[发明专利]基于属性的云存储访问控制系统

摘要

本发明提出了一种基于属性的云存储访问控制系统。该系统包括安全令牌单元(1)、主体信息管理单元(2)、访问控制单元(3)、属性基加解密单元(4)和云存储单元(5)；安全令牌单元(1)实现身份认证、令牌分发、令牌验证功能；主体信息管理单元(2)实现生成用户私钥，存储用户属性信息、用户私钥和访问控制策略加密后的对称密钥功能；访问控制单元(3)实现基于属性的访问控制功能，以及用户定制访问控制策略的功能；属性基加解密单元(4)实现文件的加解密功能，以及用访问控制的策略和用户私钥分别加解密对称密钥的功能；云存储单元(5)，实现明文和密文的存储功能。本发明具有细粒度、实时、动态、可扩展和安全等优点，可用于实现云存储环境下的访问控制。

主权项

一种基于属性的云存储访问控制系统，包括安全令牌单元(1)、主体信息管理单元(2)、访问控制单元(3)、属性基加解密单元(4)和云存储单元(5)，其特征在于：所述的主体信息管理单元(2)，用于生成用户私钥，存储和管理用户属性信息、用户私钥和用访问控制策略加密过的对称密钥；所述的访问控制单元(3)，包括：令牌提取验证模块(31)，用于提取用户请求中的令牌，并向安全令牌服务单元(1)验证令牌，若令牌验证成功则将得到的用户身份信息和用户请求发送给访问决策模块(32)，若令牌验证失败则向用户发送令牌验证失败响应；访问决策模块(32)，根据从令牌提取验证模块(31)得到的用户身份信息，对主体信息管理单元(2)进行检索，得到用户的属性信息；根据从令牌提取验证模块(31)得到的用户请求中要访问的资源信息对策略存储模块(35)进行检索，得到对应资源的访问控制策略信息，若用户属性符合访问控制策略则授权访问，若不符合则不授权；以决策结果、用户请求信息、用户身份信息为参数，调用决策执行模块(33)；决策执行模块(33)，用于根据访问决策模块(32)的决策结果和请求信息，以及请求信息中的结构化的访问控制策略，分别完成数据读写、调用属性基加解密单元(4)进行数据加解密、调用策略生成模块(34)生成访问控制策略文件这三种功能；策略生成模块(34)，用于将请求信息中以字符串组织的结构化访问控制策略，转化为以可扩展的访问控制标记语言XACML描述的访问控制策略文件，并存储到策略存储模块(35)中；策略存储模块(35)，用于存储访问控制策略文件；所述的属性基加解密单元(4)，包括：对称加解密模块(41)，用于生成对称密钥，并用对称密钥加密明文，解密密文；属性基加密模块(42)，通过请求中的结构化访问控制策略，运行CP‑ABE加密算法对对称密钥进行加密，得到访问控制策略加密后的对称密钥并存储到主体信息管理单元(2)中；属性基解密模块(43)，根据身份用户信息对主体信息管理单元(2)进行检索，得到用户私钥和策略加密后的对称密钥，使用用户私钥运行CP‑ABE解密算法对策略加 密后的对称密钥进行解密得到对称密钥；所述的云存储单元(5)，用于存储经属性基加解密单元(4)加密过的密文或未经加密直接由访问控制单元(3)存储的明文，并在文件索引信息中标示文件是否经过加密。