一种基于属性的企业云存储访问控制方案-中国云计算.PDF

第３０卷第２期 计 算 机 应 用 研 究 Ｖｏｌ．３０Ｎｏ．２ ２０１３年２月　 ＡｐｐｌｉｃａｔｉｏｎＲｅｓｅａｒｃｈｏｆＣｏｍｐｕｔｅｒｓ Ｆｅｂ．２０１３ 一种基于属性的企业云存储访问控制方案 熊　智，王　平，徐江燕，蔡伟鸿 （汕头大学计算机科学与技术系，广东汕头５１５０６３） 摘　要：针对企业云存储应用的需求，以及目前基于属性的访问控制方案在访问规则描述方面存在的不足，提 出了一种适合企业云存储的基于属性的访问控制方案。该方案直接用字典变量表示主体、资源和环境实体，用 Ｐｙｔｈｏｎ逻辑表达式描述访问规则，并采用ｅｖａｌ函数执行规则，从而使访问规则容易编写，表达能力强，且执行开 销小。考虑到资源的层次结构特点，分别为不同的访问权限设计了相应的访问规则继承策略以简化访问规则的 编写，并采用跨语言的服务开发框架Ｔｈｒｉｆｔ对访问控制器进行了实现。 关键词：访问控制；基于属性；访问规则；企业云存储；层次结构 中图分类号：ＴＰ３０９　　　文献标志码：Ａ　　　文章编号：１００１３６９５（２０１３）０２０５１３０５ ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１３６９５．２０１３．０２．０５４ Ａｔｔｒｉｂｕｔｅｂａｓｅｄａｃｃｅｓｓｃｏｎｔｒｏｌｓｔｒａｔｅｇｙｆｏｒｅｎｔｅｒｐｒｉｓｅｃｌｏｕｄｓｔｏｒａｇｅ ＸＩＯＮＧＺｈｉ，ＷＡＮＧＰｉｎｇ，ＸＵＪｉａｎｇｙａｎ，ＣＡＩＷｅｉｈｏｎｇ （Ｄｅｐｔ．ｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ＆Ｔｅｃｈｎｏｌｏｇｙ，ＳｈａｎｔｏｕＵｎｉｖｅｒｓｉｔｙ，ＳｈａｎｔｏｕＧｕａｎｇｄｏｎｇ５１５０６３，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：Ｔｏｓａｔｉｓｆｙｔｈｅｄｅｍａｎｄｏｆｅｎｔｅｒｐｒｉｓｅｃｌｏｕｄｓｔｏｒａｇｅａｐｐｌｉｃａｔｉｏｎ，ａｎｄｔｏｏｖｅｒｃｏｍｅｔｈｅｄｒａｗｂａｃｋｓｏｆｔｈｅｅｘｉｓｔｉｎｇａｔｔｒｉｂｕｔｅ ｂａｓｅｄａｃｃｅｓｓｃｏｎｔｒｏｌｓｔｒａｔｅｇｙｉｎａｃｃｅｓｓｒｕｌｅｄｅｓｃｒｉｐｔｉｏｎ，ｔｈｉｓｐａｐｅｒｐｒｏｐｏｓｅｄａｎａｔｔｒｉｂｕｔｅｂａｓｅｄａｃｃｅｓｓｃｏｎｔｒｏｌｓｔｒａｔｅｇｙｓｕｉｔａｂｌｅｆｏｒ ｅｎｔｅｒｐｒｉｓｅｃｌｏｕｄｓｔｏｒａｇｅａｐｐｌｉｃａｔｉｏｎ．Ｔｈｅｓｔｒａｔｅｇｙｕｓｅｄｄｉｃｔｉｏｎａｒｙｖａｒｉａｂｌｅｓｔｏｄｅｎｏｔｅｓｕｂｊｅｃｔ，ｒｅｓｏｕｒｃｅ，ａｎｄｅｎｖｉｒｏｎｍｅｎｔｅｎｔｉ ｔｉｅｓ，ａｄｏｐｔｅｄＰｙｔｈｏｎｌｏｇｉｃａｌｅｘｐｒｅｓｓｉｏｎｔｏｅｘｐｒｅｓｓａｃｃｅｓｓｒｕｌｅ，ａｎｄａｄｏｐｔｅｄｔｈｅｅｖａｌｆｕｎｃｔｉｏｎｔｏｅｘｅｃｕｔｅｒｕｌｅ；ｔｈｅｒｅｆｏｒｅ，ａｃｃｅｓｓ ｒｕｌｅｗａｓｅａｓｙｔｏｗｒｉｔｅ，ｈａｄｓｔｒｏｎｇｅｘｐｒｅｓｓｉｏｎａｂｉｌｉｔｙ，ａｎｄｃｏｓｔｅｄａｌｉｔｔｌｅ．Ｃｏｎｓｉｄｅｒｉｎｇｔｈｅｈｉｅｒａｒｃｈｉｃａｌｓｔｒｕｃｔｕｒｅｏｆｔｈｅｒｅｓｏｕｒｃｅｓ， ｔｈｅｓｔｒａｔｅｇｙｄｅｓｉｇｎｅｄｃｏｒｒｅｓｐｏｎｄｉｎｇａｃｃｅｓｓｒｕｌｅｉｎｈｅｒｉｔａｎｃｅｓｃｈｅｍｅｆｏｒｄｉｆｆｅｒｅｎｔａｃｃｅｓｓｒｉｇｈｔｓｔｏｓｉｍｐｌｉｆｙｔｈｅｗｒｉｔｉｎｇｏｆａｃｃｅｓｓ ｒｕｌｅｓ．Ｉｔｕｓｅｄａｃｒｏｓｓｌａｎｇｕａｇｅｓｅｒｖｉｃｅｓｄｅｖｅｌｏｐｍｅｎｔｆｒａｍｅｗｏｒｋ，Ｔｈｒｉｆｔ，ｔｏｉｍｐｌｅｍｅｎｔｔｈｅａｃｃｅｓｓｃｏｎｔｒｏｌｓｅｒｖｅｒ． Ｋｅｙｗｏｒｄｓ：ａｃｃｅｓｓｃｏｎｔｒｏｌ；ａｔｔｒｉｂｕｔｅｂａｓｅｄ；ａｃｃｅｓｓｒｕｌｅ；ｅｎｔｅｒｐｒｉｓｅｃｌｏｕｄｓｔｏｒａｇｅ；ｈｉｅｒａｒｃｈｉｃａｌｓｔｒｕｃｔｕｒｅ ＲＢＡＣ需要定义大量的用户角色，这给角色的分配和管理带来 　引言