摘要：针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。

摘要：动态访问控制模型是构建大数据动态访问控制系统的理论基础,而现有访问控制模型大多只能满足单一情景下的动态访问控制,无法适应大数据上下文环境变化、实体关系变更和客体状态变迁等多类型动态情景中的访问控制。针对上述问题,在现有访问控制模型的研究的基础上,对大数据动态因素进行分析,提出基于场景感知的访问控制(SAAC,scenario-aware access control)模型。将各类型动态因素转换为属性、关系等基本元素;并引入场景信息对各类组成元素进行统一建模;基于场景信息构建大数据动态访问控制模型,以实现对多类型动态因素、扩展动态因素的支持。设计SAAC模型的工作框架,并提出框架工作流程对应的基于场景感知的访问控制模型规则学习算法和SAAC规则执行算法,以实现访问控制规则自动学习和动态访问控制决策。通过引入非传递无干扰理论,分析并验证了对所提模型的安全性。为验证所提模型访问控制策略挖掘方法的有效性,将SAAC模型与ABAC-L、PBAC-X、DTRM和FB-CAAC等基线模型在4个数据集上进行了实验对比。实验结果表明,SAAC模型及其策略挖掘方法的ROC曲线的线下面积、单调性和陡峭度等指标的结果均优于基线模型,验证了所提模型能够支持多类型动态因素和动态因素扩展,其挖掘算法所得的访问控制规则的综合质量相对较高。

摘要：为提高电子病历共享过程中的安全性和灵活性,提出一种基于智能合约的访问控制委托框架,实现不同实体间的电子病历共享,同时还可以授权其它实体对其电子病历进行委托管理。基于3种智能合约,分别用于访问控制、错误访问检测和用户委托,使访问权限和委托权限的授予具有可追溯性。通过私有以太坊系统对访问控制框架进行委托功能实现及性能评估,验证了框架具有较高可扩展性、可靠性和可操作性,对优化电子病历系统具有参考性价值。

摘要：为有效解决现有的支持外包的属性基加密(CP-ABE)方案中不可信云服务商以及恶意用户对系统带来的安全隐患,提出一种可追溯高安全的高效CP-ABE方案。为追踪恶意用户以及预防云服务商为寻求利益从而作恶的可能,搭建双层架构的区块链并分别存储相关加密验证数据以及用户访问记录。引入用户交互和属性结合的双重信任管理机制,增强整个系统的安全性和细粒度。通过外包解密以及数据公开撤销机制提升用户解密速率的同时节省不知情用户因访问撤销数据花费的通信开销。安全性分析结果表明,该方案具有机密性、完整性、问责性以及抗共谋攻击功能,用仿真实验与其它方案对比分析验证了该方案计算开销的优势。

摘要：通过分析城市轨道交通云平台网络安全常见风险及应用实施需求,首先论述访问控制技术的适用性,提出以资源隔离为主,结合安全策略实施的解决方案;其次采取业务系统分区分域的策略对城轨云平台进行边界划分,形成保障系统安全的基础架构,并遵循风险检测与控制的安全标准体系,实现基于主动防御技术的城轨云安全态势感控平台;最后按照等级保护规范的要求,提出一套基于安全标记的强制访问控制技术模型,从安全级别和安全范畴2个维度进行安全标记设计,按照数据敏感度和完整性设定安全级别,按照业务类型和业务区域进行安全范畴的抽象和定义,从而有效支持城轨云平台达到所设计的网络安全标记等级。

摘要：密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing,BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.

摘要：基于API接口的Web应用受到越来越多的网络攻击,据OWASP组织发布的报告,API接口面临10个方面的威胁,由此引发的数据泄漏事件频繁发生,其所产生的网络安全风险,也受到各方的高度关注。本文针对API接口存在的安全漏洞问题进行深入探讨,通过将API接口资源进行抽象化结合角色访问控制技术提出了API接口资源访问控制模型,并对该模型进行设计实现。实验结果表明,满足API接口资源访问灵活的细粒度权限控制要求,最后对模型的改进完善进行了探讨。

摘要：针对跨链身份管理机制过度依赖中继系统和缺乏访问控制支持的局限性,设计了基于非中心化的阈值签名、非中心化身份和可验证证书的用户自主跨链身份管理方案,其中各应用链管理链内用户的跨链身份,中继链只需管理各应用链的跨链身份。用户的跨链操作交易由源链和中继链基于阈值签名机制进行验证,自带验证信息和用户的可验证跨链身份标识凭证,目的链执行访问控制策略。用户可以针对不同场景申请多个不同的跨链身份标识及其凭证并自主控制使用,也能扩展身份标识凭证表达更多的用户属性,用户选择性披露属性,而跨链系统实现更为细粒度的访问控制。

摘要：云计算和微服务已经成为广大开发者和运维人员的首选部署方案。它们具有更高的资源利用率、应用间更低的耦合性和更灵活的架构设计等优点,为人们提供了更多的选择。虽然云计算和微服务降低了复杂系统的开发和运维难度,但随着服务和功能模块的增加,对于外部和模块间访问的控制难度也越来越大。为了以更加简单方便的方式进行微服务的访问控制,本文采用以文献调查为辅、实践为主的方法,基于Istio服务网格进行微服务的访问控制的研究与探索。通过实践,本文发现借助Istio的安全能力,开发和运维人员可以通过在Kubernetes中编写和下发配置文件来方便地开启或对指定服务配置更细粒度的访问控制。新一代服务网格Istio提供了更方便、快捷和安全的信息安全把控和审计能力。

摘要：新型电力系统的建设正朝着云边端一体化方向发展,云边端架构带来灵活性和可扩展性的同时,也带来了数据隐私安全、非法操作、缺乏标准化集成方案等问题。基于此,文章提出一种结合云边端架构特点的基于属性的安全访问控制方案(cloud-edge-device attribute-based access control,CED-ABAC),方案通过边缘融合终端进行重加密,既保护数据安全,又减轻终端设备的通信开销,在策略授权方面,使用可扩展的访问控制标记语言(extensible access control markup language,XACML)设计授权策略和策略匹配算法,实现对多终端访问控制策略的同时下发,更高效地解决标准化集成问题。同时通过实验仿真,证明CED-ABAC方案的效率和性能相比于已有方案具有明显优势。