CN110650139B - 云平台的资源访问控制方法以及系统 - Google Patents
云平台的资源访问控制方法以及系统 Download PDFInfo
- Publication number
- CN110650139B CN110650139B CN201910909912.3A CN201910909912A CN110650139B CN 110650139 B CN110650139 B CN 110650139B CN 201910909912 A CN201910909912 A CN 201910909912A CN 110650139 B CN110650139 B CN 110650139B
- Authority
- CN
- China
- Prior art keywords
- user
- access
- cloud platform
- resource
- authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000013475 authorization Methods 0.000 claims description 87
- 238000012790 confirmation Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 101100521102 Escherichia coli (strain K12) priC gene Proteins 0.000 description 7
- 238000004590 computer program Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种云平台的资源访问控制方法以及系统,包括:接收访问用户发送的云平台访问操作请求;根据云平台访问操作请求向所在的区块链平台发送包含欲访问资源信息对应的标识符和访问用户的用户钱包地址的第一权限查询请求;并接收区块链平台根据第一权限查询请求返回的第一查询结果;若对欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,则向访问用户发送允许访问指令,并将访问用户对欲访问资源的访问记录发布至区块链平台。本发明可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
Description
技术领域
本发明涉及区块链技术领域,尤其涉及一种云平台的资源访问控制方法以及系统。
背景技术
云计算是一种新的运作模式,支持无处不在的计算,通过网络为用户提供对可配置的共享计算资源池的按需访问,实现不受时间地点限制的便捷使用,在各行各业中逐渐兴起,越来越多用户选择购买云服务来对数据进行存储和管理。随着云计算规模化和集约化的发展,云安全问题成为云计算领域亟待突破的重要问题。传统技术中的云访问控制中,云平台充当访问控制的可信中心,身份认证、授权、访问许可以及审计等均由云平台的内部管理员以及通过可信中心中的数据库完成,一定程度上容易造成用户的数据被篡改和被黑客攻击等安全隐患,使得用户的隐私造泄露或者资源被非法访问和使用等。
发明内容
本发明的目的在于针对传统技术中的不足,提供一种云平台的资源访问控制方法以及系统。
在一个实施例中,本发明提供了一种云平台的资源访问控制方法,应用于云平台,方法包括:
接收访问用户发送的云平台访问操作请求;云平台访问操作请求包括欲访问资源的信息、对欲访问资源的请求访问操作权限、以及访问用户的用户钱包地址;
根据云平台访问操作请求向所在的区块链平台发送包含欲访问资源的信息对应的标识符和访问用户的用户钱包地址的第一权限查询请求;并接收区块链平台根据第一权限查询请求返回的第一查询结果;第一查询结果包括访问用户对欲访问资源的允许访问操作权限;
若对欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,则向访问用户发送允许访问指令,并将访问用户对欲访问资源的访问记录发布至区块链平台。
在其中一个实施例中,在接收访问用户发送的云平台访问操作请求之前包括:
向区块链平台发送云平台注册请求;
接收区块链平台根据云平台注册请求生成的云平台钱包地址公私钥对,以及区块链平台根据云平台钱包地址公私钥对中公钥生成的云平台钱包地址;
将包含自身的云平台信息和云平台钱包地址的云平台注册信息发布至区块链平台。
在其中一个实施例中,还包括:
接收宿主用户发送的包含上传资源的资源注册请求;
根据资源注册请求返回上传资源对应的资源信息给宿主用户,以使宿主用户将资源上传至云平台的资源注册信息发布至区块链平台;资源注册信息包括上传资源对应的资源信息和对应的访问操作权限。
在其中一个实施例中,还包括:
接收访问用户发送的授权请求;授权请求包括待授权访问资源的信息、对应的待授权访问操作权限、授权用户的用户钱包地址、以及访问用户的用户钱包地址;
根据授权请求向区块链平台发送包含授权用户的用户钱包地址和待授权访问资源的信息对应的标识符的第二权限查询请求,并接收区块链平台根据第二权限查询请求发送的第二查询结果;第二查询结果包括授权用户对待授权访问资源的授权访问操作权限;
若对应的待授权访问操作权限未超出授权访问操作权限的范围,则根据授权请求向授权用户发送允许授权指令,以使授权用户将待授权访问操作权限授权给访问用户的授权信息发布至区块链平台。
在其中一个实施例中,还包括:
接收授权用户发送的撤销请求;撤销请求包括欲撤销的访问操作权限、对应欲撤销访问资源的信息以及欲撤销访问用户的用户钱包地址;
根据撤销请求生成授权链查询请求并发送给区块链平台,以及接收区块链平台根据授权链查询请求返回的第三查询结果;
若判断欲撤销的访问操作权限包含在欲撤销访问用户对欲撤销访问资源的访问操作权限范围内,且第三查询结果表示为直接授权,则向授权用户发送确认撤销指令,以使授权用户将对欲撤销访问用户的权限撤销信息发布至区块链平台。
在其中一个实施例中,还包括:
若第三查询结果表示为间接授权,则根据授权用户、欲撤销访问用户与下级被授权用户之间的层级关系按照预设的撤销顺序,向拥有欲撤销的访问操作权限的下级被授权用户对应的上级被授权用户发送撤销指令,以使上级被授权用户撤销对应的下级被授权用户的欲撤销的访问操作权限;
在欲撤销访问用户的所有下级被授权用户完成对欲撤销的访问操作权限的撤销后,向授权用户发送确认撤销指令。
另一方面,本发明实施例还提供了一种云平台的资源访问控制方法,应用于用户终端,方法包括:
向云平台发送云平台访问操作请求;云平台访问操作请求包括欲访问资源的信息、对欲访问资源的请求访问操作权限、以及访问用户的用户钱包地址;
接收云平台发送的允许访问指令,并对欲访问资源进行访问操作;允许访问指令为云平台向区块链平台查询到对欲访问资源的请求访问操作权限未超出对欲访问资源的允许访问操作权限范围时发送的指令。
在其中一个实施例中,还包括:
向区块链平台发送用户注册请求;
接收区块链平台根据用户注册请求生成的用户钱包地址公私钥对,以及根据用户钱包地址公私钥对中公钥生成的用户钱包地址。
在其中一个实施例中,向云平台发送云平台访问操作请求包括:
根据访问用户的用户钱包地址以及获取到的访问用户输入的用户钱包地址公私钥对中的私钥,对访问用户进行身份验证,若身份验证通过则向云平台发送云平台访问操作请求。
另一方面,本发明还提供了一种云平台的资源访问控制系统,包括用户终端、云平台、以及与用户终端和云平台连接的区块链平台;
云平台用于执行应用于云平台的资源访问控制方法;
用户终端用于执行应用于用户终端的云平台的资源访问控制方法。
本发明的云平台的资源访问控制方法以及系统,利用区块链技术将云平台去中心化,基于区块链平台中数据的不可篡改性和公开性,当访问用户请求访问云平台的资源时,云平台向所在的区块链平台进行相应的权限查询,若欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,则允许访问用户访问云平台的欲访问资源以进行相应的访问操作。进一步地,通过监听访问用户的访问操作以向区块链平台发布访问用户对资源进行访问操作的访问记录。本发明各实施例根据通过全网验证的区块链平台存储的数据实现访问用户对云平台资源的访问操作控制,同时将访问记录的信息发布到区块链平台上,可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对本发明保护范围的限定。在各个附图中,类似的构成部分采用类似的编号。
图1示出了传统技术中云平台访问控制的结构示意图;
图2示出了本发明实施例的云平台的资源访问控制系统的结构示意图;
图3示出了本发明实施例应用于云平台的云平台的资源访问控制方法的流程示意图;
图4示出了本发明实施例应用于云平台的云平台的资源访问控制方法中的访问示意图;
图5示出了本发明实施例应用于云平台的云平台的资源访问控制方法中云平台注册的示意图;
图6示出了本发明实施例应用于云平台的云平台的资源访问控制方法中资源注册的示意图;
图7示出了本发明实施例应用于云平台的云平台的资源访问控制方法中用户授权的流程示意图;
图8示出了本发明实施例应用于云平台的云平台资源的访问控制方法中撤销权限的流程示意图;
图9示出了本发明实施例应用于用户终端的云平台的资源访问控制方法的流程示意图;
图10示出了本发明实施例应用于用户终端的云平台的资源访问控制方法中用户注册的流程示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
在下文中,可在本发明的各种实施例中使用的术语“包括”、“具有”及其同源词仅意在表示特定特征、数字、步骤、操作、元件、组件或前述项的组合,并且不应被理解为首先排除一个或更多个其它特征、数字、步骤、操作、元件、组件或前述项的组合的存在或增加一个或更多个特征、数字、步骤、操作、元件、组件或前述项的组合的可能性。
此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
除非另有限定,否则在这里使用的所有术语(包括技术术语和科学术语)具有与本发明的各种实施例所属领域普通技术人员通常理解的含义相同的含义。所述术语(诸如在一般使用的词典中限定的术语)将被解释为具有与在相关技术领域中的语境含义相同的含义并且将不被解释为具有理想化的含义或过于正式的含义,除非在本发明的各种实施例中被清楚地限定。
如图1所示,传统技术中云平台的访问控制框架中,包括访问控制服务器140、数据所有者110、访问者120、系统管理员130,其中,访问控制服务器140运行云服务提供商提供的云平台。系统管理员130是访问控制服务器140的管理员,可对访问控制数据库进行管理操作。假定如图1的系统,当访问者120想访问文件则必须有相应的访问权限才能访问,系统管理员130负责管理访问控制策略,操作访问控制数据库。针对上述情况,云计算环境下的所有访问控制,可能面临以下两个问题:
1、外部恶意攻击者对可信中心攻击。外部攻击者通过攻击可信中心,篡改访问控制数据库,比如添加给黑客的授权,使得黑客成为合法的访问用户,当黑客向云服务提供商请求访问某文件时,允许访问。2、内部管理人员的攻击。如系统管理员130直接访问数据库,恶意篡改授权信息,例如增加未授权用户的访问控制,从而该用户可向云服务提供商请求并成功访问数据文件。
针对上述问题,如图2所示,本发明实施例的云平台的资源访问控制方法运行于云平台的资源访问控制系统,包括三个主要实体,云平台210、区块链平台230以及用户终端220。
云平台210负责给用户提供资源存储。每个资源所有者可以将自己的资源存储到云平台上,云平台通过判断访问用户的访问操作权限,返回相应指令,即只有经过授权的访问用户才可以成功访问资源。区块链平台230为去中心化的共享数据账本。利用区块链平台的时序性、公开透明性和不可篡改性,将区块链平台230当成分布式的存储访问操作权限和访问策略等数据的数据库。用户终端220包括两种用户终端,即资源所有者的用户终端和访问用户的用户终端。资源所有者可以将资源上传到云平台,并将资源的访问策略和相关授权信息发布到区块链平台230上。访问用户可向云平台发起云平台资源访问请求,云平台210通过区块链平台230查询到满足条件后即可允许访问用户访问对应的资源。需要说明的是,云平台210和用户终端220需预先安装好运行本发明的云平台的资源访问控制方法的客户端。
参见图3,在一个实施例中,本发明提供了一种云平台的资源访问控制方法,应用于云平台,包括:
步骤S310:接收访问用户发送的云平台访问操作请求;云平台访问操作请求包括欲访问资源的信息、对欲访问资源的请求访问操作权限、以及访问用户的用户钱包地址。
用户钱包地址是用户的身份标识,是用户在向区块链平台注册时,区块链平台给予的钱包地址。访问用户和云平台均为注册到区块链平台上的区块链节点。欲访问资源的信息包括该资源对应的宿主用户的用户钱包地址、表示该资源的唯一标识符、该资源的资源名、以及该资源的资源定位符等。对欲访问资源的请求访问操作权限可以但不局限于资源的上传、下载、迁移或者删除中的任一种或组合。
步骤S320:根据云平台访问操作请求向所在的区块链平台发送包含欲访问资源信息对应的标识符和访问用户的用户钱包地址的第一权限查询请求;并接收区块链平台根据第一权限查询请求返回的第一查询结果;第一查询结果包括访问用户对欲访问资源的允许访问操作权限。
该步骤中,欲访问资源的信息对应的标识符可以为欲访问资源的唯一标识符,进一步地,为了保护资源信息不泄露,也可以采用欲访问资源对应的哈希值。该哈希值为区块链平台的用户在将资源注册到云平台上时,云平台提取该上传资源的资源信息的摘要计算得到的数值。进一步地,区块链平台中,每一位用户的用户终端可同步数据保存到自己本地数据库成为区块链的一个节点,且可选择对应节点ID号,该区块链平台对应一个唯一区块链ID号。进一步地,第一权限查询请求还可以包括区块链平台的区块链ID号以及任一节点ID号,用以表示接入的区块链平台和对应的接入节点,以在对应的区块链平台中的某一节点进行查询。
区块链平台中的每一区块链节点存储有对该访问用户进行相关权限授权的授权记录,因此,可以将访问用户作为交易的接收方以及将欲访问资源信息对应的标识符作为索引,在区块链平台通过区块链交易查询接口函数查询访问用户对欲访问资源的允许访问操作权限。第一查询结果还可以包括欲访问资源的信息,进一步地,第一查询结果为加密后的查询数据,云平台接收到该第一查询结果后进行解密。
本发明实施例的云平台的资源访问控制方法,无论是云平台的系统管理员用户还是普通的外部访问用户,都需通过区块链平台进行权限查询,可防止内部系统管理员或者其他黑客攻击云平台,对云平台的资源进行非法访问操作。
步骤S330:若对欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,则向访问用户发送允许访问指令,并将访问用户对欲访问资源的访问记录发布至区块链平台。
对欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,表示该请求访问操作权限包含在允许访问操作权限中。云平台对访问用户对该欲访问资源的访问操作进行监听,当访问用户成功对该欲访问资源进行访问操作后,将访问记录发布至区块链平台。该访问记录包括访问用户的用户钱包地址、欲访问资源的信息、对欲访问资源进行的访问操作以及访问时间。进一步地,为了防止信息泄露,保护用户的隐私,可将对欲访问资源进行的访问操作以及访问时间进行加密后传输。
本发明实施例的云平台的资源访问控制方法,利用区块链平台技术将云平台去中心化,基于区块链平台中数据的不可篡改性和公开性,当访问用户请求访问云平台的资源时,云平台向所在的区块链平台进行相应的权限查询,若欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,则允许访问用户访问云平台的欲访问资源以进行相应的访问操作。进一步地,通过监听访问用户的访问操作以向区块链平台发布访问用户对资源进行访问操作的访问记录。本发明实施例通过全网验证的区块链平台存储的数据实现访问用户对云平台资源的访问操作控制,同时将访问记录的信息发布到区块链平台上,可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
云平台可预先存储有一对非对称云平台公私钥对,向全网公开其中的公钥。访问用户可利用该公钥对云平台访问操作请求加密后发送给云平台;或访问用户可先利用对称密钥对云平台访问操作请求加密后,再利用该公钥加密该对称密钥,随后将该加密后的对称密钥随加密后的云平台访问操作请求发送给云平台。云平台接收到该云平台访问操作请求后利用自身的非对称私钥解密该请求。
参见图4,作为一优选的实施例,以云平台侧进行描述,E()表示加密函数,D()表示解密函数,访问用户向云平台进行资源访问操作的步骤如下:
步骤S410:接收访问用户发送的云平台访问操作请求;云平台访问操作请求包括访问用户的用户钱包地址Addruser、欲访问资源的信息ResInfo以及对欲访问资源的请求访问操作权限resCAP。
具体地,E(Ks4,Addruser||ResInfo||resCAP)||E(KpubC,Ks4)表示访问用户利用对称密钥Ks4将云平台访问操作请求进行加密,再使用云平台公开的非对称云平台公私钥对中的公钥KpubC加密Ks4,随后将加密后的Ks4随加密后的云平台访问操作请求发送给云平台,从而进一步保证数据不被篡改和盗取,保护用户的隐私。云平台接收到之后利用云平台的非对称云平台公私钥对中的私钥KpriC解密得到对称密钥Ks4,再利用对称密钥Ks4解密云平台访问操作请求得到Addruser、ResInfo、resCAP。
步骤S420:向区块链平台发送包含Addruser和欲访问资源的信息对应的标识符的第一权限查询请求。
在区块链平台上查询访问用户Addruser请求的欲访问资源的信息有关的权限授权信息,如有查询到则执行步骤S430,否则可返回访问失败信息。该步骤中可包含欲访问资源的信息中的唯一标识符,进一步地,为了保护资源信息不泄露,可采用欲访问资源的信息对应的哈希值hash_resID表示。其中,Addruser||hash_resID表示访问用户的用户钱包地址和欲访问资源的标识符。
步骤S430:接收区块链平台返回的第一查询结果。
第一查询结果包括欲访问资源的信息ResInfo和resCAP1_S,即ResInfo||resCAP1_S,resCAP1_S表示访问用户Addruse对欲访问资源的允许访问操作权限,进一步地,为了防止信息泄露,该resCAP1_S是加密后的数据。
步骤S440:判断访问用户Addruser的欲访问操作权限resCAP是否超出resCAP1_S的范围,若没有则执行步骤S450,否则结束访问。
resCAP1_S为用云平台的非对称云平台公私钥对中的公钥KpubC加密后的数据,因此,D(KpriC,resCAP1_S)表示利用私钥KpriC解密resCAP1_S。
步骤S450:发送允许访问指令Response_accessInfo给访问用户,并对访问用户的访问操作进行监听。
步骤S460:若监听到访问用户对访问资源进行了访问操作,则将访问用户对欲访问资源的访问记录发布至区块链平台。
访问记录包括访问用户的用户钱包地址Addruser、欲访问资源的信息ResInfo、加密后的对欲访问资源的访问操作resCAP_S、加密后的访问时间accessTime_S以及欲访问资源的标识符hash_resID。具体地,hash_resID||E(Ks4,Addruser||ResInfo||resCAP_S||accessTime_S)表示云平台预先利用对称密钥Ks4加密访问记录的内容,进而进一步保护信息的安全。
本发明实施例的云平台的资源访问控制方法,利用区块链平台技术将云平台去中心化,基于区块链平台中数据的不可篡改性和公开性可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
参见图5,在一个具体的实施例中,在接收访问用户发送的云平台访问操作请求之前包括:
步骤S510:向区块链平台发送云平台注册请求。
云平台注册的作用是将云平台注册到区块链平台上,成为区块链平台的一个节点。云平台注册请求可用CRequest表示。
步骤S520:接收区块链平台根据云平台注册请求生成的云平台钱包地址公私钥对,以及区块链平台根据云平台钱包地址公私钥对中公钥生成的云平台钱包地址。
云平台钱包地址公私钥对中的私钥用于云平台在向区块链平台发布信息时对发布的信息进行签名,而其中的公钥向全网公开并用于使区块链节点对云平台发布的信息进行验签。
步骤S530:将包含自身的云平台信息和云平台钱包地址的云平台注册信息发布至区块链平台。
云平台信息可以但不局限于包括云平台备案号、云平台名称以及云平台地址。
本发明实施例的云平台的资源访问控制方法,云平台通过向区块链平台进行注册,接收区块链平台返回的云平台钱包地址和云平台钱包地址公私钥对,并将相关注册信息发布至区块链平台从而成为区块链中的节点。本发明实施例可利用区块链技术将云平台去中心化,进而通过区块链的分布式数据存储的不可篡改性和公开性,防止云平台的资源被非法访问操作,使得用户信息遭到泄露。
其中,CRequest表示云平台注册请求。进一步地,在步骤S520之后还可以包括,接收区块链平台同步的交易信息数据BlockData,从而成为区块链平台中存储有完整数据的数据库。
如图5,进一步地,由于云平台需要将用户对资源的访问操作等相关交易信息发布到区块链平台上并提供隐私保护,因此,云平台可预存有一对非对称云平台公私钥对,该私钥用KpriC表示,公钥用KpubC表示并公开。进一步地,为了减小云平台的信息遭到攻击的风险,E(Ks1,BcRegInfo||Addrcloud)||E(KpubC,Ks1)||BlockData表示区块链平台可利用对称密钥Ks1对云平台钱包公私钥对BcRegInfo和云平台钱包地址Addrcloud加密,再利用公钥KpubC加密对称密钥Ks1,然后将加密后的对称密钥Ks1随加密后的云平台钱包公私钥对和云平台钱包地址一起发送给云平台。进一步地,将存储的交易信息BlockData同步给云平台。其中,CloudInfo表示云平台信息。而云平台钱包公私钥对BcRegInfo中包括私钥Kpri_cloud以及公钥Kpub_cloud。
参见图6,在一个具体的实施例中,还包括:
步骤S610:接收宿主用户发送的包含上传资源的资源注册请求。
资源注册的作用是指区块链平台的用户将资源上传到云平台上,并同时发布资源注册的相关信息。资源注册请求包括上传资源的资源定位符resUpUrl、上传资源resUpFile、以及宿主用户的用户钱包地址。其中,宿主用户表示为上传资源的所有者。
步骤S620:根据资源注册请求返回上传资源对应的资源信息给宿主用户,以使宿主用户将资源上传至云平台的资源注册信息发布至区块链平台;资源注册信息包括上传资源对应的资源信息和对应的访问操作权限。
上传资源对应的资源信息ResInfo包括宿主用户的用户钱包地址、上传资源的唯一标识符resID、上传资源的资源名resName以及上传资源的资源定位符resUpUrl。该上传资源的唯一标识符resID可为云平台所分配的标识符,该上传资源的资源名resName为云平台根据宿主用户上传资源的文件的名称所返回的命名。对应的访问操作权限resCAP2包括对资源的访问方式,如资源的上传、下载、迁移以及删除等,还可以包括对资源的访问控制策略如DAC(Discretionary Access Control,自主访问控制模型)、BLP(Bell-LaPadula,BLP模型)、RBAC(Role Based Access Control,基于角色的访问控制模型)等中的任一种,对资源访问操作的约束和条件、以及对资源的访问时间间隔(包含访问的起止时间和结束时间)。
本发明实施例的云平台的资源访问控制方法,基于区块链平台中数据的不可篡改性和公开性,对资源的有关的访问操作权限都存储在区块链平台的各节点中,云平台不存在可信任中心。由于区块链平台中的数据是经过全网验证的,因此可防止系统管理员和外部人员试图恶意非法篡改权限数据。
进一步地,E(ks3,resUpFile||resUpUrl)||E(KpubC,ks3)表示宿主用户先利用对称密钥ks3进行对资源注册请求中上传资源resUpFile和上传资源的资源定位符resUpUrl加密,然后利用云平台的公钥KpubC加密对称密钥ks3,再将加密后的对称密钥ks3随加密后的资源注册请求发送给云平台,进而保证信息的隐私安全。云平台在接收到该资源注册请求后,利用自身的私钥KpriC进行解密得到对称密钥ks3,再利用对称密钥ks3解密该资源注册请求。E(ks3,ResInfo)表示云平台利用对称密钥ks3将上传资源的信息ResInfo加密后返回给宿主用户。
进一步地,资源注册信息还包括通过提取上传资源的资源信息摘要得到的哈希值hash_resID,用以作为在区块链平台上查询资源相关信息时的索引。其中,为了加强信息安全的可靠性。hash_resID||ResInfo||E(KpubC,resCAP2)表示宿主用户在发布资源注册信息时还可利用云平台的公钥KpubC对访问操作权限进行加密,并将包括hash_resID、ResInfo和resCAP2的资源注册信息发布至区块链平台。
参见图7,在一个具体的实施例中,还包括:
步骤S710:接收访问用户发送的授权请求;授权请求包括待授权访问资源的信息、对应的待授权访问操作权限、授权用户的用户钱包地址、以及访问用户的用户钱包地址。
待授权访问资源的信息可包括资源的唯一标识符。具体地,若访问用户再次请求权限授权,则再次发送的授权请求中对应的待授权访问操作权限中除包含本次的待授权访问操作权限外,还包含上次已授权的访问操作权限,即对上次已授权的访问操作权限再进行重新授权。
步骤S720:根据授权请求向区块链平台发送包含授权用户的用户钱包地址和待授权访问资源的信息对应的标识符的第二权限查询请求,并接收区块链平台根据第二权限查询请求发送的第二查询结果;第二查询结果包括授权用户对待授权访问资源的授权访问操作权限。
该待授权访问资源的信息对应的标识符可以为上述步骤S710中的唯一标识符,也可以为待授权访问资源的信息对应的哈希值。从而,可以待授权访问资源的信息的标识符以及授权用户的用户钱包地址为索引,在区块链平台通过区块链交易查询接口函数查询授权用户是否为该待授权访问资源的宿主用户,并返回第二查询结果。具体地,如是宿主用户则返回的第二查询结果中的授权访问操作权限包括授权用户对于该待授权访问资源的所有访问操作权限,如不是宿主用户则返回的第二查询结果中授权访问操作权限包含授权用户对于该待授权访问资源所被授权的访问操作权限。其中,为了确保准确查询到授权用户对待授权访问资源的访问操作权限,在区块链平台中查询的是授权用户关于该待授权访问资源的最新一笔交易信息,即通过比较交易的时间戳以查询交易时间最近的一笔交易信息。
步骤S730:若对应的待授权访问操作权限未超出授权访问操作权限,则根据授权请求向授权用户发送允许授权指令,以使授权用户将待授权访问操作权限授权给访问用户的授权信息发布至区块链平台。
允许授权指令包括访问用户的用户钱包地址、待授权访问资源的唯一标识符、以及对应的待授权访问操作权限。授权信息包括授权用户的用户钱包地址、访问用户的用户钱包地址、待授权访问资源的信息、授权时间、以及对应的待授权访问操作权限。具体地,授权用户将待授权访问操作权限授权给访问用户的步骤中包括,授权用户选择访问用户在区块链平台中的节点ID号,随后以此节点ID号为区块接入点向访问用户进行授权。
本发明实施例的云平台的资源访问控制方法,所有的授权信息存储在区块链平台中,无论是系统管理员或是外部用户在访问云平台的资源时,均需先完成相关授权并通过全网验证,从而可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步地防止用户的隐私泄露。
进一步地,访问用户请求的权限授权分为直接授权和间接授权。直接授权为授权用户是对待授权访问资源的宿主用户,即宿主用户直接向访问用户授权。间接授权为已获得授权的授权用户向访问用户授权,即授权用户不是宿主用户。当为间接授权时,授权用户授权成功后还将授权信息发送给宿主用户。
进一步地,为了进一步为用户提供隐私保护,授权请求为访问用户利用对称密钥Ks5进行加密后的数据,然后利用云平台的公钥KpubC加密对称密钥Ks5,再将加密后的对称密钥Ks5随加密后的授权请求发送给云平台。云平台在接收到该授权请求后,利用自身的私钥KpriC进行解密得到对称密钥Ks5,再利用对称密钥Ks5解密该授权请求。进一步地,云平台在向授权用户发送允许授权指令时,可先利用对称密钥Ks6加密该允许授权指令,随后利用授权用户公开的公钥加密该对称密钥Ks6,并将加密后的对称密钥Ks6随加密后的允许授权指令发送给授权用户。
参见图8,在一个具体的实施例中,还包括:
步骤S810:接收授权用户发送的撤销请求;撤销请求包括欲撤销的访问操作权限、对应欲撤销访问资源的信息以及欲撤销访问用户的用户钱包地址。
对应欲撤销访问资源的信息包括该资源的唯一标识符。本实施例的权限撤销是撤销已授权用户的权限,依据的规则是谁授权谁撤销。
步骤S820:根据撤销请求生成授权链查询请求并发送给区块链平台,以及接收区块链平台根据授权链查询请求返回的第三查询结果。
授权链查询请求包括欲撤销访问资源的信息的标识符、授权用户的用户钱包地址、欲撤销访问用户的用户钱包地址,以该三者为索引通过区块链平台查询是否存在授权用户将欲撤销访问资源的相关访问操作权限授权给欲撤销访问用户,以及是否存在欲撤销访问用户将欲撤销访问资源的相关访问操作权限授权给其他下级被授权用户,若存在则继续查询该下级被授权用户是否存在将欲撤销访问资源的相关访问操作权限授权给其对应的下级被授权用户,直至查询到当前的用户没有将欲撤销访问资源的相关访问操作权限授权给其对应的下级被授权用户。即授权链查询请求用于以欲撤销访问资源的信息的标识符、授权用户的用户钱包地址、欲撤销访问用户的用户钱包地址为索引,查询以授权用户起的整条授权层级关系链。其中该标识符可以为欲撤销访问资源的唯一标识符,为了保护资源信息也可以为根据欲撤销访问资源的摘要信息得到的哈希值。
步骤S830:若判断欲撤销的访问操作权限包含在欲撤销访问用户对欲撤销访问资源的访问操作权限范围内,且第三查询结果表示为直接授权,则向授权用户发送确认撤销指令,以使授权用户将对欲撤销访问用户的权限撤销信息发布至区块链平台。
第三查询结果表示为直接授权,即授权用户的下级被授权用户为该欲撤销访问用户,该欲撤销访问用户没有下级被授权用户,即欲撤销访问用户没有将欲撤销访问资源的相关访问操作权限授权给其他用户。进一步地,云平台还需判断欲撤销的访问操作权限是否包含在欲撤销访问用户对欲撤销访问资源的访问操作权限范围内,具体地,包括在区块链平台查询欲撤销访问用户对欲撤销访问资源已有的访问操作权限从而进行判断,若在则向授权用户发送确认撤销指令,否则结束授权撤销过程。确认撤销指令包括授权用户的用户钱包地址、欲撤销访问用户的用户钱包地址、欲撤销访问资源的信息以及对应的欲撤销的访问操作。权限撤销信息包括授权用户的用户钱包地址、欲撤销用户的用户钱包地址、欲撤销访问资源的信息、对应的欲撤销的访问操作权限以及对应的撤销标志等。进一步地,授权用户接收到确认撤销指令后接入欲撤销访问用户所在的节点进行权限撤销。
本发明实施例的云平台的资源访问控制方法,可防止云平台的用户数据资源被非法访问、篡改,以及防止内部或者外部用户恶意修改用户权限导致用户无法正常访问的问题的发生。进而提高了云平台的访问控制的安全性和可信性,进一步地防止用户的隐私泄露。
进一步地,为了进一步为用户提供隐私保护,撤销请求为用户利用对称密钥Ks7进行数据加密后的数据,然后利用云平台的公钥KpubC加密对称密钥Ks7,再将加密后的对称密钥Ks7随加密后的撤销请求发送给云平台。云平台在接收到该撤销请求后,利用自身的私钥KpriC进行解密得到对称密钥Ks7,在利用对称密钥Ks7解密该撤销请求。进一步地,云平台在向授权用户发送确认撤销指令时,可先利用对称密钥Ks8加密该确认撤销指令,随后利用授权用户公开的非对称用户公私钥对的公钥加密该对称密钥Ks8,并将加密后的对称密钥Ks8随加密后的确认撤销指令发送给授权用户。
在一个具体的实施例中,还包括:
步骤S910:若第三查询结果表示为间接授权,则根据授权用户、欲撤销访问用户与下级被授权用户之间的层级关系按照预设的撤销顺序,向拥有欲撤销的访问操作权限的下级被授权用户对应的上级被授权用户发送撤销指令,以使上级被授权用户撤销对应的下级被授权用户的欲撤销的访问操作权限。
第三查询结果表示为间接授权,即返回的结果是一整条授权层级关系链,用于表示授权用户、欲撤销访问用户与下级被授权用户之间的层级关系,授权用户的下级被授权用户为该欲撤销访问用户,该欲撤销访问用户存在下级被授权用户,可能其下级被授权用户还存在其对应的下级被授权用户,即欲撤销访问用户有将欲撤销访问资源的相关访问操作权限授权给其他用户,其他用户再将欲撤销访问资源的相关访问操作权限授权给其他用户。因此,若为间接授权则按照预设的撤销顺序进行撤销,其中,预设的撤销顺序为从后往前的层级关系开始进行撤销,且若下级被授权用户拥有该欲撤销的访问操作权限则对该权限进行撤销,否则不用进行撤销。即按照预设的撤销顺序从后往前的层级关系,向拥有欲撤销的访问操作权限的下级被授权用户对应的上级被授权用户发送撤销指令。
步骤S920:在欲撤销访问用户的所有下级被授权用户完成对欲撤销的访问操作权限的撤销后,向授权用户发送确认撤销指令。
待欲撤销访问用户的所有下级被授权用户完成相关权限的撤销后,才最后撤销该欲撤销访问用户的欲撤销的访问操作权限。
本发明实施例的云平台的资源访问控制方法,可防止云平台的用户数据资源被非法访问、篡改,以及防止内部或者外部用户恶意修改用户权限导致用户无法正常访问的问题的发生。进而提高了云平台的访问控制的安全性和可信性,进一步地防止用户的隐私泄露。
参见图9,在一个实施例中,本发明还提供了一种云平台的资源访问控制方法,应用于用户终端,该方法包括:
步骤S10:向云平台发送云平台访问操作请求;云平台访问操作请求包括欲访问资源的信息、对欲访问资源的请求访问操作权限、以及访问用户的用户钱包地址。
步骤S20:接收云平台发送的允许访问指令,并对欲访问资源进行访问操作;允许访问指令为云平台向区块链平台查询到对欲访问资源的请求访问操作权限未超出对欲访问资源的允许访问操作权限范围时发送的指令。
本发明实施例的云平台的资源访问控制方法,利用区块链平台技术将云平台去中心化,基于区块链平台中数据的不可篡改性和公开性,当访问用户请求访问云平台的资源时,云平台向所在的区块链平台进行相应的权限查询,若欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,则允许访问用户访问云平台的欲访问资源以进行相应的欲访问操作。
本发明实施例通过全网验证的区块链平台存储的数据实现访问用户对云平台资源的访问操作控制,可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
参见图10,在一个具体的实施例中,还包括:
步骤S30:向所在的区块链平台发送用户注册请求。
用户注册的作用是使得用户成为区块链平台中的一个节点,用户注册请求可表示为URequest。
步骤S40:接收区块链平台根据用户注册请求生成的用户钱包地址公私钥对,以及根据用户钱包地址公私钥对中公钥生成的用户钱包地址。
用户钱包地址公私钥对可用BcReInfo1表示,而其中的私钥可用Kpri_user表示,公钥用Kpub_user表示。私钥Kpri_user用于用户向区块链平台发布信息时对发布的信息进行签名,而公钥Kpub_user向全网公开并用于使区块链节点对用户发布的信息进行验签。其中,用户钱包地址为用户的身份标识。
进一步地,在步骤S40之后还可以包括,接收区块链平台同步的交易信息数据BlockData,从而成为区块链平台中存储有完整数据的数据库。
如图10,进一步地,为了进一步保护用户隐私,用户终端预存有一对非对称用户公私钥对,该私钥用KpriU表示,公钥用KpubU表示并公开。具体地,E(Ks2,BcReInfo1||Addruser)||E(KpubU,Ks2)||BlockData表示区块链平台可先利用对称密钥Ks2对用户钱包地址公私钥对BcReInfo1和用户钱包地址Addruser加密后,再利用公钥KpubU加密对称密钥Ks2,然后将加密后的对称密钥Ks2随加密后的用户钱包地址公私钥对、用户钱包地址以及存储的数据BlockData发送给注册的用户。进而,用户接收到后先利用自身的私钥KpriU解密得到对称密钥Ks2,再利用对称密钥Ks2解密得到用户钱包地址公私钥对和用户钱包地址。
本发明实施例的云平台的资源访问控制方法,利用区块链技术将云平台去中心化,基于区块链平台中数据的不可篡改性和公开性,可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
在一个具体的实施例中,向云平台发送云平台访问操作请求包括:
根据访问用户的用户钱包地址以及获取到的访问用户输入的用户钱包地址公私钥对中的私钥,对访问用户进行身份验证,若身份验证通过则向云平台发送云平台访问操作请求。
访问用户在向云平台发送云平台访问操作请求时,获取访问用户输入的用户钱包地址公私钥中的私钥。用户终端为区块链平台上的一区块链节点从而基于区块链机制,根据该私钥生成对应的公钥,再根据该生成的公钥生成用户钱包地址,若该生成的用户钱包地址与访问用户的用户钱包地址匹配,则身份验证通过,由此允许访问用户向云平台发送云平台访问操作请求。
本发明实施例的云平台的资源访问控制方法,由于云平台不存在可信中心,云平台不对身份验证的信息进行存储,而将用户身份验证在用户终端执行,由于访问用户的用户终端为区块链平台中的一节点,因此可基于区块链机制对访问用户进行身份验证,有效防止攻击者窃取用户的身份验证信息进行非法操作,从而进一步地保护用户隐私安全。
进一步地,为了防止防止他人非法冒充访问用户发送云平台访问请求操作,还可将身份验证通过的结果使用访问用户的钱包地址公私钥对中的私钥签名后随云平台访问操作请求发送给云平台。云平台接收到之后使用访问用户的钱包地址公私钥对中的公钥验签名,确定是身份验证通过的访问用户发送的云平台访问操作请求则执行相应的操作。
参见图2,在一个实施例中,本发明实施例还提供了一种云平台的资源访问控制系统,包括用户终端220、云平台210,以及与用户终端220和云平台210连接的区块链平台230;
云平台210用于执行应用于云平台的云平台的资源访问控制方法。
用户终端220用于执行应用于用户终端的云平台的资源访问控制方法。
本发明的云平台的资源访问控制系统,利用区块链技术将云平台去中心化,基于区块链平台中数据的不可篡改性和公开性,当访问用户请求访问云平台的资源时,云平台向所在的区块链平台进行相应的权限查询,若欲访问资源的请求访问操作权限未超出允许访问操作权限的范围,允许访问用户访问云平台的欲访问资源以进行相应的欲访问操作。进一步地,通过监听访问用户的访问操作以向区块链平台发布访问用户对资源进行访问操作的访问记录。本发明各实施例根据通过全网验证的区块链平台存储的数据实现访问用户对云平台资源的访问操作控制,同时将访问记录的信息发布到区块链平台上,可防止云平台的用户数据资源被非法访问、篡改等问题的发生,提高了云平台的访问控制的安全性和可信性,进一步防止用户的隐私泄露。
在一个实施例中,本发明还提供了一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现应用于云平台的云平台的资源访问控制方法。
在一个实施例中,本发明还提供了一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现应用于用户终端的云平台的资源访问控制方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和结构图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或更多个模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (7)
1.一种云平台的资源访问控制方法,其特征在于,应用于云平台,所述方法包括:
接收访问用户发送的云平台访问操作请求;所述云平台访问操作请求包括欲访问资源的信息、对所述欲访问资源的请求访问操作权限、以及所述访问用户的用户钱包地址;
根据所述云平台访问操作请求向所在的区块链平台发送包含所述欲访问资源的信息对应的标识符和所述访问用户的用户钱包地址的第一权限查询请求;并接收所述区块链平台根据所述第一权限查询请求返回的第一查询结果;所述第一查询结果包括所述访问用户对所述欲访问资源的允许访问操作权限;
若对所述欲访问资源的请求访问操作权限未超出所述允许访问操作权限的范围,则向所述访问用户发送允许访问指令,并将所述访问用户对所述欲访问资源的访问记录发布至所述区块链平台;
接收所述访问用户发送的授权请求;所述授权请求包括待授权访问资源的信息、对应的待授权访问操作权限、授权用户的用户钱包地址、以及所述访问用户的用户钱包地址;
根据所述授权请求向所述区块链平台发送包含所述授权用户的用户钱包地址和所述待授权访问资源的信息对应的标识符的第二权限查询请求,并接收所述区块链平台根据所述第二权限查询请求发送的第二查询结果;所述第二查询结果包括所述授权用户对所述待授权访问资源的授权访问操作权限;
若对应的所述待授权访问操作权限未超出所述授权访问操作权限的范围,则根据所述授权请求向所述授权用户发送允许授权指令,以使所述授权用户将所述待授权访问操作权限授权给所述访问用户的授权信息发布至所述区块链平台。
2.根据权利要求1所述的云平台的资源访问控制方法,其特征在于,在接收访问用户发送的云平台访问操作请求之前包括:
向所述区块链平台发送云平台注册请求;
接收所述区块链平台根据所述云平台注册请求生成的云平台钱包地址公私钥对,以及所述区块链平台根据所述云平台钱包地址公私钥对中公钥生成的云平台钱包地址;
将包含自身的云平台信息和所述云平台钱包地址的云平台注册信息发布至所述区块链平台。
3.根据权利要求1所述的云平台的资源访问控制方法,其特征在于,还包括:
接收宿主用户发送的包含上传资源的资源注册请求;
根据所述资源注册请求返回所述上传资源对应的资源信息给所述宿主用户,以使所述宿主用户将资源上传至所述云平台的资源注册信息发布至所述区块链平台;所述资源注册信息包括所述上传资源对应的资源信息和对应的访问操作权限。
4.根据权利要求1所述的云平台的资源访问控制方法,其特征在于,还包括:
接收授权用户发送的撤销请求;所述撤销请求包括欲撤销的访问操作权限、对应欲撤销访问资源的信息以及欲撤销访问用户的用户钱包地址;
根据所述撤销请求生成授权链查询请求并发送给所述区块链平台,以及接收所述区块链平台根据所述授权链查询请求返回的第三查询结果;
若判断所述欲撤销的访问操作权限包含在所述欲撤销访问用户对所述欲撤销访问资源的访问操作权限范围内,且所述第三查询结果表示为直接授权,则向所述授权用户发送确认撤销指令,以使所述授权用户将对所述欲撤销访问用户的权限撤销信息发布至所述区块链平台。
5.根据权利要求4所述的云平台的资源访问控制方法,其特征在于,还包括:
若所述第三查询结果表示为间接授权,则根据所述授权用户、所述欲撤销访问用户与下级被授权用户之间的层级关系按照预设的撤销顺序,向拥有所述欲撤销的访问操作权限的下级被授权用户对应的上级被授权用户发送撤销指令,以使所述上级被授权用户撤销对应的下级被授权用户的所述欲撤销的访问操作权限;
在所述欲撤销访问用户的所有下级被授权用户完成对所述欲撤销的访问操作权限的撤销后,向所述授权用户发送所述确认撤销指令。
6.一种云平台的资源访问控制方法,其特征在于,应用于用户终端,所述方法包括:
向区块链平台发送用户注册请求;
接收所述区块链平台根据所述用户注册请求生成的用户钱包地址公私钥对,以及根据所述用户钱包地址公私钥对中公钥生成的用户钱包地址;
根据访问用户的用户钱包地址以及获取到的所述访问用户输入的用户钱包地址公私钥对中的私钥,对所述访问用户进行身份验证,若身份验证通过则向所述云平台发送云平台访问操作请求;
向云平台发送云平台访问操作请求;所述云平台访问操作请求包括欲访问资源的信息、对所述欲访问资源的请求访问操作权限、以及访问用户的用户钱包地址;
接收所述云平台发送的允许访问指令,并对所述欲访问资源进行访问操作;所述允许访问指令为所述云平台向区块链平台查询到对所述欲访问资源的请求访问操作权限未超出对所述欲访问资源的允许访问操作权限范围时发送的指令;
向云平台发送云平台授权请求,所述授权请求包括待授权访问资源的信息、对应的待授权访问操作权限、授权用户的用户钱包地址、以及所述访问用户的用户钱包地址;
接收所述授权用户将待授权访问操作权限进行授权时发送的授权指令,为所述云平台向所述区块链平台对查询到对所述待授权访问资源的待授权访问操作权限未超出授权访问操作权限的范围时,所述授权用户发送的指令。
7.一种云平台的资源访问控制系统,其特征在于,包括用户终端、云平台、以及与所述用户终端和所述云平台连接的区块链平台;
所述云平台用于执行权利要求1至5任意一项所述的云平台的资源访问控制方法;
所述用户终端用于执行权利要求6所述的云平台的资源访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910909912.3A CN110650139B (zh) | 2019-09-25 | 2019-09-25 | 云平台的资源访问控制方法以及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910909912.3A CN110650139B (zh) | 2019-09-25 | 2019-09-25 | 云平台的资源访问控制方法以及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110650139A CN110650139A (zh) | 2020-01-03 |
CN110650139B true CN110650139B (zh) | 2022-08-30 |
Family
ID=68992613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910909912.3A Expired - Fee Related CN110650139B (zh) | 2019-09-25 | 2019-09-25 | 云平台的资源访问控制方法以及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110650139B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111448565B (zh) * | 2020-02-14 | 2024-04-05 | 支付宝(杭州)信息技术有限公司 | 基于去中心化标识的数据授权 |
CN111767551A (zh) * | 2020-05-13 | 2020-10-13 | 北京信息科技大学 | 一种基于区块链的浏览权限控制方法和控制系统 |
CN112398837B (zh) * | 2020-11-05 | 2023-04-18 | 中国联合网络通信集团有限公司 | 数据授权方法、确权平台、运营商平台和系统 |
CN112383537B (zh) * | 2020-11-11 | 2022-06-03 | 杭州甘道智能科技有限公司 | 可信区块链上链方法及用户应用上链系统 |
CN113468610A (zh) * | 2021-06-24 | 2021-10-01 | 四川师范大学 | 去中心化可信访问控制框架及其运行方法 |
CN114036480B (zh) * | 2022-01-07 | 2022-04-12 | 北京悦游信息技术有限公司 | 一种私有应用的安全访问控制方法、系统和可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103685463A (zh) * | 2013-11-08 | 2014-03-26 | 浪潮(北京)电子信息产业有限公司 | 云计算系统中访问控制的方法和系统 |
CN104052775A (zh) * | 2013-03-14 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 一种云平台服务的权限管理方法、装置和系统 |
CN107480555A (zh) * | 2017-08-01 | 2017-12-15 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10924466B2 (en) * | 2017-07-28 | 2021-02-16 | SmartAxiom, Inc. | System and method for IOT security |
-
2019
- 2019-09-25 CN CN201910909912.3A patent/CN110650139B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104052775A (zh) * | 2013-03-14 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 一种云平台服务的权限管理方法、装置和系统 |
CN103685463A (zh) * | 2013-11-08 | 2014-03-26 | 浪潮(北京)电子信息产业有限公司 | 云计算系统中访问控制的方法和系统 |
CN107480555A (zh) * | 2017-08-01 | 2017-12-15 | 中国联合网络通信集团有限公司 | 基于区块链的数据库访问权限控制方法及设备 |
Non-Patent Citations (1)
Title |
---|
基于区块链的日志行为审计方案研究;邓虹雨;《中国优秀硕士学位论文全文数据库 信息科技辑》;20190615(第06期);正文第8页、第11页、第19-26页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110650139A (zh) | 2020-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110650139B (zh) | 云平台的资源访问控制方法以及系统 | |
JP6941146B2 (ja) | データセキュリティサービス | |
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
EP2115654B1 (en) | Simplified management of authentication credentials for unattended applications | |
JP6514115B2 (ja) | フェデレーテッドキー管理 | |
Yu et al. | A view about cloud data security from data life cycle | |
CN108701094B (zh) | 在基于云的应用中安全地存储和分发敏感数据 | |
CN110535880B (zh) | 物联网的访问控制方法以及系统 | |
CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
KR102318637B1 (ko) | 데이터 전송 방법, 데이터의 사용 제어 방법 및 암호 장치 | |
JP2011501269A (ja) | マルチファクタコンテンツの保護 | |
JP2013516685A (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
KR101817152B1 (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
US11943345B2 (en) | Key management method and related device | |
US11728973B2 (en) | System and method for secure access management | |
CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
CN109284615B (zh) | 移动设备数字资源安全管理方法 | |
JP6464544B1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
Jang | System Access Control Technique for Secure Cloud Computing | |
KR20170053459A (ko) | 정보 보호를 위한 파일 암복호화 방법 | |
CN103905390A (zh) | 权限获取方法、装置、电子设备及系统 | |
JP5361850B2 (ja) | アクセス管理システム | |
Nagar et al. | A secure authenticate framework for cloud computing environment | |
Riaz et al. | Analysis of Web based Structural Security Patterns by Employing Ten Security Principles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220830 |