池云

（遼寧行政學(xué)院，遼寧沈陽(yáng)，110161）

屬性加密訪(fǎng)問(wèn)控制方法在云環(huán)境下的應(yīng)用研究

池云

（遼寧行政學(xué)院，遼寧沈陽(yáng)，110161）

隨著云計(jì)算技術(shù)的普遍應(yīng)用，云環(huán)境下云資源的安全性問(wèn)題也受到了信息安全技術(shù)領(lǐng)域研究人員的普遍關(guān)注。傳統(tǒng)的訪(fǎng)問(wèn)控制方法不能適應(yīng)云計(jì)算環(huán)境下的數(shù)據(jù)存儲(chǔ)和處理的安全需要，屬性加密訪(fǎng)問(wèn)控制方法在云計(jì)算環(huán)境下的應(yīng)用，可以有效的保證云環(huán)境下數(shù)據(jù)的安全性。本文對(duì)云安全進(jìn)行了簡(jiǎn)單的分析，對(duì)基于屬性的訪(fǎng)問(wèn)控制方法進(jìn)行了研究，結(jié)合云計(jì)算環(huán)境數(shù)據(jù)處理的實(shí)際情況，提出了基于屬性加密訪(fǎng)問(wèn)控制方法在云計(jì)算環(huán)境下應(yīng)用的方案，并進(jìn)行了研究。

屬性加密；訪(fǎng)問(wèn)控制方法；云計(jì)算；訪(fǎng)問(wèn)策略更新

0 引言

云計(jì)算環(huán)境下的數(shù)據(jù)處理工作主要都是由云端后臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)管理中心來(lái)完成，在云計(jì)算環(huán)境下沒(méi)有明確的物理安全控制邊界，云安全是以邏輯安全形式存在的，所以云端的數(shù)據(jù)安全問(wèn)題是云服務(wù)的重點(diǎn)問(wèn)題。在信息安全系統(tǒng)中訪(fǎng)問(wèn)控制管理是重要的組成部分，訪(fǎng)問(wèn)控制方式是保證云環(huán)境下數(shù)據(jù)安全的重要技術(shù)。訪(fǎng)問(wèn)控制主要是對(duì)訪(fǎng)問(wèn)云資源的行為進(jìn)行監(jiān)控和管理，保護(hù)云端資源池內(nèi)的數(shù)據(jù)資源的安全性，對(duì)非法訪(fǎng)問(wèn)的用戶(hù)和行為進(jìn)行限制，允許合法的訪(fǎng)問(wèn)權(quán)限和行為對(duì)云資源進(jìn)行訪(fǎng)問(wèn)操作?；趯傩缘脑L(fǎng)問(wèn)控制方法可以有效的對(duì)分布式的云計(jì)算環(huán)境下的數(shù)據(jù)進(jìn)行有效的保護(hù)。

1 云安全現(xiàn)狀分析

云計(jì)算主要是對(duì)大量數(shù)據(jù)進(jìn)行處理的一種技術(shù)，包括在虛擬資源池的云端對(duì)數(shù)據(jù)的存儲(chǔ)和計(jì)算。在云計(jì)算的環(huán)境下由服務(wù)提供商對(duì)數(shù)據(jù)中心進(jìn)行管理，并提供數(shù)據(jù)托管服務(wù)，用戶(hù)通過(guò)客戶(hù)端的云服務(wù)來(lái)共享各種云資源服務(wù)。云安全的問(wèn)題是云計(jì)算服務(wù)的重要問(wèn)題，也是云計(jì)算發(fā)展的主要方向。云安全包括共享存儲(chǔ)的數(shù)據(jù)安全問(wèn)題、特權(quán)用戶(hù)訪(fǎng)問(wèn)安全問(wèn)題和數(shù)據(jù)恢復(fù)安全問(wèn)題等等。在云環(huán)境下，云用戶(hù)沒(méi)有基礎(chǔ)硬件設(shè)備資源的控制權(quán)，所有的數(shù)據(jù)資源和軟件應(yīng)用程序都存放在云端，所以云安全的問(wèn)題是非常重要的。云計(jì)算安全關(guān)系到用戶(hù)是否能夠得到云計(jì)算的高質(zhì)量服務(wù)。云計(jì)算的安全包括云計(jì)算環(huán)境本身的安全性，也包括對(duì)現(xiàn)有的軟件系統(tǒng)和資源進(jìn)行安全防護(hù)的模式。云用戶(hù)希望自己的數(shù)據(jù)資源在云端進(jìn)行存儲(chǔ)是安全的，數(shù)據(jù)的安全性包括數(shù)據(jù)的完整性和私密性等。云安全包括對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行控制，對(duì)訪(fǎng)問(wèn)數(shù)據(jù)的用戶(hù)進(jìn)行認(rèn)證和審計(jì)。存儲(chǔ)在云端的數(shù)據(jù)要具有私密性，不能隨便被人篡改，用戶(hù)的數(shù)據(jù)在系統(tǒng)內(nèi)進(jìn)行運(yùn)行時(shí)候不被他人修改，保證存儲(chǔ)數(shù)據(jù)的私密性。在云計(jì)算環(huán)境下，在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)臄?shù)據(jù)要具有一定的安全性，保證傳輸?shù)臄?shù)據(jù)完整性和可用性。云端對(duì)數(shù)據(jù)的存儲(chǔ)要保證數(shù)據(jù)的長(zhǎng)時(shí)間可用性，云計(jì)算要具有強(qiáng)大的容災(zāi)恢復(fù)能力，數(shù)據(jù)被突發(fā)事件破壞了，用戶(hù)還可以保持對(duì)數(shù)據(jù)的使用。由于云計(jì)算環(huán)境中存儲(chǔ)海量的數(shù)據(jù)，所以用戶(hù)對(duì)數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)的時(shí)候?qū)?shù)據(jù)訪(fǎng)問(wèn)速度要求很高，云計(jì)算要保證用戶(hù)可以較快的對(duì)云資源進(jìn)行訪(fǎng)問(wèn)。訪(fǎng)問(wèn)控制方法等云安全技術(shù)在云計(jì)算中的應(yīng)用是云計(jì)算研究的重點(diǎn)內(nèi)容。

2 基于屬性的訪(fǎng)問(wèn)控制方法研究

訪(fǎng)問(wèn)控制技術(shù)是對(duì)系統(tǒng)內(nèi)部資源進(jìn)行安全保護(hù)的一種技術(shù)，是保證系統(tǒng)內(nèi)部安全的關(guān)鍵性技術(shù)?；趯傩缘脑L(fǎng)問(wèn)控制通過(guò)對(duì)主體和客體的屬性作為授權(quán)決策，對(duì)系統(tǒng)的訪(fǎng)問(wèn)控制和用戶(hù)的動(dòng)態(tài)擴(kuò)展等問(wèn)題進(jìn)行解決。基于屬性的訪(fǎng)問(wèn)控制與傳統(tǒng)的訪(fǎng)問(wèn)控制方法不一樣，基于屬性的訪(fǎng)問(wèn)控制方法可以應(yīng)用于開(kāi)放的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中?；趯傩缘脑L(fǎng)問(wèn)控制方法把主體、操作和環(huán)境之間的屬性作為授權(quán)元素，主體對(duì)資源進(jìn)行訪(fǎng)問(wèn)要通過(guò)一定的策略來(lái)對(duì)訪(fǎng)問(wèn)的請(qǐng)求進(jìn)行決策。基于屬性的訪(fǎng)問(wèn)控制模型可以把訪(fǎng)問(wèn)控制相關(guān)的主體和資源等作為屬性集合進(jìn)行統(tǒng)一的建模，通過(guò)實(shí)體屬性之間的關(guān)系來(lái)完成訪(fǎng)問(wèn)控制過(guò)程?；趯傩缘脑L(fǎng)問(wèn)控制模型在表達(dá)能力上非常強(qiáng)大。屬性可以通過(guò)不同的角度來(lái)對(duì)實(shí)體屬性進(jìn)行描述，可以對(duì)訪(fǎng)問(wèn)控制策略進(jìn)行靈活的描述。

3 基于屬性加密訪(fǎng)問(wèn)控制方法在云環(huán)境下的應(yīng)用

基于屬性加密訪(fǎng)問(wèn)控制模式采用基于屬性訪(fǎng)問(wèn)控制方法進(jìn)行建立，屬性加密訪(fǎng)問(wèn)控制不直接定義主體和客體之間的授權(quán)，通過(guò)主體和客體之間的屬性作為依據(jù)來(lái)制定授權(quán)策略。屬性加密訪(fǎng)問(wèn)控制根據(jù)動(dòng)態(tài)變化的實(shí)體屬性，對(duì)訪(fǎng)問(wèn)策略進(jìn)行實(shí)時(shí)更新，屬性加密訪(fǎng)問(wèn)控制的授權(quán)方法是靈活的，基于屬性加密訪(fǎng)問(wèn)控制方法可以在云計(jì)算環(huán)境下得到很好的應(yīng)用。云環(huán)境下屬性加密訪(fǎng)問(wèn)控制模型通過(guò)基于屬性加密的訪(fǎng)問(wèn)控制方法，支持跨域訪(fǎng)問(wèn)的決策。云環(huán)境下屬性加密訪(fǎng)問(wèn)控制模型如圖1所示。

圖1 云環(huán)境下屬性加密訪(fǎng)問(wèn)控制模型框架

在云環(huán)境下屬性加密訪(fǎng)問(wèn)控制模型框架中，用戶(hù)對(duì)云計(jì)算服務(wù)進(jìn)行資源和服務(wù)的訪(fǎng)問(wèn)的時(shí)候，首先向安全認(rèn)證機(jī)構(gòu)進(jìn)行安全證書(shū)的申請(qǐng)，完成對(duì)云用戶(hù)身份的安全認(rèn)證，對(duì)非法用戶(hù)的惡意攻擊可以進(jìn)行防范。系統(tǒng)內(nèi)的所有的安全域內(nèi)對(duì)安全證書(shū)的數(shù)據(jù)信息都是信任的，這樣可以避免驗(yàn)證的重復(fù)操作。安全認(rèn)證模塊可以對(duì)用戶(hù)的身份進(jìn)行安全認(rèn)證，這是系統(tǒng)安全認(rèn)證的第一層結(jié)構(gòu)，然后通過(guò)安全認(rèn)證的第二層安全域?qū)τ脩?hù)訪(fǎng)問(wèn)的請(qǐng)求進(jìn)行基于屬性策略的決策，這樣可以對(duì)云資源的安全進(jìn)行很好的保護(hù)。經(jīng)過(guò)安全認(rèn)證的云用戶(hù)對(duì)云資源和服務(wù)進(jìn)行訪(fǎng)問(wèn)的時(shí)候，要發(fā)送請(qǐng)求給負(fù)責(zé)域定位的服務(wù)器，域定位服務(wù)器對(duì)資源屬性進(jìn)行分析，判斷訪(fǎng)問(wèn)是本地訪(fǎng)問(wèn)還是跨區(qū)域訪(fǎng)問(wèn)，然后對(duì)用戶(hù)訪(fǎng)問(wèn)的資源進(jìn)行查找。訪(fǎng)問(wèn)決策模塊采用基于數(shù)據(jù)加密訪(fǎng)問(wèn)控制的方法采用一定的策略對(duì)用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求進(jìn)行判斷，然后把處理的結(jié)果發(fā)送給用戶(hù)，訪(fǎng)問(wèn)控制模塊策略的制定是根據(jù)自己的要求來(lái)進(jìn)行的，可以為策略的判斷提供有利的技術(shù)支持。

4 總結(jié)

云環(huán)境的安全域是開(kāi)放而且獨(dú)立的，可以實(shí)現(xiàn)不同區(qū)域的安全域信息之間的共享?；趯傩约用茉L(fǎng)問(wèn)控制方法在云計(jì)算環(huán)境下的應(yīng)用，保護(hù)的云資源數(shù)據(jù)的安全性，提高了系統(tǒng)資源的訪(fǎng)問(wèn)性能?；趯傩约用茉L(fǎng)問(wèn)控制方法在云計(jì)算環(huán)境下的應(yīng)用具有一定的研究?jī)r(jià)值和應(yīng)用意義。

[1]寧玉梅,丁振國(guó),曾平,王晨.基于雙重身份認(rèn)證的云計(jì)算訪(fǎng)問(wèn)控制模型[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版).2012(S1).

[2]牛德華,馬建峰,馬卓,李辰楠,王蕾.基于屬性的安全增強(qiáng)云存儲(chǔ)訪(fǎng)問(wèn)控制方案[J].通信學(xué)報(bào).2013(S1).

[3]溫昱暉,陳廣勇,趙勁濤,沈吉喆.基于CP-ABE在云計(jì)算中實(shí)現(xiàn)數(shù)據(jù)訪(fǎng)問(wèn)控制的方案[J].重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版).2013(05).

Application Research of attribute based access control method in cloud environment

Chi Yun
(Liaoning Academy of Governance, Shenyang Liaoning,110161)

With the widespread application of cloud computing technology, the security of cloud resources in the cloud environment has also attracted widespread attention of researchers in the field of information security technology The traditional access control methods can not adapt to the cloud computing environment of data storage and processing of security needs, the attribute based encryption method of access control application under the environment of cloud computing, can effectively guarantee the security of the cloud environment data This paper gives a simple analysis of the cloud security, the attribute based access control method is studied, combined with the actual situation of cloud computing data processing environment, put forward the method of computing application access control encryption scheme in the cloud based properties and studied

attribute encryption;access control method;cloud computing;access policy update