对相应文件的访问等级,则回转执行步骤4.2.2 ;否则执行步骤4.2.4 ;
步骤4.2.4:用授权服务器中记录的共享权限的持续有效时间加上共享权限时间的起始值得到权限有效的终止值,对比发送访问请求时的系统时间,如果发送访问请求时的系统时间大于计算出的权限有效时间终止值,则回转执行步骤4.2.2 ;否则执行步骤4.2.5 ;步骤4.2.5:用户能够访问资源,判断是否具有访问权限过程结束。
[0017]本发明的有益效果为:将时间限制引入访问控制和授权管理过程中,使得用户能设定权限有效时间。一旦超过设定时间,自动撤销权限。使得多人协作模式更加灵活便捷。通过实施本发明的技术方案,可为用户间共享资源特别是多人协作时提供一种数据密文访问控制方案,实现云端数据灵活安全共享。
[0018]
【附图说明】
[0019]图1:为本发明实施例应用在云环境下的数据共享系统图;
图2:为本发明实施例的功能简介图;
图3:为本发明实施例的工作流程图;
图4:为本发明实施例中数据共享阶段的细化流程图;
图5:为本发明实施例中文件访问阶段的细化流程图;
图6:为本发明实施例中判断是否具有权限阶段细化流程图;
图7:为本发明实施例中权限变更阶段的细化流程图。
[0020]
【具体实施方式】
[0021]为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
[0022]请见图1,本发明应用在云环境下的数据共享系统中,该系统包括数据拥有者、第三方电子邮箱、授权服务器、用户或联系人、云端或云存储服务器。
[0023]其中数据拥有者:指云的使用者,需要将有限容量的设备中的数据存储在云中,将数据分享给他人,并制定数据的访问控制策略以决定数据的分享对象;
授权服务器:在数据授权和访问控制中,存储数据拥有者的访问控制策略和判断是否具有访问权限的部分;
用户或联系人:读取数据拥有者发布的数据;
云端或云存储服务器:存储用户的基本信息和联系人,存储数据拥有者的文件,会忠实执行数据拥有者和可信第三方发出的操作请求,但在条件允许时会偷窥文件内容;
群组:基于角色的访问控制的一种实施形式,将具有相同权限的用户分在同一个群组中,以便授权时统一操作,降低复杂度;
以下就本发明中涉及到的技术术语进行解释和说明:
文件:数据拥有者需要上传至云端的数据;
访问控制策略:数据拥有者制定的访问规则,限定了数据可以由具有某个权限的人在某段时间内对特定文件进行访问;访问控制策略存储在授权服务器数据库中,云端可以通过访问控制策略对需要访问文件的用户做授权与访问控制;
对称密码机制:是一种传统密码机制,加密和解密采用相同密钥,效率较高,在本发明中采用该机制加密文件;
对称密钥:对称密码机制中随机生成的二进制数据;
公钥密码机制:用公钥加密算法产生一对密钥,即公开密钥(简称公钥)和私有密钥(简称私钥);
公钥:公钥密码机制中由公钥加密算法生成的二进制串,由数据拥有者的群组初始化时生成,用于解密对称密钥,由第三方电子邮箱发送个待分享群组中的各用户;
私钥:公钥密码机制中由公钥加密算法生成的二进制串,由数据拥有者的群组初始化时生成,用于加密对称密钥。
[0024]请见图2,为本发明实施例的功能简介图,本发明有认证、数据存储、数据传输、访问控制、分享授权五大功能。
[0025]其中,认证功能包括邮件认证(注册时认证邮箱合法性)、登入认证(认证用户名密码以及Kerberos认证)、角色认证(在访问数据拥有者共享给用户的文件时认证是否属于该分享群组);
数据存储包括加密存储(每个用户有自己的对称密钥,文件上传时用对称密钥加密,下载时用对称密钥解密,分享时用每个群组的私钥PRK加密数据拥有者的对称密钥,用户只有获得了对应的公钥PBK才能解密对称密钥,进而解密加密的文件)、一致读取(数据更新机制,Cassandra系统提供的,一段时间会将副本内容与合并更新);
数据传输包括文件上传、文件下载、密钥分发、票据传输(Kerberos中,当客户要与服务器通信,先向认证服务中心申请票据,然后用自己的私钥加密后发给认证服务中心,认证服务中心用公钥解密后看是否一致。认证成功后就把票据作为会话密钥);
访问控制是基于TRBAC模型(Time and Role Based Access Control ),对相关联的用户按关系好坏等进行分组,每个分组是分享授权的最小单位;包括分组管理、角色控制和权限控制;
分享授权是根据数据拥有者设置的共享权限和时限来判断请求访问资源的用户是否有访问资源的权限;包括群组分享和角色授权。若有访问的权限,则能获得对应的公钥PBK来解密用私钥PRK加密的对称密钥,进而访问文件;反之则不能。
[0026]请见图3,为本发明实施例的工作流程图,实施例的流程包括如下步骤:
步骤1:用户登录;该步骤又包括如下子步骤:
步骤1.1:检查是否为已注册用户,若不是,则执行步骤1.2 ;否则执行步骤1.3 ;
步骤1.2:先注册再登录;
步骤1.3:认证服务器进行身份认证;
步骤1.4:判断身份认证是否成功,若不成功,返回登录界面;否则,进入主界面;
步骤2:主界面包括上传文件、下载文件、分享文件、信息管理、传输管理等功能,用户可根据需要进行操作并跳转到对应的服务页面;
步骤3:根据用户操作跳转到各个子模块进行处理,这些子模块包括上传文件、下载文件、分享文件、信息管理、传输管理。
[0027]上传文件包括选择文件和上传成功提示;下载文件包括认证角色、认证权限和下载成功提示;分享文件包括设置分享群组、设置分享权限、设置分享期限和分享成功提示;信息管理包括用户信息管理、群组管理和权限管理;传输管理包括开始任务管理、暂停任务管理和删除任务管理;
在本实施例中,数据拥有者为某高校教师X。现数据拥有者需要传至云端共享的文件为他为期末考试出的试卷M,M的访问控制策略为:访问者同事(另外一起审核试卷和批改试卷的老师Y)能在期末成绩评定完成之前访问并且具有可读可写的权限,Y的电子邮箱为Y?example, org ;访问者学生只能在考试期间的规定时限(2小时)内对该试卷具有可读权限,其中选择某学生H作为学生代表,其电子邮箱为HOexample.0rg。
[0028]本发明提供的一种有权限时间控制的云存储数据安全共享方法,包括以下步骤: 步骤1:注册; 用户在云盘客户端注册,填入用户名、密码、确认密码、电子邮箱地址,,注册成功后用户信息存储在云盘服务器中;
步骤2:初始化;
用户注册时,自动为其初始化四个群组,分别为:自己、朋友、同事、陌生人,按照对称密码机制生成用于加密文件的密钥,并为每个群组用公钥加密算法生成一对用于加密和解密对称密钥的公私钥;
这里由于情境需要,创建一个学生分组,创建分组的同时,系统也同样自动为该群组用公钥加密算法生成了公钥PBKi和私钥PRKi ;
在本实施例中数据拥有者为高校教师X,涉及到的联系人有同事和学生,联系人信息存储在云存储服