JP3215882U - クラウドストレージベースのファイルアクセス制御システム - Google Patents

クラウドストレージベースのファイルアクセス制御システム Download PDF

Info

Publication number
JP3215882U
JP3215882U JP2018000460U JP2018000460U JP3215882U JP 3215882 U JP3215882 U JP 3215882U JP 2018000460 U JP2018000460 U JP 2018000460U JP 2018000460 U JP2018000460 U JP 2018000460U JP 3215882 U JP3215882 U JP 3215882U
Authority
JP
Japan
Prior art keywords
server
file
property
key
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2018000460U
Other languages
English (en)
Inventor
ビンヨン リー
ビンヨン リー
シャオジェ チァォ
シャオジェ チァォ
シー シォン
シー シォン
ジュェン ワン
ジュェン ワン
ゼェァイェン ドゥ
ゼェァイェン ドゥ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu University of Information Technology
Original Assignee
Chengdu University of Information Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu University of Information Technology filed Critical Chengdu University of Information Technology
Application granted granted Critical
Publication of JP3215882U publication Critical patent/JP3215882U/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】キーによる制御でクラウドデータのセキュリティを向上させるクラウドストレージベースのファイルアクセス制御システムを提供する。【解決手段】ファイルアップロードクライアント、キー初期化サーバー、プロパティ管理サーバー、クラウドサーバー、少なくとも2つの認証サーバー、ファイルアクセスクライアント、アドレスサーバー、プロパティ検証サーバ及びアラームプラットフォームを備え、ファイルアップロードクライアントがキー初期化サーバー、プロパティ管理サーバー及びクラウドサーバーにそれぞれ接続されており、クラウドサーバーがプロパティ管理サーバー及び認証サーバーにそれぞれ接続されており、認証サーバーがプロパティ管理サーバーに接続されており、かつ、プロパティ管理サーバーを介してアラームプラットフォームに接続されており、ファイルアクセスクライアントがアドレスサーバーを介してクラウドサーバーに接続されている。【選択図】図1

Description

本考案はアクセス制御システムに関し、特にクラウドストレージベースのファイルアクセス制御システムに関する。
クラウドサービスは便利なクラウドストレージ、多くのオープンソフトウェアサービス、強力なクラウドコンピューティングサポートプラットフォームを備え、端末構成の要件が低く、スケーラビリティが高いなどの利点がある。クラウドストレージが興ったことに伴い、ますます多くのユーザーはクラウドコンピューティングによるより大きなストレージスペース及び便利なストレージサービスを経験した。
しかしながら、クラウドストレージにはユーザーデータがクラウドサーバーにストレージされており、すべてのユーザーがネットワークを介してそのデータにアクセスすることができるので、データのセキュリティと完全性を保証することが難しく、ユーザーによるデータ管理の難易度も大幅に向上した。通常の場合では、データセキュリティを保護するために、クラウドサービスオペレータに依頼するほかない。
このように、クラウドストレージに関連する数多くのアクセス制御ソリューションが現れた。ユーザーキーとユーザーのID情報とを関連付ける、アイデンティティベースのアクセス制御メカニズムを提案する学者もいるが、そのために、サーバーですべてのユーザーのID情報をストレージする必要がある。登録ユーザーが多すぎる場合、たくさんのメモリスペースを占有するだけでなく、情報クエリも非常に不便になる。
本考案は、上記のような問題に鑑みてなされたものであり、キー及びキーの更新によってクラウドデータのセキュリティを向上させ、データビジターの正当性の判定と制御を行うこともできるクラウドストレージベースのファイルアクセス制御システムを提供することを目的とする。
上記の目的を達成するために、本考案に係るクラウドストレージベースのファイルアクセス制御システムは、ファイルアップロードクライアント、
キー初期化サーバー、プロパティ管理サーバー、クラウドサーバー、少なくとも2つの認証サーバー、ファイルアクセスクライアント、アドレスサーバー、プロパティ検証サーバ及びアラームプラットフォームを備え、ファイルアップロードクライアントがキー初期化サーバー、プロパティ管理サーバー及びクラウドサーバーにそれぞれ接続されており、クラウドサーバーがプロパティ管理サーバー及び認証サーバーにそれぞれ接続されており、認証サーバーがプロパティ管理サーバーに接続されており、かつ、プロパティ管理サーバーを介してアラームプラットフォームに接続されており、ファイルアクセスクライアントがアドレスサーバーを介してクラウドサーバーに接続されている。
本考案に係るクラウドストレージベースのファイルアクセス制御システムは、複数の認証サーバーで共同で検証・認証タスクを行うことによって、それぞれの認証サーバーの負荷を軽減する。ある認証サーバーが不法に侵入された場合、侵入者がファイルの一部しか取得できないので、クラウドファイルのセキュリティ向上を実現できる。認証サーバーはキーを認証する前に、訪問者のアドレスやプロパティなどの情報をプロパティ検証サーバーに送信し、プロパティ検証サーバーでアドレスの異常やプロパティの欠落などの異常な情報を見つけた場合、認証サーバーに認証を禁止することを通知し、かつ、当該訪問者の情報をアラームプラットフォームに送信し記録・警報を行い、関係者に注意を促す。また、システムはプロパティ管理サーバーにファイルへのアクセス権限を非表示にし、プロパティ管理サーバーがプロパティ名しか知っておらず、具体的なプロパティ値を知っていないので、アクセス権限に対する保護を実現できる。取り消されたユーザーが元のプライベートキーでファイルにアクセスことを防止するために、このシステムはそれぞれの認証サーバー及びクラウドサーバーに再暗号化機能を搭載する。認証サーバーがユーザーにプライベートキーを送信する度に、キーの更新を行い、新しいパブリックキーとプライベートキーを生成する。クラウドサーバーがユーザーにファイルを送信してから、認証サーバーが新たに生成したパブリックキーでファイルの再暗号化を行い、ファイルにアクセスする各ユーザーが、認証サーバーによって検証された正当なユーザーであることを確保する。
具体的には、前記キー初期化サーバーが、順番に接続されているノード登録データベース、キー生成モジュール及びキー割り当てモジュールを備える。
具体的には、前記ファイルアップロードクライアントが、順番に接続されているファイル出力ポート、ファイル暗号化モジュール、ファイル入力ポート、プロパティグループ化モジュール及びプロパティ名出力ポート、並びに、順番に接続されているキー入力ポート、プロパティ暗号化モジュール及びプロパティ値出力ポートを備え、そのうち、プロパティ暗号化モジュールが前記プロパティグループ化モジュール及び前記ファイル暗号化モジュールにそれぞれ接続されている。
具体的には、前記プロパティ管理サーバーが、順番に接続されているプロパティ名入力ポート、割り当てプロセッサ及びプロパティ割り当てデータベースを備え、割り当てプロセッサが認証サーバーの通信ポート、クラウドサーバの通信ポート及びキー出力ポートにそれぞれ接続されており、かつ、キー出力ポートを介して前記ファイルアップロードクライアントに接続されている。
具体的には、前記クラウドサーバーが、前記ファイルアップロードクライアントに接続されているファイル入力ポート、並びに、ファイル入力ポートに順番に接続されているレトリーバー及びファイルリクエスト応答サーバーを備え、ファイルリクエスト応答サーバーを介して前記ファイルアクセスクライアントに接続されており、また、前記レトリーバーに接続されている再暗号化モジュール及び暗号文データベースも設けられ、レトリーバーがプロパティ管理サーバーの通信ポートを介してファイルリクエスト受信プロセッサに接続されており、ファイルリクエスト受信プロセッサを介して前記アドレスサーバーに接続されており、レトリーバーが前記認証サーバーにも接続されている。
具体的には、それぞれの認証サーバーが、順番に接続されているリクエスト受信プロセッサ、バリデーター、キー更新モジュール、キーデータベースを備え、キーデータベースが前記バリデーターに接続されており、バリデーターがプロパティデータベース及び前記プロパティ検証サーバーに接続されており、かつ、キートランスミッタを介してクラウドサーバーに接続されている。
具体的には、前記アドレスサーバーが、互いに接続されているアクセスアドレス受信モジュール及びアドレス検索データベースを備える。
具体的には、前記ファイルアクセスクライアントが、送信プロセッサにそれぞれ接続されているファイルリクエストモジュール及びプロパティ収集モジュール、並びに、互いに接続されている受信プロセッサ及びファイル復号化モジュールを備え、複数のファイルアクセスクライアントがクラウドサーバーに接続されており、受信プロセッサが前記クラウドサーバーに接続されており、送信プロセッサが前記アドレスサーバーに接続されている。
本考案の良好な効果として、本考案に係るクラウドストレージベースのファイルアクセス制御システムは、キーによる制御でクラウドデータのセキュリティを向上させることに加え、キーの更新によってファイルの再暗号化を行い、データビジターの正当性の判定と制御を行うこともできる。
本考案に係るクラウドストレージベースのファイルアクセス制御システムのブロック図である。
以下、特定の実施形態を参照して本考案についてさらに詳しく説明する。しかしながら、これは、本考案の範囲を以下の実施形態に限定すると解釈されるべきではない。本考案の上記の技術的思想から逸脱することなく、当技術分野における通常の技術的知識および通常の手段に従って行われる様々な変更及び置換は、本考案の範囲に含まれるべきである。
図1に示すように、本考案に係るクラウドストレージベースのファイルアクセス制御システムは、ファイルアップロードクライアント、キー初期化サーバー、プロパティ管理サーバー、クラウドサーバー、複数の認証サーバー、ファイルアクセスクライアント、アドレスサーバー、プロパティ検証サーバ及びアラームプラットフォームを備え、ファイルアップロードクライアントがキー初期化サーバー、プロパティ管理サーバー及びクラウドサーバーにそれぞれ接続されており、クラウドサーバーがプロパティ管理サーバー及び認証サーバーにそれぞれ接続されており、認証サーバーがプロパティ管理サーバーに接続されており、かつ、プロパティ管理サーバーを介してアラームプラットフォームに接続されており、ファイルアクセスクライアントがアドレスサーバーを介してクラウドサーバーに接続されている。
そのうち、キー初期化サーバーは、順番に接続されているノード登録データベース、キー生成モジュール及びキー割り当てモジュールを備える。ノード登録データベースには、ファイルアップローダ及びすべての認証サーバーの登録情報を収録し、かつ、登録ノードの関連情報をストレージする。キー生成モジュールは、既存の非対称暗号化アルゴリズムで各ノードに対応するキーペア(パブリックキーとプライベートキー)を生成する。そして、キー割り当てモジュールは、それぞれのファイルアップローダ及び認証サーバーにキーを割り当てる。
ファイルアップロードクライアントは、順番に接続されているファイル出力ポート、ファイル暗号化モジュール、ファイル入力ポート、プロパティグループ化モジュール及びプロパティ名出力ポート、並びに、順番に接続されているキー入力ポート、
プロパティ暗号化モジュール及びプロパティ値出力ポートを備える。ファイルが入力されてから、ファイルアップローダは、プロパティグループ化モジュールで、異なるファイルまたは同じファイルの異なる部分をグループ化し、異なるアクセスプロパティを設定した上で、プロパティ名の形で処理のためにプロパティ管理サーバーに送信する。プロパティ管理サーバーはプロパティ名を異なる認証サーバーに割り当て、それぞれのプロパティ名に対応する認証サーバーのパブリックキーをファイルアップローダに通知する。そして、ファイルアップロードクライアントは、これらのキーでファイルを暗号化しクラウドサーバーに送信し、プロパティ値を暗号化しプロパティ管理サーバーを介して各認証サーバーに送信する。
プロパティ管理サーバーは、順番に接続されているプロパティ名入力ポート、割り当てプロセッサ及びプロパティ割り当てデータベースを備え、割り当てプロセッサが認証サーバーの通信ポート、クラウドサーバの通信ポート及びキー出力ポートにそれぞれ接続されており、かつ、キー出力ポートを介して前記ファイルアップロードクライアントに接続されている。プロパティ管理サーバーは、プロパティ名入力ポートを介してファイルのプロパティ名を受信し、かつ、割り当てプロセッサを介してすべてのプロパティ名を管理のために異なる認証サーバーに割り当てる。そして、割り当てプロセッサは、プロパティ名と認証サーバーとの対応表をプロパティ割り当てデータベースにストレージし、キー出力ポートを介してプロパティ名と認証サーバーのパブリックキーとの対応表をファイルアップローダに送信する。
クラウドサーバーは、前記ファイルアップロードクライアントに接続されているファイル入力ポート、並びに、ファイル入力ポートに順番に接続されているレトリーバー及びファイルリクエスト応答サーバーを備え、ファイルリクエスト応答サーバーを介して前記ファイルアクセスクライアントに接続されており、また、前記レトリーバーに接続されている再暗号化モジュール及び暗号文データベースも設けられ、レトリーバーがプロパティ管理サーバーの通信ポートを介してファイルリクエスト受信プロセッサに接続されており、ファイルリクエスト受信プロセッサを介して前記アドレスサーバーに接続されており、レトリーバーが前記認証サーバーにも接続されている。訪問者がアドレスサーバーを介してクラウドサーバーにファイルリクエストを送信するとき、クラウドサーバーがレトリーバーで暗号文データベースから当該ファイルを検索してから、ファイル名及び訪問者のプロパティをプロパティ管理サーバーの通信ポートを介して、プロパティ管理サーバーに送信し、プロパティ管理サーバーがこの情報を処理のために対応する認証サーバーに送信する。そして、クラウドサーバーが認証サーバーの処理結果を待つ。認証サーバーが訪問者にアクセス権限を授けた場合、クラウドサーバーのレトリーバー及びファイルリクエスト応答サーバーを介して、ファイルのプライベートキー及び当該ファイルをリクエスタに送信し、かつ、再暗号化モジュールを介して暗号文ライブラリにあるファイルを再暗号化する。反対に、プライベートキーとファイルの提供を拒否する。
それぞれの認証サーバーは、順番に接続されているリクエスト受信プロセッサ、バリデーター、キー更新モジュール、キーデータベースを備え、キーデータベースが前記バリデーターに接続されており、バリデーターがプロパティデータベース及び前記プロパティ検証サーバーに接続されており、かつ、キートランスミッタを介してクラウドサーバーに接続されている。認証サーバーはリクエスト受信プロセッサを介してプロパティ管理サーバーで転送するファイルアクセスのリクエストや訪問者のプロパティ、アドレスなどの情報を受信する。バリデーターは、ファイル名に応じてプロパティデータベースから当該ファイルのアクセス検証プロパティを検索し、訪問者のプロパティとの比較を行う。訪問者のプロパティ値が当該ファイルのアクセス検証プロパティに含まれている場合、訪問者のアドレスやプロパティ、ファイル名などの情報を更なる検証のためにプロパティ検証サーバーに送信し、プロパティ検証サーバーでアドレスの異常や訪問者のプロパティの欠落などの異常な情報を見つけた場合、認証サーバーに認証を禁止することを通知し、かつ、当該訪問者の情報をアラームプラットフォームに送信し記録・警報を行い、関係者に注意を促す。反対に、プロパティ検証サーバーが認証サーバーに対し、キーデータベースからプライベートキーを取得しキートランスミッタを介してクラウドサーバーに送信することを通知し、レトリーバーで訪問者に送信するとともに、認証サーバーがキー更新モジュールでキーの更新を行う。
アドレスサーバーは、互いに接続されているアクセスアドレス受信モジュール及びアドレス検索データベースを備える。アドレス検索データベースは、アクセスアドレス受信モジュールが受信する訪問者のネットワークアドレスによって、その地理的位置を判定し、かつ、ネットワークアドレス及び地理的位置をともにクラウドサーバーのファイルリクエスト受信プロセッサに送信する。
ファイルアクセスクライアントは、送信プロセッサにそれぞれ接続されているファイルリクエストモジュール及びプロパティ収集モジュール、並びに、互いに接続されている受信プロセッサ及びファイル復号化モジュールを備え、複数のファイルアクセスクライアントがクラウドサーバーに接続されており、受信プロセッサが前記クラウドサーバーに接続されており、送信プロセッサが前記アドレスサーバーに接続されている。訪問者が自分のファイルリクエスト及びプロパティを入力し、送信プロセッサでアドレスサーバーのアクセスアドレス受信モジュールに送信する。そして、受信プロセッサで暗号文とプライベートキーを受信し、プレーンテキストに復号化する。

Claims (8)

  1. ファイルアップロードクライアント、キー初期化サーバー、プロパティ管理サーバー、クラウドサーバー、少なくとも2つの認証サーバー、ファイルアクセスクライアント、アドレスサーバー、プロパティ検証サーバ及びアラームプラットフォームを備え、
    前記ファイルアップロードクライアントが前記キー初期化サーバー、前記プロパティ管理サーバー及び前記クラウドサーバーにそれぞれ接続されており、前記クラウドサーバーが前記プロパティ管理サーバー及び前記認証サーバーにそれぞれ接続されており、前記認証サーバーが前記プロパティ管理サーバーに接続されており、かつ、前記プロパティ管理サーバーを介して前記アラームプラットフォームに接続されており、前記ファイルアクセスクライアントが前記アドレスサーバーを介して前記クラウドサーバーに接続されていることを特徴とするクラウドストレージベースのファイルアクセス制御システム。
  2. 前記キー初期化サーバーが、順番に接続されているノード登録データベース、キー生成モジュール及びキー割り当てモジュールを備えていることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
  3. 前記ファイルアップロードクライアントが、順番に接続されているファイル出力ポート、ファイル暗号化モジュール、ファイル入力ポート、プロパティグループ化モジュール及びプロパティ名出力ポート、並びに、順番に接続されているキー入力ポート、プロパティ暗号化モジュール及びプロパティ値出力ポートを備え、そのうち、前記プロパティ暗号化モジュールが前記プロパティグループ化モジュール及び前記ファイル暗号化モジュールにそれぞれ接続されていることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
  4. 前記プロパティ管理サーバーが、順番に接続されているプロパティ名入力ポート、割り当てプロセッサ及びプロパティ割り当てデータベースを備え、前記割り当てプロセッサが認証サーバーの通信ポート、クラウドサーバの通信ポート及びキー出力ポートにそれぞれ接続されており、かつ、前記キー出力ポートを介して前記ファイルアップロードクライアントに接続されていることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
  5. 前記クラウドサーバーが、前記ファイルアップロードクライアントに接続されているファイル入力ポート、並びに、ファイル入力ポートに順番に接続されているレトリーバー及びファイルリクエスト応答サーバーを備え、前記ファイルリクエスト応答サーバーを介して前記ファイルアクセスクライアントに接続されており、また、前記レトリーバーに接続されている再暗号化モジュール及び暗号文データベースも設けられ、前記レトリーバーが前記プロパティ管理サーバーの通信ポートを介してファイルリクエスト受信プロセッサに接続されており、前記ファイルリクエスト受信プロセッサを介して前記アドレスサーバーに接続されており、前記レトリーバーが前記認証サーバーにも接続されていることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
  6. それぞれの認証サーバーが、順番に接続されているリクエスト受信プロセッサ、バリデーター、キー更新モジュール、キーデータベースを備え、前記キーデータベースが前記バリデーターに接続されており、バリデーターがプロパティデータベース及び前記プロパティ検証サーバーに接続されており、かつ、キートランスミッタを介してクラウドサーバーに接続されていることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
  7. 前記アドレスサーバーが、互いに接続されているアクセスアドレス受信モジュール及びアドレス検索データベースを備えることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
  8. 前記ファイルアクセスクライアントが、送信プロセッサにそれぞれ接続されているファイルリクエストモジュール及びプロパティ収集モジュール、並びに、互いに接続されている受信プロセッサ及びファイル復号化モジュールを備え、複数のファイルアクセスクライアントがクラウドサーバーに接続されており、受信プロセッサが前記クラウドサーバーに接続されており、送信プロセッサが前記アドレスサーバーに接続されていることを特徴とする請求項1に記載のクラウドストレージベースのファイルアクセス制御システム。
JP2018000460U 2017-07-05 2018-02-08 クラウドストレージベースのファイルアクセス制御システム Expired - Fee Related JP3215882U (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201720805712.X 2017-07-05
CN201720805712.XU CN206962851U (zh) 2017-07-05 2017-07-05 云存储文件访问控制系统

Publications (1)

Publication Number Publication Date
JP3215882U true JP3215882U (ja) 2018-04-19

Family

ID=61384280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018000460U Expired - Fee Related JP3215882U (ja) 2017-07-05 2018-02-08 クラウドストレージベースのファイルアクセス制御システム

Country Status (3)

Country Link
JP (1) JP3215882U (ja)
CN (1) CN206962851U (ja)
AU (1) AU2018100311A4 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111950005A (zh) * 2020-08-07 2020-11-17 甘肃紫光智能交通与控制技术有限公司 一种公路工程资料上传方法及系统
CN115373857B (zh) * 2022-10-24 2023-03-24 日照职业技术学院 一种经济管理用数据优化系统

Also Published As

Publication number Publication date
CN206962851U (zh) 2018-02-02
AU2018100311A4 (en) 2018-04-26

Similar Documents

Publication Publication Date Title
JP6547079B1 (ja) 登録・認可方法、装置及びシステム
CN102594823B (zh) 一种远程安全访问智能家居的可信系统
Li et al. Efficient keyword search over encrypted data with fine-grained access control in hybrid cloud
WO2016197770A1 (zh) 一种云存储服务平台的访问控制系统及其访问控制方法
CN105516110B (zh) 移动设备安全数据传送方法
US11741241B2 (en) Private data processing
JP6543743B1 (ja) 管理プログラム
EP2692107B1 (en) Managed authentication on a distributed network
CN108632385B (zh) 基于时间序列的多叉树数据索引结构云存储隐私保护方法
US11582241B1 (en) Community server for secure hosting of community forums via network operating system in secure data network
US20180367308A1 (en) User authentication in a dead drop network domain
JP4860779B1 (ja) データ分散保管システム
JP4875781B1 (ja) データ分散保管システム
CN113645195A (zh) 基于cp-abe和sm4的密文访问控制系统及方法
Gao et al. Blockchain based secure IoT data sharing framework for SDN-enabled smart communities
CA3033196A1 (en) Digital data locker system providing enhanced security and protection for data storage and retrieval
JP3215882U (ja) クラウドストレージベースのファイルアクセス制御システム
US11895227B1 (en) Distributed key management system with a key lookup service
JP2009217522A (ja) 個人属性情報提供システムおよび個人属性情報提供方法
Yan et al. Secure and efficient big data deduplication in fog computing
Thota et al. Split key management framework for Open Stack Swift object storage cloud
Odugu A Fine-Grained Access Control Survey For The Secure Big Data Access
CN114389878B (zh) 一种区块链分片方法及区块链网络系统
Li et al. Research on Cloud Data Storage Security Privacy Protection System under Digital Campus
Dong et al. Revocable Public Key Encryption with Authorized Keyword Search

Legal Events

Date Code Title Description
R150 Certificate of patent or registration of utility model

Ref document number: 3215882

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees