一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法及系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法及系統(tǒng)�����。由于將現(xiàn)有云計(jì)算下的密文訪問(wèn)控制系統(tǒng)進(jìn)行分等級(jí)控制�����,提高了訪問(wèn)控制的效率,利用碼分復(fù)用技術(shù)編碼明文與密文���,減少了密文存儲(chǔ)空間,同時(shí),采用密文策略的屬性加密方案減少了用戶保存私鑰的數(shù)量����,提升了系統(tǒng)的整體性能并減少了存儲(chǔ)空間的消耗����。
【專(zhuān)利說(shuō)明】一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,尤其涉及一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法及系統(tǒng)��。
【背景技術(shù)】
[0002]云計(jì)算是一種可以更有效地利用計(jì)算資源為用戶提供各種數(shù)據(jù)服務(wù)的新型計(jì)算模式��,其將大量的計(jì)算資源�、存儲(chǔ)資源和軟件資源鏈接在一起,運(yùn)用虛擬技術(shù)����,為用戶提供可定制的計(jì)算、存儲(chǔ)和應(yīng)用服務(wù)���,避免用戶自身繁重的基礎(chǔ)設(shè)施的構(gòu)建和維護(hù)。然而����,集中管理的云計(jì)算中心將成為黑客攻擊的重點(diǎn)目標(biāo)�,由于前所未有的開(kāi)放性與復(fù)雜性����,其安全性面臨著比以往更為嚴(yán)峻的考驗(yàn)。
[0003]在云計(jì)算平臺(tái)�����,由于采用數(shù)據(jù)遠(yuǎn)程托管技術(shù)��,云服務(wù)提供商是數(shù)據(jù)的物理?yè)碛姓?��,卻與數(shù)據(jù)屬主并不在同一個(gè)信任域中�;由于采用虛擬化存儲(chǔ)技術(shù)�����,云計(jì)算服務(wù)同底層硬件環(huán)境間是松耦合的�,用戶數(shù)據(jù)間缺乏固定不變的安全邊界,由此增加了在云計(jì)算平臺(tái)對(duì)用戶數(shù)據(jù)實(shí)施訪問(wèn)控制的難度�����。同時(shí),由于無(wú)法信賴云服務(wù)提供商忠實(shí)實(shí)施用戶定義的訪問(wèn)控制策略���,當(dāng)前的解決方法大多采用密碼技術(shù)實(shí)施云計(jì)算平臺(tái)細(xì)粒度訪問(wèn)控制��。然而在基于云計(jì)算平臺(tái)分等級(jí)的應(yīng)用場(chǎng)景下����,由于:1)用戶私鑰和密文分別與屬性集合和訪問(wèn)結(jié)構(gòu)相關(guān)��;2)用戶組與屬性集為多對(duì)多關(guān)系���;3)效率不高或者實(shí)現(xiàn)效果不理想����,因此基于云計(jì)算平臺(tái)下分等級(jí)的訪問(wèn)控制是一個(gè)難題�����。
[0004]因此�,現(xiàn)有技術(shù)還有待于改進(jìn)和發(fā)展。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問(wèn)題在于�,針對(duì)現(xiàn)有技術(shù)的上述缺陷,提供一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法及系統(tǒng)���,以解決現(xiàn)有云計(jì)算平臺(tái)下分等級(jí)的訪問(wèn)控制難題����。
[0006]本發(fā)明解決技術(shù)問(wèn)題所采用的技術(shù)方案如下:
[0007]—種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法�,包括以下步驟:
[0008]A、系統(tǒng)預(yù)先定義一訪問(wèn)結(jié)構(gòu)樹(shù)����,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)創(chuàng)建數(shù)個(gè)主用戶屬性集;
[0009]B�����、建立公共參數(shù)和主私鑰���,根據(jù)所述公共參數(shù)和主私鑰生成所述主用戶屬性集對(duì)應(yīng)的第一私鑰���;
[0010]C、通過(guò)碼分復(fù)用編碼明文信息�,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)將編碼后的明文信息分為不同的訪問(wèn)級(jí)別,并加密得到密文信息��;
[0011]D���、采用碼分復(fù)用和第一私鑰對(duì)所述密文信息進(jìn)行解密���,得到主用戶屬性集對(duì)應(yīng)的明文信息����。
[0012]本發(fā)明的另一目的在于提供一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng)���,所述系統(tǒng)包括:
[0013]預(yù)設(shè)置模塊�,用于系統(tǒng)預(yù)先定義一訪問(wèn)結(jié)構(gòu)樹(shù)�,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)創(chuàng)建數(shù)個(gè)主用戶屬性集;[0014]密鑰生成模塊����,建立公共參數(shù)和主私鑰,根據(jù)所述公共參數(shù)和主私鑰生成所述主用戶屬性集對(duì)應(yīng)的第一私鑰�;
[0015]加密模塊,用于通過(guò)碼分復(fù)用編碼明文信息�����,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)將編碼后的明文信息分為不同的訪問(wèn)級(jí)別����,并加密得到密文信息�����;
[0016]解密模塊,用于采用碼分復(fù)用和第一私鑰對(duì)所述密文信息進(jìn)行解密�,得到主用戶屬性集對(duì)應(yīng)的明文信息。
[0017]本發(fā)明所提供的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法和系統(tǒng)��,由于將現(xiàn)有云計(jì)算下的密文訪問(wèn)控制系統(tǒng)進(jìn)行分等級(jí)控制���,提高了訪問(wèn)控制的效率,利用碼分復(fù)用技術(shù)編碼明文與密文減少了密文存儲(chǔ)空間,同時(shí)��,采用密文策略的屬性加密方案減少了用戶保存密鑰的數(shù)量���,提升了系統(tǒng)的整體性能和減少了存儲(chǔ)空間的消耗����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0018]圖1是本發(fā)明提供的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法的流程圖�����。
[0019]圖2是本發(fā)明提供的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng)的結(jié)構(gòu)示意圖��。
[0020]圖3是本發(fā)明提供的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng)中一優(yōu)選實(shí)施例的結(jié)構(gòu)示意圖。
[0021]圖4是本發(fā)明較佳實(shí)施例的密文訪問(wèn)控制方法的示意圖����。
【具體實(shí)施方式】
[0022]為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚���、明確����,以下參照附圖并舉實(shí)施例對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明���。應(yīng)當(dāng)理解��,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明。
[0023]請(qǐng)參考圖1���,本發(fā)明提出的一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法��,包括:
[0024]步驟S100�、系統(tǒng)預(yù)先定義一訪問(wèn)結(jié)構(gòu)樹(shù)�����,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)創(chuàng)建數(shù)個(gè)主用戶屬性集。
[0025]為了擴(kuò)展密文訪問(wèn)控制的效率�,本發(fā)明還可以為主用戶分配下級(jí)子用戶,因此����,系統(tǒng)會(huì)根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)為所述主用戶屬性集分配子用戶屬性集���;所述訪問(wèn)結(jié)構(gòu)樹(shù)是由“與”�����,“或”以及“門(mén)限”組成的數(shù)據(jù)訪問(wèn)結(jié)構(gòu)�����。密文與訪問(wèn)結(jié)構(gòu)樹(shù)相對(duì)應(yīng)�����,而用戶與屬性集相對(duì)應(yīng)����。根據(jù)用戶的屬性集滿足訪問(wèn)結(jié)構(gòu)樹(shù)中等級(jí)的不同,用戶擁有的權(quán)限也不同�。根據(jù)密級(jí)文件的等級(jí)來(lái)設(shè)定訪問(wèn)控制策略,使具有不同訪問(wèn)權(quán)限的人員根據(jù)所擁有的屬性解密不同密級(jí)的文件����。例如:某公司有三份密級(jí)文件mA,mB, mc,分別為:A級(jí)一絕密文件���,B級(jí)一機(jī)密文件���,C級(jí)一秘密文件。公司領(lǐng)導(dǎo)需要對(duì)這三份文件進(jìn)行加密�����,希望只有公司的權(quán)威人員可以訪問(wèn)三份密級(jí)文件中的部分或者全部��。假設(shè)總經(jīng)理助理是總經(jīng)理完全信任的員工����,總經(jīng)理助理可能不知道具體哪些人可以解密密級(jí)文件,但是通過(guò)職務(wù)�、部門(mén)、管理能力等屬性可以有效的控制訪問(wèn)權(quán)限,只有屬性滿足訪問(wèn)控制策略才能夠解密相應(yīng)的文件��。因此�����,助理根據(jù)總經(jīng)理的要求將訪問(wèn)控制策略制定如下:(I)滿足文件Hic的訪問(wèn)策略(會(huì)計(jì)AND財(cái)務(wù)部);(2)滿足文件mB的訪問(wèn)策略(((會(huì)計(jì)AND財(cái)務(wù)部)AND管理權(quán)>4)0R財(cái)務(wù)總監(jiān));(3)滿足文件mA的訪問(wèn)策略(((((會(huì)計(jì)AND財(cái)務(wù)部)AND管理權(quán)>4) OR財(cái)務(wù)總監(jiān))AND管理權(quán)>6)OR總經(jīng)理)�。在上述事例中,用戶職位�、所屬部門(mén)及管理權(quán)等級(jí)均為用戶屬性。[0026]步驟S200�、建立公共參數(shù)和主私鑰,根據(jù)所述公共參數(shù)和主私鑰生成所述主用戶屬性集對(duì)應(yīng)的第一私鑰���。而在主用戶具有下級(jí)子用戶時(shí),還需要根據(jù)所述主用戶屬性集對(duì)應(yīng)的第一私鑰�����,為所述子用戶屬性集生成對(duì)應(yīng)的第二私鑰����。
[0027]具體地,步驟S200進(jìn)一步包括:
[0028]步驟S201���、構(gòu)造階為素?cái)?shù)p����,生成元為g的雙線性群Gtl以及Gtl所對(duì)應(yīng)的雙線性映射群Gt ;
[0029]步驟S202�����、定義屬性空間A = {a0, a1�����;…��,an}和正交的PN偽隨機(jī)序列PN =IC1, C2,…�����,Ck}�,其中,η和k均為非零整數(shù)����;并定義兩個(gè)哈希函數(shù)分別為:H1: {O, I}*-G0,H2: {O, I}* — GT。
[0030]步驟S203�����、通過(guò)選擇隨機(jī)數(shù)α,β e Zp,生成公共參數(shù)PK和主私鑰MSK�����,具體為:
[0031]PK = {G0, g, h = g0, f = g1/e, e (g, g) α}, MSK = {ga, β }, Zp 為模 ρ 的整數(shù)群�;
[0032]步驟S204、為每個(gè)用戶隨機(jī)選擇r e Ζρ����,為每個(gè)屬性j e S選擇隨機(jī)數(shù)r」e Zp,生成主用戶屬性集S對(duì)應(yīng)的第一私鑰SK���,具體為:
【權(quán)利要求】
1.一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法�����,其特征在于,所述方法包括以下步驟: A����、系統(tǒng)預(yù)先定義一訪問(wèn)結(jié)構(gòu)樹(shù),根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)創(chuàng)建數(shù)個(gè)主用戶屬性集����; B���、建立公共參數(shù)和主私鑰,根據(jù)所述公共參數(shù)和主私鑰生成所述主用戶屬性集對(duì)應(yīng)的第一私鑰����; C、通過(guò)碼分復(fù)用編碼明文信息�,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)將編碼后的明文信息分為不同的訪問(wèn)級(jí)別,并加密得到密文信息��; D��、采用碼分復(fù)用和第一私鑰對(duì)所述密文信息進(jìn)行解密�,得到主用戶屬性集對(duì)應(yīng)的明文信息。
2.根據(jù)權(quán)利要求1所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法���,其特征在于�, 所述步驟A還包括:根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)為所述主用戶屬性集分配子用戶屬性集��; 所述步驟B還包括:根據(jù)所述第一私鑰��,為所述子用戶屬性集生成對(duì)應(yīng)的第二私鑰����; 所述步驟D還包括:采用碼分復(fù)用和第二私鑰對(duì)所述密文信息進(jìn)行解密����,得到所述子用戶屬性集對(duì)應(yīng)的明文信息�。
3.如權(quán)利要求1所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法,其特征在于:所述步驟B具體還包括: B1�、構(gòu)造階為素?cái)?shù)P,生成元為g的雙線性群Gtl以及Gtl所對(duì)應(yīng)的雙線性映射群Gt �����; B2��、定義屬性空間A = {a0, a1�;…,aj和正交的PN偽隨機(jī)序列PN = IC1, C2,…���,Cj���,其中�,η和k均為非零整數(shù);并定義兩個(gè)哈希函數(shù)分別為=H1: {O, 1}*-G0, H2: {O, I}*-Gt; B3��、通過(guò)選擇隨機(jī)數(shù)α,β e Zp��,生成公共參數(shù)PK和主私鑰MSK����,具體為:
PK = {G0, g, h = g0, f = g1/e, e (g, g) α}, MSK = {ga, β }, Zp 為模 ρ 的整數(shù)群; Β4�����、為每個(gè)用戶隨機(jī)選擇r e Zp��,為每個(gè)屬性j e S選擇隨機(jī)數(shù)e Zp��,生成主用戶屬性集S對(duì)應(yīng)的第一私鑰SK��,具體為:
4.如權(quán)利要求2所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法��,其特征在于�,所述步驟C具體還包括: Cl、使用公共參數(shù)PK和訪問(wèn)結(jié)構(gòu)樹(shù)T來(lái)加密明文信息����。
5.如權(quán)利要求4所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法,其特征在于���,所述步驟Cl具體還包括: CU��、根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)T�,將明文信息分為k個(gè)等級(jí),即M= Im1�,…,mk}����,并為各個(gè)等級(jí)選擇并公布節(jié)點(diǎn)信息(Xi, Ji) (`1≤i≤k); C12、為訪問(wèn)結(jié)構(gòu)樹(shù)T中的每個(gè)節(jié)點(diǎn)(x�,y)選擇多項(xiàng)式q(x,y)����,從根節(jié)點(diǎn)開(kāi)始采用自上而下的方式,為訪問(wèn)結(jié)構(gòu)樹(shù)中的每個(gè)節(jié)點(diǎn)(x���,y)設(shè)定多項(xiàng)式的度d(x���,y)比門(mén)限值卜?)少1,即d(x����;y) = k(x,y)_l,以完成每個(gè)節(jié)點(diǎn)(x�,y)的多項(xiàng)式q(x,y)的定義���; C13�����、對(duì)明文信息進(jìn)行加密�����,得到密文信息CT��,具體為:
6.如權(quán)利要求5所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制方法���,其特征在于,所述步驟D具體還包括: Dl�、預(yù)定義一個(gè)遞歸算法DecryptNode (CT, SK, (x, y)),其中,如果節(jié)點(diǎn)(x, y)是葉子節(jié)點(diǎn)�����,設(shè) i = att (X��,y)且 i e S,則
7.一種基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng),其特征在于�����,所述系統(tǒng)包括: 預(yù)設(shè)置模塊��,用于系統(tǒng)預(yù)先定義一訪問(wèn)結(jié)構(gòu)樹(shù)����,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)創(chuàng)建數(shù)個(gè)主用戶屬性集; 密鑰生成模塊�,建立公共參數(shù)和主私鑰,根據(jù)所述公共參數(shù)和主私鑰生成所述主用戶屬性集對(duì)應(yīng)的第一私鑰��; 加密模塊���,用于通過(guò)碼分復(fù)用編碼明文信息�����,根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)將編碼后的明文信息分為不同的訪問(wèn)級(jí)別��,并加密得到密文信息��; 解密模塊���,用于采用碼分復(fù)用和第一私鑰對(duì)所述密文信息進(jìn)行解密��,得到主用戶屬性集對(duì)應(yīng)的明文信息。
8.如權(quán)利要求6所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng)�����,其特征在于��,所述密鑰生成模塊具體還包括: 構(gòu)造模塊����,用于構(gòu)造階為素?cái)?shù)P,生成元為g的雙線性群Gtl以及所述雙線性群Gtl的雙線性映射群Gt �; 初始化模塊,用于定義用戶屬性空間���、正交的偽隨機(jī)序列和兩個(gè)哈希函數(shù)�,通過(guò)選擇兩個(gè)隨機(jī)數(shù)����,生成公共參數(shù)和主私鑰; 第一密鑰生成模塊,用于為每個(gè)主用戶及每個(gè)主用戶屬性集中的每個(gè)屬性選擇一隨機(jī)數(shù)�,生成主用戶屬性集對(duì)應(yīng)的第一私鑰; 第二密鑰生成模塊���,用于為每個(gè)子用戶及每個(gè)子用戶屬性集中的每個(gè)屬性選擇一隨機(jī)數(shù)�,生成子用戶屬性集對(duì)應(yīng)的第二私鑰���。
9.如權(quán)利要求8所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng)����,其特征在于����,所述加密模塊具體包括: 明文分級(jí)模塊,用于根據(jù)所述訪問(wèn)結(jié)構(gòu)樹(shù)�����,將明文信息分為數(shù)個(gè)等級(jí)���,并為各個(gè)等級(jí)選擇并公布節(jié)點(diǎn)信息��; 節(jié)點(diǎn)定義模塊����,用于為訪問(wèn)結(jié)構(gòu)樹(shù)中的每個(gè)節(jié)點(diǎn)選擇多項(xiàng)式,從根節(jié)點(diǎn)開(kāi)始采用自上而下的方式��,為訪問(wèn)結(jié)構(gòu)樹(shù)中的每個(gè)節(jié)點(diǎn)設(shè)定多項(xiàng)式的度比門(mén)限值少1��,以完成每個(gè)節(jié)點(diǎn)多項(xiàng)式的定義��; 明文加密模塊����,用于根據(jù)每個(gè)節(jié)點(diǎn)所選擇的多項(xiàng)式�����,以及采用碼分復(fù)用對(duì)明文信息進(jìn)行加密����,得到密文信息。
10.如權(quán)利要求9所述的基于云計(jì)算平臺(tái)的密文訪問(wèn)控制系統(tǒng)���,其特征在于���,所述解密模塊包括: 預(yù)定義模塊����,用于預(yù)定義一個(gè)根據(jù)第一私鑰和密文或者第二私鑰和密文計(jì)算各節(jié)點(diǎn)信息的遞歸程序����; 計(jì)算模塊,用于通過(guò)所述遞歸程序計(jì)算用戶屬性集所包含的所有等級(jí)的節(jié)點(diǎn)信息���,并解密得到各節(jié)點(diǎn)信息相應(yīng)的明文編碼信息��; 解碼模塊��,用于采用碼分復(fù)用對(duì)所述明文編碼信息進(jìn)行解碼�����,得到相應(yīng)的明文信息�。
【文檔編號(hào)】H04L29/08GK103701833SQ201410026044
【公開(kāi)日】2014年4月2日 申請(qǐng)日期:2014年1月20日 優(yōu)先權(quán)日:2014年1月20日
【發(fā)明者】喻建平, 王樹(shù)蘭, 張鵬 申請(qǐng)人:深圳大學(xué)