[发明专利]基于动态加密RBAC模型的云存储信息处理系统及方法

权利要求书

1.一种基于动态加密RBAC模型的云存储信息处理方法，其特征在于，所述基于动态加密RBAC模型的云存储信息处理方法包括以下步骤：

第一步，用户注册，用户注册成功后用户身份信息u会加入用户表，同时作为用户的公钥，由位于云存储服务器的密钥生成单元根据用户身份信息生成相应的解密私钥k_u和签名私钥s_u，通过可信信道分发给用户；

第二步，配置角色，管理员配置角色信息，将角色信息加入角色表，同时作为角色的公钥，由位于云存储服务器的密钥生成单元根据角色信息生成相应的解密密钥k_(r，v)和签名私钥s_(r，v),对属于该角色的所有用户配置用户角色映射关系发送到安全管理组件；

其中u为用户身份信息，(r，v_r)为角色公钥，为以u为密钥利用IBE加密角色解密密钥k_(r，v)和签名私钥s_(r，v)，为用于用户认证的管理员签名；

第三步，配置权限，由位于云存储服务器的密钥生成单元生成对称密钥k，使用对称密钥算法加密文件f，生成文件信息表，其中为有权访问文件的角色签名；

管理员为有权访问文件的角色配置读写权限RW或读权限R，使用角色公钥(r，v_r)加密文件解密密钥k，生成角色文件映射关系发送到安全管理组件；

第四步，文件的读取与修改，由安全管理组件认证用户合法身份以及判断用户权限，当用户认证通过以及具有所需权限时，通过在线协作服务器提供的在线预览与编辑功能，进行文件的读取与修改；

所述基于动态加密RBAC模型的云存储信息处理方法的访问控制策略、用户与角色、角色与文件关系都会发生动态更新，具体更新流程如下：

步骤一，用户撤销，密钥生成中心更新角色解密密钥k_(r，v+1)和签名私钥s_(r，v+1)；

步骤二，对除撤销用户外的其他用户u′，更新RK表为：

步骤三，获取当前文件密钥k，更新FK表为：

步骤四，密钥生成中心通过密钥生成算法生成新的文件密钥k′；

步骤五，用角色加密密钥加密新文件密钥k′，生成新的FK关系表：

步骤六，更新用户表和文件表中的角色和文件版本信息v，删除撤销用户前的旧关系表RK,FK；

步骤七，判断下次文件操作，若为读取操作，按照文件读取流程读取文件，其中，使用FK表内旧密钥k解密读取文件；若为修改操作，按照文件修改流程写入文件，其中在对修改文件重新加密时，使用FK’中新文件密钥k′，替换旧文件；

实施基于动态加密RBAC模型的云存储信息处理方法的基于动态加密RBAC模型的云存储信息处理系统包括：

通过网络与云存储平台连接的用于用户认证、角色认证、文件的操作和管理、文件权限分享和数据在线预览编辑的用户端；

用于身份认证和文件访问控制的安全管理组件；

与客户端连接的用于数据加解密、密钥管理、文件数据存储和用户操作日志的云存储服务器；

用于提供文件在线预览与编辑服务的在线协作服务器。

2.如权利要求1所述的基于动态加密RBAC模型的云存储信息处理方法，其特征在于，所述用户端包括用于用户身份和角色认证、管理员身份认证的认证单元，用于根据用户操作要求对文件进行上传、下载、修改、分享、删除管理动作的操作管理单元，用于根据不同的权限需求，将不同的权限分发到分享文件的权限分享单元，用于用户在线预览编辑的在线协作单元。

3.如权利要求1所述的基于动态加密RBAC模型的云存储信息处理方法，其特征在于，所述安全管理组件包括用于对用户端发起的认证请求进行认证以确认身份合法性的身份认证单元、用于对用户端发起的修改文件请求进行权限判定以确认用户权限合法性的访问控制单元。

4.如权利要求3所述的基于动态加密RBAC模型的云存储信息处理方法，其特征在于，所述访问控制单元基于RBAC模型，按用户不同职责划分角色统一进行权限管理，通过RK表、FK表保存访问控制策略，通过F表保存文件信息，其中RK表保存用户与其角色密钥之间的关系，FK表保存角色权限、角色与文件密钥之间的关系。