CN108243194A - 一种基于语义的云存储访问控制方法 - Google Patents

一种基于语义的云存储访问控制方法 Download PDF

Info

Publication number
CN108243194A
CN108243194A CN201810037257.2A CN201810037257A CN108243194A CN 108243194 A CN108243194 A CN 108243194A CN 201810037257 A CN201810037257 A CN 201810037257A CN 108243194 A CN108243194 A CN 108243194A
Authority
CN
China
Prior art keywords
access
node
semantic
user
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810037257.2A
Other languages
English (en)
Other versions
CN108243194B (zh
Inventor
周天舒
李泽南
田雨
王昱
李劲松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN201810037257.2A priority Critical patent/CN108243194B/zh
Publication of CN108243194A publication Critical patent/CN108243194A/zh
Application granted granted Critical
Publication of CN108243194B publication Critical patent/CN108243194B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于语义的云存储访问控制方法,首先构建本体知识库并制定语义规则,在用户将数据上传到云之前将待加密数据进行语义转换,用推理引擎进行语义推理,辅助用户制定访问策略。然后将用户的访问策略转换为访问结构树,进行加密操作。为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方。当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密的操作。并且在紧急场景下,通过具体情景的不同要求数据访问者提供不同类型的证明信息,并进行语义推理,如果判断出紧急情况属实则为访问者临时开放访问权限,从而实现一种高度灵活的访问控制。

