[发明专利]基于云计算和可信计算的信息安全大数据资源访问控制系统

摘要

本发明公开了基于云计算和可信计算的信息安全大数据资源访问控制系统，该系统架构是在具有保护性功能、认证和完整性度量等特征基础上构建一种可信度访问机制和可信关系传递机制，进而建立一个从数据存储到信息安全管理，再到信息安全访问的可信链，其包括云存储服务模块10、信息安全管理模块20、大数据服务模块30、基于可信的密钥生成模块40、基于可信的加密模块50、基于可信的解密模块60和用户接入模块70。本发明基于可信计算和云计算技术，设计了信息安全管理模块20、基于可信的密钥生成模块40、基于可信的加密模块50和基于可信的解密模块60，实现了信息安全大数据资源的快速安全访问，增加了系统的安全性和可信性。

主权项

基于云计算和可信计算的信息安全大数据资源访问控制系统，包括云存储服务模块、信息安全管理模块、大数据服务模块、基于可信的密钥生成模块、基于可信的加密模块、基于可信的解密模块和用户接入模块：(1)云存储服务模块，用于为访问用户提供数据存储服务，其以云存储对数据进行保护，确保数据不会被随意获取，包括用于存储数据的云存储服务器和用于控制外部用户访问云存储服务模块的数据管理器；(2)信息安全管理模块，用于根据已验证的信息管理经验对信息安全进行管理，包括风险评估模块和风险控制模块：所述风险评估模块从风险的时序性和传播性入手，对风险进行预测，具体为：1)定义信息的风险态势值R：R＝P×Z×W式中，P为信息受到攻击的概率，Z为信息的重要性，W为信息受到破坏产生的威胁度；2)设某信息i的风险态势值时间序列为Mi＝{xi(1)，xi(2)，…，xi(n)}，xi(t)表示信息i在时刻t的态势值，n为设定的总小时数，t＝1，2，…，n；3)风险态势从信息i传播到信息j的传播时间用τ表示，序列Mi与Mj在时间τ下的时间相关系数为ρij(τ)：ρij(τ)=Σt=1n-τxi(t)xj(t+τ)-1n-τΣt=1n-τxi(t)Σt=1n-τxj(t+τ)Σt=1n-τ[xi(t)-1n-τΣt=1n-τxi(t)]2×Σt=1n-τ[xj(t+τ)-1n-τΣt=1n-τxj(t+τ)]2]]>在确定τ、的情况下能够计算出时间相关系数，时间相关系数能够反映风险态势值的在信息之间传播，完成风险预测；所述风险控制模块对风险进行分级管理，风险态势值根据梯度阈值划分为不同的风险等级，对应采取不同的安全策略对风险进行管理；(3)大数据服务模块，用于对信息安全大数据资源进行分类管理，在信息安全管理模块对信息进行分级管理的前提下，对于每一风险等级的信息，采用K‑means聚类的方法对其进行分类，并建立目录实行分类管理；(4)基于可信的密钥生成模块，用于在可信的安全网络环境下，生成系统初始的公开参数和主密钥，当接收到访问用户发出的请求时，其为基于可信的加密模块分发系统公开参数，且为每个访问用户生成对应的私钥，并在云存储服务模块的请求下参与云存储服务模块与用户接入模块接入的访问用户之间的共享会话密钥的协商；所述基于可信的密钥生成模块包括初始化子模块和密钥生成子模块：1)初始化子模块，用于生成系统初始的公开参数PK和主密钥MK，具体为：PK＝{a，b＝sα，e(s，s)β}MK＝{α，sβ}其中，α，β是两个随机数且α，β∈Zp，Zp为模p的整数群；s为p阶的双线性群G1的生成元；2)密钥生成子模块，包括用户私钥生成单元和共享会话密钥生成单元，所述用户私钥生成单元用于为访问用户生成对应的私钥SK：其中，S为用户属性的集合，为每个用户随机选择r∈Zp，为每个属性选择ri∈Zp；所述共享会话密钥生成单元用于采用公钥加密体制及密钥协商协议生成云存储服务模块和访问用户间的共享会话密钥，具体为：所述云存储服务模块将自己的身份及访问用户的身份发送给基于可信的加密模块，基于可信的加密模块向云存储服务模块发送一个第一公钥证书，云存储服务模块进而为访问用户生成一个会话密钥，并用自身的秘密钥和公开钥加密后，连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一通发送给访问用户，所述秘密钥和公开钥利用系统公开参数生成；(5)基于可信的加密模块，用于在可信的安全网络环境下，对用户使用的客户端上的明文进行三重加密，得到三重加密密文，并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块；(6)基于可信的解密模块，用于在可信的安全网络环境下，将云存储服务模块上的封装好的三重加密密文解密得到明文信息，包括：1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密，解密时由云存储服务模块返回所述封装好的三重加密密文及其对应的消息头，利用共享会话密钥kgs解密得到用户组属性密钥2)三重加密密文解密子模块，用于对三重加密密文C″m进行解密；3)密钥密文解密子模块,用于对密钥密文Cm′进行解密：4)密文解密子模块，用于对密文Cm进行解密；(7)用户接入模块，用于实现访问用户向云存储服务模块发送访问请求以及读取云存储服务模块上的密文，若访问用户拥有的属性集合满足封装好的三重加密密文对应的访问策略时，能够通过基于可信的解密模块解密得到明文信息；若访问用户拥有的属性集合不满足访问策略，则需要用户输入指纹进行身份验证；若访问用户的属性集合和身份验证均无效，则无法完成请求访问。