基于数据共享的文件访问和修改权限控制方法技术

本发明专利技术公开了一种基于数据共享的文件访问和修改权限控制方法，主要解决现有技术访问效率低，计算复杂，不适用于用户修改文件的问题。其实现步骤包括：1.数据拥有方将数据文件按照属性进行分类处理，并加密上传；2.用户根据自己的需要访问分类文件，云服务器返回相应的文件给用户；3.授权中心合成聚合密钥传输给用户，用户使用该聚合密钥解密密文文件；4.用户对访问文件进行修改，将修改后的文件进行加密，附上签名并上传；5.云服务器对该用户进行基于属性的签名认证，若认证成功，则存储该文件，否则，丢弃该文件。本发明专利技术具有读写性能及效率高，计算复杂度低、存储可靠的优点，可用于云计算环境中基于隐私保护的数据共享和访问控制。

【技术实现步骤摘要】
基于数据共享的文件访问和修改权限控制方法
本专利技术属于信息安全领域，特别涉及云计算环境中用户访问数据文件和修改数据文件的权限控制方法，可用于云计算环境中基于隐私保护的数据共享和访问控制。
技术介绍
随着计算机技术的迅猛发展，云计算的应用越来越广泛。对企业用户而言，特别是资金能力不足的中小型企业，云计算服务让他们不需要购买高价的硬件设施就能够满足自身管理的需求。企业只需付给云服务商廉价的服务费用，便可享用云服务商提供的云计算平台，获取更为灵活的按需服务，从而降低企业的预算开支。虽然云计算给企业和用户带来如此大的便利，但是云计算中数据安全问题却一直是一大隐患，使得用户并不能完全放心地使用云服务。因为用户一旦将数据上传到云端，便失去了对数据的直接控制能力。对于用户来说，既要充分利用云服务商提供的存储服务，又要尽量保证数据和身份的隐私。比如需要在一个项目组内实现数据文件的共享时，往往要求不同的用户对数据文件的不同部分具有不同的访问权限，而且为了免受外界攻击，用户在修改数据文件时并不愿意泄露自己的身份，如何充分利用云存储服务实现数据共享，就需要制定安全有效的数据共享方案。访问控制是一种实现数据安全共享的有效方法，阻止非法用户对云端数据的非法操作，只有合法的用户才能对相应的数据进行访问，该方法可以对云端数据提供安全和隐私保护。目前解决云计算环境下数据共享问题的访问控制方案主要有如下几种：1)自主访问控制方案DAC。自主访问控制由数据拥有者创建和删除数据文件，并通过制定的规则来决定其他用户的访问权限。这种访问控制机制灵活性高，数据拥有者能自行管理自身数据。2)强制访问控制方案MAC。强制访问控制通过对用户和数据文件强制贴上一个特定的安全属性,如:安全级别、访问权限等。当用户访问数据文件时,系统通过对安全属性进行检测来判断该用户是否拥有访问权限。强制访问控制在安全保护上比自主访问控制更好，但是由于强制访问控制太强,缺乏灵活性。3)基于角色的访问控制方案RBAC。基于角色的访问控制是一种折中的访问方式,对自主访问控制和强制访问控制进行了改进。该模型中用户的访问权限是根据他在群体中的角色来决定的,用户只有具备相应的角色才能访问对应的数据文件，而不是随意访问相关文件。4)基于属性加密ABE的访问控制方案。包括密钥-策略基于属性加密KP-ABE方案和密文-策略基于属性加密CP-ABE方案。ABE是一种公钥加密机制，引入了属性的概念，将用户群的属性组合作为群体的公钥，所有用户向群体发送数据使用相同的公钥，而私钥由属性授权机构根据用户属性计算并分配给个体。它面向的解密对象是一个群体，而不是单个用户。前三种访问控制方案的构建大多是建立在数据拥有者和存储数据的服务器在同一个可信区域内这一前提下的，服务器通过对每个用户进行认证来控制对数据文件的访问，访问控制策略的定义和实施完全委托服务器实现。但是,在云计算环境中，存储服务器并不是可信的，它可能独自窃取用户的私密数据或者与攻击者勾结贩卖用户的数据文件。所以这些访问控制方案并不能确保数据文件的安全共享。第四种访问控制方案中，用户对数据文件的访问权限由数据拥有者决定，不再完全依赖于云存储服务器的可信度。但该方案只适合对数据文件的读访问，不适用于用户修改数据文件的情况。而且不管是访问控制树的构建还是属性和用户的撤销都会带来很大的计算复杂度。
技术实现思路
本专利技术的目的在于针对上述已有技术的不足，提出一种云环境下基于数据共享的文件访问和修改权限控制方法，以减小计算复杂度，提高访问文件的效率，并适用于用户修改数据文件。为实现上述目的，本专利技术基于数据共享的文件访问和修改权限控制方法，包括如下步骤：(1)数据拥有方将数据文件按照属性进行分类处理，给每个分类文件标注一个索引号，记为i,i∈{1,2,...n},n为最大的分类文件号；(2)数据拥有方将待共享的数据分类文件分别进行加密处理，并将加密过的数据文件上传至云服务器进行存储，云服务器负责数据的管理和维护；(3)用户根据自己的需要访问分类文件，向云服务器发送访问请求，云服务器返回相应的密文分类文件给用户，同时数据拥有方规定用户的访问权限，将用户授权访问的文件索引号集合S发送给授权中心，授权中心将授权用户访问文件需要的私钥合成一种聚合密钥Ks传输给用户，用户使用该聚合密钥解密所访问的各类密文文件，如果解密成功，则用户具有访问该类文件的权限，执行步骤(4)；否则，没有访问该类文件的权限；(4)用户对访问文件进行修改，将修改后的文件进行加密处理，采用基于属性的签名方法并在密文文件上签名，再上传至云服务器；(5)云服务器对该用户进行基于属性的签名认证，若认证成功，则用户有修改文件的权限，云服务器存储该文件，否则，用户没有对文件进行修改的权限，云服务器丢弃该文件。本专利技术与现有技术相比具有以下优点：第一，由于本专利技术引入可信的授权机构，为数据拥有方提供加密文件所需的参数和主密钥，并且用户的解密密钥也是由授权中心产生，因此减小了数据拥有者和用户的计算复杂度。第二，由于本专利技术采用聚合密钥的算法聚合用户的解密密钥，该聚合密钥虽像一个被压缩的单个类文件密钥一样，但却聚合了解密多个分类文件的能力，所以在数据访问过程中仅仅只需传输和存储一个聚合密钥，大大减少了传输带宽和存储空间，而且提高了访问效率。第三，由于本专利技术将文件按数据属性进行分类，每类文件都有自己的数据属，数据拥有者根据这些数据属性制定一个签名树并发送到云服务器端，授权中心会给每个用户也分配对应的数据属性，只要用户拥有的属性能够满足签名树，则说明该用户具备修改数据文件的权限，云服务器也可以成功认证用户在数据文件上的签名，从而存储修改后的数据密文，这不仅实现了不同用户对数据文件的修改权限，而且签名不会提供任何与用户身份有关的信息，很好地保护了用户的身份隐私。第四，由于本专利技术在用户对文件进行签名的过程中引入了中介，通过中介维护一个用户撤销列表和一个属性状态列表，当用户发送其身份和属性集合给授权中心获取签名密钥时，他只获得密钥的一部分，而另外一部分则发给中介，在签名的过程中，用户需要寻求中介的帮助，而中介会先检查用户撤销列表中的用户身份和属性状态列表中的属性状态，当且仅当用户的身份和属性有效时才进行签名，所以本专利技术能对用户和属性的有效性提供检查，阻止了非法用户的恶意修改。附图说明图1为本专利技术的实现流程图；图2为本专利技术中用户访问数据文件的子流程图；图3为本专利技术用户签名的子流程图；图4为本专利技术中用户访问数据文件所消耗的时间仿真图。具体实施方式下面结合附图对本专利技术做进一步的详细描述。参照图1，本专利技术的实现步骤如下：步骤1：数据拥有方将待共享的数据进行分类。1.1)数据拥有方将数据文件按照属性进行分类，即将具有相同数据属性的文件分为一类，并给每个分类文件贴上一个属性标签；1.2)给每个分类文件标注一个索引号，记为i,i∈{1,2,...n},n为最大的分类文件号。步骤2：数据拥有者对分类后的文件分别进行加密处理。2.1)数据拥有者向授权中心发送系统参数Q请求；2.2)授权中心随机选择p阶双线性群G，生成元g∈G，选择第一随机数α∈Zp,其中Zp表示集合{1,2,…p}，将每个密文分类文件用一个索引号i表示，通过系统初始化本文档来自技高网...

【技术保护点】
一种基于数据共享的文件访问和修改权限控制方法，包括如下步骤：(1)数据拥有方将数据文件按照属性进行分类处理，给每个分类文件标注一个索引号，记为i,i∈{1,2,...n},n为最大的分类文件号；(2)数据拥有方将待共享的数据分类文件分别进行加密处理，并将加密过的数据文件上传至云服务器进行存储，云服务器负责数据的管理和维护；(3)用户根据自己的需要访问分类文件，向云服务器发送访问请求，云服务器返回相应的密文分类文件给用户，同时数据拥有方规定用户的访问权限，将用户授权访问的文件索引号集合S发送给授权中心，授权中心将授权用户访问文件需要的私钥合成一种聚合密钥Ks传输给用户，用户使用该聚合密钥解密所访问的各类密文文件，如果解密成功，则用户具有访问该类文件的权限，执行步骤(4)；否则，没有访问该类文件的权限；(4)用户对访问文件进行修改，将修改后的文件进行加密处理，采用基于属性的签名方法并在密文文件上签名，再上传至云服务器；(5)云服务器对该用户进行基于属性的签名认证，若认证成功，则用户有修改文件的权限，云服务器存储该文件，否则，用户没有对文件进行修改的权限，云服务器丢弃该文件。

【技术特征摘要】
1.一种基于数据共享的文件访问和修改权限控制方法，包括如下步骤：(1)数据拥有方将数据文件按照属性进行分类处理，给每个分类文件标注一个索引号，记为i,i∈{1,2,...n},n为最大的分类文件号；(2)数据拥有方将待共享的数据分类文件分别进行加密处理，并将加密过的数据文件上传至云服务器进行存储，云服务器负责数据的管理和维护；(3)用户根据自己的需要访问分类文件，向云服务器发送访问请求，云服务器返回相应的密文分类文件给用户，同时数据拥有方规定用户的访问权限，将用户授权访问的文件索引号集合S发送给授权中心，授权中心将授权用户访问文件需要的私钥合成一种聚合密钥Ks传输给用户，用户使用该聚合密钥解密所访问的各类密文文件，如果解密成功，则用户具有访问该类文件的权限，执行步骤(4)；否则，没有访问该类文件的权限；(4)用户对访问文件进行修改，将修改后的文件进行加密处理，采用基于属性的签名方法并在密文文件上签名，再上传至云服务器；(5)云服务器对该用户进行基于属性的签名认证，若认证成功，则用户有修改文件的权限，云服务器存储该文件，否则，用户没有对文件进行修改的权限，云服务器丢弃该文件；步骤(2)所述的数据拥有方将待共享的数据分类文件分别进行加密处理，按如下步骤进行：2a)数据拥有者向授权中心发送系统参数Q请求；授权中心随机选择p阶双线性群G，生成元g∈G，选择第一随机数α∈Zp,其中Zp表示集合{1,2,…p}，将每个密文分类文件用一个索引号i表示，通过系统初始化算法得到系统参数Q：Q＝{g,g1,…gi,...,gn}，i∈{1,2,...,n}，其中将系统参数Q分别发送给数据拥有者和用户；2b)授权中心输入第二随机数β∈Zp，通过密钥生成算法输出公钥υ＝gβ和加密主密钥msk＝β；2c)数据拥有者用系统参数Q和文件索引号i∈{1,2,...,n}，选择第三随机数t∈Zp，对被加密的数据文件m进行加密，输出密文CT：该密文CT由c1,c2,c3三部分组成，其中c1＝gt,c2＝(υgi)t,是双线性运算符。2.根据权利要求1所述的基于数据共享的文件访问和修改权限控制方法，其中步骤(3)所述的授权中心将授权用户访问文件需要的私钥合成一种聚合密钥Ks传输给用户，通过如下公式进行：其中j表示数据拥有者授权用户访问文件的索引号，S表示所有索引号j组成的集合。3.根据权利要求1所述的基于数据共享的文件访问和修改权限控制方法，其中步骤(3)所述的用户使用该聚合密钥解密所访问的各类密文文件，按如下步骤进行：3a)用户从云服务器下载要访问的文件，其索引号用i表示；3b)用户向授权中心发送聚合密钥请求；3c)授权中心接收到用户请求后，给用户发送聚合密钥；3d)用户接收到聚合密钥后，判断要访问的文件索引号i是否属于集合S，如果不属于，则不能解密，如果属于，则用户用聚合密钥KS解密密文，返回被加密的数据文件m：

【专利技术属性】
技术研发人员：樊凯，黄娜娜，李晖，田琼，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61