[发明专利]基于属性的云存储访问控制系统

权利要求书

1.一种基于属性的云存储访问控制系统，包括安全令牌单元(1)、主体信息管理单元(2)、访问控制单元(3)、属性基加解密单元(4)和云存储单元(5)，其特征在于：

所述的主体信息管理单元(2)，用于生成用户私钥，存储和管理用户属性信息、用户私钥和用访问控制策略加密过的对称密钥；

所述的访问控制单元(3)，包括：

令牌提取验证模块(31)，用于提取用户请求中的令牌，并向安全令牌服务单元(1)验证令牌，若令牌验证成功则将得到的用户身份信息和用户请求发送给访问决策模块(32)，若令牌验证失败则向用户发送令牌验证失败响应；

访问决策模块(32)，根据从令牌提取验证模块(31)得到的用户身份信息，对主体信息管理单元(2)进行检索，得到用户的属性信息；根据从令牌提取验证模块(31)得到的用户请求中要访问的资源信息对策略存储模块(35)进行检索，得到对应资源的访问控制策略信息，若用户属性符合访问控制策略则授权访问，若不符合则不授权；以决策结果、用户请求信息、用户身份信息为参数，调用决策执行模块(33)；

决策执行模块(33)，用于根据访问决策模块(32)的决策结果和请求信息，以及请求信息中的结构化的访问控制策略，分别完成数据读写、调用属性基加解密单元(4)进行数据加解密、调用策略生成模块(34)生成访问控制策略文件这三种功能；

策略生成模块(34)，用于将请求信息中以字符串组织的结构化访问控制策略，转化为以可扩展的访问控制标记语言XACML描述的访问控制策略文件，并存储到策略存储模块(35)中；

策略存储模块(35)，用于存储访问控制策略文件；

所述的属性基加解密单元(4)，包括：

对称加解密模块(41)，用于生成对称密钥，并用对称密钥加密明文，解密密文；

属性基加密模块(42)，通过请求中的结构化访问控制策略，运行CP-ABE加密算法对对称密钥进行加密，得到访问控制策略加密后的对称密钥并存储到主体信息管理单元(2)中；

属性基解密模块(43)，根据身份用户信息对主体信息管理单元(2)进行检索，得到用户私钥和策略加密后的对称密钥，使用用户私钥运行CP-ABE解密算法对策略加密后的对称密钥进行解密得到对称密钥；

所述的云存储单元(5)，用于存储经属性基加解密单元(4)加密过的密文或未经加密直接由访问控制单元(3)存储的明文，并在文件索引信息中标示文件是否经过加密。

2.根据权利要求1所述的基于属性的云存储访问控制系统，其特征在于决策执行模块(33)，包括：

执行判断模块(331),用于根据决策结果、用户请求信息和用户身份信息，判断是否调用文件上传下载模块(332)、策略生成模块(34)和属性基加解密单元(4)，并给用户返回响应；当决策结果为授权访问时，则调用文件上传下载模块(332)上传或下载文件并给用户返回授权响应，若为非授权则给用户返回非授权响应；当请求信息中存在结构化的访问控制策略时，则调用策略生成模块(34)生成访问控制策略文件；当用户请求信息为上传文件请求并指定需要加密时，则调用属性基加解密单元(4)加密上传文件；当用户请求信息为下载文件请求并且请求的文件是已加密文件时，则调用属性基加解密单元(4)解密下载文件；

文件上传下载模块(332)，用于接收用户文件，向云存储单元(5)写入文件，并从云存储单元(5)读取文件，向用户发送文件。

3.根据权利要求1所述的基于属性的云存储访问控制系统，其特征在于安全令牌单元(1)，包括：

身份认证模块(11)，用于认证用户发送的认证请求中的身份信息，并给认证成功的用户分发访问令牌，该身份信息由用户名，密码组成或者是第三方认证的身份证书；

令牌验证模块(12)，用于响应访问控制单元(3)发送的令牌验证请求，若验证成功则返回令牌持有者的信息，若不成功则返回令牌验证失败响应。

3.根据权利要求1所述的基于属性的云存储访问控制系统，其特征在于主体信息管理单元(2)，包括：

用户私钥生成模块(21)，根据主体信息存储模块(23)中的用户属性，使用基于属性的加密算法CP-ABE生成用户私钥并存储在主体信息存储模块(23)；

属性监测模块(22)，用于监测主体信息存储模块(23)中用户属性值的改变，若用户属性改变则调用用户私钥生成模块(21)更新用户私钥；

主体信息存储模块(23)，用于存储用户属性信息、用户私钥和用访问控制策略加密后的对称密钥。