“云计算”(Cloud Computing)是一种新型计算模式,它将计算资源存储在可配置的计算资源共享池中,通过便利的、可用的、按需的网络访问计算资源。由于云计算服务商在云计算中提供服务始终处于强势地位,而用户处于被服务弱势地位,造成信息掌控的严重不对称。一方面,云计算将信息转移到云计算服务提供商,企业自身却无法再全面掌控信息和云服务提供商的“云计算”细节；另一方面,云计算是针对多方用户,云服务提供商考虑到自身安全,也无法向业主呈现“云计算”中的关键信息。安全成为制约云计算发展的关键问题。本论文针对多级混合云中数据安全保护存在的诸多问题,在数据访问授权、访问控制模型、数据安全存储访问三方面展开研究工作。首先,针对多级混合云采用传统授权管理时存在的管理范围划分不明晰、管理权限分配不明确等问题,基于多级多域授权管理思想,提出了面向多级混合云的多域多级授权管理模型,将对管理权限分解为支配权与管理权,分别交给不同的管理角色,确保管理用户之间权责分明。并且,针对跨域角色映射容易出现的域穿梭、隐蔽提升等问题,提出单向角色映射的思想,将岗位角色划分为内部角色和映射角色,又将映射角色进一步划分为出角色和入角色,确保域间权限的单向流动,实现了域间的安全互操作；分析讨论了授权管理模型可能存在的不安全状态,给出了安全违反公式,并对模型进行了推理分析,证明模型在进行域内授权管理操作、跨域授权管理操作及分布式委托操作时,均能够保证权限的安全可控。第二,针对多级混合云中面临的权限违规、方向违规和传递违规等安全问题,提出了一种基于数据流图的多级访问控制模型。该模型使用数据流图记录访问行为及其所造成的数据流动方向,给出了数据流图的安全特性,为有效地检测各种违规访问(越权访问)奠定基础。该模型对BLP(Bell-LaPadula)模型进行改进,增加了多级互联模式、服务器、虚拟机(子系统)等多级混合云特有的元素,并将用户和资源分成了两类,基于状态机理论,对状态、规则、自动机、系统、安全定理进行了重新定义,使用安全熵定理对安全定理进行了证明。研究了各种违规访问的控制方法,设计了读、写、复制等典型操作的状态转换规则,并对规则的安全性进行了证明。最终,结合不同的互联模式,形成了一套完整的多级混合云中访问控制规则集合,可有效解决不同等级云的内部和之间的权限违规、方向违规和传递违规访问等问题。第三,针对多级混合云的数据共享中数据安全与隐私保护等安全问题,研究了属性加密技术,设计了基于属性加密技术的多级混合云数据安全访问和用户隐私保护解决方案。首先根据多级混合云数据访问、数据安全隐私保护等实际应用需求,在分级多层授权中心的HABE (Hhierarchical Attribute-Based Encryption)方案基础之上,引入根授权中心CA (Certificate Authority,以下同)、区域授权中心CA、子授权中心SA (Sub Certificate Authority)等多级授权中心,将密钥分发、属性认证等工作分级进行,由根CA对下一级授权中心进行签名,保证分级信任链的传递；其次,建立属性管理中心PMC (Property Management Center),维护全局的属性列表,对超出本级管理范围访问控制进行响应；第三,设定数据发送者、授权中心、管理机构三方的安全管控策略,设计了基于管控约束策略的、安全细粒度的多级多授权中心(BSP-HABE)模型和方案,描述了系统初始化、数据发布、数据访问以及用户删除等过程。该方案与之前基于属性加密方案相比,加大了环境和策略约束的安全访问策略控制。即在进行属性匹配之前,必须由策略执行点PEP (Policy Execution Point)和策略决策点PDP (Policy Decision Point)对安全访问控制策略进行评估与判定,增加了云存储密文访问的安全性和灵活性；同时在保证安全性的前提下,将用户删除后密文重加密及策略更新工作转移到云服务端执行,降低了数据发布者的计算代价,满足跨云、跨等级的各种数据访问和安全策略的应用需求。