本發(fā)明涉及通信和互聯(lián)網(wǎng)技術(shù)領(lǐng)域，具體涉及一種云教育系統(tǒng)。

背景技術(shù)：

相關(guān)技術(shù)中，教育資源多通過傳統(tǒng)的紙張、多媒體光盤或者獨(dú)立的多媒體終端來實(shí)現(xiàn)，雖然品種多樣，但是紙質(zhì)以及光盤類介質(zhì)只能通過人力定期投送來完成內(nèi)容更新，而獨(dú)立的多媒體終端則無法升級。因而，教學(xué)資源更新較為滯后，若需要擁有豐富的資源，其需要的成本也極高。

技術(shù)實(shí)現(xiàn)要素：

為解決上述問題，本發(fā)明旨在提供一種云教育系統(tǒng)。

本發(fā)明的目的采用以下技術(shù)方案來實(shí)現(xiàn)：

提供了一種云教育系統(tǒng)，包括云教育服務(wù)中心、用戶移動(dòng)終端和教育終端，所述用戶移動(dòng)終端、教育終端分別與所述云教育服務(wù)中心通信連接；所述云教育服務(wù)中心用來存儲(chǔ)教育用資源數(shù)據(jù)，根據(jù)教育終端的數(shù)據(jù)更新請求向發(fā)起數(shù)據(jù)更新請求的教育終端下發(fā)教育用資源數(shù)據(jù)，根據(jù)用戶移動(dòng)終端的上傳數(shù)據(jù)請求向發(fā)起上傳數(shù)據(jù)請求的用戶移動(dòng)終端提供存儲(chǔ)空間，并管理與之連接的教育終端；所述用戶移動(dòng)終端用于為用戶向云教育服務(wù)中心上傳教育用資源數(shù)據(jù)提供接口服務(wù)；所述教育終端用于向云教育服務(wù)中心發(fā)起數(shù)據(jù)更新請求，并接收云教育服務(wù)中心下發(fā)的教育用資源數(shù)據(jù)。

本發(fā)明的有益效果為：用戶移動(dòng)終端可隨時(shí)將教育用資源數(shù)據(jù)上傳到云教育服務(wù)中心，豐富云教育服務(wù)中心中的數(shù)據(jù)；用于教育領(lǐng)域中，以創(chuàng)新的內(nèi)容更新方式，將教育用資源數(shù)據(jù)存儲(chǔ)于云教育服務(wù)中心，通過即時(shí)請求的方式更新教育終端，以達(dá)到節(jié)省人力，并且無限擴(kuò)大教育用資源數(shù)據(jù)的存儲(chǔ)容量，從而解決了上述的技術(shù)問題。

附圖說明

利用附圖對本發(fā)明作進(jìn)一步說明，但附圖中的實(shí)施例不構(gòu)成對本發(fā)明的任何限制，對于本領(lǐng)域的普通技術(shù)人員，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)以下附圖獲得其它的附圖。

圖1是本發(fā)明結(jié)構(gòu)連接示意圖。

圖2是本發(fā)明數(shù)據(jù)安全管理系統(tǒng)的結(jié)構(gòu)示意圖。

附圖標(biāo)記：

云教育服務(wù)中心1、用戶移動(dòng)終端2、教育終端3、數(shù)據(jù)安全管理系統(tǒng)4、數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43、安全管理中心44。

具體實(shí)施方式

結(jié)合以下實(shí)施例對本發(fā)明作進(jìn)一步描述。

應(yīng)用場景1

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的云教育系統(tǒng)，包括云教育服務(wù)中心1、用戶移動(dòng)終端2和教育終端3，所述用戶移動(dòng)終端2、教育終端3分別與所述云教育服務(wù)中心1通信連接；所述云教育服務(wù)中心1用來存儲(chǔ)教育用資源數(shù)據(jù)，根據(jù)教育終端3的數(shù)據(jù)更新請求向發(fā)起數(shù)據(jù)更新請求的教育終端3下發(fā)教育用資源數(shù)據(jù)，根據(jù)用戶移動(dòng)終端2的上傳數(shù)據(jù)請求向發(fā)起上傳數(shù)據(jù)請求的用戶移動(dòng)終端2提供存儲(chǔ)空間，并管理與之連接的教育終端3；所述用戶移動(dòng)終端2用于為用戶向云教育服務(wù)中心1上傳教育用資源數(shù)據(jù)提供接口服務(wù)；所述教育終端3用于向云教育服務(wù)中心1發(fā)起數(shù)據(jù)更新請求，并接收云教育服務(wù)中心1下發(fā)的教育用資源數(shù)據(jù)。

本發(fā)明上述實(shí)施例的用戶移動(dòng)終端2可隨時(shí)將教育用資源數(shù)據(jù)上傳到云教育服務(wù)中心1，豐富云教育服務(wù)中心1中的數(shù)據(jù)；用于教育領(lǐng)域中，以創(chuàng)新的內(nèi)容更新方式，將教育用資源數(shù)據(jù)存儲(chǔ)于云教育服務(wù)中心1，通過即時(shí)請求的方式更新教育終端3，以達(dá)到節(jié)省人力，并且無限擴(kuò)大教育用資源數(shù)據(jù)的存儲(chǔ)容量，從而解決了上述的技術(shù)問題。

