[发明专利]一种云环境下轻量级的细粒度访问控制方法

权利要求书

1.一种云环境下轻量级的细粒度访问控制方法，其特征在于，包括以下步骤：

步骤1：上传数据及初始化，其实现方式为：

一方面，数据拥有者通过自己的公钥本地加密所要上传的明文数据，得到密文数据；然后将所述的密文数据上传至云端；

另一方面，根据数据拥有者的访问控制需求，构造相应的权限控制节点层；

步骤2：数据的授权，其实现方式包括如下步骤：

步骤2.1：确定授权数据，针对每个所要授权的数据，生成一个对应的数据镜像，如果所述的数据需要被多次授权，则相应生成多个镜像，所述的数据拥有者为所述的每个镜像生成一个公私钥对；

步骤2.2：计算所述的数据与其镜像之间的代理重加密密钥，存储在云端；

步骤2.3：计算会话密钥，对于每一个被授权用户，所述的数据拥有者通过自己的私钥与所述的授权用户的公钥及公开参数构造出一个会话密钥，所述的用户指一个单用户或者一个用户群组；

步骤2.4：通过所述的会话密钥对所述的镜像的私钥进行加密，将加密后的密文存储于所述的权限控制节点，同时更新所述的权限控制节点中所述的授权用户信息；

步骤3：数据的读取：

所述的用户请求读取所述的某个数据，系统首先根据所述的权限控制节点判断所述的当前用户是否拥有该数据访问权限，如果有，则将所述的用户请求的数据经过镜像的重加密以及其权限控制节点中加密的镜像私钥发送给所述的用户，所述的用户在客户端则通过第一轮解密获得所述的镜像私钥，然后利用该私钥进行第二轮解密并最终获得所述的明文数据；否则，拒绝所述的用户请求；

步骤4：授权撤销：

所述的被授权用户被请求撤销授权，系统判断所述的被授权用户与所述的数据之间是否存在访问路径，如果不存在，拒绝所述的请求；如果存在，系统判断所述的权限控制节点是否存在该用户信息，如果有：

如果所述的数据只对应一个镜像，则直接从云端删除该数据镜像，并清空其权限控制节点信息；

如果所述的数据只对应一个镜像，但是只针对部分用户执行授权撤销，则首先清空权限控制节点中的对应用户信息，其次对当前镜像重新生成公私钥对，并生成以该公私钥对为目标的重加密密钥，以及加密处理其私钥，最后更新权限控制节点中的用户授权信息为加密后的镜像私钥；

如果所述的数据对应于多个镜像，且需要对所有镜像执行授权撤销，则删除对应镜像，并更新权限控制节点中的被授权用户信息；

如果所述的数据对应于多个镜像，但是执行多镜像中部分用户的授权撤销，则针对相关的每一个镜像，首先清空权限控制节点中的对应用户信息，其次对当前镜像重新生成公私钥对，并生成以该公私钥对为目标的重加密密钥，以及加密处理其私钥，最后更新权限控制节点中的用户授权信息为加密后的镜像私钥；

否则，拒绝所述的请求；

步骤5：数据更新，当对云端的某些所述的数据进行更新后，

如果是对其访问授权保持不变，则不执行任何操作；

如果需要撤销某些所述的授权，则按照所述的步骤4中的授权撤销执行；

如果需要新增访问授权，则按照所述的步骤2中的数据授权执行。

2.根据权利要求1所述的云环境下轻量级的细粒度访问控制方法，其特征在于：步骤1中所述的构造相应的权限控制节点层，所述的每个节点被赋予被授权用户的相关信息。

3.根据权利要求1所述的云环境下轻量级的细粒度访问控制方法，其特征在于：随着系统的运行，以及权限的变更，可以对所述的权限控制节点进行动态更新。