CN104917772A - 一种云存储服务平台的访问控制系统及其访问控制方法 - Google Patents

一种云存储服务平台的访问控制系统及其访问控制方法 Download PDF

Info

Publication number
CN104917772A
CN104917772A CN201510326044.8A CN201510326044A CN104917772A CN 104917772 A CN104917772 A CN 104917772A CN 201510326044 A CN201510326044 A CN 201510326044A CN 104917772 A CN104917772 A CN 104917772A
Authority
CN
China
Prior art keywords
attribute
access control
user
authority
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510326044.8A
Other languages
English (en)
Other versions
CN104917772B (zh
Inventor
喻建平
张鹏
连景钗
王廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen University
Original Assignee
Shenzhen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen University filed Critical Shenzhen University
Priority to CN201510326044.8A priority Critical patent/CN104917772B/zh
Publication of CN104917772A publication Critical patent/CN104917772A/zh
Priority to PCT/CN2016/081388 priority patent/WO2016197770A1/zh
Application granted granted Critical
Publication of CN104917772B publication Critical patent/CN104917772B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于云服务信息安全领域,提供了一种云存储服务平台的访问控制系统及其访问控制方法。该系统及方法基于权重属性加密机制,采用多机构属性基加密技术,将数据加密后存储到云存储服务平台上,可提高云存储服务的安全性。同时,由于将属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限,从而实现了更加灵活而细致的访问控制。另外,该系统和方法采用多机构属性基加密技术,避免了单个认证中心权力过于集中的问题,进一步提高了数据存储的安全性。该系统和方法特别适合部署在OSS平台,可切实保障用户存储在OSS平台数据的机密性,同时可对数据共享范围实施细粒度访问控制。

