CN104320426A - 云环境下的数据分层访问方法及系统 - Google Patents

Abstract

本发明涉及一种云环境下的数据分层访问方法及系统，该方法首先为所提供的数据建立系统参数，在将所述提供的数据进行加密后，上传至云端数据服务器，并对存储在云端数据服务器上的所述加密数据进行分层，然后接收用户发出的数据请求，判断所述请求是否满足数据使用权限，满足则向用户发送数据密钥。本发明的技术方案解决了云环境下的有时限的分层密钥分配问题，能够在不安全的云存储环境下提供一种相对安全的数据访问方式。

Description

云环境下的数据分层访问方法及系统

技术领域

本发明属于云计算技术领域，特别是一种云环境下的数据分层访问方法及系统。

背景技术

近年来，云计算作为计算机技术发展的新趋势而快速发展，越来越多的软硬件厂商倾向于在云服务器上部署应用程序和数据。云计算是一种模型，这种模型提供了无处不在的、便捷的、按需配置网络的访问计算资源(如网络、服务器、存储、应用程序和服务)的模型，云计算模型可以以最少的管理工作和最少的与服务供应商的互动来快速配置和释放资源。其包括五个基本特征：按需自助服务、无处不在的网络访问、资源池、快速的可伸缩性、可度量的服务；三种服务模型：软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)；以及四种部署模型：公有云、社区云、私有云、混合云。

随着云计算的发展，云存储越来越受到用户和公司的关注。云存储提供数据的外包、访问、共享等方面的相关技术。在数据的外包技术中，数据提供者(DP)可以将所提供的数据存储在云服务器上而不是在本地存储设备上，这样任何一个被授权的用户就可以通过连接云服务器访问这些数据。但是，将数据外包到云服务器上会有一些安全方面的问题，主要体现在：(1)数据提供者希望数据对于云服务器是透明的；(2)数据提供者希望根据一些策略来控制用户访问的权限。

访问控制用于管理系统中能够访问数据的用户，现有技术中提供了一种访问控制系统来对数据用户进行管理。该访问控制系统通常为分层密钥管理系统，即在系统中将用户组划分为若干不相交的群组，形成层次结构。这些群组对云服务器上的数据有不同的访问权限，一些用户可能比别的用户拥有更多访问权限。

上述技术方案的缺陷在于，没有充分考虑到时限问题。在一些应用程序中，需要在建立分层密钥管理系统的同时考虑时限问题。例如，在付费电视系统中，一位服务使用者可能希望在一段时间内(月、年等)收看需要专门付费的新闻频道，而在超出该时间后，也能继续观看其他一般付费频道。

因此，有必要就分层密钥管理与时限问题的组合提供解决方案。

发明内容

本发明所要解决的技术问题在于提供一种云计算技术，特别是一种云环境下的数据分层访问方法及系统。

本发明的目的是通过以下技术方案来实现的：

一种云环境下的数据分层访问方法，所述方法包括以下步骤：

步骤a：为所提供的数据建立系统参数；

步骤b：将所述提供的数据进行加密后，上传至云端数据服务器；

步骤c：对存储在云端数据服务器上的所述加密数据进行分层；

步骤d：接收用户发出的数据请求，判断所述请求是否满足数据使用权限，满足则继续步骤e，否则结束；

步骤e：向用户发送数据密钥。

在本发明的技术方案中，所述步骤a进一步包括：

步骤a1：为所提供的数据建立分层参数；

步骤a2：生成加密参数；

步骤a3：生成具有时限的分层密钥。

在本发明的技术方案中，所述系统参数采用结合RSA与配对的时限数据分层访问算法来建立。

在本发明的技术方案中，所述步骤a1进一步包括：将所提供的数据进行分类，定义系统的生存时间为T＝{1,2，…，z}，数据被分为C＝{C1,C2,..,Cn}，定义所述类之间的二元关系<为，Ci<Cj。

在本发明的技术方案中，所述步骤a2进一步包括：生成一个有向图(C,<)，然后生成必须的密钥和其他参数：配对e:G₁×G₁→G₂，P_pub＝s·P s∈Z_q ^*，选择2个大素数p1,q1，n＝p₁×q₁，Ψ(n)＝(p₁-1)·(q₁-1)，选择两组密钥对(e_i,d_i)，(i＝1,2,…,n)和(g_t,h_t)，(t＝1,2,…,z)其中e_i·d_i≡1modψ(n)，g_t·h_t≡1modψ(n)，并定义密码学哈希函数H:{0,1}^*→Z_q ^*，最终{e,G₁,G₂,q,P,P_pub,n,e₁,...,e_n,g₁,...,g_s,H}作为公共参数，其余参数作为私密。

在本发明的技术方案中，所述步骤a3进一步包括：

计算类Ci在时段t的密钥为：

K_i,t＝(k_i||k_t)其中 $k_i=e{(\underset{\mathrm{ck}<\mathrm{ci}}{\mathrm{\&Pi;}}{d}_{k}P,P_{\mathrm{pub}})}^a=e{(P,P)}^{{\mathrm{\&Pi;}}_{\mathrm{ck}<\mathrm{ci}}{\mathrm{sad}}_k},$ $K_t=e{(P,P)}^{h_t},$ a∈Z_q ^*为随机数。

在本发明的技术方案中，所述步骤b进一步包括：将所述数据用AONT技术处理，假设数据为要上传的数据 $D_{i_1}\left|\right|D_{i_2}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|D_{i_n}+x\underset{\&RightArrow;}{\mathrm{AONT}}{D_{i_1}}^{\&prime;}\left|\right|{D_{i_2}}^{\&prime;}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|{D_{i_m}}^{\&prime;},$ x为随机字符窜，选择一个K作为AES密钥，选择1-m内的随机数ρ，然后使用Ki,t加密K、ρ及Diρ，使用K加密其余数据块，最后将加密后的数据上传至云端数据服务器。

在本发明的技术方案中，所述步骤d进一步包括：数据提供商根据用户提供的所欲下载的数据、目前订阅的类C_i与订阅的时间，判断用户是否满足数据使用权限，假设用户订阅的时间段为T_i∈T，所述数据密钥为：

$(\mathrm{\&alpha;}=a{\mathrm{\&Pi;}}_{C_k\&le;C_i}{d}_{k}P,\mathrm{\&beta;}=e{(P,P)}^{{\mathrm{\&Pi;}}_{y\&Element;T_i}{h}_y}).$

在本发明的技术方案中，所述方法进一步包括：

步骤f：用户从云端数据服务器下载所需的数据；

步骤g：用户使用所述数据密钥对所述下载的数据进行解密。

一种云环境下的数据分层访问系统，其特征在于，所述系统包括参数建立模块、加密上传模块、数据分层模块、请求判断模块以及密钥发送模块，所述参数建立模块用于为所提供的数据建立系统参数，所述加密上传模块用于对所提供的数据进行加密后，上传至云端数据服务器，所述数据分层模块用于对存储在云端数据服务器上的加密数据进行分层，所述请求判断模块用于接收用户发出的数据请求，并根据判断结果控制密钥发送模块工作，所述密钥发送模块用于向用户发送数据密钥。

本发明的技术方案解决了云环境下的有时限的分层密钥分配问题，能够在不安全的云存储环境下提供一种相对安全的数据访问方式。

附图说明

图1为本发明云环境下的数据分层访问方法的流程图。

图2为本发明建立系统参数的流程图。

图3为本发明进行数据分层的示意图。

图4为本发明进行数据分块加密的示意图。

图5为本发明用户对数据进行下载解密的流程图。

图6为本发明云环境下的数据分层访问系统的模块图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明的技术方案中，数据提供商为用户提供数据，并将数据存储于第三方提供的云端服务器。而用户需要能够在一段时间内(月、年等)内访问不同层次的数据。

请参阅图1，本发明的云环境下的数据分层访问方法主要包括以下步骤：

步骤S101：数据提供商为所提供的数据建立系统参数；

在本发明的较佳实施方式中，采用结合RSA与配对(Pairing)的时限数据分层访问算法来建立数据的系统参数。请参阅图2，其中，步骤S101进一步包括：

步骤S1011：为所提供的数据建立分层参数；

请参阅图3，数据提供商根据实际应用的需求(如付费电视系统中的频道设置)，将所提供的数据进行分类，定义系统的生存时间为T＝{1,2，…，z}，数据被分为C＝{C1,C2,..,Cn}，定义这些类之间的二元关系<为，Ci<Cj则如果一个用户能够访问Cj中的数据则他也能访问Ci中的数据，但是如果一个用户能够访问Ci中的数据则他不能够访问Cj中的数据。这n个类之间的二元关系<组成了一个有向图G＝(C,<)，此时，有向图中有一条由Cj到Ci的边。

步骤S1012：生成加密参数；

具体过程为：

首先数据提供者决定数据分类C和各个类之间的联系，也就是说生成一个有向图(C,<)，然后生成必须的密钥和其他参数：配对e:G₁×G₁→G₂，P_pub＝s·P s∈Z_q ^*。数据提供者选择2个大素数p1,q1，n＝p₁×q₁，Ψ(n)＝(p₁-1)·(q₁-1)。然后数据提供者选择两组密钥对(e_i,d_i)，(i＝1,2,…,n)和(g_t,h_t)，(t＝1,2,…,z)其中e_i·d_i≡1modψ(n)，g_t·h_t≡1modψ(n)。然后数据提供者定义一个密码学哈希函数H:{0,1}^*→Z_q ^*。最终{e,G₁,G₂,q,P,P_pub,n,e₁,...,e_n,g₁,...,g_s,H}作为公共参数，其余参数作为私密。

步骤S1013：生成具有时限的分层密钥。

这一步主要是为生成每个类的数据在当前时间段的密钥。层次密钥在每个时间段会更新，数据提供商计算类Ci在时段t的密钥如下：

K_i,t＝(k_i||k_t)其中 $k_i=e{(\underset{\mathrm{ck}<\mathrm{ci}}{\mathrm{\&Pi;}}{d}_{k}P,P_{\mathrm{pub}})}^a=e{(P,P)}^{{\mathrm{\&Pi;}}_{\mathrm{ck}<\mathrm{ci}}{\mathrm{sad}}_k},$ $K_t=e{(P,P)}^{h_t},$ a∈Z_q ^*为随机数。

步骤S102：数据提供商对所提供的数据进行加密后，上传至云端数据服务器；

请参阅图4，数据提供商将数据用AONT技术处理，假设数据 $D_i=D_{i_1}\left|\right|D_{i_2}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|D_{i_n}$ 为要上传的数据 $D_{i_1}\left|\right|D_{i_2}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|D_{i_n}+x\underset{\&RightArrow;}{\mathrm{AONT}}{D_{i_1}}^{\&prime;}\left|\right|{D_{i_2}}^{\&prime;}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|{D_{i_m}}^{\&prime;},$ x为随机字符窜。数据提供者选择一个K作为AES密钥，选择1-m内的随机数ρ。然后使用Ki,t加密K、ρ及Diρ，使用K加密其余数据块，最后将加密后的数据通过上传到云端数据服务器上。

步骤S103：数据提供商对存储在云端数据服务器上的加密数据进行分层；

在本发明的较佳实施方式中，数据提供商在云端服务器上对所提供的数据进行分层。利用云端服务器强大的计算能力，可加速数据分层的速度。此外，将加密后的数据先存储至云端服务器，在云端服务器上直接进行分层，也会降低数据提供商与云端服务器通讯错误的问题。

步骤S104：接收用户发出的数据请求，判断该请求是否满足数据使用权限，满足则继续步骤S105，否则结束；

用户需要提供所欲下载的数据、目前订阅的类C_i与订阅的时间当做请求权限，数据提供商据此判断用户是否满足数据使用权限。

步骤S105：向用户发送数据密钥。

用户订阅后给用户分配数据访问密钥，假设用户订阅的时间段为T_i∈T，订阅的类为Ci，则数据提供商计算密钥如下：

$(\mathrm{\&alpha;}=a{\mathrm{\&Pi;}}_{C_k\&le;C_i}{d}_{k}P,\mathrm{\&beta;}=e{(P,P)}^{{\mathrm{\&Pi;}}_{y\&Element;T_i}{h}_y})$

这个密钥通过秘密信道传送给用户，用户即可对所请求的数据进行解密和下载。

请参阅图5，在本发明的较佳实施方式中，用户对数据进行解密下载的过程包括以下步骤：

步骤S106：用户从云端数据服务器下载所需的数据；

步骤S107：用户使用上述数据密钥对加密后的数据进行解密。

授权用户使用自己的密钥访问云服务器上的数据后，用户将云端服务器上的数据下载到本地，并对数据进行解密。用户通过安全信道使用密钥来计算出K_i,t，进行解密。具体来说：

在时间段Ti中订阅类Ci的用户，对于C_j≤C_i可以计算出其分层密钥Kj,t，进而解密类Cj中的数据。计算过程如下：

$\begin{array}{c}{k}_j=e{(\mathrm{\&alpha;},P_{\mathrm{pub}})}^{{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Ci},\mathrm{Ck}!\&le;\mathrm{Cj}}{e}_k}\\ =e{(a{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Ci}}{d}_{k}P,s\&CenterDot;P)}^{{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Ci},\mathrm{Ck}!\&le;\mathrm{Cj}}{e}_k}\\ =e{(P,P)}^{{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Cj}}{\mathrm{sad}}_k}\end{array}$

$k_t={\left(\mathrm{\&beta;}\right)}^{{\mathrm{\&Pi;}}_{y\&Element;T_i,y\&NotEqual;t}{g}_y}=e{(P,P)}^{h_t}$

(k_i||k_t)＝K_i,t

此时，用户即可以使用数据提供商提供的数据内容。

请参阅图6，本发明的云环境数据下的分层访问系统主要包括：参数建立模块、加密上传模块、数据分层模块、请求判断模块以及密钥发送模块。

其中，该参数建立模块用于为所提供的数据建立系统参数。

在本发明的较佳实施方式中，采用结合RSA与配对(Pairing)的时限数据分层访问算法来建立数据的系统参数。

该参数建立模块还包括分层参数模块、加密参数模块以及分层密钥模块。

该分层参数模块用于为所提供的数据建立分层参数。数据提供商根据实际应用的需求(如付费电视系统中的频道设置)，将所提供的数据进行分类，定义系统的生存时间为T＝{1,2，…，z}，数据被分为C＝{C1,C2,..,Cn}，定义这些类之间的二元关系<为，Ci<Cj则如果一个用户能够访问Cj中的数据则他也能访问Ci中的数据，但是如果一个用户能够访问Ci中的数据则他不能够访问Cj中的数据。这n个类之间的二元关系<组成了一个有向图G＝(C,<)，此时，有向图中有一条由Cj到Ci的边。

该加密参数模块用于生成加密参数。具体过程为：首先数据提供者决定数据分类C和各个类之间的联系，也就是说生成一个有向图(C,<)，然后生成必须的密钥和其他参数：配对e:G₁×G₁→G₂，P_pub＝s·P s∈Z_q ^*。数据提供者选择2个大素数p1,q1，n＝p₁×q₁，Ψ(n)＝(p₁-1)·(q₁-1)。然后数据提供者选择两组密钥对(e_i,d_i)，(i＝1,2,…,n)和(g_t,h_t)，(t＝1,2,…,z)其中e_i·d_i≡1modψ(n)，g_t·h_t≡1modψ(n)。然后数据提供者定义一个密码学哈希函数H:{0,1}^*→Z_q ^*。最终{e,G₁,G₂,q,P,P_pub,n,e₁,...,e_n,g₁,...,g_s,H}作为公共参数，其余参数作为私密。

该分层密钥模块用于生成具有时限的分层密钥。为生成每个类的数据在当前时间段的密钥。层次密钥在每个时间段会更新，数据提供商计算类Ci在时段t的密钥如下：

K_i,t＝(k_i||k_t)其中 $k_i=e{(\underset{\mathrm{ck}<\mathrm{ci}}{\mathrm{\&Pi;}}{d}_{k}P,P_{\mathrm{pub}})}^a=e{(P,P)}^{{\mathrm{\&Pi;}}_{\mathrm{ck}<\mathrm{ci}}{\mathrm{sad}}_k},$ $K_t=e{(P,P)}^{h_t},$ a∈Z_q ^*为随机数。

该加密上传模块用于对所提供的数据进行加密后，上传至云端数据服务器。

数据提供商将数据用AONT技术处理，假设数据为要上传的数据 $D_{i_1}\left|\right|D_{i_2}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|D_{i_n}+x\underset{\&RightArrow;}{\mathrm{AONT}}{D_{i_1}}^{\&prime;}\left|\right|{D_{i_2}}^{\&prime;}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|{D_{i_m}}^{\&prime;},$ x为随机字符窜。数据提供者选择一个K作为AES密钥，选择1-m内的随机数ρ。然后使用Ki,t加密K、ρ及Diρ，使用K加密其余数据块，最后将加密后的数据通过上传到云端数据服务器上。

该数据分层模块用于对存储在云端数据服务器上的加密数据进行分层。

在本发明的较佳实施方式中，数据提供商在云端服务器上对所提供的数据进行分层。

该请求判断模块用于接收用户发出的数据请求，并根据判断结果控制密钥发送模块工作。

用户需要提供所欲下载的数据、目前订阅的类C_i与订阅的时间当做请求权限，数据提供商据此判断用户是否满足数据使用权限。

密钥发送模块用于向用户发送数据密钥。

用户订阅后给用户分配数据访问密钥，假设用户订阅的时间段为T_i∈T，订阅的类为Ci，则数据提供商计算密钥如下：

$(\mathrm{\&alpha;}=a{\mathrm{\&Pi;}}_{C_k\&le;C_i}{d}_{k}P,\mathrm{\&beta;}=e{(P,P)}^{{\mathrm{\&Pi;}}_{y\&Element;T_i}{h}_y})$

这个密钥通过秘密信道传送给用户，用户即可对所请求的数据进行解密和下载。

在本发明的较佳实施方式中，该云环境数据分层访问系统还包括数据下载模块及数据解密模块。

该数据下载模块用于从云端数据服务器下载所需的数据。

该数据解密模块用于使用上述数据密钥对加密后的数据进行解密。

授权用户使用自己的密钥访问云服务器上的数据后，用户将云端服务器上的数据下载到本地，并对数据进行解密。授权用户使用自己的密钥访问云服务器上的数据后，用户在云端服务器上对数据进行解密。用户通过安全信道使用密钥来计算出K_i,t，进行解密。具体来说：

在时间段Ti中订阅类Ci的用户，对于C_j≤C_i可以计算出其分层密钥Kj,t，进而解密类Cj中的数据。计算过程如下：

$\begin{array}{c}{k}_j=e{(\mathrm{\&alpha;},P_{\mathrm{pub}})}^{{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Ci},\mathrm{Ck}!\&le;\mathrm{Cj}}{e}_k}\\ =e{(a{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Ci}}{d}_{k}P,s\&CenterDot;P)}^{{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Ci},\mathrm{Ck}!\&le;\mathrm{Cj}}{e}_k}\\ =e{(P,P)}^{{\mathrm{\&Pi;}}_{\mathrm{Ck}\&le;\mathrm{Cj}}{\mathrm{sad}}_k}\end{array}$

$k_t={\left(\mathrm{\&beta;}\right)}^{{\mathrm{\&Pi;}}_{y\&Element;T_i,y\&NotEqual;t}{g}_y}=e{(P,P)}^{h_t}$

(k_i||k_t)＝K_i,t

此时，用户即可以使用数据提供商提供的数据内容。

本发明的技术方案解决了云环境下的有时限的分层密钥分配问题，能够在不安全的云存储环境下提供一种相对安全的数据访问方式。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种云环境下的数据分层访问方法，其特征在于，所述方法包括以下步骤：

步骤a：为所提供的数据建立系统参数；

步骤b：将所述提供的数据进行加密后，上传至云端数据服务器；

步骤c：对存储在云端数据服务器上的所述加密数据进行分层；

步骤d：接收用户发出的数据请求，判断所述请求是否满足数据使用权限，满足则继续步骤e，否则结束；

步骤e：向用户发送数据密钥。

2.如权利要求1所述的云环境下的数据分层访问方法，其特征在于，所述步骤a进一步包括：

步骤a1：为所提供的数据建立分层参数；

步骤a2：生成加密参数；

步骤a3：生成具有时限的分层密钥。

3.如权利要求1所述的云环境下的数据分层访问方法，其特征在于，所述系统参数采用结合RSA与配对的时限数据分层访问算法来建立。

4.如权利要求2所述的云环境下的数据分层访问方法，其特征在于，所述步骤a1进一步包括：将所提供的数据进行分类，定义系统的生存时间为T＝{1,2，…，z}，数据被分为C＝{C1,C2,..,Cn}，定义所述类之间的二元关系<为，Ci<Cj。

5.如权利要求4所述的云环境下的数据分层访问方法，其特征在于，所述步骤a2进一步包括：生成一个有向图(C,<)，然后生成必须的密钥和其他参数：配对e:G₁×G₁→G₂，P_pub＝s·P s∈Z_q ^*，选择2个大素数p1,q1，n＝p₁×q₁，Ψ(n)＝(p₁-1)·(q₁-1)，选择两组密钥对(e_i,d_i)，(i＝1,2,…,n)和(g_t,h_t)，(t＝1,2,…,z)其中e_i·d_i≡1modψ(n)，g_t·h_t≡1modψ(n)，并定义密码学哈希函数H:{0,1}^*→Z_q ^*，最终{e,G₁,G₂,q,P,P_pub,n,e₁,...,e_n,g₁,...,g_s,H}作为公共参数，其余参数作为私密。

6.如权利要求5所述的云环境下的数据分层访问方法，其特征在于，所述步骤a3进一步包括：

计算类Ci在时段t的密钥为：

K_i,t＝(k_i||k_t)其中 $k_i=e{(\underset{\mathrm{ck}<\mathrm{ci}}{\mathrm{\&Pi;}}{d}_{k}P,P_{\mathrm{pub}})}^a=e{(P,P)}^{{\mathrm{\&Pi;}}_{\mathrm{ck}<\mathrm{ci}}{\mathrm{sad}}_k},$ $K_t=e{(P,P)}^{h_t},$ a∈Z_q ^*为随机数。

7.如权利要求6所述的云环境下的数据分层访问方法，其特征在于，所述步骤b进一步包括：将所述数据用AONT技术处理，假设数据为要上传的数据 $D_{i_1}\left|\right|D_{i_2}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|D_{i_n}+x\underset{\&RightArrow;}{\mathrm{AONT}}{D_{i_1}}^{\&prime;}\left|\right|{D_{i_2}}^{\&prime;}\left|\right|\&CenterDot;\&CenterDot;\&CenterDot;\left|\right|{D_{i_m}}^{\&prime;},$ x为随机字符窜，选择一个K作为AES密钥，选择1-m内的随机数ρ，然后使用Ki,t加密K、ρ及Diρ，使用K加密其余数据块，最后将加密后的数据上传至云端数据服务器。

8.如权利要求7所述的云环境下的数据分层访问方法，其特征在于，所述步骤d进一步包括：数据提供商根据用户提供的所欲下载的数据、目前订阅的类C_i与订阅的时间，判断用户是否满足数据使用权限，假设用户订阅的时间段为T_i∈T，所述数据密钥为：

$(\mathrm{\&alpha;}=a{\mathrm{\&Pi;}}_{C_k\&le;C_i}{d}_{k}P,\mathrm{\&beta;}=e{(P,P)}^{{\mathrm{\&Pi;}}_{y\&Element;T_i}{h}_y}).$

9.如权利要求1所述的云环境下的数据分层访问方法，其特征在于，所述方法进一步包括：

步骤f：用户从云端数据服务器下载所需的数据；

步骤g：用户使用所述数据密钥对所述下载的数据进行解密。

10.一种云环境下的数据分层访问系统，其特征在于，所述系统包括参数建立模块、加密上传模块、数据分层模块、请求判断模块以及密钥发送模块，所述参数建立模块用于为所提供的数据建立系统参数，所述加密上传模块用于对所提供的数据进行加密后，上传至云端数据服务器，所述数据分层模块用于对存储在云端数据服务器上的加密数据进行分层，所述请求判断模块用于接收用户发出的数据请求，并根据判断结果控制密钥发送模块工作，所述密钥发送模块用于向用户发送数据密钥。