[发明专利]一种基于表格属性的云存储密文访问控制系统和方法

说明书

技术领域

本发明属于云存储服务技术领域，尤其涉及一种基于表格属性的云存储密文访问控制系统。

背景技术

在云存储服务平台中，由于采用数据远程托管技术，云存储服务提供商是数据的物理拥有者，却与数据属主并不在同一个信任域中。云存储服务提供商管理着多个用户及其资源，当用户跨边界访问其它用户资源时，需要采用一定的访问控制策略来控制对数据和服务的访问。但实际中，由于云存储服务平台是采用虚拟化存储技术，云存储服务同底层硬件环境之间是松耦合的，不同用户的数据间缺乏固定不变的安全边界，由此增加了在云存储服务平台对数据实施访问控制的难度。

现有技术中，基于属性的加密(Attribute-based Encryption，ABE)方案以属性描述用户身份，用户私钥和密文分别与一组属性相关，当用户私钥属性与密文属性相互匹配度达到设定门限值时，用户才能成功解密密文。

但ABE方案仅能支持门限访问控制策略，为了表达更灵活的访问控制策略，基于密文策略的属性加密(Cipher Policy Attribute-based Encryption，CP-ABE)方案被提出。在CP-ABE方案中，密文与访问策略相关，用户私钥与属性集合相关，当且仅当用户私钥的属性满足密文的访问策略时，用户才能成功解密密文。CP-ABE方案极大地降低了数据共享细粒度访问控制带来的网络带宽和结点计算的开销，是最适合于云存储平台的密文访问控制技术之一。

对于采用CP-ABE方案的云存储平台，考虑企业应用场景，属性与访问策略需要通过表格部署。但由于属性集合较为庞大，访问结构十分复杂，CP-ABE 方案在云存储平台中的执行效率很低。

发明内容

本发明的目的在于提供一种基于表格属性的云存储密文访问控制系统，旨在解决现有采用CP-ABE方案的云存储平台通过表格部署属性与访问策略，由于属性集合庞大、访问结构复杂，使得CP-ABE方案执行效率低的问题。

本发明是这样实现的，一种基于表格属性的云存储密文访问控制系统，所述系统包括：

由认证中心运行的管理端，用于生成并向每一合法用户分发用户私钥，所述用户私钥与对应用户的属性相关联；

由用户运行的客户端，用于在上传数据到云端时，对需上传的数据选取会话密钥并进行加密，之后根据访问结构树上每一叶子节点对应的父节点的阈值是否为1、来对各叶子节点进行分类，并进一步根据父节点类型的不同、对父节点的阈值为1的叶子节点的集合进行分类，之后根据分类结果对所述会话密钥加密以得到会话密钥密文，之后将所述会话密钥密文和加密后的数据上传到云端，还用于在从云端下载数据时，从云端下载会话密钥密文和对应的共享数据，并当与自身用户私钥相关联的属性满足访问结构树时，由会话密钥密文解密得到会话密钥，之后利用解密得到的所述会话密钥解密所述对应的共享数据。

本发明的另一目的在于提供一种如上所述的基于表格属性的云存储密文访问控制系统的访问控制方法，所述方法包括：

认证中心运行管理端，生成系统公钥与主私钥，将所述系统公钥上传至云端；

认证中心运行管理端，根据用户发出的系统加入请求，认证用户是否为合法用户，并当用户为合法用户时，计算用户的用户私钥，并分发给用户；

数据属主运行客户端，对需上传的数据选取会话密钥并进行加密，之后根据访问结构树上每一叶子节点对应的父节点的阈值是否为1、来对各叶子节点 进行分类，并进一步根据父节点类型的不同、对父节点的阈值为1的叶子节点的集合进行分类，之后根据分类结果对所述会话密钥加密以得到会话密钥密文，之后将所述会话密钥密文和加密后的数据上传到云端；

共享用户运行客户端，从云端下载会话密钥密文和对应的共享数据，并当与自身用户私钥相关联的属性满足访问结构树时，由会话密钥密文解密得到会话密钥，之后利用解密得到的所述会话密钥解密所述对应的共享数据。