本發(fā)明提供一種云計(jì)算安全訪問(wèn)控制方法及系統(tǒng)。所述方法包括：通過(guò)證書(shū)頒發(fā)機(jī)構(gòu)向數(shù)據(jù)使用端簽發(fā)第一公鑰證書(shū)；通過(guò)屬性管理機(jī)構(gòu)生成用戶解密密鑰，根據(jù)訪問(wèn)控制策略為不同角色分配不同的用戶解密密鑰，用戶解密密鑰用于對(duì)由數(shù)據(jù)提供端提供的數(shù)據(jù)資源進(jìn)行加密；通過(guò)公鑰對(duì)用戶解密密鑰進(jìn)行加密，并將加密后的用戶解密密鑰存儲(chǔ)至云平臺(tái)；根據(jù)訪問(wèn)控制策略和第一公鑰證書(shū)，確定數(shù)據(jù)使用端的角色，發(fā)送相應(yīng)的加密后的用戶解密密鑰至數(shù)據(jù)使用端；在數(shù)據(jù)使用端通過(guò)私鑰對(duì)加密后的用戶解密密鑰解密成功的情況下，使能數(shù)據(jù)使用端通過(guò)相應(yīng)的角色訪問(wèn)數(shù)據(jù)資源。本發(fā)明能夠在支持安全需求的同時(shí)，對(duì)大量用戶執(zhí)行的策略提供靈活的管理。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)信息安全技術(shù)領(lǐng)域，尤其涉及一種云計(jì)算安全訪問(wèn)控制方法及系統(tǒng)。

背景技術(shù)

云計(jì)算是當(dāng)今大數(shù)據(jù)管理中低成本和高效率的解決方案。當(dāng)采用云解決方案來(lái)存儲(chǔ)大規(guī)模和高價(jià)值的數(shù)據(jù)時(shí)，其安全性和隱私性是非常重要的，通常需要部署加密技術(shù)和訪問(wèn)控制模型以滿足云對(duì)安全性的需求。訪問(wèn)控制是網(wǎng)絡(luò)安全最有效的解決方案之一。

而現(xiàn)有的大數(shù)據(jù)的數(shù)據(jù)訪問(wèn)控制無(wú)法在支持安全需求的同時(shí)，對(duì)大量用戶執(zhí)行的策略提供靈活的管理。

發(fā)明內(nèi)容

為解決上述問(wèn)題，本發(fā)明提供的云計(jì)算安全訪問(wèn)控制方法及系統(tǒng)，能夠在支持安全需求的同時(shí)，對(duì)大量用戶執(zhí)行的策略提供靈活的管理。

第一方面，本發(fā)明提供一種云計(jì)算安全訪問(wèn)控制方法，應(yīng)用于訪問(wèn)控制系統(tǒng)模型，所述訪問(wèn)控制系統(tǒng)模型包括：證書(shū)頒發(fā)機(jī)構(gòu)、屬性管理機(jī)構(gòu)、數(shù)據(jù)提供端和數(shù)據(jù)使用端，所述證書(shū)頒發(fā)機(jī)構(gòu)用于為所述屬性管理機(jī)構(gòu)、所述數(shù)據(jù)提供端和所述數(shù)據(jù)使用端簽發(fā)公鑰證書(shū)，所述屬性管理機(jī)構(gòu)用于生成用戶解密密鑰并向相應(yīng)的數(shù)據(jù)使用端頒發(fā)加密后的用戶解密密鑰，所述數(shù)據(jù)提供端用于提供數(shù)據(jù)資源并通過(guò)訪問(wèn)控制策略限定訪問(wèn)所述數(shù)據(jù)資源的角色，所述數(shù)據(jù)使用端用于根據(jù)獲取的角色訪問(wèn)相應(yīng)的數(shù)據(jù)資源；

所述方法包括：通過(guò)所述證書(shū)頒發(fā)機(jī)構(gòu)向所述數(shù)據(jù)使用端簽發(fā)第一公鑰證書(shū)；

通過(guò)所述屬性管理機(jī)構(gòu)生成用戶解密密鑰，并根據(jù)所述訪問(wèn)控制策略為不同角色分配不同的用戶解密密鑰，所述用戶解密密鑰用于對(duì)由數(shù)據(jù)提供端提供的數(shù)據(jù)資源進(jìn)行加密；

通過(guò)公鑰對(duì)所述用戶解密密鑰進(jìn)行加密，并將加密后的用戶解密密鑰存儲(chǔ)至云平臺(tái)；

根據(jù)訪問(wèn)控制策略和由所述數(shù)據(jù)使用端提供的第一公鑰證書(shū)，確定所述數(shù)據(jù)使用端的角色，并發(fā)送相應(yīng)的加密后的用戶解密密鑰至所述數(shù)據(jù)使用端；

在所述數(shù)據(jù)使用端通過(guò)私鑰對(duì)加密后的用戶解密密鑰解密成功的情況下，使能所述數(shù)據(jù)使用端通過(guò)相應(yīng)的角色訪問(wèn)數(shù)據(jù)資源。

可選地，所述方法還包括：對(duì)所述訪問(wèn)控制策略進(jìn)行更新；

所述對(duì)所述訪問(wèn)控制策略進(jìn)行更新，包括：對(duì)所述訪問(wèn)控制策略的屬性進(jìn)行修改和對(duì)所述訪問(wèn)控制策略的語(yǔ)法進(jìn)行檢查。

可選地，所述對(duì)所述訪問(wèn)控制策略的屬性進(jìn)行修改，包括：對(duì)所述訪問(wèn)控制策略的屬性進(jìn)行添加、更新或/和刪除。

可選地，所述對(duì)所述訪問(wèn)控制策略的語(yǔ)法進(jìn)行檢查，包括：對(duì)屬性的類型和屬性的數(shù)值采取的操作數(shù)進(jìn)行檢查。

可選地，所述方法還包括：通過(guò)所述證書(shū)頒發(fā)機(jī)構(gòu)分別向所述屬性管理機(jī)構(gòu)和所述數(shù)據(jù)提供端簽發(fā)第二公鑰證書(shū)和第三公鑰證書(shū)。

第二方面，本發(fā)明提供一種云計(jì)算安全訪問(wèn)控制系統(tǒng)，應(yīng)用于訪問(wèn)控制系統(tǒng)模型，所述訪問(wèn)控制系統(tǒng)模型包括：證書(shū)頒發(fā)機(jī)構(gòu)、屬性管理機(jī)構(gòu)、數(shù)據(jù)提供端和數(shù)據(jù)使用端，所述證書(shū)頒發(fā)機(jī)構(gòu)用于為所述屬性管理機(jī)構(gòu)、所述數(shù)據(jù)提供端和所述數(shù)據(jù)使用端簽發(fā)公鑰證書(shū)，所述屬性管理機(jī)構(gòu)用于生成用戶解密密鑰并向相應(yīng)的數(shù)據(jù)使用端頒發(fā)加密后的用戶解密密鑰，所述數(shù)據(jù)提供端用于提供數(shù)據(jù)資源并通過(guò)訪問(wèn)控制策略限定訪問(wèn)所述數(shù)據(jù)資源的角色，所述數(shù)據(jù)使用端用于根據(jù)獲取的角色訪問(wèn)相應(yīng)的數(shù)據(jù)資源；