一种适合企业云存储的访问控制模型的研究与实现

摘要

随着科技时代的经济飞速发展，企业的数据量呈PB级快速增长，传统的存储方式在数据存储方面的局限性越来越凸出，这使得越来越多的研究机构和企业开始意识到必须有一种新的存储模式来改变存储机制的现状，因此，云存储应运而生。云存储的出现满足了企业的大数据量的存储需求和随时随地的获取需求，但是在使用过程中，各种安全问题也开始不断显现，使得很多企业对云存储望而却步，从而阻碍了云存储的快速发展。因此，如何保证云存储的安全也逐渐成为被讨论的重点问题之一。
　　而访问控制技术作为信息安全保障体系中最重要的环节之一，做好企业云存储中的访问控制显得尤为重要，但是由于云存储的诸多异于传统存储方式的特点（如高度的开放性，异构性等），传统的访问控制技术已经不能很好地满足云存储的安全保证需求，同时通过研究发现目前云存储中针对企业数据存储方面的访问控制方案很少。因此，本文针对云存储的特点，在传统的访问控制技术的基础上，充分考虑企业的存储需求并结合企业的组织结构特点，提出了一种适合企业云存储的灵活、简便的访问控制模型，又分析了目前主流的基于Hadoop的云存储系统的安全机制，并在其中进行了实验。本文的研究内容是针对云存储中企业安全需求的访问控制技术，具体工作归纳如下:
　　1.本文在研究了云存储的特点、安全问题以及国内外针对企业云存储的访问控制技术的相关文献和分析了企业对于云存储中的数据的安全需求的基础上发现目前的针对企业云存储的访问控制研究还较少。本文对典型的开源云存储系统——基于Hadoop的云存储系统的安全机制进行了研究，发现该系统中并没有设计针对企业云存储的访问控制机制。
　　2.本文提出一种针对企业云存储安全需求的访问控制模型E-ABAC(Attribute-BasedAccess Control for Enterprise)。在该模型中，为进入云存储系统中的企业主体定义组织结构属性标签。通过定义的属性标签，使得主客体的存储更具结构性;通过设计的访问控制规则，根据主客体的属性标签匹配来判断是否为主体授予相应的访问权限;通过仅仅修改客体属性标签来制定共享的访问控制策略，实现数据的受控共享，满足企业的共享需求。
　　3.将该访问控制模型应用于基于Hadoop的云存储系统的安全机制中。通过修改稳定版本Hadoop-1.2.1的源代码实现了简化的E-ABAC模型，并最终用改进后的Hadoop版本部署实验环境，设置实验场景，进行功能和性能测试。

目录

声明

摘要

1 绪论

1．1 研究背景

1．2 国内外研究现状

1．3 研究目的和意义

1．3．1 研究目的

1．3．2 研究意义

1．4 研究内容

1．5 论文组织结构

1．6 本章小结

2 云存储安全及访问控制研究现状

2．1 云存储概述

2．1．1 云存储概念

2．1．2 云存储的架构

2．2 云存储安全

2．2．1 云存储数据安全问题

2．2．2 云存储数据安全的研究现状

2．3 访问控制

2．3．1 自主访问控制模型

2．3．2 强制访问控制模型

2．3．3 基于角色的访问控制模型

2．3．4 云存储访问控制

2．4 本章小结

3 一种适合企业云存储的访问控制新模型E-ABAC

3．1 E-ABAC模型框架

3．2 E-ABAC模型的形式化描述

3．3 E-ABAC模型的访问控制策略

3．3．1 主客体组织结构属性处理函数

3．3．2 E-ABAC访问控制策略

3．4 E-ABAC共享机制

3．4．1 企业中某部门内的资源共享机制

3．4．2 企业中部门之间的资源共享机制

3．4．3 企业中公司之间的资源共享机制

3．4．4 不同企业之间的资源共享机制

3．5 本章小结

4 E-ABAC模型的具体实现

4．1 Hadoop云存储架构研究与安全机制分析

4．1．1 基于Hadoop的云存储系统架构研究

4．1．2 基于Hadoop的云存储系统的安全机制分析

4．2 基于Hadoop云存储系统的E-ABAC模型的具体实现

4．2．1 实现描述

4．2．2 E-ABAC模型在Hadoop云存储系统中的实现流程

4．3 本章小结

5 实验设计与结果分析

5．1 实验环境部署

5．2 实验设计与分析

5．2．1 实验设计

5．2．2 测试及结果分析

5．3 本章小结

6 总结与展望

6．1 本文总结

6．2 未来工作和展望

参考文献

致谢

在校期间的科研成果