访问控制

摘要： 智能家居运用物联网技术为用户提供自动化的智能服务,但传统的集中式架构存在机密性和完整性等安全性问题,而现有的分布式架构又存在重复认证、高延迟等问题。针对这些问题,基于区块链和椭圆曲线集成加密技术提出了一种智能家居认证与访问控制方案,同时还引入了边缘计算,降低系统的延迟。并将基于权能的访问控制与区块链相结合,在区块链上存储权能令牌并设计了相应的智能合约以实现安全的访问控制。安全性分析表明,该方案具有去中心化、不可窜改、机密性、完整性和可扩展性等安全特性。在以太坊区块链上进行仿真,并根据计算开销、通信开销和响应时间等指标对方案进行了性能评估。评估结果表明,相比其他方案,该方案计算开销和通信开销更小,响应时间更短,具有明显的优势。

摘要： 传统供应链服务的发展面临诸多痛点,包括造假风险、企业信息孤岛、核心企业信用不能跨级传递、违约风险高等.针对供应链企业信息孤岛以及非法用户对网络资源的非授权访问等问题,本文提出了一种基于智能合约和企业信用的访问控制模型,用以保障果品质量溯源系统的数据安全性和完整性.该模型将RBAC和ABAC相结合,以智能合约作为底层技术,引入企业信用值作为跨域访问的参考属性,利用主体属性与信用值作为决策依据实现域内与域间的访问控制.实验结果表明了本文提出的访问控制模型的有效性.

摘要： 在符合网络安全等级保护2.0标准前提下,部署一套基于IPv6通讯协议的高校智慧教室物联网控制系统,使用SDN技术和TCP/IPv6协议解决原物联网哑终端IPv4地址数不足以及IPv6入网管控等问题,并和出口防火墙联控实现哑终端二层隔离和三层不可达(访问控制)。

摘要： 传统区块链技术处理交易能力弱、吞吐量低,不仅难以处理工业环境下的海量数据,而且其访问控制策略权限管理效率低,安全性不足。针对上述问题,提出一种基于主侧链合作的工业物联网访问控制策略。通过Plasma Cash框架构建高性能DPOS侧链,并根据合约将侧链与主链双向锚定,实现区块链的主侧链扩容。根据工业物联网的节点特点和主侧链区块链的运行环境,设计适用于主侧链环境的访问控制模型,访问控制模型内的主客体信息收集点阻隔外部实体直接访问,信息处理点实现访问控制策略执行与存储分离。将模型编写成图灵完备智能合约后放至侧链上,侧链负责合约的执行并通过稀疏默克尔树算法与主链进行数据的批量同步验证。实验结果表明,该策略可对基于工业物联网的区块链传输速度和稳定性进行有效优化,提高了控制策略的管理效率和安全性,可满足工业物联网中的使用需求。

摘要： 众包测试是众包技术在软件测试领域的应用,它以分布、协作的方式开展测试,得到业界的广泛关注。然而,开放的众测环境和集中式的存储模式使众测知识产权存在泄露和被篡改的风险。为了实现众测知识产权的隐私保护以及可信存储,文中针对不同知识产权提出对应的保护方法。首先,针对众测任务与被测代码,使用AES算法和改进的CP-ABE算法对其进行细粒度的数据访问控制。该算法中的复杂加密操作被外包给可信第三方完成,降低了请求者的计算成本。同时该算法还支持属性的动态撤销,满足前向与后向安全性。此外,利用区块链技术和IPFS,该算法实现了大规模知识产权数据的分布式可信存储与一致性确权,确保存储的知识产权数据不被篡改,并可对链下知识产权进行确权,有助于解决知识产权纠纷。最后,进行性能测试与对比评估,验证了该方法的加解密效率相比以往方法有所提升,区块链性能表现较好;并进行安全性分析,证明了该方案满足安全需求。

摘要： 信息安全领域中的访问控制技术为信息安全增加了一道坚固的屏障,但现有的访问控制技术更注重在用户取得授权之前对用户进行合法性校验和信任度评估,合法用户一经授权便在整个访问周期里都拥有完整权限,合法用户拿到权限后即使进行非法操作也无法对其权限进行收回。该文提出了一种面向访问过程的动态访问控制(access process oriented dynamic access control,APODAC)模型,该模型在原有基于角色控制模型(RBAC模型)的基础上引入用户风险等级评估、权限动态调整等一系列方法,实现了用户基于角色取得最大权限的情况下对用户权限进行实时监控与调整。最后给出了APODAC模型的体系架构,同时还给出了用户行为序列的构建策略、用户风险等级模糊推理器架构以及动态授权算法。APODAC模型实现了访问过程的权限动态控制,为动态权限访问控制提供了新思路。

摘要： 随着云存储的普及,越来越多的文件存储在云存储服务器中而不是用户的计算机中,这使得用户失去了对数据的绝对控制权,数据安全性难以保障.为了解决这一问题,本文提出了一种新的安全云存储系统.这套系统在用户态实现,可以直接架设在计算机的文件系统上,对计算机硬件、软件要求都很低.通过使用分组加密算法和Merkle-B+树的设计提供了端到端的数据加密保护、完整性检查和访问权限控制等功能.本系统使用简单,对于用户来说是完全透明的,降低了用户的使用门槛.对本系统的测试结果显示,本系统架在NFS文件系统上时,在大文件环境下表现出来的I/O性能下降约为5%,这说明本系统在保证用户数据安全性、系统易用性的同时,其性能也是较好的.

摘要： 针对云计算跨域访问策略合成的自动化问题,以实现策略合成双方对聚合资源的保护需求,提出一种云计算环境下基于主体信任度属性和策略相似性合并的自动算子选择机制。通过引入主体信任度属性的相似度来简化复杂的主体信任度计算。同时引入弱一致性算子、异常算子、首次匹配算子对原有的策略合成算子进行扩充,给出了扩充算子的策略合成机制及选择方法,其次,对原有的访问控制策略相似性计算方法进行了改进,以消除合成策略当中的策略冗余。最后通过实验验证了策略相似度分析算法的性能及有效性。

摘要： 针对智慧健康背景下隐私保护和健康信息共享存在矛盾的问题,提出新的属性访问控制系统。首先,在不影响安全性的条件下对Nishide等的密文策略属性加密方案做出修改;然后,利用代理重加密技术对该方案进行功能扩展,得到新的加密方案。最后,基于该加密方案构造了新型属性访问控制系统。系统符合智慧健康的应用需求,允许患者利用用户属性灵活地定义访问控制策略,而且支持患者隐私保护与用户属性废除。安全性分析表明,新系统同时满足正确性、机密性和抗合谋攻击性质。

摘要： 电子健康记录(EHR,Electronic Health Record)是医疗云环境下的典型应用,在云端共享此类数据有助于为患者提供远程医疗服务。然而,已有的同类系统较少同时考虑用户属性隐藏和用户属性废除这两个关键性问题。借鉴广播属性加密(B-ABE,Broadcast ABE)的思想,对Nishide等的属性加密方案进行扩展,得到支持属性隐藏的B-ABE方案。然后,基于该方案设计了在医疗云环境下共享EHR的属性访问控制系统。新系统能对用户的属性进行隐藏,增强了对患者的隐私保护。同时,患者能自主废除用户的访问权限,且无须对系统公开参数和其他用户的私钥执行更新。

摘要： 可信终端身份认证解决方案以数字身份认证管控平台为枢纽,以可信身份数据为核心,与第三方终端安全产品相结合,实现终端信息、身份信息和应用信息动态关联,配合多样的安全认证方式,可信终端身份认证解决方案利用灵活的访问控制模型,强大的身份数据管理系统,实现与终端结合的动态身份认证,重新定义企业可信边界.该方案主要特点如下:1)以用户信息为核心,联动终端信息和应用信息,实现一站式用户生命周期管理;2)具备完善的身份数据管理能力,配合双轨机制,可以实现平滑、无感替换存在安全漏洞的AD域用户数据源;3)落实国家“国产自主可控”政策,与国家信创系统完美结合,通过实现高效安全的终端可信身份认证,形成一套完整的信创终端安全生态合作体系.

摘要： 随着现代信息技术逐步融入企业日常各个方面,信息系统对企业日常工作的支撑作用愈发凸显,企业内部各信息系统的集成应用、信息共享、安全保障已成为企业信息化建设工作的重点和难点.为了更好地体现企业信息化建设工作的成效,企业需要重新构建和升级身份与访问管理体系.ID.LINK全栈式身份与访问管理解决方案以现代化可扩展架构为基础,以统一身份图谱、ABAC模型和低代码身份开发平台为核心技术,致力于为政企客户提供面向新技术应用场景的基础设施级访问控制平台.ID.LINK全栈式身份与访问管理产品主要功能应用场景包括统一身份认证、用户生命周期管理、终端身份认证和敏感数据访问控制.

摘要： 通过建立强制访问控制机制(Mandatory Access Control,MAC)来识别非法数据流以抵御恶意网络攻击,是实现网络云空间信任体系的重要手段.BIBA完整性模型是实现MAC极其重要的一种方法,文章对BIBA模型(标记Label及三个组件:Level、Compartment和Range)进行了详细完整性等级赋值方法设计,通过一阶谓词演算实现逻辑推演,将现实空间转换到数学空间中进行运算,进而保证过程自洽和结果完备,经深入研究网络云空间业务应用后,引入严密理论进行实例化分析,在实体完整性技术上实现突破,为可信操作实现提供保证.

摘要： 文章通过在企业内进行统一身份认证和访问控制管理建设,为用户访问企业存量应用系统提供统一、安全的用户管理和认证服务,为增量业务系统提供统一的人员数据交换服务和集成标准,切实提高了企业整体信息安全防护水平,保障了信息系统安全可靠运行.

摘要： 铁路网络安全是保障铁路生产安全的一个重要环节,全面、综合性的安全保障对于铁路网络安全至关重要.把零信任机制用于铁路网络安全保障,结合铁路网络部署特点,分析了零信任保护的工作思路,介绍了零信任工作框架,以网络边界为保护点,分别进行不同层级网络之间零信任防护,此外在每层网络内不同区域内也进行针对性零信任检测.还给出了零信任防护铁路网络安全的总体设计方案,对零信任用户访问控制与信任评估展开研究,从实际应用的角度对铁路网络安全进行了探索.

摘要： 随着能源互联网战略的持续推进,电力系统"广泛互联、高度智能、开放互动、灵活服务"的全新特征愈发明显,电力业务全面互联网化的发展步伐日益加速,随之而来的是风险暴露面的不断扩大,能源互联网面临着巨大的安全挑战.密码是网络安全的基础设施,利用密码技术能够有效实现身份认证、访问控制、数据加密和信任管理,构建基于密码的安全防护体系是确保能源互联网安全发展的核心任务.提出加快构建以密码为核心的能源互联网综合防护体系,分析了密码技术在坚强智能电网和泛在电力物联网中的创新应用,并对量子密码和区块链等密码新技术的发展前景进行了展望,全面助力能源互联网网络安全主动防御能力建设.

摘要： 零信任已经成为下一代安全趋势,易安联零信任解决方案基于零信任安全思想,遵循软件定义边界安全架构,构建了端到端的组织应用访问全生命周期安全防护.方案包含6大功能模块:统一身份管理通过多因素认证确保用户可信;终端环境感知支持多维度终端环境检查确保终端合规;安界防护平台基于属性的细粒度动态权限策略实现权限可控;安全工作空间多域隔离机制保障业务数据不泄露;数据交换网关使业务系统的接口解耦,保障应用可信;用户行为分析对合法登入的用户持续监控保障行为合规.基于此,易安联零信任解决方案实现了应用访问的可信接入、安全传输、可靠隔离和持续监控,为企事业组织提供“云一管一端”一体化应用访问安全保护,全方位保障组织的网络安全和数据安全.

摘要： 零信任已经成为下一代安全趋势,易安联零信任解决方案基于零信任安全思想,遵循软件定义边界安全架构,构建了端到端的组织应用访问全生命周期安全防护.方案包含6大功能模块:统一身份管理通过多因素认证确保用户可信;终端环境感知支持多维度终端环境检查确保终端合规;安界防护平台基于属性的细粒度动态权限策略实现权限可控;安全工作空间多域隔离机制保障业务数据不泄露;数据交换网关使业务系统的接口解耦,保障应用可信;用户行为分析对合法登入的用户持续监控保障行为合规.基于此,易安联零信任解决方案实现了应用访问的可信接入、安全传输、可靠隔离和持续监控,为企事业组织提供“云一管一端”一体化应用访问安全保护,全方位保障组织的网络安全和数据安全.

摘要： 零信任已经成为下一代安全趋势,易安联零信任解决方案基于零信任安全思想,遵循软件定义边界安全架构,构建了端到端的组织应用访问全生命周期安全防护.方案包含6大功能模块:统一身份管理通过多因素认证确保用户可信;终端环境感知支持多维度终端环境检查确保终端合规;安界防护平台基于属性的细粒度动态权限策略实现权限可控;安全工作空间多域隔离机制保障业务数据不泄露;数据交换网关使业务系统的接口解耦,保障应用可信;用户行为分析对合法登入的用户持续监控保障行为合规.基于此,易安联零信任解决方案实现了应用访问的可信接入、安全传输、可靠隔离和持续监控,为企事业组织提供“云一管一端”一体化应用访问安全保护,全方位保障组织的网络安全和数据安全.

摘要： 零信任已经成为下一代安全趋势,易安联零信任解决方案基于零信任安全思想,遵循软件定义边界安全架构,构建了端到端的组织应用访问全生命周期安全防护.方案包含6大功能模块:统一身份管理通过多因素认证确保用户可信;终端环境感知支持多维度终端环境检查确保终端合规;安界防护平台基于属性的细粒度动态权限策略实现权限可控;安全工作空间多域隔离机制保障业务数据不泄露;数据交换网关使业务系统的接口解耦,保障应用可信;用户行为分析对合法登入的用户持续监控保障行为合规.基于此,易安联零信任解决方案实现了应用访问的可信接入、安全传输、可靠隔离和持续监控,为企事业组织提供“云一管一端”一体化应用访问安全保护,全方位保障组织的网络安全和数据安全.

摘要： 本发明提供了访问控制系统、访问控制设备、访问卡和访问控制方法。一种访问控制系统包括访问卡和分别与一个验证码相对应的一个或多个访问控制设备，访问卡存储标识码、密钥和预先作为至少一个验证码的第一函数计算的权限码，且每个访问控制设备包括：读卡单元；存储单元，存储了主钥和与自身访问控制设备相对应的验证码；身份识别单元，基于从卡读取的标识码和密钥以及主钥，对卡进行身份识别；以及权限判定单元，在身份识别结果为卡具有有效身份时进行权限判定，包括：计算从读取的权限码和与自身访问控制设备相对应的验证码的第二函数；比较计算结果和该验证码；以及根据比较结果判定卡是否具有访问权限。

摘要： 本发明提供一种访问控制装置以及存储介质，根据实施方式，上述访问控制装置具备保留单元、决定请求生成单元、访问决定单元以及解除单元。当资源访问事件开始时，上述保留单元在资源访问单元的访问之前保留上述资源访问事件。上述决定请求生成单元在其保留过程中从上述资源访问单元获取访问请求，生成包括该访问请求的访问决定请求。当接受了上述访问决定请求和访问控制策略时，上述访问决定单元通过该访问控制策略内的禁止型策略从属性管理单元获取属性信息，根据该属性信息和禁止型策略来决定上述访问的允许和拒绝。上述解除单元在上述访问决定应答内的决定结果表示允许时，如果在该访问决定应答内不存在任务型策略，则解除上述保留。

摘要： 本发明提供一种防止数据处理装置非法处理的访问控制装置、访问控制方法及访问控制程序。数据处理部(210)读出(读取)记录在指令码记录部(240)的指令码，并按照指令码通过控制部(211)进行各种数据处理。数据供给部(220)，通过运算部(221)生成、计算和获取用于在数据处理部(210)中进行处理的数据，并存储在寄存器(222)。访问控制部(223)控制对记录在寄存器(222)的数据的访问。具体地讲，访问控制部(223)监视数据处理部(210)所执行的指令码，且仅在正确地执行事先设定的指令码时，才允许对记录在寄存器(222)的数据进行访问。

摘要： 根据本发明的访问控制设备提高了对在存储器中存储的数据的存储器访问效率，所述访问控制设备包括多个存储器组，划分所述数据并将所述数据存储在多个存储器组的不同存储器区域中，所述不同存储器区域是基于对所述多个存储器组的访问地址的预定比特来区分的，并且在访问存储器的相同时钟周期内，同时访问在多个存储器组的不同存储器区域中存储的数据。

摘要： 本发明提供访问控制装置、访问控制集成电路以及访问控制方法。在要保证以一定速率的访问的主设备和要求对访问请求的适应性的处理器访问共享存储器的装置中，保证主设备的一定速率的访问，并与以往相比提高处理器的对应于访问请求的适应性。在主设备上存在着用于向共享存储器访问的资源剩余的状态下，利用给予该主设备的资源以上的资源执行一定速率以上的访问，在执行该一定速率以上的访问的情况下，处理器利用本来分配给该主设备的资源执行向共享存储器的访问。

摘要： 本发明提供访问控制装置、访问控制集成电路以及访问控制方法。在要保证以一定速率的访问的主设备和要求对访问请求的适应性的处理器访问共享存储器的装置中，保证主设备的一定速率的访问，并与以往相比提高处理器的对应于访问请求的适应性。在主设备上存在着用于向共享存储器访问的资源剩余的状态下，利用给予该主设备的资源以上的资源执行一定速率以上的访问，在执行该一定速率以上的访问的情况下，处理器利用本来分配给该主设备的资源执行向共享存储器的访问。

摘要： 本发明提供了访问控制系统、访问控制设备、访问卡和访问控制方法。一种访问控制系统包括访问卡和分别与一个验证码相对应的一个或多个访问控制设备，访问卡存储标识码、密钥和预先作为至少一个验证码的第一函数计算的权限码，且每个访问控制设备包括：读卡单元；存储单元，存储了主钥和与自身访问控制设备相对应的验证码；身份识别单元，基于从卡读取的标识码和密钥以及主钥，对卡进行身份识别；以及权限判定单元，在身份识别结果为卡具有有效身份时进行权限判定，包括：计算从读取的权限码和与自身访问控制设备相对应的验证码的第二函数；比较计算结果和该验证码；以及根据比较结果判定卡是否具有访问权限。

摘要： 访问控制装置(100)在新的程序想要利用存储器等资源开始处理的情况下，即使对应的资源已经被其他执行中的程序确保，如果新的程序的优先级比执行中的程序的优先级高，则也使执行中的程序停止，使新的程序利用资源。

摘要： 本发明提供访问控制装置、访问控制集成电路以及访问控制方法。在要保证以一定速率的访问的主设备和要求对访问请求的适应性的处理器访问共享存储器的装置中，保证主设备的一定速率的访问，并与以往相比提高处理器的对应于访问请求的适应性。在主设备上存在着用于向共享存储器访问的资源剩余的状态下，利用给予该主设备的资源以上的资源执行一定速率以上的访问，在执行该一定速率以上的访问的情况下，处理器利用本来分配给该主设备的资源执行向共享存储器的访问。

摘要： 本发明提供一种防止数据处理装置非法处理的访问控制装置、访问控制方法及访问控制程序。数据处理部(210)读出(读取)记录在指令码记录部(240)的指令码，并按照指令码通过控制部(211)进行各种数据处理。数据供给部(220)，通过运算部(221)生成、计算和获取用于在数据处理部(210)中进行处理的数据，并存储在寄存器(222)。访问控制部(223)控制对记录在寄存器(222)的数据的访问。具体地讲，访问控制部(223)监视数据处理部(210)所执行的指令码，且仅在正确地执行事先设定的指令码时，才允许对记录在寄存器(222)的数据进行访问。