一种基于表格属性的云存储密文访问控制系统的制作方法
【技术领域】
[0001] 本发明属于云存储服务技术领域,尤其设及一种基于表格属性的云存储密文访问 控制系统。
【背景技术】
[0002] 在云存储服务平台中,由于采用数据远程托管技术,云存储服务提供商是数据的 物理拥有者,却与数据属主并不在同一个信任域中。云存储服务提供商管理着多个用户及 其资源,当用户跨边界访问其它用户资源时,需要采用一定的访问控制策略来控制对数据 和服务的访问。但实际中,由于云存储服务平台是采用虚拟化存储技术,云存储服务同底层 硬件环境之间是松禪合的,不同用户的数据间缺乏固定不变的安全边界,由此增加了在云 存储服务平台对数据实施访问控制的难度。
[0003] 现有技术中,基于属性的加密(Attribute-basedEnciTption,ABE:)方案W属性描 述用户身份,用户私钥和密文分别与一组属性相关,当用户私钥属性与密文属性相互匹配 度达到设定口限值时,用户才能成功解密密文。
[0004] 但ABE方案仅能支持口限访问控制策略,为了表达更灵活的访问控制策略,基于 密文策略的属性加密(CipherF*olixyAttribute-basedEnciyption,CP-AB巧方案被提 出。在CP-ABE方案中,密文与访问策略相关,用户私钥与属性集合相关,当且仅当用户私钥 的属性满足密文的访问策略时,用户才能成功解密密文。CP-ABE方案极大地降低了数据共 享细粒度访问控制带来的网络带宽和结点计算的开销,是最适合于云存储平台的密文访问 控制技术之一。
[0005] 对于采用CP-ABE方案的云存储平台,考虑企业应用场景,属性与访问策略需要通 过表格部署。但由于属性集合较为庞大,访问结构十分复杂,CP-ABE方案在云存储平台中 的执行效率很低。
【发明内容】
[0006] 本发明的目的在于提供一种基于表格属性的云存储密文访问控制系统,旨在解决 现有采用CP-ABE方案的云存储平台通过表格部署属性与访问策略,由于属性集合庞大、访 问结构复杂,使得CP-ABE方案执行效率低的问题。
[0007] 本发明是运样实现的,一种基于表格属性的云存储密文访问控制系统,所述系统 包括:
[0008] 由认证中屯、运行的管理端,用于生成并向每一合法用户分发用户私钥,所述用户 私钥与对应用户的属性相关联;
[0009] 由用户运行的客户端,用于在上传数据到云端时,对需上传的数据选取会话密钥 并进行加密,之后根据访问结构树上每一叶子节点对应的父节点的阔值是否为1、来对各 叶子节点进行分类,并进一步根据父节点类型的不同、对父节点的阔值为1的叶子节点的 集合进行分类,之后根据分类结果对所述会话密钥加密W得到会话密钥密文,之后将所述 会话密钥密文和加密后的数据上传到云端,还用于在从云端下载数据时,从云端下载会话 密钥密文和对应的共享数据,并当与自身用户私钥相关联的属性满足访问结构树时,由会 话密钥密文解密得到会话密钥,之后利用解密得到的所述会话密钥解密所述对应的共享数 据。
[0010] 本发明的另一目的在于提供一种如上所述的基于表格属性的云存储密文访问控 制系统的访问控制方法,所述方法包括:
[0011] 认证中屯、运行管理端,生成系统公钥与主私钥,将所述系统公钥上传至云端;
[0012] 认证中屯、运行管理端,根据用户发出的系统加入请求,认证用户是否为合法用户, 并当用户为合法用户时,计算用户的用户私钥,并分发给用户;
[0013] 数据属主运行客户端,对需上传的数据选取会话密钥并进行加密,之后根据访问 结构树上每一叶子节点对应的父节点的阔值是否为1、来对各叶子节点进行分类,并进一步 根据父节点类型的不同、对父节点的阔值为1的叶子节点的集合进行分类,之后根据分类 结果对所述会话密钥加密W得到会话密钥密文,之后将所述会话密钥密文和加密后的数据 上传到云端;
[0014] 共享用户运行客户端,从云端下载会话密钥密文和对应的共享数据,并当与自身 用户私钥相关联的属性满足访问结构树时,由会话密钥密文解密得到会话密钥,之后利用 解密得到的所述会话密钥解密所述对应的共享数据。
[0015] 本发明提供的基于表格属性的云存储密文访问控制系统及其访问控制方法中,数 据属主在加密过程中,根据访问结构树上每一叶子节点对应的父节点的阔值是否为1、来对 各叶子节点进行分类,并进一步根据父节点类型的不同、对父节点的阔值为1的叶子节点 的集合进行分类,之后根据分类结果对数据加密后上传至云端。运样,数据属主得到的密 文长度、加密计算量和后续共享用户的解密计算量均只与父节点阔值不为1的属性集合有 关,而在访问结构树中,阔值为1对应或n,否则对应与n,因此可W说,系统开销只与父节 点为与口的属性集合有关,当访问结构树中的或口增加时,相对于现有的CP-ABE方案,系 统的计算代价和通信开销将大为降低,从而能够更高效的为用户提供隐私保护、数据共享 与访问控制服务。
【附图说明】
[0016] 图1是本发明提供的基于表格属性的云存储密文访问控制系统的结构图;
[0017] 图2是本发明提供的基于表格属性的云存储密文访问控制系统的访问控制方法 的流程图;
[0018] 图3是本发明的一种访问结构树实例图。
【具体实施方式】
[0019] 为了使本发明的目的、技术方案及优点更加清楚明白,W下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用W解释本发明,并 不用于限定本发明。
[0020] 针对现有技术存在的问题,考虑到表格属性具有如下两个特点:一、属性是分类 的,如下表1所示为一企业的花名册:
[00川 表I[0022]
[0023] 上表中,所有属性被分为5种类型;二、访问结构树中同种属性类型或口(OR口) 多于与口(AND口),如上表所示,序号OOlOR002OR003发生概率较大,序号OOlAND002 AND003发生概率极低。从而,本发明中,数据属主在加密过程中,根据访问结构树上每一叶 子节点对应的父节点的阔值是否为1、来对各叶子节点进行分类,并进一步根据父节点类型 的不同、对父节点的阔值为1的叶子节点的集合进行分类,之后根据分类结果对数据加密 后上传至云端。
[0024]图1示出了本发明提供的基于表格属性的云存储密文访问控制系统的结构,为了 便于说明,仅示出了与本发明相关的部分。
[00巧]具体而言,本发明的系统包括:由认证中屯、运行的管理端11,用于生成并向每一 合法用户分发用户私钥,用户私钥与对应用户的属性相关联;由用户运行的客户端12,用 于在上传数据到云端时,对需上传的数据选取会话密钥并进行加密,之后根据访问结构树 上每一叶子节点对应的父节点的阔值是否为1、来对各叶子节点进行分类,并进一步根据父 节点类型的不同、对父节点的阔值为1的叶子节点的集合进行分类,之后根据分类结果对 会话密钥加密W得到会话密钥密文,之后将会话密钥密文和加密后的数据上传到云端,还 用于在从云端下载数据时,从云端下载会话密钥密文和对应的共享数据,并当与自身用户 私钥相关联的属性满足访问结构树时,由会话密钥密文解密得到会话密钥,之后利用解密 得到的会话密钥解密对应的共享数据。
[0026]本发明中,系统的合法用户可被区分为数据属主和共享用户,数据属主、共享用户 分别是客户端12的运行主体,认证中屯、是管理端11的运行主体。其中,数据属主是指云端 上共享数据的提供方,数据属主制定访问策略,并基于访问策略对需上传的数据进行加密, 之后将加密后的数据托管至云端;共享用户(即访问者)是指从云端下载共享数据方,共享 用户访问云端存储的密文数据,只有当共享用户的用户私钥中的属性满足密文中定义的访 问策略,共享用户才能成功解密密文;认证中屯、是指除数据属主和共享用户之外、与云端交 互的可信第=方,认证中屯、建立系统并接受用户注册,负责为每个用户生成关联其各自属 性的用户私钥。应当理解,定义数据属主与共享用户的目的是为了区别运行客户端12的主 体在系统某次运行过程中的功能是上传数据或下载数据,因而在系统某次运行过程中的数 据属主可W是另一次运行过程中的共享用户,同样地,在系统某次运行过程中的共享用户 可W是另一次运行过程中的数据属主。
[0027] 本发明的基于表格属性的云存储密文访问控制系统的工作原理是:系统建立后, 认证中屯、运行管理端11,生成系统公钥与主私钥,将系统公钥上传至云端。
[0028] 用户若希望加入系统,则运行客户端12,向认证中屯、发出系统加入请求,认证中屯、 运行管理端11,根据该系统加入请求,认证该用户是否为合法用户,是则计算该用户的用户 私钥,并分发给该用户。
[0029] 当数据属主上传数据时,数据属主运行客户端12,对需上传的数据选取会话密钥 并进行加密,之后根据访问结构树上每一叶子节点对应的父节点的