云环境下基于可信第三方属性模糊分组的隐私保护方法

摘要

本发明涉及云环境下基于可信第三方属性模糊分组的隐私保护方法。所述方法包括基于属性模糊分组的访问控制方法和基于可信第三方保护的交互协议两部分，主要针对云用户注册、云端数据创建、云端数据访问三个阶段，各阶段均支持直接交互和间接交互两类交互方式。通过采用基于属性模糊分组的访问控制方法，可信第三方在上述三个阶段实现了访问实体、访问控制策略和用户请求的转化，既有效防止用户隐私信息的泄露，又确保匿名访问用户的真实性；通过基于可信第三方保护的交互协议，规定了用户、可信第三方、云服务方三者间的交互行为，并在协议中融入数据加密、时间戳等技术手段，进一步保障了三者交互过程中用户数据及其身份和属性隐私的安全性。

主权项

云环境下基于可信第三方属性模糊分组的隐私保护方法，其特征在于包括以下步骤：步骤1：云用户注册；步骤1.1：采用直接方式注册；（1）用户向云服务方提交直接注册请求；（2）云端响应用户注册请求，同时，云端向可信第三方发送属性本体，可信第三方根据该属性本体提供匿名注册方式；步骤1.2：采用匿名方式注册；（1）用户向可信第三方提交匿名注册请求；（2）可信第三方采用基于属性模糊分组的实体转化方法对匿名注册用户进行属性模糊分组，为用户分配模糊标识，可信第三方响应用户请求；步骤2：创建数据；数据创建可选择直接创建和匿名创建两种方式，数据拥有者需创建数据并自定义数据的访问权限声明，访问权限声明是基于属性的，同时包含直接访问权限声明和匿名访问权限声明两部分，每部分均由值域为{0,1}的访问开关控制是否允许用户直接访问或匿名访问数据；步骤2.1：采用直接方式创建数据；（1）用户直接向云服务方提交数据创建请求，提交数据和数据的访问权限声明；若此时数据拥有者允许该数据被匿名访问，开启匿名访问开关，向可信第三方提交匿名访问权限声明；（2）可信第三方采用基于属性模糊分组的访问控制策略转化方法将匿名访问权限声明转化为基于属性模糊分组的访问控制策略，并发送给云服务方；（3）云服务方存储数据，并根据直接访问权限声明和可信第三方发来的基于属性模糊分组的访问控制策略生成并存储数据的访问控制策略，并向用户返回创建请求的响应；步骤2.2：采用匿名方式创建数据；（1）数据拥有者向可信第三方提交数据创建请求，提交数据和数据访问权限声明；此过程中，若数据拥有者允许该数据被直接访问，开启直接访问开关，向可信第三方提交直接访问权限声明；（2）可信第三方采用基于属性模糊分组的访问控制策略转化方法，将匿名访问权限声明转化为基于属性模糊分组的访问控制策略，再将基于属性模糊分组的访问控制策略与直接访问权限声明以及数据一同发送到云服务方；（3）云服务方存储数据，并根据可信第三方发来的直接访问权限声明和基于属性模糊分组的访问控制策略生成并存储数据的访问控制策略，同时，由第三方向数据拥有者转发创建请求的响应；步骤3：进行数据访问；数据访问可选择直接交互方式和匿名交互方式；若用户选择直接交互方式，则用户将数据访问请求直接发给云服务方，云服务方依据数据的访问控制策略对用户请求作出决策；若用户选择匿名交互方式，则将用户请求发给可信第三方，可信第三方将转化后的基于模糊标识的用户请求转发到云服务方，云服务方依据用户的模糊标识和基于属性模糊分组的访问控制策略对基于模糊标识的用户请求作出决策；步骤3.1：采取直接方式进行数据访问；（1）用户直接向云服务方提交访问请求；（2）云服务方根据数据的访问控制策略对用户请求进行分析，并响应用户请求；步骤3.2：采取匿名方式进行数据访问；（1）用户向可信第三方提交数据访问请求；（2）可信第三方采用基于模糊标识的用户请求转化方法，将用户请求转化为基于模糊标识的用户请求，将其转发给云服务方；（3）云服务方根据基于属性模糊分组的访问控制策略，对基于模糊标识的用户请求进行分析，并响应用户请求，此后由可信第三方将云服务方的响应转发给用户。