CN112989385A

CN112989385A - 一种云际计算环境中数据安全动态访问控制方法及系统

Info

Publication number: CN112989385A
Application number: CN202110330847.6A
Authority: CN
Inventors: 史佩昌; 钟韬; 王怀民; 刘惠; 傅翔; 杨尚之; 李琳慧; 陈鹏; 相亮亮
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2021-03-26
Filing date: 2021-03-26
Publication date: 2021-06-18
Anticipated expiration: 2041-03-26
Also published as: CN112989385B

Abstract

本发明公开了一种云际计算环境中数据安全动态访问控制方法及系统，本发明方法包括DSP先验证DSC成员的角色的访问权限，验证通过则DSP将数据密文、DSC成员将程序Program导入计算集群得到结果密文，再通过传递加密的密钥，由DSC成员用私钥解密得到密钥、并对结果密文进行解密得到最终的执行结果。本发明以防篡改、可追溯的区块链技术为基础，采用基于角色的访问控制的方式，通过和分布式身份标识(DID)技术能够实现基于角色访问的细粒度控制，能够确保DSP侧数据和执行过程的安全性，即DSP侧的数据不可被他人访问，数据在执行过程中不能被访问。

Description

一种云际计算环境中数据安全动态访问控制方法及系统

技术领域

本发明涉及云际计算环境中数据安全访问控制技术，具体涉及一种云际计算环境中数据安全动态访问控制方法及系统。

背景技术

云际计算环境中，云存储具有容量大、性能优越等诸多优点。然而，若数据所有者将数据存储在云上，将面临以下问题：(1)数据所有者对上传至云端的数据失去控制权，数据的机密性和完整性将受到威胁；(2)外包计算需要使用明文数据，隐私和敏感数据的安全性难以保证；(3)传统的云数据访问控制以差异化的方式加密数据，并仅向授权用户提供解密密钥，这种方法带来了严重的性能瓶颈，且可扩展性差。因此，应当为云上的数据制定灵活的、细粒度的访问控制策略，对数据所有者以外的用户进行访问控制。访问策略的内容包括：哪些用户在何时能够访问何种数据，即用户能够拥有何种数据访问权限。云上的数据可划分成多个数据块，每个数据块都映射到相应的访问权限，拥有相应访问权限的用户才能访问该数据块。因此，推荐使用基于角色的访问控制(Role-Based Access Control,RBAC)对数据进行灵活的安全管理。在RBAC架构中，将用户映射为角色，角色映射为访问权限，根据用户在组织中的职责和资格设定相应的角色，并将权限分配给合格的角色，而不是分配给单个用户。角色有层级之分，构成树状层级结构，高级别角色能够拥有低级别角色的权限，反之则不成立。

为用户分配角色的依据是用户的身份，依托可靠的身份进行角色分配，是保证数据和访问安全的基础。传统的身份一般由统一的组织或机构进行颁发，但是在云际计算环境下，这样的中心化的身份体系存在以下问题：(1)数字身份存在重复认证、多地认证的问题，且在不同平台上采用的身份信息可能存在差异；(2)用户身份信息被网络平台所掌握，可能出现管理不善、使用不当的情况；(3)身份认证所需的第三方存在耗时、不可信等问题。

为解决传统的中心化身份存在的问题，推荐采用分布式身份标识(DecentralizedIdentifier，DID)技术。分布式身份标识是一种去中心化的可验证的数字标识符，它独立于中心化的权威机构，可自主完成注册、解析、更新或者撤销操作，无需中心化的登记和授权。分布式身份标识技术综合运用区块链(Blockchain)技术和拜占庭容错(Byzantine Fault Tolerance，BFT)算法，以去中心化的方式为用户建立可追溯、可验证、防篡改、自主可信的数字身份。分布式身份标识和可验证凭证(Verifiable Credential，VC)规范分别定义了代表实体的身份标识符及与之关联的属性声明，二者共同支撑了分布式身份标识的基础模型——可验证凭证流转模型的有效运转。由分布式身份标识可以找到相应的身份，由可验证凭证可确定该身份的属性，将二者结合，可为该身份分配相应的角色：通过分布式身份标识可在区块链上迅速检索到该身份及其对应的可验证凭证，可验证凭证包含了该身份的详细属性，例如该身份对应的用户在其组织中是何种地位或职务、对何种数据存在需求等，确定了这些信息后，数据所有者可以为该用户分配相应权限所对应的角色。用户对云上的数据发起服务请求后，数据所有者可根据该用户拥有的角色判断其是否能够访问相应的数据块。

数据所有者可以为拥有特定角色的用户提供数据服务，但是数据的执行需要安全可信的环境，以免数据被窃取和篡改。更进一步地，数据所有者的数据具有特殊的价值，往往不愿意被用户直接获取，即允许用户使用数据而不允许用户获得数据的所有权。因此，可采用同态加密的方法，将数据在密文状态下进行执行，而后将执行结果进行解密，得到的结果与明文运算结果一致。数据不以明文状态呈现给用户，可以确保数据在执行过程中对用户不可见。

发明内容

本发明要解决的技术问题：数据服务提供者(DataServiceProvider，DSP)是云际环境中的主要数据来源方，在为数据服务消费者(DataServiceConsumer，DSC)侧提供数据服务的同时，不希望其他组织对其数据进行直接访问和使用。针对这一需求以及现有技术的技术问题，提供一种云际计算环境中数据安全动态访问控制方法及系统，本发明以防篡改、可追溯的区块链技术为基础，采用基于角色的访问控制的方式，通过和分布式身份标识(DID)技术能够实现基于角色访问的细粒度控制，能够确保DSP侧数据和执行过程的安全性，即DSP侧的数据不可被他人访问，数据在执行过程中不能被访问。

为了解决上述技术问题，本发明采用的技术方案为：

一种云际计算环境中数据安全动态访问控制方法，包括：

1)包含DSP和DSC在内的所有组织的所有成员为自己注册身份生成DID并发布包含该成员的属性集合的可验证凭证；

2)DSP为自己的数据划分成若干数据块，分别为各个数据块依据DSC中各个成员的DID以及可验证凭证设置对应的角色及其访问权限；

3)DSP等待DSC成员的数据服务请求，若收到任意DSC成员P的数据服务请求，则先根据成员的DID以及可验证凭证获取DSC成员P对应的角色，再判断DSC成员P对应的角色的访问权限是否足够高，若不够高则DSP拒绝服务并退出；否则执行下一步；

4)DSP生成用于产生加密数据的密钥Key，并使用密钥Key对DSC成员P请求的数据Data进行加密，得到数据密文Data-M；

5)DSP搭建一个计算集群Cluster，所述计算集群Cluster暴露两个输入和一个输出，两个输入中一个仅由DSP输入以导入数据密文、另一个仅由DSC成员P输入以导入DSC成员P使用的程序Program，程序Program用于对数据密文的运算；输出为加密的结果密文，仅由DSC获取；

6)DSP将数据密文Data-M导入计算集群Cluster，DSC成员P将程序Program导入计算集群Cluster，采用同态加密的方式执行程序Program，通过程序Program对数据密文Data-M进行运算，得到结果密文Result-M；

7)DSP将产生加密数据的密钥Key用DSC成员P的公钥进行加密，加密结果为Key-M，并将加密结果Key-M传输给DSC成员P，以便DSC成员P用私钥解密得到密钥Key、并对结果密文Result-M进行解密得到最终的执行结果Result。

可选地，步骤1)中任意成员为自己注册身份生成DID并发布包含该成员的属性集合的可验证凭证的步骤包括：为自己生成公钥和私钥，采用SHA-256算法对公钥求取一段哈希摘要并加盖时间戳，作为自己的DID，并基于RBFT共识机制发布包含该成员的属性集合的可验证凭证。

可选地，所述基于RBFT共识机制发布包含该成员的属性集合的可验证凭证的步骤包括：发布包含该成员的属性集合的可验证凭证并留下自己的数字签名，通过验证者对包含该成员的属性集合的可验证凭证进行验证并发表意见表示“支持”或“拒绝”，当五分之四以上的实体都发表了意见、且对该可验证凭证发表意见的实体中意见为“支持”的实体数量占发表意见的实体数量的三分之二以上时，将该包含该成员的属性集合的可验证凭证上传区块链。

可选地，步骤2)中为各个数据块依据DSC中各个成员的DID以及可验证凭证设置对应的角色及其访问权限的步骤包括：DSP根据各个成员的DID访问区块链获得DSC成员的可验证凭证；DSP解析DSC成员的可验证凭证，得到DSC成员的属性集合；DSP对每个DSC成员属性集合中的每个属性进行量化评分，而后对所有属性的评分进行加权求和，所得的结果即为该成员的属性得分；DSP依据每个DSC成员的属性得分，为得分高的成员分配权限高的角色，为得分低的成员分配权限低的角色。

可选地，步骤3)中DSP收到DSC成员P的数据服务请求的格式为：

Request<DID,DataType,FromTime,ToTime>

其中，Request表示数据服务请求，DID表示DSC成员P的分布式身份标识，DataType表示请求的数据类型，FromTime和ToTime分别表示数据的启用时间和终止时间；步骤3)中收到任意DSC成员P的数据服务请求后还包括对数据服务请求进行验证的步骤，若请求的数据类型DataType错误，或者当前时间不在数据的启用时间FromTime和终止时间ToTime的范围内，则DSP拒绝服务并退出。

可选地，步骤3)中DSP判断DSC成员P对应的角色的访问权限是否足够高的步骤包括：若该成员对应的角色的访问权限足够高，则发送接收响应消息“Accept”给DSC成员P，表示接受其请求并提供数据服务，跳转执行下一步；若DSC成员P对应的角色的访问权限不够高，则发送拒绝响应消息“Reject”给DSC成员P，表示拒绝其请求且不提供数据服务，结束并退出。

可选地，步骤5)中DSP搭建一个计算集群Cluster时还包括为计算集群Cluster设置评估函数Evaluate，此过程对DSC可见，所述评估函数Evaluate用于在程序Program的作用下对数据密文Data-M进行计算和处理，得到结果密文Result-M。

可选地，步骤6)包括：

6.1)DSP通过计算集群Cluster暴露给DSP的输入端，将数据密文Data-M导入计算集群Cluster，此过程对DSC成员P可见；

6.2)DSC通过计算集群Cluster暴露给DSC成员P的输入端，将程序Program导入计算集群Cluster，此过程对DSP不可见；

6.3)计算集群Cluster执行评估函数Evaluate，在程序Program的作用下对数据密文Data-M进行计算和处理，得到结果密文Result-M，该结果密文Result-M等效于使用密钥Key对Result加密所得结果；

6.4)将结果密文Result-M导出至DSC成员P。

此外，本发明还提供一种云际计算环境中数据安全动态访问控制系统，包括相互连接的微处理器和存储器，所述微处理器被编程或配置以执行所述云际计算环境中数据安全动态访问控制方法的步骤。

此外，本发明还提供一种计算机可读存储介质，该计算机可读存储介质中存储有被编程或配置以执行所述云际计算环境中数据安全动态访问控制方法的计算机程序。

和现有技术性相比，本发明具有下述优点：数据服务提供者(DataServiceProvider，DSP)是云际环境中的主要数据来源方，在为数据服务消费者(DataServiceConsumer，DSC)侧提供数据服务的同时，不希望其他组织对其数据进行直接访问和使用。针对这一需求以及现有技术的技术问题，本发明方法包括DSP先验证DSC成员的角色的访问权限，验证通过则DSP将数据密文、DSC成员将程序Program导入计算集群得到结果密文，再通过传递加密的密钥，由DSC成员用私钥解密得到密钥、并对结果密文进行解密得到最终的执行结果，本发明以防篡改、可追溯的区块链技术为基础，采用基于角色的访问控制的方式，通过和分布式身份标识(DID)技术能够实现基于角色访问的细粒度控制，能够确保DSP侧数据和TEE数据的安全性，即DSP侧的数据不可被他人访问，类TEE集群在执行过程中不能被访问。

附图说明

图1为本发明实施例方法的基本流程示意图。

图2为本发明实施例方法的数据流转顺序图。

图3位分布式身份标识体系结构示意图。

图4为基于角色的访问控制层级结构示意图。

具体实施方式

如图1和图2所示，本实施例云际计算环境中数据安全动态访问控制方法包括：

1)包含DSP和DSC在内的所有组织的所有成员为自己注册身份生成DID(分布式身份标识)并发布包含该成员的属性集合的可验证凭证；

参见图3，本实施例步骤1)中任意成员为自己注册身份生成DID并发布包含该成员的属性集合的可验证凭证的步骤包括：为自己生成公钥和私钥，采用SHA-256算法对公钥求取一段哈希摘要并加盖时间戳，作为自己的DID，并基于RBFT(RedundantByzantine FaultTolerance，冗余拜占庭容错)共识机制发布包含该成员的属性集合的可验证凭证。如图3所示，最终每一个实体(包括DSP以及DSC成员)都会生成一个DID，图3中两个实体分别对应DID1和DID2。作为一种可选的实施方式，成员的属性集合包括：职务，专业，工作年限，访问起止时间。此外，也可以根据需要赋予其他属性，来区别成员之间的特性。

本实施例中，基于RBFT共识机制发布包含该成员的属性集合的可验证凭证的步骤包括：发布包含该成员的属性集合的可验证凭证并留下自己的数字签名，通过验证者对包含该成员的属性集合的可验证凭证进行验证并发表意见表示“支持”或“拒绝”，当五分之四以上的实体都发表了意见、且对该可验证凭证发表意见的实体中意见为“支持”的实体数量占发表意见的实体数量的三分之二以上时，将该包含该成员的属性集合的可验证凭证上传区块链(DID链，包括n个区块Block1～Blockn)。

如图4所示，本实施例中将实体的身份映射到相应的角色，角色映射到相应数据块的访问权限，本实施例中具体为以DID和可验证凭证为基础，采用动态RBAC的方式，将DID映射到角色。本实施例中，步骤2)中为各个数据块依据DSC中各个成员的DID以及可验证凭证设置对应的角色及其访问权限的步骤包括：DSP根据各个成员的DID访问区块链获得DSC成员的可验证凭证；DSP解析DSC成员的可验证凭证，得到DSC成员的属性集合；DSP对每个DSC成员属性集合中的每个属性进行量化评分，而后对所有属性的评分进行加权求和，所得的结果即为该成员的属性得分；DSP依据每个DSC成员的属性得分，为得分高的成员分配权限高的角色，为得分低的成员分配权限低的角色。参见图4，分配权限最高的角色为Role1(角色1)，其对应的DSC成员分别包括DID11、DID12、DID13、…、DID1i，其中i为Role1(角色1)对应的DSC成员数量；分配权限第二高的角色为Role 2(角色2)和Role 3(角色3)，其对应的DSC成员分别包括DID21、DID22、DID23、…、DID2j，其中j为Role 2(角色2)和Role 3(角色3)对应的DSC成员数量，依次类推。本实施例为各个成员设定角色，角色级别越高，所对应的数据访问权限越高。

本实施例中，步骤3)中DSP收到DSC成员P的数据服务请求的格式为：

Request<DID,DataType,FromTime,ToTime>

其中，Request表示数据服务请求，DID表示DSC成员P的分布式身份标识，DataType表示请求的数据类型，FromTime和ToTime分别表示数据的启用时间和终止时间。DataType用于确定DSP应该为DSC提供何种数据；FromTime和ToTime用于确定DSC可以在什么时间段内访问数据；步骤3)中收到任意DSC成员P的数据服务请求后还包括对数据服务请求进行验证的步骤，若请求的数据类型DataType错误，或者当前时间不在数据的启用时间FromTime和终止时间ToTime的范围内，则DSP拒绝服务并退出。

本实施例中，步骤3)中DSP判断DSC成员P对应的角色的访问权限是否足够高的步骤包括：若该成员对应的角色的访问权限足够高，则发送接收响应消息“Accept”给DSC成员P，表示接受其请求并提供数据服务，跳转执行下一步；若DSC成员P对应的角色的访问权限不够高，则发送拒绝响应消息“Reject”给DSC成员P，表示拒绝其请求且不提供数据服务，结束并退出。

本实施例中，步骤5)中DSP搭建一个计算集群Cluster时还包括为计算集群Cluster设置评估函数Evaluate，此过程对DSC可见，所述评估函数Evaluate用于在程序Program的作用下对数据密文Data-M进行计算和处理，得到结果密文Result-M。

本实施例中，步骤6)包括：

6.4)将结果密文Result-M导出至DSC成员P。

此外，本实施例还提供一种云际计算环境中数据安全动态访问控制系统，包括相互连接的微处理器和存储器，所述微处理器被编程或配置以执行前述云际计算环境中数据安全动态访问控制方法的步骤。

此外，本实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有被编程或配置以执行前述云际计算环境中数据安全动态访问控制方法的计算机程序。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种云际计算环境中数据安全动态访问控制方法，其特征在于，包括：

2.根据权利要求1所述的云际计算环境中数据安全动态访问控制方法，其特征在于，步骤1)中任意成员为自己注册身份生成DID并发布包含该成员的属性集合的可验证凭证的步骤包括：为自己生成公钥和私钥，采用SHA-256算法对公钥求取一段哈希摘要并加盖时间戳，作为自己的DID，并基于RBFT共识机制发布包含该成员的属性集合的可验证凭证。

3.根据权利要求2所述的云际计算环境中数据安全动态访问控制方法，其特征在于，所述基于RBFT共识机制发布包含该成员的属性集合的可验证凭证的步骤包括：发布包含该成员的属性集合的可验证凭证并留下自己的数字签名，通过验证者对包含该成员的属性集合的可验证凭证进行验证并发表意见表示“支持”或“拒绝”，当五分之四以上的实体都发表了意见、且对该可验证凭证发表意见的实体中意见为“支持”的实体数量占发表意见的实体数量的三分之二以上时，将该包含该成员的属性集合的可验证凭证上传区块链。

4.根据权利要求1所述的云际计算环境中数据安全动态访问控制方法，其特征在于，步骤2)中为各个数据块依据DSC中各个成员的DID以及可验证凭证设置对应的角色及其访问权限的步骤包括：DSP根据各个成员的DID访问区块链获得DSC成员的可验证凭证；DSP解析DSC成员的可验证凭证，得到DSC成员的属性集合；DSP对每个DSC成员属性集合中的每个属性进行量化评分，而后对所有属性的评分进行加权求和，所得的结果即为该成员的属性得分；DSP依据每个DSC成员的属性得分，为得分高的成员分配权限高的角色，为得分低的成员分配权限低的角色。

5.根据权利要求1所述的云际计算环境中数据安全动态访问控制方法，其特征在于，步骤3)中DSP收到DSC成员P的数据服务请求的格式为：

Request<DID,DataType,FromTime,ToTime>

6.根据权利要求1所述的云际计算环境中数据安全动态访问控制方法，其特征在于，步骤3)中DSP判断DSC成员P对应的角色的访问权限是否足够高的步骤包括：若该成员对应的角色的访问权限足够高，则发送接收响应消息“Accept”给DSC成员P，表示接受其请求并提供数据服务，跳转执行下一步；若DSC成员P对应的角色的访问权限不够高，则发送拒绝响应消息“Reject”给DSC成员P，表示拒绝其请求且不提供数据服务，结束并退出。

7.根据权利要求1所述的云际计算环境中数据安全动态访问控制方法，其特征在于，步骤5)中DSP搭建一个计算集群Cluster时还包括为计算集群Cluster设置评估函数Evaluate，此过程对DSC可见，所述评估函数Evaluate用于在程序Program的作用下对数据密文Data-M进行计算和处理，得到结果密文Result-M。

8.根据权利要求7所述的云际计算环境中数据安全动态访问控制方法，其特征在于，步骤6)包括：

6.4)将结果密文Result-M导出至DSC成员P。

9.一种云际计算环境中数据安全动态访问控制系统，包括相互连接的微处理器和存储器，其特征在于，所述微处理器被编程或配置以执行权利要求1～8中任意一项所述云际计算环境中数据安全动态访问控制方法的步骤。

10.一种计算机可读存储介质，其特征在于，该计算机可读存储介质中存储有被编程或配置以执行权利要求1～8中任意一项所述云际计算环境中数据安全动态访问控制方法的计算机程序。