技術領域

本發明屬于云計算技術領域，尤其涉及一種數據訪問控制方法及系統。

背景技術

從云計算誕生，安全性一直是企業實施云計算首要考慮的問題之一。訪問控制是實現用戶數據機密性和進行隱私保護的重要手段。在云存儲系統中的服務器應假設為是不可信的，用戶不愿意將核心機密信息放到云存儲系統中，即使是密文數據，用戶也會擔心被非授權用戶讀取或引用，這使得云存儲服務應用的發展受到了限制。

現有密文策略的基于屬性的加密（Ciphertext-policy Attribute-Based Encryption,CP-ABE）方案將用戶的身份表示為一個屬性的集合，加密后的數據（密文數據）與數據的訪問控制結構相關聯。一個用戶能否訪問這份數據，取決于該用戶的屬性集合是否能與訪問控制結構相匹配。在采用CP-ABE實現云存儲的數據訪問控制時，由于用戶的屬性間存在層次關系，導致數據的訪問結構復雜。同時每個用戶能夠訪問的數據都采用CP-ABE機制來實現數據的訪問，會導致計算開銷較大。

發明內容

本發明實施例在于提供一種數據訪問控制方法，以解決現有技術在訪問云服務端數據時，計算開銷較大的問題。

本發明實施例的第一方面，提供一種數據訪問控制方法，所述方法包括：

第三方生成各層次的密鑰，并將生成的所述密鑰發送給對應層次的客戶端；

所述客戶端通過接收到的密鑰對待上傳云端服務器的數據進行加密，并將加密后的數據上傳至云端服務器。

本發明實施例的第二方面，提供一種數據訪問控制系統，所述系統包括：

第三方、客戶端以及云服務端；

所述第三方，用于生成各層次的密鑰，并將生成的所述密鑰發送給對應層次的客戶端；

所述客戶端，用于通過接收到的密鑰對待上傳云端服務器的數據進行加密，并將加密后的數據上傳至云端服務器。

本發明實施例與現有技術相比存在的有益效果是：本發明實施例通過可信的第三方生成不同層次的密鑰，并將生成的所述密鑰發送給對應層次的客戶端，以使得客戶端通過接收到的密鑰對待上傳云端服務器的數據進行加密。本發明實施例在提高云端服務器數據安全的同時，簡化了云端服務器數據訪問控制中的密鑰管理，降低了計算開銷，提高了云端服務器數據訪問的效率，具有較強的易用性和實用性。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明第一實施例提供的數據訪問控制系統所適用的應用場景圖；

圖2是本發明第二實施例提供的數據訪問控制方法的實現流程圖。

具體實施方式

為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。

為了說明本發明所述的技術方案，下面通過具體實施例來進行說明。

實施例一：

圖1示出了本發明第一實施例提供的數據訪問控制系統所適用的應用場景，為了便于說明，僅示出了與本發明實施例相關的部分。

如圖1所示，該數據訪問控制系統包括多個用戶終端1、云端服務端2以及第三方3。所述多個用戶終端1、云端服務端2以及第三方3之間通過有線或者無線的方式連接通信。

其中，所述用戶終端1可以是手機、平板電腦、計算機等。

所述云端服務端2和第三方3可以是單一的服務器，也可以為由幾個功能服務器共同組成的服務器端。

在一個多權限或多層次的組織結構中（如在醫院中，包括院長，科室主任，主任醫生，主治醫生等；在企業中，包括總經理，部門主管，項目經理，工程師等），不同權限或層次的用戶可以解密不同等級的數據密文而獲得相關的信息。在采用CP-ABE實現云存儲的數據訪問控制時，由于用戶的屬性間存在層次關系，導致數據的訪問結構復雜。同時每個用戶能夠訪問的數據都采用CP-ABE機制來實現數據的訪問，會導致計算開銷較大。為解決上述問題，具體實施如下：

所述第三方3基于層次訪問控制模型生成各層次的密鑰（包括公鑰和私鑰），并將生成的所述密鑰發送給對應層次的用戶終端1。所述用戶終端1通過接收到的密鑰對待上傳云端服務器2的數據進行加密，并將加密后的數據上傳至云端服務器2。