[发明专利]一种异构云域授权的数据安全访问方法

说明书

本发明公开了一种异构云域授权的数据安全访问方法，其通过模糊授权，实现在一个云域注册的应用程序安全地访问驻留在另一个云域的数据；系统初始化，数据所有者用第一云域中的云存储服务器生成的公钥加密数据，存储到该云存储服务器中，然后由该云存储服务器、数据所有者、第二云域的应用服务提供商和异构云域共享中心合作生成第二云域应用服务提供商的密钥，用户通过第二云域中注册的应用程序向第一云域的云存储服务器发送访问请求获得密文，解密得到在第一云域的云存储服务器中存储的数据。本发明可使数据所有者能与来自不同云域的应用程序共享其数据，增强了共享的可扩展性和灵活性，还实现异构云域之间授权的模糊性、安全性和高效性。

技术领域

本发明涉及云存储领域，特别涉及一种异构云域授权的数据安全访问方法。

背景技术

随着云计算的发展，越来越多的企业或者用户将自己的敏感数据存储在云端，已达到共享数据的目的。云存储是近年来从云计算概念衍生和发展起来的一种数据外包存储服务技术，它具有很多优势，比如易于访问，及时同步和更少的物理空间消耗等，从而得到了业内的广泛关注。与此同时，云应用服务也在推动。但是云端不是完全可信的，数据外包存储模式容易导致非授权访问，例如，云存储服务器可以在未经用户授权的情况下，获取用户的数据，泄露用户的隐私等等，这就有云存储服务器和云应用服务提供商之间的互操作和授权的需求。例如，数据所有者在Justcloud内存储了多个PDF文件，Justcloud是顶级的云存储服务。后来，数据所有者想要借助PDFMerge(一个在谷歌浏览器网上应用店注册的在线云应用服务提供商)将一些PDF文件合并为一个PDF文件。应用程序PDFMerge需要被授权访问存在于Justcloud的pdf文件，Justcloud即云存储服务；否则数据所有者必须从Justcloud下载文件，并将其上传到PDFMerge。

由于数据所有者和云应用程序来自不同的云域，在它们之间建立信任是非常具有挑战性的，还有一个是若数据所有者想授权多个文件的访问权限，则需要多于一个密钥。这时需要一种能够解决异构云域之间的授权并且减少密钥的方案。之前OAuth(一种开放的协议)是最广泛采用的授权方案，但是，解决上述存在的问题还是不可行的，因为OAuth协议需要资源数据和访问应用程序在同一个域中。例如，pixlr.com是一个针对在线编辑图片的网络应用程序，在谷歌浏览器中进行注册，可以轻松访问谷歌云端硬盘中的数据，但几乎无法编辑JustCloud中的图片。

另一种方法就是AAuth(一种授权方案)，它是由Tassanaviboon和Gong提出的，他们通过引入受信任的组织机构来维护云应用程序的完整性，提出的AAuth解决了类似的授权情况，其中所有者和消费者在不同的域中，但是AAuth中缺乏授权的可扩展性不便于多个授权。

发明内容

针对不同云域的云存储服务和应用服务提供商之间的互操作和授权的需求，本发明提供了一种异构云域授权的数据安全访问方法，使数据所有者能够与来自不同云域的应用程序共享其数据；增强了文件共享的可扩展性和灵活性；避免向应用程序发送属性，并且消除执行满足访问树过程的操作。

为了达到上述目的，本发明提供一种异构云域授权的数据安全访问方法，该方法包含以下步骤：

步骤1、系统初始化，第一云域的云存储服务器为生成系统公钥和主密钥；

步骤2、所述数据所有者利用第一云域的云存储服务器生成的公钥加密数据生成密文；

步骤3、数据所有者将该密文存储到第一云域的云存储服务器中；

步骤4、所述第一云域的云存储服务器、数据所有者、第二云域的应用服务提供商和云域共享中心共同合作，生成所述第二云域应用服务提供商的密钥；

步骤5、所述第二云域的应用服务提供商向第一云域的云存储服务器发送访问请求，获得密文数据；