一种基于语义的云存储访问控制方法技术
A semantic based access control method for cloud storage
The invention discloses a semantic based cloud storage access control method. Firstly, the ontology knowledge base is constructed and the semantic rules are formulated. Before the user uploads the data to the cloud, the encrypted data will be semantically converted, the reasoning engine is used for semantic reasoning, and the user makes the access strategy. Then the user's access policy is converted to an access structure tree for encryption operation. A private key is generated for each user according to the series of attributes it provides, and the private key is stored on a trusted third party. When other users want to access the data, the private key is obtained from the third party, which is decrypted or undeciphering based on whether the attributes implied in the private key conforms to the implicit access structure in the ciphertext. And in the emergency scenario, the data visitors are provided with different types of proof information and semantic reasoning through different specific situations. If the emergency is judged, the visitor is temporarily open access to the visitor, thus achieving a highly flexible access control.
【技术实现步骤摘要】
一种基于语义的云存储访问控制方法
本专利技术属于云存储领域,尤其涉及一种基于语义的云存储访问控制方法。
技术介绍
随着医疗信息化的推进,医疗数据的共享水平也在不断提高。很多著名的医疗信息化公司,如Cerner提供包括电子病历、影像在线存储等多种信息的共享。医疗云存储能够使用户远程存储、按需随时随地访问云存储中的数据,并且允许医疗相关的人员共享医疗信息,因此有很好的应用前景。在实际的应用中,由于用户角色的多样化与平权化,即每个用户拥有的权限都是平等的,因此需要一种去中心化的分布式权限控制方法。而且由于医疗信息大多比较敏感,为了保护用户的隐私权,需要将数据进行加密存储,保证信息的绝对安全。针对上述背景,需要一种加密条件下的、分布式的权限控制方法。而现有的权限控制方案主要包括RBAC(基于角色的权限控制)方案和CP-ABE(密文策略属性基加密)方案,它们都只能部分地解决上述的问题。在现有的技术中,密文策略属性基加密(CP-ABE)的访问结构是由用户任意制定的,存在个体之间的差异,这样不适用于广泛的数据交换业务和规范化的数据分发管理等场景,且不能根据用户信息自动配置和自动匹配属性。而且,医疗领域通常会出现急救等特殊场景,在这样的情况下,用户的生命权比隐私权更重要,因此需要为急救人员临时开放访问数据的特权,即使他们原本不满足访问结构。但是在现有的RBAC等集中权限管理的模式下,无法做到这一点。
技术实现思路
本专利技术的目的在于针对现有技术的不足,提供一种基于语义的云存储访问控制方法,借助语义技术,通过本体建模和语义推理,根据用户信息进行推理,将信息内部包含的属性自动推...
【技术保护点】
1.一种基于语义的云存储访问控制方法,其特征在于,该方法包括以下步骤:(1)构建本体知识库并制定语义规则,将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,具体包括以下子步骤:(1.1)运用网络本体语言OWL构建事实库;(1.2)运用语义网规则语言SWRL构建规则库;(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;(1.6)在用户制定好密文策略属性基加密的访问策略后,将在推理过程中产生的新知识反馈回知识库,实现知识库的更新;(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密对用户信息进行加密操作,具体包括以下子步骤:(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1;(2.2)随机选取α,β∈Zp,其中Zp满足
【技术特征摘要】
1.一种基于语义的云存储访问控制方法,其特征在于,该方法包括以下步骤:(1)构建本体知识库并制定语义规则,将待加密数据进行语义转换,用推理引擎进行语义推理,为用户自动推送属性,辅助用户制定访问策略,具体包括以下子步骤:(1.1)运用网络本体语言OWL构建事实库;(1.2)运用语义网规则语言SWRL构建规则库;(1.3)将规则导入Jena语义网框架的推理机,作为推理的描述逻辑支持;(1.4)将待加密数据通过Jena本体API进行本体解析和语义转换,从而获得计算机可以理解的结构化数据,并作为推理机的事实输入;(1.5)Jena推理机根据导入的数据,在规则的约束下,进行推理得出属性的推理结果;(1.6)在用户制定好密文策略属性基加密的访问策略后,将在推理过程中产生的新知识反馈回知识库,实现知识库的更新;(2)将用户的访问策略转换为访问结构树,通过密文策略属性基加密对用户信息进行加密操作,具体包括以下子步骤:(2.1)选择两个双线性p阶素数乘法循环群G0、G1,G0的一个生成元g,双线性映射e:G0×G0→G1;(2.2)随机选取α,β∈Zp,其中Zp满足e(ua,vb)=e(u,v)ab;(2.3)输出系统公钥PK和主密钥MK,其中PK=(G0,g,h=gβ,f=g1/β,e(g,g)α),MK=(β,gα);(2.4)将步骤(1)的推理结果推送给用户,协助用户制定访问结构,生成访问结构树Γ;(2.5)为访问结构树Γ中每个节点x(包括叶节点)选取一个多项式qx;节点的遍历方式是由根节点R开始从上到下,从左到右的先序遍历方法;节点x所对应多项式的阶dx=kx-1,其中kx是该节点的门限值;(2.6)为根节点R随机选取s∈Zp,满足qR(0)=s,然后随机选取dR个值来把多项式qR定义完整;(2.7)对于树Γ中的其他非根节点x,令qx(0)=qparent(x)(index(x)),然后再随机选取dx个值完成多项式定义;其中parent(x)表示x节点的父节点,index(x)返回x子节点中的一个序号;(2.8)令Y是访问结构树Γ中叶节点的集合,则明文M按如下公式进行加密:得到密文CT,其中att(y)表示当且仅当y是叶节点时,y所代表的属性;(3)通过密文策略属性基加密为每一位用户根据其提供的一系列属性生成私钥,并将私钥存放在可信的第三方;当其他用户想要访问该数据时,从第三方获取其私钥,根据私钥中隐含的属性是否符合密文中隐含的访问结构进行解密或不解密操作,具体包括以下子步骤:(3.1)选取r∈Zp;(3.2)为每个属性j∈S选取一个随机数rj∈Zp,生成私钥SK,公式如下:其中S代表所对应的...
【专利技术属性】
技术研发人员:周天舒,李泽南,田雨,王昱,李劲松,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。