本发明专利技术公开了一种基于属性加密的云存储数字图书馆的访问控制系统及其访问控制方法,其中,访问控制系统包括五个实体:权威中心、密钥分发中心、云服务器、上传中心、访问用户;访问控制方法包括以下步骤:系统初始化、上传中心加密、访问数字图书馆。本发明专利技术的有益之处在于:(一)在访问控制系统中,由上传中心将图书数据按照图书对应的属性集合分门别类的上传,所以本发明专利技术的系统实现了数据的整合,有效解决了数字资源的重复建设和共享度差的问题;(二)在访问控制方法中,由于引入了基于属性加密技术,一方面保证了数据存储的安全性;另一方面实现了对用户的访问控制,所以本发明专利技术的方法实现了对用户的安全认证及细粒度访问控制。
【技术实现步骤摘要】
本专利技术涉及一种数字图书馆的访问控制系统及其访问控制方法,具体涉及一种基 于属性加密的云存储数字图书馆的访问控制系统及其访问控制方法,属于云存储数字图书 馆建设领域。
技术介绍
数字图书馆目前存在的问题主要涉及两方面,一是云存储数字图书馆的数据安全 性,二是数字图书馆的建设中数字资源的重复建设、数字资源共享度差的问题。 随着云计算产业的兴起,计算服务成为一种趋势,用户可以通过租赁的方式使用 这种服务,节省了在硬件设备上的购买维护投资。除此之外,云计算反应迅速,还具有较高 的弹性和容错恢复机制。尤其是云计算产业得到政府部门的大力支持,更是吸引越来越多 的企业将数据托管到云平台上。因此将数字图书馆托管到云上,是大势所趋。与其他托管企 业一样,对数字图书馆来说,数据就是生命,在脱离控制的云平台上,数据的安全性成为我 们考虑的核心问题。 2010年王知津、于晓燕在"网格环境下数字图书馆的访问控制研究"一文中对数字 图书馆中的四种访问方案--自主访问控制策略、强制访问控制策略、基于角色的访问控制 策略、基于任务的访问控制策略进行了介绍。但是,传统的数字图书馆其图书数据一般是以 明文的形式存储在私有的服务器上,前面提到的四种传统的访问控制策略针对的是传统的 数字图书馆,并且为了保证云端图书数据的安全性,我们一般要求云端存储的数据是经过 加密的,所以前面提到的四种传统的访问控制策略并不适合做大规模云端存储的数字图书 馆的访问控制。 另外,数字图书馆的建设已经各成体系,每一个数字图书馆都建立有自己的访问 控制体系,并各自定义了系统中的各个角色级别等,进而造成了数字图书馆共享度差的问 题,比如国内我们熟知的知网、万方等,由于版权或其他因素,两者的数据库不尽相同,即出 现知网上有的一些数据,万方上可能没有的情况,如果想要查看完备的信息,就需要同时注 册两个数字图书馆,这给用户带来极大的不便。
技术实现思路
为解决现有技术的不足,本专利技术的目的在于提供一种基于属性加密的云存储数字 图书馆的访问控制系统及其访问控制方法,其中,该访问控制系统能够有效解决数字资源 的重复建设和共享度差的问题,该访问控制方法能够实现对用户的安全认证及细粒度访问 控制。 为了实现上述目标,本专利技术采用如下的技术方案: -种基于属性加密的云存储数字图书馆的访问控制系统,其特征在于,包括五个 实体:权威中心、密钥分发中心、云服务器、上传中心、访问用户,其中, 权威中心:表不为CA,与密钥分发中心、云服务器、上传中心和访问用户相连,负责 确定整个系统中全部的属性,管理密钥分发中心的管理权限并为其颁发公私钥,为系统中 的每个访问用户颁发证书; 密钥分发中心:表不为AA= {AAi,AA2,.....,AAn},与权威中心、云服务器和访问用 户相连,接受访问用户的注册并为其颁发私钥,同时负责访问用户属性的注销; 云服务器:表示为CSP,与权威中心、密钥分发中心、上传中心和访问用户相连,用 于存储权威中心、密钥分发中心、上传中心和访问用户的数据,并在访问用户发出数据请求 时对密文半解密; 上传中心:表示为D0={D(h,D02,. . .,D0m,},与权威中心和云服务器相连,负责将 数字图书加密后按照图书对应的属性集合分门别类的上传至云服务器; 访问用户:向云服务器发出数据访问请求,这里的访问用户包括非法用户和合法 用户。 前述的访问控制系统,其特征在于,前述密钥分发中心有若干个,不同的地区设置 有不同的密钥分发中心。 -种基于前述的访问控制系统实现的访问控制方法,其特征在于,包括以下步骤: -、系统初始化: Stepl:权威中心CA初始化; Step2:密钥分发中心AA向权威中心CA注册; Step3:访问用户向权威中心CA注册; Step4:上传中心D0向权威中心CA注册; Step5:密钥分发中心AA初始化; Step6:访问用户向密钥分发中心AA注册; Step7:访问用户向云服务器注册; 二、上传中心D0加密: Stepl:根据中国图书分类法,上传中心D0」为每一类书籍确定一个按类别划分的 属性集合丫:,密级属性level,以及其他可扩展属性other,最后得到该类书籍对应的属性 集合 y = y 1 U level U other; Step2:上传中心D0j为该类书籍定义一个对称加密密钥k,将此类书籍数据m全部 用对称密钥k加密,得到M = Ek(m),其中,E代表一种安全的对称加密算法,Μ是加密后的密 文,k是加密后用到的密钥; Step3:上传中心D0j对该类书籍的对称加密密钥k用属性集合γ进行属性加密,选 取Vys./ e.z#,.计算c = k · e(g,g)sy、= g.".vg.; C*,:= ;κ). Step4:上传中心D0j生成的密文记为CT,计算CT = C,; Step5:密文CT经签名后得到,将CT|| 5XWb(//(CT))上传至云服务 器 CSP; Step6:云服务器CSP验证上传中心D0j签名,如果上传中心D0j在权威中心CA的上传 授权集合里面,则接收密文CT,否则拒绝; 三、访问数字图书馆 Stepl:访问用户根据自己的用户名密码登陆云服务器; Step2:访问用户进行图书数据下载时,云服务器CSP根据访问用户的ID找到密钥 分发中心ΑΑκ的用户解密密钥图UDKG,得到用户的解密密钥UDKID,云服务器CSP首先验证解 密密钥UDKm中的是否有效,若无效,则直接拒绝响应; S t e p 3 :云服务器C S P根据书籍的编号i d f找到对应的图书 ,如果图书的属性不满足用户解密密钥UDKid中的访问控制策略, 则返回丄,否则继续; Step4:云服务器CSP根据用户解密密钥UDKID,找到ΑΑκ的陷门公开信息TDGk及其所 对应的令牌链TCSk通过云服务器CSP进行令牌解密; Step5:云服务器CSP半解密; Step6:访问用户解密。前述的访问控制方法,其特征在于,在步骤二中,当上传中心DOj需要被撤销上传 权限时,我们引入上传中心D0」上传权限撤销机制,具体的撤销过程如下: (1)权威中心CA接收到访问用户举报,某一上传中心D0」上传了其没有授权的数 据; (2)权威中;L、CA备案给予该上传中;L、D0j警告及处iij; (3)当对该上传中心DOj警告无效后,权威中心CA将上传中心DOj从其上传授权集合 中删除,取消其上传资格。前述的访问控制方法,其特征在于,在步骤二中,当密钥分发中心ΑΑκ需要被撤销 管理权限时,我们引入密钥分发中心ΑΑκ管理权限撤销机制,具体的撤销过程如下: (1)权威中心CA输入密钥分发中心ΑΑκ待撤销的属性X,重新确定属性X对应的属性 群 Gx'; (2)权威中心CA重新确定最小覆盖密钥集,重新选取该属性对应的陷门TDX',用最 小覆盖密钥集里面的密钥对新陷门加密后得到新的陷门信息TDMX'; (3)将新的陷门信息TDMX'发送至Gx'对应的密钥分发中心,密钥分发中心利用该属 性对应的陷门私钥ΑΤκ,^新的陷门信息TDMX'加密得到。 前述的访问控制方法,其特征在于,在步骤二中,在对图书数据进行整合的过程 中,当原有的图书属性需要被作废时,我们对本文档来自技高网...
【技术保护点】
一种基于属性加密的云存储数字图书馆的访问控制系统,其特征在于,包括五个实体:权威中心、密钥分发中心、云服务器、上传中心、访问用户,其中,权威中心:表示为CA,与密钥分发中心、云服务器、上传中心和访问用户相连,负责确定整个系统中全部的属性,管理密钥分发中心的管理权限并为其颁发公私钥,为系统中的每个访问用户颁发证书;密钥分发中心:表示为AA={AA1,AA2,.....,AAn},与权威中心、云服务器和访问用户相连,接受访问用户的注册并为其颁发私钥,同时负责访问用户属性的注销;云服务器:表示为CSP,与权威中心、密钥分发中心、上传中心和访问用户相连,用于存储公开参量和图书数据,并在访问用户发出数据请求时对密文半解密;上传中心:表示为DO={DO1,DO2,...,DOm,},与权威中心和云服务器相连,负责将数字图书对称加密后,将对称密钥按照图书对应的属性集合进行属性加密,上传至云服务器;访问用户:向云服务器发出数据访问请求,这里的访问用户包括非法用户和合法用户。
【技术特征摘要】
【专利技术属性】
技术研发人员:高军涛,朱秀芹,吕留伟,罗伟,李雪莲,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。