一种基于属性密文重加密的属性基云服务访问控制方法

本发明涉及云计算安全领域，尤其涉及一种基于属性密文重加密的属性基云服务访问控制方法。

随着网络技术的发展，云计算技术也受到越来越广泛的应用，云计算技术能够为用户提供各类不同的云服务，使用户在轻量级的工作环境中完成各类不同的工作需求。面对各类不同的云服务，不同的用户拥有的访问权限也各不相同。为了防止不同的用户对云服务的访问因权限管理混乱而出现非法访问，需要一种对访问权限进行有效控制的方法。

近年来基于属性的访问控制成为一种高效、可靠的管理方法，目前，已经有一些系统成功应用此技术对系统各项服务的访问权限进行管理。可现有的一些基于属性的访问控制方法还存在一些缺陷，主要包括：第一，没有对用户的属性与访问云服务所需的属性进行足够的保护，使用户的属性信息与访问云服务所需的属性信息面临被外部攻击者偷取的风险；此外，由于内部人员有意或无意的操作，这些属性信息也可能会被泄露。第二，没有对用户的属性信息与访问云服务所需的属性信息进行有效存储，数据的可靠性低。由于上述问题的存在，非法的用户可能会访问到一些敏感的云服务，进而使系统的安全受到威胁，并对用户的隐私造成破坏。如果攻击者对非法的用户赋予了访问敏感云服务的权限，那么系统的安全性也会受到威胁。因此需要对用户访问云服务的权限分配流程进行可靠有效的管理。

本发明提供了一种基于属性密文重加密的属性基云服务访问控制方法，目的是提供一种基于属性密文重加密的属性基云服务访问控制方法，使用户在申请云服务前先对其所有的属性进行重加密，以及在云服务公开之前对访问云服务所需的属性进行重加密，并在解密后利用权限树进行权限分配。

本发明的又一目的是，提供一种基于属性密文重加密的属性基云服务访问控制方法，使用户属性与访问云服务所需的属性在不同秘钥下进行加密存储。

本发明的再一目的是，提供一种基于属性密文重加密的属性基云服务访问控制方法，使云服务访问权限的分配流程被可信第三方监控，提高权限分配的可靠性。

为了实现上述目的，本发明采取了如下技术方案。

本发明提供了一种基于属性密文重加密的属性基云服务访问控制方法，包括：

用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，得到用户属性密文；

云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，得到云服务属性密文；

通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方的秘钥对所述的重加密的密文进行解密；

验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限。

进一步地，该方法还包括：

用户向用户申请授权中心申请云服务，并录入用户信息，用户申请授权中心接收到所述用户信息后将所述用户信息发送至用户属性分配中心并产生用户的唯一身份识别标识，系统将所述用户的唯一身份识别标识发送至秘钥管理中心；

云服务向云服务公开授权中心申请公开云服务，并上传云服务的各项信息；云服务公开授权中心接收到所述信息后将所述信息发送至云服务属性分配中，并产生云服务的唯一身份识别标识，系统将所述的云服务唯一身份识别标识发送至秘钥管理中心。

进一步地，用户属性分配中心根据用户在申请云服务时录入的用户信息为用户分配属性并加密存储，包括：

云用户属性分配中心接收到由用户申请授权中心传来的用户信息，为用户分配对应的用户属性，同时，秘钥管理中心产生用户公共参数，以及用户主密钥，所述的用户主密钥为用户私有；

秘钥管理中心基于所述用户的唯一身份识别标识、所述的用户主密钥、以及所述的用户公共参数，经过计算得到用户私钥；

根据所述的用户私钥和所述用户的唯一身份识别标识，秘钥管理中心将用户属性进行加密，得到用户属性密文，并将用户属性密文存储于用户属性表中。

进一步地，云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，包括：

云服务属性分配中心接收到由云服务公开授权中心传来的云服务信息，为云服务分配对应的云服务属性，秘钥管理中心产生云服务公共参数，以及云服务主密钥，所述的云服务主密钥为云服务私有；

秘钥管理中心基于所述的云服务唯一身份识别标识、所述的云服务主密钥、以及所述的云服务公共参数，经过计算得到云服务私钥；

根据所述的云服务私钥和所述的云服务唯一身份识别标识，秘钥管理中心将访问云服务所需属性进行加密，得到云服务属性密文，并将所述的云服务属性密文存储于云服务属性表中。

进一步地，通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方秘钥对重加密的密文进行解密，包括：

代理服务器读取所述用户属性表中的用户属性密文，以及云服务属性表中的云服务属性密文；

代理服务器根据所述的用户唯一身份识别标识和云服务唯一身份识别标识，产生重加密秘钥；

使用所述的重加密秘钥将用户属性表中的属性密文进行重加密，得到用户属性重加密密文；

使用重加密秘钥将云服务属性表中的属性密文进行重加密，得到云服务属性重加密密文；

通过可信第三方的秘钥将所述的用户属性重加密密文和云服务属性重加密密文进行解密，得到所述的用户属性与所述的云服务属性。

进一步地，验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限，包括：

验证中心读取解密后得到的用户属性与云服务属性，并根据所述的云服务属性，构造权限树，将用户属性与权限树进行对比，若用户属性满足权限树要求，则验证中心为用户分配访问所述权限树对应的云服务的权限；否则，禁止用户访问所述云服务。

由上述本发明的基于属性密文重加密的属性基云服务访问控制方法提供的技术方案可以看出，本发明的有益效果为：

(1)本发明提供的控制方法使用户在申请云服务前先对其所有的属性进行重加密，以及在云服务公开之前对访问云服务所需的属性进行重加密，并在解密后利用权限树进行权限分配，优化了用户在申请云服务时的权限分配流程；

(2)实施了本发明的方法，可以确保用户属性与访问云服务所需的属性得到有效的保护，防止攻击者攻击与内部人员的操作导致的用户与云服务的属性数据泄露；

(3)实施了本发明的方法，可以确保对用户的访问权限进行可靠的分配，避免出现权限的非法分配。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的基于属性密文重加密的属性基云服务访问控制方法的原理示意图；

图2为本发明实施例的基于属性密文重加密的属性基云服务访问控制的方法流程图。

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以具体实施例为例做进一步的解释说明。

实施例

图1为基于属性密文重加密的属性基云服务访问控制方法的控制方法的原理示意图，参照图1。该方法包含十一个实体，分别是用户User，云服务Service，用户申请授权中心(UCA，User Certification Authority)，云服务公开授权中心(SCA，ServiceCertification Authority)，用户属性分配中心(UAA，User Attribute Authority)，云服务属性分配中心(SAA，Service Attribute Authority)，用户属性表User Table，云服务属性表Service Table，秘钥管理中心KMC(Key Management Center)，代理服务器Proxy，验证中心VC(Verification Center)。

其中，用户User为云服务申请用户；云服务Service为公开的云服务；

用户申请授权中心(UCA，User Certification Autuority)：用于对用户申请云服务信息进行处理的设备；

云服务公开授权中心(SCA，Service Certification Autuority)：用于对云服务申请公开信息进行处理的设备；

用户属性分配中心(UAA，User Attribute Authority)：用于对用户属性进行分配的设备。通过UAA，用户会获得若干属性。示意性地，如UsrAttr1，UsrAttr2，UsrAttr3等；

云服务属性分配中心(SAA，ServiceAttribute Authority)：用于对访问云服务所需属性进行分配的设备。通过SAA，云服务会声明若干访问云服务所需的属性，示意性地，如SerAttr1，SerAttr2等；

用户属性表User Table：用于存储加密后的用户属性的设备；

云服务属性表Service Table：用于存储加密后的云服务属性的设备；

秘钥管理中心(KMC，Key Management Center)：为加密系统提供密钥生成等操作的设备；

代理服务器Proxy：用于将基于不同秘钥进行加密的用户属性与云服务属性进行重加密的设备；

验证中心(VC，Verification Center)：用于将进行解密后的用户属性与云服务属性基于权限树进行对比，并为属性满足权限树的用户分配访问云服务的权限的设备。

图2为本发明实施例的基于属性密文重加密的属性基云服务访问控制的方法流程图，参照图2，该方法包括：

用户User申请云服务：

在这个阶段，用户User向用户申请授权中心UCA申请云服务。User的申请过程执行下列操作：

用户User向用户申请授权中心UCA申请云服务，录入相关的用户信息；

UCA接收到用户信息后将用户信息发送至用户属性分配中心UAA，并产生用户的唯一身份识别标识Uid；

系统将用户唯一身份识别标识Uid发送至秘钥管理中心KMC。

云服务Service申请公开：

在这个阶段，云服务Service向云服务公开授权中心SCA申请公开云服务。Service的申请过程执行下列操作：

云服务Service向云服务公开授权中心SCA申请公开云服务，并上传云服务的各项信息；

SCA接收到各项信息后将云服务的各项信息发送至云服务属性分配中心SAA，并产生云服务的唯一身份识别标识Sid；

系统将云服务唯一身份识别标识Sid发送至秘钥管理中心KMC。

S1用户属性分配中心根据用户申请云服务的用户信息为用户分配属性并加密存储，得到用户属性密文。

在这个阶段，通过用户User上传的用户信息，用户属性分配中心UAA会为用户User分配若干属性并加密存储。用户User属性分配与加密存储过程执行下列操作：

用户属性分配中心UAA接收到由用户申请授权中心UCA传来的用户信息，为用户User分配对应的用户属性，如UsrAttr1，UsrAttr2，UsrAttr3等；

秘钥管理中心KMC产生用户公共参数UsrPara，以及用户主密钥UsrMsk，用户主密钥UsrMsk为用户User私有；

基于用户的唯一身份识别标识Uid、用户主密钥UsrMsk、以及用户公共参数UsrParam，经过计算得到用户User的私钥usk，此用户私钥usk用来对用户信息进行加密；

秘钥管理中心KMC根据用户用户User的私钥usk和用户的唯一身份识别标识Uid，将用户属性UsrAttr1，UsrAttr2，UsrAttr3逐条进行加密，得到用户属性密文DecUsrAttr1，DecUsrAttr2，DecUsrAttr3；

秘钥管理中心KMC将用户属性密文DecUsrAttr1，DecUsrAttr2，DecUsrAttr3存储于用户属性表User Table中。

S2云服务属性分配中心根据云服务申请公开上传的各项信息为云服务分配属性并加密存储，得到云服务属性密文。

在这个阶段，通过云服务Service上传的各项信息，云服务属性分配中心SAA会为云服务Service分配若干属性并加密存储。云服务Service属性分配与加密存储过程执行下列操作：

云服务属性分配中心SAA接收到由云服务公开授权中心SCA传来的云服务信息，为云服务Service分配对应的云服务属性，如SerAttr1，SerAttr2；

秘钥管理中心KMC产生云服务公共参数SerParam，以及云服务主密钥SerMsk，云服务主密钥SerMsk为云服务Service私有；

秘钥管理中心KMC根据云服务唯一识别标识Sid与云服务主密钥SerMsk，计算得到云服务Service的私钥ssk；

秘钥管理中心KMC根据云服务Service的私钥ssk和云服务的唯一身份识别标识Sid，将云服务属性SerAttr1，SerAttr2逐条进行加密，得到云服务属性密文DecSerAttr1，DecSerAttr2；

秘钥管理中心KMC将云服务属性密文DecSerAttr1，DecSerAttr2存储于云服务属性表Service Table中。

S3通过代理服务器对所述的用户属性密文和云服务属性密文重加密，并通过可信第三方的秘钥对重加密的密文进行解密。

在这个阶段，通过代理服务器Proxy的重加密，将用户属性密文与云服务属性密文重加密为可以用可信第三方秘钥进行解密的密文，并进行解密。用户属性密文与云服务属性密文重加密过程执行下列操作：

代理服务器Proxy读取用户属性表User Table中的用户属性密文，以及云服务属性表Service Table中的云服务属性密文；

代理服务器根据用户User的唯一身份识别标识Uid与云服务Service的唯一身份识别标识Sid，生成重加密秘钥rk；

使用重加密秘钥rk将用户属性表中的属性密文进行重加密，得到用户属性重加密密文RDecUsrAttr1，RDecUsrAttr2，RDecUsrAttr3；

使用重加密秘钥rk将云服务属性表中的属性密文进行重加密，得到云服务属性重加密密文RDecSerAttr1，RDecSerAttr2；

通过可信第三方的秘钥将用户属性重加密密文RDecUsrAttr1，RDecUsrAttr2，RDecUsrAttr3与云服务属性重加密密文RDecSerAttr1，RDecSerAttr2进行解密，得到用户属性UsrAttr1，UsrAttr2，UsrAttr3与云服务属性SerAttr1，SerAttr2。

S4验证中心读取解密后得到的用户属性与云服务属性，并根据权限树理论为用户分配访问云服务的权限。

在这个阶段，通过用户属性与云服务属性，验证中心VC基于权限树理论为用户分配访问云服务的权限。验证中心分配用户访问云服务权限执行下列操作：

验证中心VC读取用户属性UsrAttr1，UsrAttr2，UsrAttr3与云服务属性SerAttr1，SerAttr2；

基于云服务属性，构造权限树，其中权限树的叶子节点表示访问云服务所需属性，非叶子节点表示访问云服务所需属性之间的逻辑关系(与AND，或OR，非NOT，包含iOFj)；

验证中心将用户属性与权限树进行对比，若用户属性满足权限树要求，则验证中心VC为用户User分配访问对应权限树的云服务Service的权限；否则，禁止用户访问云服务Service。

本领域技术人员应能理解上述输入框的应用类型仅为举例，其他现有的或今后可能出现的输入框应用类型如可适用于本发明实施例，也应包含在本发明保护范围以内，并在此以引用方式包含于此。

本领域技术人员应能理解，图1仅为简明起见而示出的各类网络元素的数量可能小于一个实际网络中的数量，但这种省略无疑是以不会影响对发明实施例进行清楚、充分的公开为前提的。

本领域技术人员应能理解，上述所举的根据用户信息决定调用策略仅为更好地说明本发明实施例的技术方案，而非对本发明实施例作出的限定。任何根据用户属性来决定调用策略的方法，均包含在本发明实施例的范围内。

用本发明实施例的方法进行基于属性密文重加密的属性基云服务访问控制的具体过程与前述方法实施例类似，此处不再赘述。

综上所述，本发明实施例通过使用户在申请云服务前对其所有的属性进行重加密，以及在云服务公开之前对访问云服务所需的属性进行重加密，并在解密后利用权限树进行权限分配，采用基于身份的代理重加密技术，对用户属性与访问云服务所需的属性在不同秘钥下进行加密存储，能够可靠地存储用户属性与访问云服务所需的属性，保证信息得到有效的保护，避免由于外部攻击者攻击以及内部人员的行为导致的信息泄露；能够在可信第三方的监控下对云服务访问权限进行分配，保证权限分配的可靠性。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。