基于大数据的文件处理方法
【技术领域】
[0001] 本发明涉及大数据安全,特别涉及一种基于大数据的文件处理方法。
【背景技术】
[0002] 用于大数据的云存储系统通过云平台的管理和运营机制保障所提供服务的高可 靠性;另一方面通过将所有参与用户所贡献的存储资源汇集起来提供成本低廉且容量巨大 的存储空间,以有效满足尚速发展的互联网应用在大规t旲性、尚效性、尚可靠性、尚可扩展 性以及高性价比方面的需求。云系统的用户规模和数据规模都很庞大,且具有使得它面临 着更复杂的安全问题。用户是系统的使用者。用户授权控制机制是云存储系统安全的第一 道防线,用于决定用户是否能够登入系统,并且一旦决定能够登入,它将为每个登入用户分 配一个独特的身份标识,以在系统范围内能够证实该用户的合法身份。只有拥有合法身份 的用户才能够参与系统运作,使用系统提供的服务。关于用户授权控制的现有技术中,非法 用户能够以多个不同的身份登入系统,每个身份都与获取到的一个身份标识相关联,从而 可形成多个非法用户。这样一来,如果对用户可以获取的身份标识数量不加以限制,非法用 户可以很容易地控制系统中相当一大部分的节点,甚至是整个系统。另外,当系统允许用户 自由选择其身份标识时,非法用户将会刻意地去选择能够控制重要数据空间的身份标识。 这种情况下,即使用户能够获取的身份标识很有限,并且系统也采取了数据冗余存储策略, 多个非法用户通过联合,仍然能够很容易地获取数据副本所对应存储节点的身份标识,从 而对数据进行污染。同时,非法用户通过联合也能够选择合适的身份标识,以最大的可能性 来使它们出现在合法节点的路由表中,从而控制合法节点对系统的访问。
【发明内容】
[0003] 为解决上述现有技术所存在的问题,本发明提出了一种基于大数据的文件处理方 法,包括:
[0004] 云平台服务器产生两个阶为素数P的整数加法群心和Gi,以及一个双线性对e: GtlXGtl^G1;从伽罗华域GF(2P)中选择一个随机元素Stl作为主密钥,并计算其公钥为Qtl = StlPtl,其中,PtlSGC1的生成元;预先选择散列函数HpHjPSHA-I加密散列函数H3;将密钥参 数(G。,G1,e,PQ,Q。,H1,H2)进行分发;
[0005] 当用户N登入系统时,首先向云平台服务器发送其网络逻辑地址LAn,云平台服务 器对N进行验证,首先对LAn建立一个连接,对请求的响应都通过该连接进行传输,从而确 定N确实拥有LAn;
[0006] 云平台服务器与N执行密钥交换,产生一个对称密钥Kn,用来对后续产生的私钥进 行加密传输,并保护传输消息的完整性;
[0007] 获取产生用户N的身份标识IDn的时刻TN,并计算IDn=H3 (LAN,Tn);计算令牌为 TokN=s〇H2 (IDn,Tn);
[0008] 云平台服务器产生一个密码运算H(IDnIItnI|PZN),并利用Kn ?PZ 行加密 得E(SN,KN?PZN),
[0009] 其中,H为加密散列函数,PZA长度为预定比特的随机数;
[0010] 最后向用户N发送(IDN,TN,TokN,H(IDN||Tj|PZN),E(SN,KN?PZn));
[0011] 用户N接收到消息后,穷举破解PZn,然后利用KN?PZ^密得到SN;
[0012] 当N与其他用户节点M联系时,向其发送(IDN,TN,TokN),节点M计算并判断e(PQ, TokN) =e(Qtl,H2 (IDN,Tn))是否成立,如果成立,则判断用户N具有合法身份,节点M建立与 用户N的联系;否则,拒绝用户N;
[0013] 当用户N的有效身份过期后,用户N联系云平台服务器以更新其密钥对,用户N向 云平台服务器发送(LAN,TN,TokN),云平台服务器对其进行验证,如果通过验证,云平台服务 器产生新的密码运算,用户在破解该运算后,云平台服务器向其发送更新后的身份标识、时 亥Ij、私钥和令牌。
[0014] 本发明相比现有技术,具有以下优点:
[0015] 本发明的方法能够有效地解决非法用户通过网络逻辑地址进行攻击的问题,保障 系统的安全,适用于云存储系统。
【附图说明】
[0016] 图1是根据本发明实施例的基于大数据的文件处理方法的流程图。
【具体实施方式】
[0017] 下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描 述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权 利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节 以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中 的一些或者所有细节也可以根据权利要求书实现本发明。
[0018] 图1是根据本发明实施例的基于大数据的文件处理方法流程图。本发明针对云存 储系统的特点,本发明利用云存储中的授权控制机制,为用户安全高效地分配身份标识,并 有效地抵抗非法攻击。用户的公钥能够直接从他的身份标识所导出,其私钥可以通过一系 列的密钥参数计算产生。在第一实施例中,云平台服务器为每个登入系统的用户基于其网 络逻辑地址分配一个身份标识,并为其产生并分发对应于该身份标识的密钥对,具有合法 身份的用户设置为系统中一个节点;在用户登入系统时,通过回调的方式对其进行验证,用 户仅在能够接收到对一个网络逻辑地址的连接时才被认为是该网络逻辑地址的合法所有 者,只有通过验证的用户才会被分配身份,从而防止非法用户通过伪造网络逻辑地址获取 到大量的系统身份发动非法攻击。
[0019] 在进一步的实施例中,引入分级加密技术,以有效降低云平台服务器的开销。云平 台服务器能够将为用户分配身份标识和产生对应私钥的工作分配给系统中的多个安全节 点来完成,从而使系统具备良好的可扩展性。进一步的实施例基于网络逻辑地址和端口号 为用户分配身份标识。同时,为了防止使用转换地址的非法用户通过使用多个端口号获取 大量的身份标识,在为用户分发私钥时加入密码运算,从而有效限制非法用户获取身份标 识的速率和非法攻击。
[0020] 在本发明应用的密码体系中,公钥通过简单的数据对象产生,例如该数据对象可 以是网络逻辑地址;然后通过一系列的密钥参数产生用于加密、解密、签名及验证的私钥。 私钥的生成由一个称为密钥生成器的安全第三方来负责。通过这种构建方式,不需要分发 其他形式的密钥,用户就可以加密数据或者验证签名。除复杂的证书管理工作,极大地降低 系统的开销。为了降低密钥生成器的计算开销,可以由多级密钥生成器形成树状结构,使得 私钥产生可以由多级密钥生成器来完成。
[0021] 本发明基于由云平台服务器和多个用户构成的云存储系统体系结构。任意的网络 逻辑地址都可以被非法用户伪造,网络中传播的任何数据都可以被非法用户窃听,但是一 个非法用户能够获取到的有效网络逻辑地址的数量和计算能力是有限的。以下将详细描述 构成本发明的方法的操作,实现为登入系统的用户分配合法的身份,并抵抗对系统的非法 攻击。
[0022] 在第一实施例中,云平台服务器为每个登入系统的用户都分配一个随机的身份标 识,并产生对应的私钥,对用户身份标识和其私钥进行绑定。该方法包括系统初始化和用户 登入两个阶段。
[0023] 初始化阶段:云平台服务器执行如下操作产生协议密钥参数。
[0024] 1)产生两个阶为素数p的整数加法群6。和Gi,以及一个双线性对e:GQXGQ-Gp 其中,Ptl为GC1的生成元。
[0025] 2)从伽罗华域GF(2P)中选择一个随机元素Stl作为主密钥,并计算其公钥为Qtl = s0P0〇
[0026] 3)预先选择散列函数H1, 4和SHA-I加密散列函数H3。
[0027] 4)分发密钥参数(G。,G1,e,P。,Q。,H1,H2)。
[0028] 当用户N登入系统时,首先向云平台服务器发送其网络逻辑地址LAn。云平台服务 器通过回调的方式对N进行验证,即对LAn建立一个连接,对请求的响应都将通过该连接进 行传输,从而确定N确实拥有LAn。
[0029] 接着云平台服务器与N执行密钥交换,产生一个对称密钥Kn,用来对后续产生的私 钥进行加密传输,并保护传输消息的完整性。
[0030] 云平台服务器执行操作。为用户N分配身份标识IDn和其产生时刻Tn,Tn表示IDn 的有效时间范围,为其产生对应的私钥SN,并生成一个令牌使系统中其他节点能够验证用 户N的身份,从而使用户N成为一个有效的系统节点,即:
[0031] 1)获取产生用户N的身份标识IDn的时刻TN,并计算IDn=H3 (LAN,Tn);
[0032] 2)计算用户N的公钥为Pn=H: (IDn);
[0033] 3)计算用户N的私钥为Sn=sQPN,并利用Kn加密得E(SN,Kn)。
[0034] 4)计算令牌为TokN=sQH2 (IDN,Tn);
[0035] 5)向用户N发送(IDN,TN,TokN,E(SN,Kn))。用户N接收到消息后,对消息进行验 证,然后利用Kn解密得SN。
[0036] 当N与系统中其他用户节点M联系时,向其发送(IDN,TN,TokN)。M计算并判断 e(P0,TokN) =e(Q0,H2(IDN,TN))是否成立,如果成立,说明N具有合法身份,M建立与N的联 系;否则,将拒绝N。
[0037] 当N的有效身份过期后,它需要联系云平台服务器以更新其密钥对。N向云平台服 务器发送(LAN,TN,TokN),云平台服务器对其进行验证,如果通过验证,云平台服务器将向其 发送更新后的身份标识、时刻、私钥和令牌。因此只需要通过节点的身份标识就能够直接导 出其公钥。协议不仅能为用户分配一个随机的身份标识,并且通过定义身份标识的时刻并 控制其有效期限。
[0038] 在进一步的