CN106487763B - 一种基于云计算平台的数据访问方法及用户终端 - Google Patents

一种基于云计算平台的数据访问方法及用户终端 Download PDF

Info

Publication number
CN106487763B
CN106487763B CN201510546501.4A CN201510546501A CN106487763B CN 106487763 B CN106487763 B CN 106487763B CN 201510546501 A CN201510546501 A CN 201510546501A CN 106487763 B CN106487763 B CN 106487763B
Authority
CN
China
Prior art keywords
data
cloud computing
computing platform
authority
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510546501.4A
Other languages
English (en)
Other versions
CN106487763A (zh
Inventor
刘琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University
Tencent Technology Shenzhen Co Ltd
Original Assignee
Hunan University
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University, Tencent Technology Shenzhen Co Ltd filed Critical Hunan University
Priority to CN201510546501.4A priority Critical patent/CN106487763B/zh
Priority to US15/554,477 priority patent/US10250613B2/en
Priority to PCT/CN2016/083117 priority patent/WO2017036190A1/zh
Publication of CN106487763A publication Critical patent/CN106487763A/zh
Application granted granted Critical
Publication of CN106487763B publication Critical patent/CN106487763B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

本发明实施例涉及云计算技术领域,公开了一种基于云计算平台的数据访问方法及用户终端。其中,该方法包括:获取对查询到的云计算平台的数据密文的访问请求,所述访问请求携带解密密钥,所述解密密钥包括用户精确身份标识和用户属性标识;如果所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合,和/或,如果所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合,将所述数据密文恢复成数据明文。实施本发明实施例,可以有效地对云计算平台的数据进行细粒度访问控制。

Description

一种基于云计算平台的数据访问方法及用户终端
技术领域
本发明涉及云计算技术领域,具体涉及一种基于云计算平台的数据访问方法及用户终端。
背景技术
在大数据时代,云计算平台通常用于存放海量数据。其中,云计算平台存放的海量数据通常会涉及到个人隐私数据,例如个人医疗记录等。在实际应用中,云计算平台通常是由云服务提供商(Cloud Service Provider,CSP)进行管理和维护的,而云服务提供商通常又是以盈利为目的的企业,当企业与云服务提供商签订了服务水平协议(Service LevelAgreement,LSA)之后,企业可以对其企业内部的用户进行授权,使得企业内部的用户不仅可以将数据存放至云计算平台,还可以访问云计算平台的数据。在实践中发现,企业内部的用户一旦被授权就可以访问云计算平台中的所有数据,难于实现细粒度访问控制。
发明内容
本发明实施例公开了一种基于云计算平台的数据访问方法及用户终端,能够有效地对云计算平台的数据进行细粒度访问控制。
本发明实施例第一方面公开一种基于云计算平台的数据访问方法,包括:
获取对查询到的云计算平台的数据密文的访问请求,所述访问请求携带解密密钥,所述解密密钥包括用户精确身份标识和用户属性标识;
当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时,和/或,当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时,解密所述数据密文以获得数据明文。
本发明实施例第二方面公开一种用户终端,用于执行基于云计算平台的数据访问方法,所述用户终端包括:
获取单元,用于获取对查询到的云计算平台的数据密文的访问请求,所述访问请求携带解密密钥,所述解密密钥包括用户精确身份标识和用户属性标识;
解密单元,用于当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时,和/或,当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时,解密所述数据密文以获得数据明文。
本发明实施例中,由于解密密钥可以包括用户精确身份标识和用户属性标识,并且当该用户精确身份标识属于需要访问的数据密文的访问结构包括的身份标识集合时,和/或,当该用户属性标识属于需要访问的数据密文的访问结构包括的用户属性标识集合时,才对需要访问的数据密文进行解密以获得数据明文,可见,本发明实施例可以结合解密密钥包括的用户精确身份标识和用户属性标识来有效地对云计算平台的数据进行细粒度访问控制。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种基于云计算平台的网络架构示意图;
图2是本发明实施例公开的一种基于云计算平台的数据访问方法的流程示意图;
图3是本发明实施例公开的另一种基于云计算平台的数据访问方法的流程示意图;
图4是本发明实施例公开的用户终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于云计算平台的数据访问方法及用户终端,能够有效地对云计算平台的数据进行细粒度访问控制。以下分别进行详细说明。
为了更好理解本发明实施例公开的一种基于云计算平台的数据访问方法及用户终端,下面先对本发明实施例适用的网络架构进行描述。请参阅图1,图1是本发明实施例公开的一种基于云计算平台的网络架构示意图。需要说明的是,图1所示的基于云计算平台的网络架构仅仅是本发明实施例适用的一种网络架构,本发明实施例也还适用于其他类型的网络架构,本发明实施例不作具体限定。在如图1所示的网络架构中,企业可以与云服务提供商(CSP)签订服务水平协议(Service Level Agreement,SLA),从而实现企业向CSP租赁云服务。其中,CSP可以对云计算平台进行管理、维护操作,而企业可以授权企业内部的用户终端(即员工)在云计算平台进行数据查询、共享。进一步地,在图1所示的网络架构中,用户终端既可以作为数据拥护者授权其他用户查询和访问数据,也可以作为访问用户向云计算平台查询和访问其权限以内的数据。
在图1所示的网络架构中,用户终端可以向企业内的用户终端的直属部门申请密钥,而企业又可以向其信任的第三方申请密钥,也即是说,在图1所示的网络架构中,可以支持层次结构的密钥生成方式,从而可以有效地避免性能瓶颈和单点失效等问题,可以更好地满足用户随时随地访问数据的需求。其中,企业可以运行密钥生成模块(HMIBE)以层次结构的密钥生成方式为用户终端u生成解密密钥Kd,u和查询密钥Ks,u,相应地,解密密钥Kd,u可以由用户精确身份标识Sku和用户属性标识bu组成,其中,用户精确身份标识Sku举例来说可以包括工号(如4021434)、手机号码、身份证号码甚至邮件地址、社交账号等,而用户属性标识bu举例来说可以包括用户所属部门(如财务部、销售部)、用户性别(如“男性”)以及用户级称(如“教授”)等;其中,查询密钥Ks,u主要用于向云计算平台查询数据与授权的查询条件Q相匹配的数据。在图1所示的网络架构中,本发明实施例可以结合解密密钥包括的用户精确身份标识和用户属性标识来有效地对云计算平台的数据进行细粒度访问控制。
请参阅图2,图2是本发明实施例公开的一种基于云计算平台的数据访问方法的流程示意图。如图2所示,该基于云计算平台的数据访问方法可以包括以下步骤。
S201、用户终端获取对查询到的云计算平台的数据密文的访问请求,访问请求携带解密密钥,该解密密钥包括用户精确身份标识和用户属性标识。
本发明实施例中,用户终端可以接收用户(如企业员工)输入的针对预先查询到的云计算平台的数据密文的访问请求,访问请求可以携带包括用户精确身份标识和用户属性标识的解密密钥。
S202、当用户精确身份标识属于数据密文的访问结构包括的身份标识集合时,和/或,当用户属性标识属于数据密文的访问结构包括的用户属性标识集合时,用户终端解密数据密文以获得数据明文。
本发明实施例中,假设数据密文Fi的访问结构为Ai,访问结构Ai=={{“工号=4021434”,“工号=4021436”},{“财务部”,"销售部"}},其中,“工号=4021434”,“工号=4021436”}表示访问结构包括的身份标识集合U1,{“财务部”,"销售部"}表示访问结构包括的用户属性标识集合U2,上述的Ai表示数据密文不仅能够被UI中的用户精确身份标识Sku为“工号=4021434”以及“工号=4021436”的用户访问,而且能够被U2中的用户属性标识bu为“财务部”和“销售部”的用户访问。更进一步地,假设上述步骤S201中的访问请求携带的解密密钥Kd,u包括的用户精确身份标识Sku为“4021434”,和/或,访问请求携带的解密密钥Kd,u包括的用户属性标识bu为“财务部”,那么用户终端可以判断出用户精确身份标识Sku“4021434”属于数据密文Fi的访问结构为Ai包括的身份标识集合U1,和/或,可以判断出用户属性标识bu“财务部”属于数据密文Fi的访问结构为Ai,从而恢复数据明文。
可见,在图1所描述的方法例中,由于解密密钥可以包括用户精确身份标识和用户属性标识,并且当该用户精确身份标识属于需要访问的数据密文的访问结构包括的身份标识集合时,和/或,当该用户属性标识属于需要访问的数据密文的访问结构包括的用户属性标识集合时,才对需要访问的数据密文进行解密以获得数据明文,可见,图1所描述的方法可以结合解密密钥包括的用户精确身份标识和用户属性标识来有效地对云计算平台的数据进行细粒度访问控制。
请参阅图3,图3是本发明实施例公开的另一种基于云计算平台的数据访问方法的流程示意图。在图3所示的基于云计算平台的数据访问方法中,可以基于云计算平台实现细粒度的安全数据访问,实现细粒度的安全数据查询机制,以及动态的密钥权限管理。如图3所示,该基于云计算平台的数据访问方法可以包括以下步骤。
S301、用户终端向云计算平台发送数据查询请求TQ,该数据查询请求TQ包括查询密钥授权的查询条件Q以及查询密钥的权限类型,其中,查询条件Q包括用户属性标识;查询密钥的权限类型用于指示查询密钥是否具备权限时效性。
本发明实施例中,查询密钥授权的查询条件Q可以包括一个或以上的用户属性标识,这些多个用户属性标识构成查询关键词。
本发明实施例中,云计算平台收到用户终端发送的数据查询请求TQ之后,云计算平台可以根据查询密钥的权限类型识别查询密钥是否具备权限时效性,当云计算平台根据查询密钥的权限类型识别出查询密钥不具备权限时效性时,云计算平台可以从存储的所有数据密文中查询数据密文的索引密文I与查询条件Q包括的用户属性标识匹配的数据密文,以获得查询到的数据密文;而当云计算平台根据查询密钥的权限类型识别出查询密钥具备权限时效性时,云计算平台可以发送查询请求TQ给CSP,以使CSP重新加密云计算平台存储的所有数据密文中数据密文的索引密文I与查询条件Q包括的用户属性标识匹配的数据密文,并且当云计算平台确定出云计算平台的当前时间属于查询密钥具备的权限时效性所限定的时间时,云计算平台可以将重新加密的数据密文的索引密文I与查询条件Q包括的用户属性标识匹配的数据密文,以获得查询到的数据密文。
本发明实施例中,当云计算平台确定出云计算平台的当前时间不属于查询密钥具备的权限时效性所限定的时间时,云计算平台可以向用户终端用于提示查询密钥失效的提示信息,从而可以实现对查询密钥的权限撤销。
本发明实施例中,当查询密钥的权限类型用于指示查询密钥具备权限时效性时,查询密钥的权限类型中可以包括权限时效性所限定的时间(如时间为2014年1月),当查询密钥的权限类型用于指示查询密钥不具备权限时效性时,查询密钥的权限类型中可以不包括权限时效性所限定的时间。
本发明实施例中,用户可以采用文件形式将数据密文Fi存放至云计算平台,具体地,用户在将数据密文Fi存放至云计算平台之前,先为其建立索引密文Ii,然后为数据密文Fi指定访问结构Ai,最后将访问结构Ai、数据密文Fi以及索引密文Ii一并存放至云计算平台。其中,访问结构Ai可包括身份标识集合U1和用户属性标识集合U2,而索引密文Ii可以由若干个用户属性标识构成。
S302、用户终端接收云计算平台返回的查询到的数据密文。
S303、用户终端获取对查询到的云计算平台的数据密文的访问请求,访问请求携带解密密钥,该解密密钥包括用户精确身份标识和用户属性标识。
本发明实施例中,用户终端可以接收用户(如企业员工)输入的针对预先查询到的云计算平台的数据密文的访问请求,访问请求可以携带包括用户精确身份标识和用户属性标识的解密密钥。
S304、当用户精确身份标识属于数据密文的访问结构包括的身份标识集合时,和/或,当用户属性标识属于数据密文的访问结构包括的用户属性标识集合时,用户终端解密数据密文以获得数据明文。
本发明实施例中,假设数据密文Fi的访问结构为Ai,访问结构Ai=={{“工号=4021434”,“工号=4021436”},{“财务部”,"销售部"}},其中,“工号=4021434”,“工号=4021436”}表示访问结构包括的身份标识集合U1,{“财务部”,"销售部"}表示访问结构包括的用户属性标识集合U2,上述的Ai表示数据密文不仅能够被UI中的用户精确身份标识Sku为“工号=4021434”以及“工号=4021436”的用户访问,而且能够被U2中的用户属性标识bu为“财务部”和“销售部”的用户访问。更进一步地,假设上述步骤S303中的访问请求携带的解密密钥Kd,u包括的用户精确身份标识Sku为“4021434”,和/或,访问请求携带的解密密钥Kd,u包括的用户属性标识bu为“财务部”,那么用户终端可以判断出用户精确身份标识Sku“4021434”属于数据密文Fi的访问结构为Ai包括的身份标识集合U1,和/或,可以判断出用户属性标识bu“财务部”属于数据密文Fi的访问结构为Ai,从而恢复数据明文。
作为一种可选的实施方式,上述步骤S303中,访问请求还可以携带解密密钥的权限类型,解密密钥的权限类型用于指示解密密钥是否具备权限时效性,相应地,上述步骤S303中用户终端将数据密文恢复成数据明文可以包括:
用户终端根据解密密钥的权限类型识别解密密钥是否具备权限时效性时,如果解密密钥不具备权限时效性,对数据密文进行解密以获得数据明文;反之,如果解密密钥具备权限时效性,那么用户终端可以确定本端的当前时间是否属于解密密钥具备的权限时效性所限定的时间,如果本端的当前时间属于解密密钥具备的权限时效性所限定的时间,对数据密文进行解密以获得数据明文;反之,如果本端的当前时间不属于解密密钥具备的权限时效性所限定的时间,用户终端可以提示解密密钥失效,从而可以实现对解密密钥的权限撤销。
可见,在图3所描述的方法例中,可以基于云计算平台实现细粒度的安全数据访问,实现细粒度的安全数据查询机制,以及动态的密钥权限管理。
请参阅图4,图4是本发明实施例公开的一种用户终端的结构示意图。其中,图4所示的用户终端可以用于执行基于云计算平台的数据访问方法。如图4所示,该用户终端可以包括:
获取单元401,用于获取对查询到的云计算平台的数据密文的访问请求,访问请求携带解密密钥,该解密密钥包括用户精确身份标识和用户属性标识;
解密单元402,用于当用户精确身份标识属于数据密文的访问结构包括的身份标识集合时,和/或,当用户属性标识属于数据密文的访问结构包括的用户属性标识集合时,解密数据密文以获得数据明文。
作为一种可选的实施方式,图4所示的用户终端还可以包括:
交互单元403,用于在获取单元401获取对查询到的云计算平台的数据密文的访问请求之前,向云计算平台发送数据查询请求TQ,数据查询请求TQ包括查询密钥授权的查询条件Q以及查询密钥的权限类型,其中,查询条件Q包括用户属性标识;查询密钥的权限类型用于指示查询密钥是否具备权限时效性;其中,在云计算平台根据查询密钥的权限类型识别出查询密钥不具备权限时效性时,由云计算平台从存储的所有数据密文中查询数据密文的索引密文I与用户属性标识匹配的数据密文,以获得查询到的数据密文;或者,在云计算平台根据查询密钥的权限类型识别出查询密钥具备权限时效性时,由云计算平台发送查询请求TQ给CSP,以使CSP重新加密云计算平台存储的所有数据密文中数据密文的索引密文I与用户属性标识匹配的数据密文,并且在云计算平台确定出云计算平台的当前时间属于查询密钥具备的权限时效性所限定的时间时,由云计算平台将重新加密的数据密文的索引密文I与用户属性标识匹配的数据密文,以获得查询到的数据密文;
以及,交互单元403还用于接收云计算平台返回的查询到的数据密文。
本发明实施例中,当云计算平台确定出云计算平台的当前时间不属于查询密钥具备的权限时效性所限定的时间时,云计算平台可以向用户终端用于提示查询密钥失效的提示信息,从而可以实现对查询密钥的权限撤销。
在一个实施例中,上述的访问请求还可以携带解密密钥的权限类型,解密密钥的权限类型用于指示解密密钥是否具备权限时效性,相应地,解密单元402将数据密文恢复成数据明文的方式具体为:
解密单元402,用于根据解密密钥的权限类型识别解密密钥是否具备权限时效性,如果解密密钥不具备权限时效性,对数据密文进行解密以获得数据明文;反之,如果解密密钥具备权限时效性,解密单元还用于确定本端的当前时间是否属于解密密钥具备的权限时效性所限定的时间,如果本端的当前时间属于解密密钥具备的权限时效性所限定的时间,对数据密文进行解密以获得数据明文;反之,如果本端的当前时间不属于解密密钥具备的权限时效性所限定的时间,用户终端可以提示解密密钥失效,从而可以实现对解密密钥的权限撤销。
通过实施例图4所示的用户终端,可以基于云计算平台实现细粒度的安全数据访问,实现细粒度的安全数据查询机制,以及动态的密钥权限管理。
本发明实施例可以在充分利用云计算平台强大资源和计算能力的同时,有效保护共享数据时的数据安全和用户隐私。
综上所述,本发明实施例可以带来以下效果:
1)建立细粒度的安全数据访问。支持多种访问结构,有效地实现细粒度访问控制;支持层次结构的密钥生成方式,有效地避免了性能瓶颈和单点失效等问题;可以支持轻量级加密/解密开销,更好地满足用户随时随地访问数据的需求。
2)实现细粒度的安全数据查询。不仅支持多关键词的复杂查询功能,更好地满足用户个性化的查询需求,而且支持细粒度的查询权限,可以将用户查询权限与其访问权限相关,避免查询了非授权数据引起的潜在安全风险。
3)建立动态的密钥权限管理。针对不同密钥的权限类型实现密钥的有效撤销,在保证数据安全和用户隐私的前提下,充分利用云计算平台的强大计算能力和资源,有效地减轻用户终端的开销。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本发明实施例公开的基于云计算平台的数据访问方法及用户终端进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (8)

1.一种基于云计算平台的数据访问方法,其特征在于,包括:
向云计算平台发送数据查询请求TQ,所述数据查询请求TQ包括查询密钥授权的查询条件Q以及所述查询密钥的权限类型,其中,所述查询条件Q包括用户属性标识;所述查询密钥的权限类型用于指示所述查询密钥是否具备权限时效性;其中,在所述云计算平台根据所述查询密钥的权限类型识别出所述查询密钥不具备权限时效性时,由所述云计算平台从存储的所有数据密文中查询数据密文的索引密文I与所述用户属性标识匹配的数据密文,以获得查询到的数据密文;
接收所述云计算平台返回的所述查询到的数据密文;
获取对查询到的云计算平台的数据密文的访问请求,所述访问请求携带解密密钥,所述解密密钥包括用户精确身份标识和用户属性标识;
当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时,和,当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时,解密所述数据密文以获得数据明文;
其中,所述查询密钥和所述解密密钥是以层次结构的密钥生成方式生成的。
2.根据权利要求1所述的方法,其特征在于,在所述云计算平台根据所述查询密钥的权限类型识别出所述查询密钥具备权限时效性时,由所述云计算平台发送所述查询请求TQ给云服务提供商CSP,以使所述CSP重新加密所述云计算平台存储的所有数据密文中数据密文的索引密文I与所述用户属性标识匹配的数据密文,并且在所述云计算平台确定出所述云计算平台的当前时间属于所述查询密钥具备的权限时效性所限定的时间时,由所述云计算平台将重新加密的所述数据密文的索引密文I与所述用户属性标识匹配的数据密文,以获得查询到的数据密文。
3.根据权利要求1或2所述的方法,其特征在于,所述访问请求还携带所述解密密钥的权限类型,所述解密密钥的权限类型用于指示所述解密密钥是否具备权限时效性,所述方法还包括:
根据所述解密密钥的权限类型识别所述解密密钥是否具备权限时效性,如果所述解密密钥不具备权限时效性,对所述查询到的数据密文进行解密以获得数据明文。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述解密密钥具备权限时效性,确定本端的当前时间是否属于所述解密密钥具备的权限时效性所限定的时间,如果本端的当前时间属于所述解密密钥具备的权限时效性所限定的时间,对所述数据密文进行解密以获得数据明文。
5.一种用户终端,其特征在于,用于执行基于云计算平台的数据访问方法,所述用户终端包括:
交互单元,用于在获取单元获取对查询到的云计算平台的数据密文的访问请求之前,向云计算平台发送数据查询请求TQ,所述数据查询请求TQ包括查询密钥授权的查询条件Q以及所述查询密钥的权限类型,其中,所述查询条件Q包括用户属性标识;所述查询密钥的权限类型用于指示所述查询密钥是否具备权限时效性;其中,在所述云计算平台根据所述查询密钥的权限类型识别出所述查询密钥不具备权限时效性时,由所述云计算平台从存储的所有数据密文中查询数据密文的索引密文I与所述用户属性标识匹配的数据密文,以获得查询到的数据密文;以及,用于接收所述云计算平台返回的所述查询到的数据密文;
所述获取单元,用于获取对查询到的云计算平台的数据密文的访问请求,所述访问请求携带解密密钥,所述解密密钥包括用户精确身份标识和用户属性标识;
解密单元,用于当所述用户精确身份标识属于所述数据密文的访问结构包括的身份标识集合时,和,当所述用户属性标识属于所述数据密文的访问结构包括的用户属性标识集合时,解密所述数据密文以获得数据明文;
其中,所述查询密钥和所述解密密钥是以层次结构的密钥生成方式生成的。
6.根据权利要求5所述的用户终端,其特征在于,在所述云计算平台根据所述查询密钥的权限类型识别出所述查询密钥具备权限时效性时,由所述云计算平台发送所述查询请求TQ给云服务提供商CSP,以使所述CSP重新加密所述云计算平台存储的所有数据密文中数据密文的索引密文I与所述用户属性标识匹配的数据密文,并且在所述云计算平台确定出所述云计算平台的当前时间属于所述查询密钥具备的权限时效性所限定的时间时,由所述云计算平台将重新加密的所述数据密文的索引密文I与所述用户属性标识匹配的数据密文,以获得查询到的数据密文。
7.根据权利要求5或6所述的用户终端,其特征在于,所述访问请求还携带所述解密密钥的权限类型,所述解密密钥的权限类型用于指示所述解密密钥是否具备权限时效性,所述解密单元将所述查询到的数据密文恢复成数据明文的方式具体为:
所述解密单元,用于根据所述解密密钥的权限类型识别所述解密密钥是否具备权限时效性,如果所述解密密钥不具备权限时效性,对所述查询到的数据密文进行解密以获得数据明文。
8.根据权利要求7所述的用户终端,其特征在于:
所述解密单元,还用于在所述解密密钥具备权限时效性,确定本端的当前时间是否属于所述解密密钥具备的权限时效性所限定的时间,如果本端的当前时间属于所述解密密钥具备的权限时效性所限定的时间,对所述数据密文进行解密以获得数据明文。
CN201510546501.4A 2015-08-31 2015-08-31 一种基于云计算平台的数据访问方法及用户终端 Active CN106487763B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201510546501.4A CN106487763B (zh) 2015-08-31 2015-08-31 一种基于云计算平台的数据访问方法及用户终端
US15/554,477 US10250613B2 (en) 2015-08-31 2016-05-24 Data access method based on cloud computing platform, and user terminal
PCT/CN2016/083117 WO2017036190A1 (zh) 2015-08-31 2016-05-24 一种基于云计算平台的数据访问方法及用户终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510546501.4A CN106487763B (zh) 2015-08-31 2015-08-31 一种基于云计算平台的数据访问方法及用户终端

Publications (2)

Publication Number Publication Date
CN106487763A CN106487763A (zh) 2017-03-08
CN106487763B true CN106487763B (zh) 2020-01-10

Family

ID=58186634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510546501.4A Active CN106487763B (zh) 2015-08-31 2015-08-31 一种基于云计算平台的数据访问方法及用户终端

Country Status (3)

Country Link
US (1) US10250613B2 (zh)
CN (1) CN106487763B (zh)
WO (1) WO2017036190A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11539518B2 (en) * 2017-05-17 2022-12-27 Apple Inc. Time-based encryption key derivation
CN108319670A (zh) * 2018-01-23 2018-07-24 湖南大学 基于云计算的可验证的动态排名搜索方法
CN109284191A (zh) * 2018-09-21 2019-01-29 深圳市九洲电器有限公司 安防数据均衡方法及其系统
CN110046517B (zh) * 2018-11-07 2020-05-05 阿里巴巴集团控股有限公司 一种对写入区块链的交易进行隐匿的方法及装置
CN110009334B (zh) * 2018-11-07 2020-04-28 阿里巴巴集团控股有限公司 一种构建梅克尔树、简单支付验证方法及装置
CN111784350A (zh) * 2019-01-31 2020-10-16 阿里巴巴集团控股有限公司 构建区块对应的梅克尔树、简单支付验证方法及装置
US11032062B2 (en) * 2019-09-17 2021-06-08 Switchbit, Inc. Data processing permits system with keys
CN111064757B (zh) * 2020-03-18 2020-06-19 腾讯科技(深圳)有限公司 应用访问方法、装置、电子设备以及存储介质
US20210409502A1 (en) * 2020-06-30 2021-12-30 Snap Inc. Tracking usage of augmented reality content across multiple users
CN112434080A (zh) * 2020-11-25 2021-03-02 国网湖北省电力有限公司咸宁供电公司 一种配电网分析平台的数据获取方法、设备及存储介质
CN114157421B (zh) * 2021-11-30 2023-06-09 福建师范大学 多授权中心基于属性的确保数据删除的加密系统及方法
CN114257457B (zh) * 2021-12-30 2023-08-08 天翼云科技有限公司 一种文件分享方法及装置
CN115277085B (zh) * 2022-06-23 2023-07-25 国网浙江省电力有限公司湖州供电公司 一种云计算平台身份认证和权限管理的方法及相关设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546161A (zh) * 2010-12-08 2012-07-04 索尼公司 可撤销的基于密文政策的属性基密码方法、设备和系统
CN103107992A (zh) * 2013-02-04 2013-05-15 杭州师范大学 面向云存储加密数据共享的多级权限管理方法
CN103107889A (zh) * 2013-02-06 2013-05-15 中电长城网际系统应用有限公司 一种可搜索的云计算环境数据加密存储系统和方法
CN103152322A (zh) * 2013-01-28 2013-06-12 中兴通讯股份有限公司 数据加密保护方法及系统
CN103618729A (zh) * 2013-09-03 2014-03-05 南京邮电大学 一种应用于云存储的多机构层次化属性基加密方法
KR101464727B1 (ko) * 2013-10-15 2014-11-27 순천향대학교 산학협력단 속성기반 암호를 이용한 클라우드 데이터 접근제어 시스템 및 방법
CN104836790A (zh) * 2015-03-30 2015-08-12 西安电子科技大学 基于属性加密和时间戳的链式存储细粒度访问控制模型

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001278159A1 (en) * 2000-08-11 2002-02-25 Incanta, Inc. Resource distribution in network environment
US8472627B2 (en) * 2000-10-30 2013-06-25 Geocodex Llc System and method for delivering encrypted information in a communication network using location indentity and key tables
EP1400117A1 (en) * 2001-06-08 2004-03-24 Koninklijke Philips Electronics N.V. Device and method for selectively supplying access to a service encrypted using a control word, and smart card
TWI308306B (en) * 2001-07-09 2009-04-01 Matsushita Electric Ind Co Ltd Digital work protection system, record/playback device, recording medium device, and model change device
GB2399724B (en) * 2003-03-15 2005-04-27 Hewlett Packard Development Co Method and system for regulating access to a service
US8024779B2 (en) * 2004-02-26 2011-09-20 Packetmotion, Inc. Verifying user authentication
US8141142B2 (en) * 2005-02-14 2012-03-20 International Business Machines Corporation Secure authentication of service users of a remote service interface to a storage media
JP4739000B2 (ja) * 2005-12-07 2011-08-03 富士通株式会社 電子文書管理プログラム、電子文書管理システム及び電子文書管理方法
CN1835438B (zh) * 2006-03-22 2011-07-27 阿里巴巴集团控股有限公司 一种在网站间实现单次登录的方法及网站
US7945776B1 (en) * 2006-09-29 2011-05-17 Emc Corporation Securing a passphrase
US9769177B2 (en) * 2007-06-12 2017-09-19 Syracuse University Role-based access control to computing resources in an inter-organizational community
US8825999B2 (en) * 2007-10-20 2014-09-02 Blackout, Inc. Extending encrypting web service
US7783662B2 (en) * 2007-11-06 2010-08-24 International Business Machines Corporation Federated information management
JP4526574B2 (ja) * 2008-03-31 2010-08-18 富士通株式会社 暗号データ管理システム、および暗号データ管理方法
KR20100042457A (ko) * 2008-10-16 2010-04-26 삼성전자주식회사 데이터 암호화 방법 및 장치와 데이터 복호화 방법 및 장치
DE102009027681A1 (de) * 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren und Lesen von Attributen aus einem ID-Token
US8566952B1 (en) * 2009-12-24 2013-10-22 Intuit Inc. System and method for encrypting data and providing controlled access to encrypted data with limited additional access
US10289505B2 (en) * 2009-12-29 2019-05-14 International Business Machines Corporation Dispersed multi-media content for a centralized digital video storage system
US9413393B2 (en) * 2009-12-29 2016-08-09 International Business Machines Corporation Encoding multi-media content for a centralized digital video storage system
US20110213971A1 (en) * 2010-03-01 2011-09-01 Nokia Corporation Method and apparatus for providing rights management at file system level
US8627508B2 (en) * 2011-06-17 2014-01-07 Microsoft Corporation Cloud key directory for federating data exchanges
US8543836B2 (en) * 2011-08-23 2013-09-24 International Business Machines Corporation Lightweight document access control using access control lists in the cloud storage or on the local file system
US9529996B2 (en) * 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
CN102882923B (zh) 2012-07-25 2015-04-15 北京亿赛通科技发展有限责任公司 移动终端安全存储系统及方法
CN103634331A (zh) 2012-08-21 2014-03-12 镇江雅迅软件有限责任公司 一种基于云计算服务的权限管理方法
US9769124B2 (en) * 2012-09-21 2017-09-19 Nokia Technologies Oy Method and apparatus for providing access control to shared data based on trust level
WO2014063361A1 (en) * 2012-10-26 2014-05-01 Nokia Corporation Methods and apparatus for data access control
US9077693B2 (en) * 2013-09-23 2015-07-07 Netflix, Inc. Securely connecting control device to target device
CN103532981B (zh) 2013-10-31 2016-08-17 中国科学院信息工程研究所 一种面向多租户的身份托管鉴权云资源访问控制系统及控制方法
CN105830133B (zh) * 2013-12-11 2019-03-12 三菱电机株式会社 文件保管系统及用户终端
CN104009987B (zh) * 2014-05-21 2017-02-22 南京邮电大学 一种基于用户身份能力的细粒度云平台安全接入控制方法
US9710659B2 (en) * 2014-08-28 2017-07-18 Virtru Corporation Methods and systems for enforcing, by a kernel driver, a usage restriction associated with encrypted data
CN104378386A (zh) * 2014-12-09 2015-02-25 浪潮电子信息产业股份有限公司 一种云数据机密性保护和访问控制的方法
US10075450B2 (en) * 2015-05-29 2018-09-11 Rockwell Automation Technologies, Inc. One time use password for temporary privilege escalation in a role-based access control (RBAC) system
US9774586B1 (en) * 2015-08-31 2017-09-26 EMC IP Holding Company LLC Dynamic authorization of users in a multi-tenant environment using tenant authorization profiles

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546161A (zh) * 2010-12-08 2012-07-04 索尼公司 可撤销的基于密文政策的属性基密码方法、设备和系统
CN103152322A (zh) * 2013-01-28 2013-06-12 中兴通讯股份有限公司 数据加密保护方法及系统
CN103107992A (zh) * 2013-02-04 2013-05-15 杭州师范大学 面向云存储加密数据共享的多级权限管理方法
CN103107889A (zh) * 2013-02-06 2013-05-15 中电长城网际系统应用有限公司 一种可搜索的云计算环境数据加密存储系统和方法
CN103618729A (zh) * 2013-09-03 2014-03-05 南京邮电大学 一种应用于云存储的多机构层次化属性基加密方法
KR101464727B1 (ko) * 2013-10-15 2014-11-27 순천향대학교 산학협력단 속성기반 암호를 이용한 클라우드 데이터 접근제어 시스템 및 방법
CN104836790A (zh) * 2015-03-30 2015-08-12 西安电子科技大学 基于属性加密和时间戳的链式存储细粒度访问控制模型

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于属性加密的细粒度动态云访问控制研究";李淑梅;《中国优秀硕士学位论文全文数据库信息科技辑》;20150815(第2015年08期);第2.3节 *

Also Published As

Publication number Publication date
US20180041520A1 (en) 2018-02-08
WO2017036190A1 (zh) 2017-03-09
CN106487763A (zh) 2017-03-08
US10250613B2 (en) 2019-04-02

Similar Documents

Publication Publication Date Title
CN106487763B (zh) 一种基于云计算平台的数据访问方法及用户终端
CN111191286B (zh) Hyperledger Fabric区块链隐私数据存储与访问系统及其方法
KR101371608B1 (ko) Dbms 및 데이터베이스에서 암호화 방법
CN109587101B (zh) 一种数字证书管理方法、装置及存储介质
US10911538B2 (en) Management of and persistent storage for nodes in a secure cluster
US20060232826A1 (en) Method, device, and system of selectively accessing data
US20140281520A1 (en) Secure cloud data sharing
CN109450633B (zh) 信息加密发送方法及装置、电子设备、存储介质
CN106992851B (zh) 基于TrustZone的数据库文件口令加解密方法、装置及终端设备
CN113228011A (zh) 数据共享
CN102420836A (zh) 业务信息系统的登录方法以及登录管理系统
CN103763319A (zh) 一种移动云存储轻量级数据安全共享方法
US10320777B2 (en) Access to data stored in a cloud
US20150143107A1 (en) Data security tools for shared data
CN109039997B (zh) 密钥获得方法、装置及系统
US8650275B2 (en) Requester-side distributed ID management device, provider-side distributed ID management device, distributed ID management system, and provider-side distributed ID management method
CN108494724B (zh) 基于多授权机构属性加密算法的云存储加密系统
CN111917711B (zh) 数据访问方法、装置、计算机设备和存储介质
CN110011807A (zh) 一种关键信息维护方法及系统
CN109067868A (zh) 一种用于对云数据存储的方法和系统
CN114679340A (zh) 一种文件共享方法、系统、设备及可读存储介质
CN110830252B (zh) 数据加密的方法、装置、设备和存储介质
CN113468584A (zh) 一种信息管理方法、装置、电子设备及存储介质
KR20170107818A (ko) 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법
Feng et al. Secure data sharing solution for mobile cloud storage

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant