一种云存储中的数据细粒度访问控制方法技术

本发明专利技术公开了一种云存储中的数据细粒度访问控制方法，包括：数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略，可信第三方根据属性密码机制生成公钥及主密钥，数据拥有者使用对称密码机制对文件块进行加密处理，使用属性密钥机制对对称密钥进行加密处理，并将文件块密文及密钥密文发送到云端，数据拥有者和可信第三方使用属性密码机制对用户进行授权，对用户的每一个属性，均生成一个属性密钥和一个经属性加密函数处理的属性，数据拥有者向可信第三方发送用户权限变更声明，可信第三方根据用户权限变更声明判断是为用户增加还是删除权限。本发明专利技术能在不增加额外开销的情况下实现比现有方法更细粒度的访问控制。

【技术实现步骤摘要】

本专利技术属于云存储和访问控制领域，更具体地，涉及。
技术介绍
在云存储环境下，要保护用户数据机密性和隐私性，需要保证数据只能由授权用户获取，非授权用户(包括授权用户以外的用户以及云存储服务提供商)不能获取数据，访问控制是实现这一目标的重要手段。云存储环境中的访问控制，与传统访问控制有较大区别。首先，在传统的访问控制中，用户往往是被系统所熟知的，系统能根据用户的身份设置访问权限。然而，在云存储环境中用户规模巨大，且用户集可能频繁变化。在访问请求发生之前，系统通常无法事先认知所有请求系统服务的用户，并对其分配相应权限。进一步地，在传统访问控制中，数据往往是存储在可信介质上，而在云存储环境下，数据存储在云服务提供商(Cloud serviceprovider，简称CSP)中，需要保护的数据与数据的拥有者并不是处于同一可信域内，而CSP出于商业利益，有可能窥探用户数据并加以利用，甚至泄露用户隐私数据。为解决云环境下的访问控制问题，国内外已有了一些研究。最基本的思路是采用密文访问控制方法(V.Kher and Y.Kim: Securing distributed storage: Challenges, techniques, and systems.2005:9-25),数据拥有者将数据加密后存储在云中，通过控制用户对密钥的获取权限来实现访问控制目标。但由于云存储环境下数据量和用户量都十分巨大，如何以较小的代价让授权用户获取密钥，是实现云环境下数据密文访问控制的重点研究内容。针对这一研究内容，Goyal等人提出了密钥策略的属性加密方案(Key-policy attribute-based encryption,简称 KP-ABE) (Goyal V, Pandey 0,SahaiA，et al.Attribute based encryption for fine-grained access control of encrypteddata[C].Proceedings of thel3th ACM Conference on Computer and CommunicationsSecurity (CCS，06).New York，NY，USA: ACM，2006:89-98)。Bethencourt 等人针对 Goyal的密钥策略的属性加密方案，提出了更接近于现实访问控制系统的密文策略的属性加密 方 案(ciphertext-policy attribute-based encryption,CP-ABE) (BethencourtJ，Sahai A，Waters B.Ciphertext-policy attribute-based encryption[C].Proceedingsof the 2007 IEEE Symposium on Security and Privacy,Oakland,California, USA, 2007.Washington, DC, USA:1EEE Computer Society，2007:321-334)。CP-ABE 将用户私钥关联到一个属性集，而将密文关联到一棵访问结构树，若属性集满足该访问结构树，则用户具有解密该数据的能力。由于CP-ABE算法的诸多优点，当前有很多学者对CP-ABE算法如何应用到密文访问控制中进行了研究。在以CP-ABE算法为基础的密文访问控制方案中，用户的权限撤销是一个很棘手的问题。Liang Xiaohui等人提出代理重加密方案(Attribute-based proxy re-encryption,简称ABPRE)，通过代理将密文从一种访问结构树加密变为另一种访问结构树加密，以达到权限撤销的目的。但该方案的撤销单位只能是属性集，即具有相同身份特征的一类用户，而不能单独撤销一个用户的属性(Liang Xiaohui, Cao Zhenfu, Lin Huang, et al.Attribute basedproxy re-encryption with delegating capabilities[C].Proceedings of the4thInternational Symposium on Information, Computer and Communications Security(ASIACCS2009).New York, NY, USA:ACM, 2009:276-286.XHong Cheng等利用 CP-ABE算法和公钥密码系统来实现密文访问控制。在该方案中，DO仍然要承受巨大的重加密代价(HongCheng, Zhang Min, Feng Denggu0.AB-ACCS: a cryptographic access control schemefor cloud storage[J].Journal of Computer Research and Development, 2010, 47(Suppl):259-265)。Pirretti M等提出在应用CP-ABE算法时，扩展一个用户属性，为该属性贴上一个终止时间(Pirretti M, Traynor P，McDaniel P，et al.Secureatrribute-based systems[C].Proceedings of thel3th ACM Conference on Computerand Communications Security (CCS，06).New York, NY, USA:ACM, 2006:99-112) 但是该方案的缺陷是，用户需要周期性地向认证中心申请私钥的再次使用；而且在终止时间之前，用户的权限是无法撤销的。综上所述，当前关于云存储中数据访问控制的研究，最多只是做到了文件级别的访问控制，且在使用CP-ABE的方案中，对用户的权限进行撤销会有较大开销。总之，目前并没有一种能在云存储中实现高效、精细、灵活的数据细粒度访问控制方案。
技术实现思路
针对现有技术的缺陷，本专利技术的目的在于提供，旨在不增加额外开销的情况下，实现比现有方法更细粒度的访问控制；其次，由于采用了云端访问控制和基于属性的访问控制相结合的机制，使得访问控制的开销更小，同时也更为灵活。为实现上述目的，本专利技术提供了，包括以下步骤:步骤1.数据拥有者 对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略，可信第三方根据属性密码机制生成公钥及主密钥，将公钥发送给数据拥有者，并将主密钥自己保留；步骤2.数据拥有者使用对称密码机制对文件块进行加密处理，使用属性密钥机制对对称密钥进行加密处理，并将文件块密文及密钥密文发送到云端；步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权，对用户的每一个属性，均生成一个属性密钥和一个经属性加密函数处理的属性；步骤4.数据拥有者向可信第三方发送用户权限变更声明，可信第三方根据用户权限变更声明判断是为用户增加还是删除权限，如果是为用户增加权限，则可信第三方向用户发放属性及属性密钥，如果是为用户删除属性，则可信第三方生成重加密密钥发送给云端，由云端更新外部访问控制策略及对称密钥本文档来自技高网...

【技术保护点】
一种云存储中的数据细粒度访问控制方法，其特征在于，包括以下步骤：步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略，可信第三方根据属性密码机制生成公钥及主密钥，将公钥发送给数据拥有者，并将主密钥自己保留；步骤2.数据拥有者使用对称密码机制对文件块进行加密处理，使用属性密钥机制对对称密钥进行加密处理，并将文件块密文及密钥密文发送到云端；步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权，对用户的每一个属性，均生成一个属性密钥和一个经属性加密函数处理的属性；步骤4.数据拥有者向可信第三方发送用户权限变更声明，可信第三方根据用户权限变更声明判断是为用户增加还是删除权限，如果是为用户增加权限，则可信第三方向用户发放属性及属性密钥，如果是为用户删除属性，则可信第三方生成重加密密钥发送给云端，由云端更新外部访问控制策略及对称密钥密文；步骤5.用户向云端发送文件访问请求，云端根据外部访问控制策略对其做初步访问控制，并将文件包发送给合法用户，用户根据属性密码机制解密对称密钥密文，以进一步解密文件块。

【技术特征摘要】
1.一种云存储中的数据细粒度访问控制方法，其特征在于，包括以下步骤: 步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略，可信第三方根据属性密码机制生成公钥及主密钥，将公钥发送给数据拥有者，并将主S钥自己保留； 步骤2.数据拥有者使用对称密码机制对文件块进行加密处理，使用属性密钥机制对对称密钥进行加密处理，并将文件块密文及密钥密文发送到云端； 步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权，对用户的每一个属性，均生成一个属性密钥和一个经属性加密函数处理的属性； 步骤4.数据拥有者向可信第三方发送用户权限变更声明，可信第三方根据用户权限变更声明判断是为用户增加还是删除权限，如果是为用户增加权限，则可信第三方向用户发放属性及属性密钥，如果是为用户删除属性，则可信第三方生成重加密密钥发送给云端，由云端更新外部访问控制策略及对称密钥密文； 步骤5.用户向云端 发送文件访问请求，云端根据外部访问控制策略对其做初步访问控制，并将文件包发送给合法用户，用户根据属性密码机制解密对称密钥密文，以进一步解密文件块。2.根据权利要求1所述的数据细粒度访问控制方法，其特征在于，步骤I具体包括以下子步骤: 1.1数据拥有者选择需要上传的文件，对文件进行分块，形成文件块，并根据系统中的属性制定文件块的访问控制策略； 1.2数据拥有者提取各个文件块的访问控制策略中的公共部分，将其作为外部访问控制策略，各文件块的访问控制策略中剩余的部分作为各个文件块的内部访问控制策略； 1.3数据拥有者向可信第三方发送公钥申请，公钥申请中包含数据拥有者的身份信息； 1.4可信第三方接收来自数据拥有者的公钥申请，并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK，且不同数据拥有者的公钥及主密钥互不相同； 1.5可信第三方将生成的公钥PK发送给数据拥有者； 1.6数据拥有者接收并保存公钥PK。3.根据权利要求1所述的数据细粒度访问控制方法，其特征在于，步骤2具体包括以下子步骤: 2.1数据拥有者根据文件块数目，利用对称密码机制随机生成对应数目的对称密钥，并利用对称密钥对数据块进行加密生成密文，每个数据块的加密密钥不同； 2.2数据拥有者将公钥PK、数据块的内部访问控制策略及对称密钥作为输入、采用属性密码机制对对称密钥进行加密，以生成对称密钥密文； 2.3数据拥有者对外部访问控制策略中的属性进行属性加密函数处理； 2.4数据拥有者将步骤(2.1)中生成的数据块密文、步骤(2.2)中生成的对应的对称密钥密文、步骤(2.3)中生成的经属性加密函数处理后的外部访问控制策略作为一个数据包，整体上传至云端； 2.5云端接收并存储来自数据拥有者的数据包。4.根据权利要求1所述的数据细粒度访问控制方法，其特征在于，步骤3具体包括以下子步骤: . 3.1判断登录进入系统的用户是否是首次登录用户，如果该用户是首次登录用户，转步骤(3.2);如果该用户不是首次登录用户，转步骤(3.8)； .3.2用户向数据拥有者发送授权申请； . 3.3数据拥有者接收用户授权申请，根据用户授权申请为用户指定属性，根据指定的属性生成用户授权声明，并将用户授权声明发送至可信第三方； . 3.4可信第三方接收用户授权申请，在用户属性信息表中加入用户的属性信息，将步骤(1.3)中生成的主密钥、用户的属性作为输入，采用属性密码机制为用户生成属性密钥； . 3.5可信第三方将用户的属性使用属性加密函数处理； .3.6可信第三方将步骤(3.4)中生成的属性密钥及步骤(3.5)中经属性加密函数处理后的属性发送给用户； . 3.7用户接收并保存属性密钥及加密后的属性； . 3.8用户向可信第三方发送权限更新申请； . 3.9可信第三方根据权限更新申请检查该用户是否有需要更新的属性，如果有需要更新的属性，转步骤(3.10)，否则转步骤(3.12)； . 3....

【专利技术属性】
技术研发人员：李瑞轩，沈成林，何亨，辜希武，李玉华，韩洪木，叶威，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：