摘 要：隨著云計算技術(shù)的發(fā)展，云服務(wù)在數(shù)據(jù)處理方面也得到了廣泛的應(yīng)用。在云計算環(huán)境下，云服務(wù)為數(shù)據(jù)管理提供了便利，同時也存在著數(shù)據(jù)安全和訪問控制等方面的問題，保證數(shù)據(jù)安全性和機(jī)密性成為云服務(wù)的重要研究課題。文章對基于屬性的加密機(jī)制進(jìn)行了分析，提出了云計算環(huán)境下的基于密鑰策略屬性加密的云存儲訪問控制方案。

關(guān)鍵詞：云計算；屬性加密；訪問控制；密鑰機(jī)制

1 云計算環(huán)境下數(shù)據(jù)存儲安全性分析

云計算是一種新計算機(jī)技術(shù)，把數(shù)據(jù)存儲在云上面，形成一個強(qiáng)大的虛擬資源共享平臺，通過云服務(wù)對數(shù)據(jù)進(jìn)行統(tǒng)一管理。云服務(wù)對用戶進(jìn)行按需服務(wù)，用戶可以隨時對云計算資源中心的數(shù)據(jù)進(jìn)行訪問。云計算為人們的生活和工作帶來了很多好處，但是云計算的系統(tǒng)也存在數(shù)據(jù)安全的問題，云服務(wù)提供商在提供給用戶需要的數(shù)據(jù)的同時，也在不斷地對用戶的隱私數(shù)據(jù)進(jìn)行挖掘，這樣用戶數(shù)據(jù)的安全隱私就會受到威脅，目前一些國家或者地區(qū)，云計算的數(shù)據(jù)安全事故也時有發(fā)生，云計算的數(shù)據(jù)安全性越來越受到人們的重視。數(shù)據(jù)訪問控制作為系統(tǒng)保護(hù)的重要研究領(lǐng)域，在細(xì)粒度訪問控制方面取得了一定的突破。本文在基于身份加密的基礎(chǔ)之上提出了基于屬性加密的訪問控制方法，其具有細(xì)粒度的訪問控制特性，云計算的數(shù)據(jù)共享性非常高，在云計算的環(huán)境下基于屬性加密訪問控制技術(shù)的應(yīng)用，可以提高數(shù)據(jù)的安全性和機(jī)密性。云計算環(huán)境下基于屬性加密訪問控制的研究主要是通過新的加密機(jī)制的研究來提高云服務(wù)的質(zhì)量，在未來的云存儲中基于屬性加密訪問控制一定會得到廣泛的應(yīng)用。

2 基于屬性加密算法分析與研究

雙線性配對是基于屬性加密算法中主要采用的算法，在密碼學(xué)算法中可以增加計算的高效性。在基于屬性加密算法中的安全模型中主要采用哈希函數(shù)，在現(xiàn)代密碼學(xué)的信息安全設(shè)計中，哈希函數(shù)經(jīng)常得到廣泛的應(yīng)用，在數(shù)據(jù)的數(shù)字簽名和密鑰學(xué)管理中，哈希函數(shù)作為主要的工具。在基于屬性的加密算法安全模型中采用標(biāo)準(zhǔn)模型，標(biāo)準(zhǔn)模型是常用的安全模型，密碼的安全性以基于安全假設(shè)的方案為依據(jù)，在安全假設(shè)沒有被攻破前，密碼的安全是攻不破的。安全假設(shè)方案的安全性和真實(shí)環(huán)境安全性是相近的，基于屬性加密算法的安全標(biāo)準(zhǔn)模型如圖1所示。

