网格环境下授权策略的研究

针对网格环境下授权的特性,分析了现有网格授权机制和访问控制模型的缺陷,提出了适用网格环境的TSRBAC授权模型.该模型以虚拟组织为基础,改进了RBAC策略,实现了权限的分布式管理和动态授权.通过将角色分离,满足了资源动态性和策略自主性的要求,适应了网格环境的特点.给出了该模型中概念的定义和形式化描述,并用该模型改进了CAS系统.     

网格计算环境的一种基于信任度的授权委托机制

针对网格计算环境下跨域授权过程的委托服务需求,在现有的RBDM和RT模型基础上,结合主观信任机制对委托过程进行信任协商,实现角色和权限的授权委托过程,并给出了细粒度的授权委托策略,最后对委托过程中的主观信任机制进行仿真,证实了使用信任度实现对委托过程控制的有效性.     

基于属性的安全增强云存储访问控制方案

为了保证云存储中用户数据和隐私的安全,提出了一种基于属性的安全增强云存储访问控制方案。通过共用属性集,将基于属性的加密体制(ABE)与XACML框架有机结合,在XACML框架上实现细粒度的基于属性的访问控制并由ABE保证数据的机密性。考虑到数据量很大时ABE的效率较低,因此,云存储中海量敏感数据的机密性用对称密码体制实现,ABE仅用于保护数据量较小的对称密钥。实验分析表明,该方案不仅能保证用户数据和隐私的机密性,而且性能优于其他同类系统。     

基于授权的多服务器可搜索密文策略属性基加密方案

针对现有属性基可搜索加密方案缺乏对云服务器授权的服务问题,该文提出一种基于授权的可搜索密文策略属性基加密(CP-ABE)方案。方案通过云过滤服务器、云搜索服务器和云存储服务器协同合作实现搜索服务。用户可将生成的授权信息和陷门信息分别发送给云过滤服务器和云搜索服务器,在不解密密文的情况下,云过滤服务器可对所有密文进行检测。该方案利用多个属性授权机构,在保证数据机密性的前提下能进行高效的细粒度访问,解决数据用户密钥泄露问题,提高数据用户对云端数据的检索效率。通过安全性分析,证明方案在提供数据检索服务的同时无法窃取数据用户的敏感信息,且能够有效地防止数据隐私的泄露。     

基于属性的多授权中心身份认证方案

针对现有的基于属性的身份认证方案均是基于单授权中心实现的,存在密钥托管问题,即密钥生成中心知道所有用户的私钥,提出了一种基于属性的多授权中心的身份认证方案.所提方案结合分布式密钥生成技术实现用户属性私钥的(t,n)门限生成机制,可以抵抗最多来自t-1个授权中心的合谋攻击.利用双线性映射构造了所提方案,分析了所提方案的安...     

移动云中支持健康数据共享的可追责大属性多授权CP-ABE方案

在移动医疗健康(mHealth)云中,为实现对个人健康信息(PHR)数据安全共享以及细粒度访问控制,本文提出了一种高效、安全的基于移动健康云的多权限大属性PHR访问控制方案。该方案在素数阶群上构造,支持密文在LSSS访问结构下加密并与属性相关联,与此同时,将权限泄露给未授权实体的恶意用户放入身份信息表中并精确追踪。在q-DPBDHE2假设下,该方案在随机预言模型中被证明具有静态安全性。仿真实验在Charm密码框架中实现,与其他方案相比,本文方案具有更好的性能优势以及更高的计算效率。     

基于区块链的多授权密文策略属性基等值测试加密方案

针对云环境下密文策略属性基加密方案中存在的密文检索分类困难与依赖可信第三方等问题,本文提出了一种基于区块链的多授权密文策略属性基等值测试加密方案．利用基于属性的等值测试技术,实现了支持属性级灵活授权的云端数据检索和分类机制,降低了数据用户对重复数据解密的计算开销．结合多授权属性基加密机制和区块链技术,实现了去中心化用户密钥生成．采用多属性授权机构联合分发密钥,有效抵抗用户和属性授权机构的合谋攻击．引入区块链和智能合约技术,消除了现有密文策略属性基密文等值测试方案中等值测试、数据存储与外包解密操作对可信云服务器的依赖．利用外包服务器执行部分解密计算,降低了用户本地的计算开销．将原始数据哈希和验证参数上传至区块链,保障外包服务器解密结果正确性和云端数据完整性．在随机预言模型下,基于判定性qparallel Bilinear Diffie-Hellman Exponent困难问题证明了本文方案在选择密文攻击下的单向性．与同类方案相比较,本文方案支持更多的安全属性,并具有较低的计算开销．     

SOA:一种面向服务的网格授权系统

随着面向服务的网格技术的发展和应用,如何解决访问资源的授权成为一个关键性问题.本文通过对当前授权系统的概述和分析,设计了一种面向服务的网格授权系统(service-oriented authorization system for grid,SOA).通过设计网格平台的集中授权服务,并与Globus Toolkit 4进行验证测试,显示SOA系统性能良好,能够为网格应用提供细粒度的、灵活的基于属性的授权保护.     

