CN109818757A - 云存储数据访问控制方法、属性证书颁发方法及系统 - Google Patents

Abstract

本申请公开了一种云存储数据访问控制方法、属性证书颁发方法、系统、装置及计算机可读存储介质，在发生属性撤销后，云服务器将获取并转发撤销属性配置文件至用户端，用户端接收云服务器发送的撤销属性配置文件后，用户端利用撤销属性配置文件和属性证书，让属性证书管理中心利用云服务器发送的撤销属性配置文件更新用户端的属性证书，使用户端在接收到新属性证书后，能够利用新属性证书访问云服务器中存储的数据，通过将用户的角色、属性和权限之间的映射关系和解密密钥存储至属性证书中，使用户能够配合属性证书管理中心更新属性证书以实现密钥的更新，不再需要属性管理方重新向用户分发属性撤销后的密钥，降低了密钥分发的开销，节约了成本。

Description

云存储数据访问控制方法、属性证书颁发方法及系统

技术领域

本发明涉及云存储领域，特别涉及一种云存储数据访问控制方法、属性证书颁发方法、系统、装置及计算机可读存储介质。

背景技术

随着数据量的快速增长，应用服务器的数据存储能力已经无法满足数据量的增长速度，将数据外包给云服务提供商等第三方越来越受到人们的青睐。云存储是云计算的重要服务，为大数据存储提供了一个解决方案。它允许数据拥有者托管其数据，为用户提供数据共享服务。然而，对于采用云计算等数据外包服务来说，安全性和隐私要求通常是人们最关心的问题之一。

传统的访问控制技术往往是基于完全可信的服务器来判定和实施数据的访问控制策略。由于用户将数据存放在不可信的平台上是不安全的，对于数据的隐私保护、机密性、完整性都不能达到很高的安全等级。云平台也会根据实时需求进行动态资源供给、用户属性和所处环境的变化等情况，会导致访问控制的策略动态变化。这使得传统的访问控制技术虽然能够实现一定程度的安全性，但并不再适应云存储环境中大规模用户对海量数据灵活动态、安全和细粒度的访问控制。

在基于密文策略属性加密(CP-ABE)中，用户的密钥由属性集标识、密文和访问结构相关联。在数据加密前，数据所有者明确指出具有哪些属性的用户可以访问自己加密的数据。在实际云存储环境应用中，满足访问结构的用户先注册获得相关解密密钥才能读取加密文件。如果频繁撤销大量的属性，那么密文和密钥更新可能面临着由于属性撤销带来的巨大开销。

现有的基于密文策略属性加密(CP-ABE)的方案在发生属性撤销时，依赖于在数据所有者或属性授权机构执行的加密操作来重新生成和分发密钥给用户，如果有大量的用户，这些昂贵的开销将成倍增长。

为此，需要一种密钥分发开销小、成本低的云存储数据访问控制方法。

发明内容

有鉴于此，本发明的目的在于提供一种云存储数据访问控制方法、属性证书颁发方法、系统、装置及计算机可读存储介质，降低密钥分发开销小。其具体方案如下：

一种云存储数据访问控制方法，应用于用户端，包括：

利用属性授权机构预先颁发的属性证书生成数据访问请求；

发送所述数据访问请求至云服务器，以请求访问所述云服务器中满足所述属性证书所记载的满足数据所有者定义的访问策略的加密数据；

接收所述云服务器发送的撤销属性配置文件；其中，所述撤销属性配置文件为属性管理方生成并存储至所述云服务器的文件，所述属性管理方为数据所有者或属性授权机构；

利用所述撤销属性配置文件、证书颁发机构预先颁发的公钥证书和所述属性证书，生成密钥更新请求；

发送所述密钥更新请求至所述属性证书管理中心；

接收所述属性证书管理中心利用所述密钥更新请求更新的新属性证书；

其中，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

可选的，所述用户的角色、属性和权限之间的映射关系的生成过程包括：

基于RBAC模型，计算角色对用户的信任值；

利用角色对用户的信任值，为每个用户分配相应的角色；

利用每个用户的角色和与角色相应的环境属性，分配相应的权限。

本发明还公开了一种属性证书颁发方法，应用于属性授权机构，包括：

利用用户所拥有的属性集、属性授权机构颁发的密钥，生成用户解密密钥；

利用证书颁发机构颁发的公钥证书对所述用户解密密钥进行加密，生成加密后的所述用户解密密钥和加密密钥组件；

将加密后的所述用户解密密钥和所述加密密钥组件嵌入至预先生成的属性证书模板，得到初始属性证书；

利用属性授权机构的私钥对所述初始属性证书进行签名，并采用证书颁发机构颁发的公钥证书对属性证书进行加密，得到属性证书，颁发所述属性证书至用户端。

本发明还公开了一种云存储数据访问控制系统，应用于用户端，包括：

访问请求生成模块，用于利用属性授权机构预先颁发的属性证书生成数据访问请求；

访问请求发送模块，用于发送所述数据访问请求至云服务器，以请求访问所述云服务器中满足所述属性证书所记载的满足数据所有者定义的访问策略的加密数据；

配置文件接收模块，用于所述云服务器发送的撤销属性配置文件；其中，所述撤销属性配置文件为属性管理方生成并存储至所述云服务器的文件，所述属性管理方为数据所有者或属性授权机构；

更新请求生成模块，用于利用所述撤销属性配置文件、证书颁发机构预先颁发的公钥证书和所述属性证书，生成密钥更新请求；

更新请求发送模块，用于发送所述密钥更新请求至所述属性证书管理中心；

属性证书接收模块，用于接收所述属性证书管理中心利用所述密钥更新请求更新的新属性证书；

其中，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

可选的，还包括：

信任值计算模块，用于基于RBAC模型，计算角色对用户的信任值；

角色分配模块，用于利用角色对用户的信任值，为每个用户分配相应的角色；

权限分配模块，用于利用每个用户的角色和与角色相应的环境属性，分配相应的权限。

本发明还公开了一种属性证书颁发系统，应用于属性授权机构，包括：

解密密钥生成模块，用于利用用户所拥有的属性集、属性授权机构颁发的密钥，生成用户的解密密钥；

密钥组件生成模块，用于利用证书颁发机构颁发的公钥证书对用户解密密钥进行加密，生成加密后的用户解密密钥和加密密钥组件；

密钥嵌入模块，用于将加密后的所述用户解密密钥和所述加密密钥组件嵌入至预先生成的属性证书模板，得到初始属性证书；

属性证书颁发模块，用于利用属性授权机构的私钥对所述初始属性证书进行签名，并采用证书颁发机构颁发的公钥证书对属性证书进行加密，得到属性证书，颁发所述属性证书至用户端。

本发明还公开了一种云存储数据访问控制装置，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如前述的云存储数据访问控制方法。

本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如前述的云存储数据访问控制方法。

本发明中，云存储数据访问控制方法，包括：利用属性授权机构预先颁发的属性证书生成数据访问请求；发送数据访问请求至云服务器，以请求访问云服务器中满足属性证书所记载的满足数据所有者定义的访问策略的加密数据；接收云服务器发送的撤销属性配置文件；其中，撤销属性配置文件为属性管理方生成并存储至云服务器的文件，属性管理方为数据所有者或属性授权机构；利用撤销属性配置文件、证书颁发机构预先颁发的公钥证书和属性证书，生成密钥更新请求；发送密钥更新请求至属性证书管理中心；接收属性证书管理中心利用密钥更新请求更新的新属性证书；其中，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

本发明在用户发送数据访问请求后，云服务器主动判断用户的属性是否被撤销，在发生属性撤销后，云服务器将获取并转发变更后属性管理方生成的撤销属性配置文件至用户端，用户端接收云服务器发送的撤销属性配置文件后，用户端向属性证书管理中心提交属性证书更新请求，利用属性配置文件和属性证书，让属性证书管理中心利用云服务器最新发送的撤销属性配置文件更新用户端的旧版的属性证书，使用户端在接收到新属性证书后，能够利用新属性证书访问云服务器中存储的加密数据，通过将用户的角色、属性和权限之间的映射关系和用户用于解密的解密密钥存储至属性证书中，使用户能够自行配合属性证书管理中心更新属性证书以实现密钥的更新，而不再需要数据拥有者或属性授权机构再重新向用户分发属性撤销后的密钥，降低了密钥分发的开销，节约了成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种云存储数据访问控制方法流程示意图；

图2为本发明实施例公开的一种属性证书更新过程示意图；

图3为本发明实施例公开的一种属性证书示意图；

图4为本发明实施例公开的一种访问树结构示意图；

图5为本发明实施例公开的一种系统模型示意图；

图6为本发明实施例公开的一种属性证书颁发方法流程示意图；

图7为本发明实施例公开的一种云存储数据访问控制系统结构示意图；

图8为本发明实施例公开的一种属性证书颁发系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种云存储数据访问控制方法，应用于用户端，参见图1和图2所示，该方法包括：

S11：利用属性授权机构预先颁发的属性证书生成数据访问请求；

S12：发送数据访问请求至云服务器，以请求访问云服务器中满足属性证书所记载的满足数据所有者定义的访问策略的加密数据。

具体的，当用户需要访问云服务器中的数据时，将会利用认证机构颁发的公钥证书(PKC，Public-Key Certificate)和由属性授权机构(AA，Attribute Authority)签名过的属性证书(AC，Attribute Certificate)分别作为身份验证和授权验证的凭据向云服务器提出数据访问请求，云服务器将依据数据访问请求，验证用户是否有权限访问数据。

其中，参见图3所示，属性证书可以包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系，参见图4和图5所示，由于属性证书中记载了用户的角色、属性和权限之间的映射关系，即访问树，所以属性证书能够与作为授权验证的凭据。

S13：接收云服务器发送的撤销属性配置文件。

具体的，当属性管理方即数据所有者或属性授权机构发生属性撤销时，属性管理方会生成并发送撤销属性配置文件至云服务器中，云服务器接收撤销属性配置文件后，会将撤销属性配置文件中所记载的已撤销的属性记录至属性撤销列表(ARLs)中，所以云服务器在每次接收用户发送的数据访问请求后，将依据数据访问请求前往属性撤销列表中查询用户的属性是否全部有效，即查询属性撤销列表中是否有用户的属性被撤销，如果存在属性被撤销，则用户的访问权限也将随之变化，因此，无法依据当前用户发送的数据访问请求允许用户访问云服务器中的数据，云服务器将依据当前的属性撤销列表中的撤销属性配置文件，发送撤销属性配置文件至用户端，以使用户后续能够利用云服务器发送的撤销属性配置文件更新属性证书。

具体的，在用户发送数据访问请求后，若发生过属性撤销，则用户端便会接收到云服务器发送的撤销属性配置文件；若未发生属性撤销，则用户端可以利用当前的数据访问请求正常访问云服务器。

S14：利用撤销属性配置文件、证书颁发机构预先颁发的公钥证书和属性证书，生成密钥更新请求。

具体的，由于用户所保存的属性证书为经过公钥证书加密后的，而属性证书管理中心无法对用户的属性证书进行解密，所以在生成密钥更新请求前，用户端需要利用公钥证书对属性证书解密，得到解密后的属性证书，再利用解密后的属性证书和撤销属性配置文件，生成密钥更新请求。

其中，属性证书在属性授权机构生成后，利用证书颁发机构颁发的公钥证书进行加密，加密后的属性证书才会发送至用户端，以供用户使用。

S15：发送密钥更新请求至属性证书管理中心。

具体的，在属性发生变化后，用户端为了能够继续访问云服务器，需要更新自身所保存的属性证书，为此，需要将解密后的属性证书和撤销属性配置文件发送至属性证书管理中心以使属性证书管理中心依据撤销属性配置文件对属性证书进行更新。

S16：接收属性证书管理中心利用密钥更新请求更新的新属性证书。

具体的，属性证书管理中心更新完属性证书中的密钥后，便将新的属性证书即新属性证书发送回用户端，以使用户能够利用新属性证书访问云服务器。

可以理解的是，在用户端得到新属性证书后，用户端可以利用新属性证书和公钥证书生成新数据访问请求，并发送新数据访问请求至云服务器，使云服务器利用新属性证书进行授权验证，当验证通过后，云服务器将允许用户访问其相应的权限所对应的数据，最终实现在属性撤销后用户对云服务器中数据的访问。

可见，本发明实施例在用户发送数据访问请求后，云服务器主动判断用户的属性是否被撤销，在发生属性撤销后，云服务器将获取并转发变更后属性管理方生成的撤销属性配置文件至用户端，用户端接收云服务器发送的撤销属性配置文件后，用户端向属性证书管理中心提交属性证书更新请求，利用属性配置文件和属性证书，让属性证书管理中心利用云服务器最新发送的撤销属性配置文件更新用户端的旧版的属性证书，使用户端在接收到新属性证书后，能够利用新属性证书访问云服务器中存储的加密数据，通过将用户的角色、属性和权限之间的映射关系和用户用于解密的解密密钥存储至属性证书中，使用户能够自行配合属性证书管理中心更新属性证书以实现密钥的更新，而不再需要数据拥有者或属性授权机构再重新向用户分发属性撤销后的密钥，降低了密钥分发的开销，节约了成本。

其中，参见图3所示，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

进一步的，上述用户的角色、属性和权限之间的映射关系的生成可以基于RBAC模型(Role-Based Access Control，基于角色的权限访问控制)生成，在RBAC模型中，在为用户分配角色的过程中通过计算角色对用户的信任值决定是否为用户分配角色。角色对用户的信任值主要包括基于用户行为的信任与基于用户信誉的信任。通过将角色对用户的信任值与预设的阈值比较，若信任值小于阈值，那么拒绝用户的访问请求，若大于或等于阈值，则给用户分配角色，然后根据用户的角色以及相应的环境属性再分配相应的权限。

具体的，映射关系的生成过程可以包括S21至S23；其中，

S21：基于RBAC模型，计算角色对用户的信任值。

具体的，首先建立对用户的信任值的设定，可以包括基于用户行为的信任T₁和基于用户信誉的信任T₂；

其中，基于用户行为的信任T₁：指的是由用户与该角色的交互历史来计算用户的信任值，故T₁＝用户以该角色参与不合法事件的次数/用户以该角色参与访问资源的总次数。

其中，基于用户信誉的信任T₂：指的是由用户与其他角色的交互历史来计算用户的信任值。

此外，用户除了该角色之外，还可能加入过其他角色，记为{R₁,R₂,...,R_n}。角色R_i对用户的信任值分别设定为t₁,t₂,...,t_n。而t_i＝用户以R_i的角色参与不合法事件的次数/用户以R_i的角色参与访问资源的总次数，故

因此，角色对用户的信任值其中分别为T₁,T₂所对应的权重，且

S22：利用角色对用户的信任值，为每个用户分配相应的角色。

具体的，得到每个角色对用户的信任值后，便可以根据预设的阈值进行比较，判断用户是否适合当前角色，当用户的信任值大于等于预设的阈值，则可以将该角色分配给该用户，若用户的信任值小于阈值，则证明该用户不符合该角色，则拒绝将该角色分配至用户。

S23：利用每个用户的角色和与角色相应的环境属性，分配相应的权限。

可以理解的是，每个角色均有其相对应的环境属性和相应的权限，在完成对用户的角色分配后，用户也将继承与其角色相对应的环境属性和权限，从而得到用户的角色、属性和权限之间的映射关系。

其中，用户的角色、属性和权限之间的映射关系可以参见图4所示，例如，用户分配的角色若为医师，则角色对应的环境属性可以为普通医师或专家，而相应的属性则对应着相应的权限，如，能够对数据进行读和写的权限。

具体的，本发明实施例中如图3所示的访问树与传统的访问树不同，角色集和授予的相应权限都在访问树中表示出来。当用户以某个角色申请访问资源并且用户的属性满足访问策略树的属性，那么用户就可以解密相关的密文，根据该访问树可以知道用户在通过身份验证之后对解密后的密文可以执行什么样的操作。例如医院使用图中的访问策略结构来加密药方数据，用户相对应的角色只有满足访问策略树中的相应属性才能对数据进行访问，并根据所授予的权限进行相应的操作。

可见，如图5所示的系统模型图，本发明实施例将基于角色的访问控制(RBAC)模型与基于密文策略属性加密(CP-ABE)结合，通过将用户的密钥嵌入在属性证书(AC)中来增强基于密文策略属性加密(CP-ABE)的用户密钥管理。在基于角色的访问控制(RBAC)模型中，主要是通过用户的信任值分配相应的角色，然后再通过角色分配相应的权限。然后将角色、权限与基于密文策略属性加密(CP-ABE)的访问树中用户的属性联系起来，形成角色-属性-权限映射关系。基于角色的访问控制(RBAC)与属性证书(AC)中形成的角色-属性映射关系主要对应在属性证书(AC)中的属性信息内容。

此外，本发明实施例还公开了一种属性证书颁发方法，应用于属性授权机构，参见图6所示，该方法包括：

S31：利用用户所拥有的属性集、属性授权机构颁发的密钥，生成用户解密密钥。

具体的，属性授权机构AA根据用户所拥有的属性选择一个随机数r，且生成由属性授权机构k分发的用户解密密钥UDK_j,k。

其中，g为素数p的乘法循环群Z_p的一个生成元，r，α，β为Z_p中的随机数，D为属性授权机构根据用户所拥有的属性生成的密钥，A_i为用户的属性，H(i)为对应的计算函数，S为属性授权机构所管理的属性。

S32：利用证书颁发机构颁发的公钥证书对用户解密密钥进行加密，生成加密后的用户解密密钥和加密密钥组件。

具体的，将证书颁发机构颁发的公钥证书PKC(Cert_uid)和用户解密密钥UDK_j,k作为输入，并使用RSA加密算法(RSA algorithm)加密，输出加密后的用户解密密钥EDK_uid,k和加密密钥组件(E[r∈_R Z_p,D,g^r])，并将嵌入到属性证书(AC)中。

其中，ENC_RSA(Cert_uid,UDK_uid,k)≡EDK_uid,k；

ENC_RSA(Cert_uid,(r∈_R Z_p,D,g^r))≡E(r∈_R Z_p,D,g^r)；

式中，g为素数p的乘法循环群Z_p的一个生成元，r为Z_p中的随机数，D为属性授权机构根据用户所拥有的属性生成的密钥。

S33：将加密后的用户解密密钥和加密密钥组件嵌入至预先生成的属性证书模板，得到初始属性证书。

具体的，属性授权机构会预先生成属性证书模板，以供将用户解密密钥和加密密钥组件等内容添加至模板中得到属性证书，所以在得到加密后的用户解密密钥和加密密钥组件后，便将加密后的用户解密密钥和加密密钥组件嵌入至属性证书模板，从而得到初始属性证书，以供后续继续对初始属性证书进行加工。

进一步的，以用户解密密钥的属性集S_uid,k、属性证书的解密密钥UDK_uid,k、用户解密密钥集EDK_uid,k和加密密钥组件集(E[r∈_R Z_p,D,g^r])作为输入，如下式初始属性证书生成公式所示，嵌入至预先生成的属性证书模板，得到初始属性证书，

其中，初始属性证书生成公式为：

IssueAC(PrivK_k,PKC(Cert_uid),S_uid,k,EDK_uid,k,(E[r∈_R Z_p,D,g^r])→AC'。

其中，AC'为初始属性证书，PrivK_k为属性授权机构的私钥，EDK_uid,k为加密后的用户解密密钥，(E[r∈_R Z_p,D,g^r])为加密密钥组件，S_uid,k为用户所拥有的属性集，EDK_uid,k为加密后的用户解密密钥，(E[r∈_R Z_p,D,g^r])为加密密钥组件。

S34：利用属性授权机构的私钥对初始属性证书进行签名，并采用证书颁发机构颁发的公钥证书对属性证书进行加密，得到属性证书，颁发属性证书至用户端。

具体的，由属性授权机构的私钥PrivK_k对初始属性证书签名，再由证书颁发机构颁发的公钥证书PKC(Cert_uid)对初始属性证书进行加密，得到最终的属性证书，最后将属性证书颁发至用户端。

另外，本发明实施例还公开了数据所有者对数据加密过程，具体的，基于CP-ABE，以属性授权机构生成的公钥PK_k、访问控制策略ACP和明文数据M作为输入，然后返回密文CT，利用AES加密算法和组角色参数GRP的哈希值计算出的对称密钥SS对密文CT进行再次加密，然后返回一个封装的密文SCT，在最后的加密步骤中使用PKC(Cert_uid)对对称密钥SS进行加密，生成加密后的对称密钥ESS。

需要说明的是，属性证书过期后，则属性证书中的密钥组件将无法再进行解密，属性授权机构仅需再重新颁发新的属性证书至用户端，而在有效期内，属性授权机构无需颁发属性证书至用户端。若数据所有者或属性授权机构发生属性撤销，属性授权机构将产生新的密钥组件，属性管理中心将检查属性配置文件中已撤销的属性，并将其从用户的解密密钥中删除，令其作为新的解密密钥，再利用用户的公钥证书加密新的用户的解密密钥以及密钥组件，并在属性证书中相应的地方更新已加密的值。

进一步的，本发明实施例还公开了用户对数据所有者上传至云服务器的数据的解密过程，基于CP-ABE，具体的，利用用户的全局私钥GSK_uid返回得到对称密钥SS，然后利用对称密钥SS将封装的密文SCT解密得到密文CT。用户使用全局私钥GSK_uid将加密后的用户解密密钥EDK_uid解密，得到的属性证书中的解密密钥UDK_uid,k用于解密密文CT。如果存储在属性证书中的用户解密密钥UDK_uid的属性集满足访问控制策略ACP，则返回消息M。

相应的，本发明实施例还公开了一种云存储数据访问控制系统，应用于用户端，参见图7所示，包括：

访问请求生成模块11，用于利用属性授权机构预先颁发的属性证书生成数据访问请求；

访问请求发送模块12，用于发送数据访问请求至云服务器，以请求访问云服务器中满足属性证书所记载的满足数据所有者定义的访问策略的加密数据；

配置文件接收模块13，用于云服务器发送的撤销属性配置文件；其中，撤销属性配置文件为属性管理方生成并存储至云服务器的文件，属性管理方为数据所有者或属性授权机构；

更新请求生成模块14，用于利用撤销属性配置文件、证书颁发机构预先颁发的公钥证书和属性证书，生成密钥更新请求；

更新请求发送模块15，用于发送密钥更新请求至属性证书管理中心；

属性证书接收模块16，用于接收属性证书管理中心利用密钥更新请求更新的新属性证书；

其中，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

具体的，还可以包括信任值计算模块、角色分配模块和权限分配模块；

信任值计算模块，用于基于RBAC模型，计算角色对用户的信任值；

角色分配模块，用于利用角色对用户的信任值，为每个用户分配相应的角色；

权限分配模块，用于利用每个用户的角色和与角色相应的环境属性，分配相应的权限。

相应的，本发明实施例还公开了一种属性证书颁发系统，参见图8所示，应用于属性授权机构，该系统包括：

解密密钥生成模块21，用于利用用户所拥有的属性集、属性授权机构颁发的密钥，生成用户的解密密钥；

密钥组件生成模块22，用于利用证书颁发机构颁发的公钥证书对用户解密密钥进行加密，生成加密后的用户解密密钥和加密密钥组件；

密钥嵌入模块23，用于将加密后的用户解密密钥和加密密钥组件嵌入至预先生成的属性证书模板，得到初始属性证书；

属性证书颁发模块24，用于利用属性授权机构的私钥对初始属性证书进行签名，并采用证书颁发机构颁发的公钥证书对属性证书进行加密，得到属性证书，颁发属性证书至用户端。

此外，本发明实施例还公开了一种云存储数据访问控制装置，包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序以实现如前述的云存储数据访问控制方法。

另外，本发明实施例还公开了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如前述的云存储数据访问控制方法。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

以上对本发明所提供的技术内容进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种云存储数据访问控制方法，其特征在于，应用于用户端，包括：

利用属性授权机构预先颁发的属性证书生成数据访问请求；

发送所述数据访问请求至云服务器，以请求访问所述云服务器中满足所述属性证书所记载的满足数据所有者定义的访问策略的加密数据；

接收所述云服务器发送的撤销属性配置文件；其中，所述撤销属性配置文件为属性管理方生成并存储至所述云服务器的文件，所述属性管理方为数据所有者或属性授权机构；

利用所述撤销属性配置文件、证书颁发机构预先颁发的公钥证书和所述属性证书，生成密钥更新请求；

发送所述密钥更新请求至所述属性证书管理中心；

接收所述属性证书管理中心利用所述密钥更新请求更新的新属性证书；

其中，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

2.根据权利要求1所述的云存储数据访问控制方法，其特征在于，所述用户的角色、属性和权限之间的映射关系的生成过程包括：

基于RBAC模型，计算角色对用户的信任值；

利用角色对用户的信任值，为每个用户分配相应的角色；

利用每个用户的角色和与角色相应的环境属性，分配相应的权限。

3.一种属性证书颁发方法，其特征在于，应用于属性授权机构，包括：

利用用户所拥有的属性集、属性授权机构颁发的密钥，生成用户解密密钥；

利用证书颁发机构颁发的公钥证书对所述用户解密密钥进行加密，生成加密后的所述用户解密密钥和加密密钥组件；

将加密后的所述用户解密密钥和所述加密密钥组件嵌入至预先生成的属性证书模板，得到初始属性证书；

利用属性授权机构的私钥对所述初始属性证书进行签名，并采用证书颁发机构颁发的公钥证书对属性证书进行加密，得到属性证书，颁发所述属性证书至用户端。

4.一种云存储数据访问控制系统，其特征在于，应用于用户端，包括：

访问请求生成模块，用于利用属性授权机构预先颁发的属性证书生成数据访问请求；

访问请求发送模块，用于发送所述数据访问请求至云服务器，以请求访问所述云服务器中满足所述属性证书所记载的满足数据所有者定义的访问策略的加密数据；

配置文件接收模块，用于所述云服务器发送的撤销属性配置文件；其中，所述撤销属性配置文件为属性管理方生成并存储至所述云服务器的文件，所述属性管理方为数据所有者或属性授权机构；

更新请求生成模块，用于利用所述撤销属性配置文件、证书颁发机构预先颁发的公钥证书和所述属性证书，生成密钥更新请求；

更新请求发送模块，用于发送所述密钥更新请求至所述属性证书管理中心；

属性证书接收模块，用于接收所述属性证书管理中心利用所述密钥更新请求更新的新属性证书；

其中，属性证书包括用户解密密钥、密钥组件和用户的角色、属性和权限之间的映射关系。

5.根据权利要求4所述的云存储数据访问控制系统，其特征在于，还包括：

信任值计算模块，用于基于RBAC模型，计算角色对用户的信任值；

角色分配模块，用于利用角色对用户的信任值，为每个用户分配相应的角色；

权限分配模块，用于利用每个用户的角色和与角色相应的环境属性，分配相应的权限。

6.一种属性证书颁发系统，其特征在于，应用于属性授权机构，包括：

解密密钥生成模块，用于利用用户所拥有的属性集、属性授权机构颁发的密钥，生成用户的解密密钥；

密钥组件生成模块，用于利用证书颁发机构颁发的公钥证书对用户解密密钥进行加密，生成加密后的用户解密密钥和加密密钥组件；

密钥嵌入模块，用于将加密后的所述用户解密密钥和所述加密密钥组件嵌入至预先生成的属性证书模板，得到初始属性证书；

属性证书颁发模块，用于利用属性授权机构的私钥对所述初始属性证书进行签名，并采用证书颁发机构颁发的公钥证书对属性证书进行加密，得到属性证书，颁发所述属性证书至用户端。

7.一种云存储数据访问控制装置，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如权利要求1或2所述的云存储数据访问控制方法。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1或2所述的云存储数据访问控制方法。