推荐星级:
- 1
- 2
- 3
- 4
- 5
对象云存储中分类分级数据的访问控制方法
资料介绍
随着云计算技术的广泛应用,云存储中数据的安全性、易管理性面临着新的挑战.对象云存储系统是一种数据存储云计算体系结构,通常用来存储具有分类分级特点的非结构化数据.在云服务不可信的前提下,如何实现对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问,是云计算技术中亟需解决的问题.对近些年来国内外学者的成果进行研究发现,现有的方案并不能有效地应对这种问题.利用强制访问控制、属性基加密、对象存储各自的优势,并结合分类分级的属性特点,提出了基于安全标记对象存储访问控制模型.给出了CGAC算法及其安全证明,将分类分级特点的属性层级支配关系嵌入ABE机制中,生成固定长度的密文.该算法不仅访问控制策略灵活,具有层次化授权结构,还可以友好地与对象存储元数据管理机制结合.通过理论效率分析和实验系统实现,验证了所提出方案的计算、通信开销都相对较小,具有很高的实际意义.
部分文件列表
| 文件名 | 大小 |
| 对象云存储中分类分级数据的访问控制方法.pdf | 512K |
部分页面预览
(完整内容请下载后查看)软件学报 ISSN 1000-9825, CODEN RUXUEW
Journal of Software,2017,28(9):2334−2353 [doi: 10.13328/j.cnki.jos.005182]
©中国科学院软件研究所版权所有.
E-mail:
Tel: +86-10-62562563
对象云存储中分类分级数据的访问控制方法∗
1,2
1,2
1,2
3
杨腾飞
,
申培松
,
田
雪
,
冯荣权
1(信息安全国家重点实验室(中国科学院 信息工程研究所),北京 100093)
2(中国科学院大学 网络空间安全学院,北京 100093)
3(北京大学 数学科学院,北京 100871)
通讯作者: 杨腾飞, E-mail:
摘
要: 随着云计算技术的广泛应用,云存储中数据的安全性、易管理性面临着新的挑战.对象云存储系统是一
种数据存储云计算体系结构,通常用来存储具有分类分级特点的非结构化数据.在云服务不可信的前提下,如何实现
对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问,是云计算技术中
亟需解决的问题.对近些年来国内外学者的成果进行研究发现,现有的方案并不能有效地应对这种问题.利用强制访
问控制、属性基加密、对象存储各自的优势,并结合分类分级的属性特点,提出了基于安全标记对象存储访问控制
模型.给出了 CGAC 算法及其安全证明,将分类分级特点的属性层级支配关系嵌入 ABE 机制中,生成固定长度的密
文.该算法不仅访问控制策略灵活,具有层次化授权结构,还可以友好地与对象存储元数据管理机制结合.通过理论
效率分析和实验系统实现,验证了所提出方案的计算、通信开销都相对较小,具有很高的实际意义.
关键词: 对象存储;云计算;数据安全;访问控制系统;分类分级数据;属性加密;安全标记
中图法分类号: TP316
中文引用格式: 杨腾飞,申培松,田雪,冯荣权.对象云存储中分类分级数据的访问控制方法.软件学报,2017,28(9):2334−2353.
英文引用格式: Yang TF, Shen PS, Tian X, Feng RQ. Access control mechanism for classified and graded object storage in cloud
computing. Ruan Jian Xue Bao/Journal of Software, 2017,28(9):2334−
5182.htm
Access Control Mechanism for Classified and Graded Object Storage in Cloud Computing
YANG Teng-Fei1,2
,
SHEN Pei-Song1,2
,
TIAN Xue1,2
,
FENG Rong-Quan3
1(School of Cyber Security, State Key Laboratory of Information Security (Institute of Information Engineering, The Chinese Academy of
Sciences), Beijing 100093, China)
2(University of Chinese Academy of Sciences, Beijing 100093, China)
3(School of Mathematical Sciences, Peking University, Beijing 100871, China)
Abstract: With the popularity of cloud computing, the security and manageability of cloud data faces new challenges. Object-based
storage cluster is a cloud computing architecture, which is usually used to store classified and graded unstructured data. Under the premise
of untrusted cloud service, how to achieve practicable fine-grained access control mechanism of massive classified and graded data while
protecting data from unauthorized access, is an urgent issue to be handled. The proposed methods in recent years offer no effective ways
to solve this new problem. By taking full advantages of mandatory access control method, attribute-based encryption and object storage
∗ 基金项目: 中国科学院战略性先导科技专项(XDA06040601); 国家电网公司科技项目(XXB17201400056); 新疆维吾尔自治区
科技支撑计划(201230121); 国家自然科学基金(61370187)
Foundation item: Strategic Priority Research Program of Chinese Academy of Sciences (XDA06040601); Science and Technology
Projects of State Grid Corporation of China (XXB17201400056); National Natural Science Foundation of China (61370187)
收稿时间: 2016-07-10; 修改时间: 2016-09-04; 采用时间: 2016-11-10; jos 在线出版时间: 2017-02-20
CNKI 网络优先出版: 2017-02-22 10:47:32, http://www.cnki.net/kcms/detail/11.2560.TP.20170222.1047.002.html
杨腾飞 等:对象云存储中分类分级数据的访问控制方法
2335
technology, and by combining with the characters of classified and graded data, this paper proposes a hierarchical secure label-based
access control model in object cloud. Similarly, the core algorithm in this model, which is called CGAC and provably secure, provides a
method to embed the hierarchical feature of classified and graded attributes into ABE mechanism, and get constant-size ciphertext. This
algorithm not only has flexible access policy and hierarchical authorization structure, but also combines the benefits of metadata
management of object storage. Finally, through the theoretical analysis and experimental system implementation, the paper verifies that
the model’s computation cost in encryption and decryption is acceptable, confirming the proposed method has high practical significance.
Key words: object storage; cloud computing; data security; access control model; classified and graded data; attribute-based encryption;
secure label
1
引
言
近年来,云计算技术获得了长足的发展,云存储技术是云计算中的重要领域,云存储提供商集合集群和分布
式文件系统等技术将数据存储在虚拟化的存储池中,对外提供在线存储模式的服务,具有海量级存储、动态扩
展、持久性高等优点.目前,许多云计算厂商提供云存储的商业服务,如 AWS 的 S3、GoogleDrive、HDFS、百
度云等.
对象存储是云存储数据的一种重要存储模式[1].与传统存储模式以块设备记录数据块位置的方式不同,对
象存储基本单元是对象文件,由存储数据和元数据组成,提供了具有高性能、高扩展性、高可靠性、跨平台以
及数据安全共享的存储体系结构.对象存储由于存在单独的元数据管理服务提供数据逻辑视图,从而将控制通
路与数据通路分离,提升了文件读写能力,同时兼具 SAN 高速直接访问特点及 NAS 的分布式共享特点[1]
.
云计算中的分布式对象存储系统通常采用友好访问接口使对象存储拥有跨平台数据共享的特点,通过接
口可以执行数据 CRUD 和对象属性等操作,适合加载 MB 级别的图片、文档、音频等到内存中进行快速处理,
其计算效率和用户体验提升是显著的,因而对象存储更适合云计算模式下的互联网应用.对象存储的另一个特
点是扁平的数据组织结构,抛弃了庞大的传统目录树管理,利用多维度的元数据属性进行存储数据的检索和管
理
[2].综上,对象存储并不是文件系统和实时数据存储系统,而是一个存储永久类型静态数据的无中心控制节点
的存储系统,存储的静态数据可以进行检索、访问、必要时的更新.相较于 HDFS 等云存储模式,更适合存储图
片、邮件、音频等数据,避免了单点故障和性能瓶颈,拥有更强的扩展性、冗余和持久性,适合高性能集群使用.
美国国家标准化组织(ANSI)于 2005 年批准了对象存储的标准规范[3],目前,对象存储已得到了广泛应用,代表性
的大规模实现如 AWS 的 S3、华为的 OBS、开源实现 OpenstackSwift[4]和 Ceph 等.
但是随着云存储技术的发展,其动态复杂性、开放性和资源高集中性等特点不可避免地带来了数据安全性
问题,用户将数据托管给云服务提供商存储和管理,会失去对数据的控制.因此,需要提供一种灵活可靠的安全
机制和体系结构保护用户的机密性、完整性和可用性[5].事实上,当前安全问题呈现上升趋势,已成为制约云存
储发展的重要因素.2012 年,亚马逊数据中心中断,导致网络瘫痪;2014 年,iCloud 云平台被黑客攻击,导致用户信
息泄露.因此,对数据资源的访问控制是云存储安全核心[6]
.
访问控制技术是保障数据不被非法访问的重要手段[6],实现对云存储中大量资源的访问控制机制,能够使
用户将数据安全地托管至云平台.因此,许多学者提出了不同的方案,主要集中在 3 个方面,见表 1.
Table 1 Researchon access controlin cloud computing
表 1 云计算访问控制技术
名称
常用方法
作用
访问控制策略 访问控制列表 ACL,访问控制矩阵
准入控制
静态权限分配
数据机密性
访问控制模型
属性加密机制
DAC,MAC,RBAC 等
KPABE,CPABE
虽然云计算中的访问控制机制研究不断深入,但是在实际应用场景中,一方面,随着对象云存储的规模扩
大,通常需要对图片、音视频等具有层级相关性特征的媒资数据进行分类管理.如存在分类关系:音乐→华语音
乐→邓丽君,若用户 A 上传音乐 1.MP3 指定其分类属性为邓丽君,而一个拥有权限级别华语音乐的用户 B,应能
全部评论(0)