優(yōu)選的，所述云教育服務(wù)中心1包括：

更新請求接收模塊，用于接收教育終端3向云教育服務(wù)中心1發(fā)起的數(shù)據(jù)更新請求；

解析模塊，用來解析所述數(shù)據(jù)更新請求，獲取教育終端3需要的教育用資源數(shù)據(jù)；

存儲(chǔ)模塊，用來存儲(chǔ)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)；

發(fā)送模塊，用于向教育終端3下發(fā)需要的教育用資源數(shù)據(jù)。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1對教育終端3的教育用資源數(shù)據(jù)進(jìn)行更新的功能。

優(yōu)選的，所述云教育服務(wù)中心1還包括管理模塊，用來通過控制命令管理與之連接的教育終端3；所述發(fā)送模塊還用來發(fā)送管理控制命令。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1管理教育終端3的功能。

優(yōu)選的，所述云教育系統(tǒng)還包括用于管理云教育服務(wù)中心1中的數(shù)據(jù)的數(shù)據(jù)安全管理系統(tǒng)4；所述數(shù)據(jù)安全管理系統(tǒng)4包括數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43和安全管理中心44；所述數(shù)據(jù)服務(wù)系統(tǒng)40用于負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢；所述數(shù)據(jù)預(yù)處理系統(tǒng)41用于將需保密的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲(chǔ)加解密系統(tǒng)42用于按照優(yōu)化的訪問控制安全策略對需保密的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)43用于將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備；所述安全管理中心44用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理。

本優(yōu)選實(shí)施例構(gòu)建了數(shù)據(jù)安全管理系統(tǒng)4的系統(tǒng)結(jié)構(gòu)。

優(yōu)選的，所述負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲(chǔ)的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲(chǔ)，存儲(chǔ)時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲(chǔ)，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲(chǔ)，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

本優(yōu)選實(shí)施例采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲(chǔ)、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了對各系統(tǒng)安全的統(tǒng)一監(jiān)控管理。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)41包括數(shù)據(jù)分割單元、數(shù)據(jù)抽取單元和訪問控制安全策略優(yōu)化單元，所述數(shù)據(jù)分割單元用于對需保密的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲(chǔ)至本地存儲(chǔ)器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將剩余信息數(shù)據(jù)通過云存儲(chǔ)加解密系統(tǒng)42加密后存儲(chǔ)到云服務(wù)中心中的云存儲(chǔ)模塊；其中，當(dāng)云存儲(chǔ)模塊接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲(chǔ)節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)41，先對需保密的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲(chǔ)的物理存儲(chǔ)空間，降低存儲(chǔ)的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲(chǔ)到本地存儲(chǔ)器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲(chǔ)至云存儲(chǔ)模塊中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲(chǔ)數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲(chǔ)管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了需保密的信息數(shù)據(jù)存儲(chǔ)的安全性能。

優(yōu)選的，所述云存儲(chǔ)加解密系統(tǒng)42主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對需保密的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲(chǔ)加解密系統(tǒng)42利用數(shù)據(jù)密鑰對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲(chǔ)加解密系統(tǒng)42，能夠?qū)崿F(xiàn)對多類型的數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了數(shù)據(jù)安全管理系統(tǒng)4的安全性能。

在此應(yīng)用場景中，更新周期T取6，數(shù)據(jù)安全管理系統(tǒng)4的安全性相對提高了12％。

應(yīng)用場景2

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的云教育系統(tǒng)，包括云教育服務(wù)中心1、用戶移動(dòng)終端2和教育終端3，所述用戶移動(dòng)終端2、教育終端3分別與所述云教育服務(wù)中心1通信連接；所述云教育服務(wù)中心1用來存儲(chǔ)教育用資源數(shù)據(jù)，根據(jù)教育終端3的數(shù)據(jù)更新請求向發(fā)起數(shù)據(jù)更新請求的教育終端3下發(fā)教育用資源數(shù)據(jù)，根據(jù)用戶移動(dòng)終端2的上傳數(shù)據(jù)請求向發(fā)起上傳數(shù)據(jù)請求的用戶移動(dòng)終端2提供存儲(chǔ)空間，并管理與之連接的教育終端3；所述用戶移動(dòng)終端2用于為用戶向云教育服務(wù)中心1上傳教育用資源數(shù)據(jù)提供接口服務(wù)；所述教育終端3用于向云教育服務(wù)中心1發(fā)起數(shù)據(jù)更新請求，并接收云教育服務(wù)中心1下發(fā)的教育用資源數(shù)據(jù)。

本發(fā)明上述實(shí)施例的用戶移動(dòng)終端2可隨時(shí)將教育用資源數(shù)據(jù)上傳到云教育服務(wù)中心1，豐富云教育服務(wù)中心1中的數(shù)據(jù)；用于教育領(lǐng)域中，以創(chuàng)新的內(nèi)容更新方式，將教育用資源數(shù)據(jù)存儲(chǔ)于云教育服務(wù)中心1，通過即時(shí)請求的方式更新教育終端3，以達(dá)到節(jié)省人力，并且無限擴(kuò)大教育用資源數(shù)據(jù)的存儲(chǔ)容量，從而解決了上述的技術(shù)問題。

優(yōu)選的，所述云教育服務(wù)中心1包括：

更新請求接收模塊，用于接收教育終端3向云教育服務(wù)中心1發(fā)起的數(shù)據(jù)更新請求；

解析模塊，用來解析所述數(shù)據(jù)更新請求，獲取教育終端3需要的教育用資源數(shù)據(jù)；

存儲(chǔ)模塊，用來存儲(chǔ)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)；

發(fā)送模塊，用于向教育終端3下發(fā)需要的教育用資源數(shù)據(jù)。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1對教育終端3的教育用資源數(shù)據(jù)進(jìn)行更新的功能。

優(yōu)選的，所述云教育服務(wù)中心1還包括管理模塊，用來通過控制命令管理與之連接的教育終端3；所述發(fā)送模塊還用來發(fā)送管理控制命令。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1管理教育終端3的功能。

優(yōu)選的，所述云教育系統(tǒng)還包括用于管理云教育服務(wù)中心1中的數(shù)據(jù)的數(shù)據(jù)安全管理系統(tǒng)4；所述數(shù)據(jù)安全管理系統(tǒng)4包括數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43和安全管理中心44；所述數(shù)據(jù)服務(wù)系統(tǒng)40用于負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢；所述數(shù)據(jù)預(yù)處理系統(tǒng)41用于將需保密的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲(chǔ)加解密系統(tǒng)42用于按照優(yōu)化的訪問控制安全策略對需保密的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)43用于將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備；所述安全管理中心44用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理。

本優(yōu)選實(shí)施例構(gòu)建了數(shù)據(jù)安全管理系統(tǒng)4的系統(tǒng)結(jié)構(gòu)。

優(yōu)選的，所述負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲(chǔ)的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲(chǔ)，存儲(chǔ)時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲(chǔ)，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲(chǔ)，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

本優(yōu)選實(shí)施例采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲(chǔ)、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了對各系統(tǒng)安全的統(tǒng)一監(jiān)控管理。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)41包括數(shù)據(jù)分割單元、數(shù)據(jù)抽取單元和訪問控制安全策略優(yōu)化單元，所述數(shù)據(jù)分割單元用于對需保密的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲(chǔ)至本地存儲(chǔ)器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將剩余信息數(shù)據(jù)通過云存儲(chǔ)加解密系統(tǒng)42加密后存儲(chǔ)到云服務(wù)中心中的云存儲(chǔ)模塊；其中，當(dāng)云存儲(chǔ)模塊接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲(chǔ)節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)41，先對需保密的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲(chǔ)的物理存儲(chǔ)空間，降低存儲(chǔ)的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲(chǔ)到本地存儲(chǔ)器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲(chǔ)至云存儲(chǔ)模塊中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲(chǔ)數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲(chǔ)管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了需保密的信息數(shù)據(jù)存儲(chǔ)的安全性能。

優(yōu)選的，所述云存儲(chǔ)加解密系統(tǒng)42主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對需保密的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲(chǔ)加解密系統(tǒng)42利用數(shù)據(jù)密鑰對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲(chǔ)加解密系統(tǒng)42，能夠?qū)崿F(xiàn)對多類型的數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了數(shù)據(jù)安全管理系統(tǒng)4的安全性能。

在此應(yīng)用場景中，更新周期T取7，數(shù)據(jù)安全管理系統(tǒng)4的安全性相對提高了11％。

應(yīng)用場景3

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的云教育系統(tǒng)，包括云教育服務(wù)中心1、用戶移動(dòng)終端2和教育終端3，所述用戶移動(dòng)終端2、教育終端3分別與所述云教育服務(wù)中心1通信連接；所述云教育服務(wù)中心1用來存儲(chǔ)教育用資源數(shù)據(jù)，根據(jù)教育終端3的數(shù)據(jù)更新請求向發(fā)起數(shù)據(jù)更新請求的教育終端3下發(fā)教育用資源數(shù)據(jù)，根據(jù)用戶移動(dòng)終端2的上傳數(shù)據(jù)請求向發(fā)起上傳數(shù)據(jù)請求的用戶移動(dòng)終端2提供存儲(chǔ)空間，并管理與之連接的教育終端3；所述用戶移動(dòng)終端2用于為用戶向云教育服務(wù)中心1上傳教育用資源數(shù)據(jù)提供接口服務(wù)；所述教育終端3用于向云教育服務(wù)中心1發(fā)起數(shù)據(jù)更新請求，并接收云教育服務(wù)中心1下發(fā)的教育用資源數(shù)據(jù)。

本發(fā)明上述實(shí)施例的用戶移動(dòng)終端2可隨時(shí)將教育用資源數(shù)據(jù)上傳到云教育服務(wù)中心1，豐富云教育服務(wù)中心1中的數(shù)據(jù)；用于教育領(lǐng)域中，以創(chuàng)新的內(nèi)容更新方式，將教育用資源數(shù)據(jù)存儲(chǔ)于云教育服務(wù)中心1，通過即時(shí)請求的方式更新教育終端3，以達(dá)到節(jié)省人力，并且無限擴(kuò)大教育用資源數(shù)據(jù)的存儲(chǔ)容量，從而解決了上述的技術(shù)問題。

