【技术实现步骤摘要】
本专利技术属于云存储和访问控制领域,更具体地,涉及。
技术介绍
在云存储环境下,要保护用户数据机密性和隐私性,需要保证数据只能由授权用户获取,非授权用户(包括授权用户以外的用户以及云存储服务提供商)不能获取数据,访问控制是实现这一目标的重要手段。云存储环境中的访问控制,与传统访问控制有较大区别。首先,在传统的访问控制中,用户往往是被系统所熟知的,系统能根据用户的身份设置访问权限。然而,在云存储环境中用户规模巨大,且用户集可能频繁变化。在访问请求发生之前,系统通常无法事先认知所有请求系统服务的用户,并对其分配相应权限。进一步地,在传统访问控制中,数据往往是存储在可信介质上,而在云存储环境下,数据存储在云服务提供商(Cloud serviceprovider,简称CSP)中,需要保护的数据与数据的拥有者并不是处于同一可信域内,而CSP出于商业利益,有可能窥探用户数据并加以利用,甚至泄露用户隐私数据。为解决云环境下的访问控制问题,国内外已有了一些研究。最基本的思路是采用密文访问控制方法(V.Kher and Y.Kim: Securing distributed storage: Challenges, techniques, and systems.2005:9-25),数据拥有者将数据加密后存储在云中,通过控制用户对密钥的获取权限来实现访问控制目标。但由于云存储环境下数据量和用户量都十分巨大,如何以较小的代价让授权用户获取密钥,是实现云环境下数据密文访问控制的重点研究内容。针对这一研究内容,Goyal等人提出了密钥策略的属性加密方案(Key-policy ...
【技术保护点】
一种云存储中的数据细粒度访问控制方法,其特征在于,包括以下步骤:步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主密钥自己保留;步骤2.数据拥有者使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端;步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性;步骤4.数据拥有者向可信第三方发送用户权限变更声明,可信第三方根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则可信第三方生成重加密密钥发送给云端,由云端更新外部访问控制策略及对称密钥密文;步骤5.用户向云端发送文件访问请求,云端根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户根据属性密码机制解密对称密钥密文,以进一步解密文件块。
【技术特征摘要】
1.一种云存储中的数据细粒度访问控制方法,其特征在于,包括以下步骤: 步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主S钥自己保留; 步骤2.数据拥有者使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端; 步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性; 步骤4.数据拥有者向可信第三方发送用户权限变更声明,可信第三方根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则可信第三方生成重加密密钥发送给云端,由云端更新外部访问控制策略及对称密钥密文; 步骤5.用户向云端 发送文件访问请求,云端根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户根据属性密码机制解密对称密钥密文,以进一步解密文件块。2.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤I具体包括以下子步骤: 1.1数据拥有者选择需要上传的文件,对文件进行分块,形成文件块,并根据系统中的属性制定文件块的访问控制策略; 1.2数据拥有者提取各个文件块的访问控制策略中的公共部分,将其作为外部访问控制策略,各文件块的访问控制策略中剩余的部分作为各个文件块的内部访问控制策略; 1.3数据拥有者向可信第三方发送公钥申请,公钥申请中包含数据拥有者的身份信息; 1.4可信第三方接收来自数据拥有者的公钥申请,并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK,且不同数据拥有者的公钥及主密钥互不相同; 1.5可信第三方将生成的公钥PK发送给数据拥有者; 1.6数据拥有者接收并保存公钥PK。3.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤2具体包括以下子步骤: 2.1数据拥有者根据文件块数目,利用对称密码机制随机生成对应数目的对称密钥,并利用对称密钥对数据块进行加密生成密文,每个数据块的加密密钥不同; 2.2数据拥有者将公钥PK、数据块的内部访问控制策略及对称密钥作为输入、采用属性密码机制对对称密钥进行加密,以生成对称密钥密文; 2.3数据拥有者对外部访问控制策略中的属性进行属性加密函数处理; 2.4数据拥有者将步骤(2.1)中生成的数据块密文、步骤(2.2)中生成的对应的对称密钥密文、步骤(2.3)中生成的经属性加密函数处理后的外部访问控制策略作为一个数据包,整体上传至云端; 2.5云端接收并存储来自数据拥有者的数据包。4.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤3具体包括以下子步骤: . 3.1判断登录进入系统的用户是否是首次登录用户,如果该用户是首次登录用户,转步骤(3.2);如果该用户不是首次登录用户,转步骤(3.8); .3.2用户向数据拥有者发送授权申请; . 3.3数据拥有者接收用户授权申请,根据用户授权申请为用户指定属性,根据指定的属性生成用户授权声明,并将用户授权声明发送至可信第三方; . 3.4可信第三方接收用户授权申请,在用户属性信息表中加入用户的属性信息,将步骤(1.3)中生成的主密钥、用户的属性作为输入,采用属性密码机制为用户生成属性密钥; . 3.5可信第三方将用户的属性使用属性加密函数处理; .3.6可信第三方将步骤(3.4)中生成的属性密钥及步骤(3.5)中经属性加密函数处理后的属性发送给用户; . 3.7用户接收并保存属性密钥及加密后的属性; . 3.8用户向可信第三方发送权限更新申请; . 3.9可信第三方根据权限更新申请检查该用户是否有需要更新的属性,如果有需要更新的属性,转步骤(3.10),否则转步骤(3.12); . 3....
【专利技术属性】
技术研发人员:李瑞轩,沈成林,何亨,辜希武,李玉华,韩洪木,叶威,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。