云环境下的数据分层访问方法及系统的制作方法
【专利摘要】本发明涉及一种云环境下的数据分层访问方法及系统,该方法首先为所提供的数据建立系统参数,在将所述提供的数据进行加密后,上传至云端数据服务器,并对存储在云端数据服务器上的所述加密数据进行分层,然后接收用户发出的数据请求,判断所述请求是否满足数据使用权限,满足则向用户发送数据密钥。本发明的技术方案解决了云环境下的有时限的分层密钥分配问题,能够在不安全的云存储环境下提供一种相对安全的数据访问方式。
【专利说明】云环境下的数据分层访问方法及系统
【技术领域】
[0001] 本发明属于云计算【技术领域】,特别是一种云环境下的数据分层访问方法及系统。
【背景技术】
[0002] 近年来,云计算作为计算机技术发展的新趋势而快速发展,越来越多的软硬件厂 商倾向于在云服务器上部署应用程序和数据。云计算是一种模型,这种模型提供了无处不 在的、便捷的、按需配置网络的访问计算资源(如网络、服务器、存储、应用程序和服务)的 模型,云计算模型可以以最少的管理工作和最少的与服务供应商的互动来快速配置和释放 资源。其包括五个基本特征:按需自助服务、无处不在的网络访问、资源池、快速的可伸缩 性、可度量的服务;三种服务模型:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服 务(IaaS);以及四种部署模型:公有云、社区云、私有云、混合云。
[0003] 随着云计算的发展,云存储越来越受到用户和公司的关注。云存储提供数据的外 包、访问、共享等方面的相关技术。在数据的外包技术中,数据提供者(DP)可以将所提供的 数据存储在云服务器上而不是在本地存储设备上,这样任何一个被授权的用户就可以通过 连接云服务器访问这些数据。但是,将数据外包到云服务器上会有一些安全方面的问题,主 要体现在:(1)数据提供者希望数据对于云服务器是透明的;(2)数据提供者希望根据一些 策略来控制用户访问的权限。
[0004] 访问控制用于管理系统中能够访问数据的用户,现有技术中提供了一种访问控制 系统来对数据用户进行管理。该访问控制系统通常为分层密钥管理系统,即在系统中将用 户组划分为若干不相交的群组,形成层次结构。这些群组对云服务器上的数据有不同的访 问权限,一些用户可能比别的用户拥有更多访问权限。
[0005] 上述技术方案的缺陷在于,没有充分考虑到时限问题。在一些应用程序中,需要在 建立分层密钥管理系统的同时考虑时限问题。例如,在付费电视系统中,一位服务使用者可 能希望在一段时间内(月、年等)收看需要专门付费的新闻频道,而在超出该时间后,也能 继续观看其他一般付费频道。
[0006] 因此,有必要就分层密钥管理与时限问题的组合提供解决方案。
【发明内容】
[0007] 本发明所要解决的技术问题在于提供一种云计算技术,特别是一种云环境下的数 据分层访问方法及系统。
[0008] 本发明的目的是通过以下技术方案来实现的:
[0009] -种云环境下的数据分层访问方法,所述方法包括以下步骤:
[0010] 步骤a :为所提供的数据建立系统参数;
[0011] 步骤b :将所述提供的数据进行加密后,上传至云端数据服务器;
[0012] 步骤c :对存储在云端数据服务器上的所述加密数据进行分层;
[0013] 步骤d :接收用户发出的数据请求,判断所述请求是否满足数据使用权限,满足则 继续步骤e,否则结束;
[0014] 步骤e :向用户发送数据密钥。
[0015] 在本发明的技术方案中,所述步骤a进一步包括:
[0016] 步骤al :为所提供的数据建立分层参数;
[0017] 步骤a2 :生成加密参数;
[0018] 步骤a3 :生成具有时限的分层密钥。
[0019] 在本发明的技术方案中,所述系统参数采用结合RSA与配对的时限数据分层访问 算法来建立。
[0020] 在本发明的技术方案中,所述步骤al进一步包括:将所提供的数据进行分类,定 义系统的生存时间为T = {1,2,…,z},数据被分为C = {Cl,C2,. .,Cn},定义所述类之间 的二元关系〈为,Ci〈Cj。
[0021 ] 在本发明的技术方案中,所述步骤a2进一步包括:生成一个有向图(C,〈),然后生 成必须的密钥和其他参数:配对eWGi -G2,Ppub = s*P s G Z/,选择2个大素数pl,ql, n = Pi X q17 W (n) = (prl) ? (qfl),选择两组密钥对(ei;屯),(i = 1,2,…,n)和(gt,ht), (t = 1,2, --?,z)其中ei ?屯三lmod v (n),gt ? ht三lmod v (n),并定义密码学哈希函数 H: {0, 1}# - Zq%最终{e,Gi,G2, q,P,Ppub,n,ei,? ? ?,en,gl,? ? ?,gs,H}作为公共参数,其余参数 作为私密。
[0022] 在本发明的技术方案中,所述步骤a3进一步包括:
[0023] 计算类Ci在时段t的密钥为:
[0024] 心 t = % | | kt)其中
【权利要求】
1. 一种云环境下的数据分层访问方法,其特征在于,所述方法包括以下步骤: 步骤a:为所提供的数据建立系统参数; 步骤b:将所述提供的数据进行加密后,上传至云端数据服务器; 步骤c:对存储在云端数据服务器上的所述加密数据进行分层; 步骤d:接收用户发出的数据请求,判断所述请求是否满足数据使用权限,满足则继续 步骤e,否则结束; 步骤e:向用户发送数据密钥。
2. 如权利要求1所述的云环境下的数据分层访问方法,其特征在于,所述步骤a进一步 包括: 步骤al:为所提供的数据建立分层参数; 步骤a2 :生成加密参数; 步骤a3 :生成具有时限的分层密钥。
3. 如权利要求1所述的云环境下的数据分层访问方法,其特征在于,所述系统参数采 用结合RSA与配对的时限数据分层访问算法来建立。
4. 如权利要求2所述的云环境下的数据分层访问方法,其特征在于,所述步骤al进一 步包括:将所提供的数据进行分类,定义系统的生存时间为T= {1,2, 一,ζ},数据被分为 C= {Cl,C2,. .,Cn},定义所述类之间的二元关系〈为,Ci〈Cj。
5. 如权利要求4所述的云环境下的数据分层访问方法,其特征在于,所述步骤a2进一 步包括:生成一个有向图(C,〈),然后生成必须的密钥和其他参数:配对^G1XG1 -G2,Ppub =s·PseZq*,选择 2 个大素数pl,ql,n=P1Xq1,Ψ(η) = (p「l) · (q^l),选择两组 密钥对(ep(Ii),(i= 1,2,…,n)和(gt,ht),(t= 1,2,…,z)其中ei· (IiξImodψ(η), gt ·htξImodΨ(η),并定义密码学哈希函数Η: {0,?Γ-Zq'最终{e,G1,G2,q,Ρ,Ppub,η, ...,en,gi, . . .,gs,H}作为公共参数,其余参数作为私密。
6. 如权利要求5所述的云环境下的数据分层访问方法,其特征在于,所述步骤a3进一 步包括: 计算类Ci在时段t的密钥为: Kit =(kiIIkt)其中 ^ <ΠP,pM)* = e(P,Ρ)Π 'Λ-。*X1 =e(P,P)*1aeZq* 为随'",* 机数。
7. 如权利要求6所述的云环境下的数据分层访问方法,其特征在于,所述步骤b进 一步包括:将所述数据用AONT技术处理,假设数据A=A1IlA_.ll…丨丨A,,为要上传的数据 DhIiOJI--IR, AONTΑ,?|Α:--·"ΙΙ(,X为随机字符窜,选择一个K作为AES密钥, 选择Ι-m内的随机数P,然后使用Ki,t加密K、P及DiP,使用K加密其余数据块,最后将 加密后的数据上传至云端数据服务器。
8. 如权利要求7所述的云环境下的数据分层访问方法,其特征在于,所述步骤d进一步 包括:数据提供商根据用户提供的所欲下载的数据、目前订阅的类(;与订阅的时间,判断用 户是否满足数据使用权限,假设用户订阅的时间段为TieT,所述数据密钥为: (a=a[J.yji=e(P、Ρ)η-..'Α ) A - 1?
9. 如权利要求I所述的云环境下的数据分层访问方法,其特征在于,所述方法进一步 包括: 步骤f:用户从云端数据服务器下载所需的数据; 步骤g:用户使用所述数据密钥对所述下载的数据进行解密。
10. -种云环境下的数据分层访问系统,其特征在于,所述系统包括参数建立模块、力口 密上传模块、数据分层模块、请求判断模块以及密钥发送模块,所述参数建立模块用于为所 提供的数据建立系统参数,所述加密上传模块用于对所提供的数据进行加密后,上传至云 端数据服务器,所述数据分层模块用于对存储在云端数据服务器上的加密数据进行分层, 所述请求判断模块用于接收用户发出的数据请求,并根据判断结果控制密钥发送模块工 作,所述密钥发送模块用于向用户发送数据密钥。
【文档编号】H04L29/08GK104320426SQ201410436894
【公开日】2015年1月28日 申请日期:2014年8月29日 优先权日:2014年8月29日
【发明者】吴祖扬, 陈建铭, 林浚玮, 潘正祥, 周成祥, 杜佳 申请人:哈尔滨工业大学深圳研究生院, 深圳市标准技术研究院