一種有權(quán)限時(shí)間控制的云存儲(chǔ)數(shù)據(jù)安全共享方法
【專(zhuān)利說(shuō)明】一種有權(quán)限時(shí)間控制的云存儲(chǔ)數(shù)據(jù)安全共享方法
[0001]
技術(shù)領(lǐng)域
[0002]本發(fā)明屬于云存儲(chǔ)和訪問(wèn)控制技術(shù)領(lǐng)域�����,具體涉及一種有權(quán)限時(shí)間控制的云存儲(chǔ)數(shù)據(jù)安全共享方法�。
[0003]
【背景技術(shù)】
[0004]個(gè)人計(jì)算機(jī)(Personal Computer)以及移動(dòng)設(shè)備中存儲(chǔ)了大量的數(shù)據(jù),但是由于它們存儲(chǔ)空間有限���,隨著用戶要存儲(chǔ)的數(shù)據(jù)量日益增長(zhǎng)�,為備份考慮��,有一部分?jǐn)?shù)據(jù)需要轉(zhuǎn)移到云端���。此外��,移動(dòng)端之間端到端的傳輸只適合少量用戶少量數(shù)據(jù)的情況�,當(dāng)用戶需要和大量聯(lián)系人共享大量數(shù)據(jù)時(shí)�����,用戶需要將待分享的數(shù)據(jù)存儲(chǔ)在云端,其他用戶通過(guò)云端得到共享數(shù)據(jù)�����。無(wú)論是對(duì)數(shù)據(jù)進(jìn)行備份還是對(duì)數(shù)據(jù)進(jìn)行共享���,當(dāng)數(shù)據(jù)存儲(chǔ)于云端時(shí)�����,數(shù)據(jù)脫離了用戶的控制,其隱私性都是亟待解決的問(wèn)題��。雖然云端會(huì)忠實(shí)執(zhí)行用戶操作��,但云端仍然可能出于商業(yè)利益窺視用戶內(nèi)容����。因此,用戶存儲(chǔ)在云端的數(shù)據(jù)需要以加密形式存在����。此夕卜,當(dāng)用戶需要和其他聯(lián)系人共享數(shù)據(jù)時(shí)����,如何保護(hù)用戶數(shù)據(jù)機(jī)密性和隱私性����,保證數(shù)據(jù)只能由授權(quán)用戶獲取��,非授權(quán)用戶(包括授權(quán)用戶以外的用戶以及云存儲(chǔ)服務(wù)提供商)不能獲取數(shù)據(jù)����,也是需要考慮的問(wèn)題。
[0005]云存儲(chǔ)為多人協(xié)作帶來(lái)了新的生機(jī)�����,但是在多人協(xié)作的場(chǎng)景中���,共享權(quán)限有時(shí)并不是永久有效的�,有時(shí)候我們只希望它存在一段時(shí)間�。
[0006]但是若是每次都手動(dòng)撤銷(xiāo),不僅有時(shí)會(huì)因數(shù)據(jù)擁有者沒(méi)有時(shí)間而無(wú)法按時(shí)撤銷(xiāo)���,而且一旦共享資源大量存在�,勢(shì)必會(huì)帶來(lái)操作的不便利性。因此��,權(quán)限時(shí)間的控制和自動(dòng)撤銷(xiāo)也是有待解決的冋題�����。
[0007]當(dāng)前針對(duì)云環(huán)境下數(shù)據(jù)備份及共享時(shí)的數(shù)據(jù)隱私保護(hù)問(wèn)題�,已經(jīng)有了一些研究。最基本的思路是采用密文訪問(wèn)控制方法���,數(shù)據(jù)擁有者將數(shù)據(jù)加密后存儲(chǔ)在云中�,通過(guò)控制用戶對(duì)密鑰的獲取權(quán)限來(lái)實(shí)現(xiàn)訪問(wèn)控制目標(biāo)�。但由于云存儲(chǔ)環(huán)境下數(shù)據(jù)量和用戶量都十分巨大,如何以較小的代價(jià)讓授權(quán)用戶獲取密鑰�����,是實(shí)現(xiàn)云環(huán)境下數(shù)據(jù)密文訪問(wèn)控制的重點(diǎn)研究?jī)?nèi)容��。
[0008]綜上所述�,當(dāng)前關(guān)于云存儲(chǔ)中數(shù)據(jù)訪問(wèn)控制的研究�����,在共享權(quán)限時(shí)間的控制以及資源的訪問(wèn)控制管理復(fù)雜性方面,并沒(méi)有一種能在云存儲(chǔ)中可行的有權(quán)限時(shí)間控制的數(shù)據(jù)安全共享方案���。
[0009]
【發(fā)明內(nèi)容】
[0010]針對(duì)現(xiàn)有技術(shù)的以上缺陷����,本發(fā)明提出了一種有權(quán)限時(shí)間控制的云存儲(chǔ)數(shù)據(jù)安全共享方法����,該方法提供的一種基于權(quán)限時(shí)間設(shè)定的數(shù)據(jù)密文訪問(wèn)控制方案,實(shí)現(xiàn)了云端數(shù)據(jù)安全共享���,權(quán)限定時(shí)自動(dòng)撤銷(xiāo)��。
[0011]本發(fā)明所采用的技術(shù)方案是:1.一種有權(quán)限時(shí)間控制的云存儲(chǔ)數(shù)據(jù)安全共享方法���,其特征在于,包括以下步驟:
步驟1:注冊(cè)�����;
用戶在云盤(pán)客戶端注冊(cè)��,填入用戶信息�����,注冊(cè)成功后用戶信息存儲(chǔ)在云盤(pán)服務(wù)器中; 步驟2:初始化����;
用戶注冊(cè)時(shí),自動(dòng)為其初始化四個(gè)群組���,分別為:自己����、朋友�、同事、陌生人�,按照對(duì)稱(chēng)密碼機(jī)制生成用于加密文件的密鑰,并為每個(gè)群組用公鑰加密算法生成一對(duì)用于加密和解密對(duì)稱(chēng)密鑰的公私鑰���;
步驟3:數(shù)據(jù)分享與授權(quán);
數(shù)據(jù)擁有者選擇需要共享的文件���,制定訪問(wèn)控制策略�����,根據(jù)訪問(wèn)控制策略對(duì)用戶進(jìn)行授權(quán)�;使用對(duì)稱(chēng)密碼機(jī)制對(duì)文件進(jìn)行加密處理生成文件密文,并用待分享群組所屬的私鑰加密對(duì)稱(chēng)密鑰�,然后把與私鑰成對(duì)的公鑰以電子郵件方式告知該組所有用戶;
步驟4:文件訪問(wèn)�;
用戶向云端發(fā)送文件訪問(wèn)請(qǐng)求,云端根據(jù)訪問(wèn)控制策略對(duì)其做訪問(wèn)控制��,并將文件包發(fā)送給合法用戶���,自動(dòng)在合法用戶本地存取公鑰的文件夾中找到用來(lái)解密對(duì)稱(chēng)密鑰的公鑰解密對(duì)稱(chēng)密鑰密文��。
[0012]作為優(yōu)選�����,本發(fā)明的方法還包括:
步驟5:用戶的權(quán)限變更�;
當(dāng)用戶的權(quán)限發(fā)生變更時(shí)���,其具體操作包括以下子步驟:
步驟5.1:判斷權(quán)限變更的類(lèi)別����;
若刪除某個(gè)群組內(nèi)個(gè)別用戶的所有權(quán)限時(shí)����,則執(zhí)行步驟5.2 ;
若要使個(gè)別用戶擁有某個(gè)群組的所有權(quán)限��,則執(zhí)行步驟5.3 ;
若只是刪除個(gè)別或一些用戶的部分權(quán)限時(shí)�����,則執(zhí)行步驟5.4 ;
若要為個(gè)別或一些用戶增加部分權(quán)限時(shí)�,則執(zhí)行步驟5.5 ;
若對(duì)該群組的權(quán)限時(shí)間進(jìn)行延長(zhǎng)或縮短��,則執(zhí)步驟5.6 ;
若對(duì)該群組的權(quán)限級(jí)別進(jìn)行統(tǒng)一調(diào)整�����,則執(zhí)行步驟5.7 ;
步驟5.2:直接從該群組刪除這些用戶�����,權(quán)限變更階段結(jié)束��;
步驟5.3:直接將這些用戶加入該群組�,權(quán)限變更階段結(jié)束;
步驟5.4:數(shù)據(jù)擁有者先從該群組刪除這些用戶�,再建立一個(gè)新的群組�����,將要?jiǎng)h除部分權(quán)限的用戶加入到該群中,并對(duì)該群要共享的文件進(jìn)行設(shè)置���,對(duì)文件的訪問(wèn)權(quán)限級(jí)別和時(shí)間進(jìn)行設(shè)置�����,權(quán)限變更階段結(jié)束��;
步驟5.5:數(shù)據(jù)擁有者先從該群組刪除這些用戶��,再建立一個(gè)新的群組�,將要增加權(quán)限的用戶加入到該群中�����,并對(duì)該群要共享的文件進(jìn)行設(shè)置���,對(duì)文件的訪問(wèn)權(quán)限級(jí)別和時(shí)間進(jìn)行設(shè)置��,權(quán)限變更階段結(jié)束��;
步驟5.6:重新設(shè)置權(quán)限的有效時(shí)間并更改云端數(shù)據(jù)庫(kù)中的表�,權(quán)限變更階段結(jié)束; 步驟5.7:重新設(shè)置權(quán)限類(lèi)別���,數(shù)據(jù)將更新到云端數(shù)據(jù)庫(kù)中�,權(quán)限變更階段結(jié)束����。
[0013]作為優(yōu)選,步驟I中所述的用戶信息包括用戶名���、密碼�、確認(rèn)密碼����、電子郵箱地址。
[0014]作為優(yōu)選����,步驟3的具體實(shí)現(xiàn)包括以下子步驟: 步驟3.1:數(shù)據(jù)擁有者選擇需要共享的文件并上傳,上傳時(shí)文件用對(duì)稱(chēng)密鑰加密�;
步驟3.2:選擇要分享的群組;
步驟3.3:設(shè)置共享權(quán)限類(lèi)別���、權(quán)限持續(xù)有效時(shí)間以及權(quán)限有效的起始時(shí)間�,授權(quán)服務(wù)器在檢測(cè)是否具有訪問(wèn)權(quán)限時(shí)將根據(jù)權(quán)限有效起始時(shí)間和所設(shè)置的權(quán)限有效時(shí)間段自動(dòng)計(jì)算權(quán)限有效的終止時(shí)間;
步驟3.4:將自己用于加密文件的對(duì)稱(chēng)密鑰用待分享群組所屬的私鑰加密�;
步驟3.5:把公鑰以電子郵件的方式告知該組用戶�����。
[0015]作為優(yōu)選�,步驟4的具體實(shí)現(xiàn)包括以下子步驟:
步驟4.1:客戶端自動(dòng)顯示數(shù)據(jù)擁有者分享給用戶的文件,用戶向云端發(fā)送文件訪問(wèn)請(qǐng)求�;
步驟4.2:云端根據(jù)存儲(chǔ)在授權(quán)服務(wù)器中的分享設(shè)置表來(lái)檢查該請(qǐng)求者此刻是否擁有對(duì)應(yīng)請(qǐng)求行使的權(quán)限或者更高一級(jí)的權(quán)限;
如用戶不滿足此刻對(duì)相應(yīng)文件有請(qǐng)求行使的權(quán)限或更高一級(jí)的權(quán)限���,用戶不可以訪問(wèn)文件��,執(zhí)行下述步驟4.3 ;
否則��,用戶能訪問(wèn)文件�,執(zhí)行下述步驟4.4 ;
步驟4.3:云端向用戶發(fā)送拒絕訪問(wèn)應(yīng)答�,文件訪問(wèn)階段結(jié)束;
步驟4.4:云端將文件密文及相應(yīng)的對(duì)稱(chēng)密鑰密文發(fā)送給用戶���;
步驟4.5:自動(dòng)為用戶在本地存取公鑰的文件夾中找到解密對(duì)稱(chēng)密鑰密文的公鑰來(lái)解密對(duì)稱(chēng)密鑰密文�����;
步驟4.6:用對(duì)稱(chēng)密鑰密文解密加密的文件得到文件塊明文�。
[0016]作為優(yōu)選,步驟4.2中所述的云端根據(jù)存儲(chǔ)在授權(quán)服務(wù)器中的分享設(shè)置表來(lái)檢查該請(qǐng)求者此刻是否擁有對(duì)應(yīng)請(qǐng)求行使的權(quán)限或者更高一級(jí)的權(quán)限����,其具體實(shí)現(xiàn)包括以下子步驟:
步驟4.2.1:檢查申請(qǐng)?jiān)L問(wèn)資源的用戶是否對(duì)申請(qǐng)?jiān)L問(wèn)的資源有訪問(wèn)權(quán)限,如果有�����,執(zhí)行步驟4.2.2 ;否則執(zhí)行步驟4.2.3 ;
步驟4.2.2:用戶不能訪問(wèn)資源���,判斷是否具有訪問(wèn)權(quán)限過(guò)程結(jié)束���;
步驟4.2.3:檢查申請(qǐng)?jiān)L問(wèn)資源的用戶所申請(qǐng)的訪問(wèn)權(quán)限等級(jí)是否與數(shù)據(jù)庫(kù)中的權(quán)限等級(jí)相等或較之更低,如果用戶申請(qǐng)?jiān)L問(wèn)的權(quán)限等級(jí)高于數(shù)據(jù)庫(kù)中記錄的用戶