云端2分別獨 立且不能共謀，從而保證了用戶數(shù)據(jù)的隱私性和機密性，保證了數(shù)據(jù)屬主的數(shù)據(jù)安全，同時 支持對訪問者實施細粒度的訪問控制，進而提高了云計算平臺的實用性、安全性與可靠性。 [0099] 本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以 通過程序來控制相關的硬件完成，所述的程序可以在存儲于一計算機可讀取存儲介質(zhì)中， 所述的存儲介質(zhì)，如R0M/RAM、磁盤、光盤等。
[0100] 以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精 神和原則之內(nèi)所作的任何修改、等同替換和改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。
【主權項】
1. 一種面向云計算平臺的密文訪問控制系統(tǒng)，其特征在于，所述系統(tǒng)包括： 授權中心，用基于屬性加密機制，生成系統(tǒng)的第一公共參數(shù)和第一主私鑰，之后基于屬 性加密機制生成用戶的第一私鑰，將所述第一私鑰分發(fā)給用戶； 云端，用于生成系統(tǒng)的第二公共參數(shù)和第二主私鑰，之后結合所述第二公共參數(shù)和所 述授權中心生成的所述第一公共參數(shù)生成并公布最終公共參數(shù)，并根據(jù)所述第二主私鑰生 成用戶的第二私鑰，之后將所述第二私鑰分發(fā)給用戶； 由用戶運行的客戶端，用于對所述第一私鑰和所述第二私鑰進行整合，得到最終用戶 私鑰，還用于當需要上傳數(shù)據(jù)時，根據(jù)輸入的所述最終公共參數(shù)、訪問結構和消息編號，對 需上傳數(shù)據(jù)進行加密，之后將得到的密文和消息編號上傳到所述云端，還用于當需要共享 數(shù)據(jù)時，向所述云端發(fā)出訪問請求以獲取密文和消息編號，并根據(jù)所述最終用戶私鑰和所 述最終公共參數(shù)，對所述云端發(fā)送的密文進行解密。2. -種如權利要求1所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其 特征在于，所述方法包括以下步驟： 授權中心基于屬性加密機制生成系統(tǒng)的第一公共參數(shù)和第一主私鑰，之后基于屬性加 密機制生成用戶的第一私鑰，將所述第一私鑰分發(fā)給共享用戶，并將所述第一公共參數(shù)公 布在云端； 云端生成系統(tǒng)的第二公共參數(shù)和第二主私鑰，并結合所述第一公共參數(shù)和所述第二 公共參數(shù)生成并在所述云端公布最終公共參數(shù)，并根據(jù)所述第二主私鑰生成用戶的第二私 鑰，之后將所述第二私鑰分發(fā)給用戶； 用戶對所述第一私鑰和所述第二私鑰進行整合，得到最終用戶私鑰； 數(shù)據(jù)屬主運行客戶端，根據(jù)輸入的所述最終公共參數(shù)、訪問結構和消息編號，對需上傳 數(shù)據(jù)進行加密，之后將得到的密文和所述消息編號上傳到云端； 共享用戶運行客戶端，向云端發(fā)出訪問請求以獲取密文和消息編號，并根據(jù)所述最終 用戶私鑰和所述最終公共參數(shù)，對云端發(fā)送的密文進行解密。3. 如權利要求2所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述授權中心基于屬性加密機制生成第一公共參數(shù)和第一主私鑰的步驟包括以下步 驟： 概率式的輸入系統(tǒng)安全參數(shù), I為一正整數(shù)群，根據(jù)系統(tǒng)安全參數(shù)κ，構造階 為素數(shù)P、生成元為g的雙線性群Gtl，雙線性群Gtl滿足雙線性映射e: G ^ X Gtl^ G τ，定義一哈 希函數(shù)//.·{0,if ，同時定義全局屬性空間…，所述全局屬性空間包含系 統(tǒng)中所有屬性的集合，并選擇隨機數(shù)a ie Zp、隨機數(shù)β e Zp，Zp為一整數(shù)群，取值范 圍為{0, 1，· · ·，p}; 根據(jù)公式Pf1 = = }，生成第一公共參數(shù)PK1，其中，h為雙線性群G tl 上的元素； 根據(jù)公式ISX1 ，生成第一主私鑰MSKp4. 如權利要求3所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述基于屬性加密機制生成用戶的第一私鑰的步驟包括以下步驟： 授權中心根據(jù)用戶發(fā)出的密鑰獲取請求，輸入系統(tǒng)的第一主私鑰MSKJP授權中心為用 戶分發(fā)的屬性集合S，所述屬性集合S滿足S (= j，并為每一用戶選擇一隨機數(shù)『e A ; 根據(jù)公式％ = g = gW/ e q ，生成用戶的第一私鑰SK1，其中，L為雙線 性群Gtl上的元素，D 雙線性群G ^上的元素，H(j)為屬性j計算哈希函數(shù)的結果。