面向云数据共享的多模式安全访问控制技术研究-计算机技术专业毕业论文.docxVIP

独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密□ ，在 年解密后适用本授权书。 本论文属于  不保密□。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 华中科 技 大学 华 中 科 技 大 学 硕 士 学 位 论 文 I I 摘 要 随着云存储技术的快速发展，其衍生的服务亦日趋多元化，云数据共享是云存 储平台的主流服务之一。通过分析当前云环境的动态性和开放性特点，基于身份访 问控制不适应于海量用户中实现数据共享，基于角色的访问控制存在扩展性和适应 性差，且在跨域数据共享存在不可调和的角色冲突，目前采用静态授权方式的基于 属性访问控制，没有考虑用户属性的动态变化会引起访问权限的变更等问题。因此 上述访问控制策略已无法适应高度开放和多元化数据共享服务的云存储环境。 针对云的不同应用场景，从逻辑上将云数据划分为三个访问域，个人域，群组 域和公共域，设计并实现一种可协同工作的多模式安全访问控制系统，根据不同域 中数据访问特点采取不同的访问控制策略。利用公私钥加密方案实现数据机密性和 完整性保证；在现有属性访问控制基础上，引入动态属性的概念，采用多叉树结构 表达访问策略，设计能够支持动态授权的动态属性访问控制策略，以满足公共域访 问控制的自适应需求；基于 XACML 设计了一种统一的访问控制策略描述语言，简 化了不同场景下数据共享时访问策略的制定；基于令牌规则在云端利用混淆令牌对 密文数据进行二次处理，通过更新合法用户的混淆令牌，从而实现高效安全的用户 权限的立即回收。 测试结果表明，访问控制开销控制在毫秒量级（10ms），相较于网络延迟和加 解密操作开销而言，在提供安全保障的同时，维持了云存储系统的高性能；用户权 限回收时采用基于令牌规则的密文处理其性能开销远小于重加密引起的性能开销。 关键词：数据共享 访问控制 动态属性 访问策略 令牌 II II Abstract With the development of cloud storage technology, its derivative services have become more diversified. Data Sharing will become one of the mainstream service in the cloud storage. Through the analysis of the characteristics of cloud, it is found that the IBAC does not adapt to the huge number of user for data sharing, RBAC has the problem of expansibility and adaptability and it will be difficult to solve the role conflict while sharing data cross domain, ABAC using static authorization method has the attribute revocation problem. These passive access control is now not suitable for highly open and diversified needs of cloud environment. To meet different needs of the cloud storage, the cloud data is split into three logic area, that is private area, group area and public area. We design and implement an self-adapting and extendible multi-mode security access con