云平台大数据访问方法

云平台大数据访问方法
【技术领域】
[0001] 本发明涉及大数据安全，特别涉及一种云平台大数据访问方法。
【背景技术】
[0002] 用于大数据的云存储系统通过云平台的管理和运营机制保障所提供服务的高可 靠性；另一方面通过将所有参与用户所贡献的存储资源汇集起来提供成本低廉且容量巨大 的存储空间，以有效满足尚速发展的互联网应用在大规t旲性、尚效性、尚可靠性、尚可扩展 性以及高性价比方面的需求。云系统的用户规模和数据规模都很庞大，且具有使得它面临 着更复杂的安全问题。用户是系统的使用者。用户授权控制机制是云存储系统安全的第一 道防线，用于决定用户是否能够登入系统，并且一旦决定能够登入，它将为每个登入用户分 配一个独特的身份标识，以在系统范围内能够证实该用户的合法身份。只有拥有合法身份 的用户才能够参与系统运作，使用系统提供的服务。关于用户授权控制的现有技术中，非法 用户能够以多个不同的身份登入系统，每个身份都与获取到的一个身份标识相关联，从而 可形成多个非法用户。这样一来，如果对用户可以获取的身份标识数量不加以限制，非法用 户可以很容易地控制系统中相当一大部分的节点，甚至是整个系统。另外，当系统允许用户 自由选择其身份标识时，非法用户将会刻意地去选择能够控制重要数据空间的身份标识。 这种情况下，即使用户能够获取的身份标识很有限，并且系统也采取了数据冗余存储策略， 多个非法用户通过联合，仍然能够很容易地获取数据副本所对应存储节点的身份标识，从 而对数据进行污染。同时，非法用户通过联合也能够选择合适的身份标识，以最大的可能性 来使它们出现在合法节点的路由表中，从而控制合法节点对系统的访问。

【发明内容】

[0003] 为解决上述现有技术所存在的问题，本发明提出了一种云平台大数据访问方法， 包括：
[0004] 云平台服务器产生两个阶为素数p的整数加法群6。和Gi，以及一个双线性对e: &XG。一G1;从伽罗华域GF(2p)中选择一个随机元素s。作为主密钥，并计算其公钥为Q。= sQP。，其中，P。为G。的生成元；预先选择散列函数HpHjPSHA-1加密散列函数H3;将密钥参 数（G。，Gpe，P。，Q。，氏，H2)进行分发；
[0005] 云平台服务器选择安全节点P，安全节点P从云平台服务器处获取身份标识IDP和 私钥SP，安全节点P从伽罗华域GF(2P)中选择一个随机元素sP作为其主密钥，并计算公钥 QP=sPP。，用户Q通过云平台服务器获取到安全节点P的地址，进而通过安全节点P加入系 统；
[0006] 用户Q向安全节点P发送其网络逻辑地址LAQ;$全节点P通过回调的方式对用户 Q进行验证以确定用户Q确实拥有LAQ，然后安全节点P与用户Q执行密钥交换，产生一个 对称密钥KP.Q，对后续产生的私钥进行加密传输，并保护传输消息的完整性；
[0007] 安全节点P为用户Q分配身份标识IDQ和其产生时刻TQ，为其产生对应的私钥SQ， 并生成一个令牌用于其他节点验证用户Q的身份，即：
[0008] 1)获取产生用户Q的身份标识IDq的时刻TQ，并计算用户Q的身份标识为IDq = H3(LAq，Tq);
[0009] 2)计算用户Q的公钥为PQ=Hi(IDQ);
[0010] 3)计算用户Q的私钥为SQ=Sp+spP q，并利用KP.Q加密得E(SQ，KP.Q);
[0011] 4)计算令牌为TokQ=SP+sPH2 (IDQ，TQ);
[0012] 5)向用户Q发送（IDQ，TQ，QP，TokQ，E(SQ，KP.Q));
[0013] 用户Q接收到消息后，对消息进行验证，然后利用KP.Q解密得SQ;
[0014] 当用户Q与其他节点R联系时，向其发送（10()，10^1'()，0^1'〇1^)，节点1?向云平台服 务器确定IDP是否为安全节点，如果不是，拒绝用户Q;否则，节点R计算并判断eTwTokq) =dQyPp)是否成立，如果成立，则确定用户Q具有合法身份，节点R建 立与用户Q的联系；否则，拒绝用户Q;
[0015] 当用户Q的有效身份过期后，联系节点P更新其密钥对，用户Q向节点P发送（LAq， Tq，TokQ)，P对用户Q进行验证，如果通过验证，P向用户Q发送更新后的身份标识、时刻、私 钥和令牌，若P已经离开系统，用户Q通过云平台服务器获取新的安全节点的地址，向其发 送（LAQ，IDP，TQ，QP，TokQ)，新的安全节点将为Q更新密钥对。
[0016] 本发明相比现有技术，具有以下优点：
[0017] 本发明的方法能够有效地解决非法用户通过网络逻辑地址进行攻击的问题，保障 系统的安全，适用于云存储系统。
【附图说明】
[0018] 图1是根据本发明实施例的云平台大数据访问方法的流程图。
【具体实施方式】
[0019] 下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描 述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权 利要求书限定，并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节 以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中 的一些或者所有细节也可以根据权利要求书实现本发明。
[0020] 图1是根据本发明实施例的云平台大数据访问方法流程图。本发明针对云存储系 统的特点，本发明利用云存储中的授权控制机制，为用户安全高效地分配身份标识，并有效 地抵抗非法攻击。用户的公钥能够直接从他的身份标识所导出，其私钥可以通过一系列的 密钥参数计算产生。在第一实施例中，云平台服务器为每个登入系统的用户基于其网络逻 辑地址分配一个身份标识，并为其产生并分发对应于该身份标识的密钥对，具有合法身份 的用户设置为系统中一个节点；在用户登入系统时，通过回调的方式对其进行验证，用户仅 在能够接收到对一个网络逻辑地址的连接时才被认为是该网络逻辑地址的合法所有者，只 有通过验证的用户才会被分配身份，从而防止非法用户通过伪造网络逻辑地址获取到大量 的系统身份发动非法攻击。
[0021] 在进一步的实施例中，引入分级加密技术，以有效降低云平台服务器的开销。云平 台服务器能够将为用户分配身份标识和产生对应私钥的工作分配给系统中的多个安全节 点来完成，从而使系统具备良好的可扩展性。进一步的实施例基于网络逻辑地址和端口号 为用户分配身份标识。同时，为了防止使用转换地址的非法用户通过使用多个端口号获取 大量的身份标识，在为用户分发私钥时加入密码运算，从而有效限制非法用户获取身份标 识的速率和非法攻击。
[0022] 在本发明应用的密码体系中，公钥通过简单的数据对象产生，例如该数据对象可 以是网络逻辑地址；然后通过一系列的密钥参数产生用于加密、解密、签名及验证的私钥。 私钥的生成由一个称为密钥生成器的安全第三方来负责。通过这种构建方式，不需要分发 其他形式的密钥，用户就可以加密数据或者验证签名。除复杂的证书管理工作，极大地降低 系统的开销。为了降低密钥生成器的计算开销，可以由多级密钥生成器形成树状结构，使得 私钥产生可以由多级密钥生成器来完成。
[0023] 本发明基于由云平台服务器和多个用户构成的云存储系统体系结构。任意的网络 逻辑地址都可以被非法用户伪造，网络中传播的任何数据都可以被非法用户窃听，但是一 个非法用户能够获取到的有效网络逻辑地址的数量和计算能力是有限的。以下将详细描述 构成本发明的方法的操作，实现为登入系统的用户分配合法的身份，并抵抗对系统的非法 攻击。
[0024] 在第一实施例中，云平台服务器为每个登入系统的用户都分配一个随机的身份标 识，并产生对应的私钥，对用户身份标识和其私钥进行绑定。该方法包括系统初始化和用户 登入两个阶段。
[0025] 初始化阶段：云平台服务器执行如下操作产生协议密钥参数。
[0026] 1)产生两个阶为素数p的整数加法群6。和Gi，以及一个双线性对e^XG。一G^ 其中，PD为G。的生成元。
[0027] 2)从伽罗华域GF(2P)中选择一个随机元素s。作为主密钥，并计算其公钥为〇。=