李想　赵相楠

1 引言

云计算是继分布式计算、网格计算、对等计算之后的一种新型计算模式，它以资源租用、应用托管、服务外包为核心，迅速成为计算机技术发展的热点。在云计算环境下，IT领域按需服务的理念得到了真正体现。云计算通过整合分布式资源，构建应对多种服务要求的计算环境，满足用户定制化要求，并可通过网络访问其相应的服务资源。云计算在提高使用效率的同时，为实现用户信息资产安全与隐私保护带来极大的冲击与挑战。当前，安全成为云计算领域亟待突破的重要问题，其重要性与紧迫性已不容忽视。

目前云计算安全问题具有五大特征。（1）服务外包和基础设施公有化特征：这就导致用户的应用和数据交由云端管理，用户对自身任务与数据的安全并不可控；（2）动态复杂性：多层次服务模式（如IaaS、PaaS和SaaS）以及用户执行环境的动态定制和更新带来了云计算环境中复杂的信任关系；（3）超大规模、多租户资源共享特征：现在云平台上用户数量非常大，实体关系很复杂，存在平台和用户、用户和用户之间的恶意攻击；（4）资源的高度集中性：云计算环境比传统计算环境面临的安全威胁更大以及遭受破坏的可能性更大，因为它的资源更集中；（5）云平台的开放性：云平台中存在众多不可预计安全漏洞与缺陷的开放性软件，导致平台的安全风险大大增加，攻击者更容易窃取或破坏租户数据。

上述云计算安全特征决定了云计算访问控制是云计算安全问题的核心，访问控制是实现用户数据机密性和进行隐私保护的重要手段。目前，云计算在访问控制方面仍然没有一种足够安全的方案。

2 访问控制技术与基于属性的访问控制技术

访问控制长期作为各界的研究热点，从20世纪60年代诞生至今，已取得了长足的发展与进步。针对不同的访问控制需求，众多不同的访问控制模型和技术也应运而生，如自主访问控制DAC、强制访问控制MAC（机密性模型BLP、完整性模型Biba）以及基于角色的访问控制RBAC等。这些模型在现实中得到了广泛的应用，其中对RBAC的研究与应用最为广泛。然而在复杂的云计算环境中，包括RBAC在内的传统的访问控制方法仍然具有较大的局限性。为了解决传统访问控制方法的静态性以及云服务商不可信等问题，基于属性的访问控制（Attribute-Based Access Control，ABAC）逐渐进入了人们的视野并成为各界的研究热点。由于ABAC具有灵活性、细粒度、可扩展性等十分适合解决上述问题的特征，因此它也逐渐成为访问控制方法中的热点技术。

基于属性的访问控制是伴随着分布式应用的发展而被提出的一种访问控制机制，用于解决分布式环境下的访问控制问题，因而先天对云环境有更好的适应性。ABAC可以根据客户属性特征并结合访问控制策略判断是否允许客户的访问请求。其基本思想是访问控制以实体（主体、资源和环境）的属性作为基础进行授权决策，它可以随着实体属性的变化动态地更新访问控制决策，提供一种更加细粒度、灵活的动态访问控制方法。ABAC尤其是由Sahai和Waters提出的ABE（Attribute-Based Encryption），将解密规则蕴含在加密算法之中，可以免去加密过程中频繁的密钥分发代价。由于这一良好特性，有很多用ABE实现的密文访问控制来解决云存储中数据安全和隐私保护的研究。此类方法可较好地保证敏感数据的机密性。

基于密文策略的属性加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）目前主要应用在云计算环境下的密文访问控制方案。但该类方案在属性撤销时，数据拥有者DO（Data Owner）需要生成密文重加密信息，并对相关密文重加密；由于密文重加密，具有权限的用户的旧密钥也不能解密密文，DO需要生成密钥升级信息并发送给用户进行升级；这些操作都会导致DO计算量增加。同时，用户会被其它用户的属性撤销所影响，这会增加用户的计算负担。在多次属性撤销的时间段内，可能没有或只有少量次数的文件更新，在文件不更新就不需要重加密的前提下，可以认为这样做会白白增加属性权威和CSP的计算量和通信消耗。

3 一种基于属性加密的云数据机密性保护和访问控制方法

3.1 方法介绍

经过研究，我们提出了一种云数据机密性保护和访问控制方法，采用对称密码体制和密文策略的基于属性加密机制，对用户敏感数据提供安全保护，在云服务提供商不可信的前提下，保证在开放环境下云存储系统中数据的安全性，实现敏感数据的安全共享，还能减少密钥分发和数据管理而给数据所有者带来巨大的计算开销。

本方法采用对称密码体制相关算法实现敏感数据的加密，以加密的形式保存在云服务器中；采用密文策略的基于属性加密机制实现数据加密密钥的保护，加密的访问策略可根据需要由数据所有者制定，只有满足访问策略的数据使用者才能通过解密来访问加密的敏感数据。本方法涵盖的体系构成如图1所示。

（1）认证权威CA：为云计算环境中的所有实体信任的可信第三方，提供数字证书生命周期管理（签发、更新、撤销）、维护证书和证书撤销列表CRL、身份鉴别等功能。

（2）属性权威AA：为云计算环境中的所有实体（包括下一级属性权威、主体、客体、权限、环境）签发属性， 保存用户属性，提供属性管理功能，根据主体属性、客体属性和环境属性和访问控制策略进行访问控制。

（3）云服务提供商CSP：通过基于虚拟化技术实现计算、存储、网络资源复用方式，遵从服务水平协议SLA，为云用户提供弹性可租用的云服务；根据协议，对被托管数据依据云服务提供商的安全措施提供安全性、可用性保障。

（4）数据所有者DO：数据的属主，根据对称密码机制密钥策略和数据安全要求，生成自己的数据加密密钥对被托管数据文件进行加密，并将密文上传到云计算环境的服务器中存储。

（5）数据使用者DU：请求访问被托管密文的云用户，必须先向域权威提出访问请求并经过域权威验证通过后，才能访问数据。

本方法所述的云数据机密性保护和访问控制过程涉及几个方面。

（1）用户注册：用户包括数据所有者DO和数据使用者DU。用户在使用云服务提供商CSP的云服务前，必须注册为云服务的合法用户。用户在注册时，须提交必要的身份证明材料、用户属性信息。在验证用户及用户注册请求后，认证中心CA为用户分配身份标识ID，并签发相应的数字证书，以标识用户身份和身份鉴别；属性权威为用户签发属性集，将用户属性保存到属性库中，并分配属性密钥。

（2）数据上传：数据所有者DO在客户端根据数据文件的安全重要性，采用相对应的密钥策略生成对称加密密钥SK，然后使用对称加密算法AES和密码模式，对数据文件进行加密得到数据文件密文CT。数据所有者DO然后使用属性权威AA为其分配的属性密钥加密数据加密密钥，得到密钥密文SKCT。

根据密文策略的基于属性的加密机制，数据所有者DO制定数据文件的访问控制策略；数据所有者DO发送数据上传请求给属性权威AA，在认证中心CA鉴别数据所有者DO的合法身份后，属性权威AA允许数据所有者DO的数据上传请求。数据所有者DO将密钥密文SKCT、数据文件属性、数据文件的访问控制策略传送给属性权限AA，属性权威AA保存数据文件属性、数据文件访问控制策略到属性库和策略库中，将密钥密文SKCT安全存储。数据所有者DO将数据文件密文CT发送给云服务提供商CSP的服务器保存。

（3）数据访问：当数据使用者DU要求访问云服务提供商的数据文件时，向属性权威提出数据访问请求。在认证权威鉴别其身份合法性后，属性权威AA通过对数据使用者属性、被访问数据文件属性、环境属性以及相关的访问控制策略进行验证，判断数据使用者DU是否具有该数据文件的访问权限。验证通过后，属性权威AA为数据使用者DU分发属性密钥，并将密钥密文SKCT发送给数据使用者DU。

数据使用者DU接收到属性密钥和密钥密文SKCT后，使用属性密钥解密密钥密文后得到数据文件的对称加密密钥，然后解密从云服务提供商CSP获得的数据文件密文CT，进而完成对数据文件的访问。

3.2 举例介绍

为了便于阐述，我们以请求密文访问举例说明本方法。密文访问过程如图2所示。

在经过用户注册和数据上传后，数据所有者DO已将对称加密的数据文件F传送到云服务提供商CSP的服务器中保存，并且属性权限AA已将数据文件属性、数据文件访问控制策略分别保存到属性库和策略库中，同时也安全存储了密钥密文。

（1）访问请求：数据使用者DU访问云服务提供商CSP中受保护的数据文件，向属性权威提出数据访问请求REQ，其中包括数据使用者DU的属性。

（2）访问控制：在认证权威CA鉴别DU身份合法性后，属性权威AA通过对数据使用者属性、被访问数据文件属性、环境属性以及相关的访问控制策略进行验证，判断数据使用者DU是否具有该数据文件的访问权限。

（3）访问通过：验证通过后，属性权威AA为数据使用者DU分发属性密钥，并将密钥密文SKCT发送给数据使用者DU。

（4）访问结果：数据使用者DU接收到属性密钥和密钥密文SKCT后，使用属性密钥解密密钥密文后得到数据文件F的对称加密密钥SK，然后解密从云服务提供商CSP获得的数据文件密文CT，进而完成对数据文件F的访问。

4 结束语

本文提出了一种云数据机密性保护和访问控制方法，采用对称密码体制和密文策略的基于属性加密机制，对用户敏感数据提供安全保护，在云服务提供商不可信的前提下，保证在开放环境下云存储系统中数据的安全性，实现敏感数据的安全共享，还能减少密钥分发和数据管理而给数据所有者带来巨大的计算开销。

作者简介：

李想（1979-），男，汉族，黑龙江哈尔滨人，毕业于哈尔滨工业大学，理学硕士，助理工程师；主要研究方向和关注领域：信息安全、网络渗透、云计算及云安全。

赵相楠（1987-），男，汉族，辽宁北票人，毕业于辽宁大学，本科，学士学位，现任职中国信息通信研究院信息通信安全研究所安全测试工程师；主要研究方向和关注领域：网络安全、应用安全、互联网业务安全等方面的安全测试与研究。