技術領域

本發明屬于網絡與信息安全技術領域，涉及數據訪問控制技術，具體說是一種在XACML框架下引入基于屬性的加密的云存儲訪問控制系統，對數據提供訪問控制并保證數據的機密性。

背景技術

云存儲是近兩年來崛起的一項新興的云服務，用戶可以隨時隨地接入互聯網，使用手持移動終端或PC機，以非常快捷的速度存取自己的個人文件，因此得到了廣泛的支持和應用。但是在使用便利的同時，云存儲也引起了用戶對數據安全和隱私保護安全性的廣泛擔憂。2009年亞馬遜，Google，LinkUp等多家著名云存儲服務商都出現過用戶數據和隱私泄露的安全問題，并造成了嚴重的后果；2011年索尼“泄密門”再次給云存儲安全敲響警鐘。2012年中國云計算安全調查分析報告顯示79%的用戶仍然不愿意將敏感數據存到云環境下。安全隱患已成為云存儲大規模普及的重要障礙，如何保護用戶隱私和敏感數據的機密性已成為云存儲亟需解決的首要安全問題。

基于屬性的密碼體制自2005年開始研究，其發展了傳統的基于身份密碼體制關于身份的概念，將身份看作是一系列屬性的集合。美國學者Sahai與Waters第一次提出了基于模糊身份加密，將生物學特性直接作為身份信息應用于基于身份的加密方案中，Sahai在論文中引入了屬性的概念。2007年，Bethencourt等人提出了密文策略的基于屬性的加密方案：CP‐ABE，Ciphertext‐Policy?Attribute‐Based?Encryption，在該方案中將用戶的身份表示為一個屬性的集合，而加密數據則與訪問控制結構相關聯，用戶是否能解密，取決于密文所關聯的屬性集合和用戶身份對應的訪問控制結構是否匹配。

基于上述密碼體制采用了密文策略的基于屬性的訪問控制系統，可以提供結合基于屬性的訪問控制策略的數據加密，但實際應用中不是所有數據都需要加密存儲，當數據量很大時，直接加解密數據開銷大，訪問控制系統性能低，因此，現有的密文策略的基于屬性的訪問控制解決方案還不能在保證用戶數據和隱私安全的基礎上提供細粒度的、動態的、可擴展、高效的訪問控制。

XACML(eXtensible?Access?Control?Markup?Language)是OASIS(Organization?for?the?Advancement?of?Structured?Information?Standards)提出的描述策略和訪問控制的語言，基于XACML實現的訪問控制系統框架應用于web服務可提供細粒度的、動態的、可擴展、高效ABAC（Attribute?Based?Access?Control），但不能提供對用戶隱私數據的加密保護。

發明內容

本發明的目的在于針對上述已有技術的不足，提出了一種基于屬性的云存儲訪控制系統，不僅能為敏感數據和非敏感數據提供細粒度的、動態的、可擴展的、高效的安全訪問控制，而且能夠保證敏感數據的機密性。

本發明的技術方案是這樣實現的：

一.技術原理

本發明將基于密文策略的ABAC與通過XACML實現的ABAC相結合，通過共用屬性集和策略集實現對明文和密文的訪問控制。由于這兩者實現ABAC的核心都是實體的屬性集，和策略集，因此很容易將兩者結合，構建云存儲訪問控制系統。本發明使用XACML實現的ABAC機制對訪問所有的明文或密文數據的請求進行訪問控制，使用基于密文策略的ABAC機制對加密敏感數據的對稱密鑰的獲取進行訪問控制，只有滿足訪問控制策略中相應屬性的用戶才能解密加密明文的對稱密鑰進而得到明文，防止了對稱密鑰的泄漏，從而提高敏感數據的安全性。

二.系統組成

根據上述原理，本發明基于屬性的云存儲訪問控制系統，包括：安全令牌單元1、主體信息管理單元2、訪問控制單元3、屬性基加解密單元4和云存儲單元5，其特征在于：

所述的主體信息管理單元2，用于生成用戶私鑰，存儲和管理用戶屬性信息、用戶私鑰和用訪問控制策略加密后的對稱密鑰；

所述的訪問控制單元3，包括：

令牌提取驗證模塊31，用于提取用戶請求中的令牌，并向安全令牌服務單元1驗證令牌，若令牌驗證成功則將得到的用戶身份信息和用戶請求發送給訪問決策模塊32；若令牌驗證失敗則向用戶發送令牌驗證失敗響應；