Description

一种云存储服务平台的访问控制系统及其访问控制方法
技术领域
本发明属于云服务信息安全领域,尤其涉及一种云存储服务平台的访问控制系统及其访问控制方法。
背景技术
在云存储服务平台中,由于采用数据远程托管技术,云服务提供商是数据的物理拥有者,却与数据属主并不在同一个信任域中。云存储服务提供商管理着多个用户及其资源,当用户跨边界访问其它用户资源时,需要采用一定的访问控制策略来控制对数据和服务的访问。但实际中,由于云存储服务平台是采用虚拟化存储技术,云存储服务同底层硬件环境之间是松耦合的,不同用户的数据间缺乏固定不变的安全边界,由此增加了在云存储服务平台对数据实施访问控制的难度。
现有技术中,虽然数据属主可对其上传的用户数据的读/写属性进行设置,例如将读/写属性设置为公有读/私有写或公有读/公有写,以在一定程度上限制数据的读写权限,但由于用户数据仍旧是以明文形式存储在云存储服务平台上的,缺乏有效的隐私保护机制,不能有效抵御非法用户的访问而使得用户数据泄露。
发明内容
本发明实施例的目的在于提供一种云存储服务平台的访问控制系统,旨在解决现有的云存储服务平台以明文形式存储用户数据,隐私性和安全性差的问题。
本发明实施例是这样实现的,一种云存储服务平台的访问控制系统,所述系统包括:
认证中心,用于生成全局公钥、全局主密钥、用户公钥,之后将所述全局公钥上传到云端;
至少一个属性授权机构,用于管理各自的属性集合,并生成机构公钥和机构密钥,之后将所述机构公钥上传到所述云端,还用于根据每一用户提交的属性列表,利用所述全局公钥、所述用户公钥、所述机构密钥生成与用户对应的用户私钥;
用户终端,用于从所述云端下载所述机构公钥和所述全局公钥,并结合所述属性授权机构生成的对应的所述用户私钥,实现用户数据的加密上传或共享数据的解密下载。
本发明实施例的另一目的在于提供一种如上所述的云存储服务平台的访问控制系统的访问控制方法,所述方法包括以下步骤:
认证中心注册各用户终端和各属性授权机构,并生成全局公钥、全局主密钥、用户公钥,之后将全局公钥上传到云端,将所述用户公钥发送给相应的属性授权机构,所述全局主密钥由所述认证中心保存;
属性授权机构管理各自的属性集合,并生成机构公钥和机构密钥,之后将所述机构公钥上传到所述云端,所述机构密钥由所述属性授权机构保存;
用户终端登录系统后,从所述云端下载所述机构公钥和所述全局公钥,并向相应的属性授权机构发出用户私钥获取请求和属性列表;
所述相应的属性授权机构接收到所述用户私钥获取请求后,根据所述属性列表,利用所述全局公钥、所述用户公钥、所述机构密钥生成与用户对应的用户私钥,并发送给相应的用户终端;
用户终端根据所述机构公钥、所述全局公钥和所述用户私钥,实现用户数据的加密上传或共享数据的解密下载。
本发明实施例提出的云存储服务平台的访问控制系统及其访问控制方法是基于权重属性加密机制,采用多机构属性基加密技术,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限,从而在保证安全性的同时还实现了更加灵活而细致的访问控制。另外,该系统和方法采用多机构属性基加密技术,避免了单个认证中心权力过于集中的问题,进一步提高了数据存储的安全性。该系统和方法特别适合部署在OSS平台,可切实保障用户存储在OSS平台数据的机密性,同时可对数据共享范围实施细粒度访问控制。
附图说明
图1是本发明提供的云存储服务平台的访问控制系统的结构图;
图2是本发明提供的云存储服务平台的访问控制系统的访问控制方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了解决现有技术存在的问题,本发明提出的云存储服务平台的访问控制系统及其访问控制方法是基于权重属性加密机制,采用多机构属性基加密技术,将需上传的用户数据加密后存储到云存储服务平台上的。
图1是本发明提供的云存储服务平台的访问控制系统的结构,为了便于说明,仅示出了与本发明相关的部分。
详细地,本发明提供的云存储服务平台的访问控制系统包括:认证中心1,用于生成全局公钥、全局主密钥、用户公钥,之后将全局公钥上传到云端,全局主密钥由认证中心1自己保存;至少一个属性授权机构2,用于管理各自的属性集合,并生成机构公钥和机构密钥,之后将机构公钥上传到云端,机构密钥由属性授权机构2自己保存,还用于根据每一用户提交的属性列表,利用全局公钥、用户公钥、机构密钥生成与用户对应的用户私钥;用户终端3,用于从云端下载机构公钥和全局公钥,并结合属性授权机构2生成的对应的用户私钥,实现用户数据的加密上传或共享数据的解密下载。
本发明中,用户终端3可进一步区分为数据属主和共享用户。其中,数据属主是数据文件的所有者,可以创建、更新、删除数据,同时希望将用户数据加密后上传至云端以实现数据共享;共享用户是希望从云端下载共享数据的一方。
应当理解,定义数据属主与共享用户的目的是为了区别用户终端3在系统某次运行过程中的功能是上传数据或下载数据,因而在系统某次运行过程中的数据属主可以是另一次运行过程中的共享用户,同样地,在系统某次运行过程中的共享用户可以是另一次运行过程中的数据属主。
本发明中,认证中心1和属性授权机构2均属于授权机构,该授权机构是指除用户终端3之外、与云端交互的另一方,主要完成最终用户私钥的分发、用户注册、信息和最终用户私钥的管理工作,同时,还负责对用户的属性信息进行相应的动态管理,例如,对用户或其属性的动态更新、添加或删除等。
本发明中,云端即云服务提供商或称数据共享中心,其一直在线并提供用户数据存储服务。
本发明中,当云端是阿里云计算有限公司对外提供的开放存储服务(OpenStorage Service,OSS)平台时,云端与用户终端3、属性授权机构2和认证中心1之间是通过阿里云计算有限公司提供的OSS平台的开发接口aliyun-sdk-oss-2.0.0.jar实现通信的。
此外,本发明中,认证中心1还用于接受各用户终端3和各属性授权机构2的注册,用户终端3和属性授权机构2根据注册获得的登录信息登录系统。
本发明的云存储服务平台的访问控制系统的工作原理是:
系统建立后,认证中心1注册各用户终端3和各属性授权机构2,并且生成全局公钥、全局主密钥、用户公钥,之后将全局公钥上传到云端,将用户公钥发送给相应的属性授权机构2。之后,各属性授权机构2管理各自的属性集合,即设定各自管理的属性集合中的属性值及其权重值,并生成机构公钥和机构密钥,之后将机构公钥上传到云端。其中,属性集合例如可以是校园网中的学生院系、学生类别、年级、专业等属性,教师具有院系、职称、教龄等属性的集合。
用户终端3根据注册获得的登录信息登录系统,之后从云端下载机构公钥和全局公钥,并向相应的属性授权机构2发出用户私钥获取请求和属性列表。相应的属性授权机构2在接收到用户私钥获取请求后,根据属性列表,利用全局公钥、用户公钥、机构密钥生成与用户对应的用户私钥,以文件的方式通过FTP发送给对应的用户终端3。用户终端2在获取到机构公钥、全局公钥和用户私钥后,便可根据需求执行加密上传或解密下载的操作。
当用户终端2作为数据属主向云端上传用户数据时,用户终端2根据全局公钥、参与加密的所有属性授权机构2的集合、对应的机构公钥的集合、以及访问控制策略,对输入的明文进行加密,并将加密得到的密文上传至云端以供其它用户下载。
当用户终端2作为共享用户而共享云端存储的数据时,用户终端2从云端下载共享数据,之后根据全局公钥和用户私钥,对下载的共享数据进行解密,若用户终端2的属性未被撤销并符合数据属主制定的访问控制策略,则可以成功解密共享数据。
图2示出了本发明提供的云存储服务平台的访问控制系统的访问控制方法的流程,包括以下步骤:
S1:认证中心注册各用户终端和各属性授权机构,并生成全局公钥、全局主密钥、用户公钥,之后将全局公钥上传到云端,将用户公钥发送给相应的属性授权机构,全局主密钥由认证中心保存。其中的全局主密钥即整个系统的主密钥,
进一步地,步骤S1又可包括:
步骤S11:认证中心选择阶为素数p的乘法群g为乘法群的生成元,定义双线性映射选取随机数 为整数群{0,...,p-1},同时选取一哈希函数
步骤S12:认证中心根据公式计算得到全局公钥GPK,并根据公式GMK=(β,gα),计算得到全局主密钥GMK。
步骤S13:认证中心接收各用户终端和各属性授权机构发送的注册信息,验证通过后,为每一属性授权机构分配唯一标识符aid,为每一用户终端分配唯一标识符uid,之后认证中心为每一用户终端选择对应的随机数根据公式计算得到对应的用户公钥PKuid,并将用户公钥PKuid发送给对应的属性授权机构,将全局公钥GPK上传到云端。
S2:属性授权机构管理各自的属性集合,并生成机构公钥和机构密钥,之后将机构公钥上传到云端,机构密钥由属性授权机构保存。
进一步地,步骤S2又可包括:
步骤S21:属性授权机构AAaid管理属性集合Said,并为属性集合Said中的权重属性分配权重。
步骤S22:属性授权机构AAaid选择随机数根据公式 SK a i d = ( g α a i d , β a i d ) , 计算得到机构密钥SKaid,并根据公式 PK a i d = ( e ( g , g ) α a i d , g β a i d ) , 计算得到机构公钥PKaid,之后将机构公钥PKaid上传到云端。
S3:用户终端登录系统后,从云端下载机构公钥和全局公钥,并向相应的属性授权机构发出用户私钥获取请求和属性列表。其中的属性列表即属性集合,该属性集合例如可以是校园网中的学生院系、学生类别、年级、专业等属性,教师具有院系、职称、教龄等属性的集合。
S4:相应的属性授权机构接收到用户私钥获取请求后,根据属性列表,利用全局公钥、用户公钥、机构密钥生成与用户对应的用户私钥,并发送给相应的用户终端。
假设属性授权机构AAaid接收到的用户终端uid的属性列表为Suid,aid,属性列表Suid,aid包含了用户终端uid在属性授权机构AAaid中所持有的属性的集合,则步骤S4又可包括:
步骤S41:属性授权机构AAaid选取随机数并为任意属性x∈Suid,aid选取随机数若属性x为权重属性,属性授权机构AAaid设置属性x对应的权重wx∈[1,n]。
步骤S42:属性授权机构AAaid根据计算用户私钥SKuid,aid,表示为:
SK u i d , a i d = ( K u i d , a i d = g α a i d g αu u i d g βt u i d , a i d , K ′ u i d , a i d = g t u i d , a i d ,
∀ x ∈ S u i d , a i d : K x , u i d = g αu u i d / β a i d H ( x ) w x r x , K ′ x , u i d = g β a i d r x )
其中,Kuid,aid、K'uid,aid、Kx,uid、以及K'x,uid均为所述乘法群上的元素,rx为所述整数群上的随机数。
步骤S43:属性授权机构AAaid将用户私钥SKuid,aid发送给用户终端uid。
S5:用户终端根据机构公钥、全局公钥和用户私钥,实现用户数据的加密上传或共享数据的解密下载。
在一种情况下,当用户终端作为数据属主时,步骤S5应为实现用户数据加密上传的步骤,具体可以包括:
步骤S51:输入明文M(即数据属主需上传的用户数据)、全局公钥GPK、参与加密的所有属性授权机构的集合IAA、对应的机构公钥的集合以及访问控制策略Γ。
其中,访问控制策略Γ的树形结构中,叶子节点对应的是属性的权重,根节点对应的是门限值,记访问控制策略Γ的树形结构中的节点x的门限值为kx,为每一节点选择多项式qx,多项式的度dx=kx-1。这种多项式选取是按照从上至下的方式,则访问控制策略Γ的构造方法为:从根节点开始,选择随机数设定qr(0)=s。对于任意节点x,其对应的值为一dx次多项式qx的形式,设定qx(0)=qparent(index(x)),index(x)为属性x的索引值,qparent为属性x的父亲节点对应的函数表达式,然后随机选取其它dx个点来完全定义qx
步骤S52:用户终端利用全局公钥GPK、参与加密的所有属性授权机构的集合IAA、对应的机构公钥的集合以及访问控制策略Γ,对密文M进行加密,计算得到密文CT,之后将密文CT上传到云端。
若定义Y为访问控制策略Γ的叶子节点的集合,定义叶子节点y∈Y的属性为att(y),其权重属性att(y)(y∈Y)的权重为wy,则对密文M进行加密,计算得到密文CT的步骤可表示为:
C T = { C = M · ( Π a i d ∈ I A e ( g , g ) α a i d ) s , C ′ = g s , C ′ ′ = g β s
∀ y ∈ Y , a t t ( y ) ∈ { S a i d } a i d ∈ I A :
C y = g β a i d q y ( 0 ) , C ′ y = H ( a t t ( y ) ) w y q y ( 0 ) , ∀ j ∈ ( w y , n ] : C y , j = H ( a t t ( y ) ( w j - w y ) q y ( 0 ) }
其中,C为对消息的计算,IA为属性授权机构A的属性集合,C'和C”均为对根节点的计算,Cy和C'y为对应属性值的计算,Cy,j为属性对应权重的计算,qy(0)为属性y所对应的属性值,wj为属性的权重值。
在另一种情况下,当用户终端作为共享用户时,步骤S5应为实现共享数据解密下载的步骤,具体可以包括:
步骤S53:用户终端从云端下载密文CT(即共享用户想要读取的共享数据),并输入全局公钥GPK、对应的用户密钥访问控制策略Γ、和访问控制策略Γ中的一个节点x,并定义nA=|IAA|。其中,nA表示属性授权机构AA包含的属性个数。
步骤S54:用户终端调用预先定义的递归函数DecryptNode(CT,SK,x),若用户终端的属性集满足访问控制策略Γ,则计算解密信息A为:
A = D e c r y p t N o d e ( C T , S K , x ) = e ( g , g ) αu u i d q x ( 0 )
其中,qx(0)为属性x所对应的属性值。
本发明中,用户终端的属性集是否满足访问控制策略Γ是指:如果且wi=wx,则认为属性集满足访问控制策略Γ;如果且wi=wj>wx,则认为属性集满足访问控制策略Γ;如果 i ∉ { S u i d , a i d } a i d ∈ I A , 或者 i ∈ { S u i d , a i d } a i d ∈ I A 但wi<wx,则认为属性集不满足访问控制策略Γ,返回null。
本发明中,递归函数DecryptNode(CT,SK,x)定义如下:
a、如果且wi=wx,则定义:
D e c y p t N o d e ( C T , S K , x ) = e ( C x , K i , u i d ) e ( C ′ x , K ′ i , u i d ) = e ( g β a i d q x ( 0 ) , g αu u i d / β a i d H ( i ) w i r i ) e ( H ( x ) w x q x ( 0 ) , g β a i d · r i ) = e ( g , g ) αu u i d q x ( 0 )
其中,Cx和C'x来自于密文,Ki,uid和K'i,uid来自于用户密钥ri为标识用户i的随机数。
b、如果且wi=wj>wx,则定义:
D e c y p t N o d e ( C T , S K , x ) = e ( C x , K i , u i d ) e ( C ′ x · C x , j , K ′ i , u i d ) = e ( g β a i d q x ( 0 ) , g αu u i d / β a i d H ( i ) w i r i ) e ( H ( a t t ( x ) ) w x q x ( 0 ) · H ( a t t ( x ) ) ( w j - w x ) q x ( 0 ) , g β a i d · r i ) = e ( g , g ) αu u i d q x ( 0 ) · e ( g , H ( i ) ) β a i d q x ( 0 ) w i r i e ( H ( a t t ( x ) ) w j q x ( 0 ) , g β a i d · r i ) = e ( g , g ) αu u i d q x ( 0 )
其中,Cx,j来自于密文中的信息。
步骤S55:由多项式插值定理求得之后计算 ( e ( g , g ) αu u i d s ) n A = e ( g , g ) αu u i a n A s , 并结合下式求得
Π a i d ∈ I A e ( C ′ , K u i d , a i d ) e ( C ′ ′ , K ′ u i d , a i d ) - 1 Π a i d ∈ I A e ( g s , g α a i d g αu u i d g βt u i d , a i d ) e ( g β s , g t u i d , a i d ) - 1 = e ( g , g ) αu u i d n A s · Π a i d ∈ I A e ( g , g ) sα a i d
步骤S56:用户终端计算明文M,表示为:
M = C / Π a i d ∈ I A A e ( g , g ) sα a i d
以下对上述云存储服务平台的访问控制系统的访问控制方法的安全性进行分析:
一、安全性分析
理论1、直接攻击下的安全性
若攻击者的权重属性集不满足访问控制策略,则攻击者必须已知才能解密密文。获得了用户的属性私钥中的 K u i d , a i d = g α a i d g αu u i d g βt u i d , a i d , K ′ u i d , a i d = g t u i a , a i d , 结合密文的 C ′ = g s , C ′ ′ = g β s , 建立配对得到 e ( g , g ) αu uid n A s . Π a i d ∈ I A e ( g , g ) sα a i d . 攻击者必须除去才能得到而攻击者在不满足访问控制策略的情况下无法计算获得正确的属性密钥,即无法计算出因此,攻击者不能解密密文。
理论2、抗共谋安全性
本发明中,用户需向认证中心注册,认证中心为每一用户分配一个全局唯一标识符uid,并产生一个随机数uuid,计算作为用户公钥。
每个用户uid向属性授权机构AAaid申请属性密钥之前需要认证它的合法性,用户提交证书,AAaid验证用户证书的合法性,如果合法便为其颁发相应的属性密钥。在用户密钥中, ∀ x ∈ S u i d , a i d : K x , u i d = g αu u i d / β a i d H ( x ) w x r x , K ′ x , u i d = g β a i d r x , Kx,aid和K'x,aid均植入了随机数uuid和随机数rx。相应地,在解密算法中不同的用户就无法共谋恢复消息,具有良好的抗共谋攻击安全性。
理论3、多授权机构安全性
由解密算法可知,用户若想解密密文,需要来自各AAaid的属性密钥SKuid,aid。若认证中心被攻击者攻破,只是泄漏了系统的全局主密钥,仅用全局主密钥无法解密任何密文。同样,若属性授权机构被攻击者攻破,攻击者也只能获得该属性机构所管理的属性密钥,无法解密多个属性授权机构参与加密的密文,系统可以抵抗nA-1个属性授权机构共谋。因此,与单授权机构的权重属性基访问控制方案相比,本文方案不要求认证中心完全可信,同时将单授权中心的风险分散到多个属性授权机构共同承担,提高了系统安全性。
二、效率分析
如下表一示出了本发明的方案与现有其它典型属性基加密方案之间加密机制和访问结构灵活性的对比分析:
表一:
定义|p|表示群上元素的长度。|Ak|表示属性授权机构所管理的集合大小,|Au|表示用户属性集合大小,|Ac|表示满足访问结构的最小属性集合大小,Wm为系统允许的最大权重值,Aw为权重属性个数。如下表二示出了本发明的方案与现有其它典型属性基加密方案之间在多机构机制存储开销方面的对比分析:
表二:
从上述对比可以看出,M.Chase和M.Chase and Chow的方案不支持复杂密文规则,不适合云存储环境。K.Yang方案和本发明方案基于CP-ABE,以增加一定系统的复杂度为代价,来换取支持更加灵活的访问控制策略,同时安全性上有所增强,可以抗N-1个属性授权机构共谋。与K.Yang方案相比,本发明方案支持属性权重,可以制定更加复杂的密文规则;授权机构密钥缩短了一定长度,如果策略中的属性不含权重,密文长度缩短近一半,在支持四级权重时,密文长度才与其相当;解密阶段仅需要2次双线性配对运算,效率提高一倍。
综上所述,本发明提出的云存储服务平台的访问控制系统及其访问控制方法是基于权重属性加密机制,采用多机构属性基加密技术,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限,该属性是用以描述用户的信息要素,例如校园网中的学生具有院系、学生类别、年级、专业等属性,教师具有院系、职称、教龄等属性,从而在保证安全性的同时还实现了更加灵活而细致的访问控制。另外,该系统和方法采用多机构属性基加密技术,避免了单个认证中心权力过于集中的问题,进一步提高了数据存储的安全性。该系统和方法特别适合部署在OSS平台,并在Windows平台下采用Java语言实现,具有通用性,可以实现对OSS平台的云端文件进行下载、上传、加密和解密,可切实保障用户存储在OSS平台数据的机密性,同时可对数据共享范围实施细粒度访问控制。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来控制相关的硬件完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种云存储服务平台的访问控制系统,其特征在于,所述系统包括:
认证中心,用于生成全局公钥、全局主密钥、用户公钥,之后将所述全局公钥上传到云端;
至少一个属性授权机构,用于管理各自的属性集合,并生成机构公钥和机构密钥,之后将所述机构公钥上传到所述云端,还用于根据每一用户提交的属性列表,利用所述全局公钥、所述用户公钥、所述机构密钥生成与用户对应的用户私钥;
用户终端,用于从所述云端下载所述机构公钥和所述全局公钥,并结合所述属性授权机构生成的对应的所述用户私钥,实现用户数据的加密上传或共享数据的解密下载。
2.如权利要求1所述的云存储服务平台的访问控制系统,其特征在于,所述云端是开放存储服务平台,所述云端与所述用户终端、所述属性授权机构和所述认证中心之间是通过开发接口aliyun-sdk-oss-2.0.0.jar实现通信的。
3.一种如权利要求1或2所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述方法包括以下步骤:
认证中心注册各用户终端和各属性授权机构,并生成全局公钥、全局主密钥、用户公钥,之后将全局公钥上传到云端,将所述用户公钥发送给相应的属性授权机构,所述全局主密钥由所述认证中心保存;
属性授权机构管理各自的属性集合,并生成机构公钥和机构密钥,之后将所述机构公钥上传到所述云端,所述机构密钥由所述属性授权机构保存;
用户终端登录系统后,从所述云端下载所述机构公钥和所述全局公钥,并向相应的属性授权机构发出用户私钥获取请求和属性列表;
所述相应的属性授权机构接收到所述用户私钥获取请求后,根据所述属性列表,利用所述全局公钥、所述用户公钥、所述机构密钥生成与用户对应的用户私钥,并发送给相应的用户终端;
用户终端根据所述机构公钥、所述全局公钥和所述用户私钥,实现用户数据的加密上传或共享数据的解密下载。
4.如权利要求3所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述认证中心注册各用户终端和各属性授权机构,并生成全局公钥、全局主密钥、用户公钥,之后将全局公钥上传到云端,将所述用户公钥发送给相应的属性授权机构的步骤包括以下步骤:
认证中心选择阶为素数p的乘法群g为乘法群的生成元,定义双线性映射选取随机数α, 为整数群{0,...,p-1},同时选取一哈希函数
认证中心根据公式计算得到全局公钥GPK,并根据公式GMK=(β,gα),计算得到全局主密钥GMK;
认证中心接收各用户终端和各属性授权机构发送的注册信息,验证通过后,为每一属性授权机构分配唯一标识符aid,为每一用户终端分配唯一标识符uid,之后认证中心为每一用户终端选择对应的随机数根据公式计算得到对应的用户公钥PKuid,并将用户公钥PKuid发送给对应的属性授权机构,将全局公钥GPK上传到云端。
5.如权利要求4所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述属性授权机构管理各自的属性集合,并生成机构公钥和机构密钥,之后将所述机构公钥上传到所述云端的步骤包括以下步骤:
属性授权机构AAaid管理属性集合Said,并为属性集合Said中的权重属性分配权重;
属性授权机构AAaid选择随机数αaid,根据公式计算得到机构密钥SKaid,并根据公式计算得到机构公钥PKaid,之后将机构公钥PKaid上传到所述云端。
6.如权利要求5所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述相应的属性授权机构接收到所述用户私钥获取请求后,根据所述属性列表,利用所述全局公钥、所述用户公钥、所述机构密钥生成与用户对应的用户私钥,并发送给相应的用户终端的步骤包括以下步骤:
属性授权机构AAaid选取随机数并为任意属性x∈Suid,aid选取随机数若属性x为权重属性,属性授权机构AAaid设置属性x对应的权重wx∈[1,n];
属性授权机构AAaid根据计算用户私钥SKuid,aid,表示为:
SK u i d , a i d = ( K u i d , a i d = g α a i d g αu u i d g βt u i d , a i d , K ′ u i d , a i d = g t u i d , a i d , ∀ x ∈ S u i d , a i d : K x , u i d = g αu u i d / β a i d H ( x ) w x r x , K ′ x , u i d = g β a i d r x )
其中,Kuid,aid、K'uid,aid、Kx,uid、以及K'x,uid均为所述乘法群上的元素,rx为所述整数群上的随机数;
属性授权机构AAaid将用户私钥SKuid,aid发送给用户终端uid。
7.如权利要求6所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,当所述用户终端作为数据属主时,所述用户终端根据所述机构公钥、所述全局公钥和所述用户私钥,实现用户数据的加密上传或共享数据的解密下载的步骤包括以下步骤:
输入明文M、全局公钥GPK、参与加密的所有属性授权机构的集合IAA、对应的机构公钥的集合以及访问控制策略Γ;
用户终端利用全局公钥GPK、参与加密的所有属性授权机构的集合IAA、对应的机构公钥的集合以及访问控制策略Γ,对密文M进行加密,计算得到密文CT,之后将密文CT上传到所述云端。
8.如权利要求7所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述对密文M进行加密,计算得到密文CT的步骤表示为:
C T = { C = M · ( Π a i d ∈ I A e ( g , g ) α a i d ) s , C ′ = g s , C ′ ′ = g β s
∀ y ∈ Y , a t t ( y ) ∈ { S a i d } a i d ∈ I A :
C y = g β a i d q y ( 0 ) , C ′ y = H ( a t t ( y ) ) w y q y ( 0 ) , ∀ j ∈ ( w y , n ] : C y , j = H ( a t t ( y ) ( w j - w y ) q y ( 0 ) }
其中,Y为访问控制策略Γ的叶子节点的集合,叶子节点y∈Y的属性为att(y),其权重属性att(y)的权重为wy,C为对消息的计算,IA为属性授权机构A的属性集合,C'和C”均为对根节点的计算,Cy和C'y为对应属性值的计算,Cy,j为属性对应权重的计算,qy(0)为属性y所对应的属性值,wj为属性的权重值。
9.如权利要求6所述的云存储服务平台的访问控制系统的访问控制方法,其特征在于,当所述用户终端作为共享用户时,所述用户终端根据所述机构公钥、所述全局公钥和所述用户私钥,实现用户数据的加密上传或共享数据的解密下载的步骤包括以下步骤:
用户终端从所述云端下载密文CT,并输入全局公钥GPK、对应的用户密钥访问控制策略Γ、和访问控制策略Γ中的一个节点x,并定义nA=|IAA|,所述nA表示属性授权机构AA包含的属性个数;
用户终端调用预先定义的递归函数DecryptNode(CT,SK,x),若用户终端的属性集满足访问控制策略Γ,则计算解密信息A为:
A = D e c r y p t N o d e ( C T , S K , x ) = e ( g , g ) αu u id q x ( 0 )
其中,qx(0)为属性x所对应的属性值;
由多项式插值定理求得之后计算 ( e ( g , g ) αu u i d s ) n A = e ( g , g ) αu u i d n A s , 并结合下式求得 Π a i d ∈ I A A e ( g , g ) sα a i d :
Π a i d ∈ I A e ( C ′ , K u i d , a i d ) e ( C ′ ′ , K ′ u i d , a i d ) - 1 = Π a i d ∈ I A e ( g s , g α a i d g αu u i d g βt u i d , a i d ) e ( g β s , g t u i d , a i d ) - 1 = e ( g , g ) αu u i d n A s · Π a i d ∈ I A e ( g , g ) sα a i d ;
用户终端计算明文M,表示为:
CN201510326044.8A 2015-06-12 2015-06-12 一种云存储服务平台的访问控制系统的访问控制方法 Active CN104917772B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201510326044.8A CN104917772B (zh) 2015-06-12 2015-06-12 一种云存储服务平台的访问控制系统的访问控制方法
PCT/CN2016/081388 WO2016197770A1 (zh) 2015-06-12 2016-05-09 一种云存储服务平台的访问控制系统及其访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510326044.8A CN104917772B (zh) 2015-06-12 2015-06-12 一种云存储服务平台的访问控制系统的访问控制方法

Publications (2)

Publication Number Publication Date
CN104917772A true CN104917772A (zh) 2015-09-16
CN104917772B CN104917772B (zh) 2017-12-08

Family

ID=54086478

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510326044.8A Active CN104917772B (zh) 2015-06-12 2015-06-12 一种云存储服务平台的访问控制系统的访问控制方法

Country Status (2)

Country Link
CN (1) CN104917772B (zh)
WO (1) WO2016197770A1 (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105812388A (zh) * 2016-05-13 2016-07-27 中国农业银行股份有限公司 一种用户证书和私钥的管理方法和系统
CN106055931A (zh) * 2016-05-18 2016-10-26 北京芯盾时代科技有限公司 移动终端软件安全元器件系统及用于该系统的密钥系统
CN106059763A (zh) * 2016-07-29 2016-10-26 南京邮电大学 云环境下属性基多机构层次化密文策略权重加密方法
WO2016197770A1 (zh) * 2015-06-12 2016-12-15 深圳大学 一种云存储服务平台的访问控制系统及其访问控制方法
CN106487792A (zh) * 2016-10-19 2017-03-08 云南电网有限责任公司电力科学研究院 一种电力营销云存储加密方法及系统
CN106612321A (zh) * 2016-07-05 2017-05-03 四川用联信息技术有限公司 云存储中一种访问权限管理方法
CN108540444A (zh) * 2018-02-24 2018-09-14 中山大学 一种信息传输储存方法及装置
CN109121269A (zh) * 2018-09-13 2019-01-01 江苏科技大学 一种港口智能照明管理系统及其访问控制方法
CN109743292A (zh) * 2018-12-12 2019-05-10 杭州安恒信息技术股份有限公司 一种共享数据分级保护的方法和系统
CN111163036A (zh) * 2018-11-07 2020-05-15 中移(苏州)软件技术有限公司 一种数据共享方法、装置、客户端、存储介质及系统
CN111953483A (zh) * 2020-07-29 2020-11-17 哈尔滨工程大学 一种基于准则的多授权机构访问控制方法
CN111953482A (zh) * 2020-07-29 2020-11-17 哈尔滨工程大学 一种面向云存储的多机构加权准则加密方法
CN112035853A (zh) * 2020-08-13 2020-12-04 潘显富 一种基于企业云盘的存储数据访问控制系统
CN115712660A (zh) * 2022-01-29 2023-02-24 杭州宇信数字科技有限公司 数据存储方法、装置、服务器及存储介质

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111619475A (zh) * 2019-02-28 2020-09-04 上海新微技术研发中心有限公司 一种用于汽车can总线安全访问的方法
CN110719176A (zh) * 2019-10-22 2020-01-21 黑龙江工业学院 基于区块链的物流隐私保护方法、系统和可读存储介质
CN111310245B (zh) * 2020-03-05 2022-07-15 之江实验室 一种面向拟态防御系统的数据加密存储方法
CN111786786A (zh) * 2020-07-27 2020-10-16 国网河南省电力公司郑州供电公司 云计算环境下支持等式判定的代理重加密方法及系统
CN112104619B (zh) * 2020-08-27 2022-03-22 西南大学 基于外包密文属性加密的数据访问控制系统和方法
CN112118101B (zh) * 2020-09-23 2023-07-28 山东建筑大学 一种后量子安全动态数据分享方法
CN112383391B (zh) * 2020-11-12 2024-03-19 北京安御道合科技有限公司 基于数据属性授权的数据安全保护方法、存储介质及终端
CN112257112B (zh) * 2020-11-16 2022-10-14 国网河南省电力公司信息通信公司 一种基于区块链的数据访问控制方法
CN112380553B (zh) * 2020-11-25 2022-12-16 华南理工大学 基于属性访问控制结构的多密钥可搜索加密方法及系统
CN112784230B (zh) * 2021-01-21 2024-02-09 北京启明星辰信息安全技术有限公司 网络安全数据共享与管控方法及系统
CN113098849A (zh) * 2021-03-23 2021-07-09 鹏城实验室 基于属性及身份加密的访问控制方法、终端及存储介质
CN113489732B (zh) * 2021-07-13 2023-07-04 郑州轻工业大学 一种抵御串谋攻击的内容共享隐私保护方法
CN113708917B (zh) * 2021-08-18 2022-12-09 上海应用技术大学 基于属性加密的app用户数据访问控制系统及方法
CN114172696B (zh) * 2021-11-23 2023-09-12 国网江西省电力有限公司电力科学研究院 一种电力物联网中云边端协同双重认证的终端认证方法
CN114065265B (zh) * 2021-11-29 2024-04-16 重庆邮电大学 基于区块链技术的细粒度云存储访问控制方法、系统及设备
CN114143094A (zh) * 2021-12-02 2022-03-04 兰州理工大学 基于区块链的多授权属性基可验证加密方法
CN114567500A (zh) * 2022-03-04 2022-05-31 南京联成科技发展股份有限公司 一种集中管控中心传输数据的加密方法
CN114598535B (zh) * 2022-03-14 2023-12-15 太原科技大学 基于云计算多授权中心的cp-abe代理重加密方法
CN114978578B (zh) * 2022-04-06 2023-09-19 中债金科信息技术有限公司 基于属性密钥派生的数据越权访问控制方法及装置
CN115174580B (zh) * 2022-09-05 2023-01-17 睿至科技集团有限公司 一种基于大数据的数据处理方法及系统
CN115250205B (zh) * 2022-09-22 2023-01-24 湖北省楚天云有限公司 基于联盟链的数据共享方法、系统、电子设备及存储介质
CN115695035B (zh) * 2022-11-10 2024-04-19 山东云科汉威软件有限公司 基于云存储的油气田业务数据授权方法、装置、电子设备及可读介质
CN116405929B (zh) * 2023-06-09 2023-08-15 贵州联广科技股份有限公司 适用于集群通讯的安全访问处理方法及系统
CN117278216B (zh) * 2023-11-23 2024-02-13 三亚学院 一种基于云计算虚拟化与网络存储文件的加密系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101807991A (zh) * 2009-02-18 2010-08-18 上海交通大学 密文政策属性基加密系统和方法
CN103618729A (zh) * 2013-09-03 2014-03-05 南京邮电大学 一种应用于云存储的多机构层次化属性基加密方法
CN104468615A (zh) * 2014-12-25 2015-03-25 西安电子科技大学 基于数据共享的文件访问和修改权限控制方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9705850B2 (en) * 2013-03-15 2017-07-11 Arizona Board Of Regents On Behalf Of Arizona State University Enabling comparable data access control for lightweight mobile devices in clouds
CN104917772B (zh) * 2015-06-12 2017-12-08 深圳大学 一种云存储服务平台的访问控制系统的访问控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101807991A (zh) * 2009-02-18 2010-08-18 上海交通大学 密文政策属性基加密系统和方法
CN103618729A (zh) * 2013-09-03 2014-03-05 南京邮电大学 一种应用于云存储的多机构层次化属性基加密方法
CN104468615A (zh) * 2014-12-25 2015-03-25 西安电子科技大学 基于数据共享的文件访问和修改权限控制方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YUN WANG,DALEI ZHANG,HONG ZHONG: "Multi-authority Based Weighted Attribute Encryption Scheme in Cloud Computing", 《INTERNATIONAL CONFERENCE ON NATURAL COMPUTATION》 *

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016197770A1 (zh) * 2015-06-12 2016-12-15 深圳大学 一种云存储服务平台的访问控制系统及其访问控制方法
CN105812388B (zh) * 2016-05-13 2018-12-07 中国农业银行股份有限公司 一种用户证书和私钥的管理方法和系统
CN105812388A (zh) * 2016-05-13 2016-07-27 中国农业银行股份有限公司 一种用户证书和私钥的管理方法和系统
CN106055931A (zh) * 2016-05-18 2016-10-26 北京芯盾时代科技有限公司 移动终端软件安全元器件系统及用于该系统的密钥系统
CN106612321B (zh) * 2016-07-05 2019-12-17 趣增信息科技(上海)有限公司 云存储中一种访问权限管理方法
CN106612321A (zh) * 2016-07-05 2017-05-03 四川用联信息技术有限公司 云存储中一种访问权限管理方法
CN106059763A (zh) * 2016-07-29 2016-10-26 南京邮电大学 云环境下属性基多机构层次化密文策略权重加密方法
CN106059763B (zh) * 2016-07-29 2019-05-03 南京邮电大学 云环境下属性基多机构层次化密文策略权重加密方法
CN106487792A (zh) * 2016-10-19 2017-03-08 云南电网有限责任公司电力科学研究院 一种电力营销云存储加密方法及系统
CN108540444A (zh) * 2018-02-24 2018-09-14 中山大学 一种信息传输储存方法及装置
CN109121269A (zh) * 2018-09-13 2019-01-01 江苏科技大学 一种港口智能照明管理系统及其访问控制方法
CN111163036A (zh) * 2018-11-07 2020-05-15 中移(苏州)软件技术有限公司 一种数据共享方法、装置、客户端、存储介质及系统
CN109743292A (zh) * 2018-12-12 2019-05-10 杭州安恒信息技术股份有限公司 一种共享数据分级保护的方法和系统
CN111953483A (zh) * 2020-07-29 2020-11-17 哈尔滨工程大学 一种基于准则的多授权机构访问控制方法
CN111953482A (zh) * 2020-07-29 2020-11-17 哈尔滨工程大学 一种面向云存储的多机构加权准则加密方法
CN111953482B (zh) * 2020-07-29 2022-06-17 哈尔滨工程大学 一种面向云存储的多机构加权准则加密方法
CN112035853A (zh) * 2020-08-13 2020-12-04 潘显富 一种基于企业云盘的存储数据访问控制系统
CN115712660A (zh) * 2022-01-29 2023-02-24 杭州宇信数字科技有限公司 数据存储方法、装置、服务器及存储介质
CN115712660B (zh) * 2022-01-29 2023-05-30 杭州宇信数字科技有限公司 数据存储方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
CN104917772B (zh) 2017-12-08
WO2016197770A1 (zh) 2016-12-15

Similar Documents

Publication Publication Date Title
CN104917772B (zh) 一种云存储服务平台的访问控制系统的访问控制方法
CN105025012B (zh) 面向云存储服务平台的访问控制系统及其访问控制方法
Zhu et al. A secure anti-collusion data sharing scheme for dynamic groups in the cloud
Teng et al. Attribute-based access control with constant-size ciphertext in cloud computing
CN106059763B (zh) 云环境下属性基多机构层次化密文策略权重加密方法
CN108833393A (zh) 一种基于雾计算的可撤销数据共享方法
CN105072180A (zh) 一种有权限时间控制的云存储数据安全共享方法
CN111431897B (zh) 用于云协助物联网的带追踪的多属性机构属性基加密方法
Amor et al. Secure fog-based e-learning scheme
CN108111540A (zh) 一种云存储中支持数据共享的分层访问控制系统及方法
KR101615137B1 (ko) 속성 기반의 데이터 접근 방법
CN108092972A (zh) 一种多授权中心基于属性的可搜索加密方法
CN113360944B (zh) 一种电力物联网的动态访问控制系统与方法
CN108462575A (zh) 基于无可信中心门限混合加密的上传数据加密方法
CN110086615A (zh) 一种媒介混淆的分布式多授权方密文策略属性基加密方法
CN104243169A (zh) 可跟踪身份的共享数据云审计方法
CN111953483A (zh) 一种基于准则的多授权机构访问控制方法
CN104993929A (zh) 一种支持系统属性扩展的属性基加密系统及方法
Wang et al. A role-based access control system using attribute-based encryption
Chennam et al. Cloud security in crypt database server using fine grained access control
CN107819578A (zh) 基于属性的可验证外包解签密方法及其系统
Medhioub et al. A new authentication scheme for cloud-based storage applications
Salim et al. An efficient public auditing scheme for cloud storage with secure access control and resistance against DOS attack by iniquitous TPA
Guo et al. CD‐ABSE: Attribute‐Based Searchable Encryption Scheme Supporting Cross‐Domain Sharing on Blockchain
SATHEESH et al. A NOVEL HARDWARE PARAMETERS BASED CLOUD DATA ENCRYPTION AND DECRYPTION AGAINST UNAUTHORIZED USERS.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant