所屬領域

本發明涉及云存儲，云加密，訪問控制技術領域。

背景技術

隨著云技術的發展，云存儲服務面向越來越多的用戶，用戶隨時隨地遠程訪問存儲在云空間中的數據，其成本低、易于使用和接口高擴展性在商業中也受到了廣泛應用和關注，然后，用戶在享受這種便利的同時，也面臨數據存儲脫離自身控制，產生了安全問題，許多著名的云服務商也面臨過云存儲的安全問題，導致了嚴重的后果，所以云存儲的安全問題是當下研究的熱點。

訪問控制是實現用戶數據機密性和進行隱私保護的主要工具之一，然而云存儲的外包存儲服務模式導致特權用戶的存在，其具有非授權訪問用戶數據的權利，導致用戶數據信息和隱私泄露等內部攻擊問題。

針對上述安全問題，現有技術引入基于模糊身份加密的加密訪問控制技術。一種方法是將用戶私鑰關聯到訪問控制結構樹，密文關聯到屬性集，若用戶的屬性集滿足訪問控制樹，則該用戶可以解密數據，否則，該用戶無法解密數據。另一種方法是將用戶私鑰關聯到屬性集，密文關聯到訪問控制樹，屬性集滿足該訪問控制樹的用戶具有解密數據的能力，上述方案中的加密者不能直接控制哪些用戶能訪問密文數據，還需要繼續進行深入研究。

發明內容

針對現有技術存在的上述問題，本發明提出一種用于云存儲的加密和訪問控制方法，本方法由加密算法的訪問控制結構樹轉為策略規則，應用訪問控制架構實現細粒度多權限訪問控制機制。

本發明所采用的技術方案是：一種用于云存儲的加密和訪問控制方法，首先，該方法用雙線性對稱加密算法對明文數據進行加密，得到數據密文；其次對對稱密鑰采取再次加密，生成密鑰密文；最后，將數據密文和密鑰密文按照系統設計格式保存至云存儲中，當用戶需要對存儲數據訪問時，采用訪問控制結構的策略規則控制用戶的多重權限，只有當訪問者的主題屬性通過訪問規則策略控制，才可以訪問密鑰密文，才能解密密鑰密文得到對稱密鑰用以解密密文得到數據明文，策略規則可以從加密方法訪問控制結構樹轉換來，也可以單獨進行添加和修改。

本發明的有益效果是：該方法結合加密手段和訪問結構控制，保證只有合法用戶在權限范圍內才能訪問、操作資源，保障了數據的機密性，同時對合謀攻擊具有更好的抗性，并且該訪問控制方案具有后向安全性。

具體實施方式

本方法由加密算法的訪問控制結構樹轉為策略規則，應用訪問控制架構實現細粒度多權限訪問控制機制，只有當訪問者的主題屬性通過訪問規則策略控制，才可以訪問密鑰密文和解密密鑰密文得到對稱密鑰用以解密密文得到數據明文，策略規則可以從加密方法訪問控制結構樹轉換來。

加密方案中采用屬性加密的方式，屬性包括主體屬性、資源屬性和環境屬性，主體屬性包括用戶名、用戶ID、用戶所在企業名稱部門職位等用戶固有屬性，資源屬性包括資源名稱、主題、資源大小、創建者等，環境屬性包括時間、網絡、資源使用率等。

該方法的具體實施步驟如下：

步驟1：生成主密鑰MK和公共參數PK

設G和G_T是p(p為素數)階的群，他們之間存在可有效計算的雙線性映射e：G×G→G_T，在映射中，若a，b∈Z_p和g，h∈G，滿足e(g^a，h^b)＝e(g，h)^ab，并且存在g，h∈G使e(g，h)≠1，也就是不是所有G×G的元素都能映射到G_T中，但是g，h∈G，e(g，h)都是可有效計算的；

設P＝{P₁，P₂，…，P_n}為所有屬性集合，某個用戶u的屬性集合A是P的非空子集，則N個屬性是可以區別2^N個用戶的；

設主密鑰為MK，公共參數為PK，如果

|P_r[β(g，g^a，g^b，g^s，e(g，g)^abs)＝0-P_r[β(g，g^a，g^b，g^s，z)＝0|≥ε

則有：

PK＝{G₀，g，h＝gβ，e(g，g)^α}

MK＝(β，g^α)

其中，G₀為生成元，α，β∈Z_p，b∈{0，1}

使用MK和用戶屬性集A生成用戶密碼SK