[发明专利]一种实现安全云计算的方法和系统

说明书

技术领域

本发明涉及云计算技术，特别涉及一种实现安全云计算的方法和系统。

背景技术

云计算具有超大规模、虚拟化、可靠安全等独特功效。对于网络运营商而言，可以使得运营成本和操作维护成本大大下降，达到节能减排的目的。在云计算环境下，一切资源都是可以运营的，都可以作为服务提供，包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。

其中，PaaS平台作为高度开放，多应用的一个云计算平台，上面集成了大量的应用系统，被亿万用户所使用，所以必须具有高度的安全和稳定性来做支撑。PaaS平台运营商目前尚无法向最终用户保证用户的敏感数据不会丢失和外泄。在这种情况下，一些用户担心他们的重要数据会被恶意出卖以获取非法利益。已有技术在网络通信和客户端方面进行安全防护以防止数据外泄。然而，如果PaaS服务器端的数据库被恶意窃取，影响将会更为严重。

因此，针对相关技术中所存在的上述问题，目前尚未提出有效的解决方案。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种实现安全云计算的方法，用于根据客户端用户属性来控制用户对PaaS平台的访问，包括：

步骤一，客户端配置用户属性；

步骤二，生成权限控制树，控制用户角色的权限；

步骤三，用户登录PaaS平台服务器，将客户端的用户属性和权限控制树提交给PaaS平台服务器；

步骤四，当用户请求访问PaaS平台服务器时，服务器验证用户身份，根据验证结果控制用户对PaaS平台服务器的访问。

优选地，所述用户属性由客户端配置和存储，用户不能随意更改用户属性；

一个平台可拥有多个用户，每个用户可以有多个角色，每个角色对应一个属性集，平台内部维护用于记录用户与角色以及角色与属性集的对应关系的表格；

用户以特定的角色登录PaaS平台并传入属性集后，PaaS服务根据用户所属平台访问特定平台数据，并根据用户属性生成的私钥，在该平台数据中确定访问权限。

优选地，所述权限控制树用于对用户数据的加密，并在解密时判断解密者是否有权解密，平台内每个角色具有不同的权限控制树，当以不同角色登录的平台用户在存储PaaS服务器的数据时，将采用相应的权限控制树对数据进行加密；

若角色r具有权限控制树T，而r’拥有属性集S’，只有当S’满足权限控制树T时，角色r’才能访问r保存的数据，用户的权限控制树存储在客户端，用户不能随意更改，由平台管理者配置和管理。

权限控制树在用户登录之后发送给PaaS服务器，PaaS服务器根据用户的平台属性组建完整的权限控制树，在加密过程中将用权限控制树进行加密，防止密文被其他平台具有相同属性的用户解密。

优选地，所述步骤四进一步包括，在PaaS服务器验证用户身份之后，生成公共参数以及主私钥。

优选地，所述公共参数和主私钥通过以下过程来生成：

生成双线性参数g，G₀，G₁，e，Z_p，其中G₀和G₁是两个阶为大素数p的乘法循环群，g为群G₀的生成元，e:G₀×G₀→G₁是一个可有效计算的双线性映射,Z_p是对p取模得到的集合，包含所有小于p且与p互素的正整数；对于所有用户属性生成一个属性集合U＝{a₁,a₂,…a_n}，对每一个属性a_i(i∈n)，随机选择t_i∈Z_p；然后随机选择α∈Z_p，并在Z_p中随机选择u₁,…,u_2m，对每一个i∈{1,…,2m}，设定U_i＝g^ui；生成公开参数PK：

g,T1＝g^t1,…Tn＝g^tn，Y＝e(g,g)^α,U₁,…,U_2m

生成主密钥MK：α,t_i(1≤i≤n),u_i(1≤i≤2m)；

优选地，所述服务器验证用户身份，进一步包括，