本发明专利技术适用于云计算技术领域,提供了一种数据访问控制方法及系统,所述方法包括:第三方生成各层次的密钥,并将生成的所述密钥发送给对应层次的客户端;所述客户端通过接收到的密钥对待上传云端服务器的数据进行加密,并将加密后的数据上传至云端服务器。本发明专利技术在提高云端服务器数据安全的同时,简化了云端服务器数据访问控制中的密钥管理,降低了计算开销,提高了云端服务器数据访问的效率。
【技术实现步骤摘要】
一种数据访问控制方法及系统
本专利技术属于云计算
,尤其涉及一种数据访问控制方法及系统。
技术介绍
从云计算诞生,安全性一直是企业实施云计算首要考虑的问题之一。访问控制是实现用户数据机密性和进行隐私保护的重要手段。在云存储系统中的服务器应假设为是不可信的,用户不愿意将核心机密信息放到云存储系统中,即使是密文数据,用户也会担心被非授权用户读取或引用,这使得云存储服务应用的发展受到了限制。现有密文策略的基于属性的加密(Ciphertext-policyAttribute-BasedEncryption,CP-ABE)方案将用户的身份表示为一个属性的集合,加密后的数据(密文数据)与数据的访问控制结构相关联。一个用户能否访问这份数据,取决于该用户的属性集合是否能与访问控制结构相匹配。在采用CP-ABE实现云存储的数据访问控制时,由于用户的属性间存在层次关系,导致数据的访问结构复杂。同时每个用户能够访问的数据都采用CP-ABE机制来实现数据的访问,会导致计算开销较大。
技术实现思路
本专利技术实施例在于提供一种数据访问控制方法,以解决现有技术在访问云服务端数据时,计算开销较大的问题。本专利技术实施例的第一方面,提供一种数据访问控制方法,所述方法包括:第三方生成各层次的密钥,并将生成的所述密钥发送给对应层次的客户端;所述客户端通过接收到的密钥对待上传云端服务器的数据进行加密,并将加密后的数据上传至云端服务器。本专利技术实施例的第二方面,提供一种数据访问控制系统,所述系统包括:第三方、客户端以及云服务端;所述第三方,用于生成各层次的密钥,并将生成的所述密钥发送给对应层次的客户端;所述客户端,用于通过接收到的密钥对待上传云端服务器的数据进行加密,并将加密后的数据上传至云端服务器。本专利技术实施例与现有技术相比存在的有益效果是:本专利技术实施例通过可信的第三方生成不同层次的密钥,并将生成的所述密钥发送给对应层次的客户端,以使得客户端通过接收到的密钥对待上传云端服务器的数据进行加密。本专利技术实施例在提高云端服务器数据安全的同时,简化了云端服务器数据访问控制中的密钥管理,降低了计算开销,提高了云端服务器数据访问的效率,具有较强的易用性和实用性。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术第一实施例提供的数据访问控制系统所适用的应用场景图;图2是本专利技术第二实施例提供的数据访问控制方法的实现流程图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。为了说明本专利技术所述的技术方案,下面通过具体实施例来进行说明。实施例一:图1示出了本专利技术第一实施例提供的数据访问控制系统所适用的应用场景,为了便于说明,仅示出了与本专利技术实施例相关的部分。如图1所示,该数据访问控制系统包括多个用户终端1、云端服务端2以及第三方3。所述多个用户终端1、云端服务端2以及第三方3之间通过有线或者无线的方式连接通信。其中,所述用户终端1可以是手机、平板电脑、计算机等。所述云端服务端2和第三方3可以是单一的服务器,也可以为由几个功能服务器共同组成的服务器端。在一个多权限或多层次的组织结构中(如在医院中,包括院长,科室主任,主任医生,主治医生等;在企业中,包括总经理,部门主管,项目经理,工程师等),不同权限或层次的用户可以解密不同等级的数据密文而获得相关的信息。在采用CP-ABE实现云存储的数据访问控制时,由于用户的属性间存在层次关系,导致数据的访问结构复杂。同时每个用户能够访问的数据都采用CP-ABE机制来实现数据的访问,会导致计算开销较大。为解决上述问题,具体实施如下:所述第三方3基于层次访问控制模型生成各层次的密钥(包括公钥和私钥),并将生成的所述密钥发送给对应层次的用户终端1。所述用户终端1通过接收到的密钥对待上传云端服务器2的数据进行加密,并将加密后的数据上传至云端服务器2。其中,所述系统至少包括第一层次(权限较高的层次)和第二层次(权限较低的层次),对应层次的用户终端1包括第一层次的用户终端11和第二层次的用户终端12。较佳的,本实施例在所述用户终端1通过接收到的密钥对待上传云端服务器2的数据进行加密之前,还包括:所述第三方3根据第二层次用户终端12的属性生成对应的属性密钥(包括公钥和私钥),并将所述属性密钥发送给所述第二层次用户终端12;其中,所述第二层次用户终端12通过接收到的密钥对待上传云端服务器2的数据进行加密,并将加密后的数据上传至云端服务器2具体包括:所述第二层次用户终端12通过接收到的密钥对待上传云端服务器2的数据进行加密,并通过所述属性密钥对该密钥进行加密,将加密后的数据以及加密后的密钥一起上传至云端服务器2。进一步的,本实施例还包括:所述第二层次用户终端12从所述云端服务器2下载所述加密的数据以及加密的密钥后,通过所述属性密钥解密所述加密的密钥,得到对称密钥,再通过所述对称密钥对所述加密的数据进行解密以供用户终端12所在用户查看。进一步的,所述第一层次用户终端11从所述云端服务器2下载所述加密的数据后,通过所述密钥对所述加密的数据进行解密以供用户终端11所在用户查看。需要说明的是,所述公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密;如果用私钥对数据进行加密,那么只有用对应的公钥才能解密。本实施例在基于CP-ABE的基础上(即对云端服务器的数据进行精细划分,构建不同的数据的访问结构),结合层次访问控制模型,提出了一种面向云端服务端的高效数据访问控制方案,本方案能构造更加简单高效的数据密文访问结构(即第一层次和第二层次),同时简化了数据访问控制中的密钥管理,降低了计算开销,在保持CP-ABE优良特性的基础上,实现了类似基于角色的数据访问控制机制。进一步的,用户终端1对待上传云端服务器2的数据进行加密之前,还包括:用户终端1接收启动数据访问控制功能的信息。其中,所述启动数据访问控制功能的信息包括用户发出的启动数据访问控制功能的指令,或者根据预设的时间间隔产生的启动数据访问控制功能的触发信息。在本实施例中,所述启动数据访问控制功能的指令可以优选为:在监测到用户在用户终端1上的触摸动作为两点触摸且滑动轨迹为纵向相对滑动后,判断两触摸点纵向相对滑动的位移是否同时大于预设的第一阈值、所述两触摸点最终落点的距离差是否小于预设的第二阈值、且所述两触摸点滑动的速度是否同时大于预设的第三阈值;或者在监测到所述触摸动作为两点触摸且所述滑动轨迹为相反方向滑动后,判断两触摸点相反方向滑动的位移是否同时大于预设的第一阈值、所述两触摸点最终落点的距离差是否大于预设的第四阈值、且所述两触摸点滑动的速度是否同时大于预设的第三阈值,若是(即上述三个条件判断结果都为“是”),则判定为启动数据访问控制功能的指令;若否(上述三个条件的判断结果至少有一个为“否”),则不执行,结束当前操作。本实施例提供的应用场景只用于解释本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据访问控制方法,其特征在于,所述方法包括:第三方生成各层次的密钥,并将生成的所述密钥发送给对应层次的客户端;客户端接收启动数据访问控制功能的信息;所述客户端接收到启动数据访问控制功能的信息后,通过接收到的密钥对待上传云端服务器的数据进行加密,并将加密后的数据上传至云端服务器;所述方法至少包括第一层次和第二层次;所述第一层次的权限高于第二层次;第一层次客户端从所述云端服务器下载所述加密的数据后,通过所述密钥对所述加密的数据进行解密以供终端所在用户查看。2.如权利要求1所述的方法,其特征在于,在所述客户端通过接收到的密钥对待上传云端服务器的数据进行加密之前,还包括:所述第三方根据第二层次客户端的属性生成对应的属性密钥,并将所述属性密钥发送给所述第二层次客户端;所述客户端通过接收到的密钥对待上传云端服务器的数据进行加密,并将加密后的数据上传至云端服务器具体包括:所述第二层次客户端通过接收到的密钥对待上传云端服务器的数据进行加密,并通过所述属性密钥对该密钥进行加密,将加密后的数据以及加密后的密钥一起上传至云端服务器。3.如权利要求2所述的方法,其特征在于,所述方法还包括:所述第二层次客户端从所述云端服务器下载所述加密的数据以及加密的密钥后,通过所述属性密钥解密所述加密的密钥,得到对称密钥,再通过...
【专利技术属性】
技术研发人员:刘进,须成忠,孙婧,喻之斌,
申请(专利权)人:中国科学院深圳先进技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。