用于不同用户需求的云存储数据访问控制方法及系统技术方案

本发明专利技术公开了一种用于不同用户需求的云存储数据访问控制方法及系统，属于云计算安全领域。该方法包括：参数设置，由密钥管理服务器执行，生成公钥和主密钥并上传至云存储服务器；密钥生成，由密钥管理服务器执行，生成私钥并上传至云存储服务器；数据加密，由数据所有者执行，生成密文并上传至云存储服务器；访问授权，由访问控制服务器执行，对不同需求用户进行授权访问；数据解密，由数据访问者执行，生成明文并进行数据访问。利用本发明专利技术，不同用户可以根据自身的需求实现对云存储数据的有效访问，同时对数据所有者的云中数据实现安全和隐私保护。隐私保护。隐私保护。

【技术实现步骤摘要】
用于不同用户需求的云存储数据访问控制方法及系统


[0001]本专利技术属于云计算安全领域。
技术背景
[0002]在云计算技术中，数据所有者将本地数据进行远程云端托管，使得云存储服务提供商成为数据所有者数据的物理所有者，但其与数据所有者并不存在任何信任关系，其安全形势也相当严峻，如未经身份验证的用户可以任意地访问云存储服务器、数据安全性得不到保证等严重影响了数据所有者对云存储服务提供商的信任。例如，云存储服务提供商在存储用户各种类型数据的同时，也存储了用户的隐私数据，给个人隐私带来了潜在安全威胁。因此，在云存储服务提供商管理着大量数据所有者的数据资源时，当用户想要访问云中数据资源时，需要采取一定的访问控制策略来控制访问者对云中数据资源的访问。
[0003]但是，为了实现更加灵活的访问控制策略，在数据所有者自行决定访问者是否有权访问云中数据时，对于不同用户的访问需求现有技术很难实现云存储数据的访问控制。

技术实现思路

[0004]本专利技术的目的在于，提供一种用于不同用户需求的云存储数据访问控制方法及系统，利用本专利技术，不同用户可以根据自身的需求实现对云存储数据的有效访问，同时对数据所有者的云中数据实现安全和隐私保护。
[0005]为了解决上述技术问题，本专利技术所提供的一种用于不同用户需求的云存储数据访问控制方法，该方法包括如下步骤：
[0006]参数设置，由密钥管理服务器执行，生成公钥和主密钥并上传至云存储服务器；
[0007]密钥生成，由密钥管理服务器执行，生成私钥并上传至云存储服务器；
[0008]数据加密，由数据所有者执行，生成密文并上传至云存储服务器；
[0009]访问授权，由访问控制服务器执行，对不同需求用户进行授权访问；
[0010]数据解密，由数据访问者执行，生成明文并进行数据访问。
[0011]进一步，所述的访问控制服务器用于存储数据的哈希值、数据密文的哈希值和访问策略，数据访问者必须满足访问策略才能对云存储服务器中数据所有者所存储的数据进行访问。
[0012]进一步，所述的访问策略是由属性与数据所有者及数据之间关系所组成的一个逻辑表达式，只有数据访问者的属性集合全部满足前述访问策略才能成功访问数据所有者的数据。
[0013]进一步，所述的访问策略，具体包括如下步骤：
[0014]设置访问策略属性，根据不同用户的需求设置为用户隐私等级和数据类型；
[0015]建立访问策略树，访问策略树T中的每个叶子节点的属性用(x，y)表示，x表示叶子节点的用户隐私等级，y表示叶子节点的数据类型，其中
[0016]x＝1表示一级保护，为用户需要的最高隐私保护等级，x＝2表示二级保护，为用户
需要的重要隐私保护等级，x＝3表示三级保护，为用户需要的一般隐私保护等级，y＝1表示用户的文档数据，y＝2表示用户的语音数据，y＝3表示用户的图片数据，y＝4表示用户的视频数据；
[0017]设置访问策略集合，P＝{P1，P2，
…
，P
n
}是一个基于属性的集合，Γ是由P＝{P1，P2，
…
，P
n
}的非空属性子集构成的集合，其中
[0018]Γ∈2
{P1，P2，
…
，Pn}
，访问策略集合S在Γ中的集合为访问授权集合，访问策略集合S不在Γ中的集合为非访问授权集合；
[0019]实现授权访问，只有与数据所有者私钥相关联的访问策略集合S和与数据所有者数据密文相关联的访问策略集合S的属性集合交集数量达到设置的阈值，数据访问者才能成功解密获取明文。
[0020]进一步，所述的参数设置，包括如下步骤：
[0021]通过密钥管理服务器执行参数设置；
[0022]输入为安全参数γ，随机选择α和β∈Z
p
，计算h＝g
β
，u＝g
α
和v＝e(g,g)
α
，根据公式PK＝(G,g,h,v)计算得到公钥PK，并根据公式MK＝(β,u)得到主密钥MK；
[0023]输出为公钥PK和主密钥MK，SetUp(γ)
→
(PK，MK)。
[0024]进一步，所述的密钥生成，包括如下步骤：
[0025]通过密钥管理服务器执行密钥生成；
[0026]输入为前述生成的公钥PK、主密钥MK和访问策略集合S，随机选择r∈Z
p
，为访问策略集合S中的属性x,y∈S选取随机数r
x,y
∈Z
p
，计算用户私钥SK：，计算用户私钥SK：
[0027]输出为私钥SK，即KeyGen(PK，MK，S)
→
SK。
[0028]进一步，所述的数据加密，包括如下步骤：
[0029]通过数据所有者执行数据加密；
[0030]输入为前述生成的公钥PK、要加密的数据M和访问策略树T，对于访问策略树T中的每个节点，若叶子节点y的父节点parent(x)的阈值范围为0
parent(x)
∈[1,3]，则q
y
(0)＝q
parent(x)
(0)，令Γ1为访问策略树T中该类父节点的集合，Γ2是访问策略树T中余下父节点的集合，并进一步根据Γ1中各父节点的叶子节点类型的不同，将Γ1划分为Γ
11
，Γ
12
，Γ
13
，Γ
14
，对加密后数据C进行加密，计算得到加密后数据的密文C
CK
：
[0031]C
′
＝g
s
，，
[0032]输出为密文C
ck
，Encrypt(PK，M，T)
→
C
ck
。
[0033]进一步，所述的访问授权，包括如下步骤：
[0034]通过访问控制服务器执行访问授权；
[0035]输入为前述生成的公钥PK、主密钥MK、私钥SK和数据访问者的访问策略集合Sm、访问策略树Tm，访问控制服务器调用预先定义的递归函数为
[0036][0037]输出为1或0，Auth(PK，MK，SK，Sm，Tm)
→
1/0，其中
[0038]1表示访问控制服务器授权数据访问者进行数据访问，0表示访问控制服务器未授权数据访问者进行数据访问。
[0039]进一步，所述的数据解密，包括如下步骤：
[0040]通过数据访问者执行数据解密；
[0041]输入为前述生成的公钥PK、私钥SK和密文C
ck
，对密文C
CK
解密，得到会话密钥数据访问者根据解密的会话密钥CK和密文C
ck
计算，得到解密后数据M＝D
CK
(C
ck
)；
[0042本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于不同用户需求的云存储数据访问控制方法，其特征在于，包括如下步骤：参数设置，由密钥管理服务器执行，生成公钥和主密钥并上传至云存储服务器；密钥生成，由密钥管理服务器执行，生成私钥并上传至云存储服务器；数据加密，由数据所有者执行，生成密文并上传至云存储服务器；访问授权，由访问控制服务器执行，对不同需求用户进行授权访问；数据解密，由数据访问者执行，生成明文并进行数据访问。2.根据权利要求1所述的方法，其特征在于，所述的访问控制服务器用于存储数据的哈希值、数据密文的哈希值和访问策略，数据访问者必须满足访问策略才能对云存储服务器中数据所有者所存储的数据进行访问。3.根据权利要求2所述的方法，其特征在于，所述的访问策略是由属性与数据所有者及数据之间关系所组成的一个逻辑表达式，只有数据访问者的属性集合全部满足前述访问策略才能成功访问数据所有者的数据。4.根据权利要求2所述的方法，其特征在于，所述的访问策略，具体包括如下步骤：设置访问策略属性，根据不同用户的需求设置为用户隐私等级和数据类型；建立访问策略树，访问策略树T中的每个叶子节点的属性用(x，y)表示，x表示叶子节点的用户隐私等级，y表示叶子节点的数据类型，其中x＝1表示一级保护，为用户需要的最高隐私保护等级，x＝2表示二级保护，为用户需要的重要隐私保护等级，x＝3表示三级保护，为用户需要的一般隐私保护等级，y＝1表示用户的文档数据，y＝2表示用户的语音数据，y＝3表示用户的图片数据，y＝4表示用户的视频数据；设置访问策略集合，P＝{P1，P2，
…
，P
n
}是一个基于属性的集合，Γ是由P＝{P1，P2，
…
，P
n
}的非空属性子集构成的集合，其中Γ∈2
{P1，P2，
…
，Pn}
，访问策略集合S在Γ中的集合为访问授权集合，访问策略集合S不在Γ中的集合为非访问授权集合；实现授权访问，只有与数据所有者私钥相关联的访问策略集合S和与数据所有者数据密文相关联的访问策略集合S的属性集合交集数量达到设置的阈值，数据访问者才能成功解密获取明文。5.根据权利要求1所述的方法，其特征在于，所述的参数设置，包括如下步骤：通过密钥管理服务器执行参数设置；输入为安全参数γ，随机选择α和β∈Z
p
，计算h＝g
β
，u＝g
α
和v＝e(g，g)
α
，根据公式PK＝(G，g，h，v)计算得到公钥PK，并根据公式MK＝(β，u)得到主密钥MK；输出为公钥PK和主密钥MK，SetUp(γ)
→
(PK，MK)。6.根据权利要求1所述的方法，其特征在于，所述的密钥生成，包括如下步骤：通过密钥管理服务器执行密钥生成；输入为前述生成的公钥PK、主密钥MK和访问策略集合S，随机选择r∈Z
p
...

【专利技术属性】
技术研发人员：杨腾霄，马宇尘，严涛，
申请(专利权)人：上海纽盾网安科技有限公司，
类型：发明
国别省市：