摘 要：隨著云計算技術(shù)的發(fā)展，云服務在數(shù)據(jù)處理方面也得到了廣泛的應用。在云計算環(huán)境下，云服務為數(shù)據(jù)管理提供了便利，同時也存在著數(shù)據(jù)安全和訪問控制等方面的問題，保證數(shù)據(jù)安全性和機密性成為云服務的重要研究課題。文章對基于屬性的加密機制進行了分析，提出了云計算環(huán)境下的基于密鑰策略屬性加密的云存儲訪問控制方案。

關鍵詞：云計算；屬性加密；訪問控制；密鑰機制

1 云計算環(huán)境下數(shù)據(jù)存儲安全性分析

云計算是一種新計算機技術(shù)，把數(shù)據(jù)存儲在云上面，形成一個強大的虛擬資源共享平臺，通過云服務對數(shù)據(jù)進行統(tǒng)一管理。云服務對用戶進行按需服務，用戶可以隨時對云計算資源中心的數(shù)據(jù)進行訪問。云計算為人們的生活和工作帶來了很多好處，但是云計算的系統(tǒng)也存在數(shù)據(jù)安全的問題，云服務提供商在提供給用戶需要的數(shù)據(jù)的同時，也在不斷地對用戶的隱私數(shù)據(jù)進行挖掘，這樣用戶數(shù)據(jù)的安全隱私就會受到威脅，目前一些國家或者地區(qū)，云計算的數(shù)據(jù)安全事故也時有發(fā)生，云計算的數(shù)據(jù)安全性越來越受到人們的重視。數(shù)據(jù)訪問控制作為系統(tǒng)保護的重要研究領域，在細粒度訪問控制方面取得了一定的突破。本文在基于身份加密的基礎之上提出了基于屬性加密的訪問控制方法，其具有細粒度的訪問控制特性，云計算的數(shù)據(jù)共享性非常高，在云計算的環(huán)境下基于屬性加密訪問控制技術(shù)的應用，可以提高數(shù)據(jù)的安全性和機密性。云計算環(huán)境下基于屬性加密訪問控制的研究主要是通過新的加密機制的研究來提高云服務的質(zhì)量，在未來的云存儲中基于屬性加密訪問控制一定會得到廣泛的應用。

2 基于屬性加密算法分析與研究

雙線性配對是基于屬性加密算法中主要采用的算法，在密碼學算法中可以增加計算的高效性。在基于屬性加密算法中的安全模型中主要采用哈希函數(shù)，在現(xiàn)代密碼學的信息安全設計中，哈希函數(shù)經(jīng)常得到廣泛的應用，在數(shù)據(jù)的數(shù)字簽名和密鑰學管理中，哈希函數(shù)作為主要的工具。在基于屬性的加密算法安全模型中采用標準模型，標準模型是常用的安全模型，密碼的安全性以基于安全假設的方案為依據(jù)，在安全假設沒有被攻破前，密碼的安全是攻不破的。安全假設方案的安全性和真實環(huán)境安全性是相近的，基于屬性加密算法的安全標準模型如圖1所示。

基于屬性加密包括密鑰策略、密文策略和授權(quán)機構(gòu)多個方案。在基于屬性的加密中用戶和授權(quán)機構(gòu)屬于參與方，并且屬性和用戶私鑰都是緊密結(jié)合的，基于屬性加密方案對基于屬性的門限訪問策略是支持的，比如用戶屬性集和密文屬性集之間交集的屬性個數(shù)與系統(tǒng)設定的門限值一致時，用戶才可以進行解密操作；比如一個計算機文件的集合包括{網(wǎng)絡、安全、密碼}3個子集，并且我們把計算機文件的門限值設置為2，那么用戶的屬性集要符合{網(wǎng)絡、安全}這樣的屬性集才可以訪問計算機文件，其他不符合要求的屬性集不可以訪問計算機文件?；趯傩约用芩惴C制表達具有局限性，僅限于門限操作的表示，發(fā)送方不能規(guī)定訪問策略。密文策略的基于屬性加密機制和密鑰策略的基于屬性加密機制對復雜的訪問結(jié)構(gòu)都可以支持，密鑰策略的基于屬性加密機制中訪問策略由接收方制定，系統(tǒng)密鑰由授權(quán)機構(gòu)公布，并生成相應的用戶私鑰，可以很好地對兩者的關系進行控制。密文策略的基于屬性加密機制中訪問策略由發(fā)送方制定，系統(tǒng)密鑰由授權(quán)機構(gòu)公布，可以很好地對兩者的密文解密進行控制，靈活地訪問控制策略也增加了系統(tǒng)密鑰在設計上的復雜性。

基于屬性加密機制應用于策略比較簡單的應用，基于密鑰策略的屬性加密（Key Policy Attributed Based Encryption，KP-ABE）適合應用于查詢類的應用，基于密文策略的屬性加密適合訪問控制類的應用?；诙嗍跈?quán)機構(gòu)的屬性加密方案中單方面的授權(quán)機構(gòu)不能生成用戶的私鑰，用戶的私鑰要由多個授權(quán)機構(gòu)分別生成，這一特點的應用使基于多授權(quán)機構(gòu)的屬性加密具有更大的應用價值，單方面的授權(quán)機構(gòu)生成的用戶私鑰，會將管理不同屬性集的機構(gòu)密鑰生成的過程交給其他的授權(quán)機構(gòu)進行操作，這樣生成的密鑰安全性低，所以產(chǎn)生的屬性權(quán)限內(nèi)的密鑰要由多個授權(quán)機構(gòu)分別來進行管理，這樣比較切合實際，生成密鑰安全性也得到了保證。在基于多授權(quán)機構(gòu)的屬性加密方案中授權(quán)機構(gòu)包括一個中央授權(quán)機構(gòu)和任意個屬性授權(quán)機構(gòu)。中央授權(quán)機構(gòu)的安全性問題是基于多授權(quán)機構(gòu)的屬性加密方案考慮的重要問題，在基于多授權(quán)機構(gòu)的屬性加密方案中保證每個授權(quán)機構(gòu)獨立工作互不干擾也是考慮的重點。

3 KP-ABE的云存儲訪問控制方案

云存儲數(shù)據(jù)安全性要求非常高，對數(shù)據(jù)的細粒度訪問控制和數(shù)據(jù)的機密性要求也越來越高。針對以上問題，本文提出來在云計算環(huán)境下KP-ABE的訪問控制方案，通過可信任授權(quán)機構(gòu)對用戶訪問結(jié)構(gòu)和數(shù)據(jù)訪問密鑰進行管理，對文件的加密算法采用對稱加密算法，通過代理重加密算法保證數(shù)據(jù)的安全性和機密性。KP-ABE的訪問控制系統(tǒng)模型如圖2所示，系統(tǒng)由用戶、CSP和可信第三方授權(quán)（Third Authorization，TA）組成，用戶具有數(shù)據(jù)擁有者和數(shù)據(jù)訪問者的雙重身份，TA和CSP是在線狀態(tài)，工作流程是用戶把自己的訪問結(jié)構(gòu)發(fā)送給TA，TA為用戶生成系統(tǒng)的公鑰。KP-ABE的訪問控制適合對小型數(shù)據(jù)文件進行加密，用戶通過對稱加密密鑰對數(shù)據(jù)文件進行加密得到數(shù)據(jù)密文，然后通過KP-ABE的訪問控制對稱加密得到密鑰密文，用戶作為數(shù)據(jù)訪問者通過第三方授權(quán)機構(gòu)生產(chǎn)的私鑰，對密鑰密文和文件數(shù)據(jù)密文進行解密，這樣就可以對數(shù)據(jù)文件進行訪問了。

KP-ABE的云存儲訪問控制方案的安全性分析，第三方授權(quán)機構(gòu)是完全可以信任的，可以對用戶的訪問結(jié)構(gòu)進行安全審核。數(shù)據(jù)機密性包括數(shù)據(jù)密文和密鑰密文的機密性，基于KP-ABE的云存儲訪問控制方案主要是依據(jù)密鑰密文的安全性進行設計的，第三方可信授權(quán)機構(gòu)應用到基于KP-ABE的云存儲訪問控制方案中，可以對用戶訪問結(jié)構(gòu)和用戶大量的密碼進行優(yōu)化，并結(jié)合代理重加密技術(shù)，這樣可以大大減少數(shù)據(jù)的計算量。云環(huán)境下基于密鑰策略屬性加密的訪問控制方案中，用戶要對大量的訪問密鑰進行維護，分配密鑰的負擔也較重，為了解決這個問題在可信第三方授權(quán)機構(gòu)的基礎之上提出了KP-ABE的云存儲訪問控制方案，通過可信第三方授權(quán)機構(gòu)對用戶的動態(tài)密鑰進行統(tǒng)一管理，這樣分發(fā)數(shù)據(jù)訪問密鑰的負擔也減輕了，用戶密鑰存儲的空間就減少了。

4 結(jié)語

云計算是一種動態(tài)計算和虛擬資源存儲服務結(jié)合的計算模式，是世界計算機技術(shù)發(fā)展的重要方向。在訪問云端存儲的數(shù)據(jù)資源的時候，保證數(shù)據(jù)的機密性和數(shù)據(jù)的安全訪問控制是云計算安全研究的重要課題。基于云計算的屬性加密訪問控制研究具有一定的研究意義和應用價值。

作者簡介：劉秀彬（1970— ），女，遼寧營口，本科，高級講師；研究方向：計算機技術(shù)。

[參考文獻]

[1]劉西蒙，馬建峰，熊金波，等.云計算環(huán)境下基于密文策略的權(quán)重屬性加密方案[J].四川大學學報（工程科學版），2013（6）：21-26.

[2]劉西蒙，馬建峰，熊金波，等.密文策略的權(quán)重屬性基加密方案[J].西安交通大學學報，2013（8）：44-48.

[3]張浩軍，范學輝.一種基于可信第三方的CP-ABE云存儲訪問控制[J].武漢大學學報（理學版），2013（2）：153-158.

Abstract： With the development of cloud computing， cloud services in data processing has also been widely used. In the cloud computing environment， cloud service provides a convenient data management. But there are data security and access control and other issues. To ensure data security and confidentiality has become an important research topic of cloud services. In this paper， based on the encryption mechanism of the properties are analyzed， and puts forward the cloud computing environment based on key policy attributes encrypted cloud storage access control scheme.

Key words： cloud computing； attribute encryption； access control； key mechanisms