户访问记录。引入用户交互和属性结合的双重信任管理机制,增强整个系统的安全性和细粒度。通过外包解密以及数据公开撤销机制提升用户解密速率的同时节省不知情用户因访问撤销数据花费的通信开销。安全性分析结果表明,该方案具有机密性、完整性、问责性以及抗共谋攻击功能,用仿真实验与其它方案对比分析验证了该方案计算开销的优势。

数据要素支持下的多方数据接入质量控制模型研究

[目的/意义]数据要素已经成为产业发展的重要生产力,我国产业健康发展离不开高质量的数据交易。构建基于多方信息的产业数据要素质量控制模型,对于产业数据要素安全有效流通具有重大意义。[方法/过程]首先,在文献调研和比较分析的基础上,结合多方信息实际特征,选择合适的评价指标;其次,结合多方信息接入的特点,设计一个十二个维度的多方信息质量控制流程模型;最后,结合金融领域的实际业务场景对案例测试样本数据依次进行实证分析。[结果/结论]该模型不仅考虑了数据的内在质量,还考虑了数据与业务场景的匹配程度,为推动信息质量的提高和金融领域数字化应用做出了积极的贡献。

FDSN服务鉴权的设计与实现

随着地震学研究的不断深入及数据共享需求的持续增长,国际数字地震台网联盟(FDSN)标准的Web服务接口在地震数据中心的应用日益普及。采用HTTP摘要认证鉴权模式,通过优化FDSN相关源码,设计实现鉴权模块并进行验证。结果表明,该模式可以达到地震波形数据获取的访问控制,对于提升地震数据安全访问具有重要意义。

基于STM32单片机的二维码门禁控制系统

该文介绍一种基于STM32单片机的二维码门禁控制系统。该系统通过集成图像采集、二维码识别、数据通信和控制逻辑等关键模块,实现高效、安全的门禁管理。首先,系统利用GM65图像传感器捕捉进出人员的二维码图像,然后通过STM32单片机的强大处理能力进行二维码解码,从而获取其中的身份信息。接着,系统将解码得到的数据与One-Net云端信息进行比对,以判断进出人员是否具有合法通行权限。若权限验证通过,则门禁设备执行开锁操作,允许人员通行;若验证不通过,则系统拒绝开锁,并记录相关事件。该系统的引入,不仅提升门禁管理的效率和安全性,还降低了人为操作的错误率,为智能化、自动化的门禁管理提供新的解决方案。

分布式可信数据管理与隐私保护技术研究

相较于传统的分布式数据库系统,区块链技术在处理记账事务方面展现出更好的分布性、透明性和可信性,且传统中心化数据库系统存在严重的隐私泄露问题。针对传统中心化数据管理机制中存在的信任问题和隐私泄露问题,提出一种支持隐私保护的分布式可信数据管理模型。该模型采用分布式存储、数据隐私保护、访问控制和分布式身份等关键技术来实现数据的可信管理和协同隐私保护。在数据隐私保护方面,基于同态加密和零知识证明算法协议保障用户的数据隐私。在数据访问控制方面,结合链上群组隔离机制和节点存储落盘加密技术实现数据访问控制,将隐私控制回归属主。在用户身份隐私保护方面,利用分布式身份技术将物理身份和可验证凭证进行链下存储,将实体信息最小化或根据需要在受控范围内共享。搭建系统原型并测试系统区块链吞吐量,结果表明,针对get请求,每秒完成的事务数(TPS)达到811.2,set请求的TPS达到225.5,正确率均为100%。系统测试结果验证了该模型在功能性、安全性和可行性方面符合预期,性能较优。

基于零信任安全模型的电力敏感数据访问控制方法

针对大数据环境下数据访问控制难度大、数据窃取行为增多造成的电力敏感数据的大量泄露问题,为保护电力敏感数据安全,提出了以零信任安全模型为基础的电力敏感数据访问控制方法.以零信任安全模型为基础,采集用户访问行为信任因素,构建零信任安全模型,采用层次分解模型分解信任属性,基于权重分配法构建判断矩阵计算用户访问行为信任值,结合自适应机制和时间衰减算法,完善信任值的更新与记录.引用按层生长决策树进行电力敏感数据访问分级,在用户认证基础上设置签密参数,引用公私钥实现访问认证信息签密.实验测试结果表明,该方法能够有效抑制恶性数据访问行为,数据加密时间开销小,平均时间开销低于1.4s内1200条,访问控制失误率低于5%,整体控制效果达到了理想标准.

