无论是工业界还是学术界,云计算都是一个非常重要的课题。和传统计算模式相比,云计算的成本更低、部署更加快捷方便、服务更加稳定,因此越来越多的企业和机构都选择了云计算作为他们的服务平台。随着互联网的快速发展,云计算将会变得更加普遍,并且可能会成为最广泛的计算模式。云计算并不是大企业的专利,世界各地的研究所、实验室和社区都涌现出了大量的开源云计算实现,OpenStack就是最为流行的开源云计算平台之一。OpenStack被称作“云操作系统”,包括Intel、Microsoft、Cisco、和HP等科技企业都为OpenStack作出了贡献,正因如此,它是一个开放而通用的系统,并不针对某些特定场合作定制优化,同时OpenStack采用了Apache许可证,允许对软件进行修改后闭源,有鉴于此,很多厂商也选择使用OpenStack来设计构建自己的云服务。本文在OpenStack的基础上设计并实现了一个的云计算资源管理系统,并且在其上设计了一种新的访问权限控制方案。在云计算的高速的发展过程中涌现了大量的问题和需求,其中之一便是访问权限的划分和管理。将服务搬上云端带来的副作用就是其私密性大打折扣,很多传统的访问控制方法就不那么适宜云计算的环境了基于属性的加密(Attribute-Based Encryption,ABE)是近年来提出的一类新型非对称加密方法,其密文、用户私钥与属性集相关。在密文策略基于属性的加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)中,密文包含访问结构树,只有当用户私钥中的属性集满足访问结构树的要求时才能解密。因此,在CP-ABE方案中,发送方在加密消息时不必像传统公钥密码学一样获取接收方的公钥,而且也不必为了每一个接收者分别加密消息。这些特性使得CP-ABE很适合在分布式的环境中使用,因此我们可以使用它来实现云计算中的访问权限控制。本文基于OpenStack和CP-ABE方案展开研究,主要工作是基于OpenStack,设计并实现了名为“虚拟实验室”(vLab)的云计算管理平台,在vLab中,用户可以创建并管理计算实例。vLab中同时也设计了对虚拟实例的远程访问方案,意图在公共IPv4地址正在枯竭的情境下,解决学校、研究所等非盈利机构所面临的问题。vLab还设计并实现了基于CP-ABE的访问权限控制方案和属性撤销方案,使用基于CP-ABE的挑战-应答模式,服务方不再需要维护用户的权限信息,简化了系统设计,提高了服务能力。