CN102546764B - 一种云存储系统的安全访问方法 - Google Patents
一种云存储系统的安全访问方法 Download PDFInfo
- Publication number
- CN102546764B CN102546764B CN201110430338.7A CN201110430338A CN102546764B CN 102546764 B CN102546764 B CN 102546764B CN 201110430338 A CN201110430338 A CN 201110430338A CN 102546764 B CN102546764 B CN 102546764B
- Authority
- CN
- China
- Prior art keywords
- file
- user
- key
- attribute
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种云存储系统的安全访问方法,属于计算机存储技术和信息安全技术领域,解决现有安全访问方法存在的密钥管理和分发复杂的问题。本发明包括客户端进程、认证端进程和存储端进程,客户端基于属性密码机制为每个用户生成主密钥和公开参数;认证端装载用户属性库、文件属性库和属性密钥库;本发明通过明确的用户、文件和文件操作类型的属性构成访问控制字符串来决定用户对文件访问权限,这样能够解决复杂云存储系统中的细粒度访问控制和大规模用户动态扩展问题,极大程度地减少了云存储系统的访问控制开销为存储系统安全访问提供更加灵活有效更加安全的访问控制机制。
Description
技术领域
本发明属于计算机存储技术和信息安全技术领域,具体涉及一种云存储系统的安全访问方法。
背景技术
云存储系统是在云计算概念上延伸和发展出来的一个新的概念,云存储系统对使用者来讲,不是指某一个具体的设备,而是指一个由许多存储设备和服务器所构成的集合体。使用者使用云存储系统,并不是使用某一个存储设备,而是使用整个云存储系统带来的一种数据访问服务。
云存储系统带来便利的同时,对云存储系统的设备服务商的信任也成了用户担心的问题。云存储系统的安全,根本的目标是保证存储数据的安全,即数据的保密性、完整性和可用性。如何能够使得用户相信自己的私密数据在云存储系统中的安全,如何有效地保护用户的私密数据,如何让用户把数据掌控在自身控制域中,同时如何以最小的性能消耗代价来提高整个系统的安全级,就成为了云存储系统安全架构的设计目的。
访问控制的任务是在云存储系统对用户提供最大限度系统资源共享的基础上,通过对用户的访问权限进行管理,防止用户的非法操作以及对机密信息的窃取。当用户访问一个数据对象时,通过查询该数据对象的访问控制列表,如果能够找到该用户的访问控制项、并且具有请求操作的权限时,才会执行用户的操作,否则拒绝用户的请求。现有的云存储系统的安全访问方法是基于用户ID的唯一标识来区分的,用户属性特征仅仅作为访问控制决策约束参与访问控制决策,当云存储系统规模增大和访问策略复杂时,用户访问文件的约束规则数量爆炸性增长,密钥管理和分发的难度增大,导致访问控制系统效率低下,从而对于PB级大规模存储系统形成了明显的性能瓶颈。
以下是本发明中的名词解释:
文件属主,指文件拥有者;
原文件,指未加密的文件;
文件操作类型,分为创建文件、读文件、写文件和删除文件,由表示具体文件操作的字符串确定;
文件操作权限,由不同的文件操作类型组合得到字符串;
对称密码机制,是一种传统密码体制,加密和解密采用相同的密钥,解密是加密的逆运算;
对称密钥,随机生成的二进制数据,用于对原文件加密的二进制数据;
加密文件,使用对称密钥对原文件采用对称密钥密码机制加密后得到的文件;
完整性校验密钥,随机生成的二进制数据,用于对加密文件加密的二进制数据;
签名文件,使用完整性校验密钥,采用哈希函数对加密文件进行加密得到的二进制数据;
属性密码机制,加密过程中在密文中嵌入访问控制条件,密钥对应于一个属性值集合;成功解密当且仅当属性值集合中的属性值能够满足此访问控制条件;
主密钥,采用属性密码机制为每个用户生成的二进制数据,并由用户持有;
公开参数,采用属性密码机制为每个用户生成的公开的二进制数据,并由用户持有;
访问控制字符串,文件属主规定的描述文件访问条件的字符串,由数个属性值使用运算符连接构成,运算符包括“括号”、“and”及“or”;
子字符串,是由数个构成访问控制字符串的属性值组成的集合;
将一个给定的子字符串与访问控制字符串进行比较,访问控制字符串中,访问控制字符串和子字符串均具有的属性值置为“真”,其它属性值置为“假”,称为置换;
“and”表示其连接的属性值都为真时则返回真,否则返回假;“or”表示只有其连接的属性值为假时返回假,否则返回真;
当用给定子字符串置换访问控制字符串后,访问控制字符串运算值为真,称为子字符串满足访问控制字符串;
原子字符串,是在满足访问控制字符串的所有子字符串中不能找到其子集的子字符串,原子字符串包含文件操作权限;例如:访问控制字符串为(“博士”or“硕士”)and“写”,则集合A{“博士”,“硕士”,“写”}、集合B{“博士”,“写”}和集合C{“硕士”,“写”}是满足访问控制字符串的所有子字符串;集合B是集合A的一个子集,那么集合A不是原子字符串;集合B和集合C均是原子字符串;
原子字符串集合,给定访问控制字符串的所有原子字符串构成的集合;
属性组合,是由文件名和原子字符串连接构成的字符串;
属性密钥,文件属主使用主密钥、公开参数和原子字符串,采用属性密码机制计算生成的二进制数据;
文件共享密钥,使用公开参数、访问控制字符串采用属性密码机制加密对称密钥得到对称密钥的密文、加密完整性校验密钥的密文,并将两个密文以及公开参数三者连接得到的二进制数据。
发明内容
本发明提出一种云存储系统的安全访问方法,解决现有安全访问方法存在的密钥管理和分发复杂的问题,以防止外部攻击者对存储系统的侵入。
本发明的一种云存储系统的安全访问方法,包括客户端进程、认证端进程和存储端进程,客户端基于属性密码机制为每个用户生成唯一的主密钥和公开参数;认证端装载用户属性库、文件属性库和属性密钥库,用户属性库记录各用户的所有用户信息,包括用户ID;文件属性库记录各文件的所有文件信息,文件信息由该文件所有的属性信息、该文件所有的原子字符串和该文件所有的密钥编号构成,文件属性信息包括文件名和文件属主,密钥编号用于作为关键字在属性密钥库内查找属性密钥;属性密钥库保存各文件的所有密钥编号及其对应的属性密钥;原子字符串、属性密钥和密钥编号一一对应;其特征在于:
A.所述客户端进程,包括下述步骤:
(A1)客户端启动;连接认证端,连接存储端,转步骤(A2);
(A2)等待用户发起登录请求,接收到用户登录请求后,向认证端递交用户登录请求,然后判断认证端是否返回用户属性,是则允许用户登陆,转步骤(A3);否则拒绝用户登录客户端,转步骤(A2);用户属性包括用户ID;
(A3)等待用户发起服务请求,接收到用户服务请求后,判断服务请求类型:文件操作请求,转步骤(A4);权限操作请求,转步骤(A17);
所述服务请求分为文件操作请求和权限操作请求,文件操作请求又分为创建文件请求、读文件请求、写文件请求和删除文件请求;权限操作请求包括文件属性、主密钥、公开参数和访问控制字符串;创建文件请求包括文件属性、主密钥、公开参数和访问控制字符串;
(A4)判断文件操作请求类型:创建文件请求转步骤(A5);读、写文件请求,转步骤(A9);删除文件请求,转步骤(A15);
(A5)找出访问控制字符串的原子字符串集合;使用主密钥和公开参数,采用属性密码机制分别为每个原子字符串生成一把属性密钥;
向认证端递交权限管理请求;然后判断认证端返回的信息是否为用户验证结果,是则缓存该用户验证结果,转步骤(A6);否则向用户发送创建文件失败信息,转步骤(A3);权限管理请求包括用户属性,文件属性、原子字符串和属性密钥;用户验证结果包括属性组合和属性密钥;
(A6)客户端为待创建文件随机生成对称密钥和完整性校验密钥,使用对称密钥和待创建文件作为输入,采用对称密码机制加密待创建文件得到加密文件;使用完整性校验密钥和加密文件作为输入,采用哈希函数进行加密得到签名文件;转步骤(A7);
(A7)客户端使用公开参数和访问控制字符串,采用属性密码机制对对称密钥和完整性校验密钥加密后,并与公开参数拼接,得到文件共享密钥,转步骤(A8);
(A8)将文件包和创建文件请求一起发送到存储端;判断存储端返回的信息是否为创建文件完成信息,是则向用户返回创建文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回创建文件失败信息,删除该用户验证结果,转步骤(A3);
其中,文件包包括加密文件、签名文件和文件共享密钥;用户验证结果包括属性密钥和属性组合;
(A9)向认证端递交权限验证请求,然后判断认证端是否返回用户验证结果,是则缓存该用户验证结果,转步骤(A10);否则禁止用户的文件操作请求,转步骤(A3);
权限验证请求包括用户属性、文件属性和文件操作类型,文件属性包括文件名,文件操作类型分为创建文件、读文件、写文件和删除文件;
(A10)向存储端发送文件操作请求,等待存储端返回的信息;然后判断存储端返回信息类型:文件包,则转步骤(A11);拒绝访问信息,则向用户发送禁止服务信息,转步骤(A3);查找失败信息,则向用户返回查找错误信息,转步骤(A3);存储端返回信息分为文件包、拒绝访问信息和查找失败信息;
(A11)使用公开参数和属性密钥,采用属性密码机制对文件包中的文件共享密钥解密,得到加密文件的对称密钥和完整性校验密钥;然后使用完整性校验密钥对加密文件再加密得到重加密文件,比较重加密文件和签名文件是否相同,是则转步骤(A12);否则转步骤(A10);
(A12)使用对称密钥解密加密文件,得到原文件;判断文件操作请求是否为读文件请求,是则向用户返回原文件,转步骤(A3);否则向用户返回原文件,转步骤(A13);
(A13)等待用户对原文件写入数据,用户写入数据后形成修改后文件,使用对称密钥对修改后文件加密得到新加密文件,然后使用完整性校验密钥对新加密文件加密得到新签名文件,新加密文件、新签名文件和文件共享密钥构成新文件包;向存储端发送新文件包和文件操作请求,转步骤(A14);
(A14)等待存储端返回信息,判断存储端返回信息是否为写文件完成信息,是则向用户返回写文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回写文件失败信息,删除该用户验证结果,转步骤(A3);
(A15)向认证端递交权限验证请求,然后判断认证端是否返回用户验证结果,是则缓存该用户验证结果,转步骤(A16);否则禁止用户的文件操作请求,转步骤(A3);
(A16)向存储端发送删除文件请求,等待存储端返回的信息;接收到存储端返回的信息,然后判断返回的信息是否删除文件完成信息,是则向用户返回删除文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回删除文件失败信息,删除该用户验证结果,转步骤(A3);
(A17)找出访问控制字符串的原子字符串集合;使用主密钥和公开参数,采用属性密码机制分别为每个原子字符串生成一把属性密钥;
向认证端递交权限管理请求,等待认证端返回的信息;接收到认证端返回的信息,判断认证端返回的信息是否用户验证结果,是则缓存该用户验证结果,转步骤(A18);否则向用户发送权限操作失败信息,转步骤(A3);
(A18)由客户端生成写文件请求;以下过程同步骤(A10)至(A12),区别仅在于将步骤(A12)中转步骤(A13)改变为转步骤(A19);
(A19)客户端为文件重新生成一把新对称密钥,使用新对称密钥对原文件加密得到新加密文件,然后使用完整性校验密钥对新加密文件加密得到新签名文件;使用公开参数和访问控制字符串,采用属性密码机制对新对称密钥和新完整性校验密钥加密后,并与公开参数拼接,得到新文件共享密钥;新加密文件、新签名文件和新文件共享密钥构成更新文件包;
将更新文件包和文件操作请求一起发送到存储端;判断存储端返回的信息是否为写文件完成信息,是则向用户返回权限管理成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回权限管理失败信息,删除该用户验证结果,转步骤(A3);
B.所述认证端进程包括下述步骤:
(B1)认证端启动;分别连接客户端和存储端,转步骤(B2);
(B2)等待客户端的服务请求;接收到客户端递交的服务请求后,判断服务请求的类型,用户登录请求转步骤(B3);权限验证请求转步骤(B4);权限管理请求转步骤(B9);
(B3)判断用户登录请求是否合法,是则向客户端返回用户属性,否则向客户端返回拒绝登陆信息;转步骤(B2);
(B4)使用权限验证请求中的用户属性查找用户属性库得到用户信息,使用权限验证请求中的文件属性查找文件属性库得到文件信息,转步骤(B5);
(B5)在文件信息中查找是否存在满足条件的原子字符串;是则使用首次满足条件的原子字符串对应的密钥编号,查找属性密钥库得到属性密钥,转步骤(B6);否则向客户端返回拒绝访问信息,转步骤(B2);所述满足条件的原子字符串是指:
将用户信息和权限验证请求中的文件操作类型构成一个集合,当该集合中的文件操作类型是原子字符串中文件访问权限的子集,并且原子字符串中除了文件访问权限外,其他属性值都是集合的一个子集;
(B6)判断文件操作类型是否为删除文件,是则转步骤(B7);否则转步骤(B8);
(B7)将文件信息中的文件名和原子字符串连接作为属性组合,将属性组合和属性密钥构成用户验证结果发送给客户端;然后通过文件信息中所有的密钥编号删除属性密钥库中对应的属性密钥,再从文件属性库删除该文件信息,转步骤(B2);
(B8)将文件信息中的文件名和原子字符串连接作为属性组合,将属性组合和属性密钥构成用户验证结果发送给客户端;转步骤(B2);
(B9)通过权限管理请求中的用户属性查找用户属性库得到用户信息;通过文件属性查找文件属性库,判断是否存在对应的文件信息,是则转步骤(B10);否则属性密钥库为权限管理请求中的每一把属性密钥生成唯一的密钥编号,并连同对应的属性密钥一起更新到属性密钥库;然后将用户属性、文件属性、所有的原子字符串和对应的密钥编号形成文件信息,并将文件信息更新到文件属性库;转步骤(B2);
(B10)根据用户信息和文件信息来判断用户是否文件的属主,是则转步骤(B11);否则向客户端返回拒绝修改信息,转步骤(B2);
(B11)使用文件信息中的所有密钥编号来删除属性密钥库中对应的属性密钥,并删除文件属性库中对应的文件信息;然后属性密钥库为权限管理请求中的每一把属性密钥生成唯一的密钥编号,并连同对应的属性密钥一起更新到属性密钥库;然后将用户属性、文件属性、所有的原子字符串和对应的密钥编号形成新的文件信息,并将该文件信息更新到文件属性库;转步骤(B8);
C.所述存储端进程包括下述步骤:
(C1)存储端启动;分别连接客户端和认证端,转步骤(C2);
(C2)等待客户端的文件操作请求;接收到客户端递交的文件操作请求后,判断文件操作请求的类型,创建文件请求,转步骤(C3);读文件请求,转步骤(C4);写文件请求,转步骤(C5);删除文件请求,转步骤(C8);
(C3)使用创建文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回创建文件失败信息,转步骤(C2);否则存储随同创建文件请求的文件包,并向客户端返回创建文件完成信息,转步骤(C2);
(C4)使用读文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回文件对应的文件包;否则向客户端返回读文件失败信息,转步骤(C2);
(C5)使用写文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回文件对应的文件包,转步骤(C6);否则向客户端返回写文件失败信息,转步骤(C2);
(C6)等待客户端发送的文件包和写文件请求;接收到客户端发送的文件包和写文件请求,转步骤(C7);
(C7)删除文件对应的文件包,存储客户端发送的文件包;然后判断存储是否成功,是则向客户端返回写文件完成信息,转步骤(C2);否则向客户端返回写文件失败信息,转步骤(C2);
(C8)使用删除文件请求中的文件名查找文件,判断文件是否存在,是则删除文件对应的文件包,返回删除文件完成信息,转步骤(C2);否则返回文件不存在信息,转步骤(C2)。
所述的安全访问方法,其特征在于:
所述属性密码机制包括四个命令:cpabe-setup、cpabe-keygen、cpabe-enc和cpabe-dec;
所述客户端使用属性密码机制为每个用户生成唯一的主密钥MK和公开参数PK,使用命令cpabe-setup输出主密钥MK和公开参数PK;
所述步骤(A5)(A16)中,将MK、PK和原子字符串输入命令cpabe-keygen,输出属性密钥;
所述步骤(A7)(A18)中,将PK、对称密钥和访问控制字符串输入命令cpabe-enc,输出加密后对称密钥;通过将PK、完整性检验密钥和访问控制字符串输入命令cpabe-enc,输出加密后完整性检验密钥;
所述步骤(A11)中,将PK、属性密钥和文件共享密钥输入命令cpabe-dec,输出对称密钥和完整性校验密钥。
使用的属性密码机制,可见文献《Ciphertext-Policy Attribute-BasedEncryption》,从网址http://acsc.cs.utexas.edu/cpabe/获得;属性密码机制的软件包cpabe-0.11.tar.gz从网址http://acsc.cs.utexas.edu/cpabe/获得;安装软件包完毕后,可以使用属性密码机制的cpabe-setup、cpabe-keygen、cpabe-enc和cpabe-dec四个命令。
本发明基于属性密钥的管理和分发机制,其中,用户信息、文件信息和文件操作类型均以属性值集合的形式来表示;文件的访问控制以访问控制字符串的形式表示,访问控制字符串由文件属主制定;属性密钥由客户端负责生成,由认证端负责管理和分发。认证端使用用户属性、文件属性和文件操作类型,通过文件的访问控制字符串判断用户是否具有文件操作类型的权限;认证端为具有权限的用户分发属性密钥。
本发明通过明确的用户、文件和文件操作类型的属性构成访问控制字符串来决定用户对文件访问权限,这样能够解决复杂云存储系统中的细粒度访问控制和大规模用户动态扩展问题,解决了现有安全访问方法存在的密钥管理和分发复杂的问题,极大程度地减少了云存储系统的访问控制开销,为存储系统安全访问提供更加灵活有效更加安全的访问控制机制。
附图说明
图1为本发明的流程示意图;
图2为客户端进程示意图;
图3为权限管理请求的格式示意图;
图4为用户验证结果和权限验证请求的格式示意图;
图5为认证端进程示意图;
图6为存储端进程示意图;
图7为用户登陆和创建文件请求的作业流程时序图;
图8为写文件请求和权限操作请求作业流程时序图。
具体实施方式
以下结合实施例和附图对本发明进一步说明。
如图1所示,本发明的实施例,包括客户端进程、认证端进程和存储端进程,分别运行在分布式文件系统的客户端主机、认证端主机和存储端主机上。
客户端基于属性密码机制为每个用户生成唯一的主密钥MK和公开参数PK;认证端装载用户属性库、文件属性库和属性密钥库。
下面结合实施例分别对创建文件请求,读写文件请求,删除文件请求以及权限管理请求的具体处理过程作进一步的说明。
A.如图2所示,所述客户端进程包括下述步骤:
(A1)客户端启动;连接认证端,连接存储端,转步骤(A2);
(A2)等待用户发起登录请求,接收到用户登录请求后,向认证端递交用户登录请求,然后判断认证端是否返回用户属性,是则允许用户登陆,转步骤(A3);否则拒绝用户登录客户端,转步骤(A2);用户属性包括用户ID;
(A3)等待用户发起服务请求,接收到用户服务请求后,判断服务请求类型:文件操作请求,转步骤(A4);权限操作请求,转步骤(A17);
所述服务请求分为文件操作请求和权限操作请求,文件操作请求又分为创建文件请求、读文件请求、写文件请求和删除文件请求;权限操作请求包括文件属性、主密钥、公开参数和访问控制字符串;创建文件请求包括文件属性、主密钥、公开参数和访问控制字符串;
(A4)判断文件操作请求类型:创建文件请求转步骤(A5);读、写文件请求,转步骤(A9);删除文件请求,转步骤(A15);
(A5)找出访问控制字符串的原子字符串集合;使用主密钥和公开参数,采用属性密码机制分别为每个原子字符串生成一把属性密钥;
向认证端递交权限管理请求;然后判断认证端返回的信息是否为用户验证结果,是则缓存该用户验证结果,转步骤(A6);否则向用户发送创建文件失败信息,转步骤(A3);
下面结合实施例对属性密钥KAS生成的过程作进一步的说明;
属主为文件已经制定新访问控制字符串(“博士”or“硕士”)and(“计算机系”or“光电系”)and“写”;这个访问控制字符串分成以下四个原子字符串:
{“博士”,“计算机系”,“写”}
{“博士”,“光电系”,“写”}
{“硕士”,“计算机系”,“写”}
{“硕士”,“光电系”,“写”}
四个原子字符串中均包含文件操作类型;将这四个原子字符串构成原子字符串集合;使用文件属主的主密钥和公开参数作为输入,采用属性密码机制为原子字符串集合中的每个原子字符串生成一把属性密钥KAS;
如图3所示,权限管理请求分为六个字段,依次是命令号、命令长度,用户属性,文件属性、节点个数和节点组;用户属性包括用户ID;文件属性包括文件名;节点组由数个节点构成,每个节点为节点长度和节点值组成的结构体,节点长度由属性密钥长度和原子字符串长度构成,节点值由原子字符串和对应的属性密钥KAS构成;
客户端把其中命令号置为权限管理请求对应的代号,命令长度置为该权限管理请求的长度,用户属性置为用户ID,文件属性置为文件名和文件创建时间,节点个数置为属性密钥个数,每个节点长度置为相应的属性密钥长度和原子字符串长度,每个节点值置为相应的原子字符串和属性密钥;设置完毕后发往认证端;
如图4所示,用户验证结果分为六个字段,依次是命令号、命令长度、用户属性、文件属性、文件操作类型和属性节点;命令号是用来区分操作请求的类型;属性节点是一个由节点长度和节点值组成的结构体,节点值由属性密钥和属性组合构成,节点长度由属性密钥长度和属主组合长度构成;
(A6)客户端为待创建文件随机生成对称密钥Kf和完整性校验密钥Ks;使用对称密钥Kf和待创建文件作为输入,采用对称密码机制加密待创建文件得到加密文件Ef(F);使用完整性校验密钥Ks和加密文件作为输入,采用哈希函数进行加密得到签名文件S(F);转步骤(A7);
(A7)客户端使用公开参数PK和访问控制字符串,采用属性密码机制对Kf和Ks加密生成EAS(Kf,Ks),将E(Kf,Ks)与公开参数PK拼接,得到文件共享密钥{EAS(Kf,Ks),PK},转步骤(A8);
(A8)将Ef(F)、S(F)、{EAS(Kf,Ks),PK}形成文件包,并将文件包和创建文件请求一起发送到存储端;判断存储端返回的信息是否为创建文件完成信息,是则向用户返回创建文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回创建文件失败信息,删除该用户验证结果,转步骤(A3);
(A9)向认证端递交权限验证请求,然后判断认证端是否返回用户验证结果,是则缓存该用户验证结果,转步骤(A10);否则禁止用户的文件操作请求,转步骤(A3);
如图4所示,把其中命令号置为权限验证请求对应的代号,命令长度置为该权限验证请求的长度,用户属性置为用户ID,文件属性置为文件名,操作类型置为创建文件,其他字段置零;设置完毕后发往认证端;
(A10)向存储端发送文件操作请求,等待存储端返回的信息;然后判断存储端返回信息类型:文件包,则转步骤(A11);拒绝访问信息,则向用户发送禁止服务信息,转步骤(A3);查找失败信息,则向用户返回查找错误信息,转步骤(A3);
(A11)使用公开参数PK和属性密钥KAS,采用属性密码机制对文件包中的文件共享密钥{EAS(Kf,Ks),PK}解密,得到加密文件的对称密钥Kf和完整性校验密钥Ks;然后使用完整性校验密钥Ksign对文件包中的加密文件Ef(F)再加密得到重加密文件S(F)’;比较S(F)’和S(F)是否相同,是则转步骤(A12),否则转步骤(A10);
(A12)使用Kf解密加密文件Ef(F),得到原文件;判断文件操作请求是否为读文件请求,是则向用户返回原文件,转步骤(A3);否则向用户返回原文件,转步骤(A13);
(A13)等待用户对原文件写入数据,用户写入数据后形成修改后文件,使用对称密钥对修改后文件加密得到新加密文件Ef(F’),然后使用完整性校验密钥Ks对新加密文件Ef(F’)加密得到新签名文件S(F’);Ef(F’)、S(F’)和{EAS(Kf,Ks),PK}构成新文件包;向存储端发送新文件包和文件操作请求,转步骤(A14);
(A14)等待存储端返回信息,判断存储端返回信息是否为写文件完成信息,是则向用户返回写文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回写文件失败信息,删除该用户验证结果,转步骤(A3);
(A15)向认证端递交权限验证请求,然后判断认证端是否返回用户验证结果,是则缓存该用户验证结果,转步骤(A16);否则禁止用户的文件操作请求,转步骤(A3);
(A16)向存储端发送删除文件请求,等待存储端返回的信息;接收到存储端返回的信息,然后判断返回的信息是否删除文件完成信息,是则向用户返回删除文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回删除文件失败信息,删除该用户验证结果,转步骤(A3);
(A17)找出访问控制字符串的原子字符串集合;使用主密钥MK和公开参数PK,采用属性密码机制分别为每个原子字符串生成一把属性密钥KAS;
向认证端递交权限管理请求,等待认证端返回的信息;接收到认证端返回的信息,判断认证端返回的信息是否用户验证结果,是则缓存该用户验证结果,转步骤(A18);否则向用户发送权限操作失败信息,转步骤(A3);
(A18)由客户端生成写文件请求;以下过程同步骤(A10)至(A12),区别仅在于将步骤(A12)中转步骤(A13)改变为转步骤(A19);
(A19)客户端自动为文件重新生成一把新对称密钥,使用新对称密钥对原文件加密得到新加密文件,然后使用完整性校验密钥对新加密文件加密得到新签名文件;使用公开参数PK和访问控制字符串,对新对称密钥和新完整性校验密钥加密后,并与公开参数PK拼接得到新共享密钥;新加密文件、新签名文件和新文件共享密钥构成更新文件包;
将更新文件包和文件操作请求一起发送到存储端;判断存储端返回的信息是否为写文件完成信息,是则返回用户权限管理成功信息,删除该用户验证结果,转步骤(A3);否则返回用户权限管理失败信息,删除该用户验证结果,转步骤(A3);
B.如图5所示,所述认证端进程包括下述步骤:
(B1)认证端启动;分别连接客户端和存储端,转步骤(B2);
(B2)等待客户端的服务请求;接收到客户端递交的服务请求后,判断服务请求的类型,用户登录请求转步骤(B3);权限验证请求转步骤(B4);权限管理请求转步骤(B9);
(B3)判断用户登录请求是否合法,是则向客户端返回用户属性,否则向客户端返回拒绝登陆信息;转步骤(B2);
(B4)使用权限验证请求中的用户属性查找用户属性库得到用户信息,使用权限验证请求中的文件属性查找文件属性库得到文件信息,转步骤(B5);
(B5)在文件信息中查找是否存在满足条件的原子字符串;是则使用首次满足条件的原子字符串对应的密钥编号,查找属性密钥库得到属性密钥,转步骤(B6);否则向客户端返回拒绝访问信息,转步骤(B2);
下面结合实施例对查找满足条件的原子字符串的过程进一步的说明;
用户属性使用用户ID表示,文件属性使用文件名表示,文件操作类型使用“写”表示;认证端使用用户ID查找用户属性库得到用户信息;使用文件名查找文件属性库得到文件信息;例如对应该文件信息的所有原子字符串以及原子字符串对应的密钥编号;例如使用用户ID查找到用户信息为:
{“501”,“硕士”,“计算机系”,“25”};
这四个属性分别是用户ID,学历,院系和年龄;
例如使用文件名查找到文件信息为:
{“备忘录.txt”,“502”,“2011-11-16”,“{“硕士”,“计算机系”,“读写”,“12345”}”,“{“博士”,“计算机系”,“读”,“23456”}”};
前四个属性分别是文件名、文件属主ID以及文件创建时间;后两个属性值均是文件的原子字符串以及原子字符串对应的密钥编号组合;
将用户信息和文件操作类型构成以下集合:
{“501”,“硕士”,“计算机系”,“25”,“写”};
在实施例中,集合中的“写”是原子字符串{“硕士”,“计算机系”,“读写”}中“读写”的子集,并且原子字符串中除了文件访问权限外,其他属性值“硕士”和“计算机系”都是集合{“硕士”,“计算机系”,“25”,“写”}的一个子集;则该原子字符串是满足条件的;
(B6)判断文件操作类型是否为删除文件,是则转步骤(B7);否则转步骤(B8);
