园区网络身份验证的Internet访问控制与计费系统

该文介绍了园区网络中心对Internet访问控制方法和IP流量统计方法，并给出了在此基础上实现的Internet访问控制与计费系统。

网络嗅探在Internet访问控制中的应用

文中基于TCP连接的特点探讨了对Internet访问控制方法 ,实践表明 ,按照这种原理实现的软件具有操作性强 ,易于管理的特点 ,可以达到对主机访问不良域名的控制 ,以实现更好更优的网络资源使用。

可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。

面向云存储的属性基双边访问控制方案

针对目前云存储中细粒度双边访问控制机制安全模型较弱且外包解密结果缺乏验证的问题,提出了一种面向云存储数据的属性基双边访问控制方案。首先,提出了自适应安全可验证外包双边CP-ABE的形式化定义和安全模型;其次,以此为基础并结合批量可验证技术在合数阶群上设计了双边访问控制方案,支持数据拥有者与数据使用者同时为对方定义访问策略;最后,安全性分析表明,所提方案在自适应安全模型下针对选择明文攻击与选择消息攻击是不可区分的和存在性不可伪造的。实验结果显示,所提方案减轻了用户端的匹配、解密以及验证阶段的计算开销。

基于场景感知的访问控制模型

动态访问控制模型是构建大数据动态访问控制系统的理论基础,而现有访问控制模型大多只能满足单一情景下的动态访问控制,无法适应大数据上下文环境变化、实体关系变更和客体状态变迁等多类型动态情景中的访问控制。针对上述问题,在现有访问控制模型的研究的基础上,对大数据动态因素进行分析,提出基于场景感知的访问控制(SAAC,scenario-aware access control)模型。将各类型动态因素转换为属性、关系等基本元素;并引入场景信息对各类组成元素进行统一建模;基于场景信息构建大数据动态访问控制模型,以实现对多类型动态因素、扩展动态因素的支持。设计SAAC模型的工作框架,并提出框架工作流程对应的基于场景感知的访问控制模型规则学习算法和SAAC规则执行算法,以实现访问控制规则自动学习和动态访问控制决策。通过引入非传递无干扰理论,分析并验证了对所提模型的安全性。为验证所提模型访问控制策略挖掘方法的有效性,将SAAC模型与ABAC-L、PBAC-X、DTRM和FB-CAAC等基线模型在4个数据集上进行了实验对比。实验结果表明,SAAC模型及其策略挖掘方法的ROC曲线的线下面积、单调性和陡峭度等指标的结果均优于基线模型,验证了所提模型能够支持多类型动态因素和动态因素扩展,其挖掘算法所得的访问控制规则的综合质量相对较高。

基于站点地图的Web访问控制漏洞检测方法

攻击者通常利用Web应用程序的访问控制漏洞实现对系统的非授权访问、信息窃取等恶意行为。针对Web应用程序的访问控制漏洞的检测问题,现有方法由于页面覆盖率低、检测过程开销大等问题,因此漏报率过高且效率低下。为此,基于动态分析,提出了一种基于站点地图的Web访问控制漏洞检测方法。该方法首先为不同角色下的用户分别建立各自的站点地图,并形成不同角色的完整站点地图,再通过对其分析生成Web应用程序预期访问控制策略,构建非法测试用例进行动态访问并分析执行结果实现对未授权访问、越权访问等类型访问控制漏洞的检测。最后,在7个真实开源Web应用程序中对所提方法进行验证,结果表明该方法能有效降低开销,其页面覆盖率达到90%以上;发现了10个真实漏洞,准确率达到了100%。

基于博弈的Web应用程序中访问控制漏洞检测方法

针对工业互联网中程序的访问控制策略隐藏在源码中难以提取,以及用户的访问操作难以触发所有访问路径而导致逻辑漏洞的通用化检测难以实现的问题,将博弈思想应用于访问控制逻辑漏洞检测中,通过分析不同参与者在Web应用程序中对资源页面的博弈结果来识别漏洞,使得不同用户的访问逻辑能被有针对性地获取。实验结果表明,所提方法在开源的11个程序中检测出31个漏洞,其中8个为未公开的漏洞,漏洞检测覆盖率均超过90%。

新型电力系统面向云边端架构的安全访问控制技术研究

新型电力系统的建设正朝着云边端一体化方向发展,云边端架构带来灵活性和可扩展性的同时,也带来了数据隐私安全、非法操作、缺乏标准化集成方案等问题。基于此,文章提出一种结合云边端架构特点的基于属性的安全访问控制方案(cloud-edge-device attribute-based access control,CED-ABAC),方案通过边缘融合终端进行重加密,既保护数据安全,又减轻终端设备的通信开销,在策略授权方面,使用可扩展的访问控制标记语言(extensible access control markup language,XACML)设计授权策略和策略匹配算法,实现对多终端访问控制策略的同时下发,更高效地解决标准化集成问题。同时通过实验仿真,证明CED-ABAC方案的效率和性能相比于已有方案具有明显优势。

基于零信任机制的粮食溯源区块链访问控制模型

针对现有基于区块链的粮食溯源模型中存在的恶意访问、数据来源不可信、身份伪造等问题,提出了一种基于零信任机制的粮食溯源区块链访问控制模型.以零信任安全模型为基础,贯穿“永不信任,始终验证”的理念,将区块链与基于令牌的访问控制(tokenbased access control,TBAC)相结合.以令牌作为访问资源的凭证,同时引入用户信任度分析,建立了动态灵活的授权机制,实现了细粒度的访问控制.加以区块链智能合约保证访问控制自动可信的判决,利用TBAC模型实现以令牌为基础的访问控制;其次,基于用户的访问行为,使用模糊层次分析法(FAHP),从而得到用户信任值的计算方法,并设计相应的访问控制策略.实验结果表明,该方法能够正确、高效地响应访问请求,在保证粮食溯源数据有效访问的基础上动态授予用户访问权限,实现了安全可靠的数据访问控制.

可追溯高安全的高效访问控制模型

为有效解决现有的支持外包的属性基加密(CP-ABE)方案中不可信云服务商以及恶意用户对系统带来的安全隐患,提出一种可追溯高安全的高效CP-ABE方案。为追踪恶意用户以及预防云服务商为寻求利益从而作恶的可能,搭建双层架构的区块链并分别存储相关加密验证数据以及用户访问记录。引入用户交互和属性结合的双重信任管理机制,增强整个系统的安全性和细粒度。通过外包解密以及数据公开撤销机制提升用户解密速率的同时节省不知情用户因访问撤销数据花费的通信开销。安全性分析结果表明,该方案具有机密性、完整性、问责性以及抗共谋攻击功能,用仿真实验与其它方案对比分析验证了该方案计算开销的优势。

面向异常行为的邮件访问控制网关的设计与实现

高校邮件系统平均每月面临数万次的暴力破解认证攻击,攻击者会使用简单邮件传输协议(Simple Mail Transfer Protocal,SMTP)认证的方式对高校师生邮件账号进行暴力破解认证,尤其是分布式暴力破解和低频慢速暴力破解难以识别检测,是导致邮件服务器面临资源消耗及账户安全问题的巨大威胁。因此,有必要设计一种面向异常行为的邮件访问控制网关,通过分析邮件日志捕获异常攻击行为,动态阻断恶意互联网协议(Internet Protocal,IP)攻击。测试结果表明,该网关通过分析邮件日志、抽取安全事件、捕获异常行为特征,构建了特征规则;基于漏桶算法捕获低频、分布式暴力破解的恶意IP,联动防火墙实现了对恶意IP的动态封禁及解除;设计、实现访问控制网关并应用于校园网,成功阻断了62%的攻击流量。

基于区块链的计算机数据访问控制研究

为避免计算机数据受到攻击,提高数据的安全性,研究将以区块链技术为基础提高计算机的数据防护能力。通过区块链技术,建立一个去中心化、安全且不可篡改的数据管理系统,重点在于如何利用区块链的特性,实现能源数据的安全存储、精准访问控制以及跨链数据共享,介绍能源数据访问控制方案的设计原理,包括数据的加密存储、智能合约控制的访问权限,以及跨链协作的实现。此研究为能源行业提供一种新型的数据管理解决方案,确保数据安全性的同时促进数据的合理利用。

基于可信度和智能合约的物联网分布式操作终端安全访问控制研究

在复杂的物联网环境中,分布式终端面临多种安全威胁。因此,提出基于可信度和智能合约的物联网分布式操作终端安全访问控制方法。对数据属性进行分级,并基于用户历史行为计算其可信度。利用区块链动态调整访问控制策略,确保只有高可信度的用户能访问高级敏感数据。智能合约确保了策略的高效执行。实验结果表明,所提方法的数据属性分级精度高、可信度计算精度高、安全访问控制性能好。

基于区块链的轻量级物联网医疗数据访问控制方案

基于物联网的智慧医疗系统,给患者和医务工作者带来极大的便利,但是物联网医疗设备产生的海量医疗数据包含着患者的个人隐私,一旦泄露会造成重大损失,以往的访问控制方案存在不灵活,中心化,加密效率较低等问题。针对这些问题,提出了一种基于区块链的轻量级物联网医疗数据访问控制方案。提出了一种改进的多中心属性基加密(multi-authority attribute-based encryption, MA-ABE)方案为患者提供细粒度的安全数据共享,并且利用IPFS技术存储患者数据。结合雾计算技术,利用雾节点承担属性基加解密过程中大部分的计算开销,减轻了物联网设备负担。进行安全性分析和仿真实验,结果表明,提出的方案在保证安全的情况下为物联网医疗数据提供了高效并且轻量级的访问控制。

分布式数据库隐私数据细粒度安全访问控制研究

为控制隐私数据的细粒度安全访问行为,提出分布式数据库隐私数据细粒度安全访问控制。通过分布式数据库空间划分,过滤隐私数据,利用分区方程,分解数据库空间内隐私数据,将隐私数据反应函数的构建过程定义为对分布式数据库中隐私数据挖掘的博弈过程,获取博弈因子,将细粒度划分问题转化为隐私数据在最小二乘准则下的规划问题,划分隐私数据的细粒度。利用加密算法,对隐私数据加密,依据密钥分发算法为用户分发密钥,通过密钥转换,将加密后的隐私数据上传到分布式数据库,利用数据库验证用户的令牌是否包含隐私数据的信息,建立令牌请求机制,实现隐私数据的细粒度安全访问控制。实验结果表明,经过文中方法控制后,分布式数据库的响应性能有所提高,在保证正确性的同时,还可以提高对恶意访问行为的控制能力,具有较高的实际应用价值。

混合云环境下面向数据生命周期的自适应访问控制

混合云模式下企业业务应用和数据经常跨云流转迁移,面对多样复杂的云服务环境,当前大多数混合云应用仅以主体为中心制定数据的访问控制策略并通过人工调整策略,无法满足数据在全生命周期不同阶段时的细粒度动态访问控制需求.为此,提出一种混合云环境下面向数据生命周期的自适应访问控制方法AHCAC.该方法首先采用基于关键属性的策略描述思想去统一混合云下数据全生命周期的异构策略,尤其引入“阶段”属性显式标识数据的生命周期状态,为实现面向数据生命周期的细粒度访问控制提供基础;其次针对数据生命周期同阶段策略具有相似性和一致性的特点,定义策略距离,引入基于策略距离的层次聚类算法实现数据生命周期各阶段对应访问控制策略的构建;最后通过关键属性匹配实现当数据所处阶段变化时,触发策略评估引擎上数据对应阶段策略的自适应调整和加载,最终实现面向数据生命周期的自适应访问控制.在OpenStack和开源策略评估引擎Balana上通过实验验证了所提方法的有效性和可行性.

基于区块链的物联网可信访问控制研究

针对当前物联网数据量庞大且数据之间孤立,以及物联网可信访问服务管理中交易不透明和易受攻击等问题,提出了基于区块链的物联网可信访问控制研究,将区块链技术应用到物联网的访问控制中,利用区块链的去中心化特性结合物联网访问控制技术,设计了物联网可信访问控制模型。通过模拟实验显示,物联网可信访问控制模型能够有效量化信任度、有效检测到物联网访问攻击行为,在整个访问控制中能够确保数据不被篡改,在每500次访问增量下的攻击检测率可提升约1.77百分点,具有较高的实用性。

基于属性加密算法的计算机数据安全访问控制技术

该文针对云计算环境下计算机数据文件访问、传输存在的安全隐患,提出基于属性加密算法的计算机数据安全访问控制技术方案,假定在通信信道可靠、第三方审计机构可信和云计算数据中心忠实的前提下,在现有云计算数据存储安全体系架构基础上使用AES对称加密算法对CDC中的数据文件进行加密处理从而实现USER安全访问,与传统访问控制技术方案相比安全、可靠性更高。该文主要对上述技术方案的参与构成、主要定义、方案内容及重要程序的实现过程进行分析,又通过仿真实验模拟运行环境对该技术应用的可行性和优化路径进行探究,以期为计算机数据安全访问控制提供参考。

城市轨道交通云平台网络安全访问控制技术研究

通过分析城市轨道交通云平台网络安全常见风险及应用实施需求,首先论述访问控制技术的适用性,提出以资源隔离为主,结合安全策略实施的解决方案;其次采取业务系统分区分域的策略对城轨云平台进行边界划分,形成保障系统安全的基础架构,并遵循风险检测与控制的安全标准体系,实现基于主动防御技术的城轨云安全态势感控平台;最后按照等级保护规范的要求,提出一套基于安全标记的强制访问控制技术模型,从安全级别和安全范畴2个维度进行安全标记设计,按照数据敏感度和完整性设定安全级别,按照业务类型和业务区域进行安全范畴的抽象和定义,从而有效支持城轨云平台达到所设计的网络安全标记等级。

基于主从多链的数据分类分级访问控制模型

为解决数据混合存储导致精准查找速度慢、数据未分类分级管理造成安全治理难等问题,构建基于主从多链的数据分类分级访问控制模型,实现数据的分类分级保障与动态安全访问。首先,构建链上链下混合式可信存储模型,以平衡区块链面临的存储瓶颈问题;其次,提出主从多链架构,并设计智能合约,将不同隐私程度的数据自动存储于从链;最后,以基于角色的访问控制为基础,构建基于主从多链与策略分级的访问控制(MCLP-RBAC)机制并给出具体访问控制流程设计。在分级访问控制策略下,所提模型的吞吐量稳定在360 TPS(Transactions Per Second)左右。与BC-BLPM方案相比,发送速率与吞吐量之比达到1∶1,具有一定优越性;与无访问策略相比,内存消耗降低35.29%;与传统单链结构相比,内存消耗平均降低52.03%;与数据全部上链的方案相比,平均存储空间缩小36.32%。实验结果表明,所提模型能有效降低存储负担,实现分级安全访问,具有高扩展性,适用于多分类数据的管理。