一種面向云計算環境的屬性訪問控制模型

王靜宇，馮黎曉，鄭雪峰

?

一種面向云計算環境的屬性訪問控制模型

王靜宇1, 2，馮黎曉2，鄭雪峰1

(1. 北京科技大學計算機與通信工程學院，北京，100083；2. 內蒙古科技大學信息工程學院，內蒙古包頭，014010)

針對云計算環境下的訪問控制問題，結合云計算環境存在多個邏輯安全域的特點，提出一種面向云計算環境的屬性訪問控制模型。該模型采用基于屬性的訪問控制方法實現本地域和跨域訪問決策。對該模型進行形式化描述并給出決策核心算法。在域間屬性同步方面，設計一種信號量及P/V操作機制以解決對屬性表調用和更新的互斥問題。仿真實驗表明：該模型不僅實現細粒度訪問控制，而且能夠縮短訪問控制決策時間，提高決策效率。

云計算；多域；訪問控制；云安全

云計算[1]是當前信息技術領域的熱門話題之一，是產業界、學術界、政府等各界均十分關注的焦點，是分布式計算、并行計算、網格計算、網絡存儲等傳統計算機和網絡技術發展融合的產物。其核心思想是將大量計算資源、存儲資源與軟件資源鏈接在一起，形成巨大規模的共享虛擬IT資源池。在云計算環境中，數據所有者(DataOwner)包括企業、個人或者組織等，將數據中心轉移到云端交由云服務提供商(CSP)進行管理，構成一個巨大的虛擬云資源池。CSP為DataOwner提供數據托管服務，同樣也可為云用戶提供各種類型的云資源/服務。在云資源池中傳統架構模式下的物理安全邊界域消失，而是以邏輯安全域的形式存在，云資源失去了物理邊界域的安全控制，存在數據安全性與隱私性的憂慮，因此，需要提出一種適合云計算環境的訪問控制模型來解決其在安全方面的隱患。

1 相關研究

傳統的訪問控制模型[2?3]分為3類：自主訪問控制、強制訪問控制和基于角色的訪問控制模型。傳統的訪問控制機制是基于固定標識或身份的，適用于集中封閉式網絡環境。在云計算環境中尤其是公有云環境，由于云用戶的數量巨大，對云資源/服務的需求具有不確定性，這需要對云用戶權限的授予和取消是動態變化的。對于云用戶的1條訪問請求，被訪問的云資源/服務可能屬于不同的邏輯安全域。顯然，傳統訪問控制方法不適用于具有開放性、共享性的云計算環境。

目前，國內外研究學者在傳統訪問控制模型的基礎上，根據云計算環境的特點提出了一些比較合理的訪問控制模型。這些訪問控制模型大部分是將傳統的訪問控制模型進行改進和擴展。例如，Ferraido等[4]提出的IRBAC2000 模型通過增加域間角色映射表來實現跨域訪問控制授權。該方案雖然實現了跨域訪問控制，但是其授權決策過程沒有考慮上下文環境，實現的是粗粒度的訪問控制，將該模型推廣到多個邏輯安全域時，將會出現域穿梭問題，因此，該模型不適用于多邏輯安全域穿梭的角色映射，尤其是存在多邏輯安全域的云計算環境。檀翔[5]提出一種基于鏡像角色的訪問控制管理模型，通過鏡像角色關系，實現不同邏輯域之間的安全共享訪問。該模型規避了域穿梭問題，管理簡單實用性好，但是其訪問控制控制粒度不夠細。趙明斌等[6]分析了云計算環境具有虛擬化和彈性化的特性，提出一種基于角色訪問控制(RBAC)的云計算訪問控制模型，將動態可變機制與主客體安全等級引入到訪問控制策略中。該模型提高了訪問控制的安全性、可靠性和靈活性。由于RBAC模型采用預先分配方式為角色進行訪問授權，而用戶實際使用權限的過程中并不進行監管和控制，當發現用戶進行惡意操作時，云資源很可能已經被破壞。為了解決以上問題，一些研究學者提出將信任機制與RBAC機制結合，從而更加安全合理的為用戶分配所需的權限。Tan等[7]引入“信任度”的概念，提出了云計算環境下基于信任的動態RBAC模型。該模型給出了信任度的計算方法，并根據用戶的角色信息和信任度為其分配權限，能提高云資源訪問過程的安全性，但是沒有考慮到云計算環境中存在多個邏輯安全域的特點，沒有給出跨域訪問的方法。林果園等[8]提出云計算訪問控制安全模型(CCACSM)，該模型通過基于行為的訪問控制技術將BLP模型和Biba模型相結合，能夠保證云端服務器中數據的安全性和保密性，但其“上讀下寫”的特性使得該模型的可用性降低。

基于屬性的訪問控制思想源于信任管理[9]，Zhang等[10?11]分別提出基于主客體屬性的訪問控制矩陣模型和用有限集合論描述主、客體屬性的訪問控制邏輯框架，但二者對屬性描述均為粗粒度，也未給出訪問控制具體實現方法。蓋新貌等[12]提出1個面向云計算環境的多租戶訪問控制模型，但該模型管理員權限不易控制，不能根據云計算特點實現大規模動態用戶擴展和細粒度訪問控制的需求。

基于以上文獻的研究成果，針對上述模型在控制粒度、靈活性、可擴展性等方面的不足，本文作者提出1種面向云計算環境的基于屬性的訪問控制模型。該模型將基于屬性的訪問控制方法[13]運用在云計算環境中。在CC-ABAC中，訪問請求以訪問者、被訪問資源、環境、動作等屬性進行描述，訪問決策基于訪問請求中的屬性信息，它根據訪問者、被訪問資源、動作和運行上下文的屬性，采用動態、細粒度授權機制，具有更好的靈活性和可擴展性。

2 CC-ABAC模型

2.1 CC-ABAC形式化定義

云計算環境下的訪問控制(CC-ABAC)模型采用基于屬性的訪問控制(ABAC)方法實現本地域和跨域訪問決策。ABAC的基本觀點是不直接在主、客體之間定義授權，而是利用與主體、客體、環境相關的屬性作為授權策略制定的基礎[14]。屬性是指描述某個實體的一種事實，根據訪問控制的需求可將屬性分為4種：主體屬性、資源屬性、環境屬性和動作屬性。CC-ABAC能夠根據實體屬性的動態變化，實時更新訪問判定策略，定義了1種細粒度的靈活授權方法，適用于云計算環境下的訪問控制。下面給出CC-ABAC的形式化定義。

定義1 CC-ABAC。CC-ABAC是1個由(，，，)組成的四元組。其中：表示主體；表示資源；表示環境；表示動作。

定義2 屬性名值對。分別用Sattr，Rattr，Eattr和Aattr表示主體、資源、環境、動作屬性名。對屬性名賦值的結果記作屬性名值對：avp←(attr=value)，其中attr為屬性名，value為屬性值。分別用Savp，Ravp，Eavp和Aavp表示主體、資源、環境、動作屬性名值對。

定義3 訪問請求。用戶的訪問請求定義為Req(，，，)，其中

={Savp1，Savp2，…，Savpt}，為主體屬性名值對集合；

={Ravp1，Ravp2，…，Ravpm}，為資源屬性名值對集合；

={Eavp1，Eavp2，…，Eavpn}，為環境屬性名值對集合；

={Aavp1，Aavp2，…，Aavpk}，為動作屬性名值對集合。

從以上定義推導得到：Req(，，，)={Savp1，Savp2，…，Savpt}∩{Ravp1，Ravp2，…，Ravpm}∩ {Eavp1，Eavp2，…，Eavpn}∩{Aavp1，Aavp2，…，Aavpk}。

定義4 屬性謂詞值對。apvp←(attr∝ value),∝∈{>,<,=,≥,≤,≠, in, not in, between}，為關系表達式運算符，用來限定屬性的取值范圍。

分別用Sapvp，Rapvp，Eapvp和Aapvp表示主體、資源、環境、動作的屬性謂詞值對，并設：

P={Sapvp1，Sapvp2，…，Sapvpi}，為主體屬性謂詞值對的集合；

P={Rapvp1，Rapvp2，…，Rapvpj}，為資源屬性謂詞值對的集合；

P={Eapvp1，Eapvp2，…，Eapvpi}，為環境屬性謂詞值對的集合；

P={Aapvp1，Aapvp2，…，Aapvps}，為動作屬性謂詞值對的集合；

定義5 CC-ABAC策略。

Policy←(Target，CombiningAlgorithm，Rule)，即1條策略由Target(目標)、CombiningAlgorithem(合并算法)，Rule(規則)三者組成。

Target←(Subjects，Resources，Environments，Actions)。

其中：Target由Subjects，Resources，Environments和Actions共4種元素組成，用來說明所屬的Policy是否適合訪問請求，使用這4種元素對請求內容進行匹配，若匹配成功，則說明所屬的Policy能都適用該請求。

rule=Sign←(P，P，P，P)。其中，Sign為規則的判定結果，Sign∈(permit,deny)。

規則集合Rule={rule1，rule2，…，rulet}。

CombiningAlgorithem(合并算法)：表示生成Policy決策結果對Rule判定結果的合并算法。

定義6 策略判定。對于給定1條訪問請求Req(，，，)和訪問控制策略Policy (Target，CombiningAlgorithem，Rule)，首先進行策略評估PolicyEvalucation(Req，Policy)，評估此訪問控制策略是否適合判定此訪問請求，若此策略不適合判定此請求則返回not-applicable，否則返回策略的Sign集合。策略判定過程如圖1所示。

圖1 策略判定過程

2.2 CC-ABAC模型組成

CC-ABAC模型主要由3個模塊組成：安全認證模塊、域定位模塊、訪問決策模塊。CC-ABAC總框架模型如圖2所示。

圖2 CC-ABAC模型

2.2.1 安全認證模塊

云用戶在首次訪問云資源/服務時，向安全認證機構申請安全證書(Security Certificate，SC)，對云用戶的身份進行安全認證，防止非法用戶惡意攻擊。此安全證書信息被所有的安全域所信任，減免了重復登錄和驗證的操作。

2.2.2 域定位模塊

通過安全認證機構認證的云用戶在訪問云資源/服務時，首先發送訪問請求Req(，，，)到域定位服務器，域定位服務器通過對主體屬性(Sattr)和資源屬性(Rattr)的分析判斷是跨域訪問還是本地域訪問，然后查找被訪問資源。

2.2.3 訪問決策模塊

訪問決策模塊分為跨域訪問決策和本地域訪問決策。采用ABAC方法對云用戶的訪問請求Req(，，，)進行策略判定，將最終判定結果返回給云用戶。DataOwner根據自己的要求制定策略集，為策略判定過程提供支持。

圖3所示序列圖描述了當云用戶申請訪問某云資源/服務時，安全認證模塊、域定位模塊、訪問決策模塊之間的交互協作關系。

圖3 云計算環境下基于屬性的訪問控制序列圖

2.2.4 細粒度訪問控制

CC-ABAC模型是根據參與決策的相關實體屬性來進行細粒度授權決策的，在該模型中主體屬性包括身份、角色、能力、職位、IP地址、所屬組織、工作、公鑰基礎設施(PKI)證書、信任度等；資源屬性包括資源的標識、位置、大小、值、創建者、服務等級、創建日期等；環境屬性通常是描述事務處理時的上下文環境，包括時間、日期、系統狀態、安全級別等；動作屬性表示對資源或客體的操作，如讀操作、寫操作、復制及刪除等。

該模型通過增加屬性關聯約束條件對主客體屬性進行限制性要求，形成細粒度屬性條件約束，如某屬性約束條件要求主體的安全級別屬性必須大于3及信任度大于0.8，并且崗位級別必須大于5。

在角色等基本訪問控制模型中，權限是操作與客體的二元關系，而在本模型中將細粒度授權定義為主體、動作、客體、環境與約束條件的多元關系，只有所有約束條件組合為真時，操作與客體的二元關系才能被接受，該授權才有效。

