本發(fā)明涉及大數(shù)據(jù)領(lǐng)域，具體涉及一種大數(shù)據(jù)安全管理系統(tǒng)。

背景技術(shù)：

隨著大數(shù)據(jù)系統(tǒng)的應(yīng)用越來越廣泛，其安全性非常重要：大數(shù)據(jù)市場年增迅速，近5年平均增速50％以上，數(shù)據(jù)爆發(fā)式增長，使得信息成為戰(zhàn)略資產(chǎn)；大數(shù)據(jù)技術(shù)影響到國家治理、企業(yè)決策和人民生活等等；然而對大數(shù)據(jù)應(yīng)用給信息安全提出了新的挑戰(zhàn)(數(shù)據(jù)泄密影響重大：saleforce、GooglegTalk、CSDN，天涯等相繼被曝用戶數(shù)據(jù)泄漏；制約大數(shù)據(jù)業(yè)務(wù)的融合和應(yīng)用發(fā)展)；安全威脅大大提高，攻擊者背景更加復(fù)雜(安全威脅的目標(biāo)性、隱蔽性、破壞性都大大增加，攻擊者的動機(jī)、目的、方法變得更加復(fù)雜)。

技術(shù)實(shí)現(xiàn)要素：

為解決上述問題，本發(fā)明提供一種大數(shù)據(jù)安全管理系統(tǒng)。

本發(fā)明的目的采用以下技術(shù)方案來實(shí)現(xiàn)：

一種大數(shù)據(jù)安全管理系統(tǒng)，包括云存儲系統(tǒng)、數(shù)據(jù)預(yù)處理系統(tǒng)、云存儲加解密系統(tǒng)、控制系統(tǒng)和安全管理中心；所述云存儲系統(tǒng)，包括本地存儲器和云存儲器，所述云存儲器包括客戶端和云端，所述客戶端負(fù)責(zé)監(jiān)控和捕獲本地的系統(tǒng)操作，所述云端設(shè)置有數(shù)據(jù)管理中心，負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，所述數(shù)據(jù)管理中心下設(shè)有各專業(yè)數(shù)據(jù)中心；所述數(shù)據(jù)預(yù)處理系統(tǒng)用于在客戶端將用戶需要上傳的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲加解密系統(tǒng)用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)用于將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備；所述安全管理中心用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理；所述負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲，存儲時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

本發(fā)明的有益效果為：

1、設(shè)置數(shù)據(jù)管理中心，便于實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理，提高工作效率，節(jié)約成本；采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)；

2、設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)，先對需要存儲到云存儲系統(tǒng)中的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲的物理存儲空間，降低存儲的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；

3、通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲到本地存儲器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲至云存儲器中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了大數(shù)據(jù)存儲的安全性能；

4、通過設(shè)置云存儲加解密系統(tǒng)，能夠?qū)崿F(xiàn)對多類型的大數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲到云存儲器的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了大數(shù)據(jù)共享的安全性能；

5、設(shè)置安全管理中心，建立了完整的安全防護(hù)體系，實(shí)現(xiàn)了整個(gè)系統(tǒng)的安全管理。

附圖說明

利用附圖對本發(fā)明作進(jìn)一步說明，但附圖中的實(shí)施例不構(gòu)成對本發(fā)明的任何限制，對于本領(lǐng)域的普通技術(shù)人員，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)以下附圖獲得其它的附圖。

圖1是本發(fā)明結(jié)構(gòu)連接示意圖。

圖2是本發(fā)明數(shù)據(jù)預(yù)處理系統(tǒng)的結(jié)構(gòu)示意圖。

附圖標(biāo)記：

云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4、安全管理中心5、數(shù)據(jù)分割單元21、數(shù)據(jù)抽取單元22、訪問控制安全策略優(yōu)化單元23。

具體實(shí)施方式

結(jié)合以下實(shí)施例對本發(fā)明作進(jìn)一步描述。

應(yīng)用場景1

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的大數(shù)據(jù)安全管理系統(tǒng)，包括云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4和安全管理中心5；所述云存儲系統(tǒng)1，包括本地存儲器和云存儲器，所述云存儲器包括客戶端和云端，所述客戶端負(fù)責(zé)監(jiān)控和捕獲本地的系統(tǒng)操作，所述云端設(shè)置有數(shù)據(jù)管理中心，負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，所述數(shù)據(jù)管理中心下設(shè)有各專業(yè)數(shù)據(jù)中心；所述數(shù)據(jù)預(yù)處理系統(tǒng)2用于在客戶端將用戶需要上傳的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲加解密系統(tǒng)3用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)4用于將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備；所述安全管理中心5用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理；所述負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲，存儲時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本發(fā)明上述實(shí)施例設(shè)置數(shù)據(jù)管理中心，便于實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理，提高工作效率，節(jié)約成本；采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)2包括數(shù)據(jù)分割單元21、數(shù)據(jù)抽取單元22和訪問控制安全策略優(yōu)化單元23，所述數(shù)據(jù)分割單元21用于對所述用戶需要上傳的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元22用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元23用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元22處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲至本地存儲器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將通過云存儲加解密系統(tǒng)3加密后的剩余需存儲到云存儲器中的數(shù)據(jù)通過Internet網(wǎng)絡(luò)傳輸?shù)皆贫耍黄渲?，?dāng)云端接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)2，先對需要存儲到云存儲系統(tǒng)1中的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲的物理存儲空間，降低存儲的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲到本地存儲器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲至云存儲器中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了大數(shù)據(jù)存儲的安全性能。

優(yōu)選的，所述訪云存儲加解密系統(tǒng)3主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲加解密系統(tǒng)3利用數(shù)據(jù)密鑰對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲加解密系統(tǒng)3，能夠?qū)崿F(xiàn)對多類型的大數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲到云存儲器的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了大數(shù)據(jù)共享的安全性能。

在此應(yīng)用場景中，更新周期T取6，系統(tǒng)的安全性相對提高了12％。

應(yīng)用場景2

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的大數(shù)據(jù)安全管理系統(tǒng)，包括云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4和安全管理中心5；所述云存儲系統(tǒng)1，包括本地存儲器和云存儲器，所述云存儲器包括客戶端和云端，所述客戶端負(fù)責(zé)監(jiān)控和捕獲本地的系統(tǒng)操作，所述云端設(shè)置有數(shù)據(jù)管理中心，負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，所述數(shù)據(jù)管理中心下設(shè)有各專業(yè)數(shù)據(jù)中心；所述數(shù)據(jù)預(yù)處理系統(tǒng)2用于在客戶端將用戶需要上傳的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲加解密系統(tǒng)3用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)4用于將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備；所述安全管理中心5用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理；所述負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲，存儲時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本發(fā)明上述實(shí)施例設(shè)置數(shù)據(jù)管理中心，便于實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理，提高工作效率，節(jié)約成本；采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)2包括數(shù)據(jù)分割單元21、數(shù)據(jù)抽取單元22和訪問控制安全策略優(yōu)化單元23，所述數(shù)據(jù)分割單元21用于對所述用戶需要上傳的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元22用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元23用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元22處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲至本地存儲器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將通過云存儲加解密系統(tǒng)3加密后的剩余需存儲到云存儲器中的數(shù)據(jù)通過Internet網(wǎng)絡(luò)傳輸?shù)皆贫?；其中，?dāng)云端接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)2，先對需要存儲到云存儲系統(tǒng)1中的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲的物理存儲空間，降低存儲的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲到本地存儲器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲至云存儲器中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了大數(shù)據(jù)存儲的安全性能。

優(yōu)選的，所述訪云存儲加解密系統(tǒng)3主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲加解密系統(tǒng)3利用數(shù)據(jù)密鑰對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲加解密系統(tǒng)3，能夠?qū)崿F(xiàn)對多類型的大數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲到云存儲器的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了大數(shù)據(jù)共享的安全性能。

在此應(yīng)用場景中，更新周期T取7，系統(tǒng)的安全性相對提高了11％。

應(yīng)用場景3

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的大數(shù)據(jù)安全管理系統(tǒng)，包括云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4和安全管理中心5；所述云存儲系統(tǒng)1，包括本地存儲器和云存儲器，所述云存儲器包括客戶端和云端，所述客戶端負(fù)責(zé)監(jiān)控和捕獲本地的系統(tǒng)操作，所述云端設(shè)置有數(shù)據(jù)管理中心，負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，所述數(shù)據(jù)管理中心下設(shè)有各專業(yè)數(shù)據(jù)中心；所述數(shù)據(jù)預(yù)處理系統(tǒng)2用于在客戶端將用戶需要上傳的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲加解密系統(tǒng)3用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)4用于將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備；所述安全管理中心5用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理；所述負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲，存儲時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本發(fā)明上述實(shí)施例設(shè)置數(shù)據(jù)管理中心，便于實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理，提高工作效率，節(jié)約成本；采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)2包括數(shù)據(jù)分割單元21、數(shù)據(jù)抽取單元22和訪問控制安全策略優(yōu)化單元23，所述數(shù)據(jù)分割單元21用于對所述用戶需要上傳的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元22用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元23用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元22處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲至本地存儲器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將通過云存儲加解密系統(tǒng)3加密后的剩余需存儲到云存儲器中的數(shù)據(jù)通過Internet網(wǎng)絡(luò)傳輸?shù)皆贫?；其中，?dāng)云端接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)2，先對需要存儲到云存儲系統(tǒng)1中的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲的物理存儲空間，降低存儲的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲到本地存儲器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲至云存儲器中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了大數(shù)據(jù)存儲的安全性能。

優(yōu)選的，所述訪云存儲加解密系統(tǒng)3主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲加解密系統(tǒng)3利用數(shù)據(jù)密鑰對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲加解密系統(tǒng)3，能夠?qū)崿F(xiàn)對多類型的大數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲到云存儲器的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了大數(shù)據(jù)共享的安全性能。

在此應(yīng)用場景中，更新周期T取8，系統(tǒng)的安全性相對提高了10％。

應(yīng)用場景4

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的大數(shù)據(jù)安全管理系統(tǒng)，包括云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4和安全管理中心5；所述云存儲系統(tǒng)1，包括本地存儲器和云存儲器，所述云存儲器包括客戶端和云端，所述客戶端負(fù)責(zé)監(jiān)控和捕獲本地的系統(tǒng)操作，所述云端設(shè)置有數(shù)據(jù)管理中心，負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，所述數(shù)據(jù)管理中心下設(shè)有各專業(yè)數(shù)據(jù)中心；所述數(shù)據(jù)預(yù)處理系統(tǒng)2用于在客戶端將用戶需要上傳的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲加解密系統(tǒng)3用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)4用于將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備；所述安全管理中心5用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理；所述負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲，存儲時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本發(fā)明上述實(shí)施例設(shè)置數(shù)據(jù)管理中心，便于實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理，提高工作效率，節(jié)約成本；采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)2包括數(shù)據(jù)分割單元21、數(shù)據(jù)抽取單元22和訪問控制安全策略優(yōu)化單元23，所述數(shù)據(jù)分割單元21用于對所述用戶需要上傳的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元22用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元23用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元22處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲至本地存儲器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將通過云存儲加解密系統(tǒng)3加密后的剩余需存儲到云存儲器中的數(shù)據(jù)通過Internet網(wǎng)絡(luò)傳輸?shù)皆贫?；其中，?dāng)云端接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)2，先對需要存儲到云存儲系統(tǒng)1中的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲的物理存儲空間，降低存儲的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲到本地存儲器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲至云存儲器中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了大數(shù)據(jù)存儲的安全性能。

優(yōu)選的，所述訪云存儲加解密系統(tǒng)3主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲加解密系統(tǒng)3利用數(shù)據(jù)密鑰對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲加解密系統(tǒng)3，能夠?qū)崿F(xiàn)對多類型的大數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲到云存儲器的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了大數(shù)據(jù)共享的安全性能。

在此應(yīng)用場景中，更新周期T取9，系統(tǒng)的安全性相對提高了9％。

應(yīng)用場景5

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的大數(shù)據(jù)安全管理系統(tǒng)，包括云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4和安全管理中心5；所述云存儲系統(tǒng)1，包括本地存儲器和云存儲器，所述云存儲器包括客戶端和云端，所述客戶端負(fù)責(zé)監(jiān)控和捕獲本地的系統(tǒng)操作，所述云端設(shè)置有數(shù)據(jù)管理中心，負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，所述數(shù)據(jù)管理中心下設(shè)有各專業(yè)數(shù)據(jù)中心；所述數(shù)據(jù)預(yù)處理系統(tǒng)2用于在客戶端將用戶需要上傳的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲加解密系統(tǒng)3用于按照優(yōu)化的訪問控制安全策略對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)4用于將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備；所述安全管理中心5用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理；所述負(fù)責(zé)數(shù)據(jù)的存儲、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲，存儲時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對云存儲系統(tǒng)1、數(shù)據(jù)預(yù)處理系統(tǒng)2、云存儲加解密系統(tǒng)3、控制系統(tǒng)4不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本發(fā)明上述實(shí)施例設(shè)置數(shù)據(jù)管理中心，便于實(shí)現(xiàn)數(shù)據(jù)統(tǒng)一管理，提高工作效率，節(jié)約成本；采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)2包括數(shù)據(jù)分割單元21、數(shù)據(jù)抽取單元22和訪問控制安全策略優(yōu)化單元23，所述數(shù)據(jù)分割單元21用于對所述用戶需要上傳的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元22用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元23用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元22處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將用戶需要上傳的數(shù)據(jù)存儲至相應(yīng)的物理存儲設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲至本地存儲器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將通過云存儲加解密系統(tǒng)3加密后的剩余需存儲到云存儲器中的數(shù)據(jù)通過Internet網(wǎng)絡(luò)傳輸?shù)皆贫?；其中，?dāng)云端接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)2，先對需要存儲到云存儲系統(tǒng)1中的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲的物理存儲空間，降低存儲的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲到本地存儲器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲至云存儲器中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了大數(shù)據(jù)存儲的安全性能。

優(yōu)選的，所述訪云存儲加解密系統(tǒng)3主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對剩余需存儲到云存儲器中的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲加解密系統(tǒng)3利用數(shù)據(jù)密鑰對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對剩余需存儲到云存儲器中的數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲加解密系統(tǒng)3，能夠?qū)崿F(xiàn)對多類型的大數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲到云存儲器的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了大數(shù)據(jù)共享的安全性能。

在此應(yīng)用場景中，更新周期T取10，系統(tǒng)的安全性相對提高了8％。

最后應(yīng)當(dāng)說明的是，以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對本發(fā)明保護(hù)范圍的限制，盡管參照較佳實(shí)施例對本發(fā)明作了詳細(xì)地說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的實(shí)質(zhì)和范圍。