[发明专利]云存储环境下的数据访问控制方法和系统

摘要

本发明实施例提供了一种云存储环境下的数据访问控制方法和系统。该方法主要包括：用户通过客户端向云服务器注册个人信息，当数据拥有者确定需要上传给所述云服务器的数据是共享数据时，数据拥有者的客户端利用对称密钥加密所述数据，将加密后的所述数据、对称密钥、数据的哈希运算结果和数据的共享属性发送到云服务器；当数据是非共享数据时，数据拥有者的客户端利用自己的公钥加密所述数据，将加密后的数据、数据的哈希运算结果和数据的共享属性发送到云服务器。本发明实施例保证了用户数据的机密性和完整性，同时对用户文件机密性进行了划分，从而更好的实现数据共享下的权限控制，有效提供了提高云存储下的数据访问控制的安全性。

主权项

1.一种云存储环境下的数据访问控制方法，其特征在于，包括：用户通过客户端向云服务器注册个人信息，在所述云服务器中存储用户的个人信息，该个人信息包括用户的标识UID和证书；当数据拥有者确定需要上传给所述云服务器的数据是共享数据时，设置需要上传的数据为Data，该Data的文件标识符为FID，共享属性isShared＝TRUE，所述数据拥有者的客户端生成一个共享密钥K，利用所述数据拥有者的公钥PKDO对所述共享密钥K进行加密E(K)PKDO，得到共享密钥存储单元KeyUnit；所述客户端计算E(Data)K，得到数据存储单元DataUnit，并对Data进行哈希运算Hash(Data)，得到数据哈希单元HashDataUnit，所述客户端将所述HashDataUnit，DataUnit，KeyUnit，FID和isShared上传到所述云服务器，所述云服务器将所述客户端上传的HashDataUnit，DataUnit，KeyUnit，FID和isShared，以及所述数据拥有者的UID进行关联存储；当数据拥有者确定需要上传给所述云服务器的数据是非共享数据时，设置需要上传的数据为Data，该Data的文件标识符为FID，共享属性isShared＝FALSE，所述数据拥有者的客户端对数据文件Data进行哈希运算Hash(Data)，得到数据哈希单元HashDataUnit，利用所述数据拥有者的公钥PKDO对Data进行加密运算E(Data)PKDO，得到数据存储单元DataUnit，所述客户端将所述HashDataUnit、DataUnit，FID和isShared上传到所述云服务器，所述云服务器将所述客户端上传的HashDataUnit，DataUnit，FID和isShared，以及所述数据拥有者的UID进行关联存储；数据使用者的客户端将当前系统时间Time和自己的UID利用自己的私钥SKDU进行签名S(Time||UID)SKDU，得到申请时间戳，所述数据使用者的客户端向数据拥有者的客户端发送携带所述申请时间戳和自己的UID的数据访问请求；所述数据拥有者的客户端获取所述数据访问请求中携带的S(Time||UID)SKDU||UID，审核所述数据使用者的UID，当确定所述数据使用者是可以开通数据访问权限的用户后，则向云服务器提交携带S(Time||UID)SKDU||UID的授权申请；否则，向所述数据使用者的客户端发送授权失败应答；所述云服务器接收到所述授权申请后，根据所述数据使用者的UID查找对应的所述数据使用者的公钥证书CertDU，验证(S(Time||UID))SKDU，得到Time'和UID'，验证Time时效性以及UID'？＝UID，验证通过，则所述云服务器向所述数据拥有者的客户端发送携带共享密钥存储单元KeyUnit和所述数据使用者的证书CertDU的验证通过结果；验证不通过，向所述数据拥有者的客户端发送验证失败结果；所述数据拥有者的客户端接收到验证通过结果后，获取验证通过结果中携带的KeyUnit和CertDU，并利用自己的私钥SKDO对KeyUnit解密D(KeyUnit)SKDO得到共享密钥K，利用所述数据使用者的公钥PKDU加密共享密钥K得到共享密钥存储单元副本KeyUnit_1，所述数据拥有者的客户端将授权许可应答消息发送到所述数据使用者，并将所述数据使用者的标识UID和KeyUnit_1发送给所述云服务器，所述云服务器将所述数据使用者的UID和KeyUnit_1存放在所述数据拥有者上传的Data相对应的访问权限列表中；所述数据拥有者的客户端接收到验证失败结果后，向所述数据使用者发送授权许可失败信息。