下载  >  开发技术  >  其它  > 论文研究-一种多租户授权管理访问控制模型.pdf

论文研究-一种多租户授权管理访问控制模型.pdf 评分

针对云服务中多租户应用面临越权访问和联合恶意攻击问题,综合聚类思想和基于密文策略的属性加密(CP-ABE)提出一种多租户授权管理访问控制模型(MTACM)。该模型根据多租户的业务特点将角色任务聚类为任务组,并采用匹配因子标记任务组,进而通过任务组授权管理角色属性,以实现角色的细粒度授权访问控制管理,减少系统计算量开销,降低系统的复杂度。在虚拟环境下实现了该模型算法,且通过逻辑推理证明了模型的安全性和系统访问的高效性。
015,51(19) Computer Engineering and Applications计算机工程与应用 3.1多租户授权管理访问控制流程 务资源M加密生成密文CT和访问控制树T。 租户按需定制云服务,获得云服务的使用权后,各 步骤1访问树Y中每个节点N对应多项式f,节 个和户根据任务和自身组织结构聚类,形成任务组,将点N的度为d(d1=n,-1,n为节点j的阈值)。 不同资源访问权分配到任务组,角色通过任务组获得解 步骤2根节点M选取随机数s∈Zp,且多项式 密密文,即图2虚框所示,访问控制流程见图3。 f(0)=s。 开始 步骤3使用加密公式CT加密 CT=(B=Mg,=Me(g, g c=g,=(g)'=g 云服务提供者 {E1=gE′=(H(a)}) ≤是否购买服务 其中,a属于所有角色属性集,j是叶节点 5) Decrypt(Cr,T,SK,A,6):私钥为Sk,属性为 合法租户 非法租户 A,匹配因子为δ的角色通过解密算法解密密文Cr,当 角色属于某个任务组时,通过该任务组的匹配因子实现 取 5类 资源共享。 任务组 33多租户访问控制模型实现 实验环境:在操作系统为 Windows server2003的 <、是否授权 VMware Workstation虚拟机上安装 Ubuntu13.04,内存 4GB。具体实现过程如下所示。 授权角色 非授权角色 (1)在 Ubuntu安装需要的库:M4,gmp,pbe,glit openssl, ibbswube, cabe,它们的依赖关系如图4所示。 结東 图3多租户访问控制流程 3.2多租户访问控制模型算法 b 合法租广购买云服务后得到授权,此时租户根据业 务需求,可分配到某一任务组的角色,相同项目组的角 libbswabe 色分配到同一任务组U∈U,U的角色e∈E具有相同 属性U(A),角色根据自已的属性通过任务组获取资源 图4实岘访问控制需嬰安装的库 访问权限。 多租户授权管理访问控制馍型的构建算法如下所示。 (2)运行初始化函数 Setup(4),生成租户租赁云服 (1) Setup(4):云服务端输入安全参数λ(4决定循环务的公钊 pub key和主密钥 master key,如图5所示。 群G的阶数)由素数为p、生成元为g的循环群G随机 (3〕角色根据自己的属性集和访问策略运 选择两个指数α,B∈Zn,输出公钥PK和主密钥MK Key Gen(MK,A,U)函数,将任务组中角色的属性列赋 PK=G 值U(A),相同任务组的角色标记相同的匹配因子δ,生 g,91=s,g (2) Kcv Gcn(Mk,A,U):输入主密钥MK,角色属所e科eb的私钥 ea priv_key、 eb_ priv key,如图5 MK=B,8) 成角 性集A和任务组集合b 1∈ 输出 中每个角色的私钥SK。 Lriabantu:-5 L t星pl想,[e画 res security_repcrt. pdr SK=(D=g D=gH(a, ) D=g, Ed femiNin 其中,租户根据任务给角色c增加任务组集合U的属性剩颗F比k韩 列U(A),给相同任务组的角色属性列U(4)赋予相同k的10h与 的属性值。 开 water aey p key t圆 (3)δ Key Gen():输入任务组集合U,输出U中 改p pbe-.i-1a aecLiEy repartper 每个任务组中角色的匹配因子δ L ory e ll (4) Encrypt(PK,M,T):云服务端数据提供者对服 图5树始化及生成私钥 边根庆,李荣,邵必林:一种多租户授权管理访问控制模型 2015,51(19 (4)运行 Encrypt(PK,M,T)加皆信息 security report.算c(g,g)只需要17,时间,但是对于每一个属性相关的 puf,牛成密文 security report. pdi: cabe,如图6所示。行x,角色总共需要4mT时间,其中2r的时间计算 (5)角色利用解密算法 Decrypt(CT,T,Sk,A,)解C1x,1时间计算C2,x,1时间计算C,x:在 Decrypt 密密文 sccurity rcport. pdf. cpabc,角色属性不符合访问过程中,每个x都必须运行两次配对算法,分别计算 策略则提示尤法成功解密密文,如图6所示 e(H(),C3,x)和e(ski,,C2x),总共需要2mn时间。角 色还需要计算(g,g)e(H(l),g)"),最多需要mTn。 因此, Encrypt和 Decrypt总共需要(2m+1)7n+5m7n时 RD. 就的 道1 间。租户以任务组的形式把任务分配给角色,假设某 严气E 1,14冒y中FDd 任务组有n(n<m)个角色县有相同属性,通过其中某一个 eL理 角色属性即可解密,则 Encrypt和Der!pt总共需要的时 r点福g e与程 两配吧 间为(2m-2n+1)T2+(m-n+1)Tm<(2m+1)Tn+5mm, t[世 设n=5,为一个仟务组,当m值变化时 MTACM和 CP-ABE解密时间如图7所示,随着角色属性不断增加, MTACM明显比 CP-ABE花费的解密时间少,故本文提 图6加密、解密过程 出的模型比 CP-ABE计算量开销小。 4认证与分析 2.0 MTACM 4.1安全性认证 CP-ABE MTACM在 CP-ABE的基础上引入聚类和任务组, 聚类针对租户划分人员,并将相同任务的人员分配在同 10 任务组,用匹配因子δ标记,故要证明 MTACM的安 全性,必须证明基于 CP-ABE通过聚类和任务组管理后 构建的模型的安全性。 因为 CP-ABE的映射函数H(a)将属性a映射为 循环群G上的一个随机元素,加密密文为: C7=(B=M92=M(g,g),C=g2=(g9 角色属性个数 图7解密算法所需时间 F,=g,E=(H(a1)}) 从图7分析:采用仟务组授权管理访问控制模型 由于聚类和任务组管理是对和户中人员分任务组管时,在任务组个数确定的情况下,随着属性数量增加,该 理,即根据任务组实现CP-ABE中的属性匹配,依然按照模型解密所需时间比 CP-ABE算法少,因为两种算法加 CP-ABE算法实现交互,故 MTACM实质上只是减少了加密时问相同,故该模刑比 CP-ABE算法复杂度小 密密文中属性a的个数、因此 MTACM模型与 CP-ABE 具有相同的安全性,文献[7已经证明了 CP-ABE算法的5结论 安全性,故本文提出的 MTACM模型也是安全的。此模 针对多租广应用在云服务中存在访问控制方面的 型可以避免非授权租户角色访问云中存储的数据和恶安全隐忠和匹配运算复杂度较高的问题,提出了多租户 意访问者的联合攻击,进而可以保证多租户应用环境下授权管理访问控制模型。本文模型利用聚类思想将任 的安全。 务分组,引入死配因子标记同任务组的角色,实现角色 4.2复杂度分析 的细粒度授权访问控制管理,减少了属性匹配运算次 夲节从理论上分析多租户授权管理访问控制模型比数,防止了越权管理,避免了非法访问者联合恶意攻击 基于密文策略的属性加密的计算量开销小。如果访问树问题。因此,通过访间控制提高了云服务下多租户的安 中的属性总数为m,那么将角色属性集A转换成访问全性,通过角色属性的任务组管理减少了系统计算量开 矩阵R的时间复杂度为Om),故∑cR2=0,0.…,0销,降低了系统的复杂度。 x∈X 的时间复杂度为O(mh) 参考文献 本文提出的模型中花费时间最长的是解密函数中用(1冯登国,张敏,张妍,等,云计算安全研究门软件学报,201 到的配对运算。假定T代表一次配对运算时间,T,代 22(1):71-83 表纯量乘法时间。在 Encrypt算法中,每一位角色e计 (下转215页)

...展开详情
所需积分/C币:11 上传时间:2019-09-07 资源大小:621KB
举报 举报 收藏 收藏
分享 分享
论文研究-一种改进的Otsu算法研究 .pdf

一种改进的Otsu算法研究,李冰玉,彭利标, Otsu(最大类间方差)算法的一些优秀性质使得它在许多不同的图像分割系统中得到非常广泛的应用,该算法运算量不大,在一定条件下�

立即下载
论文研究-一种改进的S-MAC协议 .pdf

一种改进的S-MAC协议,周富生,陈伟,本文首先简单介绍了无线传感器网络,之后给出了无线传感器网络S-MAC协议的一种改进思路,并通过使用NS2进行仿真,验证了协议改进的�

立即下载
论文研究-一种新的改进粒子群算法研究 .pdf

一种新的改进粒子群算法研究,马金玲,唐普英,研究粒子群优化算法(PSO)的收敛速度,以提高该算法性能是PSO的一个重要而且有意义的研究。Jun Sun 等人通过对PSO系统下的单个个体在�

立即下载
论文研究-一种轮廓跟踪的UPF方法 .pdf

一种轮廓跟踪的UPF方法,袁健,张文霞,针对通用目标轮廓跟踪中CONDENSATION 粒子算法的不足,提出一种轮廓跟踪的UPF方法。通过将Unscented 卡尔曼滤波器与粒子滤波的结合,并实�

立即下载
论文研究-一种对称MMSE的改进算法 .pdf

一种对称MMSE的改进算法,陶涛,,本文分析讨论了时域均衡器最小均方误差(MMSE)算法原理、特点及运算复杂度,并在次基础上提出了一种新的改进算法,使MMSE矩阵计算�

立即下载
论文研究-一种提高多普勒精度的方法 .pdf

一种提高多普勒精度的方法,廖卓,,全球定位卫星系统(GNSS)的速度测量在高动态运动环境下具有重要意义。接收机跟踪环路提供的多普勒频移是用户速度求解的重要观测��

立即下载
论文研究-一种LDO稳压器芯片的研究与设计 .pdf

一种LDO稳压器芯片的研究与设计,于飞,邹锦华,设计出一种适合便携式电子产品应用的LDO(Low-dropout voltage regulator)稳压器芯片。相比于传统的LDO稳压器芯片,新的设计在误差放大器与�

立即下载
论文研究-一种新型SQL注入攻击的研究与防范 .pdf

一种新型SQL注入攻击的研究与防范,赵阳,郭玉翠,针对一种以HTTP Headers为途径的新型SQL注入攻击进行了深入研究。通过分析具体的SQL注入实例,揭示了该新型SQL注入攻击的原理,并提出了针�

立即下载
论文研究-一种嵌入式视频监控系统 .pdf

一种嵌入式视频监控系统,刘冬,,当前有不少视频监控系统是基于GSPCA开发的,它们存在不能在本地显示视频,缺乏移动检测等图像处理功能,对于存储空间要求高等缺点�

立即下载
论文研究-一种改进的加权质心定位算法 .pdf

一种改进的加权质心定位算法,杨路,刘慧珍,无线传感网络定位算法中,节点在测量距离时受到外部环境干扰导致RSSI值大幅度波动,影响定位精度。通过对阴影模型的研究发现,节��

立即下载
论文研究-一种改进的增强型AdaBoost算法 .pdf

一种改进的增强型AdaBoost算法,李文辉,倪洪印,本文分析了传统的Adaboost算法在训练过程中可能出现的退化问题以及目标类权重分布出现过适应的现象,文章提出了一种改进的Adaboost算��

立即下载
论文研究-一种新型的LDPC译码器设计 .pdf

一种新型的LDPC译码器设计,钟贵锋,李庆,摘要:性能逼近Shannon限的低密度奇偶校验(Low-Density Parity-Check, LDPC) 纠错码,在实际应用中需要解决的问题是尽可能降低译码的复杂度。��

立即下载
论文研究-一种罗特曼透镜波束形成网络设计 .pdf

一种罗特曼透镜波束形成网络设计,曹扬,陈鹏,本文设计了一种基于等光程原理的罗特曼透镜波束形成网络。该波束形成网络中心频率20GHz,具有15个输入口,16个输出口以及4个虚端口��

立即下载
论文研究-一种基于k-means的分布式k-anonymity算法 .pdf

一种基于k-means的分布式k-anonymity算法,张琦颖,程祥,随着的大数据时代的到来,数据分享、数据发布的需求日益增加。然而未经处理发布或共享原始数据,将引起隐私泄露问题。k-anonymity匿�

立即下载
论文研究-一种基于OpenStack的云用量采集模型 .pdf

一种基于OpenStack的云用量采集模型,孙福全,宋茂强,本文提出了一种面向云环境的虚拟机用量数据采集模型,它可以采集基于OpenStack云环境中虚拟机用量信息。文章首先介绍了用量采集模型��

立即下载
论文研究-一种大功率可调开关电源的设计 .pdf

一种大功率可调开关电源的设计,杨剑,周伟,本文给出了一种新型大功率可调开关电源的应用设计。采用Buck型开关电源拓扑,以带单路PWM输出和电流电压反馈检测MC33060为控制IC,配��

立即下载