CN105072180B - 一种有权限时间控制的云存储数据安全共享方法 - Google Patents
一种有权限时间控制的云存储数据安全共享方法 Download PDFInfo
- Publication number
- CN105072180B CN105072180B CN201510475566.4A CN201510475566A CN105072180B CN 105072180 B CN105072180 B CN 105072180B CN 201510475566 A CN201510475566 A CN 201510475566A CN 105072180 B CN105072180 B CN 105072180B
- Authority
- CN
- China
- Prior art keywords
- user
- file
- group
- authority
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种有权限时间控制的云存储数据安全共享方法,包括:数据拥有者创建群组时,自动用公钥加密算法生成一对密钥,数据拥有者共享文件时,首先采用对称密码机制对文件加密,再用待分享群组的私钥对对称密钥加密,并将文件密文及密钥密文发送到云端,把该群组的公钥用电子邮箱发给待分享群组的所有用户,用户通过访问控制检查后,若有访问权限,则自动在本地存取公钥的文件夹中找到公钥解密对称密钥,再解密文件,数据拥有者向云盘客户端发送权限变更请求,更改授权服务器中的权限设置。本发明适用于多种场景实现数据的安全共享,便于控制共享权限的时间,具有良好的有效性和可行性。
Description
技术领域
本发明属于云存储和访问控制技术领域,具体涉及一种有权限时间控制的云存储数据安全共享方法。
背景技术
个人计算机(Personal Computer)以及移动设备中存储了大量的数据,但是由于它们存储空间有限,随着用户要存储的数据量日益增长,为备份考虑,有一部分数据需要转移到云端。此外,移动端之间端到端的传输只适合少量用户少量数据的情况,当用户需要和大量联系人共享大量数据时,用户需要将待分享的数据存储在云端,其他用户通过云端得到共享数据。无论是对数据进行备份还是对数据进行共享,当数据存储于云端时,数据脱离了用户的控制,其隐私性都是亟待解决的问题。虽然云端会忠实执行用户操作,但云端仍然可能出于商业利益窥视用户内容。因此,用户存储在云端的数据需要以加密形式存在。此外,当用户需要和其他联系人共享数据时,如何保护用户数据机密性和隐私性,保证数据只能由授权用户获取,非授权用户(包括授权用户以外的用户以及云存储服务提供商)不能获取数据,也是需要考虑的问题。
云存储为多人协作带来了新的生机,但是在多人协作的场景中,共享权限有时并不是永久有效的,有时候我们只希望它存在一段时间。
但是若是每次都手动撤销,不仅有时会因数据拥有者没有时间而无法按时撤销,而且一旦共享资源大量存在,势必会带来操作的不便利性。因此,权限时间的控制和自动撤销也是有待解决的问题。
当前针对云环境下数据备份及共享时的数据隐私保护问题,已经有了一些研究。最基本的思路是采用密文访问控制方法,数据拥有者将数据加密后存储在云中,通过控制用户对密钥的获取权限来实现访问控制目标。但由于云存储环境下数据量和用户量都十分巨大,如何以较小的代价让授权用户获取密钥,是实现云环境下数据密文访问控制的重点研究内容。
综上所述,当前关于云存储中数据访问控制的研究,在共享权限时间的控制以及资源的访问控制管理复杂性方面,并没有一种能在云存储中可行的有权限时间控制的数据安全共享方案。
发明内容
针对现有技术的以上缺陷,本发明提出了一种有权限时间控制的云存储数据安全共享方法,该方法提供的一种基于权限时间设定的数据密文访问控制方案,实现了云端数据安全共享,权限定时自动撤销。
本发明所采用的技术方案是:1. 一种有权限时间控制的云存储数据安全共享方法,其特征在于,包括以下步骤:
步骤1:注册;
用户在云盘客户端注册,填入用户信息,注册成功后用户信息存储在云盘服务器中;
步骤2:初始化;
用户注册时,自动为其初始化四个群组,分别为:自己、朋友、同事、陌生人,按照对称密码机制生成用于加密文件的密钥,并为每个群组用公钥加密算法生成一对用于加密和解密对称密钥的公私钥;
步骤3:数据分享与授权;
数据拥有者选择需要共享的文件,制定访问控制策略,根据访问控制策略对用户进行授权;使用对称密码机制对文件进行加密处理生成文件密文,并用待分享群组所属的私钥加密对称密钥,然后把与私钥成对的公钥以电子邮件方式告知该组所有用户;
步骤4:文件访问;
用户向云端发送文件访问请求,云端根据访问控制策略对其做访问控制,并将文件包发送给合法用户,自动在合法用户本地存取公钥的文件夹中找到用来解密对称密钥的公钥解密对称密钥密文。
作为优选,本发明的方法还包括:
步骤5:用户的权限变更;
当用户的权限发生变更时,其具体操作包括以下子步骤:
步骤5.1:判断权限变更的类别;
若删除某个群组内个别用户的所有权限时,则执行步骤5.2;
若要使个别用户拥有某个群组的所有权限,则执行步骤5.3;
若只是删除个别或一些用户的部分权限时,则执行步骤5.4;
若要为个别或一些用户增加部分权限时,则执行步骤5.5;
若对该群组的权限时间进行延长或缩短,则执步骤5.6;
若对该群组的权限级别进行统一调整,则执行步骤5.7;
步骤5.2:直接从该群组删除这些用户,权限变更阶段结束;
步骤5.3:直接将这些用户加入该群组,权限变更阶段结束;
步骤5.4:数据拥有者先从该群组删除这些用户,再建立一个新的群组,将要删除部分权限的用户加入到该群中,并对该群要共享的文件进行设置,对文件的访问权限级别和时间进行设置,权限变更阶段结束;
步骤5.5:数据拥有者先从该群组删除这些用户,再建立一个新的群组,将要增加权限的用户加入到该群中,并对该群要共享的文件进行设置,对文件的访问权限级别和时间进行设置,权限变更阶段结束;
步骤5.6:重新设置权限的有效时间并更改云端数据库中的表,权限变更阶段结束;
步骤5.7:重新设置权限类别,数据将更新到云端数据库中,权限变更阶段结束。
作为优选,步骤1中所述的用户信息包括用户名、密码、确认密码、电子邮箱地址。
作为优选,步骤3的具体实现包括以下子步骤:
步骤3.1:数据拥有者选择需要共享的文件并上传,上传时文件用对称密钥加密;
步骤3.2:选择要分享的群组;
步骤3.3:设置共享权限类别、权限持续有效时间以及权限有效的起始时间,授权服务器在检测是否具有访问权限时将根据权限有效起始时间和所设置的权限有效时间段自动计算权限有效的终止时间;
步骤3.4:将自己用于加密文件的对称密钥用待分享群组所属的私钥加密;
步骤3.5:把公钥以电子邮件的方式告知该组用户。
作为优选,步骤4的具体实现包括以下子步骤:
步骤4.1:客户端自动显示数据拥有者分享给用户的文件,用户向云端发送文件访问请求;
步骤4.2:云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限;
如用户不满足此刻对相应文件有请求行使的权限或更高一级的权限,用户不可以访问文件,执行下述步骤4.3;
否则,用户能访问文件,执行下述步骤4.4;
步骤4.3:云端向用户发送拒绝访问应答,文件访问阶段结束;
步骤4.4:云端将文件密文及相应的对称密钥密文发送给用户;
步骤4.5:自动为用户在本地存取公钥的文件夹中找到解密对称密钥密文的公钥来解密对称密钥密文;
步骤4.6:用对称密钥密文解密加密的文件得到文件块明文。
作为优选,步骤4.2中所述的云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限,其具体实现包括以下子步骤:
步骤4.2.1:检查申请访问资源的用户是否对申请访问的资源有访问权限,如果有,执行步骤4.2.2;否则执行步骤4.2.3;
步骤4.2.2:用户不能访问资源,判断是否具有访问权限过程结束;
步骤4.2.3:检查申请访问资源的用户所申请的访问权限等级是否与数据库中的权限等级相等或较之更低,如果用户申请访问的权限等级高于数据库中记录的用户对相应文件的访问等级,则回转执行步骤4.2.2;否则执行步骤4.2.4;
步骤4.2.4:用授权服务器中记录的共享权限的持续有效时间加上共享权限时间的起始值得到权限有效的终止值,对比发送访问请求时的系统时间,如果发送访问请求时的系统时间大于计算出的权限有效时间终止值,则回转执行步骤4.2.2;否则执行步骤4.2.5;
步骤4.2.5:用户能够访问资源,判断是否具有访问权限过程结束。
本发明的有益效果为:将时间限制引入访问控制和授权管理过程中,使得用户能设定权限有效时间。一旦超过设定时间,自动撤销权限。使得多人协作模式更加灵活便捷。通过实施本发明的技术方案,可为用户间共享资源特别是多人协作时提供一种数据密文访问控制方案,实现云端数据灵活安全共享。
附图说明
图1:为本发明实施例应用在云环境下的数据共享系统图;
图2:为本发明实施例的功能简介图;
图3:为本发明实施例的工作流程图;
图4:为本发明实施例中数据共享阶段的细化流程图;
图5:为本发明实施例中文件访问阶段的细化流程图;
图6:为本发明实施例中判断是否具有权限阶段细化流程图;
图7:为本发明实施例中权限变更阶段的细化流程图。
具体实施方式
为了便于本领域普通技术人员理解和实施本发明,下面结合附图及实施例对本发明作进一步的详细描述,应当理解,此处所描述的实施示例仅用于说明和解释本发明,并不用于限定本发明。
请见图1,本发明应用在云环境下的数据共享系统中,该系统包括数据拥有者、第三方电子邮箱、授权服务器、用户或联系人、云端或云存储服务器。
其中数据拥有者:指云的使用者,需要将有限容量的设备中的数据存储在云中,将数据分享给他人,并制定数据的访问控制策略以决定数据的分享对象;
授权服务器:在数据授权和访问控制中,存储数据拥有者的访问控制策略和判断是否具有访问权限的部分;
用户或联系人:读取数据拥有者发布的数据;
云端或云存储服务器:存储用户的基本信息和联系人,存储数据拥有者的文件,会忠实执行数据拥有者和可信第三方发出的操作请求,但在条件允许时会偷窥文件内容;
群组:基于角色的访问控制的一种实施形式,将具有相同权限的用户分在同一个群组中,以便授权时统一操作,降低复杂度;
以下就本发明中涉及到的技术术语进行解释和说明:
文件:数据拥有者需要上传至云端的数据;
访问控制策略:数据拥有者制定的访问规则,限定了数据可以由具有某个权限的人在某段时间内对特定文件进行访问;访问控制策略存储在授权服务器数据库中,云端可以通过访问控制策略对需要访问文件的用户做授权与访问控制;
对称密码机制:是一种传统密码机制,加密和解密采用相同密钥,效率较高,在本发明中采用该机制加密文件;
对称密钥:对称密码机制中随机生成的二进制数据;
公钥密码机制:用公钥加密算法产生一对密钥,即公开密钥(简称公钥)和私有密钥(简称私钥);
公钥:公钥密码机制中由公钥加密算法生成的二进制串,由数据拥有者的群组初始化时生成,用于解密对称密钥,由第三方电子邮箱发送个待分享群组中的各用户;
私钥:公钥密码机制中由公钥加密算法生成的二进制串,由数据拥有者的群组初始化时生成,用于加密对称密钥。
请见图2,为本发明实施例的功能简介图,本发明有认证、数据存储、数据传输、访问控制、分享授权五大功能。
其中,认证功能包括邮件认证(注册时认证邮箱合法性)、登入认证(认证用户名密码以及Kerberos认证)、角色认证(在访问数据拥有者共享给用户的文件时认证是否属于该分享群组);
数据存储包括加密存储(每个用户有自己的对称密钥,文件上传时用对称密钥加密,下载时用对称密钥解密,分享时用每个群组的私钥PRK加密数据拥有者的对称密钥,用户只有获得了对应的公钥PBK才能解密对称密钥,进而解密加密的文件)、一致读取(数据更新机制,Cassandra系统提供的,一段时间会将副本内容与合并更新);
数据传输包括文件上传、文件下载、密钥分发、票据传输(Kerberos中,当客户要与服务器通信,先向认证服务中心申请票据,然后用自己的私钥加密后发给认证服务中心,认证服务中心用公钥解密后看是否一致。认证成功后就把票据作为会话密钥);
访问控制是基于TRBAC模型(Time and Role Based Access Control),对相关联的用户按关系好坏等进行分组,每个分组是分享授权的最小单位;包括分组管理、角色控制和权限控制;
分享授权是根据数据拥有者设置的共享权限和时限来判断请求访问资源的用户是否有访问资源的权限;包括群组分享和角色授权。若有访问的权限,则能获得对应的公钥PBK来解密用私钥PRK加密的对称密钥,进而访问文件;反之则不能。
请见图3,为本发明实施例的工作流程图,实施例的流程包括如下步骤:
步骤1:用户登录;该步骤又包括如下子步骤:
步骤1.1:检查是否为已注册用户,若不是,则执行步骤1.2;否则执行步骤1.3;
步骤1.2:先注册再登录;
步骤1.3:认证服务器进行身份认证;
步骤1.4:判断身份认证是否成功,若不成功,返回登录界面;否则,进入主界面;
步骤2:主界面包括上传文件、下载文件、分享文件、信息管理、传输管理等功能,用户可根据需要进行操作并跳转到对应的服务页面;
步骤3:根据用户操作跳转到各个子模块进行处理,这些子模块包括上传文件、下载文件、分享文件、信息管理、传输管理。
上传文件包括选择文件和上传成功提示;下载文件包括认证角色、认证权限和下载成功提示;分享文件包括设置分享群组、设置分享权限、设置分享期限和分享成功提示;信息管理包括用户信息管理、群组管理和权限管理;传输管理包括开始任务管理、暂停任务管理和删除任务管理;
在本实施例中,数据拥有者为某高校教师X。现数据拥有者需要传至云端共享的文件为他为期末考试出的试卷M,M的访问控制策略为:访问者同事(另外一起审核试卷和批改试卷的老师Y)能在期末成绩评定完成之前访问并且具有可读可写的权限,Y的电子邮箱为Y@example.org;访问者学生只能在考试期间的规定时限(2小时)内对该试卷具有可读权限,其中选择某学生H作为学生代表,其电子邮箱为H@example.org。
本发明提供的一种有权限时间控制的云存储数据安全共享方法,包括以下步骤:
步骤1:注册;
用户在云盘客户端注册,填入用户名、密码、确认密码、电子邮箱地址,,注册成功后用户信息存储在云盘服务器中;
步骤2:初始化;
用户注册时,自动为其初始化四个群组,分别为:自己、朋友、同事、陌生人,按照对称密码机制生成用于加密文件的密钥,并为每个群组用公钥加密算法生成一对用于加密和解密对称密钥的公私钥;
这里由于情境需要,创建一个学生分组,创建分组的同时,系统也同样自动为该群组用公钥加密算法生成了公钥PBKi和私钥PRKi;
在本实施例中数据拥有者为高校教师X,涉及到的联系人有同事和学生,联系人信息存储在云存储服务器中;
步骤3:数据分享与授权;
数据拥有者选择需要共享的文件,制定访问控制策略,根据访问控制策略对用户进行授权;使用对称密码机制对文件进行加密处理生成文件密文,并用待分享群组所属的私钥加密对称密钥,然后把与私钥成对的公钥以电子邮件方式告知该组所有用户;
请见图4,步骤3的具体实现包括以下子步骤:
步骤3.1:数据拥有者选择需要共享的文件并上传,上传时文件用对称密钥加密;
在本实施例中,要分享的文件为期末考试试卷;
步骤3.2:选择要分享的群组;
在本实施例中,要分享的群组包括同事和学生,同事群组里有负责审核试卷和一同批阅试卷的老师Y,学生群组里有以学生H为代表的要参加该考试的所有学生;
步骤3.3:设置共享权限类别、权限持续有效时间以及权限有效的起始时间,将设置的有效时间换算成秒(s)作为Cassandra云盘系统中Column的ttl值记录在授权服务器中,授权服务器在检测是否具有访问权限时将根据权限有效起始时间和所设置的权限有效时间段自动计算权限有效的终止时间;
在本实施例中,同事群组所设置的权限为{‘期末试卷’,‘rw’,‘直到期末成绩评定完成之前(假设为5天)’,‘现在’},学生群组所设置的权限为{‘期末试卷’,‘r’,’2小时’,‘2015年6月26日14:00’},即表示学生群组对期末考试试卷从2015年6月26日14:00起有2小时的可读权限,同事群组的权限设定同理可知。
步骤3.4:将自己用于加密文件的对称密钥用待分享群组所属的私钥加密;
在本实施例中,用于加密试卷的对称密钥(属于数据拥有者教师X的对称密钥)分别用同事群组的私钥PRKj和学生群组的私钥PRKi加密;
步骤3.5:把公钥以电子邮件的方式告知该组用户。
在本实施例中,把PBKj发给同事群组的所有老师,PBKi发给学生群组的所有学生。
步骤4:文件访问;
用户向云端发送文件访问请求,云端根据访问控制策略对其做访问控制,并将文件包发送给合法用户,自动在合法用户本地存取公钥的文件夹中找到用来解密对称密钥的公钥解密对称密钥密文;
请见图5,步骤4的具体实现包括以下子步骤:
步骤4.1:客户端自动显示数据拥有者分享给用户的文件,用户向云端发送文件访问请求;
在本实施例中,学生在2015年6月26日14:00之前登录客户端是看不见期末试卷的,因为此时他对期末试卷没有访问权限;但同事群组中的老师登录客户端是看得见期末试卷的;2015年6月26日14:00-16:00学生在客户端看得见期末试卷。
假设此时为2015年6月26日14:03,学生H开始打开客户端,请求查看期末试卷的内容从而进行作答。
步骤4.2:云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限;
如用户不满足此刻对相应文件有请求行使的权限或更高一级的权限,用户不可以访问文件,执行下述步骤4.3;
否则,用户能访问文件,执行下述步骤4.4;
在本实例和假设的情境中,可知学生H请求的权限可表示为{‘期末试卷’,‘r’,’2015年6月26日14:03’}
请见图6,判定是否具有权限又包括如下子步骤:
步骤4.2.1:检查申请访问资源的用户是否对申请访问的资源有访问权限,如果有,执行步骤4.2.2;否则执行步骤4.2.3;
在本实施例中,学生H对期末试卷有访问权限,执行步骤4.2.3;
步骤4.2.2:用户不能访问资源,判断是否具有访问权限过程结束;
步骤4.2.3:检查申请访问资源的用户所申请的访问权限等级是否与数据库中的权限等级相等或较之更低,如果用户申请访问的权限等级高于数据库中记录的用户对相应文件的访问等级,则回转执行步骤4.2.2;否则执行步骤4.2.4;
在本实例中,学生H申请的访问权限等级为’r’,与授权服务器数据库中的访问权限等级相同,执行步骤4.2.4;
步骤4.2.4:用授权服务器中记录的共享权限的持续有效时间加上共享权限时间的起始值得到权限有效的终止值,对比发送访问请求时的系统时间,如果发送访问请求时的系统时间大于计算出的权限有效时间终止值,则回转执行步骤4.2.2;否则执行步骤4.2.5;
在本实施例中,通过授权服务器中的共享权限时间计算出权限的有效时间终止值为2015年6月26日16:00,当前的访问时间2015年6月26日14:03小于有效时间终止值,执行步骤4.2.5;
步骤4.2.5:用户能够访问资源,判断是否具有访问权限过程结束。
在本实施例中,学生H在2015年6月26日14:03能够读期末试卷;并且在考试时间不做临时变工的情况下,2015年6月26日16:00之前学生H是可以读期末试卷的, 一旦超过时间,权限自动撤销,学生H将不能读期末试卷。
步骤4.3:云端向用户发送拒绝访问应答,文件访问阶段结束;
步骤4.4:云端将文件密文及相应的对称密钥密文发送给用户;
在本实施例中,云端将期末试卷文件密文及教师X的对称密钥密文发送给学生群组中的每个人,包括H;
步骤4.5:自动为用户在本地存取公钥的文件夹中找到解密对称密钥密文的公钥来解密对称密钥密文;
在本实施例中,学生H点击查看期末试卷时,系统自动为其在H本地存取公钥的文件夹中找到之前存储的PBKi,并用PBKi解密对称密钥密文得到对称密钥;
步骤4.6:用对称密钥密文解密加密的文件得到文件块明文。
在本实施例中,学生H用S45中解密得到的对称密钥解密期末试卷密文,得到可读的期末试卷;
步骤5:用户的权限变更;
请见图7,当用户的权限发生变更时,其具体操作包括以下子步骤:
步骤5.1:判断权限变更的类别;
若删除某个群组内个别用户的所有权限时,则执行步骤5.2;
若要使个别用户拥有某个群组的所有权限,则执行步骤5.3;
若只是删除个别或一些用户的部分权限时,则执行步骤5.4;
若要为个别或一些用户增加部分权限时,则执行步骤5.5;
若对该群组的权限时间进行延长或缩短,则执步骤5.6;
若对该群组的权限级别进行统一调整,则执行步骤5.7;
在本实施例中,数据拥有者教师X可以变更权限设置。
情境1:假设开考后临时决定将考试时间算短至1个半小时,即学生的权限更改为{‘期末试卷’,‘r’,‘90分钟’,‘2015年6月26日14:00’};
情境2:假设改卷时间缩短,教务处又给教师X和Y增派了教师Z来协助批改试卷;
步骤5.2:直接从该群组删除这些用户,权限变更阶段结束;
步骤5.3:直接将这些用户加入该群组,权限变更阶段结束;
在本实施例和情境2中,应该把教师Z加入同事群组中;
步骤5.4:数据拥有者先从该群组删除这些用户,再建立一个新的群组,将要删除部分权限的用户加入到该群中,并对该群要共享的文件进行设置,对文件的访问权限级别和时间进行设置,权限变更阶段结束;
步骤5.5:数据拥有者先从该群组删除这些用户,再建立一个新的群组,将要增加权限的用户加入到该群中,并对该群要共享的文件进行设置,对文件的访问权限级别和时间进行设置,权限变更阶段结束;
步骤5.6:重新设置权限的有效时间并更改云端数据库中的表,权限变更阶段结束;
在本实施例和情境1中,应该重新修改权限时间使得学生群组的权限为:{‘期末试卷’,‘r’,‘90分钟’,‘2015年6月26日14:00’};及更改权限持续时间即可,这样,2015年6月26日15:30后,考试结束,学生将不能读期末试卷;
步骤5.7:重新设置权限类别,数据将更新到云端数据库中,权限变更阶段结束。
在本实施例中,权限的时间设置存储在Cassandra中,利用Cassandra根据ttl自动清除过期数据的机制,一旦权限过期,该权限能自动撤销。
应当理解的是,本说明书未详细阐述的部分均属于现有技术。
应当理解的是,上述针对较佳实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本领域的普通技术人员在本发明的启示下,在不脱离本发明权利要求所保护的范围情况下,还可以做出替换或变形,均落入本发明的保护范围之内,本发明的请求保护范围应以所附权利要求为准。
Claims (5)
1.一种有权限时间控制的云存储数据安全共享方法,其特征在于,包括以下步骤:
步骤1:注册;
用户在云盘客户端注册,填入用户信息,注册成功后用户信息存储在云盘服务器中;
步骤2:初始化;
用户注册时,自动为其初始化四个群组,分别为:自己、朋友、同事、陌生人,按照对称密码机制生成用于加密文件的密钥,并为每个群组用公钥加密算法生成一对用于加密和解密对称密钥的公私钥;
步骤3:数据分享与授权;
数据拥有者选择需要共享的文件,制定访问控制策略,根据访问控制策略对用户进行授权;使用对称密码机制对文件进行加密处理生成文件密文,并用待分享群组所属的私钥加密对称密钥,然后把与私钥成对的公钥以电子邮件方式告知该组所有用户;
步骤4:文件访问;
用户向云端发送文件访问请求,云端根据访问控制策略对其做访问控制,并将文件包发送给合法用户,自动在合法用户本地存取公钥的文件夹中找到用来解密对称密钥的公钥解密对称密钥密文;
步骤5:用户的权限变更;
当用户的权限发生变更时,其具体操作包括以下子步骤:
步骤5.1:判断权限变更的类别;
若删除某个群组内个别用户的所有权限时,则执行步骤5.2;
若要使个别用户拥有某个群组的所有权限,则执行步骤5.3;
若只是删除个别或一些用户的部分权限时,则执行步骤5.4;
若要为个别或一些用户增加部分权限时,则执行步骤5.5;
若对该群组的权限时间进行延长或缩短,则执步骤5.6;
若对该群组的权限级别进行统一调整,则执行步骤5.7;
步骤5.2:直接从该群组删除这些用户,权限变更阶段结束;
步骤5.3:直接将这些用户加入该群组,权限变更阶段结束;
步骤5.4:数据拥有者先从该群组删除这些用户,再建立一个新的群组,将要删除部分权限的用户加入到该群组中,并对该群组要共享的文件进行设置,对文件的访问权限级别和时间进行设置,权限变更阶段结束;
步骤5.5:数据拥有者先从该群组删除这些用户,再建立一个新的群组,将要增加权限的用户加入到该群组 中,并对该群组 要共享的文件进行设置,对文件的访问权限级别和时间进行设置,权限变更阶段结束;
步骤5.6:重新设置权限的有效时间并更改云端数据库中的表,权限变更阶段结束;
步骤5.7:重新设置权限类别,数据将更新到云端数据库中,权限变更阶段结束。
2.根据权利要求1所述的有权限时间控制的云存储数据安全共享方法,其特征在于:步骤1中所述的用户信息包括用户名、密码、确认密码、电子邮箱地址。
3.根据权利要求1所述的有权限时间控制的云存储数据安全共享方法,其特征在于:步骤3的具体实现包括以下子步骤:
步骤3.1:数据拥有者选择需要共享的文件并上传,上传时文件用对称密钥加密;
步骤3.2:选择要分享的群组;
步骤3.3:设置共享权限类别、权限持续有效时间以及权限有效的起始时间,授权服务器在检测是否具有访问权限时将根据权限有效起始时间和所设置的权限有效时间段自动计算权限有效的终止时间;
步骤3.4:将自己用于加密文件的对称密钥用待分享群组所属的私钥加密;
步骤3.5:把公钥以电子邮件的方式告知该组用户。
4.根据权利要求1所述的有权限时间控制的云存储数据安全共享方法,其特征在于:步骤4的具体实现包括以下子步骤:
步骤4.1:客户端自动显示数据拥有者分享给用户的文件,用户向云端发送文件访问请求;
步骤4.2:云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限;
如用户不满足此刻对相应文件有请求行使的权限或更高一级的权限,用户不可以访问文件,执行下述步骤4.3;
否则,用户能访问文件,执行下述步骤4.4;
步骤4.3:云端向用户发送拒绝访问应答,文件访问阶段结束;
步骤4.4:云端将文件密文及相应的对称密钥密文发送给用户;
步骤4.5:自动为用户在本地存取公钥的文件夹中找到解密对称密钥密文的公钥来解密对称密钥密文;
步骤4.6:用对称密钥密文解密加密的文件得到文件块明文。
5.根据权利要求4所述的有权限时间控制的云存储数据安全共享方法,其特征在于:步骤4.2中所述的云端根据存储在授权服务器中的分享设置表来检查该请求者此刻是否拥有对应请求行使的权限或者更高一级的权限,其具体实现包括以下子步骤:
步骤4.2.1:检查申请访问资源的用户是否对申请访问的资源有访问权限,如果有,执行步骤4.2.2;否则执行步骤4.2.3;
步骤4.2.2:用户不能访问资源,判断是否具有访问权限过程结束;
步骤4.2.3:检查申请访问资源的用户所申请的访问权限等级是否与数据库中的权限等级相等或较之更低,如果用户申请访问的权限等级高于数据库中记录的用户对相应文件的访问等级,则回转执行步骤4.2.2;否则执行步骤4.2.4;
步骤4.2.4:用授权服务器中记录的共享权限的持续有效时间加上共享权限时间的起始值得到权限有效的终止值,对比发送访问请求时的系统时间,如果发送访问请求时的系统时间大于计算出的权限有效时间终止值,则回转执行步骤4.2.2;否则执行步骤4.2.5;
步骤4.2.5:用户能够访问资源,判断是否具有访问权限过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510475566.4A CN105072180B (zh) | 2015-08-06 | 2015-08-06 | 一种有权限时间控制的云存储数据安全共享方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510475566.4A CN105072180B (zh) | 2015-08-06 | 2015-08-06 | 一种有权限时间控制的云存储数据安全共享方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105072180A CN105072180A (zh) | 2015-11-18 |
| CN105072180B true CN105072180B (zh) | 2018-02-09 |
Family
ID=54501459
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510475566.4A Expired - Fee Related CN105072180B (zh) | 2015-08-06 | 2015-08-06 | 一种有权限时间控制的云存储数据安全共享方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105072180B (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106559408B (zh) * | 2015-11-27 | 2019-12-13 | 国网智能电网研究院 | 一种基于信任管理的sdn认证方法 |
| CN105553979A (zh) * | 2015-12-15 | 2016-05-04 | 国网智能电网研究院 | 一种智能电网中隐私信息的加密发布方法 |
| CN105812205A (zh) * | 2016-03-15 | 2016-07-27 | 成都爆米花信息技术有限公司 | 一种云盘监控的方法 |
| CN105827635A (zh) * | 2016-05-09 | 2016-08-03 | 乐视控股(北京)有限公司 | 一种基于对象存储的对象访问权限变更方法和系统 |
| CN107508783A (zh) * | 2016-06-14 | 2017-12-22 | 阿里巴巴集团控股有限公司 | 一种数据的处理方法和装置 |
| CN106878002B (zh) * | 2016-07-05 | 2020-04-24 | 阿里巴巴集团控股有限公司 | 一种权限撤销方法及装置 |
| CN107948126B (zh) * | 2016-10-13 | 2021-09-03 | 阿里巴巴集团控股有限公司 | 一种报表查看方法及设备 |
| CN106453612B (zh) * | 2016-11-10 | 2019-03-05 | 华中科技大学 | 一种数据存储与共享系统 |
| CN108156111B (zh) * | 2016-12-02 | 2021-12-03 | 北大方正集团有限公司 | 网络服务权限的处理方法和装置 |
| CN108933758B (zh) * | 2017-05-23 | 2021-04-09 | 中国电信股份有限公司 | 可分享云存储加解密方法、装置和系统 |
| CN107426224B (zh) * | 2017-08-01 | 2021-03-26 | 在线途游(北京)科技有限公司 | 一种网络对战游戏组队通讯方法 |
| CN107508800A (zh) | 2017-08-03 | 2017-12-22 | 成都牵牛草信息技术有限公司 | 系统中设置邮箱内容和即时通讯内容的操作时间段的方法 |
| CN109981735A (zh) * | 2019-02-22 | 2019-07-05 | 唐伯春 | 基于邮箱实现文件加密存储、提取、共享的方法及系统 |
| CN111611220B (zh) * | 2019-02-26 | 2024-02-06 | 宁波创元信息科技有限公司 | 一种基于层级式节点的文件共享方法及系统 |
| CN110572258B (zh) * | 2019-07-24 | 2021-12-14 | 中国科学院数据与通信保护研究教育中心 | 一种云密码计算平台及计算服务方法 |
| CN110619230B (zh) * | 2019-09-27 | 2020-11-13 | 诸暨市智焘智能科技有限公司 | 一种瘦身数据共享时的密钥传输系统及方法 |
| CN111046424B (zh) * | 2019-12-11 | 2022-04-12 | 华南师范大学 | 数据集安全共享的控制方法与系统 |
| CN111131216A (zh) * | 2019-12-17 | 2020-05-08 | 云城(北京)数据科技有限公司 | 文件加密、解密方法及装置 |
| CN111404950B (zh) * | 2020-03-23 | 2021-12-10 | 腾讯科技(深圳)有限公司 | 一种基于区块链网络的信息共享方法、装置和相关设备 |
| CN111639352B (zh) * | 2020-05-24 | 2023-06-20 | 中信银行股份有限公司 | 电子证明的生成方法、装置、电子设备及可读存储介质 |
| CN112019540B (zh) * | 2020-08-27 | 2022-03-11 | 莫毓昌 | 一种面向云计算环境的数据安全共享方法 |
| CN112163398B (zh) * | 2020-09-30 | 2024-06-18 | 金蝶软件(中国)有限公司 | 一种图表分享方法及其相关设备 |
| CN118296645A (zh) | 2020-09-30 | 2024-07-05 | 京东方科技集团股份有限公司 | 信息分享方法、电子设备及可读存储介质 |
| CN113326263A (zh) * | 2021-06-08 | 2021-08-31 | 支付宝(杭州)信息技术有限公司 | 安全存储区域的使用权限处理、使用控制方法及装置 |
| CN115529304A (zh) * | 2021-06-08 | 2022-12-27 | 四川星河飞天科技有限公司 | 一种计算机文件共享传输的管理方法 |
| CN113486376B (zh) * | 2021-07-20 | 2024-02-02 | 大连九锁网络有限公司 | 配合移动端认证的数字文件分享及内容安全保护方法 |
| CN113722695B (zh) * | 2021-11-02 | 2022-02-08 | 佳瑛科技有限公司 | 基于云端服务器的财务数据安全共享方法、装置及系统 |
| CN114513370B (zh) * | 2022-04-19 | 2022-07-15 | 中国信息通信研究院 | 通用的标识数据转换方法和装置、存储介质、电子设备 |
| CN117544622B (zh) * | 2023-11-07 | 2024-06-21 | 翼健(上海)信息科技有限公司 | 一种用户可控的隐私数据授权共享方法、系统和介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227789A (zh) * | 2013-04-19 | 2013-07-31 | 武汉大学 | 一种云环境下轻量级的细粒度访问控制方法 |
| CN104009987A (zh) * | 2014-05-21 | 2014-08-27 | 南京邮电大学 | 一种基于用户身份能力的细粒度云平台安全接入控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1833222A1 (en) * | 2006-03-10 | 2007-09-12 | Abb Research Ltd. | Access control protocol for embedded devices |
-
2015
- 2015-08-06 CN CN201510475566.4A patent/CN105072180B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227789A (zh) * | 2013-04-19 | 2013-07-31 | 武汉大学 | 一种云环境下轻量级的细粒度访问控制方法 |
| CN104009987A (zh) * | 2014-05-21 | 2014-08-27 | 南京邮电大学 | 一种基于用户身份能力的细粒度云平台安全接入控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105072180A (zh) | 2015-11-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105072180B (zh) | 一种有权限时间控制的云存储数据安全共享方法 | |
| US10979418B2 (en) | Template-based distributed certificate issuance in a multi-tenant environment | |
| US10313312B2 (en) | Key rotation techniques | |
| CN109559124A (zh) | 一种基于区块链的云数据安全共享方法 | |
| CN105122265B (zh) | 数据安全服务系统 | |
| CN105027130B (zh) | 延迟数据访问 | |
| US20170142082A1 (en) | System and method for secure deposit and recovery of secret data | |
| CN105103488A (zh) | 借助相关联的数据的策略施行 | |
| CN105191207A (zh) | 联合密钥管理 | |
| CN105103119A (zh) | 数据安全服务系统 | |
| CN103973736A (zh) | 一种数据共享的方法及装置 | |
| US11962684B2 (en) | System and method for registering a user | |
| CN108600171A (zh) | 一种支持细粒度访问的云数据确定性删除方法 | |
| CN108632385B (zh) | 基于时间序列的多叉树数据索引结构云存储隐私保护方法 | |
| US11604888B2 (en) | Digital storage and data transport system | |
| Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
| Ranjith et al. | Secure cloud storage using decentralized access control with anonymous authentication | |
| Salim et al. | An efficient public auditing scheme for cloud storage with secure access control and resistance against DOS attack by iniquitous TPA | |
| Singh et al. | Dynamic federation in identity management for securing and sharing personal health records in a patient centric model in cloud | |
| CN112865968B (zh) | 数据密文托管方法、系统、计算机设备及存储介质 | |
| Rizvi et al. | Combining private and public key encryption techniques for providing extreme secure environment for an academic institution application | |
| Praseetha | MODIFIED SECURE STORAGE AND ERASURE (SSE) PROTOCOL FOR DELETING SECRET DATA. | |
| CN116800415A (zh) | 用于物联网的轻量级可净化属性加密方法 | |
| Sankari et al. | Dynamic access control through cryptography in cloud | |
| Pillai et al. | Blockchain broadcast proxy ReEncryption in cloud environment for secure data sharing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180209 Termination date: 20180806 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |