屬性加密訪問控制方法在云環境下的應用研究

池云

（遼寧行政學院，遼寧沈陽，110161）

屬性加密訪問控制方法在云環境下的應用研究

池云

（遼寧行政學院，遼寧沈陽，110161）

隨著云計算技術的普遍應用，云環境下云資源的安全性問題也受到了信息安全技術領域研究人員的普遍關注。傳統的訪問控制方法不能適應云計算環境下的數據存儲和處理的安全需要，屬性加密訪問控制方法在云計算環境下的應用，可以有效的保證云環境下數據的安全性。本文對云安全進行了簡單的分析，對基于屬性的訪問控制方法進行了研究，結合云計算環境數據處理的實際情況，提出了基于屬性加密訪問控制方法在云計算環境下應用的方案，并進行了研究。

屬性加密；訪問控制方法；云計算；訪問策略更新

0 引言

云計算環境下的數據處理工作主要都是由云端后臺的網絡數據管理中心來完成，在云計算環境下沒有明確的物理安全控制邊界，云安全是以邏輯安全形式存在的，所以云端的數據安全問題是云服務的重點問題。在信息安全系統中訪問控制管理是重要的組成部分，訪問控制方式是保證云環境下數據安全的重要技術。訪問控制主要是對訪問云資源的行為進行監控和管理，保護云端資源池內的數據資源的安全性，對非法訪問的用戶和行為進行限制，允許合法的訪問權限和行為對云資源進行訪問操作。基于屬性的訪問控制方法可以有效的對分布式的云計算環境下的數據進行有效的保護。

1 云安全現狀分析

云計算主要是對大量數據進行處理的一種技術，包括在虛擬資源池的云端對數據的存儲和計算。在云計算的環境下由服務提供商對數據中心進行管理，并提供數據托管服務，用戶通過客戶端的云服務來共享各種云資源服務。云安全的問題是云計算服務的重要問題，也是云計算發展的主要方向。云安全包括共享存儲的數據安全問題、特權用戶訪問安全問題和數據恢復安全問題等等。在云環境下，云用戶沒有基礎硬件設備資源的控制權，所有的數據資源和軟件應用程序都存放在云端，所以云安全的問題是非常重要的。云計算安全關系到用戶是否能夠得到云計算的高質量服務。云計算的安全包括云計算環境本身的安全性，也包括對現有的軟件系統和資源進行安全防護的模式。云用戶希望自己的數據資源在云端進行存儲是安全的，數據的安全性包括數據的完整性和私密性等。云安全包括對數據的訪問權限進行控制，對訪問數據的用戶進行認證和審計。存儲在云端的數據要具有私密性，不能隨便被人篡改，用戶的數據在系統內進行運行時候不被他人修改，保證存儲數據的私密性。在云計算環境下，在網絡上進行傳輸的數據要具有一定的安全性，保證傳輸的數據完整性和可用性。云端對數據的存儲要保證數據的長時間可用性，云計算要具有強大的容災恢復能力，數據被突發事件破壞了，用戶還可以保持對數據的使用。由于云計算環境中存儲海量的數據，所以用戶對數據進行訪問的時候對數據訪問速度要求很高，云計算要保證用戶可以較快的對云資源進行訪問。訪問控制方法等云安全技術在云計算中的應用是云計算研究的重點內容。

2 基于屬性的訪問控制方法研究

訪問控制技術是對系統內部資源進行安全保護的一種技術，是保證系統內部安全的關鍵性技術。基于屬性的訪問控制通過對主體和客體的屬性作為授權決策，對系統的訪問控制和用戶的動態擴展等問題進行解決。基于屬性的訪問控制與傳統的訪問控制方法不一樣，基于屬性的訪問控制方法可以應用于開放的動態網絡環境中。基于屬性的訪問控制方法把主體、操作和環境之間的屬性作為授權元素，主體對資源進行訪問要通過一定的策略來對訪問的請求進行決策。基于屬性的訪問控制模型可以把訪問控制相關的主體和資源等作為屬性集合進行統一的建模，通過實體屬性之間的關系來完成訪問控制過程。基于屬性的訪問控制模型在表達能力上非常強大。屬性可以通過不同的角度來對實體屬性進行描述，可以對訪問控制策略進行靈活的描述。

3 基于屬性加密訪問控制方法在云環境下的應用

基于屬性加密訪問控制模式采用基于屬性訪問控制方法進行建立，屬性加密訪問控制不直接定義主體和客體之間的授權，通過主體和客體之間的屬性作為依據來制定授權策略。屬性加密訪問控制根據動態變化的實體屬性，對訪問策略進行實時更新，屬性加密訪問控制的授權方法是靈活的，基于屬性加密訪問控制方法可以在云計算環境下得到很好的應用。云環境下屬性加密訪問控制模型通過基于屬性加密的訪問控制方法，支持跨域訪問的決策。云環境下屬性加密訪問控制模型如圖1所示。

圖1 云環境下屬性加密訪問控制模型框架

在云環境下屬性加密訪問控制模型框架中，用戶對云計算服務進行資源和服務的訪問的時候，首先向安全認證機構進行安全證書的申請，完成對云用戶身份的安全認證，對非法用戶的惡意攻擊可以進行防范。系統內的所有的安全域內對安全證書的數據信息都是信任的，這樣可以避免驗證的重復操作。安全認證模塊可以對用戶的身份進行安全認證，這是系統安全認證的第一層結構，然后通過安全認證的第二層安全域對用戶訪問的請求進行基于屬性策略的決策，這樣可以對云資源的安全進行很好的保護。經過安全認證的云用戶對云資源和服務進行訪問的時候，要發送請求給負責域定位的服務器，域定位服務器對資源屬性進行分析，判斷訪問是本地訪問還是跨區域訪問，然后對用戶訪問的資源進行查找。訪問決策模塊采用基于數據加密訪問控制的方法采用一定的策略對用戶的訪問請求進行判斷，然后把處理的結果發送給用戶，訪問控制模塊策略的制定是根據自己的要求來進行的，可以為策略的判斷提供有利的技術支持。

4 總結

云環境的安全域是開放而且獨立的，可以實現不同區域的安全域信息之間的共享。基于屬性加密訪問控制方法在云計算環境下的應用，保護的云資源數據的安全性，提高了系統資源的訪問性能。基于屬性加密訪問控制方法在云計算環境下的應用具有一定的研究價值和應用意義。

[1]寧玉梅,丁振國,曾平,王晨.基于雙重身份認證的云計算訪問控制模型[J].華中科技大學學報(自然科學版).2012(S1).

[2]牛德華,馬建峰,馬卓,李辰楠,王蕾.基于屬性的安全增強云存儲訪問控制方案[J].通信學報.2013(S1).

[3]溫昱暉,陳廣勇,趙勁濤,沈吉喆.基于CP-ABE在云計算中實現數據訪問控制的方案[J].重慶郵電大學學報(自然科學版).2013(05).

Application Research of attribute based access control method in cloud environment

Chi Yun
(Liaoning Academy of Governance, Shenyang Liaoning,110161)

With the widespread application of cloud computing technology, the security of cloud resources in the cloud environment has also attracted widespread attention of researchers in the field of information security technology The traditional access control methods can not adapt to the cloud computing environment of data storage and processing of security needs, the attribute based encryption method of access control application under the environment of cloud computing, can effectively guarantee the security of the cloud environment data This paper gives a simple analysis of the cloud security, the attribute based access control method is studied, combined with the actual situation of cloud computing data processing environment, put forward the method of computing application access control encryption scheme in the cloud based properties and studied

attribute encryption;access control method;cloud computing;access policy update