[发明专利]一种在线社交网络用户私有数据的访问控制方法

说明书

一种在线社交网络用户私有数据的访问控制方法，当数据创建者创建一个分享到社交网络的客体时，利用其系统公钥和定义的访问控制策略对客体进行加密，并将加密后的客体与访问控制策略上传至社交网络服务器；社交网络的每个用户均具有唯一的身份识别码、以及包含其主观属性和客观属性的属性集；当与数据创建者无直接社交联系的间接共享者向一个已获取客体的直接访问者请求共享该客体时，通过判断该间接共享者的客观属性是否符合数据创建者定义的访问控制策略来控制其访问。本发明在实现用户数据在服务器端加密存储的同时，满足了细粒度及可持续的访问控制需求，解决了现有技术中数据创建者无法控制间接共享者访问客体等问题。

技术领域

本发明涉及在线社交网络（OSNs，Online Social Networks）领域，尤其是关于一种在线社交网络用户私有数据的访问控制方法。

背景技术

传统的在线社交网络访问控制在实现细粒度的访问控制（Access Control）时，用户数据（如用户上传的照片、视频、文本数据等）都是明文存放在在线社交网络的服务器上的，这样的存储方式要求在线社交网络服务提供商必须是可信的，如果发生服务器被攻击或者服务提供商监守自盗的情况，用户隐私数据的安全会无法保障。但是如果数据加密存储在服务器上，会影响访问控制策略的设计和实施，难以实现细粒度的访问控制。目前，既能实现细粒度的访问控制策略又能实现加密存储的方法是基于属性基加密（Attribute-based encryption）的访问控制方法。但所有访问控制方法的控制策略不具备延续性，其仅能控制数据的第一跳访问，即控制谁能从用户本人的空间里下载得到用户的数据，而一旦用户数据脱离用户的控制域而成为别人的囊中之物后，会如何被使用以及将被传递到何方将不再受用户自己的控制。

使用控制（Usage Control，UCON）理论和架构能够实现控制策略的延续性，从而解决数据的可控使用问题，但目前的使用控制方法主要应用于分布式网络信息系统及数字版权管理领域，使用控制策略的定义不适用于社交网络环境下的应用，并且，使用控制方法中对数据的加密均采用传统的对称或非对称加密体制，不能满足在线社交网络应用环境下细粒度的控制策略自定义的需求，同时密钥的分发和管理也造成用户终端存储和计算的巨大压力，尤其不适用于使用移动终端的社交网络用户。

发明内容

本发明的主要目的是公开一种在线社交网络用户私有数据的访问控制方法，克服现有技术存在的问题，实现用户数据在服务器端加密存储的同时，满足细粒度及可持续的访问控制需求。

本发明采用的技术方案是：一种在线社交网络用户私有数据的访问控制方法，每个数据创建者均由权限服务器为其产生一个系统公钥和一个主密钥，当数据创建者创建一个分享到社交网络的客体时，利用其系统公钥和数据创建者定义的访问控制策略对客体进行属性基加密，并将加密后的客体与数据创建者定义的访问控制策略上传至社交网络服务器，所述加密后的客体包含被分享时的使用控制策略；社交网络的每个用户均具有唯一的身份识别码、以及包含其主观属性和客观属性的属性集；当与数据创建者有直接社交联系的直接访问者访问其分享的客体时，通过判断直接访问者的主观属性和客观属性是否符合数据创建者定义的访问控制策略来控制客体是否解密成功；当与数据创建者无直接社交联系的间接共享者向一个已获取数据创建者分享客体的直接访问者请求共享该客体时，通过判断该间接共享者的客观属性是否符合数据创建者定义的访问控制策略来控制其访问。

较佳的，用于访问社交网络的每个网络用户的终端上均具有用于加解密和执行使用控制策略的引用监控器，所述的属性基加密是指支持非线性访问控制结构的属性基加密方法。

较佳的，所述社交网络服务器包括数据服务器和策略服务器，数据服务器用于存储加密的客体，策略服务器用于存储数据创建者定义的访问控制策略。

较佳的，当社交网络的用户与一个数据创建者建立直接社交联系时，社交网络服务器将该用户的属性集发送到权限服务器，权限服务器以此属性集和其主密钥为输入参数,将利用属性基加密方法得到的私钥发送给直接访问者。