一种基于云计算平台的数据访问方法及用户终端技术

本发明专利技术实施例涉及云计算技术领域，公开了一种基于云计算平台的数据访问方法及用户终端。其中，该方法包括：获取对查询到的云计算平台的数据密文的访问请求，所述访问请求携带解密密钥，所述解密密钥包括用户精确身份标识和用户属性标识；如果所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合，和/或，如果所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合，将所述数据密文恢复成数据明文。实施本发明专利技术实施例，可以有效地对云计算平台的数据进行细粒度访问控制。

【技术实现步骤摘要】

本专利技术涉及云计算
，具体涉及一种基于云计算平台的数据访问方法及用户终端。
技术介绍
在大数据时代，云计算平台通常用于存放海量数据。其中，云计算平台存放的海量数据通常会涉及到个人隐私数据，例如个人医疗记录等。在实际应用中，云计算平台通常是由云服务提供商(CloudServiceProvider，CSP)进行管理和维护的，而云服务提供商通常又是以盈利为目的的企业，当企业与云服务提供商签订了服务水平协议(ServiceLevelAgreement，LSA)之后，企业可以对其企业内部的用户进行授权，使得企业内部的用户不仅可以将数据存放至云计算平台，还可以访问云计算平台的数据。在实践中发现，企业内部的用户一旦被授权就可以访问云计算平台中的所有数据，难于实现细粒度访问控制。
技术实现思路
本专利技术实施例公开了一种基于云计算平台的数据访问方法及用户终端，能够有效地对云计算平台的数据进行细粒度访问控制。本专利技术实施例第一方面公开一种基于云计算平台的数据访问方法，包括：获取对查询到的云计算平台的数据密文的访问请求，所述访问请求携带解密密钥，所述解密密钥包括用户精确身份标识和用户属性标识；当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时，和/或，当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时，解密所述数据密文以获得数据明文。本专利技术实施例第二方面公开一种用户终端，用于执行基于云计算平台的数据访问方法，所述用户终端包括：获取单元，用于获取对查询到的云计算平台的数据密文的访问请求，所述访问请求携带解密密钥，所述解密密钥包括用户精确身份标识和用户属性标识；解密单元，用于当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时，和/或，当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时，解密所述数据密文以获得数据明文。本专利技术实施例中，由于解密密钥可以包括用户精确身份标识和用户属性标识，并且当该用户精确身份标识属于需要访问的数据密文的访问结构包括的身份标识集合时，和/或，当该用户属性标识属于需要访问的数据密文的访问结构包括的用户属性标识集合时，才对需要访问的数据密文进行解密以获得数据明文，可见，本专利技术实施例可以结合解密密钥包括的用户精确身份标识和用户属性标识来有效地对云计算平台的数据进行细粒度访问控制。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例公开的一种基于云计算平台的网络架构示意图；图2是本专利技术实施例公开的一种基于云计算平台的数据访问方法的流程示意图；图3是本专利技术实施例公开的另一种基于云计算平台的数据访问方法的流程示意图；图4是本专利技术实施例公开的用户终端的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例公开了一种基于云计算平台的数据访问方法及用户终端，能够有效地对云计算平台的数据进行细粒度访问控制。以下分别进行详细说明。为了更好理解本专利技术实施例公开的一种基于云计算平台的数据访问方法及用户终端，下面先对本专利技术实施例适用的网络架构进行描述。请参阅图1，图1是本专利技术实施例公开的一种基于云计算平台的网络架构示意图。需要说明的是，图1所示的基于云计算平台的网络架构仅仅是本专利技术实施例适用的一种网络架构，本专利技术实施例也还适用于其他类型的网络架构，本专利技术实施例不作具体限定。在如图1所示的网络架构中，企业可以与云服务提供商(CSP)签订服务水平协议(ServiceLevelAgreement，SLA)，从而实现企业向CSP租赁云服务。其中，CSP可以对云计算平台进行管理、维护操作，而企业可以授权企业内部的用户终端(即员工)在云计算平台进行数据查询、共享。进一步地，在图1所示的网络架构中，用户终端既可以作为数据拥护者授权其他用户查询和访问数据，也可以作为访问用户向云计算平台查询和访问其权限以内的数据。在图1所示的网络架构中，用户终端可以向企业内的用户终端的直属部门申请密钥，而企业又可以向其信任的第三方申请密钥，也即是说，在图1所示的网络架构中，可以支持层次结构的密钥生成方式，从而可以有效地避免性能瓶颈和单点失效等问题，可以更好地满足用户随时随地访问数据的需求。其中，企业可以运行密钥生成模块(HMIBE)以层次结构的密钥生成方式为用户终端u生成解密密钥Kd,u和查询密钥Ks,u，相应地，解密密钥Kd,u可以由用户精确身份标识Sku和用户属性标识bu组成，其中，用户精确身份标识Sku举例来说可以包括工号(如4021434)、手机号码、身份证号码甚至邮件地址、社交账号等，而用户属性标识bu举例来说可以包括用户所属部门(如财务部、销售部)、用户性别(如“男性”)以及用户级称(如“教授”)等；其中，查询密钥Ks,u主要用于向云计算平台查询数据与授权的查询条件Q相匹配的数据。在图1所示的网络架构中，本专利技术实施例可以结合解密密钥包括的用户精确身份标识和用户属性标识来有效地对云计算平台的数据进行细粒度访问控制。请参阅图2，图2是本专利技术实施例公开的一种基于云计算平台的数据访问方法的流程示意图。如图2所示，该基于云计算平台的数据访问方法可以包括以下步骤。S201、用户终端获取对查询到的云计算平台的数据密文的访问请求，访问请求携带解密密钥，该解密密钥包括用户精确身份标识和用户属性标识。本专利技术实施例中，用户终端可以接收用户(如企业员工)输入的针对预先查询到的云计算平台的数据密文的访问请求，访问请求可以携带包括用户精确身份标识和用户属性标识的解密密钥。S202、当用户精确身份标识属于数据密文的访问结构包括的身份标识集合时，和/或，当用户属性标识属于数据密文的访问结构包括的用户属性标识集合时，用户终端解密数据密文以获得数据明文。本专利技术实施例中，假设数据密文Fi的访问结构为Ai，访问结构Ai＝＝{{“工号＝4021434”，“工号＝4021436”本文档来自技高网...

【技术保护点】
一种基于云计算平台的数据访问方法，其特征在于，包括：获取对查询到的云计算平台的数据密文的访问请求，所述访问请求携带解密密钥，所述解密密钥包括用户精确身份标识和用户属性标识；当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时，和/或，当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时，解密所述数据密文以获得数据明文。

【技术特征摘要】
1.一种基于云计算平台的数据访问方法，其特征在于，包括：获取对查询到的云计算平台的数据密文的访问请求，所述访问请求携带解密密钥，所述解密密钥包括用户精确身份标识和用户属性标识；当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时，和/或，当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时，解密所述数据密文以获得数据明文。2.根据权利要求1所述的方法，其特征在于，所述获取对查询到的云计算平台的数据密文的访问请求之前，所述方法还包括：向云计算平台发送数据查询请求TQ，所述数据查询请求TQ包括查询密钥授权的查询条件Q以及所述查询密钥的权限类型，其中，所述查询条件Q包括用户属性标识；所述查询密钥的权限类型用于指示所述查询密钥是否具备权限时效性；其中，在所述云计算平台根据所述查询密钥的权限类型识别出所述查询密钥不具备权限时效性时，由所述云计算平台从存储的所有数据密文中查询数据密文的索引密文I与所述用户属性标识匹配的数据密文，以获得查询到的数据密文；以及，接收所述云计算平台返回的所述查询到的数据密文。3.根据权利要求2所述的方法，其特征在于，在所述云计算平台根据所述查询密钥的权限类型识别出所述查询密钥具备权限时效性时，由所述云计算平台发送所述查询请求TQ给云服务提供商CSP，以使所述CSP重新加密所述云计算平台存储的所有数据密文中数据密文的索引密文I与所述用户属性标识匹配的数据密文，并且在所述云计算平台确定出所述云计算平台的当前时间属于所述查询密钥具备的权限时效性所限定的时间时，由所述云计算平台将重新加密的所述数据密文的索引密文I与所述用户属性标识匹配的数据密文，以获得查询到的数据密文。4.根据权利要求1～3任一项所述的方法，其特征在于，所述访问请求还携带所述解密密钥的权限类型，所述解密密钥的权限类型用于指示所述解密
\t密钥是否具备权限时效性，所述将所述数据密文恢复成数据明文包括：根据所述解密密钥的权限类型识别所述解密密钥是否具备权限时效性，如果所述解密密钥不具备权限时效性，对所述数据密文进行解密以获得数据明文。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：如果所述解密密钥具备权限时效性，确定本端的当前时间是否属于所述解密密钥具备的权限时效性所限定的时间，如果本端的当前时间属于所述解密密钥具备的权限时效性所限定的时间，对所述数据密文进行解密以获得数据明文。6.一种用户终端，其特征在于，用于执行基于云计算平台的数据访问方法...

【专利技术属性】
技术研发人员：刘琴，
申请(专利权)人：腾讯科技深圳有限公司，湖南大学，
类型：发明
国别省市：广东;44