[发明专利]一种基于云存储的加密文件访问控制系统及方法

权利要求书

1.一种基于云存储的加密文件访问控制系统，其特征在于，所述系统包括：

管理中心单元：仅管理员用户可进入，进入后可以管理本地加密文件和云服务器上的加密文件，如对本地加密文件的加解密、添加或删除加密文件、从云服务器下载加密文件并解密及上传加密文件到云服务器等。

用户验证单元：包括网络控制模块和用户验证模块。其中网络控制模块功能为检测网络连接及连接到云服务器；用户验证模块功能为将请求用户的信息与云服务器中用户文件中对应的用户信息进行比较，决定是否通过验证。

加密单元：包括加密模块和解密模块。其中加密模块功能为强制执行加密操作，针对设定文件进行加密操作；解密模块功能为通过后台将加密文件自动解密到内存，不影响文件在磁盘上的加密状态。

访问控制决策单元：接收用户操作加密文件的请求，从云服务器读取用户的历史可信度用于可信度计算，让回进行访问控制决策，包括可信度计算模块、控制决策模块和权限控制模块。其中可信度计算模块功能为根据用户的初始权限、操作信息和历史可信度计算对加密文件操作的可信度；控制决策模块功能为根据可信度计算结果和用户初始权限，采用相关策略决定当前用户的可信操作权限；权限控制模块功能为控制用户初始权限及根据决策结果为用户分配暂时的可信操作权限。

日志单元：将请求用户信息和操作记录保存到本地系统日志文件中去，将其中的用户信息和可信度保存到云日志(云服务器上对应的日志文件)。

2.一种基于云存储的加密文件访问控制方法，其特征在于，所述方法包括如下步骤：

A1：如果用户有加密文件访问需要，进入访问控制系统；

A2：进入用户验证单元，如果验证通过，记录用户信息到本地日志和云日志，用户发出操作加密文件的请求；反之，退出；

A3：接收用户的加密文件操作请求，进行访问控制决策，主要包括：计算请求操作可信度并将其记录到云日志，基于用户初始权限、请求操作和历史可信度记录；访问控制决策，基于可信度和用户初始权限；如果决策结果为拒绝用户请求，退出系统；反之，通过权限控制为用户分配相应的加密文件操作权限。记录用户操作信息到本地日志；

A4：用户根据分配的暂时权限执行对加密文件的相关操作，并记录用户操作信息到本地日志。

3.如权利要求2所述的基于云存储的加密文件访问控制方法，其特征在于，所述步骤中的用户认证单元包括网络控制模块和用户验证模块。其中网络控制模块功能为检测网络连接及连接到云服务器；用户验证模块功能为将请求用户的信息与云服务器中用户文件中对应的用户信息进行比较，决定是否通过验证。

4.如权利要求2所述的基于云存储的加密文件访问控制方法，其特征在于，所述步骤中可信度计算，根据用户的初始权限、操作信息和历史可信度计算对加密文件操作的可信度；访问控制决策，根据可信度计算结果和用户初始权限，采用相关策略决定当前用户的可信操作权限；权限控制，控制用户初始权限及根据决策结果为用户分配暂时的可信操作权限。

5.如权利要求2所述的基于云存储的加密文件访问控制方法，其特征在于，所述步骤中加密文件操作权限分为三级：C级--对本地加密文件具有只读权限；B级--对本地加密文件有读、写权限；A级--对本地加密文件有读、写权限，对云服务器上的加密文件有只读权限。