《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 私有云環(huán)境下基于加密體制的訪問(wèn)控制應(yīng)用研究
私有云環(huán)境下基于加密體制的訪問(wèn)控制應(yīng)用研究
2019年電子技術(shù)應(yīng)用第7期
楊豪璞,劉繼光,沈 斌
中國(guó)人民解放軍92493部隊(duì),遼寧 葫蘆島125000
摘要: 隨著云計(jì)算技術(shù)的廣泛應(yīng)用,云中的數(shù)據(jù)安全問(wèn)題逐漸引起重視,尤其是在政務(wù)、銀行、企業(yè)、軍隊(duì)等私有云領(lǐng)域內(nèi),對(duì)數(shù)據(jù)資源的安全、高效、準(zhǔn)確應(yīng)用要求極高?;诖吮尘?,研究私有云環(huán)境下基于密文的訪問(wèn)控制技術(shù),首先介紹了傳統(tǒng)訪問(wèn)控制原理與典型模型,然后分析在私有云環(huán)境下的應(yīng)用特點(diǎn),在此基礎(chǔ)上提出基于加密體制的訪問(wèn)控制應(yīng)用方案,并對(duì)其應(yīng)用流程進(jìn)行分析。
中圖分類號(hào): TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.190298
中文引用格式: 楊豪璞,劉繼光,沈斌. 私有云環(huán)境下基于加密體制的訪問(wèn)控制應(yīng)用研究[J].電子技術(shù)應(yīng)用,2019,45(7):81-84.
英文引用格式: Yang Haopu,Liu Jiguang,Shen Bin. The research of access control application based on encryption in private cloud environment[J]. Application of Electronic Technique,2019,45(7):81-84.
The research of access control application based on encryption in private cloud environment
Yang Haopu,Liu Jiguang,Shen Bin
Unit 92493 of PLA,Huludao 125000,China
Abstract: As the extensive use of cloud computing technology, the security of cloud data raises more attention,especially in some private cloud areas like government, bank, enterprise and army. Based on this background, this paper focuses on the research of cipher text-based access control technology in private cloud environment. Firstly, the traditional theory and typical models of access control technology are introduced. Then, the special features of access control technology applying in private cloud environment are analyzed. Based on that, the application program of encryption-based access control in private cloud and the application process are proposed.
Key words : cloud computing;cloud security;encryption structure;access control

0 引言

    云計(jì)算是一種新興的計(jì)算應(yīng)用模式,通過(guò)網(wǎng)絡(luò)按需提供各種應(yīng)用系統(tǒng)所需的硬件、平臺(tái)、軟件資源或者用戶需要的信息化服務(wù),具有靈活、易擴(kuò)展、成本低、效率高的特點(diǎn)。隨著云計(jì)算技術(shù)在政府、銀行、通信、貿(mào)易、軍隊(duì)等國(guó)家層級(jí)關(guān)鍵基礎(chǔ)設(shè)施建設(shè)中的廣泛運(yùn)用,私有云環(huán)境中的數(shù)據(jù)安全與高效應(yīng)用問(wèn)題逐漸引起重視[1]

    近年來(lái),云計(jì)算行業(yè)出現(xiàn)的安全事故呈現(xiàn)日益增多的趨勢(shì)。世界關(guān)注度最高的云安全研究組織云安全聯(lián)盟(Cloud Security Alliance,CSA)于2016年公布報(bào)告《The Treacherous 12-Top Threat to Cloud Computing+Industry Insights》[2],總結(jié)了云計(jì)算領(lǐng)域12個(gè)關(guān)鍵安全威脅,包括數(shù)據(jù)泄露(Data Breaches)、身份認(rèn)證管理缺失(Insufficient Identity,Credential and Access Management)、系統(tǒng)漏洞(System Vulnerabilities)、賬戶劫持(Account Hijacking)、惡意用戶(Malicious Insider)、數(shù)據(jù)丟失(Data Loss)、服務(wù)濫用與非法使用(Abuse and Nefarious Use of Cloud Services)等,并根據(jù)微軟威脅分析模型STRIDE,從身份欺騙(Spoofing Identity)、數(shù)據(jù)篡改(Tampering with Data)、行為否認(rèn)(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(wù)(Denial of Service)、權(quán)限非法提升(Elevation of Privilege)6個(gè)層次,對(duì)各個(gè)安全威脅所能產(chǎn)生的后果進(jìn)行評(píng)估??梢钥闯觯瓢踩珕?wèn)題的核心是解決云計(jì)算環(huán)境中的數(shù)據(jù)安全,最基本的是通過(guò)密碼技術(shù)和訪問(wèn)控制手段保障數(shù)據(jù)資源的機(jī)密性、完整性和可用性[3]。本文針對(duì)私云計(jì)算環(huán)境,研究基于加密體制的訪問(wèn)控制技術(shù)的應(yīng)用。

1 傳統(tǒng)訪問(wèn)控制技術(shù)

1.1 訪問(wèn)控制技術(shù)原理

    訪問(wèn)控制技術(shù)是在20世紀(jì)70年代為了解決管理大型主機(jī)系統(tǒng)上共享數(shù)據(jù)授權(quán)訪問(wèn)的問(wèn)題而提出的,其核心在于依據(jù)設(shè)定的授權(quán)策略對(duì)用戶進(jìn)行授權(quán)[4]。訪問(wèn)控制技術(shù)實(shí)現(xiàn)的基本思路為:首先對(duì)用戶的身份進(jìn)行合法性鑒別,其次通過(guò)某種途徑顯示準(zhǔn)許或限制用戶對(duì)數(shù)據(jù)資源的訪問(wèn)能力與范圍,從而實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)資源的保護(hù)。通過(guò)訪問(wèn)控制技術(shù),能夠?qū)崿F(xiàn)以下3點(diǎn)功能:(1)防止非法用戶訪問(wèn)受保護(hù)的數(shù)據(jù)資源;(2)允許合法用戶訪問(wèn)被授權(quán)的數(shù)據(jù)資源;(3)防止合法用戶訪問(wèn)未授權(quán)的數(shù)據(jù)資源。經(jīng)過(guò)多年的發(fā)展,現(xiàn)有的訪問(wèn)控制模型通常包含主體、客體、訪問(wèn)操作以及訪問(wèn)控制策略4種實(shí)體。

1.2 傳統(tǒng)訪問(wèn)控制模型

    傳統(tǒng)的訪問(wèn)控制分為自主訪問(wèn)控制(Discretionary Access Control,DAC)和強(qiáng)制訪問(wèn)控制(Mandatory Access Control,MAC)兩類。隨著網(wǎng)絡(luò)和計(jì)算技術(shù)的不斷發(fā)展,出現(xiàn)了許多以基于角色的訪問(wèn)控制(Role-Based Access Control,RBAC)為基礎(chǔ)的擴(kuò)展模型。

    DAC模型由客體擁有者自身決定是否將客體的訪問(wèn)權(quán)或部分訪問(wèn)權(quán)授與其他主體,對(duì)客體擁有者而言,這種控制方式是自主的。DAC機(jī)制的優(yōu)點(diǎn)在于簡(jiǎn)單易行,授權(quán)靈活,操作方便,但對(duì)于大型分布式系統(tǒng),訪問(wèn)控制變得非常復(fù)雜,效率下降。

    MAC模型由專門(mén)的授權(quán)機(jī)構(gòu)為主體和客體分別定義訪問(wèn)權(quán)限。在該機(jī)制下,即使是客體擁有者本身也無(wú)權(quán)對(duì)其進(jìn)行權(quán)限修改。MAC機(jī)制的優(yōu)點(diǎn)在于避免了DAC中出現(xiàn)的訪問(wèn)傳遞問(wèn)題,具有層次性特征;缺點(diǎn)表現(xiàn)在權(quán)限管理難度大,靈活性差。

    RABC模型引入了“角色role”的概念,將權(quán)限與角色進(jìn)行關(guān)聯(lián),通過(guò)角色建立主體與訪問(wèn)權(quán)限之間的多對(duì)多關(guān)系,權(quán)限被授予角色,角色被授予主體。標(biāo)準(zhǔn)的RBAC參考模型NIST RBAC[5]如圖1所示。

tx4-t1.gif

2 私有云環(huán)境下的訪問(wèn)控制研究

2.1 云環(huán)境下訪問(wèn)控制挑戰(zhàn)

    在云計(jì)算環(huán)境下,訪問(wèn)控制是貫穿整個(gè)云服務(wù)體系的一種安全技術(shù)。云環(huán)境本身具有的數(shù)據(jù)外包、基礎(chǔ)設(shè)施公有化、資源共享、動(dòng)態(tài)定制服務(wù)等特點(diǎn)[6-10],對(duì)傳統(tǒng)訪問(wèn)控制技術(shù)提出挑戰(zhàn),主要存在以下幾個(gè)層面:

    (1)由于虛擬技術(shù)的運(yùn)用,云計(jì)算環(huán)境下的訪問(wèn)控制技術(shù)已從傳統(tǒng)對(duì)用戶進(jìn)行授權(quán)擴(kuò)展到對(duì)虛擬資源的訪問(wèn)和云存儲(chǔ)數(shù)據(jù)的安全訪問(wèn)等方面,因此需要對(duì)訪問(wèn)控制的主體和客體的有關(guān)概念進(jìn)行重新界定。

    (2)云計(jì)算環(huán)境下缺乏統(tǒng)一的權(quán)威管理中心,資源擁有者、資源管理者、資源請(qǐng)求者可能位于不同的安全管理域,當(dāng)用戶跨安全管理域訪問(wèn)資源時(shí),需要制定跨域授權(quán)認(rèn)證和訪問(wèn)控制機(jī)制的支撐。

    (3)在云計(jì)算環(huán)境中,用戶、資源、網(wǎng)絡(luò)環(huán)境等都是動(dòng)態(tài)的,對(duì)用戶的授權(quán)管理也是不斷變化的,管理員角色眾多、層次復(fù)雜、權(quán)限分配模式變化等因素,對(duì)云環(huán)境下實(shí)現(xiàn)動(dòng)態(tài)的、安全的訪問(wèn)控制提出挑戰(zhàn)。

    (4)在云計(jì)算環(huán)境中,虛擬資源與底層完全隔離的機(jī)制使得隱蔽通道更不易被發(fā)現(xiàn),需要訪問(wèn)控制機(jī)制加以管理。

    (5)云環(huán)境下的信任與隱私保護(hù)問(wèn)題也需要對(duì)訪問(wèn)控制的實(shí)現(xiàn)進(jìn)行重新思考。

2.2 私有云環(huán)境下訪問(wèn)控制技術(shù)應(yīng)用特點(diǎn)

    私有云是指由企業(yè)或組織自主構(gòu)建、內(nèi)部使用的云平臺(tái),它的所有服務(wù)均由內(nèi)部人員或分支機(jī)構(gòu)使用,常見(jiàn)于一些組織、機(jī)構(gòu)、企業(yè)等團(tuán)體,如政府部門(mén)、工業(yè)部門(mén)、軍事領(lǐng)域等。分析常見(jiàn)的私有云應(yīng)用環(huán)境,可以將其特點(diǎn)進(jìn)行如下歸納:

    (1)服務(wù)器可信程度高。在大部分公有云計(jì)算環(huán)境下,數(shù)據(jù)資源交付由云服務(wù)提供商進(jìn)行存儲(chǔ)控制,但對(duì)用戶而言,服務(wù)器并不是完全值得信任的角色,而在私有云環(huán)境中,云平臺(tái)的基礎(chǔ)設(shè)施為建設(shè)單位所獨(dú)有的,服務(wù)器位于內(nèi)部多重保護(hù)之下,其可信程度相對(duì)較高。

    (2)內(nèi)部人員可信程度高。私有云通常用于為企業(yè)或組織內(nèi)部的人員或分支機(jī)構(gòu)提供服務(wù),其服務(wù)對(duì)象范圍固定、人員可控,由內(nèi)部人員造成的安全風(fēng)險(xiǎn)較小。

    (3)應(yīng)用模式定制化程度高。私有云完全依據(jù)建設(shè)單位的組織結(jié)構(gòu)、管理架構(gòu)、業(yè)務(wù)組成等實(shí)際情況進(jìn)行定制化開(kāi)發(fā),能夠按需實(shí)現(xiàn)高度可控的配置與部署。因此,私有云環(huán)境中的安全更加側(cè)重于數(shù)據(jù)資源自身的安全存儲(chǔ)與有效應(yīng)用,即通過(guò)加密、校驗(yàn)、授權(quán)管理、訪問(wèn)控制等技術(shù)實(shí)現(xiàn)云平臺(tái)中數(shù)據(jù)資源的安全保護(hù)。

    基于密碼體制的訪問(wèn)控制技術(shù)是指利用密碼體制對(duì)數(shù)據(jù)資源進(jìn)行加密保護(hù),只有擁有解密所需密鑰的用戶才能有效獲取數(shù)據(jù)。該技術(shù)實(shí)現(xiàn)了數(shù)據(jù)資源的加密防護(hù),同時(shí)對(duì)數(shù)據(jù)資源的應(yīng)用及共享范圍實(shí)現(xiàn)了有效控制。目前,比較成熟的技術(shù)是屬性基加密的訪問(wèn)控制(Attribute-Based Encryption access control,ABE)[11-13]技術(shù)。

    ABE訪問(wèn)控制包括4個(gè)參與方:數(shù)據(jù)資源提供者、可信授權(quán)中心、云服務(wù)器、數(shù)據(jù)資源請(qǐng)求者,如圖2所示。

tx4-t2.gif

    實(shí)現(xiàn)機(jī)制描述如下:首先,可信授權(quán)中心生成主密鑰和公開(kāi)參數(shù),將系統(tǒng)公鑰傳給數(shù)據(jù)提供者;數(shù)據(jù)提供者利用公鑰和訪問(wèn)策略結(jié)構(gòu)對(duì)原始數(shù)據(jù)資源進(jìn)行加密,并將密文和訪問(wèn)策略結(jié)構(gòu)上傳至云服務(wù)器;當(dāng)用戶加入系統(tǒng)后,將自己的屬性集上傳至可信授權(quán)中心,并申請(qǐng)私鑰;可信授權(quán)中心利用用戶提交的信息和主密鑰計(jì)算生成私鑰,并返回給用戶;最后,用戶提出數(shù)據(jù)訪問(wèn)請(qǐng)求,若其屬性集滿足密文數(shù)據(jù)的訪問(wèn)策略結(jié)構(gòu),則成功共享數(shù)據(jù)資源,否則,訪問(wèn)數(shù)據(jù)失敗。

3 基于加密體制的云計(jì)算訪問(wèn)控制應(yīng)用

    在私有云計(jì)算環(huán)境中,由于平臺(tái)外部的不可信以及不可控因素造成的安全隱患較小,因此安全策略更加側(cè)重于控制防范云內(nèi)部應(yīng)用與存儲(chǔ)之間的安全風(fēng)險(xiǎn)。基于加密體制的訪問(wèn)控制技術(shù)的應(yīng)用有3點(diǎn)關(guān)鍵之處[14]:(1)用戶的分組與管理機(jī)制;(2)密鑰分發(fā)機(jī)制;(3)不同安全域的授權(quán)機(jī)制。本節(jié)主要對(duì)基于加密體制的云計(jì)算訪問(wèn)控制應(yīng)用方案進(jìn)行描述,然后分別針對(duì)上述3個(gè)機(jī)制的設(shè)計(jì)思路進(jìn)行簡(jiǎn)單探討。

