技術領域

本發明涉及一種面向云存儲用于加密數據共享的多級權限管理方法，具體涉及利用屬性基加密、訪問控制以及權限管理的理論研究，對共享的加密數據支持靈活、細粒度的訪問控制及權限管理的方法，屬于信息安全技術領域。?

背景技術

隨著互聯網和分布式計算機技術的發展，在分布開放的計算環境中進行數據共享和處理的需求越來越多。為解決數據隱私的保護問題，常見的方法是由用戶對數據進行加密，把加密后的密文存儲在服務端。當存儲的加密數據形成規模之后，如何對加密數據共享成為迫切需要解決的問題。用戶需要制定靈活的訪問控制策略，實現權限的靈活設置，從而控制數據的共享范圍，以及在與用戶通信過程中保證數據的機密性。大規模分布式應用迫切需要支持一對多的通信模式，從而降低為每個用戶加密數據帶來的巨大開銷。?

目前，在數據加密體制的研究中，實現數據加密和訪問控制的方法主要包括基于公鑰基礎設施(Public?Key?Infrastructure，PKI)?、基于身份的加密（Identity?Based?Encryption，IBE）等。這些方法一般使用一對一的通信模式，而且通信雙方都必須通過真實身份驗證才能實現加解密功能，導致處理開銷大、占用帶寬多及用戶身份信息安全隱患等問題。基于屬性的加密機制(Attributed-based?Encryption,?ABE)為加密數據的存取控制提供了一個新的方法，該機制在公鑰加密的思想中引入了訪問結構，系統在生成密鑰或者產生密文時可以根據一個訪問結構來產生，使得滿足指定條件的用戶才可以解密密文。然而，如何滿足用戶制定靈活、可擴展的訪問策略需求，支持細粒度權限設置，同時對加密數據進行有效的分享和高效的管理，成為屬性基加密機制應用于工程實踐中亟待解決的問題。?

經對現有技術文獻的檢索發現，目前基于屬性的加密機制主要分為兩類：一類是基于密鑰策略的加密(Key?Policy-Attributed?based?Encryption,?KP-ABE)，另一類是基于密文策略的加密(Ciphertext?Policy-Attributed?based?Encryption,?CP-ABE)。基于密鑰策略的加密方法,?通過引入訪問樹結構，將用戶密鑰與訪問?結構相關聯，密文與屬性集相關聯，當且僅當密文屬性集滿足用戶密鑰中的密鑰策略時，用戶才能解密密文的方法，來實現用戶對密文的訪問控制。這種加密方法由接收方規定對接收消息的要求，適用于查詢類應用，無法應用于訪問控制模型，而且用戶密鑰長度隨用戶屬性成線性增長，導致開銷太大，因此不適合工程的實際應用。Bethencourt等人于2007年發表在《IEEE?Symposium?on?Security?and?Privacy,?（IEEE關于安全與隱私的研討會）》的論文《Ciphertext-Policy?Attribute-Based?Encryption（基于密文策略的屬性基加密）》，通過將密文與訪問策略相關聯，用戶密鑰與屬性集相關聯，當且僅當用戶密鑰的屬性集滿足密文的訪問策略時，用戶才能解密密文的方法，來實現用戶對文件的訪問控制。該方法雖然適用于對加密數據的訪問控制，但是卻無法實現細粒度的權限管理，因此限制了其在工程上的應用。?

發明內容

本發明的目的在于克服現有技術的不足，提供一種面向云存儲加密數據共享的多級權限管理方法，在用戶數量大、服務器不可靠等復雜的實際工程中，保證用戶數據的隱私性和安全性，實現對云計算應用環境下不同用戶對共享加密文件的訪問以及權限控制。?

為實現上述目的，本發明首先進行系統初始化，然后根據用戶屬性集生成用戶私鑰，并通過用戶證書驗證，分發給各用戶。對于需要加密的文件，首先隨機選擇對稱加密密鑰，應用對稱加密算法——高級加密標準（Advanced?Encryption?Standard，AES）算法加密數據或文件，生成內容密文；然后針對不同用戶對文件具有的不同權限，采用屬性基加密方法對不同權限結構進行加密，生成權限密文；最后根據對文件具有訪問權限的用戶訪問結構，采用屬性基加密方法加密對稱密鑰和權限密文，并將其以文件頭的形式與內容密文結合，作為數據或文件的完整密文。解密時，首先當且僅當用戶私鑰的屬性集滿足訪問策略時，用戶才能解密文件頭，獲得對稱密鑰和權限密文；同時當且僅當用戶私鑰的屬性集滿足相應的權限策略時，才能解密相應部分，獲得其權限信息。這樣避免云計算服務商獲知數據內容，同時在數據被加密的情況下，實現數據擁有者將符合指定條件的數據交給特定用戶進行共享，達到對共享加密文件的訪問以及權限控制。?

本發明的方法通過以下具體步驟實現：?

1系統初始化?