一种基于用户身份能力的细粒度云平台安全接入控制方法

摘要

本发明涉及一种基于用户身份能力的细粒度云平台安全接入控制方法，属于资源访问技术领域；本发明将数据拥有者上传的文件分为控制字段和密文字段，将密文字段存储在云端物理节点，由云服务器保存控制字段，并由云服务器代理进行介入控制，对网络资源合理分配，减轻数据拥有者的负担，在接入权限重定向的过程中只需局部更新控制列表即可，将每个全局唯一文件编号标识符和全局唯一用户身份标识符相关联，并绑定用户的操作权限，做到细粒度的接入控制，对上传的身份‑权限‑密文列表进行加密处理，保证用户信息和文件信息的机密性和完整性，在第三方云平台降低了信息泄露的风险。

主权项

一种基于用户身份能力的细粒度云平台安全接入控制方法，其特征在于，所述方法包括如下步骤：步骤一：注册；(1)用户将自身的身份在数据属主处登记，数据拥有者通过安全信道为每个合法用户编号并返回一个全局唯一用户身份标识符，所述全局唯一用户身份标识符全局唯一证明用户的身份，每个合法用户通过公钥算法产生公钥/私钥，并通过公钥基础设施与云服务器交换彼此公钥；(2)数据拥有者将文件编号分配全局唯一文件编号标识符，并根据用户身份划分用户操作权限，将合法用户的全局唯一用户身份标识符及相关操作权限写入对应全局唯一文件编号标识符下，并计算全局唯一用户身份标识符和全局唯一文件编号标识符的摘要，并将所述全局唯一用户身份标识符可授权接入的全局唯一文件编号标识符值返回给该用户；(3)数据拥有者产生一些列公钥私钥对，将所需上传的文件用公钥加密，并将其解密的私钥用用户的公钥加密，连同文件、全局唯一用户身份标识符/全局唯一文件编号标识符的摘要一同生成身份‑权限‑密文控制表，通过安全信道发送给云服务器；(4)云服务器将用户上传的数据用自身公钥加密，将密文字段上传至云端，服务器端保留其控制字段；步骤二：鉴权；(1)用户向服务器发送请求，利用本地主机计算全局唯一文件编号标识符和全局唯一用户身份标识符的摘要；用户在请求阶段盖上即刻的时间戳和随机数防止重放攻击；用户将以上所有信息用云服务器的公钥加密后传送；(2)云服务器接收到的请求包进行解密，首先判断其现时数和时间戳是否过期，如若过期则判定为重放信息，直接丢弃该请求包不予处理；将收到的全局唯一文件编号标识符、全局唯一用户身份标识符摘要与控制字段中的值进行比对；若三者匹配，即判定为合法请求，否则，则拒绝提供云服务；云服务器将云端的资料用自身密钥解密，并发送给用户；(3)用户接收到从云服务器发送来的文件后，用自身的私钥恢复出解密密文的私钥，再使用其解密密文，用户根据自身的权限可对明文文件做相应的操作；步骤三：权限重定向；将用户的接入权限分为3个级别为读操作、写操作、执行操作，所述权限默认大小为执行操作>写操作>读操作；当数据拥有者需要对文件或者用户的权限进行重定向时，包括如下步骤：(1)当数据拥有者需要对某个文件进行删除操作时，只需将其全局唯一文件编号标识符在控制列表中删除即可，更新之后将其表格上传至云服务器；(2)当数据拥有者需要对某个用户的全部权限进行撤销时，只需将其全局唯一用户身份标识符在控制列表中删除即可，更新之后将其表格上传至云服务器；(3)当数据拥有者需要对某个用户的权限进行重定向时，数据拥有者首先将该用户的全局唯一用户身份标识符从原先的权限列表中删除，接着找到需要重定向的文件，并将用户的操作权限连同该用户的全局唯一用户身份标识符和操作权限一起写入全局唯一文件编号标识符下。