優(yōu)選的，所述云教育服務(wù)中心1包括：

更新請求接收模塊，用于接收教育終端3向云教育服務(wù)中心1發(fā)起的數(shù)據(jù)更新請求；

解析模塊，用來解析所述數(shù)據(jù)更新請求，獲取教育終端3需要的教育用資源數(shù)據(jù)；

存儲(chǔ)模塊，用來存儲(chǔ)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)；

發(fā)送模塊，用于向教育終端3下發(fā)需要的教育用資源數(shù)據(jù)。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1對教育終端3的教育用資源數(shù)據(jù)進(jìn)行更新的功能。

優(yōu)選的，所述云教育服務(wù)中心1還包括管理模塊，用來通過控制命令管理與之連接的教育終端3；所述發(fā)送模塊還用來發(fā)送管理控制命令。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1管理教育終端3的功能。

優(yōu)選的，所述云教育系統(tǒng)還包括用于管理云教育服務(wù)中心1中的數(shù)據(jù)的數(shù)據(jù)安全管理系統(tǒng)4；所述數(shù)據(jù)安全管理系統(tǒng)4包括數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43和安全管理中心44；所述數(shù)據(jù)服務(wù)系統(tǒng)40用于負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢；所述數(shù)據(jù)預(yù)處理系統(tǒng)41用于將需保密的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲(chǔ)加解密系統(tǒng)42用于按照優(yōu)化的訪問控制安全策略對需保密的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)43用于將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備；所述安全管理中心44用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理。

本優(yōu)選實(shí)施例構(gòu)建了數(shù)據(jù)安全管理系統(tǒng)4的系統(tǒng)結(jié)構(gòu)。

優(yōu)選的，所述負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲(chǔ)的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲(chǔ)，存儲(chǔ)時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲(chǔ)，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲(chǔ)，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

本優(yōu)選實(shí)施例采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲(chǔ)、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了對各系統(tǒng)安全的統(tǒng)一監(jiān)控管理。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)41包括數(shù)據(jù)分割單元、數(shù)據(jù)抽取單元和訪問控制安全策略優(yōu)化單元，所述數(shù)據(jù)分割單元用于對需保密的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲(chǔ)至本地存儲(chǔ)器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將剩余信息數(shù)據(jù)通過云存儲(chǔ)加解密系統(tǒng)42加密后存儲(chǔ)到云服務(wù)中心中的云存儲(chǔ)模塊；其中，當(dāng)云存儲(chǔ)模塊接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲(chǔ)節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)41，先對需保密的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲(chǔ)的物理存儲(chǔ)空間，降低存儲(chǔ)的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲(chǔ)到本地存儲(chǔ)器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲(chǔ)至云存儲(chǔ)模塊中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲(chǔ)數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲(chǔ)管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了需保密的信息數(shù)據(jù)存儲(chǔ)的安全性能。

優(yōu)選的，所述云存儲(chǔ)加解密系統(tǒng)42主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對需保密的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲(chǔ)加解密系統(tǒng)42利用數(shù)據(jù)密鑰對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲(chǔ)加解密系統(tǒng)42，能夠?qū)崿F(xiàn)對多類型的數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了數(shù)據(jù)安全管理系統(tǒng)4的安全性能。

在此應(yīng)用場景中，更新周期T取8，數(shù)據(jù)安全管理系統(tǒng)4的安全性相對提高了10％。

應(yīng)用場景4

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的云教育系統(tǒng)，包括云教育服務(wù)中心1、用戶移動(dòng)終端2和教育終端3，所述用戶移動(dòng)終端2、教育終端3分別與所述云教育服務(wù)中心1通信連接；所述云教育服務(wù)中心1用來存儲(chǔ)教育用資源數(shù)據(jù)，根據(jù)教育終端3的數(shù)據(jù)更新請求向發(fā)起數(shù)據(jù)更新請求的教育終端3下發(fā)教育用資源數(shù)據(jù)，根據(jù)用戶移動(dòng)終端2的上傳數(shù)據(jù)請求向發(fā)起上傳數(shù)據(jù)請求的用戶移動(dòng)終端2提供存儲(chǔ)空間，并管理與之連接的教育終端3；所述用戶移動(dòng)終端2用于為用戶向云教育服務(wù)中心1上傳教育用資源數(shù)據(jù)提供接口服務(wù)；所述教育終端3用于向云教育服務(wù)中心1發(fā)起數(shù)據(jù)更新請求，并接收云教育服務(wù)中心1下發(fā)的教育用資源數(shù)據(jù)。

本發(fā)明上述實(shí)施例的用戶移動(dòng)終端2可隨時(shí)將教育用資源數(shù)據(jù)上傳到云教育服務(wù)中心1，豐富云教育服務(wù)中心1中的數(shù)據(jù)；用于教育領(lǐng)域中，以創(chuàng)新的內(nèi)容更新方式，將教育用資源數(shù)據(jù)存儲(chǔ)于云教育服務(wù)中心1，通過即時(shí)請求的方式更新教育終端3，以達(dá)到節(jié)省人力，并且無限擴(kuò)大教育用資源數(shù)據(jù)的存儲(chǔ)容量，從而解決了上述的技術(shù)問題。

優(yōu)選的，所述云教育服務(wù)中心1包括：

更新請求接收模塊，用于接收教育終端3向云教育服務(wù)中心1發(fā)起的數(shù)據(jù)更新請求；

解析模塊，用來解析所述數(shù)據(jù)更新請求，獲取教育終端3需要的教育用資源數(shù)據(jù)；

存儲(chǔ)模塊，用來存儲(chǔ)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)；

發(fā)送模塊，用于向教育終端3下發(fā)需要的教育用資源數(shù)據(jù)。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1對教育終端3的教育用資源數(shù)據(jù)進(jìn)行更新的功能。

優(yōu)選的，所述云教育服務(wù)中心1還包括管理模塊，用來通過控制命令管理與之連接的教育終端3；所述發(fā)送模塊還用來發(fā)送管理控制命令。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1管理教育終端3的功能。

優(yōu)選的，所述云教育系統(tǒng)還包括用于管理云教育服務(wù)中心1中的數(shù)據(jù)的數(shù)據(jù)安全管理系統(tǒng)4；所述數(shù)據(jù)安全管理系統(tǒng)4包括數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43和安全管理中心44；所述數(shù)據(jù)服務(wù)系統(tǒng)40用于負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢；所述數(shù)據(jù)預(yù)處理系統(tǒng)41用于將需保密的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲(chǔ)加解密系統(tǒng)42用于按照優(yōu)化的訪問控制安全策略對需保密的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)43用于將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備；所述安全管理中心44用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理。

本優(yōu)選實(shí)施例構(gòu)建了數(shù)據(jù)安全管理系統(tǒng)4的系統(tǒng)結(jié)構(gòu)。

優(yōu)選的，所述負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲(chǔ)的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲(chǔ)，存儲(chǔ)時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲(chǔ)，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲(chǔ)，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

本優(yōu)選實(shí)施例采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲(chǔ)、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了對各系統(tǒng)安全的統(tǒng)一監(jiān)控管理。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)41包括數(shù)據(jù)分割單元、數(shù)據(jù)抽取單元和訪問控制安全策略優(yōu)化單元，所述數(shù)據(jù)分割單元用于對需保密的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲(chǔ)至本地存儲(chǔ)器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將剩余信息數(shù)據(jù)通過云存儲(chǔ)加解密系統(tǒng)42加密后存儲(chǔ)到云服務(wù)中心中的云存儲(chǔ)模塊；其中，當(dāng)云存儲(chǔ)模塊接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲(chǔ)節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)41，先對需保密的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲(chǔ)的物理存儲(chǔ)空間，降低存儲(chǔ)的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲(chǔ)到本地存儲(chǔ)器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲(chǔ)至云存儲(chǔ)模塊中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲(chǔ)數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲(chǔ)管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了需保密的信息數(shù)據(jù)存儲(chǔ)的安全性能。

優(yōu)選的，所述云存儲(chǔ)加解密系統(tǒng)42主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對需保密的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,βAID∈Z_P；

(3)云存儲(chǔ)加解密系統(tǒng)42利用數(shù)據(jù)密鑰對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲(chǔ)加解密系統(tǒng)42，能夠?qū)崿F(xiàn)對多類型的數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了數(shù)據(jù)安全管理系統(tǒng)4的安全性能。

在此應(yīng)用場景中，更新周期T取9，數(shù)據(jù)安全管理系統(tǒng)4的安全性相對提高了9％。

應(yīng)用場景5

參見圖1、圖2，本應(yīng)用場景的一個(gè)實(shí)施例的云教育系統(tǒng)，包括云教育服務(wù)中心1、用戶移動(dòng)終端2和教育終端3，所述用戶移動(dòng)終端2、教育終端3分別與所述云教育服務(wù)中心1通信連接；所述云教育服務(wù)中心1用來存儲(chǔ)教育用資源數(shù)據(jù)，根據(jù)教育終端3的數(shù)據(jù)更新請求向發(fā)起數(shù)據(jù)更新請求的教育終端3下發(fā)教育用資源數(shù)據(jù)，根據(jù)用戶移動(dòng)終端2的上傳數(shù)據(jù)請求向發(fā)起上傳數(shù)據(jù)請求的用戶移動(dòng)終端2提供存儲(chǔ)空間，并管理與之連接的教育終端3；所述用戶移動(dòng)終端2用于為用戶向云教育服務(wù)中心1上傳教育用資源數(shù)據(jù)提供接口服務(wù)；所述教育終端3用于向云教育服務(wù)中心1發(fā)起數(shù)據(jù)更新請求，并接收云教育服務(wù)中心1下發(fā)的教育用資源數(shù)據(jù)。

本發(fā)明上述實(shí)施例的用戶移動(dòng)終端2可隨時(shí)將教育用資源數(shù)據(jù)上傳到云教育服務(wù)中心1，豐富云教育服務(wù)中心1中的數(shù)據(jù)；用于教育領(lǐng)域中，以創(chuàng)新的內(nèi)容更新方式，將教育用資源數(shù)據(jù)存儲(chǔ)于云教育服務(wù)中心1，通過即時(shí)請求的方式更新教育終端3，以達(dá)到節(jié)省人力，并且無限擴(kuò)大教育用資源數(shù)據(jù)的存儲(chǔ)容量，從而解決了上述的技術(shù)問題。

優(yōu)選的，所述云教育服務(wù)中心1包括：

更新請求接收模塊，用于接收教育終端3向云教育服務(wù)中心1發(fā)起的數(shù)據(jù)更新請求；

解析模塊，用來解析所述數(shù)據(jù)更新請求，獲取教育終端3需要的教育用資源數(shù)據(jù)；

存儲(chǔ)模塊，用來存儲(chǔ)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)；

發(fā)送模塊，用于向教育終端3下發(fā)需要的教育用資源數(shù)據(jù)。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1對教育終端3的教育用資源數(shù)據(jù)進(jìn)行更新的功能。

優(yōu)選的，所述云教育服務(wù)中心1還包括管理模塊，用來通過控制命令管理與之連接的教育終端3；所述發(fā)送模塊還用來發(fā)送管理控制命令。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了云教育服務(wù)中心1管理教育終端3的功能。

優(yōu)選的，所述云教育系統(tǒng)還包括用于管理云教育服務(wù)中心1中的數(shù)據(jù)的數(shù)據(jù)安全管理系統(tǒng)4；所述數(shù)據(jù)安全管理系統(tǒng)4包括數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43和安全管理中心44；所述數(shù)據(jù)服務(wù)系統(tǒng)40用于負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢；所述數(shù)據(jù)預(yù)處理系統(tǒng)41用于將需保密的數(shù)據(jù)進(jìn)行預(yù)處理；所述云存儲(chǔ)加解密系統(tǒng)42用于按照優(yōu)化的訪問控制安全策略對需保密的數(shù)據(jù)進(jìn)行加密或解密；所述控制系統(tǒng)43用于將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備；所述安全管理中心44用于對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理。

本優(yōu)選實(shí)施例構(gòu)建了數(shù)據(jù)安全管理系統(tǒng)4的系統(tǒng)結(jié)構(gòu)。

優(yōu)選的，所述負(fù)責(zé)教育用資源數(shù)據(jù)和云終端管理數(shù)據(jù)的存儲(chǔ)、備份及查詢，包括：

(1)對數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，建立適用于非關(guān)系數(shù)據(jù)庫進(jìn)行存儲(chǔ)的格式；

(2)將數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和專業(yè)數(shù)據(jù)，采用集中式和分布式結(jié)合的策略對數(shù)據(jù)進(jìn)行存儲(chǔ)，存儲(chǔ)時(shí)所有數(shù)據(jù)都進(jìn)行備份；所述集中式和分布式結(jié)合的策略包括：對于高于預(yù)設(shè)頻率的基礎(chǔ)數(shù)據(jù)采用集中式存儲(chǔ)，由數(shù)據(jù)管理中心統(tǒng)一維護(hù)，對于低于預(yù)設(shè)頻率的專業(yè)數(shù)據(jù)采用分布式存儲(chǔ)，由各專業(yè)數(shù)據(jù)中心分別維護(hù)；

(3)建立相應(yīng)的數(shù)據(jù)檢索算法，對數(shù)據(jù)進(jìn)行快速檢索，所述數(shù)據(jù)檢索算法采用目錄檢索和搜索引擎相結(jié)合的方式進(jìn)行，具體包括：建立數(shù)據(jù)目錄，根據(jù)目錄對數(shù)據(jù)進(jìn)行初步檢索；在搜索引擎輸入關(guān)鍵詞，對數(shù)據(jù)進(jìn)行精確檢索；搜索引擎按照一定的方式尋找匹配的數(shù)據(jù)，并根據(jù)數(shù)據(jù)與關(guān)鍵詞的匹配程度進(jìn)行排序反饋給用戶。

本優(yōu)選實(shí)施例采用目錄檢索和搜索引擎結(jié)合的檢索算法，能夠快速、準(zhǔn)確的獲取數(shù)據(jù)。

優(yōu)選的，所述對各系統(tǒng)安全進(jìn)行統(tǒng)一監(jiān)控管理，包括：

(1)針對數(shù)據(jù)服務(wù)系統(tǒng)40、數(shù)據(jù)預(yù)處理系統(tǒng)41、云存儲(chǔ)加解密系統(tǒng)42、控制系統(tǒng)43不同的安全防護(hù)要求采取對應(yīng)的安全防護(hù)技術(shù)，配備相關(guān)的安全防護(hù)設(shè)備，形成完整的安全防護(hù)體制；

(2)建立有效的數(shù)據(jù)安全策略，對數(shù)據(jù)存儲(chǔ)、傳輸、訪問過程中的安全進(jìn)行綜合考慮，不僅對數(shù)據(jù)進(jìn)行加密，同時(shí)對數(shù)據(jù)的傳輸協(xié)議進(jìn)行加密；

(3)建立病毒和木馬防御機(jī)制，定期更新病毒庫和升級防火墻，更新周期為T，T取值為6-10天，對檢測到的異常數(shù)據(jù)要進(jìn)行分析，并發(fā)出預(yù)警。

本優(yōu)選實(shí)施例實(shí)現(xiàn)了對各系統(tǒng)安全的統(tǒng)一監(jiān)控管理。

優(yōu)選的，所述數(shù)據(jù)預(yù)處理系統(tǒng)41包括數(shù)據(jù)分割單元、數(shù)據(jù)抽取單元和訪問控制安全策略優(yōu)化單元，所述數(shù)據(jù)分割單元用于對需保密的數(shù)據(jù)分割成多個(gè)互斥的數(shù)據(jù)集合；所述數(shù)據(jù)抽取單元用于對所述互斥的數(shù)據(jù)集合按照自定義的排序規(guī)則進(jìn)行排序，將每個(gè)數(shù)據(jù)集合中的第一個(gè)數(shù)據(jù)單元按序抽取出來，與所述排序規(guī)則一起保存作為小塊數(shù)據(jù)，其中所述互斥表示數(shù)據(jù)集合中的兩兩數(shù)據(jù)單元之間不存在任何關(guān)聯(lián)；所述訪問控制安全策略優(yōu)化單元用于基于細(xì)粒度資源分割的訪問控制安全策略優(yōu)化方法生成系統(tǒng)的訪問控制安全策略，包括：

(1)基于被數(shù)據(jù)抽取單元處理后的互斥的數(shù)據(jù)集合，構(gòu)建層次化數(shù)據(jù)數(shù)結(jié)構(gòu)，所述層次化數(shù)據(jù)樹結(jié)構(gòu)為三層數(shù)據(jù)樹結(jié)構(gòu)，其包括服務(wù)層、邏輯層和物理層，所述服務(wù)層為與數(shù)據(jù)調(diào)度服務(wù)相關(guān)的樹根節(jié)點(diǎn)，所述邏輯層為訪問控制安全策略中關(guān)聯(lián)的數(shù)據(jù)，所述物理層包含所有互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元；

(2)基于訪問控制標(biāo)記語言XACML制定針對不同安全等級的數(shù)據(jù)的訪問控制安全策略，將訪問控制安全策略中與數(shù)據(jù)關(guān)聯(lián)的規(guī)則投影到所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上，從而將訪問控制安全策略中的規(guī)則細(xì)化到數(shù)據(jù)維度；

(3)在每個(gè)所述互斥的數(shù)據(jù)集合中的數(shù)據(jù)單元上進(jìn)行規(guī)則優(yōu)化，以刪除分配在每個(gè)數(shù)據(jù)單元上的規(guī)則的沖突和冗余；

(4)合并優(yōu)化后的規(guī)則，生成優(yōu)化的訪問控制安全策略。

優(yōu)選的，所述將上傳的教育用資源數(shù)據(jù)存儲(chǔ)至相應(yīng)的存儲(chǔ)設(shè)備，包括：

(1)將小塊數(shù)據(jù)存儲(chǔ)至本地存儲(chǔ)器，并采用用戶定義的加密技術(shù)對小塊數(shù)據(jù)進(jìn)行加密；

(2)將剩余信息數(shù)據(jù)通過云存儲(chǔ)加解密系統(tǒng)42加密后存儲(chǔ)到云服務(wù)中心中的云存儲(chǔ)模塊；其中，當(dāng)云存儲(chǔ)模塊接收到數(shù)據(jù)后，云對該數(shù)據(jù)進(jìn)行完整性校驗(yàn)后保存在存儲(chǔ)節(jié)點(diǎn)中。

上述兩個(gè)優(yōu)選實(shí)施例設(shè)置數(shù)據(jù)預(yù)處理系統(tǒng)41，先對需保密的數(shù)據(jù)進(jìn)行數(shù)據(jù)分割和數(shù)據(jù)抽取處理，再進(jìn)行訪問控制安全策略中的規(guī)則細(xì)化，可以減少數(shù)據(jù)存儲(chǔ)的物理存儲(chǔ)空間，降低存儲(chǔ)的開銷，并消除訪問控制安全策略中的沖突和冗余，提高訪問控制決策效率；通過數(shù)據(jù)抽取處理抽取部分?jǐn)?shù)據(jù)存儲(chǔ)到本地存儲(chǔ)器中，其余數(shù)據(jù)設(shè)置相應(yīng)的訪問控制安全策略后存儲(chǔ)至云存儲(chǔ)模塊中，解決了傳統(tǒng)的基于單純加密技術(shù)的云存儲(chǔ)數(shù)據(jù)隱私保障機(jī)制在實(shí)際的數(shù)據(jù)操作過程中帶來的比較大的系統(tǒng)開銷和繁瑣，可以有效防止惡意用戶或云存儲(chǔ)管理員非法竊取、篡改用戶的隱私數(shù)據(jù)，提高了需保密的信息數(shù)據(jù)存儲(chǔ)的安全性能。

優(yōu)選的，所述云存儲(chǔ)加解密系統(tǒng)42主要由數(shù)據(jù)擁有者、屬性機(jī)構(gòu)、云、可信三方、用戶五個(gè)實(shí)體構(gòu)成，所述對需保密的數(shù)據(jù)進(jìn)行加密或解密，包括：

(1)可信三方為用戶和屬性機(jī)構(gòu)分別分配用戶身份標(biāo)識UAID和屬性機(jī)構(gòu)身份標(biāo)識AID，包括：

A、進(jìn)行初始化，可信三方設(shè)定系統(tǒng)參數(shù)為其中α為隨機(jī)整數(shù)；

B、對于每個(gè)合法用戶，可信三方分配UAID并為其生成證書：

$Certificate\left(UAID\right)=\hat{E}{\left(H\right(UAID),g)}^{C_{UAID}}$

同時(shí)，公布合法用戶的身份驗(yàn)證參數(shù)其中，C_UAID∈Z_P；

C、為數(shù)據(jù)擁有者和合法用戶生成身份密鑰對；

(2)生成基于身份的加解密密鑰、屬性加解密密鑰以及代理重加密密鑰，其中所述基于身份的加解密密鑰包括身份公鑰GK_UAID和身份私鑰CK_UAID，所述屬性加解密密鑰包括屬性公鑰GK_AID和屬性私鑰CK_AID:

${\mathrm{GK}}_{UAID}=\hat{E}{(g,g)}^{{\∝}_{AID}}$

${\mathrm{GK}}_{AID}=\{\∀x\∈{\mathrm{AS}}_{AID}:{\mathrm{GK}}_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}}\}$

CK_UAID＝(∝_AID,β_AID)

${\mathrm{CK}}_{AID}=(K_0=g^{{\∝}_{AID}}{g}^{\mathrm{\α}\mathrm{\γ}},K_1=g^{\mathrm{\α}\mathrm{\γ}},\∀x\∈{\mathrm{AS}}_{UAID,AID}:K_x=H{\left(x\right)}^{B_x{\mathrm{\β}}_{AID}\mathrm{\γ}})$

其中，AS_AID為單個(gè)屬性機(jī)構(gòu)能夠分配的屬性集合，GK_x為屬性x的公鑰，B_x為屬性x的版本號，∝_AID為屬性機(jī)構(gòu)的私鑰參數(shù)，β_AID為屬性更新參數(shù)，AS_UAID,AID為根據(jù)屬性機(jī)構(gòu)的身份分配的屬性集合，γ為屬性機(jī)構(gòu)隨機(jī)選擇的參數(shù)，γ,∝_AID,β_AID∈Z_P；

(3)云存儲(chǔ)加解密系統(tǒng)42利用數(shù)據(jù)密鑰對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT，然后分別利用身份公鑰和屬性公鑰對數(shù)據(jù)密鑰加密，生成身份密鑰密文CT_U和屬性密鑰密文CT_A，包括：

A、隨機(jī)生成兩個(gè)固定長度的字符串IK,AK，合并生成數(shù)據(jù)密鑰DK：

DK＝IK||AK

B、利用數(shù)據(jù)密鑰DK對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)進(jìn)行數(shù)據(jù)加密，得到密文CT后，利用屬性公鑰對AK加密，生成屬性密鑰密文CT_A，利用身份公鑰對IK加密，生成身份密鑰密文CT_U；

(4)進(jìn)行代理重加密，當(dāng)收到用戶的數(shù)據(jù)請求時(shí)，云利用代理重加密密鑰將身份密鑰密文CT_U轉(zhuǎn)化為指定用戶可解密的密文，其中所述代理重加密密鑰由數(shù)據(jù)擁有者用自身私鑰和身份公鑰計(jì)算生成；

(5)進(jìn)行數(shù)據(jù)解密時(shí)，用戶收到數(shù)據(jù)后，分別利用身份私鑰CK_UAID和屬性私鑰CK_AID解密身份密鑰密文CT_U和屬性密鑰密文CT_A，然后重構(gòu)數(shù)據(jù)密鑰，解密密文CT；

(6)進(jìn)行屬性和身份密鑰的更新。

本優(yōu)選實(shí)施例通過設(shè)置云存儲(chǔ)加解密系統(tǒng)42，能夠?qū)崿F(xiàn)對多類型的數(shù)據(jù)的細(xì)粒度訪問控制和隱私保護(hù)，同時(shí)抵御用戶和屬性機(jī)構(gòu)共謀；對需存儲(chǔ)到云存儲(chǔ)模塊的數(shù)據(jù)，分別構(gòu)造基于身份的加解密密鑰、屬性加解密密鑰，合并構(gòu)成數(shù)據(jù)加密密鑰對該數(shù)據(jù)進(jìn)行加密，從而只有同時(shí)滿足身份和屬性雙重條件的用戶可以解密，極大提高了數(shù)據(jù)安全管理系統(tǒng)4的安全性能。

在此應(yīng)用場景中，更新周期T取10，數(shù)據(jù)安全管理系統(tǒng)4的安全性相對提高了8％。

最后應(yīng)當(dāng)說明的是，以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對本發(fā)明保護(hù)范圍的限制，盡管參照較佳實(shí)施例對本發(fā)明作了詳細(xì)地說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的實(shí)質(zhì)和范圍。