云计算环境中，云服务的发布、服务与用户终端之间的交互、各服务间的组合与协同以及信息传播与共享等的实现均需要数据媒介。结构化文档和组合文档作为云计算环境中新兴的网络信息表现形式，正是该环境中服务提供、资源共享、信息交互和传播的数据载体，具有广泛的应用价值。然而，云计算环境中缺乏有效的结构化文档和组合文档模型、文档元素的分级安全保护机制以及文档全生命周期隐私信息安全保护机制。因此，研究适合云计算环境的结构化文档和组合文档模型及其安全访问与销毁机制具有重要的理论意义和实用价值。本文围绕云计算环境中结构化文档和组合文档的模型、细粒度访问控制以及安全自毁机制进行了系统的研究，所取得的主要研究成果如下。1.对云计算环境中结构化文档模型及其安全访问机制进行了研究。分析了云计算环境中结构化文档的“活”文档特征，提出了一种满足该特征的结构化文档模型(SDoc)；在核心组件技术规范的基础上，给出了结构化文档的标准化描述，以解决组织间对结构化文档的重用和互操作问题；充分考虑角色、时间、环境及其他上下文相关信息，结合基于行为的访问控制和多级安全理论，提出了基于行为的结构化文档多级访问控制机制(AMAC)，实现对结构化文档元素的分级安全访问，并利用信息流的不干扰理论证明了该机制的安全性。2.对云计算环境中组合文档模型及其安全访问机制进行了研究。在结构化文档模型的基础上，依据文档元素的关联关系以及多级安全思想组建组合文档模型(ComDoc)，并对该模型进行了形式化描述；针对基于PKI机制存在复杂的密钥和证书管理问题，结合基于身份的加密算法(IBE)，提出基于IBE的组合文档细粒度访问控制方案(ICDAC)，依据授权用户的身份信息及访问权限，利用IBE加密用于加密组合文档元素的对称密钥以实现文档元素分级安全保护的细粒度访问控制。与已有方案的对比与分析表明，该方案能够简化密钥管理、减小存储开销、支持组合文档元素级细粒度安全访问。3.在ICDAC方案的基础上，针对非安全信道中跨多个安全环境的组合文档工作流存在文档参与者身份隐私泄露以及参与者权限不能撤销的问题，基于ComDoc模型，结合门限属性加密算法(TABE)，提出了基于TABE的组合文档安全访问方案(TACD)，通过TABE算法保护参与者身份隐私、ComDoc模型保护文档内容安全、属性更新和文档重加密实现参与者权限撤销。综合分析表明，TACD方案满足组合文档工作流的安全需求、具有较高的效率且支持细粒度安全访问。4.对结构化文档过期后的安全自毁机制进行了研究。针对云服务器中长期存储的包含敏感信息的结构化文档容易造成敏感信息泄露的问题，提出了基于身份加密的结构化文档安全自毁方案(SDSS)。SDSS方案基于SDoc模型，首先为SDoc设定一个生命周期，利用对称密钥加密结构化文档元素得到文档密文，利用提取算法将其分解为提取密文和封装密文；并采用IBE加密对称密钥，其密文与提取密文一起经过秘密共享方案构造混合密文分量，并分发到大规模分散的DHT网络中；封装密文被封装成结构化文档安全自毁对象，保存在云端服务器中；当超过一定的时间期限，DHT网络节点将自动丢弃所存密文分量信息，使得原结构化文档不可恢复，以实现安全自毁。综合分析表明，SDSS方案满足安全需求、能实现结构化文档生命周期内的细粒度访问控制和过期后的安全自毁，且能够抵抗传统密码攻击和DHT网络的Sybil攻击。5.对组合文档工作流中组合文档过期后的安全自毁机制进行了研究。针对云计算环境中组合文档工作流处理过程的安全访问、参与者身份隐私保护，以及过期后的敏感信息保护问题，将属性加密机制、DHT网络融入组合文档工作流的创建与处理中，提出了基于属性加密的组合文档工作流安全自毁方案(DWSS)。DWSS方案在ComDoc模型的基础上，采用访问密钥加密ComDoc元素、属性加密算法加密访问密钥，其密文经过提取和变换后获得密文分量和封装自毁对象，分别存储在两个DHT网络和云服务器中。当组合文档工作流过期后，DHT网络节点将自动丢弃所存密文分量，使得原始组合文档密文和访问密钥不可恢复，从而实现安全自毁。安全性分析表明，相比已有方案，所提DWSS方案能够抵抗传统密码攻击和DHT网络的Sybil攻击，支持工作流处理过程中参与者身份隐私保护，支持组合文档生命周期内的细粒度访问控制和过期后的安全自毁。