3.1 訪問(wèn)控制方案描述

    私有云環(huán)境下的訪問(wèn)控制方案包含4個(gè)模塊:訪問(wèn)請(qǐng)求解析模塊、訪問(wèn)數(shù)據(jù)保護(hù)模塊、訪問(wèn)控制模塊以及存儲(chǔ)交互模塊,如圖3所示。

tx4-t3.gif

    (1)訪問(wèn)請(qǐng)求解析模塊主要是解析云用戶提交的訪問(wèn)請(qǐng)求,通常該請(qǐng)求是對(duì)云存儲(chǔ)端的數(shù)據(jù)庫(kù)操作,根據(jù)不同的請(qǐng)求操作為后續(xù)數(shù)據(jù)加密保護(hù)方式的選擇提供依據(jù)。

    (2)訪問(wèn)數(shù)據(jù)保護(hù)模塊負(fù)責(zé)將明文數(shù)據(jù)(如表名、列名、字符段值)進(jìn)行對(duì)應(yīng)的加密保護(hù),根據(jù)訪問(wèn)請(qǐng)求解析模塊對(duì)請(qǐng)求操作的分析,選擇相應(yīng)的加密算法。

    (3)訪問(wèn)控制模塊基于用戶屬性加密,將屬性策略作為參數(shù)的一部分引入加密環(huán)節(jié),根據(jù)密文擴(kuò)充模型生成私鑰。給需要訪問(wèn)控制的字段或行增加標(biāo)志列,用于存放屬性加密結(jié)果,在操作這字段數(shù)據(jù)前,先驗(yàn)證當(dāng)前用戶是否解密這個(gè)標(biāo)志列,解密成功才能完成操作。

    (4)存儲(chǔ)交互模塊依托云存儲(chǔ)端提供的接口,將解析后的訪問(wèn)請(qǐng)求提交給云存儲(chǔ)端處理,并獲得處理結(jié)果。本質(zhì)上該模塊是一個(gè)映射代理,其輸入是用戶端提交的明文訪問(wèn)請(qǐng)求,通過(guò)一系列加密、改寫(xiě),最后憑借各個(gè)加密結(jié)果輸出密文訪問(wèn)請(qǐng)求,并將這個(gè)請(qǐng)求提交給云存儲(chǔ)端。

    詳細(xì)的用戶訪問(wèn)云服務(wù)流程描述如圖4所示。

tx4-t4.gif

    (1)用戶端經(jīng)過(guò)身份認(rèn)證和權(quán)限審計(jì)后,取得訪問(wèn)云服務(wù)的某一部分使用權(quán)限,在權(quán)限內(nèi)根據(jù)實(shí)際需求向云端發(fā)起應(yīng)用請(qǐng)求。

    (2)云服務(wù)器根據(jù)請(qǐng)求,生成一個(gè)標(biāo)準(zhǔn)的云存儲(chǔ)端請(qǐng)求命令,同時(shí)將這條命令發(fā)送給加密代理服務(wù)器。

    (3)加密代理服務(wù)器接收來(lái)自用戶端的請(qǐng)求命令并進(jìn)行分析和判斷,選擇對(duì)請(qǐng)求命令進(jìn)行加密的層次,以完成請(qǐng)求命令加密操作。

    (4)加密代理服務(wù)器依據(jù)分析結(jié)果對(duì)請(qǐng)求語(yǔ)句進(jìn)行加密重寫(xiě),確保對(duì)數(shù)據(jù)層數(shù)據(jù)的密態(tài)詢問(wèn)。

    (5)數(shù)據(jù)庫(kù)代理將加密后的請(qǐng)求命令發(fā)送給云存儲(chǔ)端管理服務(wù)器。

    (6)云存儲(chǔ)端執(zhí)行請(qǐng)求命令,得到密態(tài)數(shù)據(jù)的處理結(jié)果,并將結(jié)果返回加密代理服務(wù)器。

    (7)加密代理服務(wù)器得到密態(tài)處理結(jié)果后進(jìn)行解密和重寫(xiě),返回到云服務(wù)器。

    (8)云服務(wù)器接收解密結(jié)果,并將結(jié)果返回給用戶,完成整個(gè)訪問(wèn)請(qǐng)求過(guò)程。

3.2 用戶分組管理機(jī)制

    私有云環(huán)境通常為組織或機(jī)構(gòu)專門(mén)提供服務(wù),其用戶除了包括組織機(jī)構(gòu)的內(nèi)部人員之外,還包括分支機(jī)構(gòu)及分支機(jī)構(gòu)的內(nèi)部人員、與其業(yè)務(wù)相關(guān)的外部人員等。依據(jù)用戶在云內(nèi)角色、業(yè)務(wù)分工、組織關(guān)系的不同,應(yīng)該為云用戶劃分不同的組織進(jìn)行統(tǒng)一規(guī)范管理。為便于云環(huán)境中的用戶管理與應(yīng)用服務(wù),符合組織機(jī)構(gòu)的實(shí)際運(yùn)行特征,私有云環(huán)境內(nèi)的用戶管理機(jī)制應(yīng)該依據(jù)機(jī)構(gòu)內(nèi)部的組織架構(gòu)以及業(yè)務(wù)層級(jí)關(guān)系,賦予用戶相應(yīng)的角色,部署用戶的身份識(shí)別與驗(yàn)證機(jī)制,制定服務(wù)資源的安全級(jí)別,劃分用戶的訪問(wèn)權(quán)限,以此實(shí)現(xiàn)云用戶的安全高效管理。

3.3 用戶密鑰分發(fā)機(jī)制

    在私有云環(huán)境中,基于加密機(jī)制的訪問(wèn)控制方案通過(guò)對(duì)用戶身份信息以及訪問(wèn)請(qǐng)求信息進(jìn)行加密處理,有效控制云服務(wù)應(yīng)用的請(qǐng)求范圍,同時(shí)保護(hù)數(shù)據(jù)資源的安全以及用戶的隱私,從而實(shí)現(xiàn)高效、安全、可信的訪問(wèn)控制。其中,對(duì)用戶密鑰進(jìn)行的分發(fā)與管理是整個(gè)方案的關(guān)鍵之處。在密碼學(xué)中,通常密鑰的分析依賴于可信第三方的存在,而在私有云環(huán)境中,內(nèi)部安全風(fēng)險(xiǎn)較小,可信程度較高,同時(shí)云服務(wù)器的用途和服務(wù)范圍較為有限,計(jì)算能力強(qiáng),因此,用戶密鑰的分發(fā)與管理完全可以依賴云自身的能力。其過(guò)程如圖5所示。

tx4-t5.gif

3.4 跨域授權(quán)機(jī)制

    在同一系統(tǒng)組織內(nèi),由于存在組織架構(gòu)、人員角色、業(yè)務(wù)范圍、數(shù)據(jù)保密等級(jí)等的不同因素,可以將組織內(nèi)部專用的私有云環(huán)境劃分多個(gè)安全域,對(duì)云環(huán)境中的人員、資源、數(shù)據(jù)、業(yè)務(wù)等進(jìn)行更加安全有效的管控。一旦云用戶需要對(duì)自身安全域之外的資源進(jìn)行訪問(wèn),則涉及對(duì)跨安全域訪問(wèn)操作的授權(quán)與認(rèn)證。多安全域之間的密文訪問(wèn)控制技術(shù)依賴于第三方可信認(rèn)證中心,即私有云域間授權(quán)認(rèn)證管理中心。存在跨域訪問(wèn)需求的用戶在經(jīng)過(guò)本安全域的授權(quán)認(rèn)證之后,還需要向域間授權(quán)認(rèn)證管理中心申請(qǐng)權(quán)限,由管理中心統(tǒng)一對(duì)跨域訪問(wèn)請(qǐng)求進(jìn)行判決,若訪問(wèn)請(qǐng)求被允許,則為訪問(wèn)請(qǐng)求主客體雙方分發(fā)對(duì)稱的數(shù)據(jù)加密密鑰,以此進(jìn)行有效的跨域訪問(wèn)管控。實(shí)現(xiàn)機(jī)制如圖6所示。

tx4-t6.gif

4 結(jié)束語(yǔ)

    由于私有云具有特殊的應(yīng)用背景及建設(shè)需求,而訪問(wèn)控制技術(shù)是保障云內(nèi)數(shù)據(jù)與應(yīng)用安全的關(guān)鍵所在,因此需要對(duì)私有云環(huán)境下的訪問(wèn)控制技術(shù)進(jìn)行具體研究。本文分析云環(huán)境下傳統(tǒng)訪問(wèn)控制技術(shù)面臨的挑戰(zhàn),結(jié)合私有云的特征,分析訪問(wèn)控制技術(shù)應(yīng)用特點(diǎn),提出基于加密體制的云訪問(wèn)控制方案,并對(duì)其中的用戶分組管理機(jī)制、密鑰分發(fā)機(jī)制以及跨域授權(quán)機(jī)制進(jìn)行簡(jiǎn)單描述。下一步將以此為基礎(chǔ),開(kāi)展私有云用戶隱私保護(hù)與信任評(píng)估的研究。

參考文獻(xiàn)

[1] 馮朝勝,秦志光,袁丁.云數(shù)據(jù)安全存儲(chǔ)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2015,38(1):150-163.

[2] Cloud Security Alliance.The treacherous 12-top threats to cloud computing+industry insights[Z].2017.

[3] 陳龍,肖敏,羅文俊,等.云計(jì)算與數(shù)據(jù)安全[M].北京:科學(xué)出版社,2016.

[4] 李昊,張敏,馮登國(guó),等.大數(shù)據(jù)訪問(wèn)控制研究[J].計(jì)算機(jī)學(xué)報(bào),2017,40(1):72-91.

[5] Li Xiehua,Wang Yanlong,Xu Ming,et al.Decentralized attribute-based encryption and data sharing scheme in cloud storage[J].China Communications,2018(2):138-152.

[6] 張如云.基于云環(huán)境的企業(yè)數(shù)據(jù)安全探析[J].辦公自動(dòng)化,2018,2(1):56-59.

[7] 王于丁,楊家海,徐聰,等.云計(jì)算訪問(wèn)控制技術(shù)研究綜述[J].軟件學(xué)報(bào),2015,26(5):1129-1150.

[8] 張玉清,王曉菲,劉雪峰,等.云計(jì)算環(huán)境安全綜述[J].軟件學(xué)報(bào),2016,27(6):1-21.

[9] 陸佳煒,吳斐斐,徐俊,等.基于動(dòng)態(tài)授權(quán)機(jī)制的自適應(yīng)云訪問(wèn)控制方法研究[J].計(jì)算機(jī)應(yīng)用與軟件,2017,34(7):325-332.

[10] 鄭志恒,張敏情,戴曉明,等.高效的基于代理重加密的云存儲(chǔ)訪問(wèn)控制方案[J].電子技術(shù)應(yīng)用,2016,42(11):99-105.

[11] Zhang Kai,Li Hui,Ma Jianfeng,et al.Efficient largeuniverse multi-authority ciphertext-policy attribute-based encryption with white-box trace ability[J].Science China(Information Sciences),2018,61(3):1-13.

[12] 錢(qián)沖沖,解福.一種基于可信第三方的CP-ABE云存儲(chǔ)訪問(wèn)控制方案[J].計(jì)算機(jī)與數(shù)字工程,2017,45(1):122-126.

[13] 李勇,雷麗楠,朱巖.密文訪問(wèn)控制及其應(yīng)用研究[J].信息安全研究,2016,2(8):721-728.

[14] 王靜宇,顧瑞春.面向云計(jì)算環(huán)境的訪問(wèn)控制技術(shù)[M].北京:科學(xué)出版社,2017.



作者信息:

楊豪璞,劉繼光,沈  斌

(中國(guó)人民解放軍92493部隊(duì),遼寧 葫蘆島125000)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。