基于云計算的屬性加密訪問控制研究

摘 要：隨著云計算技術的發展，云服務在數據處理方面也得到了廣泛的應用。在云計算環境下，云服務為數據管理提供了便利，同時也存在著數據安全和訪問控制等方面的問題，保證數據安全性和機密性成為云服務的重要研究課題。文章對基于屬性的加密機制進行了分析，提出了云計算環境下的基于密鑰策略屬性加密的云存儲訪問控制方案。

關鍵詞：云計算；屬性加密；訪問控制；密鑰機制

1 云計算環境下數據存儲安全性分析

云計算是一種新計算機技術，把數據存儲在云上面，形成一個強大的虛擬資源共享平臺，通過云服務對數據進行統一管理。云服務對用戶進行按需服務，用戶可以隨時對云計算資源中心的數據進行訪問。云計算為人們的生活和工作帶來了很多好處，但是云計算的系統也存在數據安全的問題，云服務提供商在提供給用戶需要的數據的同時，也在不斷地對用戶的隱私數據進行挖掘，這樣用戶數據的安全隱私就會受到威脅，目前一些國家或者地區，云計算的數據安全事故也時有發生，云計算的數據安全性越來越受到人們的重視。數據訪問控制作為系統保護的重要研究領域，在細粒度訪問控制方面取得了一定的突破。本文在基于身份加密的基礎之上提出了基于屬性加密的訪問控制方法，其具有細粒度的訪問控制特性，云計算的數據共享性非常高，在云計算的環境下基于屬性加密訪問控制技術的應用，可以提高數據的安全性和機密性。云計算環境下基于屬性加密訪問控制的研究主要是通過新的加密機制的研究來提高云服務的質量，在未來的云存儲中基于屬性加密訪問控制一定會得到廣泛的應用。

2 基于屬性加密算法分析與研究

雙線性配對是基于屬性加密算法中主要采用的算法，在密碼學算法中可以增加計算的高效性。在基于屬性加密算法中的安全模型中主要采用哈希函數，在現代密碼學的信息安全設計中，哈希函數經常得到廣泛的應用，在數據的數字簽名和密鑰學管理中，哈希函數作為主要的工具。在基于屬性的加密算法安全模型中采用標準模型，標準模型是常用的安全模型，密碼的安全性以基于安全假設的方案為依據，在安全假設沒有被攻破前，密碼的安全是攻不破的。安全假設方案的安全性和真實環境安全性是相近的，基于屬性加密算法的安全標準模型如圖1所示。

基于屬性加密包括密鑰策略、密文策略和授權機構多個方案。在基于屬性的加密中用戶和授權機構屬于參與方，并且屬性和用戶私鑰都是緊密結合的，基于屬性加密方案對基于屬性的門限訪問策略是支持的，比如用戶屬性集和密文屬性集之間交集的屬性個數與系統設定的門限值一致時，用戶才可以進行解密操作；比如一個計算機文件的集合包括{網絡、安全、密碼}3個子集，并且我們把計算機文件的門限值設置為2，那么用戶的屬性集要符合{網絡、安全}這樣的屬性集才可以訪問計算機文件，其他不符合要求的屬性集不可以訪問計算機文件。基于屬性加密算法機制表達具有局限性，僅限于門限操作的表示，發送方不能規定訪問策略。密文策略的基于屬性加密機制和密鑰策略的基于屬性加密機制對復雜的訪問結構都可以支持，密鑰策略的基于屬性加密機制中訪問策略由接收方制定，系統密鑰由授權機構公布，并生成相應的用戶私鑰，可以很好地對兩者的關系進行控制。密文策略的基于屬性加密機制中訪問策略由發送方制定，系統密鑰由授權機構公布，可以很好地對兩者的密文解密進行控制，靈活地訪問控制策略也增加了系統密鑰在設計上的復雜性。

基于屬性加密機制應用于策略比較簡單的應用，基于密鑰策略的屬性加密（Key Policy Attributed Based Encryption，KP-ABE）適合應用于查詢類的應用，基于密文策略的屬性加密適合訪問控制類的應用。基于多授權機構的屬性加密方案中單方面的授權機構不能生成用戶的私鑰，用戶的私鑰要由多個授權機構分別生成，這一特點的應用使基于多授權機構的屬性加密具有更大的應用價值，單方面的授權機構生成的用戶私鑰，會將管理不同屬性集的機構密鑰生成的過程交給其他的授權機構進行操作，這樣生成的密鑰安全性低，所以產生的屬性權限內的密鑰要由多個授權機構分別來進行管理，這樣比較切合實際，生成密鑰安全性也得到了保證。在基于多授權機構的屬性加密方案中授權機構包括一個中央授權機構和任意個屬性授權機構。中央授權機構的安全性問題是基于多授權機構的屬性加密方案考慮的重要問題，在基于多授權機構的屬性加密方案中保證每個授權機構獨立工作互不干擾也是考慮的重點。

3 KP-ABE的云存儲訪問控制方案

云存儲數據安全性要求非常高，對數據的細粒度訪問控制和數據的機密性要求也越來越高。針對以上問題，本文提出來在云計算環境下KP-ABE的訪問控制方案，通過可信任授權機構對用戶訪問結構和數據訪問密鑰進行管理，對文件的加密算法采用對稱加密算法，通過代理重加密算法保證數據的安全性和機密性。KP-ABE的訪問控制系統模型如圖2所示，系統由用戶、CSP和可信第三方授權（Third Authorization，TA）組成，用戶具有數據擁有者和數據訪問者的雙重身份，TA和CSP是在線狀態，工作流程是用戶把自己的訪問結構發送給TA，TA為用戶生成系統的公鑰。KP-ABE的訪問控制適合對小型數據文件進行加密，用戶通過對稱加密密鑰對數據文件進行加密得到數據密文，然后通過KP-ABE的訪問控制對稱加密得到密鑰密文，用戶作為數據訪問者通過第三方授權機構生產的私鑰，對密鑰密文和文件數據密文進行解密，這樣就可以對數據文件進行訪問了。

KP-ABE的云存儲訪問控制方案的安全性分析，第三方授權機構是完全可以信任的，可以對用戶的訪問結構進行安全審核。數據機密性包括數據密文和密鑰密文的機密性，基于KP-ABE的云存儲訪問控制方案主要是依據密鑰密文的安全性進行設計的，第三方可信授權機構應用到基于KP-ABE的云存儲訪問控制方案中，可以對用戶訪問結構和用戶大量的密碼進行優化，并結合代理重加密技術，這樣可以大大減少數據的計算量。云環境下基于密鑰策略屬性加密的訪問控制方案中，用戶要對大量的訪問密鑰進行維護，分配密鑰的負擔也較重，為了解決這個問題在可信第三方授權機構的基礎之上提出了KP-ABE的云存儲訪問控制方案，通過可信第三方授權機構對用戶的動態密鑰進行統一管理，這樣分發數據訪問密鑰的負擔也減輕了，用戶密鑰存儲的空間就減少了。

4 結語

云計算是一種動態計算和虛擬資源存儲服務結合的計算模式，是世界計算機技術發展的重要方向。在訪問云端存儲的數據資源的時候，保證數據的機密性和數據的安全訪問控制是云計算安全研究的重要課題。基于云計算的屬性加密訪問控制研究具有一定的研究意義和應用價值。

作者簡介：劉秀彬（1970— ），女，遼寧營口，本科，高級講師；研究方向：計算機技術。

[參考文獻]

[1]劉西蒙，馬建峰，熊金波，等.云計算環境下基于密文策略的權重屬性加密方案[J].四川大學學報（工程科學版），2013（6）：21-26.

[2]劉西蒙，馬建峰，熊金波，等.密文策略的權重屬性基加密方案[J].西安交通大學學報，2013（8）：44-48.

[3]張浩軍，范學輝.一種基于可信第三方的CP-ABE云存儲訪問控制[J].武漢大學學報（理學版），2013（2）：153-158.

Abstract： With the development of cloud computing， cloud services in data processing has also been widely used. In the cloud computing environment， cloud service provides a convenient data management. But there are data security and access control and other issues. To ensure data security and confidentiality has become an important research topic of cloud services. In this paper， based on the encryption mechanism of the properties are analyzed， and puts forward the cloud computing environment based on key policy attributes encrypted cloud storage access control scheme.

Key words： cloud computing； attribute encryption； access control； key mechanisms