基于屬性加密的云存儲訪問控制方法

摘 要

針對現有控制方法在對云存儲訪問控制時，無論是控制精度還是控制效率均無法滿足用戶需求的問題，引入屬性加密技術，提出了一種新的云存儲訪問控制方法。首先通過屬性加密的方式加密云存儲文件信息；其次引入拉格朗日多項式插值算法遞歸獲取屬性對應的結構樹節點構成的集合，輸出明文，完成文件信息加密；最后在客戶端利用 NFS 實現對云存儲文件的訪問控制。對比實驗證明，新的控制方法在實際應用中提升了對不同用戶的訪問控制精度，且控制過程中時間開銷更少，有效提高了控制效率。

云存儲是一種基于云計算技術的在線數據存儲服務，它允許用戶將各種類型的數據（如文檔、音樂、視頻等）上傳到互聯網上的云服務器中進行存儲，并可以隨時隨地通過網絡訪問這些數據 。云存儲服務提供商通常會為用戶提供各種數據管理工具和服務，如備份、同步、版本控制等，從而讓用戶可以更加方便地管理和利用自己的數據。

云存儲服務在各個領域都有廣泛的應用，如企業數據備份、移動辦公、在線協作等。比如，企業可以將重要數據備份到云端，以避免數據丟失或損壞；個人用戶可以將照片、音樂、視頻等個人數據上傳到云端，以實現多設備同步和數據安全保護。然而，隨著云存儲服務的普及和應用范圍的擴大，它也面臨著一些問題和挑戰，其中最重要的問題之一是數據安全和隱私保護。由于云存儲服務涉及用戶的敏感數據，如個人隱私、企業機密等，一旦服務提供商的服務器被攻擊或遭受黑客入侵，用戶的數據就有可能面臨泄露、盜用等風險。此外，數據傳輸過程中的安全性和接口兼容性問題也是云存儲服務需要解決的關鍵問題之一。

另外，云存儲服務的可靠性和穩定性也是一個重要的挑戰。如果云存儲服務出現故障或停機，用戶的數據無法正常訪問，這將對用戶的工作和生活造成不便和損失。因此，云存儲服務提供商需要保證其服務器的穩定性和可靠性，并建立起有效的數據備份和災難恢復機制，以盡量避免由于自身原因造成的不必要損失。

針對現有控制方法在對云存儲訪問控制時，無論是控制精度還是控制效率均無法滿足用戶需求的問題，張國梁等人研究了基于分層密鑰管理的云計算密文訪問控制方案設計，該研究分析了云計算訪問控制的技術框架和現行機制，根據分析結果，以分層密鑰管理為基礎，設計了新的云計算密文訪問控制方案和算法，實現加密訪問，但是該方法在實際應用中存在加密效果差的問題。杜瑞忠等人 [3]研究了基于區塊鏈且支持數據共享的密文策略隱藏訪問控制方案，利用素數階雙線性群和正負號與門訪問結構控制細粒度訪問，結合以太坊和星際文件系統，通過代理重加密算法，實現了加密訪問，提高了數據安全性，但是該方法控制過程的時間開銷較高。

針對上述問題，本文提出了一種基于屬性加密的云存儲訪問控制方法，該方法基于云存儲的重要性，結合屬性加密技術進行訪問控制，并在屬性加密算法的基礎上，使用拉格朗日多項式插值算法和Synergy 算法進行設計研究，以實現更為安全可靠的云存儲訪問控制。

1

云存儲文件信息屬性加密方案

在云存儲訪問控制方法中引入屬性加密方案，通過屬性加密，提高了云存儲文件信息的安全性。在云存儲文件信息屬性加密過程中，定義云存儲文件信息的屬性域為：

在完成屬性域定義后，定義一個階為素數 e 的群并且雙線性映射設置為：

通過授權機構執行這一算法，并生成相應的公鑰和主密鑰，其中公鑰可表示為：

式中：PK 為公鑰；為每個屬性使用散列函數映射得到的結果，T 為結構樹；為屬性 i對應的門限。主密鑰可表示為：

式中：MK 為主密鑰。

聯立上述公式，并且通過屬性域加密云存儲文件信息，生成加密的云存儲文件信息：

式中：其中，Y 表示屬性對應的結構樹節點構成的集合，M 表示明文。

KeyGen 算法是通過授權機構來實現的，并且產生了使用者的私有密鑰。任意選取一組 n 次系數的多項式，可以將使用者的私有密鑰表達為：

式中：SK 為用戶的私鑰；為n 次系數的多項式。通過拉格朗日多項式插值算法進行遞歸，得到 Y，并且輸出 M，其表達式為：

至此完成了云存儲文件信息屬性加密方案，實現了云存儲文件信息加密，為安全訪問控制提供了保障。

2

客戶端對云存儲文件的NFS訪問控制

客戶端對云存儲文件的訪問控制可以通過下面的協議實現：以 RSA 密鑰生成訪問控制密鑰，在網絡文件系統（Network File System，NFS）協議中可通過 RSA 生成密鑰，然后直接向客戶端發送，實現對客戶端訪問云盤文件的控制；通過 Synergy算法生成對客戶端訪問云盤文件產生的 NFS 屬性加密的密鑰 。Synergy 算法在云存儲訪問控制中可看作集合的交集除并集，其表達式為：

式中：J(A,B) 為杰卡德相似系數；為交集；為并集。

在上述公式的基礎上，通過對 RSA 密鑰生成方式與基于身份的訪問控制方法的比較，云盤文件訪問控制性能得到了明顯提升。再結合 NFS 方法對客戶端進行訪問控制，NFS 方法主要由 NFS 生成和解密兩部分組成，二者是相互分離的。NFS 生成首先根據 URL 生成一個 RSA 密鑰，然后通過生成密鑰將該解密密鑰添加到云存儲文件中。加密程序是將加密密鑰加密的結果發送到客戶端的客戶機 。在生成密鑰時，可以引入布隆過濾器，這一結構是一個具有高效率和節約空間的概率數據結構，可利用其查詢某一元素是否存在集合。在布隆過濾器中設置多個數組，其中包含多個元素集合和一組獨立的哈希函數，可利用集合中的元素實現編碼。

為 了 在 生 成 密 鑰 時 解 決 假 陽 性 的 問 題， 在上述布隆過濾器的基礎上，提出一種亂碼布隆過濾器，使用字符串數組代替原有的位數組。在利用 NFS 方 法 對 客 戶 端 進 行 訪 問 控 制 時， 在 控 制方案中設置 6 大主體，分別是加密服務提供程序（Cryptographic Service Provider，CSP）、自適應天線系統（Adaptive Antenna System，AAs）、磁盤操作系統（Disk Operating System，DOs）、診斷工具系統（DiagnosticUtilitySystem，DUs）、系統方和被信任方。首先，云存儲端會進行初始化，并產生一個共同的參數；其次，向 AAs、DOs、DUs 和可信的一方分配該節點。AAs 隨后會調用授權代理初始化算法，產生一個或多個公用密鑰，并且向 DOs受信任的用戶發送它的公用密鑰。此外，如果 DUs持有一個合法的憑證，AAs 將按照它的要求向其分配一個用戶專用密鑰。DOs 把數據上傳到云端存儲平臺，并與所許可的用戶分享。所有數據都需要轉換為密碼文本，然后上傳到 CSP 中。當 DOs 想要改變一個現存的云存儲訪問控制策略時，向 CSP 發送一個策略更新密鑰。在進行數據所有權轉移或訪問權限更改時，CSP 需要通過更新現有密文和其對應的存取策略來實現數據重加密和訪問控制。當DUs 的屬性符合密碼的存取策略時，就能利用加密算法來破解密文。最后，當發現有爭議或懷疑的使用者時，受信任方調用密鑰追蹤，向屬性授權機構報告懷疑使用者的身份。以此可以進一步提高云存儲訪問的安全性，實現對其更有效的控制。

3

對比實驗

基于上述論述，提出一種基于屬性加密的控制方法，為驗證這一方法實際應用到云存儲訪問環境中的可行性，設置如下對比實驗。

選擇將新的控制方法作為實驗組，將基于屬性 的 訪 問 控 制（Attribute-Based Access Control，ABAC）模型的控制方法作為對照 A 組，將基于零信任業務數據點（Service Data Point，SDP）的控制方法作為對照 B 組。將 3 種方法應用到相同的運行環境中，針對同一云存儲訪問進行控制。為了初步對比 3 種控制方法的控制精度，首先在該云存儲環境下設置多種不同身份的訪問用戶，包括普通訪問用戶、管理員等；其次設置 5 個訪問類型以及對應的 5 個訪問通道；最后將訪問次數設置為 200次、400 次、600 次、800 次和 1 000 次，計算每一次訪問時 3 種控制方法的訪問身份控制精度，計算公式為：

式 中：? 為 訪 問 用 戶 的 身 份 可 控 制 精 度；為正確控制用戶訪問的數量；n 為訪問云存儲空間的總用戶數量。根據式（10），計算得出 3 種控制方法的訪問身份控制精度，結果如表 1 所示。

表 1 3 種控制方法的訪問身份控制精度對比

對表 1 中第 1 組數據進行分析可以看出，實驗組控制方法與另外兩種控制方法相比，其 ? 值更高，其次為對照 B 組，最后為對照 A 組，說明此時實驗組的控制精度最高，其次為對照 B 組，最后為對照A 組。但隨著訪問次數的增加，對照 B 組的 ? 值呈現出明顯的下降趨勢，說明對照 B 組控制方法的精度會受到訪問次數的影響，而其他兩種控制方法并沒有出現這一情況。上述實驗結果能夠證明，本文所提出的基于屬性加密的控制方法可以在一定程度上保證控制的準確性，并且這一性能不會受到訪問次數的影響，具備極高的穩定性。

在完成對 3 種控制方法的控制精度的對比后，再從控制效率角度進行對比分析。將時間開銷作為評判 3 種控制方法的控制效率的指標，時間開銷包括初始化時間用戶私鑰生成時間用戶加密時間和用戶解密時間在相同訪問屬性數目的情況下，對 3 種控制方法的進行記錄，并得到對應的時間開銷，實驗結果如圖 1 所示。

圖 1　3 種控制方法時間開銷對比

從圖 1 中的 3 條曲線可以看出，實驗組控制方法的時間開銷最少，其次為對照 A 組，最后為對照B 組。通過這一實驗結果可以看出，實驗組的控制效率最高。綜合這兩方面實驗結果，對采用屬性加密的控制方法進行了全面的驗證。

4

結 語

本文提出了一種基于屬性加密技術的云存儲訪問控制方法，在加密屬性的選擇上考慮了密鑰計算和加密算法的可靠性。通過對比實驗的方式驗證了新的控制方法在實際應用中可以實現對云存儲訪問更有效的控制，大大提高了云存儲用戶訪問控制效率，并有效降低了訪問控制安全風險。未來考慮將該方法作為一種實用高效的云存儲訪問控制方案繼續深入研究。