一种基于属性密文重加密的属性基云服务访问控制方法技术

本发明专利技术提供了一种基于属性密文重加密的属性基云服务访问控制方法，包括：用户属性分配中心根据用户申请云服务的用户信息为用户分配属性并加密存储，得到用户属性密文；云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，得到云服务属性密文；通过代理服务器对用户属性密文和云服务属性密文重加密，并通过可信第三方的秘钥对重加密的密文进行解密；验证中心读取解密后的用户属性密文与云服务属性密文，并根据权限树理论为用户分配访问云服务的权限，本发明专利技术可以确保用户属性与访问云服务所需的属性得到有效的保护，防止攻击者攻击与内部人员的操作导致的用户与云服务的属性数据泄露。

Attribute Cloud Service Access Control Method Based on Attribute Ciphertext Reencryption

The invention provides an attribute base cloud service access control method based on attribute ciphertext re-encryption, which includes: user attribute distribution center assigns attributes to users according to user information for cloud service application and encrypts storage to obtain user attribute ciphertext; cloud service attribute distribution center distributes attributes and encrypts storage for cloud service according to various information uploaded publicly by cloud service application. The cloud service attribute ciphertext is obtained; the user attribute ciphertext and cloud service attribute ciphertext are re-encrypted by proxy server, and the re-encrypted ciphertext is decrypted by secret key of trusted third party; the authentication center reads the decrypted user attribute ciphertext and cloud service attribute ciphertext, and assigns users access rights to cloud service according to the privilege tree theory, so the invention can ensure users. Attributes and attributes needed to access cloud services are effectively protected from attackers'attacks and operations of insiders, which lead to the disclosure of attributes data of users and cloud services.

【技术实现步骤摘要】
一种基于属性密文重加密的属性基云服务访问控制方法
本专利技术涉及云计算安全领域，尤其涉及一种基于属性密文重加密的属性基云服务访问控制方法。
技术介绍
随着网络技术的发展，云计算技术也受到越来越广泛的应用，云计算技术能够为用户提供各类不同的云服务，使用户在轻量级的工作环境中完成各类不同的工作需求。面对各类不同的云服务，不同的用户拥有的访问权限也各不相同。为了防止不同的用户对云服务的访问因权限管理混乱而出现非法访问，需要一种对访问权限进行有效控制的方法。近年来基于属性的访问控制成为一种高效、可靠的管理方法，目前，已经有一些系统成功应用此技术对系统各项服务的访问权限进行管理。可现有的一些基于属性的访问控制方法还存在一些缺陷，主要包括：第一，没有对用户的属性与访问云服务所需的属性进行足够的保护，使用户的属性信息与访问云服务所需的属性信息面临被外部攻击者偷取的风险；此外，由于内部人员有意或无意的操作，这些属性信息也可能会被泄露。第二，没有对用户的属性信息与访问云服务所需的属性信息进行有效存储，数据的可靠性低。由于上述问题的存在，非法的用户可能会访问到一些敏感的云服务，进而使系统的安全受到威胁，并对用户的隐私造成破坏。如果攻击者对非法的用户赋予了访问敏感云服务的权限，那么系统的安全性也会受到威胁。因此需要对用户访问云服务的权限分配流程进行可靠有效的管理。
技术实现思路
本专利技术提供了一种基于属性密文重加密的属性基云服务访问控制方法，目的是提供一种基于属性密文重加密的属性基云服务访问控制方法，使用户在申请云服务前先对其所有的属性进行重加密，以及在云服务公开之前对访问云服务所需的属性进行重加密，并在解密后利用权限树进行权限分配。本专利技术的又一目的是，提供一种基于属性密文重加密的属性基云服务访问控制方法，使用户属性与访问云服务所需的属性在不同秘钥下进行加密存储。本专利技术的再一目的是，提供一种基于属性密文重加密的属性基云服务访问控制方法，使云服务访问权限的分配流程被可信第三方监控，提高权限分配的可靠性。为了实现上述目的，本专利技术采取了如下技术方案。本专利技术提供了一种基于属性密文重加密的属性基云服务访问控制方法，包括：用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，得到用户属性密文；云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，得到云服务属性密文；通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方的秘钥对所述的重加密的密文进行解密；验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限。进一步地，该方法还包括：用户向用户申请授权中心申请云服务，并录入用户信息，用户申请授权中心接收到所述用户信息后将所述用户信息发送至用户属性分配中心并产生用户的唯一身份识别标识，系统将所述用户的唯一身份识别标识发送至秘钥管理中心；云服务向云服务公开授权中心申请公开云服务，并上传云服务的各项信息；云服务公开授权中心接收到所述信息后将所述信息发送至云服务属性分配中，并产生云服务的唯一身份识别标识，系统将所述的云服务唯一身份识别标识发送至秘钥管理中心。进一步地，用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，包括：云用户属性分配中心接收到由用户申请授权中心传来的用户信息，为用户分配对应的用户属性，同时，秘钥管理中心产生用户公共参数，以及用户主密钥，所述的用户主密钥为用户私有；秘钥管理中心基于所述用户的唯一身份识别标识、所述的用户主密钥、以及所述的用户公共参数，经过计算得到用户私钥；根据所述的用户私钥和所述用户的唯一身份识别标识，秘钥管理中心将用户属性进行加密，得到用户属性密文，并将用户属性密文存储于用户属性表中。进一步地，云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，包括：云服务属性分配中心接收到由云服务公开授权中心传来的云服务信息，为云服务分配对应的云服务属性，秘钥管理中心产生云服务公共参数，以及云服务主密钥，所述的云服务主密钥为云服务私有；秘钥管理中心基于所述的云服务唯一身份识别标识、所述的云服务主密钥、以及所述的云服务公共参数，经过计算得到云服务私钥；根据所述的云服务私钥和所述的云服务唯一身份识别标识，秘钥管理中心将访问云服务所需属性进行加密，得到云服务属性密文，并将所述的云服务属性密文存储于云服务属性表中。进一步地，通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方秘钥对重加密的密文进行解密，包括：代理服务器读取所述用户属性表中的用户属性密文，以及云服务属性表中的云服务属性密文；代理服务器根据所述的用户唯一身份识别标识和云服务唯一身份识别标识，产生重加密秘钥；使用所述的重加密秘钥将用户属性表中的属性密文进行重加密，得到用户属性重加密密文；使用重加密秘钥将云服务属性表中的属性密文进行重加密，得到云服务属性重加密密文；通过可信第三方的秘钥将所述的用户属性重加密密文和云服务属性重加密密文进行解密，得到所述的用户属性与所述的云服务属性。进一步地，验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限，包括：验证中心读取解密后得到的用户属性与云服务属性，并根据所述的云服务属性，构造权限树，将用户属性与权限树进行对比，若用户属性满足权限树要求，则验证中心为用户分配访问所述权限树对应的云服务的权限；否则，禁止用户访问所述云服务。由上述本专利技术的基于属性密文重加密的属性基云服务访问控制方法提供的技术方案可以看出，本专利技术的有益效果为：(1)本专利技术提供的控制方法使用户在申请云服务前先对其所有的属性进行重加密，以及在云服务公开之前对访问云服务所需的属性进行重加密，并在解密后利用权限树进行权限分配，优化了用户在申请云服务时的权限分配流程；(2)实施了本专利技术的方法，可以确保用户属性与访问云服务所需的属性得到有效的保护，防止攻击者攻击与内部人员的操作导致的用户与云服务的属性数据泄露；(3)实施了本专利技术的方法，可以确保对用户的访问权限进行可靠的分配，避免出现权限的非法分配。本专利技术附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本专利技术的实践了解到。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例的基于属性密文重加密的属性基云服务访问控制方法的原理示意图；图2为本专利技术实施例的基于属性密文重加密的属性基云服务访问控制的方法流程图。具体实施方式下面详细描述本专利技术的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本专利技术，而不能解释为对本专利技术的限制。本
技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本专利技术的说明书中本文档来自技高网...

【技术保护点】
1.一种基于属性密文重加密的属性基云服务访问控制方法，其特征在于，包括：用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，得到用户属性密文；云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，得到云服务属性密文；通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方的秘钥对所述的重加密的密文进行解密；验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限。

【技术特征摘要】
1.一种基于属性密文重加密的属性基云服务访问控制方法，其特征在于，包括：用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，得到用户属性密文；云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，得到云服务属性密文；通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方的秘钥对所述的重加密的密文进行解密；验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限。2.根据权利要求1所述的方法，其特征在于，所述的方法还包括：用户向用户申请授权中心申请云服务，并录入用户信息，用户申请授权中心接收到所述用户信息后将所述用户信息发送至用户属性分配中心并产生用户的唯一身份识别标识，系统将所述用户的唯一身份识别标识发送至秘钥管理中心；云服务向云服务公开授权中心申请公开云服务，并上传云服务的各项信息；云服务公开授权中心接收到所述信息后将所述信息发送至云服务属性分配中，并产生云服务的唯一身份识别标识，系统将所述的云服务唯一身份识别标识发送至秘钥管理中心。3.根据权利要求2所述的方法，其特征在于，所述的用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，包括：云用户属性分配中心接收到由用户申请授权中心传来的用户信息，为用户分配对应的用户属性，同时，秘钥管理中心产生用户公共参数，以及用户主密钥，所述的用户主密钥为用户私有；秘钥管理中心基于所述用户的唯一身份识别标识、所述的用户主密钥、以及所述的用户公共参数，经过计算得到用户私钥；根据所述的用户私钥和所述用户的唯一身份识别标识，秘钥管理中心将用户属性进行加密，得到用户属性密文，并将用户属性密文存储于用户属性表中。4.根据权利要求2所述的方法...

【专利技术属性】
技术研发人员：曾剑隽，李胜钊，宋艳利，
申请(专利权)人：北京九州云腾科技有限公司，
类型：发明
国别省市：北京,11