电子政务中基于角色的交叉集散授权策略

为了能够准确、有效、安全地为参与电子政务的部门或人授权,针对权限交叉带来的管理混乱现象,论文构建了基于角色的扩展授权模型(ExtendedRole-BasedAuthorizationModel,简称ERBAM),使用向上查询授权人的集中与分散授权方法,提出了基于角色的交叉集散授权策略,有效解决了电子政务中权限有交叉的授权管理问题。该方法已经成功应用于某电子政务系统。     

一种多属性网格任务调度算法及仿真研究

为使网格任务调度时能更多地考虑任务和资源之间的各种属性.通过对常用静态调度算法的分析,吸收了Min-min和Max-min等算法的思想,将影响网格任务调度的诸多属性归纳为两类因素.提出了一种针对多属性任务的调度算法MASA,经过截断处理、归一化、加权计算等方法得出任务与资源之间的匹配矩阵,指导任务调度.仿真实验测试结果表明,在相同任务和资源环境下,通过改变不同属性的加权系数能得到所期望的调度结果,使具有高加权系数属性的任务在调度时更具优势.此算法具有灵活性,属性可增可减,能根据具体情况进行配置,以满足具体应用需求.     

移动网格服务安全机制的研究

定义了移动网格服务的安全性、安全级别及安全协议簇,给出了一种利用XML安全技术确保移动网格服务安全的新架构。同时还讨论了架构中消息的安全交互问题,分析了基于策略的XACML访问控制服务组件,设计了移动网格服务的XKMS密钥管理服务组件架构,并给出了XKMS服务的具体实现过程。     

基于角色的网格授权策略的一致集成服务

提出一种动态捕获和集成本地变更的授权策略的服务框架,保障共享资源持续可用。并给出一组调解算法,可把对VO授权系统调整的影响降低到最小。     

基于扩展XACML的策略管理

在XACML(extensible access control markup language)和其管理性策略草案的基础上,针对目前XACML访问控制框架的特点,提出将XACML策略管理权限判定归结为利用委托策略对一个委托判定请求的判定,使用XML(extensible markup language)模式定义了此委托判定请求语法,描述了将策略管理请求规约为一个委托判定请求的过程,以及根据委托策略进行委托判定请求的判定过程,通过这种方法可以利用委托策略,对策略管理请求是否有效进行判断,从而实现基于扩展XACML的策略管理。     

主动网安全授权机制的设计

以可编程交换机方案＾「１」为基础,以主动网络的节点安全为出发点,设计了一种主动网安全授权机制。设计要点包括划资源对象,定义对象操作集,建立层次化授权与用户管理结构,实现权限分级与授仅自动委托以及利用加密、摘要与签名算法保证授权的正确性和守整性。     

基于WSRF的制造网格资源共享机制研究

分析了Web服务资源构架（WSRF）的规范和研究现状，探讨了制造网格的主要特征和体系结构，提出了一种基于WSRF的制造资源的封装机制．将制造资源封装为WS—Resource结构的制造网格资源，有效地屏蔽了资源的复杂性和异构性。在此基础上，设计了基于UDDI和WSRF的制造网格资源集成框架，阐述了设计思想，井进行了详细的功能分析．该框架可以方便地实现异构分布的制造资源之间的共享和协作。     

面向移动互联网的网络编程接口授权技术研究

介绍了面向移动互联网的网络编程接口技术及其授权技术业务需求,对目前主流的几种授权技术和标准进行了分析,并提出了研究面向移动互联网网络编程接口的公共认证授权体系的考虑和思路。     

Enhancing Privacy and Authorization Control Scalability in the Grid Through Ontologies

The use of data Grids for sharing relevant data has proven to be successful in many research disciplines. However, the use of these environments when personal data are involved (such as in health) is reduced due to its lack of trust. There are many approaches that provide encrypted storages and key shares to prevent the access from unauthorized users. However, these approaches are additional layers that should be managed along with the authorization policies. We present in this paper a privacy-enhancing technique that uses encryption and relates to the structure of the data and their organizations, providing a natural way to propagate authorization and also a framework that fits with many use cases. The paper describes the architecture and processes, and also shows results obtained in a medical imaging platform.