CN106612321B - 云存储中一种访问权限管理方法 - Google Patents

Abstract

云存储中一种访问权限管理方法，将待存储的数据F分割成n份不同的数据块，上传到云空间，首先对数据块加密，然后用传输算法对数据进行计算，获得数据的访问信息和位置信息；当用户权限变更后，重新选择访问结构信息表达的数据块，即重新动态抽取数据块原来的加密的数据和新的访问结构树进行重新构造数据的访问信息，然后将新的信息存储到云服务器，并记录位置信息；并删除原来的访问信息和位置信息。有权用户还是能通过验证继续访问数据属主共享的信息，而无权用户由于其用户不能提取数据和解密数据。本发明在确保云存储的强安全性的前提下，大大降低了因权限改变而造成的计算代价和传输代价；本发明计算简单、耗时短，将显著提高工作效率。

Description

云存储中一种访问权限管理方法

技术领域

本发明涉及云计算中共享文件访问权限管理领域。

背景技术

云技术发展，越来越多人将信息上传到云端。为了解决信息安全问题，各种加密算法应运而生，但是访问权限更改的问题也极大的影响到了信息安全，如何在减小用户由于权限更改所付出的代价，降低用户权限更改的复杂程度，成为了一个研究热点。

在现有研究中，完全重加密技术建立于访问权限的撤销机制上，在用户将数据信息上传至云存储服务器之前系统自动对用户的数据信息重新加密。在用户行使权限更改权利时，用户自己再对上传的数据信息重新加密。如此虽然确保了云存储服务器中存储数据信息的安全，可是完全重加密技术同时也提高了对计算与带宽性能的要求，给云存储服务的发展带来了新的难题；懒惰重加密技术的权限撤销机制主要是想减少完全重加密的代价，可是以这种加密方式存储在云存储服务器中的数据信息其安全保障能力有所下降，这种机制目前只可以在用户访问权限管理不严的情况下使用。

本发明方法提出一种以ABE密文访问控制技术为原始方案的动态控制重新加密的云存储权限控制方案，该方法将数据分割成数据块，计算其完整性度量参数，兼容各种加密方法进行加密，动态抽取某数据块进行重新加密，然后传输、重构等步骤进行权限的重新管理。

发明内容

针对现有技术的上述不足，本发明提出了云存储中一种访问权限管理方法。

为解决以上问题，本发明提出了以下技术方案：

将待存储的数据F分割成n份不同的数据块，处理后上传到云空间，首先对数据块加密，然后用传输算法对数据进行计算，获得数据的访问信息和位置信息；当用户权限变更后，重新选择访问结构信息表达的数据块，即重新动态抽取数据块原来的加密的数据和新的访问结构树进行重新构造数据的访问信息，然后将新的信息存储到云服务器，并记录位置信息；并删除原来的访问信息和位置信息。有权用户还是能通过验证继续访问数据属主共享的信息，而无权用户由于其用户不能提取数据和解密数据。

云存储中一种访问权限管理方法，包括如下步骤：

步骤1：数据加密。

步骤2：传输算法执行数据上传。

步骤3：用户权限变更。

步骤4：数据访问算法。

步骤5：数据重构。

本发明的有益效果是：

1、本发明在确保云存储的强安全性的前提下，大大降低了因权限改变而造成的计算代价和传输代价。

2、本发明计算简单、耗时短，显著的提高了工作效率。

具体实施方式

云存储中一种访问权限管理方法，其具体的实施步骤如下：

步骤1：数据加密

数据属主在将数据上传之前，先将数据进行处理，对于即将上传的数据F，首先，将其按照字节长度划分为n段数据块，即：

F＝(f₁，f₂，...f_i，...，f_n)

其中1≤i≤n，每个数据块的数据有t个字节，则文件总大小为G，数据划分好以后，计算每一个文件块的哈希值，得到数据完整性度量参数F_t：

随机选取一个临时密钥K‘，K‘∈Z_P，设E表示加密运算，K为加密密钥，加密后的数据块用s_i表示，则有：

密钥

密文

步骤2：传输算法执行数据上传

数据进行分割处理，重新加密后，获得了机密数据S＝{s_i}及密钥K后，数据要上传到云服务器，上传算法如下：

随机选取密钥K’‘，K’‘∈Z_P，随机选取s_i，1≤i≤n作为动态数据，对数据进行加密，C标识密文，C＝{c_i}，加密算法为：

并计算CK＝E′_T(K+K’‘)，其中E′标识基于ABE算法的一种加密算法，T表示访问控制结构模型；将CK、c_i、s_i，1≤i≤n一起传输到云存储空间并记录存储位置信息URL。

步骤3：用户权限变更

当用户发生变化时候，数据属主需要更改访问权限，权限受访问结构树和CK、c_i＝E_K’‘(s_i)控制，在本方法中执行以下算法：

用户将URL信息发送到云端，云端返回CK和c_i，CK＝E′_T(K+K’‘)，c_i＝E_K’‘(s_i)，逆向计算，解得密钥信息K、K’‘和s_i，在随机选取K₁∈Z_p作为临时密钥，新的访问结构树为T‘，计算：

CK‘＝E′_T‘(K+K₁)

在随机抽取s_j(j≠i)计算：

然后用新生成的CK‘、c_j、s_j上传到云服务器，记录新的URL信息，并删除原来的CK、c_i、s_i。

步骤4：数据访问算法

变更权限后，有权用户访问数据时候，先提供私钥信息和URL信息，依据用户提供的URL信息，从云服务器中取得CK‘、c_j，如果用户的私钥特征集合不满足访问控制树，则提取失败，满足的话，依据CK‘、c_j，执行逆向运算，解得密钥信息，然后依据密钥信息重构数据。

步骤5：数据重构

用户具有合法的访问权限后，能够依照URL信息和私钥提取解得密钥信息K和K_l，然后提取出加密数据块s₁，s₂，…s_n，然后计算：

由于h(f_i)＝hash(f_i)，执行哈希算法逆运算，还原数据块f_i数据，在还原数据

F＝(f₁，f₂，...f_i，...，f_n)

访问权限变更后，无权用户不能通过原来的私钥信息和URL提取到数据变更后的数据，并且不能执行解密。

Claims (1)

1.云存储中一种访问权限管理方法，本发明涉及云计算中共享文件访问权限管理领域，其特征是，包括如下步骤：

步骤1：数据加密

步骤2：传输算法执行数据上传

步骤3：用户权限变更

步骤4：数据访问算法

步骤5：数据重构，

步骤1中的具体过程为：

数据属主在将数据上传之前，先将数据进行处理，对于即将上传的数据F，首先，将其按照字节长度划分为n段数据块，即：

F＝(f₁，f₂，...f_i，...，f_n)

其中1≤i≤n，每个数据块的数据有t个字节，则文件总大小为G_F，数据划分好以后，计算每一个文件块的哈希值，得到数据完整性度量参数F_t，并定义函数h(f_i)＝hash(f_i)：

随机选取一个临时密钥K‘，K‘∈Z_P，设E表示加密运算，K为加密密钥，加密后的数据块用S_i表示，则有：

密钥

密文1≤i≤n.

步骤2中的具体计算过程为：

数据进行分割处理，重新加密后，获得了机密数据S＝{s_i}及密钥K后，数据要上传到云服务器，上传算法如下：

随机选取密钥K’‘，K’‘∈Z_P，随机选取S_i，1≤i≤n作为动态数据，对数据进行加密，C标识密文，C＝{c_i}，加密算法为：

c_i＝E_K’‘(s_i)

并计算CK＝E′_T(K+K’‘)，其中E′标识基于ABE算法的一种加密算法，T表示访问控制结构模型；将CK、c_i、s_i，1≤i≤n一起传输到云存储空间并记录存储位置信息URL，

步骤3中的具体计算过程为：

当用户发生变化时候，数据属主需要更改访问权限，权限受访问结构树和CK、c_i＝E_{K’ ‘}(s_i)控制，在本方法中执行以下算法：

用户将URL信息发送到云端，云端返回CK和C_i，CK＝E′_T(K+K’‘)，c_i＝E_K’‘(s_i)，逆向计算，解得密钥信息K、K’‘和S_i，随机选取K₁∈Z_p作为临时密钥，新的访问结构树为T‘，计算：

CK‘＝E′_T‘(K+K₁)

在随机抽取s_j(j≠i)计算：

然后用新生成的CK‘、c_j、s_j上传到云服务器，记录新的URL信息，并删除原来的CK、c_i、S_i，

步骤4中的具体过程为：

变更权限后，有权用户访问数据时候，先提供私钥信息和URL信息，依据用户提供的URL信息，从云服务器中取得CK‘、c_j，如果用户的私钥特征集合不满足访问控制树，则提取失败，若满足，依据CK‘、c_j，执行逆向运算，解得密钥信息，然后依据密钥信息重构数据，

步骤5中的具体计算过程为：

用户具有合法的访问权限后，能够依照URL信息和私钥提取解得密钥信息K和K₁，然后提取出加密数据块S₁，S₂，…S_n，然后计算：

由于h(f_i)＝hash(f_i)，执行哈希算法逆运算，还原数据块f_i数据，还原数据F＝(f₁，f₂，...f_i，...，f_n)，

访问权限变更后，无权用户不能通过原来的私钥信息和URL提取到数据变更后的数据，并且不能执行解密。