目前,传统的RBAC(Role-Based Access Control)访问控制模型在支持细粒度服务和角色迁移的可控性上存在一定不足.针对这些不足,结合开放式网络环境的实际情况,文中提出了量化服务的概念,实现了一种基于细粒度角色和服务的访问控制机制,给出了一个形式化的基于量化服务和角色的访问控制模型QSRBAC(Quantified Services and Roles Based Access Control).该模型提供了灵活的访问控制粒度,支持对角色和服务的多角度访问控制,支持权限动态调整和条件角色迁移,可以用于大规模开放式网络环境.经测试,在百万规模规则的情况下,基于该模型的访问控制系统内存占用9.6GB以下,平均规则执行时间20μs以内.实验结果证明,该模型可以满足访问控制的效果和时间要求,它的应用显著增强了访问控制过程的可管理性.
随着计算机网络的迅猛发展和大数据时代的到来,数据越来越频繁地呈现出多属性异构的特点.这种包含多种不同类型属性的大数据流称为异构大数据流(Heterogeneous Big Data Streams).在面向大规模数据在线监测分析的应用中,通常需要在异构大数据流上注册大规模监测规则.因此,对于每一个数据流元组,必须用最小的计算开销满足所有的规则.同时,由于大数据流上监测规则集异常庞大,提高规则监测的性能是大规模数据流在线监测的关键.基于此,该文提出一种层次化的索引结构H-Tree及其在线规则匹配算法.具体的,H-Tree将大数据流上的属性集划分为离散型属性和连续型属性.基于不同的属性集,构建两层索引结构:在第1层,通过改进的红黑树对离散型谓词构建触发索引;在第2层,通过量化连续型谓词构建多维索引结构.H-Tree的在线规则匹配算法利用关联关系表对两层索引的监测结果进行融合过滤.实验分析表明,与经典的R+方法相比较,H-Tree通过层次化的索引结构,在不降低准确度的前提下,显著提升了大数据流的监测效率.
随着人们隐私保护意识的提高,匿名通信系统获得了越来越多的关注.I2P(invisible Internet project)是当前应用最广泛的匿名通信系统之一,与Tor(另一种非常流行的匿名通信系统)网络类似,I2P采用大蒜路由的方式隐藏通信双方的通信关系,即通过使用包含多个节点的隧道,使得隧道中的任意单一节点都不能同时获知通信双方的身份信息.然而,如果能够共谋同一隧道的两端节点或是能同时观察到I2P通信链路进、出I2P网络的流量,攻击者依然可以通过流量分析的方法对通信的双方进行关联,进而破坏I2P网络的匿名性.通过分别从I2P网络内部攻击者和传输路径上外部网络攻击者的角度,对当前I2P路径选择过程中可能面临的共谋攻击威胁进行分析,结果显示,I2P网络当前的路径选择算法并不能有效地防范内部攻击者和外部网络攻击者,I2P网络的匿名性仍然面临着巨大的共谋攻击威胁.
