| 发明名称 | 云计算的一个分布式访问控制方法 | ||
| 摘要 | 本发明公开了一种云计算的一个分布式访问控制方法,属于云计算安全技术领域。本方法包括如下步骤:(1)角色创建删除阶段:通过云服务器CS,授权服务器AS和发行人这三个实体之间的沟通实现创建和删除文件及其相关的角色。(2)角色分配阶段:通过发行人、数据用户DU,云服务器CS和授权服务器AS这四个实体之间的沟通实现把角色分配给数据用户。(3)访问控制阶段:通过云服务器CS和数据用户DU之间的沟通实现对云服务器CS上文件的访问控制。本发明把访问控制过程从授权过程中分离了出来,使得授权服务器的负担减小,并且避免了授权服务器的分布式拒绝服务(DDOS)攻击。 | ||
| 申请公布号 | CN103338232B | 申请公布日期 | 2016.09.21 |
| 申请号 | CN201310221993.0 | 申请日期 | 2013.06.06 |
| 申请人 | 东南大学 | 发明人 | 万长胜;周琳 |
| 分类号 | H04L29/08(2006.01)I;H04L9/32(2006.01)I;G06F21/56(2013.01)I | 主分类号 | H04L29/08(2006.01)I |
| 代理机构 | 南京经纬专利商标代理有限公司 32200 | 代理人 | 许方 |
| 主权项 | 一种云计算的一个分布式访问控制方法,其特征在于,包括如下步骤:(1)角色创建删除阶段:该阶段通过云服务器CS,授权服务器AS和发行人这三个实体之间的沟通实现创建和删除文件及其相关的角色;具体包括:发行人<img file="dest_path_image001.GIF" wi="51" he="27" />把<img file="825578dest_path_image002.GIF" wi="123" he="24" />发送给AS,其中S表示所有发行人的集合,<img file="dest_path_image003.GIF" wi="74" he="25" />是文件名,<img file="726800dest_path_image004.GIF" wi="10" he="10" />是操作类型,并且<img file="dest_path_image005.GIF" wi="30" he="26" />是一个3位的整数,它代表文件的允许角色;当接收到<img file="494905dest_path_image002.GIF" wi="123" he="25" />时,AS把它传递给CS,当接收到<img file="892388dest_path_image002.GIF" wi="121" he="23" />时,CS根据操作类型<img file="185091dest_path_image004.GIF" wi="10" he="9" />对文件<img file="326223dest_path_image006.GIF" wi="33" he="21" />进行操作,然后CS将操作的结果<img file="dest_path_image007.GIF" wi="20" he="16" />返回给AS;当接收到操作的结果<img file="948834dest_path_image007.GIF" wi="16" he="9" />时,AS检查<img file="284263dest_path_image007.GIF" wi="17" he="10" />,如果<img file="297218dest_path_image008.GIF" wi="38" he="14" />,AS则把角色<img file="242040dest_path_image005.GIF" wi="30" he="19" />存储到它的数据库中,最后,AS将结果号码<img file="656841dest_path_image007.GIF" wi="17" he="9" />返回给发行人;(2)角色分配阶段:该阶段通过发行人,数据用户DU,云服务器CS和授权服务器AS这四个实体之间的沟通实现把角色分配给数据用户;具体包括:AS创建一个以<img file="dest_path_image009.GIF" wi="17" he="18" />为基点的椭圆曲线<img file="225488dest_path_image010.GIF" wi="18" he="19" />,然后创建自己的私有密钥<img file="dest_path_image011.GIF" wi="54" he="18" />,其中<img file="788056dest_path_image012.GIF" wi="16" he="17" />表示表示以n为模的剩余类环,以及相应的公共密钥<img file="dest_path_image013.GIF" wi="78" he="18" />,创建成功后,AS通过把<img file="846491dest_path_image014.GIF" wi="57" he="19" />和椭圆曲线<img file="381377dest_path_image010.GIF" wi="18" he="18" />的参数发送给CS来实现CS的初始化,然后CS返回成功值给AS;当发行人<img file="dest_path_image015.GIF" wi="13" he="14" />为了访问文件<img file="120925dest_path_image006.GIF" wi="31" he="17" />而希望将一个角色<img file="108473dest_path_image016.GIF" wi="44" he="20" />分配给DU时,发行人把<img file="dest_path_image017.GIF" wi="138" he="20" />发送给AS,其中<img file="457415dest_path_image018.GIF" wi="14" he="16" />是角色号码,<img file="dest_path_image019.GIF" wi="13" he="13" />是角色到期时间;在收到发行人发送的消息时,AS创建一个密钥对<img file="145010dest_path_image020.GIF" wi="67" he="17" />,并利用散列函数为DU生成一个签名<img file="dest_path_image021.GIF" wi="43" he="16" />,然后将重要特征参数构成记号<img file="553995dest_path_image022.GIF" wi="248" he="22" />伴随着私钥<img file="dest_path_image023.GIF" wi="16" he="12" />发送给DU,DU收到记号<img file="592620dest_path_image024.GIF" wi="18" he="17" />和私钥<img file="620619dest_path_image023.GIF" wi="18" he="12" />后回复给AS一次成功的部署,AS收到DU的回复后再回复给发行人一次成功的部署;(3)访问控制阶段:该阶段通过云服务器CS和数据用户DU之间的沟通实现对云服务器CS上文件的访问控制:具体包括:当数据使用者<img file="dest_path_image025.GIF" wi="15" he="16" />想要访问文件<img file="926835dest_path_image006.GIF" wi="32" he="19" />时,它会把重要的特征参数构成的相应的记号<img file="680290dest_path_image026.GIF" wi="19" he="20" />发送给CS,CS接收到记号<img file="642430dest_path_image026.GIF" wi="19" he="20" />时利用配对函数进行验证以确保DU的角色被AS分配,然后CS发送一个挑战值给DU,DU接收到挑战值时,利用散列函数计算出一个签名<img file="dest_path_image027.GIF" wi="14" he="14" />,并把<img file="333174dest_path_image027.GIF" wi="15" he="14" />发送给CS,CS利用配对函数进行验证以确保记号<img file="198624dest_path_image026.GIF" wi="22" he="21" />确实是由DU发送过来的,只有当验证成功时,CS才可以把角色<img file="621515dest_path_image028.GIF" wi="42" he="19" />做为DU的角色。 | ||
| 地址 | 210096 江苏省南京市四牌楼2号 | ||