基于屬性加密包括密鑰策略、密文策略和授權(quán)機(jī)構(gòu)多個方案。在基于屬性的加密中用戶和授權(quán)機(jī)構(gòu)屬于參與方，并且屬性和用戶私鑰都是緊密結(jié)合的，基于屬性加密方案對基于屬性的門限訪問策略是支持的，比如用戶屬性集和密文屬性集之間交集的屬性個數(shù)與系統(tǒng)設(shè)定的門限值一致時，用戶才可以進(jìn)行解密操作；比如一個計算機(jī)文件的集合包括{網(wǎng)絡(luò)、安全、密碼}3個子集，并且我們把計算機(jī)文件的門限值設(shè)置為2，那么用戶的屬性集要符合{網(wǎng)絡(luò)、安全}這樣的屬性集才可以訪問計算機(jī)文件，其他不符合要求的屬性集不可以訪問計算機(jī)文件?；趯傩约用芩惴C(jī)制表達(dá)具有局限性，僅限于門限操作的表示，發(fā)送方不能規(guī)定訪問策略。密文策略的基于屬性加密機(jī)制和密鑰策略的基于屬性加密機(jī)制對復(fù)雜的訪問結(jié)構(gòu)都可以支持，密鑰策略的基于屬性加密機(jī)制中訪問策略由接收方制定，系統(tǒng)密鑰由授權(quán)機(jī)構(gòu)公布，并生成相應(yīng)的用戶私鑰，可以很好地對兩者的關(guān)系進(jìn)行控制。密文策略的基于屬性加密機(jī)制中訪問策略由發(fā)送方制定，系統(tǒng)密鑰由授權(quán)機(jī)構(gòu)公布，可以很好地對兩者的密文解密進(jìn)行控制，靈活地訪問控制策略也增加了系統(tǒng)密鑰在設(shè)計上的復(fù)雜性。

基于屬性加密機(jī)制應(yīng)用于策略比較簡單的應(yīng)用，基于密鑰策略的屬性加密（Key Policy Attributed Based Encryption，KP-ABE）適合應(yīng)用于查詢類的應(yīng)用，基于密文策略的屬性加密適合訪問控制類的應(yīng)用?；诙嗍跈?quán)機(jī)構(gòu)的屬性加密方案中單方面的授權(quán)機(jī)構(gòu)不能生成用戶的私鑰，用戶的私鑰要由多個授權(quán)機(jī)構(gòu)分別生成，這一特點(diǎn)的應(yīng)用使基于多授權(quán)機(jī)構(gòu)的屬性加密具有更大的應(yīng)用價值，單方面的授權(quán)機(jī)構(gòu)生成的用戶私鑰，會將管理不同屬性集的機(jī)構(gòu)密鑰生成的過程交給其他的授權(quán)機(jī)構(gòu)進(jìn)行操作，這樣生成的密鑰安全性低，所以產(chǎn)生的屬性權(quán)限內(nèi)的密鑰要由多個授權(quán)機(jī)構(gòu)分別來進(jìn)行管理，這樣比較切合實(shí)際，生成密鑰安全性也得到了保證。在基于多授權(quán)機(jī)構(gòu)的屬性加密方案中授權(quán)機(jī)構(gòu)包括一個中央授權(quán)機(jī)構(gòu)和任意個屬性授權(quán)機(jī)構(gòu)。中央授權(quán)機(jī)構(gòu)的安全性問題是基于多授權(quán)機(jī)構(gòu)的屬性加密方案考慮的重要問題，在基于多授權(quán)機(jī)構(gòu)的屬性加密方案中保證每個授權(quán)機(jī)構(gòu)獨(dú)立工作互不干擾也是考慮的重點(diǎn)。

