務(wù)器中���;
步驟3:數(shù)據(jù)分享與授權(quán)��;
數(shù)據(jù)擁有者選擇需要共享的文件�,制定訪問控制策略��,根據(jù)訪問控制策略對用戶進(jìn)行授權(quán)��;使用對稱密碼機(jī)制對文件進(jìn)行加密處理生成文件密文��,并用待分享群組所屬的私鑰加密對稱密鑰�,然后把與私鑰成對的公鑰以電子郵件方式告知該組所有用戶;
請見圖4�����,步驟3的具體實(shí)現(xiàn)包括以下子步驟:
步驟3.1:數(shù)據(jù)擁有者選擇需要共享的文件并上傳��,上傳時(shí)文件用對稱密鑰加密����; 在本實(shí)施例中,要分享的文件為期末考試試卷���;
步驟3.2:選擇要分享的群組����;
在本實(shí)施例中���,要分享的群組包括同事和學(xué)生�,同事群組里有負(fù)責(zé)審核試卷和一同批閱試卷的老師Y��,學(xué)生群組里有以學(xué)生H為代表的要參加該考試的所有學(xué)生���;
步驟3.3:設(shè)置共享權(quán)限類別��、權(quán)限持續(xù)有效時(shí)間以及權(quán)限有效的起始時(shí)間����,將設(shè)置的有效時(shí)間換算成秒(s)作為Cassandra云盤系統(tǒng)中Column的ttl值記錄在授權(quán)服務(wù)器中,授權(quán)服務(wù)器在檢測是否具有訪問權(quán)限時(shí)將根據(jù)權(quán)限有效起始時(shí)間和所設(shè)置的權(quán)限有效時(shí)間段自動計(jì)算權(quán)限有效的終止時(shí)間�����;
在本實(shí)施例中��,同事群組所設(shè)置的權(quán)限為{ ‘期末試卷’�����,‘^’���,‘直到期末成績評定完成之前(假設(shè)為5天)’��,‘現(xiàn)在’}����,學(xué)生群組所設(shè)置的權(quán)限為{ ‘期末試卷’�����,‘r’,’ 2小時(shí)’���,‘2015年6月26日14:00’ },即表示學(xué)生群組對期末考試試卷從2015年6月26日14:00起有2小時(shí)的可讀權(quán)限���,同事群組的權(quán)限設(shè)定同理可知���。
[0029]步驟3.4:將自己用于加密文件的對稱密鑰用待分享群組所屬的私鑰加密; 在本實(shí)施例中����,用于加密試卷的對稱密鑰(屬于數(shù)據(jù)擁有者教師X的對稱密鑰)分別用同事群組的私鑰PRKj和學(xué)生群組的私鑰PRKi加密;
步驟3.5:把公鑰以電子郵件的方式告知該組用戶��。
[0030]在本實(shí)施例中�����,把PBKj發(fā)給同事群組的所有老師���,PBKi發(fā)給學(xué)生群組的所有學(xué)生�����。
[0031]步驟4:文件訪問���;
用戶向云端發(fā)送文件訪問請求����,云端根據(jù)訪問控制策略對其做訪問控制�����,并將文件包發(fā)送給合法用戶����,自動在合法用戶本地存取公鑰的文件夾中找到用來解密對稱密鑰的公鑰解密對稱密鑰密文;
請見圖5�����,步驟4的具體實(shí)現(xiàn)包括以下子步驟: 步驟4.1:客戶端自動顯示數(shù)據(jù)擁有者分享給用戶的文件�����,用戶向云端發(fā)送文件訪問請求�����;
在本實(shí)施例中,學(xué)生在2015年6月26日14:00之前登錄客戶端是看不見期末試卷的�����,因?yàn)榇藭r(shí)他對期末試卷沒有訪問權(quán)限����;但同事群組中的老師登錄客戶端是看得見期末試卷的����;2015年6月26日14:00-16:00學(xué)生在客戶端看得見期末試卷。
[0032]假設(shè)此時(shí)為2015年6月26日14:03��,學(xué)生H開始打開客戶端�,請求查看期末試卷的內(nèi)容從而進(jìn)行作答。
[0033]步驟4.2:云端根據(jù)存儲在授權(quán)服務(wù)器中的分享設(shè)置表來檢查該請求者此刻是否擁有對應(yīng)請求行使的權(quán)限或者更高一級的權(quán)限�;
如用戶不滿足此刻對相應(yīng)文件有請求行使的權(quán)限或更高一級的權(quán)限,用戶不可以訪問文件����,執(zhí)行下述步驟4.3 ;
否則,用戶能訪問文件�����,執(zhí)行下述步驟4.4 ;
在本實(shí)例和假設(shè)的情境中,可知學(xué)生H請求的權(quán)限可表示為{ ‘期末試卷2015年 6 月 26 日 14:03’ }
請見圖6�����,判定是否具有權(quán)限又包括如下子步驟:
步驟4.2.1:檢查申請?jiān)L問資源的用戶是否對申請?jiān)L問的資源有訪問權(quán)限���,如果有���,執(zhí)行步驟4.2.2 ;否則執(zhí)行步驟4.2.3 ;
在本實(shí)施例中,學(xué)生H對期末試卷有訪問權(quán)限�,執(zhí)行步驟4.2.3 ;
步驟4.2.2:用戶不能訪問資源,判斷是否具有訪問權(quán)限過程結(jié)束���;
步驟4.2.3:檢查申請?jiān)L問資源的用戶所申請的訪問權(quán)限等級是否與數(shù)據(jù)庫中的權(quán)限等級相等或較之更低�����,如果用戶申請?jiān)L問的權(quán)限等級高于數(shù)據(jù)庫中記錄的用戶對相應(yīng)文件的訪問等級����,則回轉(zhuǎn)執(zhí)行步驟4.2.2 ;否則執(zhí)行步驟4.2.4 ;
在本實(shí)例中,學(xué)生H申請的訪問權(quán)限等級為’r’�,與授權(quán)服務(wù)器數(shù)據(jù)庫中的訪問權(quán)限等級相同,執(zhí)行步驟4.2.4��;
步驟4.2.4:用授權(quán)服務(wù)器中記錄的共享權(quán)限的持續(xù)有效時(shí)間加上共享權(quán)限時(shí)間的起始值得到權(quán)限有效的終止值�,對比發(fā)送訪問請求時(shí)的系統(tǒng)時(shí)間,如果發(fā)送訪問請求時(shí)的系統(tǒng)時(shí)間大于計(jì)算出的權(quán)限有效時(shí)間終止值�,則回轉(zhuǎn)執(zhí)行步驟4.2.2 ;否則執(zhí)行步驟4.2.5 ;
在本實(shí)施例中,通過授權(quán)服務(wù)器中的共享權(quán)限時(shí)間計(jì)算出權(quán)限的有效時(shí)間終止值為2015年6月26日16:00����,當(dāng)前的訪問時(shí)間2015年6月26日14:03小于有效時(shí)間終止值,執(zhí)行步驟4.2.5 ;
步驟4.2.5:用戶能夠訪問資源�����,判斷是否具有訪問權(quán)限過程結(jié)束��。
[0034]在本實(shí)施例中��,學(xué)生H在2015年6月26日14:03能夠讀期末試卷���;并且在考試時(shí)間不做臨時(shí)變工的情況下,2015年6月26日16:00之前學(xué)生H是可以讀期末試卷的��,一旦超過時(shí)間,權(quán)限自動撤銷�����,學(xué)生H將不能讀期末試卷����。
[0035]步驟4.3:云端向用戶發(fā)送拒絕訪問應(yīng)答,文件訪問階段結(jié)束���;
步驟4.4:云端將文件密文及相應(yīng)的對稱密鑰密文發(fā)送給用戶��;
在本實(shí)施例中���,云端將期末試卷文件密文及教師X的對稱密鑰密文發(fā)送給學(xué)生群組中的每個(gè)人,包括H ����;
步驟4.5:自動為用戶在本地存取公鑰的文件夾中找到解密對稱密鑰密文的公鑰來解密對稱密鑰密文;
在本實(shí)施例中����,學(xué)生H點(diǎn)擊查看期末試卷時(shí),系統(tǒng)自動為其在H本地存取公鑰的文件夾中找到之前存儲的PBKi�,并用PBKi解密對稱密鑰密文得到對稱密鑰;
步驟4.6:用對稱密鑰密文解密加密的文件得到文件塊明文。
[0036]在本實(shí)施例中�����,學(xué)生H用S45中解密得到的對稱密鑰解密期末試卷密文����,得到可讀的期末試卷;
步驟5:用戶的權(quán)限變更�;
請見圖7,當(dāng)用戶的權(quán)限發(fā)生變更時(shí)����,其具體操作包括以下子步驟:
步驟5.1:判斷權(quán)限變更的類別;
若刪除某個(gè)群組內(nèi)個(gè)別用戶的所有權(quán)限時(shí)�,則執(zhí)行步驟5.2 ;
若要使個(gè)別用戶擁有某個(gè)群組的所有權(quán)限,則執(zhí)行步驟5.3 ;
若只是刪除個(gè)別或一些用戶的部分權(quán)限時(shí)���,則執(zhí)行步驟5.4 ;
若要為個(gè)別或一些用戶增加部分權(quán)限時(shí),則執(zhí)行步驟5.5 ;
若對該群組的權(quán)限時(shí)間進(jìn)行延長或縮短�,則執(zhí)步驟5.6 ;
若對該群組的權(quán)限級別進(jìn)行統(tǒng)一調(diào)整,則執(zhí)行步驟5.7 ;
在本實(shí)施例中�,數(shù)據(jù)擁有者教師X可以變更權(quán)限設(shè)置。
[0037]情境1:假設(shè)開考后臨時(shí)決定將考試時(shí)間算短至I個(gè)半小時(shí)�,即學(xué)生的權(quán)限更改為{ ‘期末試卷’,‘r’,‘90 分鐘’����,‘2015 年 6 月 26 日 14:00’ };
情境2:假設(shè)改卷時(shí)間縮短,教務(wù)處又給教師X和Y增派了教師Z來協(xié)助批改試卷����; 步驟5.2:直接從該群組刪除這些用戶,權(quán)限變更階段結(jié)束�;
步驟5.3:直接將這些用戶加入該群組,權(quán)限變更階段結(jié)束���;
在本實(shí)施例和情境2中�����,應(yīng)該把教師Z加入同事群組中��;
步驟5.4:數(shù)據(jù)擁有者先從該群組刪除這些用戶��,再建立一個(gè)新的群組����,將要?jiǎng)h除部分權(quán)限的用戶加入到該群中�,并對該群要共享的文件進(jìn)行設(shè)置�����,對文件的訪問權(quán)限級別和時(shí)間進(jìn)行設(shè)置�,權(quán)限變更階段結(jié)束����;
步驟5.