一种云计算环境下的密文数据共享系统技术方案

本发明专利技术提出了一种云计算环境下的密文数据共享系统，用于解决现有密文数据共享系统中存在的属性撤销代价大和用户数据共享效率低的技术问题，包括授权模块、数据拥有者模块、用户模块和云服务提供商模块，其中授权模块，包括多个属性权威模块，各属性权威模块之间采用层级或并列关系；数据拥有者模块，包括构建XACML访问策略模块，用于生成策略文件；用户模块，包括私钥解密模块和CP‑ABE解密模块，私钥解密模块，用于私有域用户的AES密钥密文数据解密，CP‑ABE解密模块，用于公有域用户AES密钥密文数据的解密。本发明专利技术可用于云计算环境下，数据交换领域的信息共享。

A ciphertext data sharing system in cloud computing environment

The invention provides a ciphertext data sharing system in cloud computing environment, to solve the existing ciphertext attribute exists in the data sharing system cost and revocation of the technical problem of low efficiency of user data sharing, including authorization module, data owner module, user module and cloud service provider module, the authorization module, including a plurality of attribute authority module, each module uses attribute authority level or parallel relationship; the data owner module, including the construction of the XACML access policy module for generating strategy documents; the user module, including private key module and CP ABE decryption module, the module for the AES private key to decrypt the encrypted data decryption key, private domain users, CP ABE decryption module used to decrypt the public domain user AES key encrypted data. The invention can be used for information sharing in the field of data exchange in the cloud computing environment.

【技术实现步骤摘要】
一种云计算环境下的密文数据共享系统
本专利技术属于网络与信息安全
，实现了一种云计算环境下的密文数据共享系统，可用于云计算环境下数据交换领域的信息共享。
技术介绍
随着互联网技术的飞速发展，用户开始参与信息的制造和编辑，使得用户个人数据量成指数增长，导致数据存储和管理的开销逐渐增加，当个人PC不足以支撑用户的业务要求时，云计算技术随之产生，云计算本身的逐步演化是继承了此前的网格计算、效用计算、软件即服务的一些研究成果而逐步发展而来。云计算是一种基于网络的计算模式，其核心是可以为用户提供可伸缩的虚拟化服务，它改变了传统信息产业的运作方式，用户不再需要将软件安装在个人电脑上，通过互联网就可以使用软件提供的服务，使得传统的软件提供商逐渐转变为云服务提供商。云计算处于快速发展阶段，通过为用户提供各种服务，可以用来解决大规模数据的存储和计算问题，成为各大厂商纷纷追逐的对象，比如亚马逊的AWS提供了一套商业成熟的弹性云服务，用户只需关注自己的业务需求，按需定制，而无需关心设备的购买与维护，大大降低了企业开发成本；谷歌的AppEngine为程序员打造了一个无限的虚拟运行环境，使程序员无需担心系统因业务规模的扩大而需频繁重构的问题；此外还有微软的Azure、Facebook、国内的阿里云等等，都在各自的领域内发挥着重要的作用。由于其随时随地存取、大容量、按需服务以及低成本等优势，存储在云端的数据呈指数上涨趋势。云端自身的安全性以及可信度问题，成为制约云计算技术进一步发展的主要瓶颈。传统的解决方法是利用密码学技术将数据在终端加密，再将加密后的数据存储在云端。这种方法在一定程度上增强了数据云端存储的安全性，但是却引入了云端密文数据安全共享困难的问题，即如何将这些密文信息安全的分享给授权用户，同时避免未授权用户的非法访问。基于密文属性策略(Ciphertext-PolicyAttribute-BasedEncryption，CP-ABE)的方法是解决云计算环境下的密文数据安全共享的主要技术之一，特别是在规模庞大且用户身份未知的情形下尤为适用，但对于数据拥有者的亲人、朋友等这类身份明确且数量有限的用户群而言，该技术在性能上并不具备优势，因此有必要针对这部分用户进行单独处理。同时基于CP-ABE构造的密文数据共享系统涉及属性撤销问题，而该问题在很大程度上对整个系统的性能会造成影响。
技术实现思路
本专利技术的目的在于克服上述现有技术存在的缺陷，提出了一种云计算环境下的密文数据共享系统，用于解决现有密文数据共享系统中存在的属性撤销代价大和用户数据共享效率低的技术问题。为实现上述目的，本专利技术采取的技术方案为：一种云计算环境下的密文数据共享系统，该系统包括授权模块、数据拥有者模块、用户模块和云服务提供商模块，所述授权模块，用于对数据拥有者模块、用户模块进行授权；所述数据拥有者模块，用于对待共享的数据进行加密并上传；所述用户模块，用于向授权模块申请授权，并向云服务提供商模块申请访问数据；所述云服务提供商模块，用于为数据拥有者模块和用户模块提供存储和计算服务，所述授权模块，包括多个属性权威模块，各属性权威模块之间采用层级或并列关系；所述数据拥有者模块，包括构建XACML访问策略模块，用于生成策略文件；所述用户模块，包括私钥解密模块和CP-ABE解密模块，其中，私钥解密模块，用于私有域用户的AES密钥密文数据解密，CP-ABE解密模块，用于公有域用户AES密钥密文数据的解密。上述的一种云计算环境下的密文数据共享系统，所述授权模块，还包括认证权威模块，用于产生系统公钥和系统主私钥。上述的一种云计算环境下的密文数据共享系统，所述属性权威模块，包括初始化模块、公私钥生成模块和属性授权模块，其中：初始化模块，用于对公私钥生成模块和属性授权模块进行初始化；公私钥生成模块，用于生成公私钥；属性授权模块，用于生成属性相关的密钥。上述的一种云计算环境下的密文数据共享系统，所述数据拥有者模块，还包括AES对称加密模块、CP-ABE加密模块、公钥加密模块和数据上传模块，其中：AES对称加密模块，用于对数据拥有者模块所共享的数据明文进行加密；CP-ABE加密模块，用于对公有域用户使用的AES密钥进行加密；公钥加密模块，用于对私有域用户使用的AES密钥进行加密；数据上传模块，用于将AES对称加密模块、CP-ABE加密模块和公钥加密模块生成的数据组合上传到云服务提供商模块。上述的一种云计算环境下的密文数据共享系统，所述云服务提供商模块，包括策略执行模块、上下文处理器模块、策略决策模块、策略管理库模块、策略信息模块、管理属性库模块、云存储模块、代理重加密模块和数据下载模块，其中：策略执行模块，用于执行策略决策模块返回的响应；上下文处理器模块，用于将XACML格式的请求/响应和非XACML格式的请求/响应的相互转换，并将此消息发送到策略决策模块；策略决策模块，用于从策略管理库模块中选取对应的策略，并根据策略作出相应的决策响应，并将此响应消息发送到上下文处理器模块；策略管理库模块，采用MySql数据库服务器，对系统中的XACML策略进行管理；策略信息模块，用于管理对应的主体、资源和环境的属性信息；管理属性库模块，用于管理用户属性集；云存储模块，采用OpenStackSwift开源云存储，对数据拥有者上传到云服务提供商的所有数据进行存储；代理重加密模块，用于将私有域用户访问的数据密文进行重加密处理；数据下载模块，用于将用户所访问的所有数据下载到用户的客户端。上述的一种云计算环境下的密文数据共享系统，所述用户模块，还包括AES解密模块，用于数据拥有者模块上传的数据密文的解密处理。本专利技术与现有技术相比，具有如下优点：1)本专利技术由于在用户模块中对用户群进行了分域处理，增加了私钥解密模块和CP-ABE解密模块，其中，私钥解密模块用于私有域用户的解密操作，CP-ABE解密模块用于公有域用户的解密操作，使得本专利技术对不同的用户群更有针对性，提高了数据共享的效率。2)本专利技术由于在授权模块中增加多个属性权威模块，各属性权威模块之间采用层级或并列关系，并且分别管理一部分用户，当用户规模增大时，不会造成单授权模型的系统瓶颈问题，使得系统整体的可扩展性得到增强，更好的适应了云计算的环境要求。3)本专利技术由于在数据拥有者模块中增加构建XACML访问策略模块，用于生成策略文件，数据拥有者通过选择将一些经常需要更新的属性(比如“时间”属性)，定义在XACML策略文件中，而不是定义在CP-ABE的访问控制结构中，当这些属性需要撤销时，数据拥有者可以简单的更新XACML访问控制文件，而避免撤销CP-ABE属性所需的一系列操作，可以有效的降低数据拥有者撤销这些属性所需的代价，从而提高了系统性能。附图说明图1是本专利技术的整体结构示意图；图2是本专利技术的授权模块的结构示意图；图3是本专利技术的数据拥有者模块的结构示意图；图4是本专利技术的云服务提供商模块的结构示意图；图5是本专利技术的用户模块的结构示意图。具体实施方式以下参照附图和实施例，对本专利技术作进一步详细说明：参照图1，本专利技术包括授权模块、数据拥有者模块、用户模块和云服务提供商模块，其中，授权模块的结构示意图如图2所示，授权模块与数据拥有者模块和用户模块相互通信；数本文档来自技高网...

【技术保护点】
一种云计算环境下的密文数据共享系统，包括授权模块、数据拥有者模块、用户模块和云服务提供商模块，所述授权模块，用于对数据拥有者模块、用户模块进行授权；所述数据拥有者模块，用于对待共享的数据进行加密并上传；所述用户模块，用于向授权模块申请授权，并向云服务提供商模块申请访问数据；所述云服务提供商模块，用于为数据拥有者模块和用户模块提供存储和计算服务，其特征在于，所述授权模块，包括多个属性权威模块，各属性权威模块之间采用层级或并列关系；所述数据拥有者模块，包括构建XACML访问策略模块，用于生成策略文件；所述用户模块，包括私钥解密模块和CP‑ABE解密模块，其中，私钥解密模块，用于私有域用户的AES密钥密文数据解密，CP‑ABE解密模块，用于公有域用户AES密钥密文数据的解密。

【技术特征摘要】
1.一种云计算环境下的密文数据共享系统，包括授权模块、数据拥有者模块、用户模块和云服务提供商模块，所述授权模块，用于对数据拥有者模块、用户模块进行授权；所述数据拥有者模块，用于对待共享的数据进行加密并上传；所述用户模块，用于向授权模块申请授权，并向云服务提供商模块申请访问数据；所述云服务提供商模块，用于为数据拥有者模块和用户模块提供存储和计算服务，其特征在于，所述授权模块，包括多个属性权威模块，各属性权威模块之间采用层级或并列关系；所述数据拥有者模块，包括构建XACML访问策略模块，用于生成策略文件；所述用户模块，包括私钥解密模块和CP-ABE解密模块，其中，私钥解密模块，用于私有域用户的AES密钥密文数据解密，CP-ABE解密模块，用于公有域用户AES密钥密文数据的解密。2.根据权利要求1所述的一种云计算环境下的密文数据共享系统，其特征在于，所述授权模块，还包括认证权威模块，用于产生系统公钥和系统主私钥。3.根据权利要求1所述的一种云计算环境下的密文数据共享系统，其特征在于，所述属性权威模块，包括初始化模块、公私钥生成模块和属性授权模块，其中：初始化模块，用于对公私钥生成模块和属性授权模块进行初始化；公私钥生成模块，用于生成公私钥；属性授权模块，用于生成属性相关的密钥。4.根据权利要求1所述的一种云计算环境下的密文数据共享系统，其特征在于，所述数据拥有者模块，还包括AES对称加密模块、CP-ABE加密模块、公钥加密模块和数据上传模块，其中：AES对称加密模块，用于对数据拥有者模块所共享的数据明文...

【专利技术属性】
技术研发人员：马卓，任恒剑，马建峰，张梦，王亚男，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61