一種基于安全標(biāo)記的多租戶訪問控制方法

彭勇+侯超平+童遙

設(shè)計(jì)了一種安全標(biāo)記機(jī)制，提出了一種支持多租戶的安全訪問控制方法，滿足租戶對(duì)于多域安全訪問控制的需求。實(shí)驗(yàn)結(jié)果證明，這種基于安全標(biāo)記的多租戶安全訪問控制方法兼具基于角色的訪問控制模型（RBAC）和強(qiáng)制訪問控制方法的優(yōu)點(diǎn)，在易于管理的基礎(chǔ)上，也使租戶的訪問控制系統(tǒng)達(dá)到了更高的訪問控制安全級(jí)別。

云計(jì)算；數(shù)據(jù)中心；多租戶；訪問控制；安全標(biāo)記

In this paper， a security mark method and a multi-tenant secure access control model are proposed to meet the demand from tenants in multi-domain secure access control. The results show that the multi-tenant access control method based on security mark has advantages of both role-based policies access control（RBAC） and mandatory access control， and helps tenants access control system reach higher security level on the basis of easy management.

cloud computing； data center； multi-tenant； access control； security mark

在云計(jì)算領(lǐng)域，軟件即服務(wù)（SaaS）是一種新的軟件應(yīng)用模式，極大地減少了企業(yè)在信息基礎(chǔ)設(shè)施上的投入，其數(shù)據(jù)模型有3種[1]：獨(dú)立數(shù)據(jù)庫(kù)模型、共享數(shù)據(jù)庫(kù)單獨(dú)模型和共享數(shù)據(jù)庫(kù)共享模型。獨(dú)立數(shù)據(jù)庫(kù)模型中，每個(gè)客戶在物理上都有自己的一整套數(shù)據(jù)，單獨(dú)存放，其最大問題在于部署和維護(hù)的成本非常高，硬件資源消耗明顯高于其它兩種方案，單臺(tái)服務(wù)器只能支持有限數(shù)量的客戶；共享數(shù)據(jù)庫(kù)單獨(dú)模型下，客戶使用獨(dú)立模式，在數(shù)據(jù)共享和隔離之間獲得了一定的平衡，不足之處是當(dāng)系統(tǒng)出現(xiàn)異常，需要將歷史備份數(shù)據(jù)重新恢復(fù)時(shí)，流程將變得相對(duì)復(fù)雜；共享數(shù)據(jù)庫(kù)共享模型具有最低的硬件成本和維護(hù)成本，且每臺(tái)服務(wù)器可以支持最大數(shù)量的客戶，但由于所有客戶使用同一套數(shù)據(jù)表，為保證數(shù)據(jù)安全性，需要花費(fèi)更多的開發(fā)成本，以確保不會(huì)因系統(tǒng)異常而產(chǎn)生錯(cuò)誤的數(shù)據(jù)訪問。

1 SaaS安全訪問研究現(xiàn)狀

目前對(duì)于SaaS模式下安全訪問方法的研究大體可以分為以下3個(gè)方面：

（1）對(duì)應(yīng)用權(quán)限控制[2-6]；

（2）對(duì)應(yīng)用訪問許可[7-11]；

（3）對(duì)系統(tǒng)數(shù)據(jù)訪問控制[11-15]。

傳統(tǒng)的多租戶訪問控制方式一般采用共享數(shù)據(jù)庫(kù)共享模型，將各租戶的控制策略整合在全局訪問控制策略下，實(shí)現(xiàn)租戶間的安全性互操作，其安全問題一般包括網(wǎng)絡(luò)安全訪問、系統(tǒng)權(quán)限模型等。在網(wǎng)絡(luò)安全訪問方面，通常對(duì)交互信息進(jìn)行加密，防止用戶信息被竊取[16]，而對(duì)于系統(tǒng)權(quán)限模型，大多是通過租戶間角色轉(zhuǎn)換達(dá)到安全訪問控制的目的。

但是使用共享數(shù)據(jù)庫(kù)共享模型時(shí)，租戶數(shù)據(jù)的共享數(shù)據(jù)庫(kù)特性使得租戶間的數(shù)據(jù)隔離性很差。鑒于此，文章提出了基于安全標(biāo)記的多租戶訪問控制方法，采用強(qiáng)訪問控制特性，利用安全標(biāo)記互相授權(quán)實(shí)現(xiàn)租戶間的數(shù)據(jù)共享，提高租戶間數(shù)據(jù)共享的效率。

2 基于安全標(biāo)記的訪問

控制方法

基于安全標(biāo)記的多租戶訪問控制方法制定和維護(hù)了相應(yīng)的角色森林和安全標(biāo)記森林，并根據(jù)角色的職責(zé)賦予其相應(yīng)的安全標(biāo)記。用戶訪問數(shù)據(jù)時(shí)，通過比對(duì)角色所具有的安全標(biāo)記以及訪問該數(shù)據(jù)所需的安全標(biāo)記，來決定該用戶是否具有訪問權(quán)限，從而達(dá)到訪問控制的效果。

（1）客體安全標(biāo)記

如圖1所示，用層次化的標(biāo)記模型對(duì)客體進(jìn)行標(biāo)識(shí)，在使用服務(wù)前，由租戶內(nèi)部的管理人員根據(jù)需求，按照一定準(zhǔn)則對(duì)公司進(jìn)行劃分，根據(jù)這些信息構(gòu)造由很多安全標(biāo)記樹（SMT）組成的安全標(biāo)記森林，SMT上的每個(gè)節(jié)點(diǎn)即代表該公司內(nèi)部一個(gè)可控的安全標(biāo)記，客體標(biāo)記定義為[O：（tenant，安全標(biāo)記集（SMS））]或[（tenant，][mark 1，mark 2，...，mark n）]。

（2）主體安全標(biāo)記

主體安全標(biāo)記是指主體通過其具有的角色獲取的安全標(biāo)記，定義為[R：（tenant，SMS）]或[（tenant，mark 1，mark 2，][...，mark n]）。如圖2所示，租戶企業(yè)均以角色森林的方式表示，為滿足安全需求，每個(gè)公司在使用服務(wù)前都需要各自建立角色森林，主體標(biāo)記定義為[S：（tenant，RS）]或[（tenant，role1，role2，...，][rolen]），其中[RSRole Set]表示該用戶所具有的角色集。每個(gè)角色都會(huì)有相應(yīng)的安全標(biāo)記進(jìn)行標(biāo)注，表示其在系統(tǒng)中的職責(zé)。

（3）SMS

以[SMS（x）]表示對(duì)象所具有的安全標(biāo)記集合，當(dāng)x為客體關(guān)系或?qū)傩詴r(shí)，表示該客體所具有的安全標(biāo)記集合；當(dāng)x為主體時(shí)，表示該主體所具有的安全標(biāo)記；當(dāng)x為租戶時(shí)，表示該租戶授予當(dāng)前租戶的安全標(biāo)記及其子標(biāo)記的集合。此外，為區(qū)分租戶授權(quán)的傳遞標(biāo)記與非傳遞標(biāo)記，將租戶授予的非傳遞安全標(biāo)記表示為[SMSt]。

（4）屬性安全標(biāo)記集（ASMS）

用[ASMSx]表示對(duì)屬性進(jìn)行標(biāo)注的標(biāo)記集合。

（5）擴(kuò)展安全標(biāo)記集（ESMS）

用戶所具有的所有安全標(biāo)記集合，包括本租戶的，以及其它租戶授權(quán)綁定的，用[ESMS（U）=SMS（U）][?（lmSMS（ti）?SMS（ti））]來表示，其中，m表示授權(quán)租戶的個(gè)數(shù)。[ESMSU]由3個(gè)并集組成，[SMSu]表示用戶U所屬租戶分配給他的安全標(biāo)記及其子標(biāo)記，[SMSt]表示其它租戶授權(quán)給他的傳遞安全標(biāo)記及其子標(biāo)記，[SMSt]表示其他租戶授權(quán)給他的非傳遞安全標(biāo)記。

3 多域之間的安全訪問

控制方法

在SaaS應(yīng)用中，當(dāng)同一應(yīng)用實(shí)例的兩個(gè)租戶需要實(shí)現(xiàn)相互之間的數(shù)據(jù)訪問時(shí)，訪問可以繞過角色轉(zhuǎn)換過程，租戶管理員通過給租戶分配另一租戶具有的安全標(biāo)記，使該租戶獲得對(duì)另一租戶資源的訪問權(quán)限。

如圖3所示，假設(shè)SaaS系統(tǒng)中有A，B兩個(gè)租戶，租戶A和B的安全標(biāo)記層次都只有一個(gè)，當(dāng)租戶A的G標(biāo)記與租戶B的G標(biāo)記進(jìn)行綁定時(shí)，租戶B中具有標(biāo)記G的用戶同樣可以訪問A中具有G標(biāo)記標(biāo)注的數(shù)據(jù)。

