[发明专利]一种大型合作网络的访问控制机制及其实现方法

说明书

本发明公开了一种大型合作网络的访问控制系统及其实现方法，包括认证中心、网络服务器、数据拥有者、数据传播者和数据访问者，认证中心用于生成系统运行参数，提供注册、属性管理和分配密钥服务；网络服务器用于为用户提供数据服务；数据拥有者用于定义数据的访问权限和传播权限；当用户满足所述传播权限时，则以数据传播者的身份进行数据传输，数据访问者用于从所述网络服务器中获取并访问所述数据；所述数据采用两阶密文结构，由所述数据拥有者创建并由所述数据传播者补充。可以有效地阻止密钥混用的攻击；数据的解密工作迁移到网络服务器端来完成，以减少用户端的计算开销，保证了密文传播过程的安全性，满足了预期的用户需求。

【技术领域】

本发明属于计算机网络安全领域，是一种加密及密文传输机制的设计和实现方法，主要用于大型合作网络在信息传播过程中确保数据的保密性。

【背景技术】

大型合作网络是计算机网络的一种应用。目前学界对大型合作网络尚无明确的定义。一般讨论的大型合作网络应由一定规模的、具有特定社交关系的人组成，且依托计算机网络技术实施通讯。典型的大型合作网络，例如国际肿瘤基因组联盟科学研究合作网络。该合作网络由来自世界多个国家的、从事肿瘤基因组相关领域研究的数千名研究人员组成，合作网络成员通过一个云平台实现数据的共享、分发和传输。随着科学研究快速迈入大数据、大科学、大协作的时代，类似的大型合作网络越来越多。数据的安全性是大型合作网络的基础性问题之一，不仅关系到大型合作网络的正常运转，而且数据的安全性差错可能引发法律问题，甚至严重后果。所以，大型合作网络的数据安全是重要的研究课题。

访问控制是确保数据安全性和隐私性的主要策略之一。传统的访问控制模型主要可以分为基于信任的访问控制模型、基于语义网的访问控制模型和基于关系的访问控制模型等三种。但是，这些模型的实现完全依赖于网络供应商，被认为是不可靠的。存储资源的提供商可能会在不提前通知用户的情况下使用用户的数据。此观点被学界广泛接受并推动了新一轮的非供应商依赖的访问控制模型研究，代表性的成果包括：采用属性加密机制隐藏用户的数据，实现了细粒度的访问权限定义；就信息的重上传或重发布等影响用户版权的问题进行了详细的说明，并提出允许各方交换信息是解决问题的至关重要的一环；针对多用户合作制定访问权限等问题提出了一种特定的架构等。

【发明内容】

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种大型合作网络的访问控制机制及其实现方法，用于大型合作网络在信息传播过程中确保数据的保密性。

本发明采用以下技术方案：

一种大型合作网络的访问控制系统，包括认证中心、网络服务器、数据拥有者、数据传播者和数据访问者，认证中心用于生成系统运行参数，提供注册、属性管理和分配密钥服务；网络服务器用于为用户提供数据服务；数据拥有者用于定义数据的访问权限和传播权限；当用户满足所述传播权限时，则以数据传播者的身份进行数据传输，数据访问者用于从所述网络服务器中获取并访问所述数据；所述数据采用两阶密文结构，由所述数据拥有者创建并由所述数据传播者补充。

具体的，所述密文结构对应的密文分两步创建，第一步，对数据和数据简介使用内容密钥进行加密；第二步，使用访问结构对内容密钥进行加密。

进一步的，所述访问结构包括数据访问结构和数据目录项访问结构两层，所述数据访问者同时满足所述数据的访问结构和数据目录项的访问结构才能够访问所述数据，满足所述数据目录项访问结构的所述数据传播者能够将数据传输给其他用户。

进一步的，所述数据访问结构由所述数据拥有者创建，使用访问树结构，树中叶子节点代表的属性要求在全局范围内可识别。

进一步的，所述数据目录项访问结构包括传播访问结构和用户自定义访问结构；

所述传播访问结构为一个析取范式，析取范式中的每个子句都是传播路径中一种可能的分支，存放本条传播路径的数据传播者需要满足的规则；