[发明专利]一种云数据机密性保护和访问控制的方法

摘要

本发明公开了一种云数据机密性保护和访问控制的方法，其具体实现过程包括采用对称密码体制相关算法实现敏感数据的加密，以加密的形式保存在云服务器中；采用密文策略的基于属性加密机制实现数据加密密钥的保护，加密的访问策略可根据需要由数据所有者制定，只有满足访问策略的数据使用者才能通过解密来访问加密的敏感数据。该一种云数据机密性保护和访问控制的方法与现有技术相比，不仅在云服务提供商不可信的前提下，保证在开放环境下云存储系统中数据的安全性，实现敏感数据的安全共享，还能减少密钥分发和数据管理而给数据所有者带来巨大的计算开销。

主权项

一种云数据机密性保护和访问控制的方法，其特征在于，其具体实现过程为：一、用户在使用云服务提供商CSP的云服务前，注册为云服务的合法用户，这里的用户包括数据所有者和数据使用者；其中所述云服务提供商是指通过基于虚拟化技术实现计算、存储、网络资源复用方式，遵从服务水平协议SLA，为云用户提供弹性可租用的云服务；根据协议对被托管数据依据云服务提供商的安全措施提供安全性、可用性保障；数据所有者为数据的属主，根据对称密码机制密钥策略和数据安全要求，生成自己的数据加密密钥对被托管数据文件进行加密，并将密文上传到云计算环境的服务器中存储；数据使用者为请求访问被托管密文的云用户，必须先向域权威提出访问请求并经过域权威验证通过后，才能访问数据；二、数据上传：数据所有者通过加密算法将数据文件进行加密得到密钥密文SKCT；数据所有者设置访问控制策略，并将上述数据上传给属性权威，认证中心鉴别该数据所有者的合法身份后，属性权威允许数据所有者的数据上传请求，其中属性权威为云计算环境中的所有实体签发属性，保存用户属性，提供属性管理功能，根据主体属性、客体属性和环境属性和访问控制策略进行访问控制；认证中心为云计算环境中的所有实体信任的可信第三方，提供数字证书生命周期管理、维护证书和证书撤销列表CRL、身份鉴别功能，上述数字证书生命周期包括签发、更新、撤销过程；数据所有者将密钥密文SKCT、数据文件属性、数据文件的访问控制策略传送给属性权限，属性权威保存数据文件属性、数据文件访问控制策略到属性库和策略库中，将密钥密文SKCT安全存储；数据所有者将数据文件密文CT发送给云服务提供商CSP的服务器保存；三、数据访问：数据使用者提出访问请求，认证权威鉴别其身份合法后，属性权威验证其访问权限并为其分发属性密钥，并将密钥密文SKCT发送给数据使用者；数据使用者对SKCT解密后从云服务提供商获得数据文件，完成对数据文件的访问。