2.3 本地域訪問決策

本文作者結合可擴展訪問控制標記語言(XACML)[15]規范中定義的訪問控制數據流模型制定了本地域訪問控制決策結構模型。XACML提供了1個統一的訪問控制策略編寫規范，使得不同安全域的訪問控制策略具有通用性，從而實現了云計算環境下的跨域訪問。

在本地域中，訪問控制決策主要分為5部分：策略執行點(PEP)，策略決策點(PDP)，策略信息點( PIP)，策略管理點(PAP)。PEP 負責與外部應用交互，將從外部應用獲取的請求傳遞給PDP，再從PDP 獲得返回結果。PDP 為判斷請求是否能夠訪問的決策部分。PIP 為PDP 提供決策過程中需要的屬性信息。PAP 為PDP 提供決策策略?；趯傩缘谋镜赜蛟L問決策結構模型如圖4所示。

圖4 本地域訪問決策結構模型

1) 云用戶在首次訪問云資源/服務時，向安全認證機構申請安全證書。

2) 云用戶在獲取安全證書后，發送訪問請求Req(，，，)到域定位服務器，域定位服務器通過對主體屬性和資源屬性的分析判斷為本地域訪問，在本地查找被訪問資源。

3) 本地域訪問決策結構結合XACML框架進行分析，主要包括PEP，PDP，PIP和PAP共4部分。判定過程如下：

① PEP模塊在決策機制中是與外界交互的模塊，PIP 為PDP 提供決策過程中需要的屬性信息，PEP從外部接收原始的訪問請求(NAR)，然后根據NAR的內容，利用PIP以及屬性庫中存儲的屬性，建立1個基于屬性的訪問請求(AAR)，AAR是由主體、資源、動作和環境屬性取值組成的，是對請求者、被請求資源、被請求動作以及當前環境的描述。PEP將AAR傳遞給PDP。

② PDP模塊主要負責對訪問請求的決策，PDP根據AAR的內容并結合PIP中的屬性，向PAP發送策略匹配請求，以找到適合判定該AAR請求的策略集。

③ PAP根據AAR中的主體、資源、動作、環境屬性在策略庫中查找匹配目標的策略集，若查找到，則將策略集返回給PDP進行判定。否則，返回not-application。

④ 策略集中包含多條策略，每條策略中包含多個規則，規則元素為策略判斷提供支持，策略元素為策略集判斷提供支持。

⑤ 策略合并算法表示生成策略集決策結果時對策略決策結果的合并方法，規則合并算法表示生成策略決策結果時對規則判定結果的合并方法。

⑥ PDP將策略集對AAR的判定結果返回給PEP。

4) PEP將判定結果返回給云用戶。

5) 云用戶執行判定結果中的訪問權限，允許或者拒絕訪問云資源/服務。

2.4 跨域訪問決策

云計算環境下通常存在多個邏輯安全域，各個邏輯安全域有自己的權限管理和訪問控制體系。而在大多數情況下，云用戶需要訪問處于不同邏輯安全域內的云資源/服務，所以，如何保證云用戶能夠安全有效的進行跨域訪問是云計算環境下訪問控制模型研究的重點問題?；谠朴嬎悱h境復雜多變的特點，本文作者采用基于屬性的訪問控制方法，以同步適應環境的動態變化。

基于屬性的跨域訪問決策結構模型如圖5所示。

1) A域中的云用戶在通過安全認證之后，攜帶其安全證書(SC)進行跨域訪問。

2) A域中的云用戶在發送跨域訪問請求到B域之前，首先要通過本地域的策略決策，判斷云用戶是否有訪問目的域的權限，由A.PDP進行決策。

3) A.PDP將決策結果發送到A.PEP和A.PEP執行A.PDP決策結果中的權限。

4) A.PEP發送跨域訪問請求Req(，，，)到B.PEP，B.PEP查看其安全證書(SC)。

圖5 跨域訪問決策結構模型

5) B.PEP檢測訪問請求中主體屬性是否發生變化，若檢測到其發生變化，則發送更新屬性庫請求，更新B屬性庫中主體的屬性表。若檢測主體屬性沒有變化，則將請求轉交到下一步。

6) B.PEP發送訪問請求到B.PDP和B.PDP匹配適用于此訪問請求的策略集進行策略決策、選取策略合并算法、合并子策略。

7) B.PDP將最終的決策結果發送到B.PEP。

8) B.PEP執行B.PDP決策結果中的權限，允許或拒絕訪問云資源/服務。

2.5 域間屬性同步

云計算環境下云用戶權限的授予和取消是動態變化的，各個邏輯安全域內的云用戶的數目也是動態變化的，隨時有新用戶的加入和舊用戶的退出，這使得主體信息經常發生變化影響策略評估和判定，需要及時更新屬性庫中的主體屬性表。對于主體屬性表進行更新需要考慮以下2個問題：

1) 在跨域訪問過程中，當本地域主體屬性發生變化時如何保持主體屬性表在本地域和目標域的同步。

2) 當對某個主體的屬性表進行更新的同時，如果剛好有另外一個操作調用此主體的屬性，則會產生錯誤操作。

為了解決以上2個問題，本文作者利用信號量和P/V操作機制[16]解決跨域屬性的同步問題和屬性調用、更新的互斥問題。對于屬性庫中的任何1個主體設置1個信號量并將其初始值賦值為1：mutexj=1。

當B.PEP檢測到主體的屬性發生變化時，發送屬性更新請求，執行P(mutexj)操作。對主體的屬性表更新完畢后，執行V(mutexj)操作。最后將屬性的更新和維護的結果以及其他相關信息返回A域。

P/V操作過程如圖6所示，其中：Semaphore表示所定義的變量是信號量。

圖6 P/V操作過程

利用信號量和P/V操作機制實現了A域和B域之間主體屬性的同步，同時也解決了屬性更新和屬性調用的互斥問題，使得動態授權和取消授權變得很容易，滿足云計算環境動態性的特點。

2.6 訪問決策核心算法

本地域訪問決策中最重要的模塊為PDP模塊，PDP模塊的功能是：接收到云用戶發送的訪問請求后，獲取策略集，對請求進行策略判定，返回判定結果。

在跨域訪問過程中需要保持主體屬性在主體域和資源域的一致性，資源域中的PEP模塊主要功能是：檢測訪問請求中主體屬性是否發生變化，如果主體屬性沒有改變則把此條訪問請求交由PDP進行下一步處理；如果主體屬性發生改變則PEP將主體屬性信息傳遞給屬性庫，更新屬性庫中主體的屬性表。

PDP和PEP模塊核心算法偽代碼如圖7所示。

圖7 PDP和PEP模塊核心算法

3 仿真實驗

Hadoop是一個開源云計算平臺[17]，在本文中用于搭建云資源池仿真平臺，在該平臺上模擬設置3個數據資源中心，它們分別屬于3個不同的邏輯安全域，這些邏輯安全域被命名為M1，M2和M3，如圖8所示。分別在這3個邏輯安全域上建立多個仿真用戶，包括數據擁有者和終端云用戶，不同的數據擁有者在不同的邏輯安全域上設置不同的資源和對其屬性進行細粒度定義，并制定訪問控制策略集，授權滿足相應屬性及其屬性組合約束條件的云用戶訪問相應資源。

圖8 云訪問控制模擬平臺

仿真實驗設置如下：針對3個邏輯安全域，根據系統對用戶的訪問控制要求共模擬編寫了1000條策略，其中每條策略可能包含1條至上千條規則不等,以驗證CC-ABAC模型的正確性、細粒度訪問決策、可擴展性和效率等。

3.1 細粒度訪問控制

訪問控制策略復雜度越高，說明訪問控制粒度越細。訪問控制復雜度與一條策略中包含的屬性謂詞值對的個數有關，策略中包含的屬性謂詞值對越多，則此條策略的復雜度越高。在實驗測試中本文作者選擇了50條不同策略復雜度的訪問控制策略，每條策略含有從幾個到上千個不等的屬性謂詞值對，實驗并記錄它們的策略決策時間，策略復雜度與策略決策時間的關系如圖9所示。

圖9 策略復雜度與策略決策時間的關系

由圖9可知：隨著策略復雜度的增大，控制粒度更加精細，策略決策時間也隨之緩慢增長，并趨于平緩；訪問控制策略粒度，對策略決策時間影響不大。

3.2 本地安全域及跨邏輯安全域訪問決策

在本地安全域訪問控制決策和跨邏輯安全域訪問控制決策的實驗測試中，隨機選取這2種類型的訪問控制請求各20條，針對每條訪問控制請求和策略判定的規則數，記錄其在策略判定時的策略決策時間，并對每條請求重復50次實驗以計算其平均決策時間。圖10所示為上述2種訪問控制類型的不同規則數與策略決策時的平均決策時間的關系圖。

1—本地域訪問；2—跨域訪問

從圖10可知：無論是本地安全域還是跨邏輯安全域訪問請求，其策略判定的平均決策時間都隨訪問控制策略規則數的增加而緩慢上升，跨邏輯安全域訪問平均決策時間相對更長，但都與相同策略規則數的本地安全域訪問平均決策時間差距在10 ms以內，在實際情況下，對1條訪問請求進行判定的策略條數不會太大，所以，判斷時間不會影響系統的性能。表明該模型具有較好的可擴展性，提高了決策效率。

4 結論

1) 在安全性方面，此模型將對云用戶的安全認證與對訪問請求的策略判定結合在一起，使得授權的過程不僅僅是對訪問行為的驗證。

2) 在訪問控制粒度方面，此模型的授權決策是基于主體、客體、環境和權限的屬性，采用動態的、細粒度的機制進行授權。利用信號量和P/V操作機制解決跨域屬性的同步問題以及屬性調用、更新的互斥問題。仿真實驗結果表明CC-ABAC模型的正確性、可擴展性、高效和細粒度訪問控制能力。

[1] Cloud Computing[EB/OL]. [2013?10]. http://baike.baidu.com/ view/1316082.htm.

[2] 李鳳華, 史國振, 馬建鋒, 等. 訪問控制模型研究進展及發展趨勢[J]. 電子學報, 2012, 40(4): 805?813. LI Fenghua, SHI Guozhen, MA Jianfeng, et al. Research status and development trends of access control model[J]. Acta Electronica Sinica, 2012, 40(4): 805?813.

[3] 韓道軍, 高潔, 翟浩良, 等. 訪問控制模型研究進展[J]. 計算機科學, 2010, 37(11): 29?33.HAN Daojun, GAO Jie, ZHAI Haoliang, et al. Research progress on the access control model[J]. Journal of Computer Science, 2010, 37(11): 29?33.

[4] Ferraiolo D F, Sandhu R, Gavrila S, et al. Proposed NIST standard for role-based access control[J]. ACM Trans on Information and System Security, 2001, 4(3): 224?274.

[5] 檀翔. 云計算環境下的訪問控制模型研究[D]. 北京: 北京交通大學電子信息工程學院, 2011: 35?41. TAN Xiang. Research on access control model in cloud computing environment[D]. Beijing: Beijing Jiaotong University. School of Electronic and Information Engineering, 2011: 35?41.

[6] 趙明斌, 姚志強. 基于RBAC的云計算訪問控制模型[J]. 計算機應用, 2012, 32(S2): 267?270. ZHAO Mingbin, YAO Zhiqiang. Cloud computing access control model based on RBAC[J]. Journal of Computer Applications, 2012, 32(S2): 267?270.

[7] TAN Zhanjiang, TANG Zhuo, LI Renfa, et al. Research on trust-based access control model in cloud computing[C]//Proceedings of IEEE Joint International Information Technology and Artificial Intelligence Conference. Chongqing, China: IEEE Press, 2011: 339?344.

[8] 林果園, 賀珊, 黃皓, 等. 基于行為的云計算訪問控制模型安全模型[J]. 通信學報, 2012, 33(3): 59?66. LIN Guoyuan, HE Shan, HUANG Hao, et al. The cloud computing access control model based on behavior security model[J]. Journal of Communication, 2012, 33(3): 59?66.

[9] 李建欣, 懷進鵬, 李先賢. 自動信任協商研究[J]. 軟件學報, 2006, 17(1): 124?133. LI Jianxin, HUAI Jinpeng, LI Xianxian. Research on automated trust negotiation[J]. Journal of Software, 2006, 17(1): 124?133.

[10] ZHANG Xinwen, LI Yingjiu, Nalla D. An attribute-based access matrix model[C]//Proc of 2005 ACM Symposium on Applied Computing. New Mexico, USA: ACM Press, 2005: 359?363.

[11] Wijesekera D, Jajodia S. A logic-based framework for attribute based access control[C]//Proc. of 2004 ACM Workshop on Formal Methods in Security Engineering. Washington D C, USA: ACM Press, 2004: 45?55.

[12] 蓋新貌, 沈昌祥, 劉毅, 等. 基于屬性訪問控制的CSP模型[J]. 小型微型計算機系統, 2011, 32(11): 2217?2222. GAI Xinmao, SHEN Changxiang, LIU Yi, et al. CSP model based on attribute Access control[J]. Journal of Chinese Computer Systems, 2011, 32 (11): 2217?2222.

[13] 李曉峰, 馮國登, 陳朝武, 等. 基于屬性的訪問控制模型[J]. 通信學報, 2008, 29(4): 90?98.LI Xiaofeng, FENG Guodeng, CHEN Chaowu, et al. The access control model based on attribute[J]. Journal of Communications, 2008, 29(4): 90?98.

[14] 程相然, 陳性元, 張斌, 等. 基于屬性的訪問控制策略模型[J]. 計算機工程, 2010, 36(15): 131?133.CHENG Xiangran, CHEN Xingyuan, ZHANG Bin, et al. Access control strategy based on attribute model[J]. Computer Engineering, 2010, 36(15): 131?133.

[15] OASIS. eXtensible access control markup language (XACML) version3.0[EB/OL]. [2013?10]. http://docs.oasis-open.org/ xacml/3.0/xacml-3.0-core-spec-os-en.pdf.

[16] 謝旭升. 操作系統教程[M]. 北京: 機械工業出版社, 2012: 40?50. XIE Xusheng. Operating system tutorial[M]. Beijing: Mechanical Industry Publishing House, 2012: 40?50.

[17] 蔡斌, 陳湘萍. Hadoop技術內幕[M]. 北京: 機械工業出版社, 2013: 20?25. CAI Bin, CHEN Xiangping. Hadoop internals[M]. Beijing: Mechanical Industry Publishing House, 2013: 20?25.

(編輯 羅金花)

Attribute-based access control model for cloud computing

WANG Jingyu1, 2, FENG Lixiao2, ZHENG Xuefeng1

(1. School of Computer and Communication Engineering,University of Science and Technology Beijing, Beijing 100083, China;2. School of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)

A cloud computing attributes-based access control(CC-ABAC) model was proposed to solve the multi-domains access control problem in cloud computing. An attribute-based access control method was utilized to realize the local-domain and cross-domain access decisions in this model. The formal description of model and core decision algorithm were given. A semaphore and P/V operation mechanism was designed to solve the incompatible problem of call and update the attribute list in the inter-domains properties synchronization. The simulation results show that the model not only realizes fine-grained access control, but also reduces the access control decision time and improves decision-making efficiency.

cloud computing; multi-domain; access control; cloud security

10.11817/j.issn.1672-7207.2015.06.016

TP393

A

1672?7207(2015)06?2090?08

2014?11?06；

2015?01?06

國家自然科學基金資助項目(61163025，61462069)；內蒙古自然科學基金資助項目(2012MS0912)資助；內蒙古教育廳高?？蒲许椖?Njzy12110)(Projects (61163025, 61462069) supported by the National Natural Science Foundation of China; Project (2012MS0912) supported by the Natural Science Foundation of Inner Mongolia; Project (Njzy12110) supported by the Scientific Research of the Education Department of Inner Mongolia)

王靜宇，博士研究生，從事云計算與信息安全研究；E-mail：btu_wjy@126.com