[发明专利]一种云存储中的数据细粒度访问控制方法

权利要求书

1.一种云存储中的数据细粒度访问控制方法，其特征在于，包括以下步骤：

步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略，可信第三方根据属性密码机制生成公钥及主密钥，将公钥发送给数据拥有者，并将主密钥自己保留；

步骤2.数据拥有者使用对称密码机制对文件块进行加密处理，使用属性密钥机制对对称密钥进行加密处理，并将文件块密文及密钥密文发送到云端；

步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权，对用户的每一个属性，均生成一个属性密钥和一个经属性加密函数处理的属性；

步骤4.数据拥有者向可信第三方发送用户权限变更声明，可信第三方根据用户权限变更声明判断是为用户增加还是删除权限，如果是为用户增加权限，则可信第三方向用户发放属性及属性密钥，如果是为用户删除属性，则可信第三方生成重加密密钥发送给云端，由云端更新外部访问控制策略及对称密钥密文；

步骤5.用户向云端发送文件访问请求，云端根据外部访问控制策略对其做初步访问控制，并将文件包发送给合法用户，用户根据属性密码机制解密对称密钥密文，以进一步解密文件块。

2.根据权利要求1所述的数据细粒度访问控制方法，其特征在于，步骤1具体包括以下子步骤：

1.1数据拥有者选择需要上传的文件，对文件进行分块，形成文件块，并根据系统中的属性制定文件块的访问控制策略；

1.2数据拥有者提取各个文件块的访问控制策略中的公共部分，将其作为外部访问控制策略，各文件块的访问控制策略中剩余的部分作为各个文件块的内部访问控制策略；

1.3数据拥有者向可信第三方发送公钥申请，公钥申请中包含数据拥有者的身份信息；

1.4可信第三方接收来自数据拥有者的公钥申请，并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK，且不同数据拥有者的公钥及主密钥互不相同；

1.5可信第三方将生成的公钥PK发送给数据拥有者；

1.6数据拥有者接收并保存公钥PK。

3.根据权利要求1所述的数据细粒度访问控制方法，其特征在于，步骤2具体包括以下子步骤：

2.1数据拥有者根据文件块数目，利用对称密码机制随机生成对应数目的对称密钥，并利用对称密钥对数据块进行加密生成密文，每个数据块的加密密钥不同；

2.2数据拥有者将公钥PK、数据块的内部访问控制策略及对称密钥作为输入、采用属性密码机制对对称密钥进行加密，以生成对称密钥密文；

2.3数据拥有者对外部访问控制策略中的属性进行属性加密函数处理；

2.4数据拥有者将步骤（2.1）中生成的数据块密文、步骤（2.2）中生成的对应的对称密钥密文、步骤（2.3）中生成的经属性加密函数处理后的外部访问控制策略作为一个数据包，整体上传至云端；

2.5云端接收并存储来自数据拥有者的数据包。

4.根据权利要求1所述的数据细粒度访问控制方法，其特征在于，步骤3具体包括以下子步骤：

3.1判断登录进入系统的用户是否是首次登录用户，如果该用户是首次登录用户，转步骤（3.2）；如果该用户不是首次登录用户，转步骤（3.8）；

3.2用户向数据拥有者发送授权申请；

3.3数据拥有者接收用户授权申请，根据用户授权申请为用户指定属性，根据指定的属性生成用户授权声明，并将用户授权声明发送至可信第三方；

3.4可信第三方接收用户授权申请，在用户属性信息表中加入用户的属性信息，将步骤（1.3）中生成的主密钥、用户的属性作为输入，采用属性密码机制为用户生成属性密钥；

3.5可信第三方将用户的属性使用属性加密函数处理；

3.6可信第三方将步骤（3.4）中生成的属性密钥及步骤（3.5）中经属性加密函数处理后的属性发送给用户；

3.7用户接收并保存属性密钥及加密后的属性；

3.8用户向可信第三方发送权限更新申请；

3.9可信第三方根据权限更新申请检查该用户是否有需要更新的属性，如果有需要更新的属性，转步骤（3.10），否则转步骤（3.12）；

3.10可信第三方将用户需要更新的属性密钥及经过属性加密函数处理的更新属性发送该用户；

3.11用户接收并保存属性密钥及加密后的属性；

3.12可信第三方发送消息给用户，通知用户没有需要更新的属性。