3.1 基本定義

（1）[X>Y]，表示X在安全標(biāo)記樹中層次比Y高，或者X是Y的祖先，XA表示安全標(biāo)記X來自租戶A。

（2）[Xa→Yb]，也可寫成[（Xa，Yb）∈Tab]，表示安全標(biāo)記關(guān)聯(lián)，[Tab?Ta*Tb]。如附圖3中，有從GA到GB的關(guān)聯(lián)，表示來自租戶A將自己的G標(biāo)記授予租戶B中具有標(biāo)記G的用戶，可用[GA，GB∈Tab]表示這種關(guān)聯(lián)。

（3）傳遞關(guān)聯(lián)：假設(shè)存在關(guān)聯(lián)[XA→aB]，[?Y∈B]，如果[YB>aB]，則[YB>XA]，因?yàn)閅B包含了對(duì)aB的映射，所以YB也是XA的祖先。從圖3中可以看出[MA→MB]的關(guān)聯(lián)，因此租戶B中具有M標(biāo)記的用戶將可以訪問A中具有M標(biāo)記的資源，這也意味著所有MB的祖先都可以訪問租戶A中具有M標(biāo)記的資源。

（4）非傳遞關(guān)聯(lián)：安全管理員可能想把本租戶的安全標(biāo)記與其它租戶的安全標(biāo)記相關(guān)聯(lián)，而不想另一租戶的標(biāo)記的祖先繼承這種傳遞關(guān)聯(lián)，為此引入了非傳遞關(guān)聯(lián)的概念，用[XA→NTYB]來表示。例如，圖3中租戶A的安全管理員想把JA標(biāo)記與租戶B的FB標(biāo)記進(jìn)行綁定，并否定EB和FB關(guān)聯(lián)的繼承，因此該映射為[JA→NTFB]。

（5）標(biāo)記關(guān)聯(lián)策略

·缺省策略

當(dāng)租戶B的用戶需要對(duì)租戶A進(jìn)行訪問時(shí)，租戶A可以提供默認(rèn)的安全訪問標(biāo)記，如標(biāo)記所標(biāo)定的數(shù)據(jù)都是不敏感的，任何人都可以訪問的，使得域間訪問很安全且管理方便。

·直接策略

與缺省策略比，直接策略就是對(duì)租戶B可能要訪問該系統(tǒng)而需要使用的標(biāo)記都一一綁定，充分滿足了用戶的安全訪問需求，但這種指派不能滿足不同用戶的不同訪問需求，標(biāo)記的指派及管理將是棘手問題，并且在某些情況下，安全標(biāo)記并不希望與其綁定標(biāo)記的父標(biāo)記擁有相同的權(quán)限，在這種情況下，租戶管理員就需要建立非傳遞安全標(biāo)記綁定，此時(shí)可以將標(biāo)記綁定有序?qū)Ρ硎緸閇（XA，YB）NT]。

·部分策略

為了安全，租戶間的安全標(biāo)記綁定需要系統(tǒng)管理員一一指派，使用非傳遞關(guān)聯(lián)。但在某些情況下，既有繼承關(guān)系的標(biāo)記可以指派到同樣的標(biāo)記集，此時(shí)可使用傳遞關(guān)聯(lián)來減少系統(tǒng)中指派關(guān)系的復(fù)雜程度，使標(biāo)記綁定更加容易管理。例如，租戶TB具有安全標(biāo)記aB，aB是安全標(biāo)記bB的父標(biāo)記，且租戶TA已有相應(yīng)的標(biāo)記綁定[cA，bB]，則租戶TB中擁有標(biāo)記aB的用戶可以直接得到A租戶中具有安全標(biāo)記cA的數(shù)據(jù)，而無需A租戶再次指定標(biāo)記綁定[cA，bB]。

（6）安全標(biāo)記分類

·行級(jí)安全標(biāo)記

通過給關(guān)系R綁定安全標(biāo)記集，來控制用戶對(duì)R的訪問，由于是對(duì)R的整體標(biāo)注，則用戶只有可以訪問或不可以訪問兩種情況，可以用[（（A1，A2，...，An），（SM1，SM2，...，SMm））]來標(biāo)注，其中SM1，SM2，……，SMm各屬不同的安全標(biāo)記樹。則行級(jí)安全標(biāo)記的控制規(guī)則可以表示如下：[（T，SMS，R，Q）]，T表示該規(guī)則所屬的租戶，SMS表示標(biāo)記集合，R表示SMS作用的關(guān)系對(duì)象，而Q則表示先期訪問控制的約束條件。

·列級(jí)安全標(biāo)記

為達(dá)到更細(xì)粒度的訪問控制，可以對(duì)關(guān)系屬性進(jìn)行安全標(biāo)記，即關(guān)系R的每個(gè)屬性都通過安全標(biāo)記標(biāo)注的方式實(shí)現(xiàn)安全訪問，用[（（A1，SMa1）， ... ，（An，SMan），（SM1， ... ，SMm））]表示。列級(jí)安全標(biāo)記的控制規(guī)則可以表示為[（T，AMS，SMS，R，Q）]，其中T表示該規(guī)則所屬的租戶，AMS表示[（A，SM）]二元組的集合，SMS是行級(jí)安全標(biāo)記集合，用來對(duì)沒有被AMS中所包含的屬性做出標(biāo)記標(biāo)注，R表示AMS、SMS作用的關(guān)系對(duì)象，Q代表先期訪問控制約束條件。

3.2 安全訪問控制方法

租戶對(duì)客體進(jìn)行安全標(biāo)記并制定數(shù)據(jù)訪問控制規(guī)則后，用戶訪問數(shù)據(jù)庫(kù)時(shí)，訪問控制模塊對(duì)用戶的請(qǐng)求進(jìn)行檢查，根據(jù)已經(jīng)存于系統(tǒng)中的規(guī)則信息確定用戶的訪問結(jié)果。文章提出的安全訪問控制方法根據(jù)規(guī)則信息對(duì)訪問語(yǔ)句進(jìn)行轉(zhuǎn)換。請(qǐng)求處理過程可以分為以下兩個(gè)步驟：

（1）檢查用戶安全標(biāo)記以及系統(tǒng)安全規(guī)則數(shù)據(jù)；

（2）根據(jù)已有的信息產(chǎn)生用戶訪問語(yǔ)句，并提交數(shù)據(jù)庫(kù)進(jìn)行訪問。

假設(shè)此時(shí)租戶T有用戶U，其提交的訪問語(yǔ)句為：[Select aq1，aq2，...，][aqn from Rq1，Rq2，...，Rqm where Qq]。當(dāng)T對(duì)[Rqi]所進(jìn)行的安全標(biāo)記為行級(jí)，即[Rqi]客體安全標(biāo)記為[（T，AMSqi，SMSqi，Rqi，Qqi）]，則當(dāng)[SMS（Rqi）?SMS（U）]時(shí)，只要條件Qi為真，則該用戶可以對(duì)[aqi]進(jìn)行此次訪問。當(dāng)T對(duì)[Rqi]所進(jìn)行的安全標(biāo)記為列級(jí)，即[Rqi]的客體安全標(biāo)記為[（T，AMSqi，SMSqi，Rqi，Qqi）]，則當(dāng)[AMS（aqi）?][SMS（U）]時(shí)，該用戶可以對(duì)[aqi]進(jìn)行此次訪問。

需要利用系統(tǒng)中已制定好的規(guī)則，對(duì)訪問語(yǔ)句進(jìn)行轉(zhuǎn)換，假設(shè)租戶T有規(guī)則[ri=（T，ASMS，SMS，R，Q）]，那么當(dāng)且僅當(dāng)該規(guī)則滿足如下條件時(shí)才會(huì)采用：

（1）關(guān)系R的屬性集的子集[A=（a1，a2，...，am）]是[Aq=（aq1，aq2，...，aqm）]的子集；

（2）[lmASMS（ai）?SMS（U）]。

處理該語(yǔ)句時(shí)，涉及租戶T的相關(guān)規(guī)則為[ri=（T，ASMS，SMS，R，Q）][（1≤i≤k）]，其中k為該語(yǔ)句涉及到的k條規(guī)則，可用[Rule（T，query）]表示，其意義為t租戶在查詢語(yǔ)句中涉及到的規(guī)則集，此處有如下表示：

（1）記[Rq=（Rq1，Rq2，...，Rqm）]，[Rr=lkR（ri）]，其中[R（ri）]表示規(guī)則ri中涉及到的關(guān)系；

（2）記[Qr=lkQ（ri）]，其中[Q（ri）]表示規(guī)則ri中涉及到的約束條件。

訪問語(yǔ)句可變?yōu)閇Query（t）]：[Select aq1，][ aq2…aqn from Rq?Rr where Qq?Qr]。則對(duì)租戶T，其訪問語(yǔ)句轉(zhuǎn)換就完成了，對(duì)于要訪問的其他租戶的數(shù)據(jù)的語(yǔ)句轉(zhuǎn)換同理，對(duì)于某一查詢語(yǔ)句，轉(zhuǎn)換后的結(jié)果為語(yǔ)句集，可表示為：[Q（U）=Query（T）?lnQuery（ti）]，其中，[Query（T）]表示該語(yǔ)句相對(duì)該用戶所屬租戶的轉(zhuǎn)換語(yǔ)句，[lnQuery（ti）]表示該語(yǔ)句相對(duì)其它租戶的語(yǔ)句轉(zhuǎn)換集合，語(yǔ)句在轉(zhuǎn)換完成后，就可以提交數(shù)據(jù)庫(kù)處理。

4 基于安全標(biāo)記的多域訪問

控制系統(tǒng)

4.1 系統(tǒng)架構(gòu)

基于安全標(biāo)記的多域訪問控制系統(tǒng)中，有兩個(gè)主要模塊：安全信息定義模塊和訪問控制模塊，系統(tǒng)架構(gòu)如圖4所示。

安全信息定義模塊：該模塊負(fù)責(zé)完成安全標(biāo)記森林的定義及系統(tǒng)中訪問主體與訪問客體的安全標(biāo)記標(biāo)注，同時(shí)負(fù)責(zé)主客體安全標(biāo)記的完整性與一致性檢查。

訪問控制模塊：該模塊負(fù)責(zé)對(duì)用戶的訪問進(jìn)行控制，其根據(jù)訪問主客體所具有的安全標(biāo)記，并結(jié)合已有的訪問控制規(guī)則信息，做出最后的訪問控制結(jié)果。

4.2 訪問控制流程

在制定好系統(tǒng)角色森林、標(biāo)記森林及相應(yīng)的訪問控制規(guī)則后，系統(tǒng)的訪問控制模塊才會(huì)根據(jù)已經(jīng)制定好的規(guī)則來進(jìn)行。圖5是系統(tǒng)訪問控制流程。

5 實(shí)驗(yàn)結(jié)果及分析

我們實(shí)現(xiàn)了一個(gè)基于安全標(biāo)記的多租戶訪問控制方法的原型系統(tǒng)，并部署在模擬數(shù)據(jù)中心。從該數(shù)據(jù)中心選取2臺(tái)安裝、運(yùn)行Redhat Linux RHEL6.3操作系統(tǒng)和Oracle數(shù)據(jù)庫(kù)的虛擬機(jī)，分別部署基于安全標(biāo)記的多租戶訪問控制方法的原型系統(tǒng)和基于角色的訪問控制模型（RBAC）系統(tǒng)，兩個(gè)系統(tǒng)使用同一組結(jié)構(gòu)化查詢語(yǔ)言（SQL）語(yǔ)句進(jìn)行對(duì)比測(cè)試。

通過對(duì)實(shí)驗(yàn)結(jié)果的分析可以發(fā)現(xiàn)，基于安全標(biāo)記的多租戶訪問控制方法在訪問效率上沒有降低，甚至優(yōu)于基于RBAC的系統(tǒng)，且從原型系統(tǒng)的設(shè)計(jì)上看，也優(yōu)于基于RBAC的系統(tǒng)，主要體現(xiàn)在了如下幾點(diǎn)。

（1）租戶之間數(shù)據(jù)的強(qiáng)隔離性

由于每次訪問都需要比較主客體的安全標(biāo)簽是否屬于同一租戶，杜絕了用戶對(duì)其他租戶數(shù)據(jù)非法訪問的可能性。

（2）靈活的租戶內(nèi)部數(shù)據(jù)隔離

每個(gè)租戶都可以自由定義層次化的主體角色和客體標(biāo)簽森林，對(duì)主客體進(jìn)行自由的標(biāo)簽標(biāo)注，滿足租戶不同的訪問控制需求。

（3）租戶之間數(shù)據(jù)的受控、高效共享

租戶間通過安全標(biāo)簽的互相授予來達(dá)到共享的目的，使得有授權(quán)的租戶可以方便、高效地訪問共享的數(shù)據(jù)，同時(shí)屏蔽非法訪問。

6 結(jié)束語(yǔ)

利用租戶數(shù)據(jù)共享模式的特點(diǎn)，我們結(jié)合RBAC和強(qiáng)制訪問控制模型的特性，創(chuàng)新性地提出基于安全標(biāo)記的多域安全訪問控制方法，并通過原型系統(tǒng)的實(shí)現(xiàn)，證明了該方法的有效性。然而，有關(guān)安全標(biāo)記的使用規(guī)則還有待進(jìn)一步研究，力求在保障數(shù)據(jù)安全的同時(shí)，進(jìn)一步提高訪問效率。

參考文獻(xiàn)

[1] JU J， WANG Y， FU J， et al. Research on Key Technology in SaaS[C]//2010 International Conference on Intelligent Computing and Cognitive Informatics. USA：IEEE， 2010：384-387. DOI：10.1109/ICICCI.2010.120

[2] 馬立林， 李紅. 基于RBAC的SaaS系統(tǒng)的權(quán)限模型[J]. 計(jì)算機(jī)應(yīng)用與軟件， 2010， 27（4）：42-44. DOI：10.3969/j.issn.1000-386X.2010.04.014

[3] 朱養(yǎng)鵬， 張. SaaS平臺(tái)訪問控制研究[J]. 計(jì)算機(jī)工程與應(yīng)用， 2011， 47（24）：12-16. DOI：10.3778/j.issn.1002-8331.2011.24.004

[4] 佟彤. RBAC擴(kuò)展模型在SaaS系統(tǒng)中的研究與應(yīng)用[D]. 鄭州：鄭州大學(xué)， 2011

[5] 王豐錦， 張群芳. SaaS工作流訪問控制模型設(shè)計(jì)[J]. 計(jì)算機(jī)時(shí)代， 2012， 30（3）：12-14. DOI：10.3969/j.issn.1006-8228.2012.03.005

[6] 王家忙. 面向SaaS的工作流管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D]. 杭州：浙江大學(xué)， 2010

[7] 韓秋君，丁岳偉. SaaS模式下新型認(rèn)證方案的設(shè)計(jì)與分析[J]. 計(jì)算機(jī)工程， 2011， 37（7）：133-135. DOI：10.3969/j.issn.1000-3428.2011.07.044

[8] DEMCHENKO Y， NGO C， LAAT C. Access Control Infrastructure for On-Demand Provisioned Virtualized Infrastructure Services[C]//2011 International Conference on Collaboration Technologies and Systems. USA：IEEE， 2011：466-475. DOI：10.1109/CTS.2011.5928725

[9] 曾巧文， 陳新度， 吳磊. 基于SOAP消息SaaS平臺(tái)應(yīng)用訪問控制模型[J]. 機(jī)電工程技術(shù)， 2010， 39（10）：27-29. DOI：10.3969/j.issn.1009-9492.2010.10.007

[10] 申利民， 劉波， 邢元昌， 等. SaaS模式下可插拔訪問控制框架的設(shè)計(jì)[J]. 小型微型計(jì)算機(jī)系統(tǒng)，2010， 31（6）：1107-1111

[11] LI J， ZHAO G， CHEN X， et al. Fine-Grained Data Access Control Systems with User Accountability in Cloud Computing[C]//2010 IEEE Second International Conference on Cloud Computing Technology and Science， USA：IEEE， 2010：89-96. DOI：10.1109/CloudCom.2010.44

[12] JENSEN M， SCHAGE S， SCHWENK J. Towards an Anonymous Access Control and Accountability Scheme for Cloud Computing[C]//2010 IEEE 3rd International Conference on Cloud Computing， USA：IEEE， 2010：540-541. DOI：10.1109/CLOUD.2010.61

[13] LUO S X， LIU F M， REN C L. A Hierarchy Attribute-Based Access Control Model for Cloud Storage[C]//2011 International Conference on Machine Learning and Cybernetics， USA：IEEE， 2011（3）：1146-1150. DOI：10.1109/ICMLC.2011.6016897

[14] TANG Y， LEE P， LIU J， et al. Secure Overlay Cloud Storage with Access Control and Assured Deletion[J]. IEEE Transaction on Dependable and Secure Computing， 2012， 9（6）：903-916. DOI： 10.1109/TDSC.2012.49

[15] 張坤， 李慶忠， 史玉良. 面向SaaS應(yīng)用的數(shù)據(jù)組合隱私保護(hù)機(jī)制研究[J]. 計(jì)算機(jī)學(xué)報(bào)， 2010， 33（11）：2044-2054. DOI： 10.3724/SP.J.1016.2010.02044

[16] 孟健， 曹立明， 王小平， 等. XML文檔的加密訪問控制與傳輸[J]. 計(jì)算機(jī)應(yīng)用， 2006， 26（5）：1061-1063