一种共享数据的访问控制方法、装置及系统的制作方法
【技术领域】
[0001] 本发明属于数据安全领域,尤其涉及一种共享数据的访问控制方法、装置及系统。
【背景技术】
[0002] 数据共享的程度反映了一个地区、一个国家的信息发展水平,数据共享程度越高, 信息发展水平越高。实现数据共享,可以使更多的人更充分地使用已有数据资源,减少资 料收集、数据采集等重复劳动和相应费用,而云存储为数据共享提供了更加安全、有效的平 台。云存储是在云计算(cloud computing)概念上延伸和发展出来的一个新的概念,是指通 过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备 通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。使 用者可以在任何时间、任何地方,透过任何可连网的装置连接到云上方便地存取数据。
[0003] 因此,如何在保证数据共享的同时,保证共享数据安全性,以保护云存储系统或信 息网络中的数据免受各种类型的威胁、干扰和破坏已经成为了云计算研宄的一个重要方 面。基于属性加密(Attribute-based Encryption,ABE)是近年来新兴的一种公钥加密机 制,它是身份加密方法的延伸。在属性加密中,用户的身份通过一系列的属性来描述,只有 当用户的身份属性满足系统定义的访问策略时,才能够解密得到明文。这种访问控制机制 进一步提高了共享数据的安全性,同时保证了数据共享的灵活性。例如,可以根据用户具有 的身份属性以及身份属性值,对用户开放不同的访问权限,这对于一些领域共享的数据的 访问控制特别有利。作为示例地,例如在电子医疗记录共享系统中,可以设置只有具有一定 职称、设定的医院、具有一定从业年龄、相关领域医生才能查看一类病人的医疗记录。若简 单采用用户名/密码的访问控制策略,则难以实现对共享数据进行有效的访问控制。
[0004] 然而,现有的基于属性加密的访问控制策略需要中央身份认证授权商作为媒介, 对用户身份进行认证,以提供相应参数给不同属性授权商,这样不同属性授权商可以为同 一用户提供用户属性构件。可以看出,由于中央身份认证授权商的存在,一旦中央身份认证 授权商被攻破,就可以容易地窃取用户属性构件,进而实现数据的解密,从而降低了数据的 安全性,同时,也增加了数据共享访问控制的复杂性。
【发明内容】
[0005] 本发明实施例的目的在于提供一种共享数据的访问控制方法及系统,旨在解决由 于现有技术无法提供一种有效的共享数据的访问控制方法,导致数据的安全性降低,数据 共享访问控制的复杂性增加的问题。
[0006] 一方面,本发明提供了一种共享数据的访问控制方法,所述方法包括下述步骤:
[0007] 数据访问者向数据存储商发送对一共享数据的访问请求;
[0008] 数据访问者从数据存储商获取所述共享数据对应的共享数据密文、加密密钥的密 文、访问策略以及密文属性构件,所述密文属性构件为一个数值,用于表征数据访问者的属 性,所述加密密钥用于对所述共享数据进行加密;
[0009] 数据访问者向所述访问策略关联的K个属性授权商分别发送获取数据访问者的 用户属性构件的请求,所述用户属性构件为一个数值,表示数据访问者拥有该数值对应的 属性;
[0010] 所述K个属性授权商接收到获取所述用户属性构件的请求后,各自生成该数据访 问者的用户属性构件,并发送给该数据访问者;
[0011] 数据访问者根据接收到的所述访问策略、所述加密密钥的所述密文、所述密文属 性构件、所述用户属性构件恢复出所述加密密钥;
[0012] 数据访问者使用所述加密密钥对所述共享数据密文进行解密,以得到请求访问的 共享数据。
[0013] 另一方面,本发明提供了一种共享数据的访问控制装置,所述装置包括:
[0014] 访问请求发送单元,用于数据访问者向数据存储商发送对一共享数据的访问请 求;
[0015] 数据获取单元,用于数据访问者从数据存储商获取所述共享数据对应的共享数据 密文、加密密钥的密文、访问策略以及密文属性构件,所述密文属性构件为一个数值,用于 表征数据访问者的属性,所述加密密钥用于对所述共享数据进行加密;
[0016] 数据请求发送单元,用于数据访问者向所述访问策略关联的K个属性授权商分别 发送获取数据访问者的用户属性构件的请求,所述用户属性构件为一个数值,表示数据访 问者拥有该数值对应的属性;
[0017] 数据返回单元,用于所述K个属性授权商接收到获取所述用户属性构件的请求 后,各自生成该数据访问者的用户属性构件,并发送给该数据访问者;
[0018] 密钥恢复单元,用于数据访问者根据接收到的所述访问策略、所述加密密钥的所 述密文、所述密文属性构件、所述用户属性构件恢复出所述加密密钥;以及
[0019] 数据解密单元,用于数据访问者使用所述加密密钥对所述共享数据密文进行解 密,以得到请求访问的共享数据。
[0020] 另一方面,本发明提供了一种共享数据的访问控制系统,所述系统包括数据访问 者、属性授权商以及数据存储商,其中:
[0021] 数据访问者,用于向数据存储商发送对一共享数据的访问请求,从数据存储商获 取所述共享数据对应的共享数据密文、加密密钥的密文、访问策略以及密文属性构件,所述 密文属性构件为一个数值,用于表征数据访问者的属性,所述加密密钥用于对所述共享数 据进行加密,向所述访问策略关联的K个属性授权商分别发送获取数据访问者的用户属性 构件的请求,所述用户属性构件为一个数值,表示数据访问者拥有该数值对应的属性;
[0022] 属性授权商,用于接收到数据访问者发送的获取所述用户属性构件的请求后,生 成该数据访问者的用户属性构件,并发送给该数据访问者;
[0023] 数据存储商,用于接收所述数据访问者发送的对一共享数据的访问请求,向所述 数据访问者返回所述共享数据对应的共享数据密文、加密密钥的密文、访问策略以及密文 属性构件;
[0024] 数据访问者还用于根据接收到的所述访问策略、所述加密密钥的所述密文、所述 密文属性构件、所述用户属性构件恢复出所述加密密钥,使用所述加密密钥对所述共享数 据密文进行解密,以得到请求访问的共享数据。
[0025] 在本发明实施例中,无需设立中央身份认证授权,各个属性授权商对用户的属性 进行独立授权鉴定,从而提高了数据的安全性,同时,也降低了数据共享访问控制的复杂 性。
【附图说明】
[0026] 图1是本发明实施例一提供的共享数据的访问控制方法的实现流程图;
[0027] 图2是本发明实施例二提供的共享数据的访问控制方法的实现流程图;
[0028] 图3是本发明实施例三提供的共享数据的访问控制方法的实现流程图;
[0029] 图4是本发明实施例四提供的共享数据的访问控制装置的结构图;以及 [0030] 图5是本发明实施例五提供的共享数据的访问控制系统的结构图。
【具体实施方式】
[0031] 为了使本