本發(fā)明公開了一種大型合作網(wǎng)絡(luò)的訪問控制系統(tǒng)及其實(shí)現(xiàn)方法，包括認(rèn)證中心、網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)擁有者、數(shù)據(jù)傳播者和數(shù)據(jù)訪問者，認(rèn)證中心用于生成系統(tǒng)運(yùn)行參數(shù)，提供注冊、屬性管理和分配密鑰服務(wù)；網(wǎng)絡(luò)服務(wù)器用于為用戶提供數(shù)據(jù)服務(wù)；數(shù)據(jù)擁有者用于定義數(shù)據(jù)的訪問權(quán)限和傳播權(quán)限；當(dāng)用戶滿足所述傳播權(quán)限時(shí)，則以數(shù)據(jù)傳播者的身份進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)訪問者用于從所述網(wǎng)絡(luò)服務(wù)器中獲取并訪問所述數(shù)據(jù)；所述數(shù)據(jù)采用兩階密文結(jié)構(gòu)，由所述數(shù)據(jù)擁有者創(chuàng)建并由所述數(shù)據(jù)傳播者補(bǔ)充。可以有效地阻止密鑰混用的攻擊；數(shù)據(jù)的解密工作遷移到網(wǎng)絡(luò)服務(wù)器端來完成，以減少用戶端的計(jì)算開銷，保證了密文傳播過程的安全性，滿足了預(yù)期的用戶需求。

【技術(shù)領(lǐng)域】

本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域，是一種加密及密文傳輸機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)方法，主要用于大型合作網(wǎng)絡(luò)在信息傳播過程中確保數(shù)據(jù)的保密性。

【背景技術(shù)】

大型合作網(wǎng)絡(luò)是計(jì)算機(jī)網(wǎng)絡(luò)的一種應(yīng)用。目前學(xué)界對大型合作網(wǎng)絡(luò)尚無明確的定義。一般討論的大型合作網(wǎng)絡(luò)應(yīng)由一定規(guī)模的、具有特定社交關(guān)系的人組成，且依托計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)施通訊。典型的大型合作網(wǎng)絡(luò)，例如國際腫瘤基因組聯(lián)盟科學(xué)研究合作網(wǎng)絡(luò)。該合作網(wǎng)絡(luò)由來自世界多個(gè)國家的、從事腫瘤基因組相關(guān)領(lǐng)域研究的數(shù)千名研究人員組成，合作網(wǎng)絡(luò)成員通過一個(gè)云平臺實(shí)現(xiàn)數(shù)據(jù)的共享、分發(fā)和傳輸。隨著科學(xué)研究快速邁入大數(shù)據(jù)、大科學(xué)、大協(xié)作的時(shí)代，類似的大型合作網(wǎng)絡(luò)越來越多。數(shù)據(jù)的安全性是大型合作網(wǎng)絡(luò)的基礎(chǔ)性問題之一，不僅關(guān)系到大型合作網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，而且數(shù)據(jù)的安全性差錯(cuò)可能引發(fā)法律問題，甚至嚴(yán)重后果。所以，大型合作網(wǎng)絡(luò)的數(shù)據(jù)安全是重要的研究課題。

訪問控制是確保數(shù)據(jù)安全性和隱私性的主要策略之一。傳統(tǒng)的訪問控制模型主要可以分為基于信任的訪問控制模型、基于語義網(wǎng)的訪問控制模型和基于關(guān)系的訪問控制模型等三種。但是，這些模型的實(shí)現(xiàn)完全依賴于網(wǎng)絡(luò)供應(yīng)商，被認(rèn)為是不可靠的。存儲資源的提供商可能會在不提前通知用戶的情況下使用用戶的數(shù)據(jù)。此觀點(diǎn)被學(xué)界廣泛接受并推動(dòng)了新一輪的非供應(yīng)商依賴的訪問控制模型研究，代表性的成果包括：采用屬性加密機(jī)制隱藏用戶的數(shù)據(jù)，實(shí)現(xiàn)了細(xì)粒度的訪問權(quán)限定義；就信息的重上傳或重發(fā)布等影響用戶版權(quán)的問題進(jìn)行了詳細(xì)的說明，并提出允許各方交換信息是解決問題的至關(guān)重要的一環(huán)；針對多用戶合作制定訪問權(quán)限等問題提出了一種特定的架構(gòu)等。

【發(fā)明內(nèi)容】

本發(fā)明所要解決的技術(shù)問題在于針對上述現(xiàn)有技術(shù)中的不足，提供一種大型合作網(wǎng)絡(luò)的訪問控制機(jī)制及其實(shí)現(xiàn)方法，用于大型合作網(wǎng)絡(luò)在信息傳播過程中確保數(shù)據(jù)的保密性。

本發(fā)明采用以下技術(shù)方案：

一種大型合作網(wǎng)絡(luò)的訪問控制系統(tǒng)，包括認(rèn)證中心、網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)擁有者、數(shù)據(jù)傳播者和數(shù)據(jù)訪問者，認(rèn)證中心用于生成系統(tǒng)運(yùn)行參數(shù)，提供注冊、屬性管理和分配密鑰服務(wù)；網(wǎng)絡(luò)服務(wù)器用于為用戶提供數(shù)據(jù)服務(wù)；數(shù)據(jù)擁有者用于定義數(shù)據(jù)的訪問權(quán)限和傳播權(quán)限；當(dāng)用戶滿足所述傳播權(quán)限時(shí)，則以數(shù)據(jù)傳播者的身份進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)訪問者用于從所述網(wǎng)絡(luò)服務(wù)器中獲取并訪問所述數(shù)據(jù)；所述數(shù)據(jù)采用兩階密文結(jié)構(gòu)，由所述數(shù)據(jù)擁有者創(chuàng)建并由所述數(shù)據(jù)傳播者補(bǔ)充。

具體的，所述密文結(jié)構(gòu)對應(yīng)的密文分兩步創(chuàng)建，第一步，對數(shù)據(jù)和數(shù)據(jù)簡介使用內(nèi)容密鑰進(jìn)行加密；第二步，使用訪問結(jié)構(gòu)對內(nèi)容密鑰進(jìn)行加密。

進(jìn)一步的，所述訪問結(jié)構(gòu)包括數(shù)據(jù)訪問結(jié)構(gòu)和數(shù)據(jù)目錄項(xiàng)訪問結(jié)構(gòu)兩層，所述數(shù)據(jù)訪問者同時(shí)滿足所述數(shù)據(jù)的訪問結(jié)構(gòu)和數(shù)據(jù)目錄項(xiàng)的訪問結(jié)構(gòu)才能夠訪問所述數(shù)據(jù)，滿足所述數(shù)據(jù)目錄項(xiàng)訪問結(jié)構(gòu)的所述數(shù)據(jù)傳播者能夠?qū)?shù)據(jù)傳輸給其他用戶。

進(jìn)一步的，所述數(shù)據(jù)訪問結(jié)構(gòu)由所述數(shù)據(jù)擁有者創(chuàng)建，使用訪問樹結(jié)構(gòu)，樹中葉子節(jié)點(diǎn)代表的屬性要求在全局范圍內(nèi)可識別。

進(jìn)一步的，所述數(shù)據(jù)目錄項(xiàng)訪問結(jié)構(gòu)包括傳播訪問結(jié)構(gòu)和用戶自定義訪問結(jié)構(gòu)；

所述傳播訪問結(jié)構(gòu)為一個(gè)析取范式，析取范式中的每個(gè)子句都是傳播路徑中一種可能的分支，存放本條傳播路徑的數(shù)據(jù)傳播者需要滿足的規(guī)則；