面向云計算的訪問控制技術研究.pdf

1、云計算技術使資源共享成為了新時代網(wǎng)絡發(fā)展的主題。數(shù)據(jù)通過托管在云端擺脫了時間、空間上的約束和限制，呈現(xiàn)出管理多級化、描述對象化、存儲隨機化和安全策略動態(tài)化的特點。云端訪問控制技術的研究需要面向復雜、多變的云計算環(huán)境，解決用戶訪問隨機、權限描述多變、資源描述細粒度、資源創(chuàng)建需要結合訪問控制以及安全策略動態(tài)調(diào)整等方面的難題，滿足云端數(shù)據(jù)可信、可靠、可控的安全管理需求。
　　本文針對云計算環(huán)境下訪問控制技術研究面臨的安全問題，綜合分析了

2、云環(huán)境下數(shù)據(jù)的多級多要素管理、細粒度描述、創(chuàng)建、遷移以及生命周期控制等應用場景，并結合基于行為的訪問控制(Action Based Access Control，ABAC)、多級安全模型、代理重加密等理論，探究了云計算環(huán)境下訪問控制的若干關鍵技術，主要研究內(nèi)容如下：
　　(1)研究了多要素訪問控制機制與多級安全相結合的訪問控制模型，提出了基于行為的多級安全訪問控制模型。通過將主體的安全等級、范疇的描述擴展到行為上，實現(xiàn)了BLP模型

3、與ABAC模型的結合。定義了行為的讀、寫安全級別，描述了基本操作的安全規(guī)則，并給出了模型相應的實施方案。該模型為基于多要素的訪問控制模型添加多級安全屬性，能夠解決多級安全訪問控制實施中缺乏時空要素的問題，為目前云計算、移動計算等多種計算模式下信息系統(tǒng)的訪問控制及管理提供了理論和實踐支撐。該模型的研究將是后續(xù)研究內(nèi)容論述的基石，是云計算環(huán)境下訪問控制技術研究的出發(fā)點。
　　(2)為了實現(xiàn)基于行為的多級訪問控制模型中客體對象的多級安全

4、管理和權限細粒度描述，研究了結構化文檔多要素細粒度權限描述機制。針對結構化文檔在復雜網(wǎng)絡環(huán)境下多級安全管理的描述需求，提出了一種面向多級安全的結構化文檔描述模型；針對結構化文檔的對象化、細粒度權限描述需求，提出了一種基于行為的結構化文檔細粒度訪問控制機制，并給出了相應的訪問控制協(xié)議及其相關函數(shù)的Z符號形式化定義，最后給出了上述機制的安全性、適用性等方面的分析和具體實施方案。結構化文檔作為云端數(shù)據(jù)的重要表現(xiàn)形式和信息傳播媒介，在云計算相關

5、安全研究中至關重要，結構化文檔的多級安全與細粒度描述機制的研究是云計算環(huán)境下訪問控制技術中不可或缺的組成部分。
　　(3)結合結構化文檔多要素細粒度描述模型與訪問控制機制，研究云計算環(huán)境下數(shù)據(jù)安全創(chuàng)建與管理的相關技術與機制，提出了一種面向云計算的以用戶為中心的數(shù)據(jù)創(chuàng)建機制(User-centric data secure creation scheme，UCDSC)，包含系統(tǒng)模型、算法和應用協(xié)議。針對算法，通過將主體訪問控制條件引

6、入到代理重加密機制中，提出了一種基于訪問控制條件的代理重加密算法(Access Control Conditions based Proxy Re-encryption，ACC-PRE)，該算法具有CCA安全及主密鑰安全；針對應用協(xié)議，引用成熟的密碼學技術，構建安全、可信的應用協(xié)議，并著重分析上述應用協(xié)議的安全性和算法的性能。最后，給出UCDSC機制在云端文檔創(chuàng)建和管理方面的應用方案和系統(tǒng)框架。數(shù)據(jù)的安全創(chuàng)建基于數(shù)據(jù)細粒度、多級的描述模

7、型，同時也為云端信息多級管理、權限細粒度描述機制的實現(xiàn)提供數(shù)據(jù)基礎。
　　(4)針對云端數(shù)據(jù)周期性管理的特點，結合基于行為的多級訪問控制模型、資源權限細粒度描述機制以及創(chuàng)建機制，面向訪問控制策略動態(tài)變化的需求，提出了一種以資源為中心的動態(tài)自適應訪問控制模型(Resource-Centric Dynamic Adaptive Access Control Model，RCDA)，通過對ABAC模型的擴展，實現(xiàn)了訪問控制策略描述的動態(tài)