随着互联网的快速发展和信息交互的不断进步,云计算得到越来越多人的关注。相比传统的单机计算模式,云计算在大规模计算和存储上有着明显的优势。但同时也带来了更多的安全问题。一方面,存储在云端的数据以明文的形式暴露给了云服务商,虽然云服务商一直标榜自身的可信性,但这种模式本身是不可靠的。另一方面,现今固有访问控制模式无法满足日益复杂的访问控制需求。这些问题都急需解决。OpenStack作为现今主流的开源云计算平台,在云计算享有重要的地位,而且经过开源社区的不断完善,已经有了一套较为成熟的安全体系。但其中仍有一些不足,如:访问控制单一,数据在云端以明文形式存储。因此对OpenStack进行补充和完善是十分有必要的。本文对OpenStack认证和授权进行了扩展,引入基于属性的访问控制,并通过属性基加密确保基于属性的访问控制该服务使OpenStack以更加细粒度的访问策略的实施。同时使用了服务的方式对OpenStack的访问控制进行了扩展,采用服务这种方式扩展可以在保证OpenStack完整性的情况下,为OpenStack添加一个可插拔的服务模块。本文首先介绍了对OpenStack进行访问控制服务扩展的必要性,然后对整个扩展服务进行了设计,该设计方案通过引入属性映射的用户角色指派保证了OpenStack细粒度访问控制的实施,通过对云端数据进行属性基加密完成了云端数据的加密。在该方案的实施阶段,本方案首先遵循设计阶段的所有功能实现,同时通过OpenStack模块中的Tempauth完成了一种可插拔的服务,这种方法大大的提高了OpenStack整个服务的升级和维护成本。综上所述,该扩展服务在功能和扩展方法上,相比市面上的的版本更新和扩展服务都具有明显的优点。