5. 如權利要求4所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述云端生成第二公共參數(shù)和第二主私鑰的步驟包括以下步驟： 云端根據(jù)第一公共參數(shù)，選擇隨機數(shù)a2e Zp; 云端根據(jù)公式PK2 = 卜生成第二公共參數(shù)PK2; 云端根據(jù)公式= {，'_ j，生成第二主私鑰MSK2。6. 如權利要求5所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述結合所述第一公共參數(shù)和所述第二公共參數(shù)生成并在所述云端公布最終公共參 數(shù)的步驟具體為： 根據(jù)公式伙=&,<^ = ￥/;，(,1,^)"=(^，《)'/__6^4)":1，生成并在所述云端公布最 終公共參數(shù)PK，其中，a為整數(shù)群Zp上的隨機數(shù)，即a ezp。7. 如權利要求6所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述根據(jù)所述第二主私鑰生成用戶的第二私鑰的步驟包括以下步驟： 授權中心根據(jù)用戶發(fā)出的密鑰獲取請求，為用戶選擇唯一標識號IDt，以及選擇一隨機 Wj & z 授權中心選擇X = β作為私鑰，并選擇V = gp作為公鑰； 授權中心計算〇 = //?=//(/￡), Hg"1 ，并將發(fā)送給云端，其 中，σ為消息m的簽名結果，H(m)為對消息m求哈希值的結果，〃Ilf 為對用戶 唯一的標識號IDt和用戶個人私鑰計算的結果； 云端驗證e(〇，g)是否等于<//(/〇, II# 是則驗證通過，云端根據(jù)公式 雙2 .g% =ga ·，，生成用戶的第二私鑰SK2。8. 如權利要求7所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述用戶對所述第一私鑰和所述第二私鑰進行整合，得到最終用戶私鑰的步驟具體 為： 用戶根據(jù)公式認== = e&D, = /-/(./)1，得到最終用戶私鑰SK，其 中，D為云端生成用戶的第二私鑰。9. 如權利要求8所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特征 在于，所述根據(jù)輸入的所述最終公共參數(shù)、訪問結構和消息編號，對需上傳數(shù)據(jù)進行加密的 步驟表示為：其中，CT為加密得到的密文，M為需上傳數(shù)據(jù)，亡為消息M的加密計算結果，C為對訪問 結構中根節(jié)點的計算，Cy為對訪問結構中各葉子節(jié)點的計算，qy(0)為屬性y對應的屬性值， att(y)為葉子節(jié)點y所表示的屬性值，H(att(y))為對葉子節(jié)點屬性y計算哈希的結果，s 為訪問結構中的根節(jié)點，T為訪問結構，Y表示結構T中所有葉子節(jié)點的集合。10.如權利要求9所述的面向云計算平臺的密文訪問控制系統(tǒng)的訪問控制方法，其特 征在于，所述根據(jù)所述最終用戶私鑰和所述最終公共參數(shù)，對云端發(fā)送的密文進行解密的 步驟包括以下步驟： 輸入密文CT、對應的最終用戶私鑰SK、以及訪問結構T中的一個節(jié)點X ; 調(diào)用預先定義的遞歸函數(shù)，若共享用戶的屬性滿足訪問結構T，則得到訪問結構中根節(jié) 點屬性值的計算結果化為： A = e(g, g)rPs； 根據(jù)A、C、D，得到密文CT對應的明文M，表示為：
【專利摘要】本發(fā)明屬于云服務技術領域，提供了一種面向云計算平臺的密文訪問控制系統(tǒng)及其訪問控制方法。該系統(tǒng)及方法針對傳統(tǒng)的屬性加密方案所存在的密鑰托管問題，將用戶的一部分私鑰生成工作交給授權中心完成，將用戶的其余部分私鑰生成工作交給云端完成，授權中心與云端分別獨立且不能共謀，從而保證了用戶數(shù)據(jù)的隱私性和機密性，保證了數(shù)據(jù)屬主的數(shù)據(jù)安全，同時支持對訪問者實施細粒度的訪問控制，進而提高了云計算平臺的實用性、安全性與可靠性。
【IPC分類】H04L29/08, H04L9/08, H04L29/06
【公開號】CN104883254
【申請?zhí)枴緾N201510323831
【發(fā)明人】喻建平, 王樹蘭, 張鵬, 王平
【申請人】深圳大學
【公開日】2015年9月2日
【申請日】2015年6月12日