技術領域

本發明涉及云計算技術，特別涉及一種實現安全云計算的方法和系統。

背景技術

云計算具有超大規模、虛擬化、可靠安全等獨特功效。對于網絡運營商而言，可以使得運營成本和操作維護成本大大下降，達到節能減排的目的。在云計算環境下，一切資源都是可以運營的，都可以作為服務提供，包括應用程序、軟件、平臺、處理能力、存儲、網絡、計算資源以及其他基礎設施等。

其中，PaaS平臺作為高度開放，多應用的一個云計算平臺，上面集成了大量的應用系統，被億萬用戶所使用，所以必須具有高度的安全和穩定性來做支撐。PaaS平臺運營商目前尚無法向最終用戶保證用戶的敏感數據不會丟失和外泄。在這種情況下，一些用戶擔心他們的重要數據會被惡意出賣以獲取非法利益。已有技術在網絡通信和客戶端方面進行安全防護以防止數據外泄。然而，如果PaaS服務器端的數據庫被惡意竊取，影響將會更為嚴重。

因此，針對相關技術中所存在的上述問題，目前尚未提出有效的解決方案。

發明內容

為解決上述現有技術所存在的問題，本發明提出了一種實現安全云計算的方法，用于根據客戶端用戶屬性來控制用戶對PaaS平臺的訪問，包括：

步驟一，客戶端配置用戶屬性；

步驟二，生成權限控制樹，控制用戶角色的權限；

步驟三，用戶登錄PaaS平臺服務器，將客戶端的用戶屬性和權限控制樹提交給PaaS平臺服務器；

步驟四，當用戶請求訪問PaaS平臺服務器時，服務器驗證用戶身份，根據驗證結果控制用戶對PaaS平臺服務器的訪問。

優選地，所述用戶屬性由客戶端配置和存儲，用戶不能隨意更改用戶屬性；

一個平臺可擁有多個用戶，每個用戶可以有多個角色，每個角色對應一個屬性集，平臺內部維護用于記錄用戶與角色以及角色與屬性集的對應關系的表格；

用戶以特定的角色登錄PaaS平臺并傳入屬性集后，PaaS服務根據用戶所屬平臺訪問特定平臺數據，并根據用戶屬性生成的私鑰，在該平臺數據中確定訪問權限。

優選地，所述權限控制樹用于對用戶數據的加密，并在解密時判斷解密者是否有權解密，平臺內每個角色具有不同的權限控制樹，當以不同角色登錄的平臺用戶在存儲PaaS服務器的數據時，將采用相應的權限控制樹對數據進行加密；

若角色r具有權限控制樹T，而r’擁有屬性集S’，只有當S’滿足權限控制樹T時，角色r’才能訪問r保存的數據，用戶的權限控制樹存儲在客戶端，用戶不能隨意更改，由平臺管理者配置和管理。

權限控制樹在用戶登錄之后發送給PaaS服務器，PaaS服務器根據用戶的平臺屬性組建完整的權限控制樹，在加密過程中將用權限控制樹進行加密，防止密文被其他平臺具有相同屬性的用戶解密。

優選地，所述步驟四進一步包括，在PaaS服務器驗證用戶身份之后，生成公共參數以及主私鑰。

優選地，所述公共參數和主私鑰通過以下過程來生成：

生成雙線性參數g，G₀，G₁，e，Z_p，其中G₀和G₁是兩個階為大素數p的乘法循環群，g為群G₀的生成元，e:G₀×G₀→G₁是一個可有效計算的雙線性映射,Z_p是對p取模得到的集合，包含所有小于p且與p互素的正整數；對于所有用戶屬性生成一個屬性集合U＝{a₁,a₂,…a_n}，對每一個屬性a_i(i∈n)，隨機選擇t_i∈Z_p；然后隨機選擇α∈Z_p，并在Z_p中隨機選擇u₁,…,u_2m，對每一個i∈{1,…,2m}，設定U_i＝g^ui；生成公開參數PK：

g,T1＝g^t1,…Tn＝g^tn，Y＝e(g,g)^α,U₁,…,U_2m

生成主密鑰MK：α,t_i(1≤i≤n),u_i(1≤i≤2m)；

優選地，所述服務器驗證用戶身份，進一步包括，