[发明专利]一种在线社交网络用户私有数据的访问控制方法

权利要求书

1.一种在线社交网络用户私有数据的访问控制方法，其特征在于，每个数据创建者均由权限服务器为其产生一个系统公钥和一个主密钥，当数据创建者创建一个分享到社交网络的客体时，利用其系统公钥和数据创建者定义的访问控制策略对客体进行属性基加密，并将加密后的客体与数据创建者定义的访问控制策略上传至社交网络服务器，所述加密后的客体包含被分享时的使用控制策略；社交网络的每个用户均具有唯一的身份识别码、以及包含其主观属性和客观属性的属性集；当与数据创建者有直接社交联系的直接访问者访问其分享的客体时，社交网络服务器将加密的客体传输给直接访问者，由直接访问者所在终端的引用监控器对客体进行解密；当与数据创建者无直接社交联系的间接共享者向一个已获取数据创建者分享客体的直接访问者请求共享该客体时，通过社交服务器判断，如果只能间接访问客体，那么直接访问者将私钥和加密客体发送给间接共享者。

2.如权利要求1所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，用于访问社交网络的每个网络用户的终端上均具有用于加解密及执行使用控制策略的引用监控器，所述的属性基加密是指支持非线性访问控制结构的属性基加密方法。

3.如权利要求1所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，所述社交网络服务器包括数据服务器和策略服务器，数据服务器用于存储加密的客体，策略服务器用于存储数据创建者定义的访问控制策略。

4.如权利要求1所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，当社交网络的用户与一个数据创建者建立直接社交联系时，社交网络服务器将该用户的属性集发送到权限服务器，权限服务器以此属性集和其主密钥为输入参数,将利用属性基加密方法得到的私钥发送给直接访问者。

5.如权利要求2所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，当直接访问者请求访问客体时，社交网络服务器将加密的客体传输给直接访问者，直接访问者所在终端的引用监控器对客体进行解密，如果直接访问者的主观属性和客观属性符合数据创建者定义的访问控制策略，则客体被正常解密，且由直接访问者所在终端的引用监控器对客体执行使用控制策略，否则，客体无法被正常解密。

6.如权利要求2所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，当间接共享者向一个已获取数据创建者分享客体的直接访问者请求共享该客体时，直接访问者所在终端的引用监控器根据该客体的使用控制策略判断该客体是否可共享，若可共享，则直接访问者向社交网络服务器发送包含间接共享者身份识别码、客体身份识别码和间接共享者属性集的消息，否则，间接共享者的请求被拒绝。

7.如权利要求6所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，社交网络服务器实时更新网络用户之间的社交网络拓扑图，当社交网络服务器接收到直接访问者发送的间接共享者请求访问客体的身份识别码和属性集的消息时，根据所述社交网络拓扑图判断间接共享者是否是该客体的数据创建者的直接联系人，若是，社交网络服务器以直接访问者访问客体的方法控制其访问该客体，否则，以间接共享者访问客体的方法控制其访问该客体。

8.如权利要求6或7所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，如果直接访问者接收到社交网络服务器反馈的消息是允许间接共享者访问客体时，直接访问者将其私钥和加密的客体发送给间接共享者，否则，直接访问者拒绝间接共享者的请求。

9.如权利要求1所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，间接共享者成功访问客体后，若其他用户向其提出分享客体的请求，则间接共享者成为新的重分发过程中的直接访问者，请求分享的人成为新的重分发过程中新的间接共享者，以重新执行所述重分发过程。

10.如权利要求6所述的一种在线社交网络用户私有数据的访问控制方法，其特征在于，在社交网络拓扑图中，节点表示社交网络用户，定义直接相连的两个节点之间的距离为1且该两个节点所对应的两个社交网络用户是直接联系人，社交网络服务器根据社交网络拓扑图中对应节点的距离是否为1来判断间接共享者是否是数据创建者的直接联系人。