(B7)将文件信息中的文件名和原子字符串连接作为属性组合,将属性组合和属性密钥构成用户验证结果发送给客户端;然后通过文件信息中所有的密钥编号删除属性密钥库中对应的属性密钥,再从文件属性库删除该文件信息,转步骤(B2);
(B8)将文件信息中的文件名和原子字符串连接作为属性组合,将属性组合和属性密钥构成用户验证结果发送给客户端;转步骤(B2);
如图4所示,把其中命令号置为用户验证结果对应的代号,命令长度置为该用户验证结果的长度,用户属性置为用户ID,文件属性置为文件名,操作类型置为相应的文件操作类型,属性密钥置为相应的属性密钥,属性组合置为相应的属性组合,属性密钥长度置为相应的属性密钥长度,属主组合长度置为相应的属性组合长度;设置完毕后发往认证端;
(B9)通过权限管理请求中的用户属性查找用户属性库得到用户信息;通过文件属性查找文件属性库,判断是否存在对应的文件信息,是则转步骤(B10);否则属性密钥库为权限管理请求中的每一把属性密钥生成唯一的密钥编号,并连同对应的属性密钥一起更新到属性密钥库;然后将用户属性、文件属性、所有的原子字符串和对应的密钥编号形成文件信息,并将文件信息更新到文件属性库;转步骤(B2);
(B10)根据用户信息和文件信息来判断用户是否文件的属主,是则转步骤(B11);否则向客户端返回拒绝修改信息,转步骤(B2);
(B11)使用文件信息中的所有密钥编号来删除属性密钥库中对应的属性密钥,并删除文件属性库中对应的文件信息;然后属性密钥库为权限管理请求中的每一把属性密钥生成唯一的密钥编号,并连同对应的属性密钥一起更新到属性密钥库;然后将用户属性、文件属性、所有的原子字符串和对应的密钥编号形成新的文件信息,并将该文件信息更新到文件属性库;转步骤(B8);
C.如图6所示,所述存储端进程包括下述步骤:
(C1)存储端启动;分别连接客户端和认证端,转步骤(C2);
(C2)等待客户端的文件操作请求;接收到客户端递交的文件操作请求后,判断文件操作请求的类型,创建文件请求,转步骤(C3);读文件请求,转步骤(C4);写文件请求,转步骤(C5);删除文件请求,转步骤(C8);
(C3)使用创建文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回创建文件失败信息,转步骤(C2);否则存储随同创建文件请求的文件包,并向客户端返回创建文件完成信息,转步骤(C2);
(C4)使用读文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回文件对应的文件包;否则向客户端返回读文件失败信息,转步骤(C2);
(C5)使用写文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回文件对应的文件包,转步骤(C6);否则向客户端返回写文件失败信息,转步骤(C2);
(C6)等待客户端发送的文件包和写文件请求;接收到客户端发送的文件包和写文件请求,转步骤(C7);
(C7)删除文件对应的文件包,存储客户端发送的文件包;然后判断存储是否成功,是则向客户端返回写文件完成信息,转步骤(C2);否则向客户端返回写文件失败信息,转步骤(C2);
(C8)使用删除文件请求中的文件名查找文件,判断文件是否存在,是则删除文件对应的文件包,返回删除文件完成信息,转步骤(C2);否则返回文件不存在信息,转步骤(C2)。
图7为用户登陆和创建文件请求的作业流程时序图,图中,纵轴自上而下表示时间顺序。
图8为写文件请求和权限操作请求作业流程时序图,图中,纵轴自上而下表示时间顺序。
Claims (2)
1.一种云存储系统的安全访问方法,包括客户端进程、认证端进程和存储端进程,客户端基于属性密码机制为每个用户生成唯一的主密钥和公开参数;认证端装载用户属性库、文件属性库和属性密钥库,用户属性库记录各用户的所有用户信息,包括用户ID;文件属性库记录各文件的所有文件信息,文件信息由该文件所有的属性信息、该文件所有的原子字符串和该文件所有的密钥编号构成,文件属性信息包括文件名和文件属主,密钥编号用于作为关键字在属性密钥库内查找属性密钥;属性密钥库保存各文件的所有密钥编号及其对应的属性密钥;原子字符串、属性密钥和密钥编号一一对应;其特征在于:
A.所述客户端进程,包括下述步骤:
(A1)客户端启动;连接认证端,连接存储端,转步骤(A2);
(A2)等待用户发起登录请求,接收到用户登录请求后,向认证端递交用户登录请求,然后判断认证端是否返回用户属性,是则允许用户登陆,转步骤(A3);否则拒绝用户登录客户端,转步骤(A2);用户属性包括用户ID;
(A3)等待用户发起服务请求,接收到用户服务请求后,判断服务请求类型:文件操作请求,转步骤(A4);权限操作请求,转步骤(A17);
所述服务请求分为文件操作请求和权限操作请求,文件操作请求又分为创建文件请求、读文件请求、写文件请求和删除文件请求;权限操作请求包括文件属性、主密钥、公开参数和访问控制字符串;创建文件请求包括文件属性、主密钥、公开参数和访问控制字符串;
(A4)判断文件操作请求类型:创建文件请求转步骤(A5);读、写文件请求,转步骤(A9);删除文件请求,转步骤(A15);
(A5)找出访问控制字符串的原子字符串集合;使用主密钥和公开参数,采用属性密码机制分别为每个原子字符串生成一把属性密钥;
向认证端递交权限管理请求;然后判断认证端返回的信息是否为用户验证结果,是则缓存该用户验证结果,转步骤(A6);否则向用户发送创建文件失败信息,转步骤(A3);权限管理请求包括用户属性,文件属性、原子字符串和属性密钥;用户验证结果包括属性组合和属性密钥;
(A6)客户端为待创建文件随机生成对称密钥和完整性校验密钥,使用对称密钥和待创建文件作为输入,采用对称密码机制加密待创建文件得到加密文件;使用完整性校验密钥和加密文件作为输入,采用哈希函数进行加密得到签名文件;转步骤(A7);
(A7)客户端使用公开参数和访问控制字符串,采用属性密码机制对对称密钥和完整性校验密钥加密后,并与公开参数拼接,得到文件共享密钥,转步骤(A8);
(A8)将文件包和创建文件请求一起发送到存储端;判断存储端返回的信息是否为创建文件完成信息,是则向用户返回创建文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回创建文件失败信息,删除该用户验证结果,转步骤(A3);
其中,文件包包括加密文件、签名文件和文件共享密钥;用户验证结果包括属性密钥和属性组合;
(A9)向认证端递交权限验证请求,然后判断认证端是否返回用户验证结果,是则缓存该用户验证结果,转步骤(A10);否则禁止用户的文件操作请求,转步骤(A3);
权限验证请求包括用户属性、文件属性和文件操作类型,文件属性包括文件名,文件操作类型分为创建文件、读文件、写文件和删除文件;
(A10)向存储端发送文件操作请求,等待存储端返回的信息;然后判断存储端返回信息类型:文件包,则转步骤(A11);拒绝访问信息,则向用户发送禁止服务信息,转步骤(A3);查找失败信息,则向用户返回查找错误信息,转步骤(A3);存储端返回信息分为文件包、拒绝访问信息和查找失败信息;
(A11)使用公开参数和属性密钥,采用属性密码机制对文件包中的文件共享密钥解密,得到加密文件的对称密钥和完整性校验密钥;然后使用完整性校验密钥对加密文件再加密得到重加密文件,比较重加密文件和签名文件是否相同,是则转步骤(A12);否则转步骤(A10);
(A12)使用对称密钥解密加密文件,得到原文件;判断文件操作请求是否为读文件请求,是则向用户返回原文件,转步骤(A3);否则向用户返回原文件,转步骤(A13);
(A13)等待用户对原文件写入数据,用户写入数据后形成修改后文件,使用对称密钥对修改后文件加密得到新加密文件,然后使用完整性校验密钥对新加密文件加密得到新签名文件,新加密文件、新签名文件和文件共享密钥构成新文件包;向存储端发送新文件包和文件操作请求,转步骤(A14);
(A14)等待存储端返回信息,判断存储端返回信息是否为写文件完成信息,是则向用户返回写文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回写文件失败信息,删除该用户验证结果,转步骤(A3);
(A15)向认证端递交权限验证请求,然后判断认证端是否返回用户验证结果,是则缓存该用户验证结果,转步骤(A16);否则禁止用户的文件操作请求,转步骤(A3);
(A16)向存储端发送删除文件请求,等待存储端返回的信息;接收到存储端返回的信息,然后判断返回的信息是否删除文件完成信息,是则向用户返回删除文件成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回删除文件失败信息,删除该用户验证结果,转步骤(A3);
(A17)找出访问控制字符串的原子字符串集合;使用主密钥MK和公开参数PK,采用属性密码机制分别为每个原子字符串生成一把属性密钥;
向认证端递交权限管理请求,等待认证端返回的信息;接收到认证端返回的信息,判断认证端返回的信息是否用户验证结果,是则缓存该用户验证结果,转步骤(A18);否则向用户发送权限操作失败信息,转步骤(A3);
(A18)由客户端生成写文件请求;以下过程同步骤(A10)至(A12),区别仅在于将步骤(A12)中转步骤(A13)改变为转步骤(A19);
(A19)客户端为文件重新生成一把新对称密钥,使用新对称密钥对原文件加密得到新加密文件,然后使用完整性校验密钥对新加密文件加密得到新签名文件;使用公开参数和访问控制字符串,采用属性密码机制对新对称密钥和新完整性校验密钥加密后,并与公开参数拼接,得到新文件共享密钥;新加密文件、新签名文件和新文件共享密钥构成更新文件包;
将更新文件包和文件操作请求一起发送到存储端;判断存储端返回的信息是否为写文件完成信息,是则向用户返回权限管理成功信息,删除该用户验证结果,转步骤(A3);否则向用户返回权限管理失败信息,删除该用户验证结果,转步骤(A3);
B.所述认证端进程包括下述步骤:
(B1)认证端启动;分别连接客户端和存储端,转步骤(B2);
(B2)等待客户端的服务请求;接收到客户端递交的服务请求后,判断服务请求的类型,用户登录请求转步骤(B3);权限验证请求转步骤(B4);权限管理请求转步骤(B9);
(B3)判断用户登录请求是否合法,是则向客户端返回用户属性,否则向客户端返回拒绝登陆信息;转步骤(B2);
(B4)使用权限验证请求中的用户属性查找用户属性库得到用户信息,使用权限验证请求中的文件属性查找文件属性库得到文件信息,转步骤(B5);
(B5)在文件信息中查找是否存在满足条件的原子字符串;是则使用首次满足条件的原子字符串对应的密钥编号,查找属性密钥库得到属性密钥,转步骤(B6);否则向客户端返回拒绝访问信息,转步骤(B2);所述满足条件的原子字符串是指:
将用户信息和权限验证请求中的文件操作类型构成一个集合,当该集合中的文件操作类型是原子字符串中文件访问权限的子集,并且原子字符串中除了文件访问权限外,其他属性值都是集合的一个子集;
(B6)判断文件操作类型是否为删除文件,是则转步骤(B7);否则转步骤(B8);
(B7)将文件信息中的文件名和原子字符串连接作为属性组合,将属性组合和属性密钥构成用户验证结果发送给客户端;然后通过文件信息中所有的密钥编号删除属性密钥库中对应的属性密钥,再从文件属性库删除该文件信息,转步骤(B2);
(B8)将文件信息中的文件名和原子字符串连接作为属性组合,将属性组合和属性密钥构成用户验证结果发送给客户端;转步骤(B2);
(B9)通过权限管理请求中的用户属性查找用户属性库得到用户信息;通过文件属性查找文件属性库,判断是否存在对应的文件信息,是则转步骤(B10);否则属性密钥库为权限管理请求中的每一把属性密钥生成唯一的密钥编号,并连同对应的属性密钥一起更新到属性密钥库;然后将用户属性、文件属性、所有的原子字符串和对应的密钥编号形成文件信息,并将文件信息更新到文件属性库;转步骤(B2);
(B10)根据用户信息和文件信息来判断用户是否文件的属主,是则转步骤(B11);否则向客户端返回拒绝修改信息,转步骤(B2);
(B11)使用文件信息中的所有密钥编号来删除属性密钥库中对应的属性密钥,并删除文件属性库中对应的文件信息;然后属性密钥库为权限管理请求中的每一把属性密钥生成唯一的密钥编号,并连同对应的属性密钥一起更新到属性密钥库;然后将用户属性、文件属性、所有的原子字符串和对应的密钥编号形成新的文件信息,并将该文件信息更新到文件属性库;转步骤(B8);
C.所述存储端进程包括下述步骤:
(C1)存储端启动;分别连接客户端和认证端,转步骤(C2);
(C2)等待客户端的文件操作请求;接收到客户端递交的文件操作请求后,判断文件操作请求的类型,创建文件请求,转步骤(C3);读文件请求,转步骤(C4);写文件请求,转步骤(C5);删除文件请求,转步骤(C8);
(C3)使用创建文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回创建文件失败信息,转步骤(C2);否则存储随同创建文件请求的文件包,并向客户端返回创建文件完成信息,转步骤(C2);
(C4)使用读文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回文件对应的文件包;否则向客户端返回读文件失败信息,转步骤(C2);
(C5)使用写文件请求中的文件名查找文件,判断文件是否存在,是则向客户端返回文件对应的文件包,转步骤(C6);否则向客户端返回写文件失败信息,转步骤(C2);
(C6)等待客户端发送的文件包和写文件请求;接收到客户端发送的文件包和写文件请求,转步骤(C7);
(C7)删除文件对应的文件包,存储客户端发送的文件包;然后判断存储是否成功,是则向客户端返回写文件完成信息,转步骤(C2);否则向客户端返回写文件失败信息,转步骤(C2);
(C8)使用删除文件请求中的文件名查找文件,判断文件是否存在,是则删除文件对应的文件包,返回删除文件完成信息,转步骤(C2);否则返回文件不存在信息,转步骤(C2)。
2.如权利要求1所述的安全访问方法,其特征在于:
所述属性密码机制包括四个命令:cpabe-setup、cpabe-keygen、cpabe-enc和cpabe-dec;
所述客户端使用属性密码机制为每个用户生成唯一的主密钥MK和公开参数PK,使用命令cpabe-setup输出主密钥MK和公开参数PK;
所述步骤(A5)(A16)中,将MK、PK和原子字符串输入命令cpabe-keygen,输出属性密钥;
所述步骤(A7)(A18)中,将PK、对称密钥和访问控制字符串输入命令cpabe-enc,输出加密后对称密钥;通过将PK、完整性检验密钥和访问控制字符串输入命令cpabe-enc,输出加密后完整性检验密钥;
所述步骤(A11)中,将PK、属性密钥和文件共享密钥输入命令cpabe-dec,输出对称密钥和完整性校验密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110430338.7A CN102546764B (zh) | 2011-12-20 | 2011-12-20 | 一种云存储系统的安全访问方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110430338.7A CN102546764B (zh) | 2011-12-20 | 2011-12-20 | 一种云存储系统的安全访问方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102546764A CN102546764A (zh) | 2012-07-04 |
CN102546764B true CN102546764B (zh) | 2014-06-04 |
Family
ID=46352712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110430338.7A Active CN102546764B (zh) | 2011-12-20 | 2011-12-20 | 一种云存储系统的安全访问方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102546764B (zh) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821096B (zh) * | 2012-07-17 | 2014-10-29 | 华中科技大学 | 一种分布式存储系统及其文件共享方法 |
CN102902898B (zh) * | 2012-09-21 | 2018-05-18 | 中国科学院信息工程研究所 | 多维数字媒体的资源使用控制方法及装置 |
CN103152322A (zh) * | 2013-01-28 | 2013-06-12 | 中兴通讯股份有限公司 | 数据加密保护方法及系统 |
CN103312690A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云计算平台的密钥管理系统及方法 |
JP6175679B2 (ja) * | 2013-10-16 | 2017-08-09 | 株式会社 日立産業制御ソリューションズ | 業務管理システム |
CN103763319B (zh) * | 2014-01-13 | 2017-01-18 | 华中科技大学 | 一种移动云存储轻量级数据安全共享方法 |
CN104980401B (zh) * | 2014-04-09 | 2018-05-01 | 北京亿赛通科技发展有限责任公司 | Nas服务器数据安全存储系统、安全存储及读取方法 |
CN103957109B (zh) * | 2014-05-22 | 2017-07-11 | 武汉大学 | 一种云数据隐私保护安全重加密方法 |
CN103986732B (zh) * | 2014-06-04 | 2017-02-15 | 青岛大学 | 抵御密钥泄露的云存储数据审计方法 |
CN104378386A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种云数据机密性保护和访问控制的方法 |
CN104584509A (zh) * | 2014-12-31 | 2015-04-29 | 深圳大学 | 一种共享数据的访问控制方法、装置及系统 |
EP3248354A4 (en) | 2015-01-19 | 2018-08-15 | Nokia Technologies Oy | Method and apparatus for heterogeneous data storage management in cloud computing |
CN104601579A (zh) * | 2015-01-20 | 2015-05-06 | 成都市酷岳科技有限公司 | 一种保障信息安全的计算机系统及其方法 |
CN104767761B (zh) * | 2015-04-23 | 2017-10-13 | 四川师范大学 | 一种云存储平台访问控制方法及装置 |
CN104994068A (zh) * | 2015-05-22 | 2015-10-21 | 武汉大学 | 一种云环境下多媒体内容保护和安全分发方法 |
CN104901968B (zh) * | 2015-06-10 | 2018-01-05 | 华中科技大学 | 一种安全云存储系统中的密钥管理分发方法 |
CN104935588B (zh) * | 2015-06-12 | 2017-11-24 | 华中科技大学 | 一种安全云存储系统的分层密钥管理方法 |
CN105141593A (zh) * | 2015-08-10 | 2015-12-09 | 刘澄宇 | 一种私有云平台安全计算方法 |
EP3272063A4 (en) | 2015-08-12 | 2018-12-05 | Hewlett-Packard Enterprise Development LP | Host-storage authentication |
CN105260668B (zh) * | 2015-10-10 | 2018-07-24 | 北京搜狗科技发展有限公司 | 一种文件加密方法及电子设备 |
CN106789836B (zh) * | 2015-11-20 | 2020-10-16 | 北大方正集团有限公司 | 电子资源保护方法及系统 |
US10198595B2 (en) * | 2015-12-22 | 2019-02-05 | Walmart Apollo, Llc | Data breach detection system |
CN106161428B (zh) * | 2016-06-08 | 2019-07-05 | 电子科技大学 | 一种密文可相等比较的属性加密方法 |
CN105989311B (zh) * | 2016-07-04 | 2018-11-27 | 南京金佰达电子科技有限公司 | 一种基于文档层级的高安全性外部存储方法 |
CN106330934A (zh) * | 2016-08-31 | 2017-01-11 | 天津南大通用数据技术股份有限公司 | 一种分布式数据库系统权限管理方法及装置 |
CN108076028A (zh) * | 2016-11-18 | 2018-05-25 | 中兴通讯股份有限公司 | 一种属性加密的方法、装置及系统 |
CN106778350A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种基于文件名的权限管理方法及系统 |
CN107301022A (zh) * | 2017-06-27 | 2017-10-27 | 北京溢思得瑞智能科技研究院有限公司 | 一种基于容器技术的存储访问方法及系统 |
CN107743133B (zh) * | 2017-11-30 | 2020-06-09 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
CN110912953A (zh) * | 2018-09-17 | 2020-03-24 | 深圳市优必选科技有限公司 | 一种文件存储系统及方法 |
CN110493347B (zh) * | 2019-08-26 | 2020-07-14 | 重庆邮电大学 | 基于区块链的大规模云存储中数据访问控制方法及系统 |
CN110704375B (zh) * | 2019-09-26 | 2020-10-23 | 深圳前海大数金融服务有限公司 | 文件管理方法、装置、设备及计算机存储介质 |
CN112115458B (zh) * | 2020-08-28 | 2023-11-17 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种嵌入式自动设置和验证文件属性与权限的系统 |
CN112784226B (zh) * | 2020-12-30 | 2022-02-22 | 南京云白信息科技有限公司 | 一种敏感信息在线存储和访问系统及方法 |
CN113688365B (zh) * | 2021-08-26 | 2022-06-21 | 广东电力信息科技有限公司 | 应用于数据库运维中基于身份鉴权的数据访问方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101159556A (zh) * | 2007-11-09 | 2008-04-09 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
-
2011
- 2011-12-20 CN CN201110430338.7A patent/CN102546764B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101159556A (zh) * | 2007-11-09 | 2008-04-09 | 清华大学 | 基于组密钥服务器的共享加密文件系统中的密钥管理方法 |
Non-Patent Citations (1)
Title |
---|
洪澄,等.AB-ACCS:一种云存储密文访问控制方法.《计算机研究与发展》.2010,第47卷(第Z1期), * |
Also Published As
Publication number | Publication date |
---|---|
CN102546764A (zh) | 2012-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102546764B (zh) | 一种云存储系统的安全访问方法 | |
CN109074434B (zh) | 使用分布式散列表和点对点分布式分类账验证数字资产所有权的方法和系统 | |
CN103051600B (zh) | 文档访问控制方法和系统 | |
US8799651B2 (en) | Method and system for encrypted file access | |
CN103095847B (zh) | 一种云存储系统安全保障方法及其系统 | |
US7908476B2 (en) | Virtualization of file system encryption | |
JP5397691B2 (ja) | 情報共有システム、コンピュータ、プロジェクト管理サーバ及びそれらに用いる情報共有方法 | |
US20100325732A1 (en) | Managing Keys for Encrypted Shared Documents | |
CN104885093A (zh) | 基于加密的数据访问管理 | |
Namasudra et al. | Profile based access control model in cloud computing environment | |
Rahul et al. | A novel authentication framework for Hadoop | |
Suthar et al. | Encryscation: An secure approach for data security using encryption and obfuscation techniques for iaas and daas services in cloud environment | |
US8755521B2 (en) | Security method and system for media playback devices | |
Gupta et al. | A secure and searchable data storage in cloud computing | |
Kavya et al. | A survey on data auditing approaches to preserve privacy and data integrity in cloud computing | |
Tian et al. | A trusted control model of cloud storage | |
JP6078688B2 (ja) | データ処理システム、データ処理方法 | |
US7051210B2 (en) | Persistance and recovery of security keys | |
CN113505098A (zh) | 文件共享系统、方法和存储介质 | |
Venkatesh et al. | Secure authorised deduplication by using hybrid cloud approach | |
Renuka et al. | A Survey on Cloud Data Security | |
Guo et al. | A Data Security Exchange and Sharing System Construction Method and Perfomance Evaluation | |
Raja et al. | Enhancing Communication Skills of the Learners in Professional Advancement | |
SenthurSelvi et al. | Efficient and Secure Data Storage CP-ABE Analysis Algorithm | |
Dhokate et al. | Attribute-Based Storage Supporting Secure De-duplication of Encrypted Data in Cloud using DROP Technique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |