CN108243194B - 一种基于语义的云存储访问控制方法 - Google Patents
一种基于语义的云存储访问控制方法 Download PDFInfo
- Publication number
- CN108243194B CN108243194B CN201810037257.2A CN201810037257A CN108243194B CN 108243194 B CN108243194 B CN 108243194B CN 201810037257 A CN201810037257 A CN 201810037257A CN 108243194 B CN108243194 B CN 108243194B
- Authority
- CN
- China
- Prior art keywords
- access
- user
- node
- attribute
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000006243 chemical reaction Methods 0.000 claims abstract description 8
- 230000006870 function Effects 0.000 claims description 14
- 239000000463 material Substances 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 3
- 125000004122 cyclic group Chemical group 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 2
- 208000019622 heart disease Diseases 0.000 description 2
- 238000013550 semantic technology Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于语义的云存储访问控制方法,首先构建本体知识库并制定语义规则,在用户将数据上传到云之前将待加密数据进行语义转换,用推理引擎进行语义推理,辅助用户制定访问策略。然后将用户的访问策略转换为访问结构树,进行加密操作。为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方。当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密的操作。并且在紧急场景下,通过具体情景的不同要求数据访问者提供不同类型的证明信息,并进行语义推理,如果判断出紧急情况属实则为访问者临时开放访问权限,从而实现一种高度灵活的访问控制。
Description
技术领域
本发明属于云存储领域,尤其涉及一种基于语义的云存储访问控制方法。
背景技术
随着医疗信息化的推进,医疗数据的共享水平也在不断提高。很多著名的医疗信息化公司,如Cerner提供包括电子病历、影像在线存储等多种信息的共享。医疗云存储能够使用户远程存储、按需随时随地访问云存储中的数据,并且允许医疗相关的人员共享医疗信息,因此有很好的应用前景。在实际的应用中,由于用户角色的多样化与平权化,即每个用户拥有的权限都是平等的,因此需要一种去中心化的分布式权限控制方法。而且由于医疗信息大多比较敏感,为了保护用户的隐私权,需要将数据进行加密存储,保证信息的绝对安全。针对上述背景,需要一种加密条件下的、分布式的权限控制方法。而现有的权限控制方案主要包括RBAC(基于角色的权限控制)方案和CP-ABE(密文策略属性基加密)方案,它们都只能部分地解决上述的问题。
在现有的技术中,密文策略属性基加密(CP-ABE)的访问结构是由用户任意制定的,存在个体之间的差异,这样不适用于广泛的数据交换业务和规范化的数据分发管理等场景,且不能根据用户信息自动配置和自动匹配属性。而且,医疗领域通常会出现急救等特殊场景,在这样的情况下,用户的生命权比隐私权更重要,因此需要为急救人员临时开放访问数据的特权,即使他们原本不满足访问结构。但是在现有的RBAC等集中权限管理的模式下,无法做到这一点。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于语义的云存储访问控制方法,借助语义技术,通过本体建模和语义推理,根据用户信息进行推理,将信息内部包含的属性自动推荐给用户,作为制定访问结构的选择范围,从而在保障了每个用户可以自主制定访问结构的基础上,消除了因任意选择属性而产生的个体差异,实现了系统的标准化,以及属性的自动配置和自动匹配。而且,通过语义推理,可以很好地解决紧急情况下的访问策略问题。将规则、实体对象、用户操作完全分离,极大地提升扩展性和灵活性。
本发明的目的是通过以下技术方案来实现的:本发明首先构建本体知识库并制定语义规则,在用户将数据上传到云之前将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略。然后将用户的访问策略转换为访问结构树,借助密文策略属性基加密进行加密操作。另一方面,借助密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方。当其他用户想要访问该数据时,会从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密的操作,从而实现一种针对密文的访问控制。并且在紧急场景下,通过具体情景的不同要求数据访问者提供不同类型的证明信息,并进行语义推理,如果判断出紧急情况属实则为访问者临时开放访问权限,从而实现一种高度灵活的访问控制。下面详细说明本发明基于语义的云存储访问控制方法的实现步骤:
(1)构建本体知识库并制定语义规则,将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,具体包括以下子步骤:
(1.1)运用网络本体语言OWL构建事实库;
(1.2)运用语义网规则语言SWRL构建规则库;
(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;
(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;
(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;
(1.6)在用户制定好密文策略属性基加密的访问策略后,将在推理过程中产生的新知识反馈回知识库,实现知识库的更新;
(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密对用户信息进行加密操作,具体包括以下子步骤:
(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1;
(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),MK=(β,gα);
(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;
(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;
(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;
(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;
(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:
(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,具体包括以下子步骤:
(3.1)选取r∈Zp;
(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:
(3.3)将生成的私钥存放在可信的第三方平台AA;
(3.4)解密时首先判断是否为紧急情况,如果通过推理确认存在紧急情况,则临时开放访问特权,解密数据;否则执行步骤(3.5);
(3.5)从第三方获取解密者的私钥SK;
(3.6)定义一个节点递归函数DecryptNode(CT,SK,x)表示对树Γ中任意节点与用户提供的属性进行的访问判定;
否则不解密。
进一步地,所述步骤(1.1)中,事实库主要存储本体和实例模板,事实库包括用户、资源、事件、区域四个大类,在四个大类基础上建立一系列子类进行概念的细化,并在类与类之间建立关系,从而完成本体的表达。
进一步地,所述步骤(1.2)中,规则库主要存储关键事件节点处的判断规则,规则库包括三大类规则:针对不同类型信息进行不同的属性推送;对于不同紧急场景下需要数据访问者出示的不同证明材料;对于紧急场景是否存在的判定规则。
进一步地,所述步骤(1.6)具体为:在用户制定好密文策略属性基加密(CP-ABE)的访问策略后,如果有一类数据访问者均由于某一项属性不符合要求而不能访问数据,则将该属性反馈给数据持有者,并判断是否更新访问策略,从而将在推理过程中产生的新知识反馈回知识库,实现知识库的更新,所述知识库由事实库和规则库共同构成。
进一步地,所述步骤(3.6)中,函数DecryptNode(CT,SK,x)具有两种情况:
a)如果x是叶子节点,i是节点x代表的属性,即i=att(x),假设i∈S,那么
b)如果x是非叶子节点,用z表示x的子节点,将调用函数DecryptNode(CT,SK,z)的结果用Fz表示;用Sx表示任意kx个z中的节点的集合,并且满足Fz≠⊥,其中kx表示x的门限值;若不存在这样的集合Sx,则调用函数返回⊥;否则根据Lagrange算子Δi,S'x (0)的性质,计算得出的结果公式如下:
进一步地,该方法能够实现一种细粒度的去中心化的灵活的访问控制,非常适用于云存储环境这样的分布式、大用户量、大数据量的应用场景。
本发明的有益效果是:本发明借助语义技术实现了用户在制定访问策略中的标准化,访问策略不是由用户任意制定,而要遵从一定的规范,从而在保证数据持有者自身制定访问策略的前提下,排除了因任意选择属性而产生的个体差异并实现了属性的自动配置和自动匹配。而且通过语义推理实现了特殊情况下的访问特权赋予,在紧急情况下可以为访问者开放访问特权。
附图说明
图1构建本体模型实现属性推送示意图;
图2加密过程示意图;
图3解密过程示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明提供的一种基于语义的云存储访问控制方法,包括以下步骤:
(1)构建本体知识库并制定语义规则,在用户将数据上传到云之前将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,如图1所示,具体包括以下子步骤:
(1.1)运用网络本体语言OWL构建事实库,主要存储本体和实例模板,事实库包括用户、资源、事件、区域四个大类,在四个大类基础上建立一系列子类进行概念的细化,并在类与类之间建立关系,从而完成本体的表达;
(1.2)运用语义网规则语言SWRL构建规则库,主要存储关键事件节点处的判断规则,规则库包括三大类规则:针对不同类型信息进行不同的属性推送;对于不同紧急场景下需要数据访问者出示的不同证明材料;对于紧急场景是否存在的判定规则;
(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;
(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;
(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;
(1.6)在用户制定好密文策略属性基加密(CP-ABE)的访问策略后,如果有一类数据访问者均由于某一项属性不符合要求而不能访问数据,则将该属性反馈给数据持有者,并判断是否更新访问策略,从而将在推理过程中产生的新知识反馈回知识库,实现知识库的更新,所述知识库由事实库和规则库共同构成;
(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密(CP-ABE)对用户信息进行加密操作,如图2所示,具体包括以下子步骤:
(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1;
(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),MK=(β,gα);
(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;
(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;
(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;
(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;
(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:
(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,如图3所示,具体包括以下子步骤:
(3.1)选取r∈Zp;
(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:
(3.3)将生成的私钥存放在可信的第三方平台AA;
(3.4)解密时首先判断是否为紧急情况,如果通过推理确认存在紧急情况,则临时开放访问特权,解密数据;否则执行步骤(3.5);
(3.5)从第三方获取解密者的私钥SK;
(3.6)定义一个节点递归函数DecryptNode(CT,SK,x)表示对树Γ中任意节点与用户提供的属性进行的访问判定;
a)如果x是叶子节点,i是节点x代表的属性,即i=att(x),假设i∈S,那么
b)如果x是非叶子节点,用z表示x的子节点,将调用函数DecryptNode(CT,SK,z)的结果用Fz表示;用Sx表示任意kx个z中的节点的集合,并且满足Fz≠⊥,其中kx表示x的门限值;若不存在这样的集合Sx,则调用函数返回⊥;否则根据Lagrange算子Δ的性质,计算得出的结果公式如下:
否则不解密。
以下给出一具体应用场景:
一位杭州的心脏病患者出差到上海,突发心脏病。恰好身边有一位上海本地的心内科医生,需要对该患者进行紧急抢救,这时该医生通过访问控制系统进行访问请求。根据患者之前制定的访问策略与医生的属性集合进行匹配,由递归函数DecryptNode(CT,SK,z)进行运算得出医生的属性集合不满足访问结构,因此不能访问数据。
但是因为出现了紧急情况,因此该医生可以申请紧急情况下的访问特权。医生根据患者的实际情况选择急救的级别,然后根据事先规则库中制定的对于不同紧急场景下需要数据访问者出示的不同证明材料SWRL规则进行Jena语义推理,返回一套预设的证明信息方案。医生根据证明信息方案中要求提供的证明信息进行材料的提交,然后根据规则库中对于紧急场景是否存在的判定规则进行Jena语义推理,返回判定的结果。如果结果确认紧急情况存在,则为该医生临时开放访问特权,进行解密操作,以便医生了解患者的病史情况,进而保障患者的生命安全。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。
Claims (4)
1.一种基于语义的云存储访问控制方法,其特征在于,该方法包括以下步骤:
(1)构建本体知识库并制定语义规则,将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,具体包括以下子步骤:
(1.1)运用网络本体语言OWL构建事实库;
(1.2)运用语义网规则语言SWRL构建规则库;
(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;
(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;
(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;
(1.6)在用户制定好密文策略属性基加密的访问策略后,将在推理过程中产生的新知识反馈回知识库,实现知识库的更新;
(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密对用户信息进行加密操作,具体包括以下子步骤:
(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1;
(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),MK=(β,gα);
(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;
(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;
(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;
(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;
(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:
(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,具体包括以下子步骤:
(3.1)选取r∈Zp;
(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:
(3.3)将生成的私钥存放在可信的第三方平台AA;
(3.4)解密时首先判断是否为紧急情况,如果通过推理确认存在紧急情况,则临时开放访问特权,解密数据;否则执行步骤(3.5);
(3.5)从第三方获取解密者的私钥SK;
(3.6)定义一个节点递归函数DecryptNode(CT,SK,x)表示对树Γ中任意节点与用户提供的属性进行的访问判定;该步骤中,函数DecryptNode(CT,SK,x)具有两种情况:
a)如果x是叶子节点,i是节点x代表的属性,即i=att(x),假设i∈S,那么
b)如果x是非叶子节点,用z表示x的子节点,将调用的函数DecryptNode(CT,SK,z)的结果用Fz表示;用Sx表示任意kx个z中的节点的集合,并且满足Fz≠⊥,其中kx表示x的门限值;若不存在这样的集合Sx,则调用的函数返回⊥;否则根据Lagrange算子的性质,计算得出的结果公式如下:
否则不解密。
2.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(1.1)中,事实库主要存储本体和实例模板,事实库包括用户、资源、事件、区域四个大类,在四个大类基础上建立一系列子类进行概念的细化,并在类与类之间建立关系,从而完成本体的表达。
3.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(1.2)中,规则库主要存储关键事件节点处的判断规则,规则库包括三大类规则:针对不同类型信息进行不同的属性推送;对于不同紧急场景下需要数据访问者出示的不同证明材料;对于紧急场景是否存在的判定规则。
4.根据权利要求1所述的一种基于语义的云存储访问控制方法,其特征在于,所述步骤(1.6)具体为:在用户制定好密文策略属性基加密(CP-ABE)的访问策略后,如果有一类数据访问者均由于某一项属性不符合要求而不能访问数据,则将该属性反馈给数据持有者,并判断是否更新访问策略,从而将在推理过程中产生的新知识反馈回知识库,实现知识库的更新,所述知识库由事实库和规则库共同构成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810037257.2A CN108243194B (zh) | 2018-01-15 | 2018-01-15 | 一种基于语义的云存储访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810037257.2A CN108243194B (zh) | 2018-01-15 | 2018-01-15 | 一种基于语义的云存储访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108243194A CN108243194A (zh) | 2018-07-03 |
CN108243194B true CN108243194B (zh) | 2020-06-23 |
Family
ID=62699635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810037257.2A Active CN108243194B (zh) | 2018-01-15 | 2018-01-15 | 一种基于语义的云存储访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108243194B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110808958A (zh) * | 2019-10-07 | 2020-02-18 | 复旦大学 | 一种基于cp-abe和区块链的医药分离管理系统 |
CN111711529B (zh) | 2020-06-12 | 2022-03-15 | 腾讯科技(深圳)有限公司 | 群操作处理方法、装置、系统、设备及存储介质 |
CN114065265B (zh) * | 2021-11-29 | 2024-04-16 | 重庆邮电大学 | 基于区块链技术的细粒度云存储访问控制方法、系统及设备 |
CN117827947B (zh) * | 2023-12-27 | 2024-07-02 | 江南大学 | 采用可信边缘通道的工业设备语义数据分级管理存储方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106936771A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种基于分级加密的安全云存储方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8959365B2 (en) * | 2012-07-01 | 2015-02-17 | Speedtrack, Inc. | Methods of providing fast search, analysis, and data retrieval of encrypted data without decryption |
-
2018
- 2018-01-15 CN CN201810037257.2A patent/CN108243194B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106936771A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种基于分级加密的安全云存储方法和系统 |
Non-Patent Citations (1)
Title |
---|
国际临床数据交换关键技术研究及系统实现;周天舒;《中国博士学位论文全文数据库 医药卫生科技辑》;20131215;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108243194A (zh) | 2018-07-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108243194B (zh) | 一种基于语义的云存储访问控制方法 | |
CN105871543B (zh) | 多数据拥有者背景下基于属性的多关键字密文检索方法 | |
CN107634829A (zh) | 基于属性的可搜索加密电子病历系统及加密方法 | |
CN102378974B (zh) | 使用访问图来提供对数据项的访问 | |
Edemacu et al. | Collaborative ehealth privacy and security: An access control with attribute revocation based on OBDD access structure | |
WO2019033394A1 (zh) | 区块链系统及其权限管理方法 | |
Lin et al. | Policy decomposition for collaborative access control | |
Longstaff et al. | Attribute based access control for big data applications by query modification | |
CN113411323A (zh) | 基于属性加密的医疗病历数据访问控制系统及方法 | |
Dekker et al. | RBAC administration in distributed systems | |
Edemacu et al. | Efficient and expressive access control with revocation for privacy of PHR based on OBDD access structure | |
CN104166581B (zh) | 一种面向增量制造设备的虚拟化方法 | |
Fu et al. | An optimized control access mechanism based on micro-service architecture | |
CN115022020B (zh) | 一种基于多维集合计算的访问控制方法及系统 | |
di Vimercati et al. | Digital infrastructure policies for data security and privacy in smart cities | |
Gupta et al. | Ontology-based Evaluation of ABAC Policies for Inter-Organizational Resource Sharing | |
Fan et al. | Provenance-based Hierarchical Encryption for Fine-grained Access Control in Cloud Computing | |
CN116010376B (zh) | 一种基于继承策略的主数据建模方法 | |
Liu et al. | Approach of protecting IHE-XDS-I oriented medical image information | |
CN113836572B (zh) | 一种面向人机物融合空间的自适应访问控制安全执行方法 | |
Ghorbel et al. | A model-based approach for multi-level privacy policies derivation for cloud services | |
CN111881484B (zh) | 一种基于区块链的ucon存证数据访问控制方法 | |
Kibwage | Role-based access control administration of security policies and policy conflict resolution in distributed systems | |
Lazarev et al. | Model of a secure virtual environment for managing information exchange in scientific and educational organizations | |
Baptista et al. | DFly: A Publicly Auditable and Privacy-Preserving UAS Traffic Management System on Blockchain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |