A distributed authentication and authorization scheme for in-network big data sharing

Big data has a strong demand for a network infrastructure with the capability to support data sharing and retrieval efficiently. Information-centric networking （ICN） is an emerging approach to satisfy this demand, where big data is cached ubiquitously in the network and retrieved using data names. However, existing authentication and authorization schemes rely mostly on centralized servers to provide certification and mediation services for data retrieval. This causes considerable traffic overhead for the secure distributed sharing of data. To solve this problem, we employ identity-based cryptography （IBC） to propose a Distributed Authentication and Authorization Scheme （DAAS）, where an identity-based signature （IBS） is used to achieve distributed verifications of the identities of publishers and users. Moreover, Ciphertext-Policy Attribnte-based encryption （CP-ABE） is used to enable the distributed and fine-grained authorization. DAAS consists of three phases： initialization, secure data publication, and secure data retrieval, which seamlessly integrate authentication and authorization with the in- terest/data communication paradigm in ICN. In particular, we propose trustworthy registration and Network Operator and Authority Manifest （NOAM） dissemination to provide initial secure registration and enable efficient authentication for global data retrieval. Meanwhile, Attribute Manifest （AM） distribution coupled with automatic attribute update is proposed to reduce the cost of attribute retrieval. We examine the performance of the proposed DAAS, which shows that it can achieve a lower bandwidth cost than existing schemes.

基于场景感知的访问控制模型

动态访问控制模型是构建大数据动态访问控制系统的理论基础,而现有访问控制模型大多只能满足单一情景下的动态访问控制,无法适应大数据上下文环境变化、实体关系变更和客体状态变迁等多类型动态情景中的访问控制。针对上述问题,在现有访问控制模型的研究的基础上,对大数据动态因素进行分析,提出基于场景感知的访问控制(SAAC,scenario-aware access control)模型。将各类型动态因素转换为属性、关系等基本元素;并引入场景信息对各类组成元素进行统一建模;基于场景信息构建大数据动态访问控制模型,以实现对多类型动态因素、扩展动态因素的支持。设计SAAC模型的工作框架,并提出框架工作流程对应的基于场景感知的访问控制模型规则学习算法和SAAC规则执行算法,以实现访问控制规则自动学习和动态访问控制决策。通过引入非传递无干扰理论,分析并验证了对所提模型的安全性。为验证所提模型访问控制策略挖掘方法的有效性,将SAAC模型与ABAC-L、PBAC-X、DTRM和FB-CAAC等基线模型在4个数据集上进行了实验对比。实验结果表明,SAAC模型及其策略挖掘方法的ROC曲线的线下面积、单调性和陡峭度等指标的结果均优于基线模型,验证了所提模型能够支持多类型动态因素和动态因素扩展,其挖掘算法所得的访问控制规则的综合质量相对较高。

基于自适应神经模糊理论的医疗数据安全评估模型设计

医疗中的隐私数据是医疗领域的核心资产,但是大多数医院都缺少应对外界和内部窃取数据操作的反制手段,医疗行业成为隐私泄露的一个重点行业。因此,提出一种基于风险访问控制的安全评估模型,该模型引入了用户信任值,能够提高模型的判断准确率,并且通过人工神经网络和模糊理论建立了模型,能够对用户的风险状况进行预测。实验结果表明,基于风险自适应的访问控制模型能够很好地应对用户数量过多的问题,并且在用户数量较低时,也能表现出较为良好的模型性能,基于自适应的神经模糊理论访问控制模型的不同科室评价分数分别为96.6、91.3、87.6、86.5。研究结果表明,提出的自适应神经模糊理论访问控制模型能够在医疗数据中针对不同用户的需求提供对应的权限,有效防止患者个人隐私数据的泄露,并且使得用户获取信息的效率得到最大化。

基于随机策略更新的大数据访问控制方案及实验分析

文章主要探究了基于随机策略更新的大数据访问控制方案的设计内容,并通过仿真实验对其应用效果进行了验证。设计仿真实验,将本方案与基于动态策略更新的隐藏属性加密方案进行对比。结果表明,在属性个数相同的情况下,本方案下系统进行数据加密的用时更短,在保证数据安全的前提下提高了系统运行效率。

基于机器学习的匿名大数据访问控制系统设计

为提高大数据环境下访问控制效率与数据匿名性,保障用户隐私和数据安全,本研究设计了一种基于机器学习技术的新型匿名大数据访问控制系统。通过对当前大数据访问控制技术、机器学习在访问控制中应用及匿名技术的发展与应用深入分析,采用B/S架构匿名大数据访问控制系统框架,系统软件模块主要由数据预处理、机器学习模型训练与评估、访问控制决策以及用户界面模块构成,为验证系统功能有效性进行了详细的对比实验。结果表明,该系统能提高大数据访问控制精确性与处理速度,有效保护数据的匿名性,本研究成果证明了采用机器学习技术优化大数据访问控制系统可行性与有效性。

基于演化博弈的大数据信息泄漏风险访问控制模型设计

大数据信息泄漏会导致网络主机所承担的运行风险增加,严重时下级网络终端会出现无法访问大数据信息服务器的情况;针对上述问题,设计了基于演化博弈的大数据信息泄漏风险访问控制模型;以演化博弈模型为基础,完成对大数据信息均衡点的演化处理,求解信息博弈概率,推导演化博弈模型表达式,从而完善基于演化博弈的大数据信息模糊化处理流程;计算大数据信息泄漏行为的信任度标准,参考信息监控器设置条件,实现对大数据信息泄漏风险的评估;针对风险评估结果,完成大数据信息的访问证据取样,计算访问控制阈值,实现对信息泄漏风险访问的控制,完成基于演化博弈的大数据信息泄漏风险访问控制模型的设计;实验结果表明,所提方法的大数据信息瞬时泄漏量始终小于2.3×10^(11)MB,网络主机所承担的运行风险得到有效控制,下级网络终端不会出现无法访问大数据信息服务器的情况。

国网大数据平台中的安全存储与访问控制机制研究

文章通过引入安全哈希函数、数字签名、分布式存储、动态数据加密及基于属性的访问控制等技术,构建了一套完善的安全管理体系。实验基于Linux平台、VMware虚拟机、Hadoop大数据平台的仿真环境,验证了所提出方法的可行性和性能。实验结果表明,哈希函数和数字签名有效保障了数据的完整性和真实性,分布式存储方案具有较强的冗余和容错性,基于属性的访问控制机制能够精确控制用户访问系统资源。

基于区块链的医疗数据分级访问控制与共享系统

针对当前医疗数据共享时访问控制粒度过粗、共享灵活性低、集中式医疗数据共享平台存在数据泄露的安全隐患等问题,提出一种基于区块链的医疗数据分级访问控制与共享系统。首先,对医疗数据按照敏感度分级,并提出了密文策略属性基分级加密(CP-ABHE)算法,实现对不同敏感度医疗数据的访问控制。该算法使用合并访问控制树和结合对称加密方法提升密文策略属性基加密(CP-ABE)算法的性能,并使用多授权中心解决密钥托管问题。然后,采用基于许可区块链的医疗数据共享模式解决集中式共享平台存在的中心化信任问题。安全性分析结果表明,所提系统在数据共享过程中保证了数据的安全性,可以抵御用户合谋攻击和权威合谋攻击。实验结果表明,CPABHE算法拥有比CP-ABE算法更低的计算开销,所提系统的最大平均时延为7.8 s,最高吞吐量为每秒处理236个事务,符合预期性能要求。

基于区块链智能合约的大数据安全

针对大数据V值性、多个所有者参与、增量水印和大覆盖等因素,提出一种大数据货币化场景中基于区块链和智能合约的大数据水印算法。该算法通过注册阶段获得登录凭证以进行后期身份验证,基于星际文件系统(Interplanetary File System,IPFS)来上传水印数据以解决各种安全问题,采用代理重加密技术进行访问控制以保证数据交易的安全性,智能合约支付系统通过实施规则来确保支付过程中的公平、透明、安全和隐私。实验结果证明了该算法在执行气体成本方面的可行性和有效性,并且不受拒绝服务攻击、中间人攻击和水印攻击等影响。

基于改进属性加密的多源大数据安全访问控制

用户在访问多源大数据的共享过程中,易被恶意用户盗取隐私数据,导致多源大数据文件的安全性较低。为此,提出基于改进属性加密的多源大数据安全访问控制方法。构建基于密文策略属性加密(CP-ABE)的多源大数据安全访问控制模型,利用属性、访问结构、访问树三部分组成CP-ABE,通过生成主密钥和私钥、加密多源大数据、生成私钥以及解密密文四个步骤控制多源大数据安全访问,并通过全面定义主密钥和公钥的生成、加密多源大数据文件、获取访问用户授权和读写该数据文件、控制访问用户权限,改进CP-ABE,将CP-ABE与多源大数据安全访问控制模型有效结合,提高多源大数据安全访问控制效果。实验结果表明,该方法产生私钥的效率较高、存储开销较低,可提高加密多源大数据的安全性,阻止恶意用户任意访问多源大数据文件,保障数据安全。

面向医疗大数据的网络数据安全存储检索系统的设计及实验分析

随着智慧医疗的成熟发展,如何实现海量医疗数据的安全存储、高效检索、整合利用成为热门研究课题。本文设计了一种面向医疗大数据的网络数据安全存储检索系统,该系统由分类模块、安全模块、存储模块和检索模块四部分构成,可以将客户端接收的原始医疗数据进行分类后加密存储,保证数据安全性。利用Hash表中的key值读取文件并精准获取符合检索条件的医疗数据,提高了检索效率。从实验结果来看,本文设计的安全存储检索系统,相比于传统的HDFS直接存储方式,能够将数据检索效率提升4~10倍,节约了大量的检索时间;同时,使用访问权限认证和AES加密算法双重保护,确保了医疗数据的安全性,实验效果符合设计预期。

基于浏览器隔离技术的大数据安全访问研究

大数据应用的普及带来了诸多安全挑战,其中针对不可信用户环境的安全访问控制是关键问题之一。对主流终端隔离技术进行了分析,提出基于远程浏览器隔离技术的大数据应用服务访问防护方法,综合采用了Web代理、远程隔离浏览器资源池、DOM重构等技术,在不可信的用户终端环境与大数据应用服务之间形成一个安全可控的隔离屏障,通过两条相互独立访问通道,实现用户与大数据应用服务的业务交互,在用户使用便捷性、安全防护可控性、系统改造复杂性之间实现较好的平衡。

大数据访问控制研究

大数据时代的到来,使得数据成为了重要的经济资产.为了更好地利用它们,有偿或无偿的共享数据将是一种趋势.作为确保大数据安全分享重要技术之一的访问控制技术也将在大数据时代发挥重要作用.该文首先对大数据及大数据应用的新特点进行分析,并提炼出这些新特点为访问控制领域带来的五个迫切需要解决的新问题:授权管理问题、细粒度访问控制问题、访问控制策略描述问题、个人隐私保护问题,以及访问控制在分布式架构中的实施问题.接着对相关访问控制关键技术的研究现状进行了梳理,包括角色访问控制、风险访问控制、半/非结构化数据的访问控制、针对隐私保护的访问控制、世系数据相关的访问控制、基于密码学的访问控制等.虽然这些现有技术不一定能直接应用于大数据场景,但是它们都可以被大数据访问控制的研究所借鉴,以解决大数据带来的上述访问控制的新问题.在此基础上,总结并提炼了若干大数据访问控制所呈现的新特点:判定依据多元化、判定结果模糊化、多种访问控制技术融合化.最后,对未来大数据访问控制的研究进行了展望,给出了一些有待研究的问题.该文认为大数据应用的发展将为访问控制技术的研究提出许多新的挑战,同时也将带来巨大的机遇,这必将引起访问控制技术的一次重大变革.

基于数据敏感性的大数据访问控制模型研究

最近大数据的增长正在引发安全和隐私问题,传统的访问控制模型难以对海量数据提供动态的访问控制。针对Hadoop云平台的数据安全问题,提出了一个基于数据敏感性的Hadoop大数据访问控制模型。模型利用数据内容、使用模式和数据敏感性来强化访问控制策略,在评估数据敏感性上用户干预最小,能根据数据集的增加和删除所引起的数据敏感性变化来调整访问控制策略。实验结果表明,该模型能够以较少的开销增强对非多媒体数据集的访问控制,解决了现有Hadoop平台中访问控制模型安全性的不足。

大数据环境下云数据的访问控制技术研究

传统的数据访问控制技术相对完善,基本可以达到保护数据资源不被非法访问的目的,可是随着计算机和网络技术的发展,云计算时代到来,数据的计算模式和存储模式都发生了翻天覆地的变化。有效地将数据访问控制技术应用到大数据环境下的云数据安全维护是如今云计算发展的重要项目。面对这个挑战,着重从访问控制模型、ABE密码机制和多用户访问控制等方面对大数据环境下云数据的访问控制进行研究。

云计算中基于密文策略属性基加密的数据访问控制协议

云计算提供一种新兴的数据交互模式,实现了用户数据的远程存储、共享和计算。由于云计算的系统复杂性、网络开放性、资源集中性以及数据敏感性等特点,使得用户与云服务器的交互过程面临着严峻的安全威胁,成为云计算安全领域亟待解决的关键问题。文章首先介绍了云计算系统的系统组件、信任模型和攻击模型,针对云计算系统中的数据安全访问问题,提出了基于密文策略属性基加密的访问控制协议。该协议利用切比雪夫映射的半群特性实现了用户身份的合法性认证,并设计轻量级的属性加密算法实现用户数据的可靠性授权。同时,该协议主要引入身份认证、访问控制和前向安全性机制,实现用户身份真实性认证和数据可靠性访问。通过协议存储需求分析,表明该协议在数据属性集和密钥存储方面具有固定的存储空间需求,避免海量数据交互中用户存储空间的线性增长。通过分析,表明该协议具有较强的可靠性、灵活性和扩展性,适应于云环境中大规模数据交互的应用场景。

大数据交换信息链

数据流动和共享是大数据产业发展的基础,但由于数据本身的特殊性和当前数据交易模式机制不健全等原因,当前数据交易进展缓慢。基于对区块链技术的研究,设计了一种大数据交换信息链,能够促进交易数据在交易双方之间的安全、有效流转,且保证数据提供者的合法权益,实现了对流动数据的管理和监控。

大数据安全与隐私保护研究进展

当前,用户数据的安全与隐私保护无疑成为大数据环境中最为重要的问题之一,而其最彻底的解决方式是通过加密所有数据来完成.因此,新的加密技术和在密文域上探索高效的大数据处理新模式是国内外当前的研究热点.在贯穿于整个数据生命周期中,密文域上的计算、访问控制和数据聚合(分别称为密文计算、密文访问控制和密文数据聚合)等问题已成为该领域的核心问题.主要针对密文计算、密文访问控制和密文数据聚合等当前国内外研究的现状进行综述,指出其存在的问题与不足.在此基础上,重点介绍了文章作者团队在大数据安全与隐私保护方面的最新研究成果.在密文计算方面,提出了通过减少公钥加密使用次数来设计高效的隐私保护外包计算的新方法,并设计了不依赖于公钥(全)同态加密,仅需一次离线计算任意单向陷门置换来实现安全外包计算的新方案.在密文访问控制方面,提出了支持大属性集合的、短密文的高效可追踪、可撤销属性基加密方案.在密文数据聚合方面,提出了不依赖于加法同态加密的、保护个体数据隐私且仅由授权接收方可成功解密聚合结果的高效隐私保护外包聚合方案.最后,还指出了该领域当前研究中需要解决的公开问题和未来的发展趋势.

智慧城市中大数据安全分析与研究

人类社会已经全面进入信息时代,现代社会的信息量和复杂度已经远远超过人们在一二十年前对信息社会的设想。如何使得大数据在国家法律框架内被科学合理地使用,协调并处理好大数据开放与信息安全防护的矛盾,是当前大数据和信息安全研究者面临的主要问题。智慧城市通过有效运用现代计算机和通信技术实现城市的可持续健康发展。随着智慧城市建设与实施中的大数据系统数量迅速增长,数据的采集、传输、存储、审计等环节正面临巨大的安全挑战,大数据安全是智慧城市建设的基础与保障。文章分析了智慧城市中大数据存储、应用、管理过程中的安全策略,介绍了基于多标签的大数据安全访问控制模型,数据所有者可以根据实际安全需求对数据添加安全标签并实施安全访问控制。文章最后以伦敦智慧城市建设为例分析了大数据在智慧城市中的关键作用。

物流大数据中支持属性撤销的访问控制机制

物流大数据中包括顾客信息、物流状态等信息,对物流公司、制造商、经销商等企业都有着重要的作用.然而,物流大数据的泄露会给用户和物流公司带来严重的安全隐患.为了有效、安全地将这些数据分发给制造商、营销商等企业用户使用,本文基于可信审计中心和密文策略基于属性的加密技术,提出了一种支持属性撤销的细粒度访问控制方案.安全分析表明,所提方案可以实现细粒度访问控制、隐私保护和安全属性撤销.