随着大数据时代的到来,数据的存储和访问不再囿于传统的封闭环境;同时,信息安全也关乎国家安全、企事业利益和个人隐私。以往在封闭环境中成熟的数据安全体系,是以单个系统为核心,通过保证系统本身的安全来保护数据的安全。但在这个相对安全的系统中,数据几乎都是以“裸露”的状态存在的。假如有人通过非法手段窃取了系统的访问权限,那么这些裸露的数据就不再安全了。不难看出,如果在新的开放的环境中,以往的成熟经验似乎不再能够继续稳定地发挥作用了。面向数据的安全体系结构(DOSA)正是为应对这些前所未有的挑战而提出的新一代的数据安全解决方案。DOSA不仅着力于数据的应用和管理,更是要站在架构的高度全面设计一个能够适用于未来的数据安全体系。DOSA的基础在于云计算,原则上要求所有的数据“天生加密,授权使用”,安全技术保障源自于公共密钥基础设施(PKI)。在DOSA的世界中,一切都是数据,一切的基础也都是数据,显而易见,数据的基础也是数据。这是因为在DOSA中,数据并不是孤立存在的,任何的数据都有一系列的附属信息,包括数据的生命周期、数据的所有权、数据的安全等级等等。这些用于描述数据属性的数据,称为数据的元数据。为了使作为DOSA核心的数据能够起到作用,有四个重要部分为DOSA提供基本的框架性的服务,分别是:数据注册中心(DRC)、数据权限中心(DAC)、数据异常处理中心(DEC)和数据应用单元(DAUs)。其中,DAC是保护数据安全和维护数据所有者利益的关键部件,向DOSA提供数据的授权和记账等服务。本文的研究内容如下:(1)研究面向数据的安全体系结构(DOSA)研究数据注册中心(DRC)、数据权限中心(DAC)、数据异常处理中心(DEC)和数据应用单元(DAUs)。(2)研究DAC的数据授权机制研究传统数据安全保护机制(访问权限控制),研究数据加密方法,研究数据加密方法与DAC的授权机制的关系(数据天生加密、授权使用)。(3)研究DAC的数据加密策略和用户认证方法研究对称加密算法,研究非对称加密算法RSA,研究对称与非对称算法效率问题,研究数据加密策略问题,研究用户认证方法。(4)研究DAC和DRC中的用户角色分类研究DAC用户角色分类,研究DRC用户角色分类,研究DAC用户角色与DRC用户角色相互关系。本文的创新点:(1)设计并实现了DAC数据授权机制和安全应用方案在DOSA中,数据“天生加密、授权使用”。RSA算法是保证数据安全的主要手段,也是数据权限的认证方法。在本文的设计中,每个用户都可以拥有自己的一对密钥,其中公钥由DAC向所有人发布,私钥由用户自己妥善保存。在所有存储和传输过程中,数据都是加密的,只有在使用的时候才将其解密,这样可以最大程度地避免数据泄漏的风险。本文的研究成果如下:(1)进一步完善了面向数据的安全体系结构(DOSA)DOSA包括DRC、DAC、DEC和DAUs四个主要组件。DRC为用户提供数据索引和查询服务;DAC提供数据授权和用户认证服务;DEC对数据进行自适应管理,保证数据的唯一性和一致性;DAUs是DOSA中的基本功能单元,使用户可以快速便捷地搭建数据应用。其中DAC是本文的主要研究内容。(2)初步实现了一个数据权限中心在DOSA中,用户授权不再使用传统的授权方法,而新的授权机制与数据加密结合在一起。DAC具有以下功能:用户申请密钥;用户注销密钥;用户向数据主人申请数据授权;用户向数据主人申请延长数据授权;数据主人向其他用户授予数据访问权限;数据主人取消数据朋友的授权,使之变为陌生人;数据主人禁止数据朋友访问,使之变为敌人;数据朋友向主人请求数据,DAC进行记账。(3)进行了对称与非对称算法效率比较并改进了数据加密策略比较了对称加密与RSA非对称加密的性能差异,提出了一个提高安全性和效率的改进方法。一般来说,DOSA中数据加密都使用RSA加密算法,但对于大量的、或者并没有极端地安全性要求的数据,为了提高加解密效率,也可以使用对称加密算法,然后用RSA对对称密钥加密。(4)实现了DAC的用户认证用户认证主要依赖CA体系,DAC同时也为用户提供密钥管理功能。(5)完成了DAC和DRC用户角色分类及关系研究在DRC中,用户角色分为拥有者、使用者和生产者等;而在DAC中,用户角色分为数据主人、朋友、陌生人和敌人等。这些不同的角色不尽相同,却又相互关联,简化了现实生活中数据和不同用户间的关系。本文设计实现的DAC基于.NET Framework 4.5平台和Access数据库,使用C#开发图形界面和数据库访问等功能模块,使用C++/CLI开发对性能要求较高的加解密模块。本文对该DAC实现进行了全面的测试,证明其可以稳定良好地运行。