3 KP-ABE的云存儲訪問控制方案

云存儲數(shù)據(jù)安全性要求非常高，對數(shù)據(jù)的細(xì)粒度訪問控制和數(shù)據(jù)的機(jī)密性要求也越來越高。針對以上問題，本文提出來在云計算環(huán)境下KP-ABE的訪問控制方案，通過可信任授權(quán)機(jī)構(gòu)對用戶訪問結(jié)構(gòu)和數(shù)據(jù)訪問密鑰進(jìn)行管理，對文件的加密算法采用對稱加密算法，通過代理重加密算法保證數(shù)據(jù)的安全性和機(jī)密性。KP-ABE的訪問控制系統(tǒng)模型如圖2所示，系統(tǒng)由用戶、CSP和可信第三方授權(quán)（Third Authorization，TA）組成，用戶具有數(shù)據(jù)擁有者和數(shù)據(jù)訪問者的雙重身份，TA和CSP是在線狀態(tài)，工作流程是用戶把自己的訪問結(jié)構(gòu)發(fā)送給TA，TA為用戶生成系統(tǒng)的公鑰。KP-ABE的訪問控制適合對小型數(shù)據(jù)文件進(jìn)行加密，用戶通過對稱加密密鑰對數(shù)據(jù)文件進(jìn)行加密得到數(shù)據(jù)密文，然后通過KP-ABE的訪問控制對稱加密得到密鑰密文，用戶作為數(shù)據(jù)訪問者通過第三方授權(quán)機(jī)構(gòu)生產(chǎn)的私鑰，對密鑰密文和文件數(shù)據(jù)密文進(jìn)行解密，這樣就可以對數(shù)據(jù)文件進(jìn)行訪問了。

KP-ABE的云存儲訪問控制方案的安全性分析，第三方授權(quán)機(jī)構(gòu)是完全可以信任的，可以對用戶的訪問結(jié)構(gòu)進(jìn)行安全審核。數(shù)據(jù)機(jī)密性包括數(shù)據(jù)密文和密鑰密文的機(jī)密性，基于KP-ABE的云存儲訪問控制方案主要是依據(jù)密鑰密文的安全性進(jìn)行設(shè)計的，第三方可信授權(quán)機(jī)構(gòu)應(yīng)用到基于KP-ABE的云存儲訪問控制方案中，可以對用戶訪問結(jié)構(gòu)和用戶大量的密碼進(jìn)行優(yōu)化，并結(jié)合代理重加密技術(shù)，這樣可以大大減少數(shù)據(jù)的計算量。云環(huán)境下基于密鑰策略屬性加密的訪問控制方案中，用戶要對大量的訪問密鑰進(jìn)行維護(hù)，分配密鑰的負(fù)擔(dān)也較重，為了解決這個問題在可信第三方授權(quán)機(jī)構(gòu)的基礎(chǔ)之上提出了KP-ABE的云存儲訪問控制方案，通過可信第三方授權(quán)機(jī)構(gòu)對用戶的動態(tài)密鑰進(jìn)行統(tǒng)一管理，這樣分發(fā)數(shù)據(jù)訪問密鑰的負(fù)擔(dān)也減輕了，用戶密鑰存儲的空間就減少了。

4 結(jié)語

云計算是一種動態(tài)計算和虛擬資源存儲服務(wù)結(jié)合的計算模式，是世界計算機(jī)技術(shù)發(fā)展的重要方向。在訪問云端存儲的數(shù)據(jù)資源的時候，保證數(shù)據(jù)的機(jī)密性和數(shù)據(jù)的安全訪問控制是云計算安全研究的重要課題?；谠朴嬎愕膶傩约用茉L問控制研究具有一定的研究意義和應(yīng)用價值。

作者簡介：劉秀彬（1970— ），女，遼寧營口，本科，高級講師；研究方向：計算機(jī)技術(shù)。

[參考文獻(xiàn)]

[1]劉西蒙，馬建峰，熊金波，等.云計算環(huán)境下基于密文策略的權(quán)重屬性加密方案[J].四川大學(xué)學(xué)報（工程科學(xué)版），2013（6）：21-26.

[2]劉西蒙，馬建峰，熊金波，等.密文策略的權(quán)重屬性基加密方案[J].西安交通大學(xué)學(xué)報，2013（8）：44-48.

[3]張浩軍，范學(xué)輝.一種基于可信第三方的CP-ABE云存儲訪問控制[J].武漢大學(xué)學(xué)報（理學(xué)版），2013（2）：153-158.

Abstract： With the development of cloud computing， cloud services in data processing has also been widely used. In the cloud computing environment， cloud service provides a convenient data management. But there are data security and access control and other issues. To ensure data security and confidentiality has become an important research topic of cloud services. In this paper， based on the encryption mechanism of the properties are analyzed， and puts forward the cloud computing environment based on key policy attributes encrypted cloud storage access control scheme.

Key words： cloud computing； attribute encryption； access control； key mechanisms