基于区块链的医疗数据分类加密共享方案

针对医疗数据共享时,存在共享数据多于需求数据,以及加密大量元数据会产生较大的计算开销问题,提出一种基于区块链的医疗数据分类加密共享方案,结合基于属性的加密和区块链实现对医疗数据的访问控制和数据共享。首先,按照基本信息、医疗科室、疾病类型将完整医疗数据分类划分为医疗元数据,对数据进行细粒度访问控制。其次,提出数据访问策略分类算法,将数据访问策略划分为属性加密策略和区块链访问策略,合并多个元数据的属性加密策略用以降低基于属性加密时构建访问结构树的计算开销;智能合约依据区块链访问策略对链上数据进行访问控制,并通过修改区块链策略实现权限撤销。最后,通过安全性分析和仿真实验表明该方案具有可行性和较高的效率。

混合云环境下面向数据生命周期的自适应访问控制

混合云模式下企业业务应用和数据经常跨云流转迁移,面对多样复杂的云服务环境,当前大多数混合云应用仅以主体为中心制定数据的访问控制策略并通过人工调整策略,无法满足数据在全生命周期不同阶段时的细粒度动态访问控制需求.为此,提出一种混合云环境下面向数据生命周期的自适应访问控制方法AHCAC.该方法首先采用基于关键属性的策略描述思想去统一混合云下数据全生命周期的异构策略,尤其引入“阶段”属性显式标识数据的生命周期状态,为实现面向数据生命周期的细粒度访问控制提供基础;其次针对数据生命周期同阶段策略具有相似性和一致性的特点,定义策略距离,引入基于策略距离的层次聚类算法实现数据生命周期各阶段对应访问控制策略的构建;最后通过关键属性匹配实现当数据所处阶段变化时,触发策略评估引擎上数据对应阶段策略的自适应调整和加载,最终实现面向数据生命周期的自适应访问控制.在OpenStack和开源策略评估引擎Balana上通过实验验证了所提方法的有效性和可行性.

基于智能合约的双链数据共享系统

为解决传统数据共享模式下数据存储于中心、权限集中于中心带来的单点故障、单点攻击、访问控制不灵活等问题,基于区块链上智能合约设计了一种双链混合架构的新型数据共享系统:系统通过星际文件系统(InterPlanetary File System,IPFS)实现数据分布式存储,解决了数据中心化存储带来的单点故障、单点攻击的问题;通过联盟链和私有链双链混合的方式,利用区块链不可更改的特性保护数据不被非法篡改;通过链上智能合约实现数据的灵活共享和访问可控,访问记录透明可追溯,解决了传统数据中心非法授权等恶意行为无法监管的问题。

无人机自组网中基于优先级和发送概率的低时延MAC协议设计

媒体接入控制(MAC)协议是满足数据传输质量服务需求的一项关键技术,其性能的优劣直接决定了网络的整体运行效率。相较于其他经典MAC协议,基于统计优先级的多址接入(SPMA)协议采用了多优先级接入、信道检测和流量控制等机制,因此它能更好地满足无人机自组网的低时延、区分服务、大规模组网等重要需求。其中,不同优先级阈值是影响该协议性能的关键指标之一,而现有研究中的阈值设置策略会导致无人机自组网吞吐量波动较大的问题。除此之外,在大规模节点组网的情况下,由于特殊的发送机制,该协议面临数据包冲突加剧的问题。针对以上问题,本文提出了一种新的阈值设置方法和低优先级数据概率性接入信道的方法。在大规模节点网络高业务量的情况下,该改进策略根据新的阈值和周期性负载统计的比较结果决定是否延迟或者拒绝相关数据的接入。与此同时,将SPMA协议的多优先级接入机制和排队论基本原理相结合,通过计算设定发送概率对不同低优先级数据进行接入控制。仿真结果表明,所提方法能够使得无人机自组网的吞吐量保持稳定,并为不同类型业务的差异性服务质量(QoS)需求提供良好支持,提高不同优先级数据的首发传输成功率的同时不会带来较大的额外时延损耗,性能优于现有的SPMA协议。

基于条件代理重加密的区块链医疗数据共享模型

医疗数据具有较高的私密性和敏感性,然而以往的医疗数据共享过程中往往采取中心化的集中式存储,这带来了数据隐私泄露和非法篡改的风险。针对上述问题,文中将区块链和代理重加密技术结合起来,提出基于条件代理重加密的区块链医疗数据共享模型。各级医院组成联盟区块链,采用改进的实用拜占庭共识机制选取代理节点,提高了节点达成共识的效率。借助于云服务器海量的存储能力,将患者的医疗数据存储在云服务器,联盟区块链中保存条件摘要密文,数据请求者在联盟链上进行条件搜索获取患者医疗数据,同时利用代理重加密技术实现特定数据请求者和第三方用户之间的细粒度共享。实验结果证明,基于条件代理重加密的区块链医疗数据共享模型在通信和计算开销方面更具优势。