[发明专利]基于属性的云存储访问控制系统

说明书

技术领域

本发明属于网络与信息安全技术领域，涉及数据访问控制技术，具体说是一种在XACML框架下引入基于属性的加密的云存储访问控制系统，对数据提供访问控制并保证数据的机密性。

背景技术

云存储是近两年来崛起的一项新兴的云服务，用户可以随时随地接入互联网，使用手持移动终端或PC机，以非常快捷的速度存取自己的个人文件，因此得到了广泛的支持和应用。但是在使用便利的同时，云存储也引起了用户对数据安全和隐私保护安全性的广泛担忧。2009年亚马逊，Google，LinkUp等多家著名云存储服务商都出现过用户数据和隐私泄露的安全问题，并造成了严重的后果；2011年索尼“泄密门”再次给云存储安全敲响警钟。2012年中国云计算安全调查分析报告显示79%的用户仍然不愿意将敏感数据存到云环境下。安全隐患已成为云存储大规模普及的重要障碍，如何保护用户隐私和敏感数据的机密性已成为云存储亟需解决的首要安全问题。

基于属性的密码体制自2005年开始研究，其发展了传统的基于身份密码体制关于身份的概念，将身份看作是一系列属性的集合。美国学者Sahai与Waters第一次提出了基于模糊身份加密，将生物学特性直接作为身份信息应用于基于身份的加密方案中，Sahai在论文中引入了属性的概念。2007年，Bethencourt等人提出了密文策略的基于属性的加密方案：CP‐ABE，Ciphertext‐Policy Attribute‐Based Encryption，在该方案中将用户的身份表示为一个属性的集合，而加密数据则与访问控制结构相关联，用户是否能解密，取决于密文所关联的属性集合和用户身份对应的访问控制结构是否匹配。

基于上述密码体制采用了密文策略的基于属性的访问控制系统，可以提供结合基于属性的访问控制策略的数据加密，但实际应用中不是所有数据都需要加密存储，当数据量很大时，直接加解密数据开销大，访问控制系统性能低，因此，现有的密文策略的基于属性的访问控制解决方案还不能在保证用户数据和隐私安全的基础上提供细粒度的、动态的、可扩展、高效的访问控制。

XACML(eXtensible Access Control Markup Language)是OASIS(Organization for the Advancement of Structured Information Standards)提出的描述策略和访问控制的语言，基于XACML实现的访问控制系统框架应用于web服务可提供细粒度的、动态的、可扩展、高效ABAC（Attribute Based Access Control），但不能提供对用户隐私数据的加密保护。

发明内容

本发明的目的在于针对上述已有技术的不足，提出了一种基于属性的云存储访控制系统，不仅能为敏感数据和非敏感数据提供细粒度的、动态的、可扩展的、高效的安全访问控制，而且能够保证敏感数据的机密性。

本发明的技术方案是这样实现的：

一.技术原理

本发明将基于密文策略的ABAC与通过XACML实现的ABAC相结合，通过共用属性集和策略集实现对明文和密文的访问控制。由于这两者实现ABAC的核心都是实体的属性集，和策略集，因此很容易将两者结合，构建云存储访问控制系统。本发明使用XACML实现的ABAC机制对访问所有的明文或密文数据的请求进行访问控制，使用基于密文策略的ABAC机制对加密敏感数据的对称密钥的获取进行访问控制，只有满足访问控制策略中相应属性的用户才能解密加密明文的对称密钥进而得到明文，防止了对称密钥的泄漏，从而提高敏感数据的安全性。

二.系统组成

根据上述原理，本发明基于属性的云存储访问控制系统，包括：安全令牌单元1、主体信息管理单元2、访问控制单元3、属性基加解密单元4和云存储单元5，其特征在于：

所述的主体信息管理单元2，用于生成用户私钥，存储和管理用户属性信息、用户私钥和用访问控制策略加密后的对称密钥；

所述的访问控制单元3，包括：

令牌提取验证模块31，用于提取用户请求中的令牌，并向安全令牌服务单元1验证令牌，若令牌验证成功则将得到的用户身份信息和用户请求发送给访问决策模块32；若令牌验证失败则向用户发送令牌验证失败响应；