云计算大数据隐私保护方法技术

本发明专利技术提供了一种云计算大数据隐私保护方法，该方法包括：在云存储平台中设置多个认证服务器，将密钥分发、特征认证事务分级进行；维护全局的用户特征列表，由认证服务器设定授权读取策略和约束控制策略。本发明专利技术提出了一种云计算大数据隐私保护方法，增强了环境和策略约束的安全读策略控制，在保证安全性的前提下，降低了写用户的计算代价，满足跨云、跨等级的各种数据策略的应用需求。

Cloud computing large data privacy protection method

The present invention provides large data privacy protection method of a cloud computing, the method comprises: setting up multiple authentication servers in the cloud storage platform, the key distribution, authentication transaction classification; user characteristics to maintain the global list, read by an authentication server set authorization strategy and constraint control strategy. The invention provides a data privacy protection method to calculate a cloud, enhance the environment and safety control strategy for constrained reading strategies, on the premise of safety, reduce the computational cost of writing user, meet the application requirements of various data strategies across cloud, cross level.

【技术实现步骤摘要】
云计算大数据隐私保护方法
本专利技术涉及安全云存储，特别涉及一种云计算大数据隐私保护方法。
技术介绍
云数据存储平台将计算资源存储在可配置的计算资源共享池中，通过便利、按需的网络读计算资源。而安全成为制约云存储发展的关键问题。云存储服务商在云存储中提供服务，而用户处于被动地位，造成信息掌控的严重不对称。云存储将信息转移到云存储服务提供商，企业自身却无法再全面掌控信息和云服务提供商的存储细节；而云存储是针对多方用户，云服务提供商考虑到自身安全，也无法向业主呈现存储中的关键信息。另一方面，云存储平台中的域间互操作虽然实现了域间资源和服务的共享，但如何保证域内的管理对象的安全，即如何安全地实现域间互操作主客体信息的共享，设置读策略并严格执行读检查，是一个亟待解决的问题。现有技术是在传统授权管理模型基础上通过扩展，域间的角色映射使不同域中的角色建立了关联关系，但域间角色映射的传递也容易造成安全隐患。
技术实现思路
为解决上述现有技术所存在的问题，本专利技术提出了一种云计算大数据隐私保护方法，包括：在云存储平台中设置多个认证服务器，将密钥分发、特征认证事务分级进行；维护全局的用户特征列表，由认证服务器设定授权读取策略和约束控制策略，实现云间跨域的数据读取和用户隐私保护。优选地，所述维护全局的用户特征列表由云存储平台的特征管理模块实现，所述特征管理模块响应认证服务器对跨区域特征列表的请求。优选地，所述在云存储平台中设置多个认证服务器，将密钥分发、特征认证事务分级进行，进一步包括；在云存储平台中由根认证服务器对下一级认证服务器进行签名。优选地，在写用户向云平台存储数据时，写用户在通过身份认证后，首先向认证服务器请求数据加密上传的服务请求；然后根据认证服务器所推送的特征结构列表，完成读策略的定义，并根据策略对数据加密后上传云服务器。优选地，还包括：写用户生成随机数r1将自己的ID以及所在群组ID组成请求包，使用所属群组的私钥进行签名，使用写用户所在认证服务器的公钥加密，发送所在云内的认证服务器。本专利技术相比现有技术，具有以下优点：本专利技术提出了一种云计算大数据隐私保护方法，增强了环境和策略约束的安全读策略控制，在保证安全性的前提下，降低了写用户的计算代价，满足跨云的各种数据策略的应用需求。附图说明图1是根据本专利技术实施例的云计算大数据隐私保护方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定，并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了一种云计算大数据隐私保护方法。图1是根据本专利技术实施例的云计算大数据隐私保护方法流程图。本专利技术在云存储平台中设置分级认证服务器，包括根认证服务器CGS、分区认证服务器RGS、子认证服务器SGS，将密钥分发、特征认证事务分级进行，由根CGS对下一级认证服务器进行签名；建立特征管理模块FMM，维护全局的用户特征列表；在云存储平台安全框架中对用户主体角色、权限文件所有者读控制以及环境和数据资源特征描述基础上，由认证服务器设定授权读取策略和约束控制策略，满足云间跨域的数据读取和用户隐私保护。分级认证服务器包括公钥基础设施PKI，同时也充当根认证服务器CGS角色。特征管理模块FMM为云环境维护全系统内的特征列表，响应认证服务器CGS对跨区域特征列表的请求。多个分级子认证服务器SGS通过对称密钥证书机制对用户进行身份认证，为写用户提供认证级别树，完成新用户的添加删除，对密文授权读取进行密文的授权读取控制。云存储系统的用户包括写用户和读用户。写用户是根据子认证服务器SGS提供的认证级别树设置读策略，加密数据后在云服务器进行存储。读用户是请求对云服务器存储数据进行读取的用户。对于数据分发，首先写用户在通过身份认证后，向认证服务器请求数据加密上传的服务请求；然后写用户根据认证服务器所推送的特征结构列表，完成读策略的定义，并根据策略对数据加密后上传云服务器；对于数据读取，读用户与认证服务器通信，发送读请求，身份认证后，由策略点对生成的读策略进行判断，当满足预设条件后发送密文给读用户，如果读用户特征符合读结构，则解密获得数据。对数据加密后上传云服务器，进一步包括以下文件创建过程。(1)写用户生成随机数r1将自己的ID以及所在群组ID组成请求包，使用所属群组的私钥进行签名，使用写用户所在认证服务器CGS的公钥加密，发送所在云内的CGS。具体表述为：ECGS(Ecom(r1,UID,filequery),groupID)CGS接收到请求之后，从包中获取群组标识groupID，查找获得对应群组的公钥，用群组公钥和CGS解密之后，获得随机数r1，然后从自身内部生成随机数r2，将用户的标识UID以及群组中所有ID集合构造请求包，使用认证服务器CGS的私钥进行签名，用所述域内子认证服务器的公钥进行加密，传送给所述子认证服务器；具体表述为：ESGS(ECGS(r1,r2,UID,groupID)子认证服务器SGS使用私钥对密文解密，将解密结果和随机数r1，一起构造应答包，用子认证服务器SGS私钥加密返回写用户。具体描述为：ESGS(r1,HASH(UID||r2))写用户使用SGS私钥解密，校验r1完成数据所有者的身份验证。(2)首先根据读权限对文件分类，相同分类被划分为一个文件簇。对于单个文件加密的流程，写用户根据读取文件的特征向其所在子认证服务器SGS提出数据加密上传请求，进行安全策略检查，包括用户层次角色判断、数据分发密级所属关联许可判断，如设置的群体的特征超出范围，子认证服务器SGS向上一级认证服务器CGS转发请求，认证服务器CGS与特征管理模块FMM进行通信，获得相关联的特征列表，返回写用户特征列表；在写用户设置读策略时：认证服务器根据云存储服务器内用户角色、权限以及文件密级，获得系统的公开参数和私钥；然后写用户指定读结构，限定用户的权限，并将许可信息以XML文件的方式进行记录；写用户设置环境与策略约束条件，生成约束控制策略；对文件采用对称加密，用生成的随机数作为对称密钥，加密数据文件形成密文；采用特征加密算法加密得到密文。将认证服务器的认证级别特征空间和写用户读策略特征空间的所有的元素映射到认证级别树之上。写用户通过生成树算法创建读策略树。当读用户向认证服务器请求认证时，读用户构造包括UID、所属群组ID的请求包，使用群组私钥签名，所述CGS公钥加密后发送到CGS。认证服务器从加密包中获得群组ID，通过查询获得对应的群组公钥和自身的私密解密，进行读取用户的身份验证，若正确合法，向认证服务器使用自身的私钥进行签名，再使用认证服务器公钥对用户ID进行加密发送，对应的包为ESGS(ECGS(UID))。认证服务器认证通过后进行安全策略判断。具体过程如下：用户向策略执行单元请求读数据的请求；策略执行单元收集用户数据读取请求和评估信息，发送给决策单元；决策单元根据约束控制文件判定系统环境是否满足读请求，若有任何一项不满足，则决本文档来自技高网...

【技术保护点】
一种云计算大数据隐私保护方法，其特征在于，包括：在云存储平台中设置多个认证服务器，将密钥分发、特征认证事务分级进行；维护全局的用户特征列表，由认证服务器设定授权读取策略和约束控制策略，实现云间跨域的数据读取和用户隐私保护。

【技术特征摘要】
1.一种云计算大数据隐私保护方法，其特征在于，包括：在云存储平台中设置多个认证服务器，将密钥分发、特征认证事务分级进行；维护全局的用户特征列表，由认证服务器设定授权读取策略和约束控制策略，实现云间跨域的数据读取和用户隐私保护。2.根据权利要求1所述的方法，其特征在于，所述维护全局的用户特征列表由云存储平台的特征管理模块实现，所述特征管理模块响应认证服务器对跨区域特征列表的请求。3.根据权利要求1所述的方法，其特征在于，所述在云存储平台中设置多个认证服务器，将密钥分发、特征认证事务分级进行，进...

【专利技术属性】
技术研发人员：许驰，
申请(专利权)人：成都鼎智汇科技有限公司，
类型：发明
国别省市：四川,51