摘 要：隨著云計(jì)算技術(shù)的發(fā)展，云服務(wù)在數(shù)據(jù)處理方面也得到了廣泛的應(yīng)用。在云計(jì)算環(huán)境下，云服務(wù)為數(shù)據(jù)管理提供了便利，同時(shí)也存在著數(shù)據(jù)安全和訪問(wèn)控制等方面的問(wèn)題，保證數(shù)據(jù)安全性和機(jī)密性成為云服務(wù)的重要研究課題。文章對(duì)基于屬性的加密機(jī)制進(jìn)行了分析，提出了云計(jì)算環(huán)境下的基于密鑰策略屬性加密的云存儲(chǔ)訪問(wèn)控制方案。

關(guān)鍵詞：云計(jì)算；屬性加密；訪問(wèn)控制；密鑰機(jī)制

1 云計(jì)算環(huán)境下數(shù)據(jù)存儲(chǔ)安全性分析

云計(jì)算是一種新計(jì)算機(jī)技術(shù)，把數(shù)據(jù)存儲(chǔ)在云上面，形成一個(gè)強(qiáng)大的虛擬資源共享平臺(tái)，通過(guò)云服務(wù)對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理。云服務(wù)對(duì)用戶進(jìn)行按需服務(wù)，用戶可以隨時(shí)對(duì)云計(jì)算資源中心的數(shù)據(jù)進(jìn)行訪問(wèn)。云計(jì)算為人們的生活和工作帶來(lái)了很多好處，但是云計(jì)算的系統(tǒng)也存在數(shù)據(jù)安全的問(wèn)題，云服務(wù)提供商在提供給用戶需要的數(shù)據(jù)的同時(shí)，也在不斷地對(duì)用戶的隱私數(shù)據(jù)進(jìn)行挖掘，這樣用戶數(shù)據(jù)的安全隱私就會(huì)受到威脅，目前一些國(guó)家或者地區(qū)，云計(jì)算的數(shù)據(jù)安全事故也時(shí)有發(fā)生，云計(jì)算的數(shù)據(jù)安全性越來(lái)越受到人們的重視。數(shù)據(jù)訪問(wèn)控制作為系統(tǒng)保護(hù)的重要研究領(lǐng)域，在細(xì)粒度訪問(wèn)控制方面取得了一定的突破。本文在基于身份加密的基礎(chǔ)之上提出了基于屬性加密的訪問(wèn)控制方法，其具有細(xì)粒度的訪問(wèn)控制特性，云計(jì)算的數(shù)據(jù)共享性非常高，在云計(jì)算的環(huán)境下基于屬性加密訪問(wèn)控制技術(shù)的應(yīng)用，可以提高數(shù)據(jù)的安全性和機(jī)密性。云計(jì)算環(huán)境下基于屬性加密訪問(wèn)控制的研究主要是通過(guò)新的加密機(jī)制的研究來(lái)提高云服務(wù)的質(zhì)量，在未來(lái)的云存儲(chǔ)中基于屬性加密訪問(wèn)控制一定會(huì)得到廣泛的應(yīng)用。

2 基于屬性加密算法分析與研究

雙線性配對(duì)是基于屬性加密算法中主要采用的算法，在密碼學(xué)算法中可以增加計(jì)算的高效性。在基于屬性加密算法中的安全模型中主要采用哈希函數(shù)，在現(xiàn)代密碼學(xué)的信息安全設(shè)計(jì)中，哈希函數(shù)經(jīng)常得到廣泛的應(yīng)用，在數(shù)據(jù)的數(shù)字簽名和密鑰學(xué)管理中，哈希函數(shù)作為主要的工具。在基于屬性的加密算法安全模型中采用標(biāo)準(zhǔn)模型，標(biāo)準(zhǔn)模型是常用的安全模型，密碼的安全性以基于安全假設(shè)的方案為依據(jù)，在安全假設(shè)沒有被攻破前，密碼的安全是攻不破的。安全假設(shè)方案的安全性和真實(shí)環(huán)境安全性是相近的，基于屬性加密算法的安全標(biāo)準(zhǔn)模型如圖1所示。

基于屬性加密包括密鑰策略、密文策略和授權(quán)機(jī)構(gòu)多個(gè)方案。在基于屬性的加密中用戶和授權(quán)機(jī)構(gòu)屬于參與方，并且屬性和用戶私鑰都是緊密結(jié)合的，基于屬性加密方案對(duì)基于屬性的門限訪問(wèn)策略是支持的，比如用戶屬性集和密文屬性集之間交集的屬性個(gè)數(shù)與系統(tǒng)設(shè)定的門限值一致時(shí)，用戶才可以進(jìn)行解密操作；比如一個(gè)計(jì)算機(jī)文件的集合包括{網(wǎng)絡(luò)、安全、密碼}3個(gè)子集，并且我們把計(jì)算機(jī)文件的門限值設(shè)置為2，那么用戶的屬性集要符合{網(wǎng)絡(luò)、安全}這樣的屬性集才可以訪問(wèn)計(jì)算機(jī)文件，其他不符合要求的屬性集不可以訪問(wèn)計(jì)算機(jī)文件。基于屬性加密算法機(jī)制表達(dá)具有局限性，僅限于門限操作的表示，發(fā)送方不能規(guī)定訪問(wèn)策略。密文策略的基于屬性加密機(jī)制和密鑰策略的基于屬性加密機(jī)制對(duì)復(fù)雜的訪問(wèn)結(jié)構(gòu)都可以支持，密鑰策略的基于屬性加密機(jī)制中訪問(wèn)策略由接收方制定，系統(tǒng)密鑰由授權(quán)機(jī)構(gòu)公布，并生成相應(yīng)的用戶私鑰，可以很好地對(duì)兩者的關(guān)系進(jìn)行控制。密文策略的基于屬性加密機(jī)制中訪問(wèn)策略由發(fā)送方制定，系統(tǒng)密鑰由授權(quán)機(jī)構(gòu)公布，可以很好地對(duì)兩者的密文解密進(jìn)行控制，靈活地訪問(wèn)控制策略也增加了系統(tǒng)密鑰在設(shè)計(jì)上的復(fù)雜性。

基于屬性加密機(jī)制應(yīng)用于策略比較簡(jiǎn)單的應(yīng)用，基于密鑰策略的屬性加密（Key Policy Attributed Based Encryption，KP-ABE）適合應(yīng)用于查詢類的應(yīng)用，基于密文策略的屬性加密適合訪問(wèn)控制類的應(yīng)用。基于多授權(quán)機(jī)構(gòu)的屬性加密方案中單方面的授權(quán)機(jī)構(gòu)不能生成用戶的私鑰，用戶的私鑰要由多個(gè)授權(quán)機(jī)構(gòu)分別生成，這一特點(diǎn)的應(yīng)用使基于多授權(quán)機(jī)構(gòu)的屬性加密具有更大的應(yīng)用價(jià)值，單方面的授權(quán)機(jī)構(gòu)生成的用戶私鑰，會(huì)將管理不同屬性集的機(jī)構(gòu)密鑰生成的過(guò)程交給其他的授權(quán)機(jī)構(gòu)進(jìn)行操作，這樣生成的密鑰安全性低，所以產(chǎn)生的屬性權(quán)限內(nèi)的密鑰要由多個(gè)授權(quán)機(jī)構(gòu)分別來(lái)進(jìn)行管理，這樣比較切合實(shí)際，生成密鑰安全性也得到了保證。在基于多授權(quán)機(jī)構(gòu)的屬性加密方案中授權(quán)機(jī)構(gòu)包括一個(gè)中央授權(quán)機(jī)構(gòu)和任意個(gè)屬性授權(quán)機(jī)構(gòu)。中央授權(quán)機(jī)構(gòu)的安全性問(wèn)題是基于多授權(quán)機(jī)構(gòu)的屬性加密方案考慮的重要問(wèn)題，在基于多授權(quán)機(jī)構(gòu)的屬性加密方案中保證每個(gè)授權(quán)機(jī)構(gòu)獨(dú)立工作互不干擾也是考慮的重點(diǎn)。

3 KP-ABE的云存儲(chǔ)訪問(wèn)控制方案

云存儲(chǔ)數(shù)據(jù)安全性要求非常高，對(duì)數(shù)據(jù)的細(xì)粒度訪問(wèn)控制和數(shù)據(jù)的機(jī)密性要求也越來(lái)越高。針對(duì)以上問(wèn)題，本文提出來(lái)在云計(jì)算環(huán)境下KP-ABE的訪問(wèn)控制方案，通過(guò)可信任授權(quán)機(jī)構(gòu)對(duì)用戶訪問(wèn)結(jié)構(gòu)和數(shù)據(jù)訪問(wèn)密鑰進(jìn)行管理，對(duì)文件的加密算法采用對(duì)稱加密算法，通過(guò)代理重加密算法保證數(shù)據(jù)的安全性和機(jī)密性。KP-ABE的訪問(wèn)控制系統(tǒng)模型如圖2所示，系統(tǒng)由用戶、CSP和可信第三方授權(quán)（Third Authorization，TA）組成，用戶具有數(shù)據(jù)擁有者和數(shù)據(jù)訪問(wèn)者的雙重身份，TA和CSP是在線狀態(tài)，工作流程是用戶把自己的訪問(wèn)結(jié)構(gòu)發(fā)送給TA，TA為用戶生成系統(tǒng)的公鑰。KP-ABE的訪問(wèn)控制適合對(duì)小型數(shù)據(jù)文件進(jìn)行加密，用戶通過(guò)對(duì)稱加密密鑰對(duì)數(shù)據(jù)文件進(jìn)行加密得到數(shù)據(jù)密文，然后通過(guò)KP-ABE的訪問(wèn)控制對(duì)稱加密得到密鑰密文，用戶作為數(shù)據(jù)訪問(wèn)者通過(guò)第三方授權(quán)機(jī)構(gòu)生產(chǎn)的私鑰，對(duì)密鑰密文和文件數(shù)據(jù)密文進(jìn)行解密，這樣就可以對(duì)數(shù)據(jù)文件進(jìn)行訪問(wèn)了。

KP-ABE的云存儲(chǔ)訪問(wèn)控制方案的安全性分析，第三方授權(quán)機(jī)構(gòu)是完全可以信任的，可以對(duì)用戶的訪問(wèn)結(jié)構(gòu)進(jìn)行安全審核。數(shù)據(jù)機(jī)密性包括數(shù)據(jù)密文和密鑰密文的機(jī)密性，基于KP-ABE的云存儲(chǔ)訪問(wèn)控制方案主要是依據(jù)密鑰密文的安全性進(jìn)行設(shè)計(jì)的，第三方可信授權(quán)機(jī)構(gòu)應(yīng)用到基于KP-ABE的云存儲(chǔ)訪問(wèn)控制方案中，可以對(duì)用戶訪問(wèn)結(jié)構(gòu)和用戶大量的密碼進(jìn)行優(yōu)化，并結(jié)合代理重加密技術(shù)，這樣可以大大減少數(shù)據(jù)的計(jì)算量。云環(huán)境下基于密鑰策略屬性加密的訪問(wèn)控制方案中，用戶要對(duì)大量的訪問(wèn)密鑰進(jìn)行維護(hù)，分配密鑰的負(fù)擔(dān)也較重，為了解決這個(gè)問(wèn)題在可信第三方授權(quán)機(jī)構(gòu)的基礎(chǔ)之上提出了KP-ABE的云存儲(chǔ)訪問(wèn)控制方案，通過(guò)可信第三方授權(quán)機(jī)構(gòu)對(duì)用戶的動(dòng)態(tài)密鑰進(jìn)行統(tǒng)一管理，這樣分發(fā)數(shù)據(jù)訪問(wèn)密鑰的負(fù)擔(dān)也減輕了，用戶密鑰存儲(chǔ)的空間就減少了。

4 結(jié)語(yǔ)

云計(jì)算是一種動(dòng)態(tài)計(jì)算和虛擬資源存儲(chǔ)服務(wù)結(jié)合的計(jì)算模式，是世界計(jì)算機(jī)技術(shù)發(fā)展的重要方向。在訪問(wèn)云端存儲(chǔ)的數(shù)據(jù)資源的時(shí)候，保證數(shù)據(jù)的機(jī)密性和數(shù)據(jù)的安全訪問(wèn)控制是云計(jì)算安全研究的重要課題?；谠朴?jì)算的屬性加密訪問(wèn)控制研究具有一定的研究意義和應(yīng)用價(jià)值。

作者簡(jiǎn)介：劉秀彬（1970— ），女，遼寧營(yíng)口，本科，高級(jí)講師；研究方向：計(jì)算機(jī)技術(shù)。

[參考文獻(xiàn)]

[1]劉西蒙，馬建峰，熊金波，等.云計(jì)算環(huán)境下基于密文策略的權(quán)重屬性加密方案[J].四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2013（6）：21-26.

[2]劉西蒙，馬建峰，熊金波，等.密文策略的權(quán)重屬性基加密方案[J].西安交通大學(xué)學(xué)報(bào)，2013（8）：44-48.

[3]張浩軍，范學(xué)輝.一種基于可信第三方的CP-ABE云存儲(chǔ)訪問(wèn)控制[J].武漢大學(xué)學(xué)報(bào)（理學(xué)版），2013（2）：153-158.

Abstract： With the development of cloud computing， cloud services in data processing has also been widely used. In the cloud computing environment， cloud service provides a convenient data management. But there are data security and access control and other issues. To ensure data security and confidentiality has become an important research topic of cloud services. In this paper， based on the encryption mechanism of the properties are analyzed， and puts forward the cloud computing environment based on key policy attributes encrypted cloud storage access control scheme.

Key words： cloud computing； attribute encryption； access control； key mechanisms