一种有权限时间控制的云存储数据安全共享方法

一种有权限时间控制的云存储数据安全共享方法
【专利说明】一种有权限时间控制的云存储数据安全共享方法
[0001]
技术领域
[0002]本发明属于云存储和访问控制技术领域，具体涉及一种有权限时间控制的云存储数据安全共享方法。
[0003]
【背景技术】
[0004]个人计算机(Personal Computer)以及移动设备中存储了大量的数据，但是由于它们存储空间有限，随着用户要存储的数据量日益增长，为备份考虑，有一部分数据需要转移到云端。此外，移动端之间端到端的传输只适合少量用户少量数据的情况，当用户需要和大量联系人共享大量数据时，用户需要将待分享的数据存储在云端，其他用户通过云端得到共享数据。无论是对数据进行备份还是对数据进行共享，当数据存储于云端时，数据脱离了用户的控制，其隐私性都是亟待解决的问题。虽然云端会忠实执行用户操作，但云端仍然可能出于商业利益窥视用户内容。因此，用户存储在云端的数据需要以加密形式存在。此夕卜，当用户需要和其他联系人共享数据时，如何保护用户数据机密性和隐私性，保证数据只能由授权用户获取，非授权用户(包括授权用户以外的用户以及云存储服务提供商)不能获取数据，也是需要考虑的问题。
[0005]云存储为多人协作带来了新的生机，但是在多人协作的场景中，共享权限有时并不是永久有效的，有时候我们只希望它存在一段时间。
[0006]但是若是每次都手动撤销，不仅有时会因数据拥有者没有时间而无法按时撤销，而且一旦共享资源大量存在，势必会带来操作的不便利性。因此，权限时间的控制和自动撤销也是有待解决的冋题。
[0007]当前针对云环境下数据备份及共享时的数据隐私保护问题，已经有了一些研究。最基本的思路是采用密文访问控制方法，数据拥有者将数据加密后存储在云中，通过控制用户对密钥的获取权限来实现访问控制目标。但由于云存储环境下数据量和用户量都十分巨大，如何以较小的代价让授权用户获取密钥，是实现云环境下数据密文访问控制的重点研究内容。
[0008]综上所述，当前关于云存储中数据访问控制的研究，在共享权限时间的控制以及资源的访问控制管理复杂性方面，并没有一种能在云存储中可行的有权限时间控制的数据安全共享方案。
[0009]

【发明内容】

[0010]针对现有技术的以上缺陷，本发明提出了一种有权限时间控制的云存储数据安全共享方法，该方法提供的一种基于权限时间设定的数据密文访问控制方案，实现了云端数据安全共享，权限定时自动撤销。
[0011]本发明所采用的技术方案是:1.一种有权限时间控制的云存储数据安全共享方法，其特征在于，包括以下步骤:
步骤1:注册；
用户在云盘客户端注册，填入用户信息，注册成功后用户信息存储在云盘服务器中； 步骤2:初始化；
用户注册时，自动为其初始化四个群组，分别为:自己、朋友、同事、陌生人，按照对称密码机制生成用于加密文件的密钥，并为每个群组用公钥加密算法生成一对用于加密和解密对称密钥的公私钥；
步骤3:数据分享与授权；
数据拥有者选择需要共享的文件，制定访问控制策略，根据访问控制策略对用户进行授权；使用对称密码机制对文件进行加密处理生成文件密文，并用待分享群组所属的私钥加密对称密钥，然后把与私钥成对的公钥以电子邮件方式告知该组所有用户；
步骤4:文件访问；
用户向云端发送文件访问请求，云端根据访问控制策略对其做访问控制，并将文件包发送给合法用户，自动在合法用户本地存取公钥的文件夹中找到用来解密对称密钥的公钥解密对称密钥密文。
[0012]作为优选，本发明的方法还包括:
步骤5:用户的权限变更；
当用户的权限发生变更时，其具体操作包括以下子步骤:
步骤5.1:判断权限变更的类别；
若删除某个群组内个别用户的所有权限时，则执行步骤5.2 ;
若要使个别用户拥有某个群组的所有权限，则执行步骤5.3 ;
若只是删除个别或一些用户的部分权限时，则执行步骤5.4 ;
若要为个别或一些用户增加部分权限时，则执行步骤5.5 ;
若对该群组的权限时间进行延长或缩短，则执步骤5.6 ;
若对该群组的权限级别进行统一调整，则执行步骤5.7 ;
步骤5.2:直接从该群组删除这些用户，权限变更阶段结束；
步骤5.3:直接将这些用户加入该群组，权限变更阶段结束；
步骤5.4:数据拥有者先从该群组删除这些用户，再建立一个新的群组，将要删除部分权限的用户加入到该群中，并对该群要共享的文件进行设置，对文件的访问权限级别和时间进行设置，权限变更阶段结束；
步骤5.5:数据拥有者先从该群组删除这些用户，再建立一个新的群组，将要增加权限的用户加入到该群中，并对该群要共享的文件进行设置，对文件的访问权限级别和时间进行设置，权限变更阶段结束；
步骤5.6:重新设置权限的有效时间并更改云端数据库中的表，权限变更阶段结束； 步骤5.7:重新设置权限类别，数据将更新到云端数据库中，权限变更阶段结束。
[0013]作为优选，步骤I中所述的用户信息包括用户名、密码、确认密码、电子邮箱地址。
[0014]作为优选，步骤3的具体实现包括以下子步骤: 步骤3.1:数据拥有者选择需要共享的文件并上传，上传时文件用对称密钥加密；
步骤3.2:选择要分享的群组；
步骤3.3:设置共享权限类别、权限持续有效时间以及权限有效的起始时间，授权服务器在检测是否具有访问权限时将根据权限有效起始时间和所设置的权限有效时间段自动计算权限有效的终止时间；
步骤3.4:将自己用于加密文件的对称密钥用待分享群组所属的私钥加密；
步骤3.5:把公钥以电子邮件的方式告知该组用户。
[0015]作为优选，步骤4的具体实现包括以下子步骤:
步骤4.1:客户端自动显示数据拥有者分享给用户的文件，用户向云端发送文件访问请求；
步骤4.2:云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限；
如用户不满足此刻对相应文件有请求行使的权限或更高一级的权限，用户不可以访问文件，执行下述步骤4.3 ;
否则，用户能访问文件，执行下述步骤4.4 ;
步骤4.3:云端向用户发送拒绝访问应答，文件访问阶段结束；
步骤4.4:云端将文件密文及相应的对称密钥密文发送给用户；
步骤4.5:自动为用户在本地存取公钥的文件夹中找到解密对称密钥密文的公钥来解密对称密钥密文；
步骤4.6:用对称密钥密文解密加密的文件得到文件块明文。
[0016]作为优选，步骤4.2中所述的云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限，其具体实现包括以下子步骤:
步骤4.2.1:检查申请访问资源的用户是否对申请访问的资源有访问权限，如果有，执行步骤4.2.2 ;否则执行步骤4.2.3 ;
步骤4.2.2:用户不能访问资源，判断是否具有访问权限过程结束；
步骤4.2.3:检查申请访问资源的用户所申请的访问权限等级是否与数据库中的权限等级相等或较之更低，如果用户申请访问的权限等级高于数据库中记录的用户