Description

一种基于语义的云存储访问控制方法
技术领域
本发明属于云存储领域,尤其涉及一种基于语义的云存储访问控制方法。
背景技术
随着医疗信息化的推进,医疗数据的共享水平也在不断提高。很多著名的医疗信息化公司,如Cerner提供包括电子病历、影像在线存储等多种信息的共享。医疗云存储能够使用户远程存储、按需随时随地访问云存储中的数据,并且允许医疗相关的人员共享医疗信息,因此有很好的应用前景。在实际的应用中,由于用户角色的多样化与平权化,即每个用户拥有的权限都是平等的,因此需要一种去中心化的分布式权限控制方法。而且由于医疗信息大多比较敏感,为了保护用户的隐私权,需要将数据进行加密存储,保证信息的绝对安全。针对上述背景,需要一种加密条件下的、分布式的权限控制方法。而现有的权限控制方案主要包括RBAC(基于角色的权限控制)方案和CP-ABE(密文策略属性基加密)方案,它们都只能部分地解决上述的问题。
在现有的技术中,密文策略属性基加密(CP-ABE)的访问结构是由用户任意制定的,存在个体之间的差异,这样不适用于广泛的数据交换业务和规范化的数据分发管理等场景,且不能根据用户信息自动配置和自动匹配属性。而且,医疗领域通常会出现急救等特殊场景,在这样的情况下,用户的生命权比隐私权更重要,因此需要为急救人员临时开放访问数据的特权,即使他们原本不满足访问结构。但是在现有的RBAC等集中权限管理的模式下,无法做到这一点。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于语义的云存储访问控制方法,借助语义技术,通过本体建模和语义推理,根据用户信息进行推理,将信息内部包含的属性自动推荐给用户,作为制定访问结构的选择范围,从而在保障了每个用户可以自主制定访问结构的基础上,消除了因任意选择属性而产生的个体差异,实现了系统的标准化,以及属性的自动配置和自动匹配。而且,通过语义推理,可以很好地解决紧急情况下的访问策略问题。将规则、实体对象、用户操作完全分离,极大地提升扩展性和灵活性。
本发明的目的是通过以下技术方案来实现的:本发明首先构建本体知识库并制定语义规则,在用户将数据上传到云之前将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略。然后将用户的访问策略转换为访问结构树,借助密文策略属性基加密进行加密操作。另一方面,借助密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方。当其他用户想要访问该数据时,会从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密的操作,从而实现一种针对密文的访问控制。并且在紧急场景下,通过具体情景的不同要求数据访问者提供不同类型的证明信息,并进行语义推理,如果判断出紧急情况属实则为访问者临时开放访问权限,从而实现一种高度灵活的访问控制。下面详细说明本发明基于语义的云存储访问控制方法的实现步骤:
(1)构建本体知识库并制定语义规则,将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,具体包括以下子步骤:
(1.1)运用网络本体语言OWL构建事实库;
(1.2)运用语义网规则语言SWRL构建规则库;
(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;
(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;
(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;
(1.6)在用户制定好密文策略属性基加密的访问策略后,将在推理过程中产生的新知识反馈回知识库,实现知识库的更新;
(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密对用户信息进行加密操作,具体包括以下子步骤:
(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1
(2.2)随机选取α,β∈Zp,其中Zp满足
(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),MK=(β,gα);
(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;
(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;
(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;
(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;
(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:
得到密文CT,其中att(y)表示当且仅当y是叶节点时,y所代表的属性;
(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,具体包括以下子步骤:
(3.1)选取r∈Zp
(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:
其中S代表所对应的属性集合;
(3.3)将生成的私钥存放在可信的第三方平台AA;
(3.4)解密时首先判断是否为紧急情况,如果通过推理确认存在紧急情况,则临时开放访问特权,解密数据;否则执行步骤(3.5);
(3.5)从第三方获取解密者的私钥SK;
(3.6)定义一个节点递归函数DecryptNode(CT,SK,x)表示对树Γ中任意节点与用户提供的属性进行的访问判定;
(3.7)从根节点R开始对Γ树中的节点调用函数DecryptNode(CT,SK,z);如果集合S满足访问结构树Γ,设则按下面公式解密:
否则不解密。
进一步地,所述步骤(1.1)中,事实库主要存储本体和实例模板,事实库包括用户、资源、事件、区域四个大类,在四个大类基础上建立一系列子类进行概念的细化,并在类与类之间建立关系,从而完成本体的表达。
进一步地,所述步骤(1.2)中,规则库主要存储关键事件节点处的判断规则,规则库包括三大类规则:针对不同类型信息进行不同的属性推送;对于不同紧急场景下需要数据访问者出示的不同证明材料;对于紧急场景是否存在的判定规则。
进一步地,所述步骤(1.6)具体为:在用户制定好密文策略属性基加密(CP-ABE)的访问策略后,如果有一类数据访问者均由于某一项属性不符合要求而不能访问数据,则将该属性反馈给数据持有者,并判断是否更新访问策略,从而将在推理过程中产生的新知识反馈回知识库,实现知识库的更新,所述知识库由事实库和规则库共同构成。
进一步地,所述步骤(3.6)中,函数DecryptNode(CT,SK,x)具有两种情况:
a)如果x是叶子节点,i是节点x代表的属性,即i=att(x),假设i∈S,那么
如果那么定义DecryptNode(CT,SK,x)=⊥
b)如果x是非叶子节点,用z表示x的子节点,将调用函数DecryptNode(CT,SK,z)的结果用Fz表示;用Sx表示任意kx个z中的节点的集合,并且满足Fz≠⊥,其中kx表示x的门限值;若不存在这样的集合Sx,则调用函数返回⊥;否则根据Lagrange算子Δi,S'x (0)的性质,计算得出的结果公式如下:
其中,i=index(z),S’x={index(z):z∈S},
进一步地,该方法能够实现一种细粒度的去中心化的灵活的访问控制,非常适用于云存储环境这样的分布式、大用户量、大数据量的应用场景。
本发明的有益效果是:本发明借助语义技术实现了用户在制定访问策略中的标准化,访问策略不是由用户任意制定,而要遵从一定的规范,从而在保证数据持有者自身制定访问策略的前提下,排除了因任意选择属性而产生的个体差异并实现了属性的自动配置和自动匹配。而且通过语义推理实现了特殊情况下的访问特权赋予,在紧急情况下可以为访问者开放访问特权。
附图说明
图1构建本体模型实现属性推送示意图;
图2加密过程示意图;
图3解密过程示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明提供的一种基于语义的云存储访问控制方法,包括以下步骤:
(1)构建本体知识库并制定语义规则,在用户将数据上传到云之前将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,如图1所示,具体包括以下子步骤:
(1.1)运用网络本体语言OWL构建事实库,主要存储本体和实例模板,事实库包括用户、资源、事件、区域四个大类,在四个大类基础上建立一系列子类进行概念的细化,并在类与类之间建立关系,从而完成本体的表达;
(1.2)运用语义网规则语言SWRL构建规则库,主要存储关键事件节点处的判断规则,规则库包括三大类规则:针对不同类型信息进行不同的属性推送;对于不同紧急场景下需要数据访问者出示的不同证明材料;对于紧急场景是否存在的判定规则;
(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;
(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;
(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;
(1.6)在用户制定好密文策略属性基加密(CP-ABE)的访问策略后,如果有一类数据访问者均由于某一项属性不符合要求而不能访问数据,则将该属性反馈给数据持有者,并判断是否更新访问策略,从而将在推理过程中产生的新知识反馈回知识库,实现知识库的更新,所述知识库由事实库和规则库共同构成;
(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密(CP-ABE)对用户信息进行加密操作,如图2所示,具体包括以下子步骤:
(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1
(2.2)随机选取α,β∈Zp,其中Zp满足
(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),MK=(β,gα);
(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;
(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;
(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;
(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;
(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:
得到密文CT,其中att(y)表示当且仅当y是叶节点时,y所代表的属性;
(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,如图3所示,具体包括以下子步骤:
(3.1)选取r∈Zp
(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:
其中S代表所对应的属性集合;
(3.3)将生成的私钥存放在可信的第三方平台AA;
(3.4)解密时首先判断是否为紧急情况,如果通过推理确认存在紧急情况,则临时开放访问特权,解密数据;否则执行步骤(3.5);
(3.5)从第三方获取解密者的私钥SK;
(3.6)定义一个节点递归函数DecryptNode(CT,SK,x)表示对树Γ中任意节点与用户提供的属性进行的访问判定;
a)如果x是叶子节点,i是节点x代表的属性,即i=att(x),假设i∈S,那么
如果那么定义DecryptNode(CT,SK,x)=⊥
b)如果x是非叶子节点,用z表示x的子节点,将调用函数DecryptNode(CT,SK,z)的结果用Fz表示;用Sx表示任意kx个z中的节点的集合,并且满足Fz≠⊥,其中kx表示x的门限值;若不存在这样的集合Sx,则调用函数返回⊥;否则根据Lagrange算子Δ的性质,计算得出的结果公式如下:
其中,i=index(z),S’x={index(z):z∈S},
(3.7)从根节点R开始对Γ树中的节点调用步骤(3.6)中的函数DecryptNode(CT,SK,z);如果集合S满足访问结构树Γ,设则按下面公式解密:
否则不解密。
以下给出一具体应用场景:
一位杭州的心脏病患者出差到上海,突发心脏病。恰好身边有一位上海本地的心内科医生,需要对该患者进行紧急抢救,这时该医生通过访问控制系统进行访问请求。根据患者之前制定的访问策略与医生的属性集合进行匹配,由递归函数DecryptNode(CT,SK,z)进行运算得出医生的属性集合不满足访问结构,因此不能访问数据。
但是因为出现了紧急情况,因此该医生可以申请紧急情况下的访问特权。医生根据患者的实际情况选择急救的级别,然后根据事先规则库中制定的对于不同紧急场景下需要数据访问者出示的不同证明材料SWRL规则进行Jena语义推理,返回一套预设的证明信息方案。医生根据证明信息方案中要求提供的证明信息进行材料的提交,然后根据规则库中对于紧急场景是否存在的判定规则进行Jena语义推理,返回判定的结果。如果结果确认紧急情况存在,则为该医生临时开放访问特权,进行解密操作,以便医生了解患者的病史情况,进而保障患者的生命安全。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。

Claims (6)

1.一种基于语义的云存储访问控制方法,其特征在于,该方法包括以下步骤:
(1)构建本体知识库并制定语义规则,将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,具体包括以下子步骤:
(1.1)运用网络本体语言OWL构建事实库;
(1.2)运用语义网规则语言SWRL构建规则库;
(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;
(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;
(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;
(1.6)在用户制定好密文策略属性基加密的访问策略后,将在推理过程中产生的新知识反馈回知识库,实现知识库的更新;
(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密对用户信息进行加密操作,具体包括以下子步骤:
(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1
(2.2)随机选取α,β∈Zp,其中Zp满足e(ua,vb)=e(u,v)ab
(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),
MK=(β,gα);
(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;
(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;
(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;
(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;
(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:
得到密文CT,其中att(y)表示当且仅当y是叶节点时,y所代表的属性;
(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,具体包括以下子步骤:
(3.1)选取r∈Zp
(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:
其中S代表所对应的属性集合;
(3.3)将生成的私钥存放在可信的第三方平台AA;
(3.4)解密时首先判断是否为紧急情况,如果通过推理确认存在紧急情况,则临时开放访问特权,解密数据;否则执行步骤(3.5);
(3.5)从第三方获取解密者的私钥SK;
(3.6)定义一个节点递归函数DecryptNode(CT,SK,x)表示对树Γ中任意节点与用户提供的属性进行的访问判定;
(3.7)从根节点R开始对Γ树中的节点调用函数DecryptNode(CT,SK,z);如果集合S满足访问结构树Γ,设则按下面公式解密:
否则不解密。
2.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(1.1)中,事实库主要存储本体和实例模板,事实库包括用户、资源、事件、区域四个大类,在四个大类基础上建立一系列子类进行概念的细化,并在类与类之间建立关系,从而完成本体的表达。
3.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(1.2)中,规则库主要存储关键事件节点处的判断规则,规则库包括三大类规则:针对不同类型信息进行不同的属性推送;对于不同紧急场景下需要数据访问者出示的不同证明材料;对于紧急场景是否存在的判定规则。
4.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(1.6)具体为:在用户制定好密文策略属性基加密(CP-ABE)的访问策略后,如果有一类数据访问者均由于某一项属性不符合要求而不能访问数据,则将该属性反馈给数据持有者,并判断是否更新访问策略,从而将在推理过程中产生的新知识反馈回知识库,实现知识库的更新,所述知识库由事实库和规则库共同构成。
5.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(3.6)中,函数DecryptNode(CT,SK,x)具有两种情况:
a)如果x是叶子节点,i是节点x代表的属性,即i=att(x),假设i∈S,那么
如果那么定义DecryptNode(CT,SK,x)=⊥
b)如果x是非叶子节点,用z表示x的子节点,将调用函数DecryptNode(CT,SK,z)的结果用Fz表示;用Sx表示任意kx个z中的节点的集合,并且满足Fz≠⊥,其中kx表示x的门限值;若不存在这样的集合Sx,则调用函数返回⊥;否则根据Lagrange算子的性质,计算得出的结果公式如下:
其中,i=index(z),S’x={index(z):z∈Sx},
6.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,该方法能够实现一种细粒度的去中心化的灵活的访问控制,非常适用于云存储环境这样的分布式、大用户量、大数据量的应用场景。
CN201810037257.2A 2018-01-15 2018-01-15 一种基于语义的云存储访问控制方法 Active CN108243194B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810037257.2A CN108243194B (zh) 2018-01-15 2018-01-15 一种基于语义的云存储访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810037257.2A CN108243194B (zh) 2018-01-15 2018-01-15 一种基于语义的云存储访问控制方法

Publications (2)

Publication Number Publication Date
CN108243194A true CN108243194A (zh) 2018-07-03
CN108243194B CN108243194B (zh) 2020-06-23

Family

ID=62699635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810037257.2A Active CN108243194B (zh) 2018-01-15 2018-01-15 一种基于语义的云存储访问控制方法

Country Status (1)

Country Link
CN (1) CN108243194B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808958A (zh) * 2019-10-07 2020-02-18 复旦大学 一种基于cp-abe和区块链的医药分离管理系统
CN111711529A (zh) * 2020-06-12 2020-09-25 腾讯科技(深圳)有限公司 群操作处理方法、装置、系统、设备及存储介质
CN114065265A (zh) * 2021-11-29 2022-02-18 重庆邮电大学 基于区块链技术的细粒度云存储访问控制方法、系统及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150363496A1 (en) * 2012-07-01 2015-12-17 Speedtrack, Inc. Methods of providing fast search, analysis, and data retrieval of encrypted data without decryption
CN106936771A (zh) * 2015-12-29 2017-07-07 航天信息股份有限公司 一种基于分级加密的安全云存储方法和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150363496A1 (en) * 2012-07-01 2015-12-17 Speedtrack, Inc. Methods of providing fast search, analysis, and data retrieval of encrypted data without decryption
CN106936771A (zh) * 2015-12-29 2017-07-07 航天信息股份有限公司 一种基于分级加密的安全云存储方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
周天舒: "国际临床数据交换关键技术研究及系统实现", 《中国博士学位论文全文数据库 医药卫生科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808958A (zh) * 2019-10-07 2020-02-18 复旦大学 一种基于cp-abe和区块链的医药分离管理系统
CN111711529A (zh) * 2020-06-12 2020-09-25 腾讯科技(深圳)有限公司 群操作处理方法、装置、系统、设备及存储介质
US11949525B2 (en) 2020-06-12 2024-04-02 Tencent Technology (Shenzhen) Company Limited Group operation processing method, apparatus, and system, device, and storage medium
CN114065265A (zh) * 2021-11-29 2022-02-18 重庆邮电大学 基于区块链技术的细粒度云存储访问控制方法、系统及设备
CN114065265B (zh) * 2021-11-29 2024-04-16 重庆邮电大学 基于区块链技术的细粒度云存储访问控制方法、系统及设备

Also Published As

Publication number Publication date
CN108243194B (zh) 2020-06-23

Similar Documents

Publication Publication Date Title
US11425171B2 (en) Method and system for cryptographic attribute-based access control supporting dynamic rules
Li et al. An efficient attribute-based encryption scheme with policy update and file update in cloud computing
Qian et al. Privacy-preserving personal health record using multi-authority attribute-based encryption with revocation
CN106533650B (zh) 面向云端的交互型隐私保护方法和系统
Ruj et al. DACC: Distributed access control in clouds
CN107634829A (zh) 基于属性的可搜索加密电子病历系统及加密方法
Singh et al. Securing smart healthcare system with edge computing
Edemacu et al. Collaborative ehealth privacy and security: An access control with attribute revocation based on OBDD access structure
Zaghloul et al. P-MOD: Secure privilege-based multilevel organizational data-sharing in cloud computing
CN108243194A (zh) 一种基于语义的云存储访问控制方法
CN105871543A (zh) 多数据拥有者背景下基于属性的多关键字密文检索方法
Li et al. Unified fine-grained access control for personal health records in cloud computing
CN108111540A (zh) 一种云存储中支持数据共享的分层访问控制系统及方法
Kim et al. MPPDS: multilevel privacy-preserving data sharing in a collaborative eHealth system
Liu et al. Ciphertext‐policy attribute‐based encryption with partially hidden access structure and its application to privacy‐preserving electronic medical record system in cloud environment
Rieffel et al. Secured histories: computing group statistics on encrypted data while preserving individual privacy
Gardiyawasam Pussewalage et al. A distributed multi-authority attribute based encryption scheme for secure sharing of personal health records
Zhaoliang et al. Functional agricultural monitoring data storage based on sustainable block chain technology
CN108540280A (zh) 一种资源高效的安全数据分享方法及系统
Yan et al. Traceable and weighted attribute-based encryption scheme in the cloud environment
Zhang et al. Redactable blockchain-enabled hierarchical access control framework for data sharing in electronic medical records
Zhang et al. Blockchain-aided anonymous traceable and revocable access control scheme with dynamic policy updating for the cloud IoT
Blanquer et al. Enhancing privacy and authorization control scalability in the grid through ontologies
Wang et al. Design and implementation of a secure cloud-based personal health record system using ciphertext-policy attribute-based encryption
Hu et al. Complex and flexible data access policy in attribute-based encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant