一种基于云计算平台的密文访问控制方法及系统的制作方法
【专利摘要】本发明公开了一种基于云计算平台的密文访问控制方法及系统。由于将现有云计算下的密文访问控制系统进行分等级控制,提高了访问控制的效率,利用码分复用技术编码明文与密文,减少了密文存储空间,同时,采用密文策略的属性加密方案减少了用户保存私钥的数量,提升了系统的整体性能并减少了存储空间的消耗。
【专利说明】一种基于云计算平台的密文访问控制方法及系统
【技术领域】
[0001]本发明涉及信息安全【技术领域】,尤其涉及一种基于云计算平台的密文访问控制方法及系统。
【背景技术】
[0002]云计算是一种可以更有效地利用计算资源为用户提供各种数据服务的新型计算模式,其将大量的计算资源、存储资源和软件资源链接在一起,运用虚拟技术,为用户提供可定制的计算、存储和应用服务,避免用户自身繁重的基础设施的构建和维护。然而,集中管理的云计算中心将成为黑客攻击的重点目标,由于前所未有的开放性与复杂性,其安全性面临着比以往更为严峻的考验。
[0003]在云计算平台,由于采用数据远程托管技术,云服务提供商是数据的物理拥有者,却与数据属主并不在同一个信任域中;由于采用虚拟化存储技术,云计算服务同底层硬件环境间是松耦合的,用户数据间缺乏固定不变的安全边界,由此增加了在云计算平台对用户数据实施访问控制的难度。同时,由于无法信赖云服务提供商忠实实施用户定义的访问控制策略,当前的解决方法大多采用密码技术实施云计算平台细粒度访问控制。然而在基于云计算平台分等级的应用场景下,由于:1)用户私钥和密文分别与属性集合和访问结构相关;2)用户组与属性集为多对多关系;3)效率不高或者实现效果不理想,因此基于云计算平台下分等级的访问控制是一个难题。
[0004]因此,现有技术还有待于改进和发展。
【发明内容】
[0005]本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种基于云计算平台的密文访问控制方法及系统,以解决现有云计算平台下分等级的访问控制难题。
[0006]本发明解决技术问题所采用的技术方案如下:
[0007]—种基于云计算平台的密文访问控制方法,包括以下步骤:
[0008]A、系统预先定义一访问结构树,根据所述访问结构树创建数个主用户属性集;
[0009]B、建立公共参数和主私钥,根据所述公共参数和主私钥生成所述主用户属性集对应的第一私钥;
[0010]C、通过码分复用编码明文信息,根据所述访问结构树将编码后的明文信息分为不同的访问级别,并加密得到密文信息;
[0011]D、采用码分复用和第一私钥对所述密文信息进行解密,得到主用户属性集对应的明文信息。
[0012]本发明的另一目的在于提供一种基于云计算平台的密文访问控制系统,所述系统包括:
[0013]预设置模块,用于系统预先定义一访问结构树,根据所述访问结构树创建数个主用户属性集;[0014]密钥生成模块,建立公共参数和主私钥,根据所述公共参数和主私钥生成所述主用户属性集对应的第一私钥;
[0015]加密模块,用于通过码分复用编码明文信息,根据所述访问结构树将编码后的明文信息分为不同的访问级别,并加密得到密文信息;
[0016]解密模块,用于采用码分复用和第一私钥对所述密文信息进行解密,得到主用户属性集对应的明文信息。
[0017]本发明所提供的基于云计算平台的密文访问控制方法和系统,由于将现有云计算下的密文访问控制系统进行分等级控制,提高了访问控制的效率,利用码分复用技术编码明文与密文减少了密文存储空间,同时,采用密文策略的属性加密方案减少了用户保存密钥的数量,提升了系统的整体性能和减少了存储空间的消耗。
【专利附图】
【附图说明】
[0018]图1是本发明提供的基于云计算平台的密文访问控制方法的流程图。
[0019]图2是本发明提供的基于云计算平台的密文访问控制系统的结构示意图。
[0020]图3是本发明提供的基于云计算平台的密文访问控制系统中一优选实施例的结构示意图。
[0021]图4是本发明较佳实施例的密文访问控制方法的示意图。
【具体实施方式】
[0022]为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0023]请参考图1,本发明提出的一种基于云计算平台的密文访问控制方法,包括:
[0024]步骤S100、系统预先定义一访问结构树,根据所述访问结构树创建数个主用户属性集。
[0025]为了扩展密文访问控制的效率,本发明还可以为主用户分配下级子用户,因此,系统会根据所述访问结构树为所述主用户属性集分配子用户属性集;所述访问结构树是由“与”,“或”以及“门限”组成的数据访问结构。密文与访问结构树相对应,而用户与属性集相对应。根据用户的属性集满足访问结构树中等级的不同,用户拥有的权限也不同。根据密级文件的等级来设定访问控制策略,使具有不同访问权限的人员根据所拥有的属性解密不同密级的文件。例如:某公司有三份密级文件mA,mB, mc,分别为:A级一绝密文件,B级一机密文件,C级一秘密文件。公司领导需要对这三份文件进行加密,希望只有公司的权威人员可以访问三份密级文件中的部分或者全部。假设总经理助理是总经理完全信任的员工,总经理助理可能不知道具体哪些人可以解密密级文件,但是通过职务、部门、管理能力等属性可以有效的控制访问权限,只有属性满足访问控制策略才能够解密相应的文件。因此,助理根据总经理的要求将访问控制策略制定如下:(I)满足文件Hic的访问策略(会计AND财务部);(2)满足文件mB的访问策略(((会计AND财务部)AND管理权>4)0R财务总监);(3)满足文件mA的访问策略(((((会计AND财务部)AND管理权>4) OR财务总监)AND管理权>6)OR总经理)。在上述事例中,用户职位、所属部门及管理权等级均为用户属性。[0026]步骤S200、建立公共参数和主私钥,根据所述公共参数和主私钥生成所述主用户属性集对应的第一私钥。而在主用户具有下级子用户时,还需要根据所述主用户属性集对应的第一私钥,为所述子用户属性集生成对应的第二私钥。
[0027]具体地,步骤S200进一步包括:
[0028]步骤S201、构造阶为素数p,生成元为g的双线性群Gtl以及Gtl所对应的双线性映射群Gt ;
[0029]步骤S202、定义属性空间A = {a0, a1;…,an}和正交的PN伪随机序列PN =IC1, C2,…,Ck},其中,η和k均为非零整数;并定义两个哈希函数分别为:H1: {O, I}*-G0,H2: {O, I}* — GT。
[0030]步骤S203、通过选择随机数α,β e Zp,生成公共参数PK和主私钥MSK,具体为:
[0031]PK = {G0, g, h = g0, f = g1/e, e (g, g) α}, MSK = {ga, β }, Zp 为模 ρ 的整数群;
[0032]步骤S204、为每个用户随机选择r e Ζρ,为每个属性j e S选择随机数r」e Zp,生成主用户属性集S对应的第一私钥SK,具体为:
【权利要求】
1.一种基于云计算平台的密文访问控制方法,其特征在于,所述方法包括以下步骤: A、系统预先定义一访问结构树,根据所述访问结构树创建数个主用户属性集; B、建立公共参数和主私钥,根据所述公共参数和主私钥生成所述主用户属性集对应的第一私钥; C、通过码分复用编码明文信息,根据所述访问结构树将编码后的明文信息分为不同的访问级别,并加密得到密文信息; D、采用码分复用和第一私钥对所述密文信息进行解密,得到主用户属性集对应的明文信息。
2.根据权利要求1所述的基于云计算平台的密文访问控制方法,其特征在于, 所述步骤A还包括:根据所述访问结构树为所述主用户属性集分配子用户属性集; 所述步骤B还包括:根据所述第一私钥,为所述子用户属性集生成对应的第二私钥; 所述步骤D还包括:采用码分复用和第二私钥对所述密文信息进行解密,得到所述子用户属性集对应的明文信息。
3.如权利要求1所述的基于云计算平台的密文访问控制方法,其特征在于:所述步骤B具体还包括: B1、构造阶为素数P,生成元为g的双线性群Gtl以及Gtl所对应的双线性映射群Gt ; B2、定义属性空间A = {a0, a1;…,aj和正交的PN伪随机序列PN = IC1, C2,…,Cj,其中,η和k均为非零整数;并定义两个哈希函数分别为=H1: {O, 1}*-G0, H2: {O, I}*-Gt; B3、通过选择随机数α,β e Zp,生成公共参数PK和主私钥MSK,具体为:
PK = {G0, g, h = g0, f = g1/e, e (g, g) α}, MSK = {ga, β }, Zp 为模 ρ 的整数群; Β4、为每个用户随机选择r e Zp,为每个属性j e S选择随机数e Zp,生成主用户属性集S对应的第一私钥SK,具体为:
4.如权利要求2所述的基于云计算平台的密文访问控制方法,其特征在于,所述步骤C具体还包括: Cl、使用公共参数PK和访问结构树T来加密明文信息。
5.如权利要求4所述的基于云计算平台的密文访问控制方法,其特征在于,所述步骤Cl具体还包括: CU、根据所述访问结构树T,将明文信息分为k个等级,即M= Im1,…,mk},并为各个等级选择并公布节点信息(Xi, Ji) (`1≤i≤k); C12、为访问结构树T中的每个节点(x,y)选择多项式q(x,y),从根节点开始采用自上而下的方式,为访问结构树中的每个节点(x,y)设定多项式的度d(x,y)比门限值卜?)少1,即d(x;y) = k(x,y)_l,以完成每个节点(x,y)的多项式q(x,y)的定义; C13、对明文信息进行加密,得到密文信息CT,具体为:
6.如权利要求5所述的基于云计算平台的密文访问控制方法,其特征在于,所述步骤D具体还包括: Dl、预定义一个递归算法DecryptNode (CT, SK, (x, y)),其中,如果节点(x, y)是叶子节点,设 i = att (X,y)且 i e S,则
7.一种基于云计算平台的密文访问控制系统,其特征在于,所述系统包括: 预设置模块,用于系统预先定义一访问结构树,根据所述访问结构树创建数个主用户属性集; 密钥生成模块,建立公共参数和主私钥,根据所述公共参数和主私钥生成所述主用户属性集对应的第一私钥; 加密模块,用于通过码分复用编码明文信息,根据所述访问结构树将编码后的明文信息分为不同的访问级别,并加密得到密文信息; 解密模块,用于采用码分复用和第一私钥对所述密文信息进行解密,得到主用户属性集对应的明文信息。
8.如权利要求6所述的基于云计算平台的密文访问控制系统,其特征在于,所述密钥生成模块具体还包括: 构造模块,用于构造阶为素数P,生成元为g的双线性群Gtl以及所述双线性群Gtl的双线性映射群Gt ; 初始化模块,用于定义用户属性空间、正交的伪随机序列和两个哈希函数,通过选择两个随机数,生成公共参数和主私钥; 第一密钥生成模块,用于为每个主用户及每个主用户属性集中的每个属性选择一随机数,生成主用户属性集对应的第一私钥; 第二密钥生成模块,用于为每个子用户及每个子用户属性集中的每个属性选择一随机数,生成子用户属性集对应的第二私钥。
9.如权利要求8所述的基于云计算平台的密文访问控制系统,其特征在于,所述加密模块具体包括: 明文分级模块,用于根据所述访问结构树,将明文信息分为数个等级,并为各个等级选择并公布节点信息; 节点定义模块,用于为访问结构树中的每个节点选择多项式,从根节点开始采用自上而下的方式,为访问结构树中的每个节点设定多项式的度比门限值少1,以完成每个节点多项式的定义; 明文加密模块,用于根据每个节点所选择的多项式,以及采用码分复用对明文信息进行加密,得到密文信息。
10.如权利要求9所述的基于云计算平台的密文访问控制系统,其特征在于,所述解密模块包括: 预定义模块,用于预定义一个根据第一私钥和密文或者第二私钥和密文计算各节点信息的递归程序; 计算模块,用于通过所述递归程序计算用户属性集所包含的所有等级的节点信息,并解密得到各节点信息相应的明文编码信息; 解码模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
【文档编号】H04L29/08GK103701833SQ201410026044
【公开日】2014年4月2日 申请日期:2014年1月20日 优先权日:2014年1月20日
【发明者】喻建平, 王树兰, 张鹏 申请人:深圳大学