一種數據共享方法、系統、設備及計算機可讀存儲介質與流程

文檔序號:18160814發布日期:2019-07-13 09:19
一種數據共享方法、系統、設備及計算機可讀存儲介質與流程

本申請涉及云存儲中用戶數據安全領域,特別涉及一種數據共享方法、系統、設備及計算機可讀存儲介質。



背景技術:

混合云同時具有公有云大量的數據存儲空間和私有云更為安全可靠的雙重特點,因此混合云被很多公司所接納,具有廣泛的實際應用市場。借助云存儲服務,公司為了減少管理負擔和節省運維成本,允許他們的員工隨時隨地的存儲和共享數據。然而,由于數據所有權與管理權分離,云服務提供商并非完全可信,利用云存儲服務進行群用戶數據共享存在以下幾個問題。其一,群用戶中存在用戶端因為計算能力有限,導致群用戶隨時隨地的共享與訪問數據受到影響。其二,頻繁的云存儲數據泄漏事件阻礙了數據共享的發展。其三,用戶身份隱私的安全性也是數據共享需要考慮的重要因素,身份信息在用戶數據共享和訪問中的泄漏是許多用戶關注的問題。另外,還需要考慮以下兩點情況:一個公司不同部門成員所具有的訪問權限應該有所區別。由于群用戶是動態的,用戶可能在某個時間加入該群或某個時間退出該群,這種情況是無法人為控制。

為了實現云數據高效安全共享,傳統的數據共享方法有以下幾種:1、一種Mona的共享方案,該方案通過利用組簽名和動態廣播加密技術對數據文件進行加密,利用身份匿名技術保障用戶身份隱私。該方案能夠實現靈活的訪問控制和用戶身份查詢等,具有較好的安全性,但用戶端的計算量和復雜度較大。2、一種具有委托功能的共享方法,將部分加解密委托給私有云,從而降低了用戶端的計算量,但不能保證用戶身份及屬性隱私安全。3、一種將ABE的計算密集型訪問控制操作外包到共享云上的方案,從而減輕了用戶端的計算負擔,并且能夠實現細粒度的訪問控制,但該方案不適用于多對對的群數據共享。4、一種平衡對稱不完全塊的設計(SBIBD),利用兩輪密鑰協商實現群數據在云中共享的安全,群用戶利用自己的密鑰對,協商出一個所有用戶的私鑰都能解密密文的公鑰,允許部分用戶不在線,該方案適用于群數據共享,但用戶端需要進行大量的雙線性和點乘等運算。

因此,如何在實現用戶數據安全以及共享數據的細粒度訪問控制時,降低用戶端的計算量是本領域技術人員亟需解決的技術問題。



技術實現要素:

本申請的目的是提供一種數據共享方法、系統、設備及計算機可讀存儲介質,能夠在實現用戶數據安全以及共享數據的細粒度訪問控制時,降低用戶端的計算量。

為解決上述技術問題,本申請提供一種數據共享方法,包括:

私有云在接收到用戶的屬性值后,判斷所述屬性值與所述私有云中的訪問控制樹是否匹配;

若是,則利用簽名算法對所述屬性值進行簽名操作得到簽名屬性值,并將所述簽名屬性值發送至公有云;

所述公有云在利用驗證簽名算法驗證所述簽名屬性值通過后,將所述簽名屬性值對應的密文文件發送至所述用戶。

優選地,所述私有云在接收到用戶的屬性值后,判斷所述屬性值與所述私有云中的訪問控制樹是否匹配之前,還包括:

在數據所有者客戶端將所述密文文件上傳至所述私有云后,生成所述密文文件對應的屬性控制樹發送至可信認證中心;

所述可信認證中心將所述屬性控制樹轉換為所述訪問控制樹后,將所述訪問控制樹及對應的密鑰發送至所述私有云;

所述私有云根據所述密鑰對所述密文文件進行簽名得到簽名密文文件,并將所述簽名密文文件發送至所述公有云;

所述公有云在驗證所述簽名密文文件的合法性后,將所述密文文件進行存儲。

優選地,所述將所述密文文件進行存儲之后,還包括:

接收所述數據所有者客戶端發送的密文文件刪除請求;

根據所述密文文件刪除請求刪除對應的密文文件。

優選地,所述將所述簽名屬性值對應的密文文件發送至所述用戶之后,還包括:

將所述密文文件解密為對應的明文文件;

對所述明文文件進行驗證操作以驗證所述明文文件的完整性。

本申請還提供一種數據共享系統,包括:

匹配判斷模塊,用于私有云在接收到用戶的屬性值后,判斷所述屬性值與所述私有云中的訪問控制樹是否匹配;

簽名操作模塊,用于若所述屬性值與所述訪問控制樹匹配,則利用簽名算法對所述屬性值進行簽名操作得到簽名屬性值,并將所述簽名屬性值發送至公有云;

密文文件發送模塊,用于所述公有云在利用驗證簽名算法驗證所述簽名屬性值通過后,將所述簽名屬性值對應的密文文件發送至所述用戶。

優選地,該數據共享系統還包括:

屬性控制樹生成模塊,用于在數據所有者客戶端將所述密文文件上傳至所述私有云后,生成所述密文文件對應的屬性控制樹發送至可信認證中心;

訪問控制樹發送模塊,用于所述可信認證中心將所述屬性控制樹轉換為所述訪問控制樹后,將所述訪問控制樹及對應的密鑰發送至所述私有云;

簽名密文文件獲取模塊,用于所述私有云根據所述密鑰對所述密文文件進行簽名得到簽名密文文件,并將所述簽名密文文件發送至所述公有云;

密文文件存儲模塊,用于所述公有云在驗證所述簽名密文文件的合法性后,將所述密文文件進行存儲。

優選地,該數據共享系統還包括:

密文文件刪除請求接收模塊,用于接收所述數據所有者客戶端發送的密文文件刪除請求;

密文文件刪除模塊,用于根據所述密文文件刪除請求刪除對應的密文文件。

優選地,該數據共享系統還包括:

密文文件解密模塊,用于將所述密文文件解密為對應的明文文件;

明文文件驗證模塊,用于對所述明文文件進行驗證操作以驗證所述明文文件的完整性。

本申請還提供一種設備,包括:

存儲器和處理器;其中,所述存儲器用于存儲計算機程序,所述處理器用于執行所述計算機程序時實現上述所述的數據共享方法的步驟。

本申請還提供一種計算機可讀存儲介質,所述計算機可讀存儲介質存儲有計算機程序,所述計算機程序被處理器執行時實現上述所述的數據共享方法的步驟。

本申請所提供的一種數據共享方法,包括:私有云在接收到用戶的屬性值后,判斷所述屬性值與所述私有云中的訪問控制樹是否匹配;若是,則利用簽名算法對所述屬性值進行簽名操作得到簽名屬性值,并將所述簽名屬性值發送至公有云;所述公有云在利用驗證簽名算法驗證所述簽名屬性值通過后,將所述簽名屬性值對應的密文文件發送至所述用戶。

該方法將簽名操作以及密文文件對應的簽名屬性值驗證外包給混合云,即私有云進行簽名操作,公有云進行簽名屬性值的驗證,能夠在實現用戶數據安全以及共享數據的細粒度訪問控制時,降低用戶端的計算量。本申請還提供一種數據共享系統、設備及計算機可讀存儲介質,均具有上述有益效果,在此不再贅述。

附圖說明

為了更清楚地說明本申請實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據提供的附圖獲得其他的附圖。

圖1為本申請實施例所提供的一種數據共享方法的流程圖;

圖2為本申請實施例所提供的一種數據共享系統的結構框圖。

具體實施方式

本申請的核心是提供一種數據共享方法,能夠在實現用戶數據安全以及共享數據的細粒度訪問控制時,降低用戶端的計算量。本申請的另一核心是提供一種數據共享系統、設備及計算機可讀存儲介質。

為使本申請實施例的目的、技術方案和優點更加清楚,下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是本申請一部分實施例,而不是全部的實施例?;诒旧暾堉械膶嵤├?,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬于本申請保護的范圍。

為了實現云數據高效安全共享,傳統的數據共享方法有以下幾種:1、一種Mona的共享方案,該方案通過利用組簽名和動態廣播加密技術對數據文件進行加密,利用身份匿名技術保障用戶身份隱私。該方案能夠實現靈活的訪問控制和用戶身份查詢等,具有較好的安全性,但用戶端的計算量和復雜度較大。2、一種具有委托功能的共享方法,將部分加解密委托給私有云,從而降低了用戶端的計算量,但不能保證用戶身份及屬性隱私安全。3、一種將ABE的計算密集型訪問控制操作外包到共享云上的方案,從而減輕了用戶端的計算負擔,并且能夠實現細粒度的訪問控制,但該方案不適用于多對對的群數據共享。4、一種平衡對稱不完全塊的設計(SBIBD),利用兩輪密鑰協商實現群數據在云中共享的安全,群用戶利用自己的密鑰對,協商出一個所有用戶的私鑰都能解密密文的公鑰,允許部分用戶不在線,該方案適用于群數據共享,但用戶端需要進行大量的雙線性和點乘等運算。本申請提供的一種數據共享方法,能夠在實現用戶數據安全以及共享數據的細粒度訪問控制時,降低用戶端的計算量,具體請參考圖1,圖1為本申請實施例所提供的一種數據共享方法的流程圖,該數據共享方法具體包括:

S101、私有云在接收到用戶的屬性值后,判斷屬性值與私有云中的訪問控制樹是否匹配;

本申請實施例中私有云在接收到用戶的屬性值后,判斷屬性值與私有云中的訪問控制樹(通常設為T2)是否匹配。在此對屬性值不作具體限定,應由本領域技術人員根據實際情況作出相應的設定。在此對用戶獲取屬性值的過程也不作具體限定,該過程具體可以為:用戶向可信認證中心(CA)發送注冊申請,CA將用戶身份進行匿名化處理,為用戶分配全局唯一標識符和屬性,全局唯一標識符可作為用戶的匿名身份,CA根據用戶的屬性生成對應屬性值,且秘密保存用戶的全局唯一標識符和屬性值。

本申請實施例中每個用戶具有多個屬性及相對應的屬性值,訪問結構使用多值“與”“或”門來表達。設本申請實施例中共有n種屬性,m個用戶,atti={att1,att2,…attn}表示屬性集合,用Vi={vi,1,vi,2,…,vi,ni}表示第i個屬性可能的取值集合,其中,ni表示a tt可能取值的個數。設屬性控制結構V=[attx1,attx2,…attxi](xi∈[1,n]),屬性值訪問結構W=[W1,W2,…,Wm],m∈[1,n],元素Wm均為atti中的一個子集。

進一步地,在私有云在接收到用戶的屬性值后,判斷屬性值與私有云中的訪問控制樹是否匹配之前,通常還可以包括:在數據所有者客戶端將密文文件上傳至私有云后,生成密文文件對應的屬性控制樹(通常設為T1)發送至可信認證中心;可信認證中心將屬性控制樹轉換為訪問控制樹后,將訪問控制樹及對應的密鑰發送至私有云;私有云根據密鑰對密文文件進行簽名得到簽名密文文件,并將簽名密文文件發送至公有云;公有云在驗證簽名密文文件的合法性后,將密文文件進行存儲。具體過程可以如下:

數據所有者客戶端需要上傳明文文件給群用戶共享時,數據所有者客戶端將明文文件加密得到密文文件后上傳至私有云中后,先將屬性控制結構V轉換成一棵屬性控制樹(通常設為T1),樹中的葉子節點表示屬性,非葉子節點表示“與”“或”門。數據所有者客戶端將屬性控制樹傳遞給CA,CA將屬性控制樹轉換成訪問控制樹(通常設為T2)。CA將T1葉子節點的屬性替換成“或”門,該節點的葉子節點為該屬性的屬性值,屬性值vi,j表示atti的第j個屬性值,從而構成了含屬性值的訪問控制樹T2。惡意用戶及云服務提供商無法憑借密文獲得有關數據所有者和可解密用戶的屬性信息,從而達到屬性隱藏的目的。當然解密者也僅知道自己有能力解密該密文,而不能獲得其他解密者的信息。

可信認證中心將屬性控制樹轉換為訪問控制樹后,將訪問控制樹及對應的密鑰發送至私有云。本申請實施例中密文文件的簽名外包給私有云,當私有云接收到密文文件,首先驗證匿名用戶身份及身份標簽是否為群成員。如果驗證為群成員,接收密文文件;否則,拒絕接收密文文件。私有云接收到CA提供的該密文文件的含屬性值的訪問控制樹T2后,使用簽名算法對密文文件進行簽名得到簽名密文文件,并將簽名密文文件發送至公有云,公有云通過驗證簽名算法,認證簽名密文文件的合法性,若合法,則存儲密文文件;否則,不接收該密文文件。其中,私有云對密文文件進行簽名的簽名算法,本申請實施例在此不作具體限定。相應的,公有云對簽名密文文件進行合法性認證的驗證簽名算法,本申請實施例在此不作具體限定,需根據實際情況而定。

進一步地,將密文文件進行存儲之后,通常還可以包括:接收數據所有者客戶端發送的密文文件刪除請求;根據密文文件刪除請求刪除對應的密文文件。具體地,數據所有者客戶端向私有云發送密文文件刪除請求,私有云通過身份標簽驗證該數據文件為該群用戶所有后,通過簽名算法進行簽名,并將簽名發送給公有云,公有云驗證簽名。若簽名通過,公有云對該密文文件進行刪除;否則,拒絕對該密文文件進行刪除。

此外,本申請實施例還可利用撤銷算法將用戶及其屬性進行撤銷。具體地,當有群用戶需要撤銷時,CA刪除存儲在本地的用戶的屬性值,CA向私有云發送需刪除的匿名用戶,私有云將找到其屬性值并刪除;當有群用戶的屬性需要撤銷時,CA刪除存儲在本地的屬性及屬性值集合,CA向私有云發送需刪除的屬性值集合,私有云將刪除所有訪問控制樹T2中含有該屬性值集合的屬性值。

S102、若屬性值與私有云中的訪問控制樹匹配,則利用簽名算法對屬性值進行簽名操作得到簽名屬性值,并將簽名屬性值發送至公有云;

S103、公有云在利用驗證簽名算法驗證簽名屬性值通過后,將簽名屬性值對應的密文文件發送至用戶。

本申請實施例對簽名算法不作具體限定,應由本領域技術人員根據實際情況作出相應的設定。在此對驗證簽名算法也不作具體限定,需根據實際情況而定。

進一步地,將簽名屬性值對應的密文文件發送至用戶之后,還可以包括:將密文文件解密為對應的明文文件;對明文文件進行驗證操作以驗證明文文件的完整性。

進一步地,本申請實施例還可以進行文件追蹤。具體地,當發現所共享的數據文件存在虛假或違法等行為時,CA能夠對所共享數據文件的擁有者進行真實身份追蹤。根據數據文件中的匿名身份,CA通過查詢能夠輕易的找到數據擁有者真實身份信息,并進行相應的處理。

本申請將簽名操作以及密文文件對應的簽名屬性值驗證外包給混合云,即私有云進行簽名操作,公有云進行簽名屬性值的驗證,由于群用戶中各個用戶端計算能力不盡相同,存在個別用戶端計算能力受限,所以本發明能夠在實現用戶數據安全以及共享數據的細粒度訪問控制時,降低用戶端的計算量,使計算能力受限的用戶能夠正常的共享與訪問群數據。

下面對本申請實施例提供的一種數據共享系統、設備及計算機可讀存儲介質進行介紹,下文描述的數據共享系統、設備及計算機可讀存儲介質與上文描述的數據共享方法可相互對應參照。

請參考圖2,圖2為本申請實施例所提供的一種數據共享系統的結構框圖;該數據共享系統包括:

匹配判斷模塊201,用于私有云在接收到用戶的屬性值后,判斷屬性值與私有云中的訪問控制樹是否匹配;

簽名操作模塊202,用于若屬性值與訪問控制樹匹配,則利用簽名算法對屬性值進行簽名操作得到簽名屬性值,并將簽名屬性值發送至公有云;

密文文件發送模塊203,用于公有云在利用驗證簽名算法驗證簽名屬性值通過后,將簽名屬性值對應的密文文件發送至用戶。

基于上述實施例,本實施例中該數據共享系統還包括:

屬性控制樹生成模塊,用于在數據所有者客戶端將密文文件上傳至私有云后,生成密文文件對應的屬性控制樹發送至可信認證中心;

訪問控制樹發送模塊,用于可信認證中心將屬性控制樹轉換為訪問控制樹后,將訪問控制樹及對應的密鑰發送至私有云;

簽名密文文件獲取模塊,用于私有云根據密鑰對密文文件進行簽名得到簽名密文文件,并將簽名密文文件發送至公有云;

密文文件存儲模塊,用于公有云在驗證簽名密文文件的合法性后,將密文文件進行存儲。

基于上述實施例,本實施例中該數據共享系統還包括:

密文文件刪除請求接收模塊,用于接收數據所有者客戶端發送的密文文件刪除請求;

密文文件刪除模塊,用于根據密文文件刪除請求刪除對應的密文文件。

基于上述實施例,本實施例中該數據共享系統還包括:

密文文件解密模塊,用于將密文文件解密為對應的明文文件;

明文文件驗證模塊,用于對明文文件進行驗證操作以驗證明文文件的完整性。

本申請還提供一種設備,包括:存儲器和處理器;其中,存儲器用于存儲計算機程序,處理器用于執行計算機程序時實現上述任意實施例的數據共享方法的步驟。

本申請還提供一種計算機可讀存儲介質,計算機可讀存儲介質存儲有計算機程序,計算機程序被處理器執行時實現上述任意實施例的數據共享方法的步驟。

該計算機可讀存儲介質可以包括:U盤、移動硬盤、只讀存儲器(Read-Only Memory,ROM)、隨機存取存儲器(Random Access Memory,RAM)、磁碟或者光盤等各種可以存儲程序代碼的介質。

說明書中各個實施例采用遞進的方式描述,每個實施例重點說明的都是與其他實施例的不同之處,各個實施例之間相同相似部分互相參見即可。對于實施例提供的系統而言,由于其與實施例提供的方法相對應,所以描述的比較簡單,相關之處參見方法部分說明即可。

專業人員還可以進一步意識到,結合本文中所公開的實施例描述的各示例的單元及算法步驟,能夠以電子硬件、計算機軟件或者二者的結合來實現,為了清楚地說明硬件和軟件的可互換性,在上述說明中已經按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執行,取決于技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能,但是這種實現不應認為超出本發明的范圍。

結合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件、處理器執行的軟件模塊,或者二者的結合來實施。軟件模塊可以置于隨機存儲器(RAM)、內存、只讀存儲器(ROM)、電可編程ROM、電可擦除可編程ROM、寄存器、硬盤、可移動磁盤、CD-ROM、或技術領域內所公知的任意其它形式的存儲介質中。

以上對本申請所提供的一種數據共享方法、系統、設備及計算機可讀存儲介質進行了詳細介紹。本文中應用了具體個例對本申請的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本申請的方法及其核心思想。應當指出,對于本技術領域的普通技術人員來說,在不脫離本申請原理的前提下,還可以對本申請進行若干改進和修飾,這些改進和修飾也落入本申請權利要求的保護范圍內。

再多了解一些
當前第1頁1 2 3 
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
做爱视频