基于云数据应用访问安全控制.docx

基于云数据应用访问安全控制摘 要：本文提出了一种授权无限访问控制策略和临时授 权有限访问控制策略，授权无限访问控制策略解决了应用需 要无限时的用户离线、情况下都可以处理用户提交的处 理任务的需求，临时授权的有限访问控制策略解决了用户需 要使用应用来临时处理某些数据的需求关键词：云存储；数据加密；访问控制；数据安全中途分类号：TP308 云计算基础设施之一是提供可靠、安全的数据存储中心，因此，存储安全是云计算领域的安全话题之一云存储 应用中的存储安全包括数据加密存储、安全策略管理、安全 日志和审计安全日志和审计为监控系统和活动用户提供必 要的审计信息［1］特别是对数据的访问进行安全控制尤为 重要，在为用户提供安全和方便分享的权衡中，对数据的访 问控制机制是一个需要研究的课题Amazon S3［2］的 S3、EMC Atmos Online［3］等都提供云存储服务，他们都是通过访问控制列表ACLs来控制数据的 访问权限，只有授权的用户或者应用才能访问，但是对数据 的共享会受到ACLs最大数量的限制Hassan Takabi等提出 了基于属性加密的访问控制策略［4］在为用户提供实时、 离线、友好、安全、方便的云计算服务的情况下，参考Danny Harnik等人的数据安全访问机制[5],提出了本文的数据访 问控制机制。

1方案设计应用对用户数据如下的两种授权访问方式：应用访问用 户空间下特定目录；应用访问用户空间下非特定目录或文 件1.1应用访问特定目录应用访问特定目录，这个特定目录是专供某些应用访 问，这个特定目录访问权限的生命周期是从用户选择使用该 应用到用户取消使用该应用的一段时间这种授权访问机制 主要用于用户非情况下使用应用当用户选择使用这个应用后，就会在用户的空间中有一 个对应的应用使用目录，这个目录可以是新创建的，也可以 是与应用公用目录相当于用户授权应用使用这个目录，这 样应用可以很方便的访问该目录图1应用访问特定目录流程(1) 用户在选择订购应用后，会将应用与访问目录的 对应关系在安全/策略管理中保存下来，即访问控制列表(ACL)o(2) 用户在应用中发起使用请求后，用户既可以退出 应用或者离线3) 应用会向安全/策略管理系统发起获取访问目录的 权限信息，安全/策略管理系统对访问信息等属性通过 AES-256进行对称加密，对其中的一些属性通过HMAC-SHA1 算法进行签名，加密完成后返回给应用4) 应用向存储数据系统发起访问请求，并将加密的 属性信息和签名传送到存储数据系统，系统对其中的属性信 息通过HMAC-SHA1算法进行签名后与传递过来的签名进行比 对，看是否符合要求。

5) 校验成功后，应用就可以操作对象数据1.2应用访问非特定目录或文件应用访问用户存储空间下的所有文件或者目录，这个文 件或者目录访问权限的生命周期很短，从用户授权到发起数 据请求大概在几分钟或者几十秒内这种授权访问机制主要 用于户用的情况下使用某种应用授权访问机制不需要预先在ACL中有该应用的使用权 限，当用户临时需要应用对某个文件进行处理时而发起的临 时授权，只会保存这种发起访问授权的日志记录图2应用访问非特定目录或者文件流程(1) 用户发起使用应用对某个文件进行处理，需要将 用户的访问信息等发送到安全管理系统(2) 安全管理系统对接收到的访问信息等属性通过 AES-256进行对称加密，对其中的一些属性通过HMAC-SHA1 算法进行签名，加密完成后返回给客户端安全管理系统记 录下这次授权的日志信息3) 客户端通过重定向或者再次调用应用的接口方式 将加密后的访问信息、签名等发送给应用(4) 应用将访问信息、签名等发送到云存储数据系统, 系统对其中的属性信息通过HMAC-SHA1算法进行签名后与传 递过来的签名进行比对，看是否符合要求5) 校验成功后应用就可以操作数据2结束与展望本文提出的数据访问控制机制能够在保证安全性的条 件下，使用户能够快速方便的使用应用实时处理存储空间中 的数据。

数据访问安全控制还存在很多问题，在保证数据安 全又方便其他应用来使用数据将会在后续工作中继续研究参考文献：[1] 洪澄，张敏，冯登国.AB-ACCS： —种云存储密文访问控制方法[J].计算机研究与发展，2010 (47)(增刊): 2597265.[2] Amazon Simple Storage Service (S3 ) .Amazon, http： //aws. amazon. com/s3/. , accessed Oct 12, 2011.[3] Atmos Online ProgrammerJ s Guide. EMC, https： //community. emc. com/docs/DOC-3481, accessed Oct 12, 2011.[4] Danny Harnik, Elliotk Kolodner. Secure access mechanism for cloud storage .Scalable Computing ： Practice and Experience Volume 12, Number 03： 317-336.[5] Hassan Takabi , James E.D. Joshi. Security and Privacy Challenges in Cloud ComputingEnvironments.1EEE Security and Privacy, 08: 24-31, 2010.作者简介：郭汉龙（1977-）,男，湖北人，硕士，软件 工程师，主要研究方向：云存储。

作者单位：中国电信股份有限公司，上海200433。