[发明专利]一种带轻量级审计的数据存储与云端控制方法

说明书

本发明公开了一种带轻量级审计的数据存储与云端控制方法，首先数据拥有者根据所要上传文件M的访问权限需求生成进行属性加密所需的属性集合{A₁,A₂,...,A_n}和访问策略A，并生成随机会话密钥K以及N个随机字符串{S₁,S₂,...,S_N}；数据拥有者进行相应的加密处理；数据拥有者选取安全哈希算法对随机字符串{S₁,S₂,...,S_N}进行处理，并上传密文CT到云服务器；当其他用户需要获取云服务器存储的文件M时，云服务器和用户完成挑战‑应答过程；云服务器将用户所请求文件M对应密文CT中的数据密文E_K(M)发送给用户；用户采用随机会话密钥K解密E_K(M)，得到所需要的文件M；数据拥有者对云服务器提供的资源消耗记录进行审计。该方法有效的对特定用户的访问权限进行判断，同时也保证了用户能够有效的对云服务器为其提供的资源进行监控。

技术领域

本发明涉及云数据存储技术领域，尤其涉及一种带轻量级审计的数据存储与云端控制方法。

背景技术

目前，在云存储环境中，出于经济以及便利的考虑，用户将自己的数据外包到云服务器中，为了保护用户数据的机密性和隐私性，访问控制是不可缺少的保护手段。然而由于用户并不能够完全的信任云服务器提供商，因此传统的访问控制手段并不能够很好的应用到云存储环境中。为了解决这一问题，基于属性的加密方案(ABE)被引入到云存储中，ABE使得数据拥有者能够直接对自己的数据进行访问控制，是一种有效的用户侧访问控制手段。其中，策略与密文相关的基于属性的加密方案(CP-ABE)被认为是最适合在云存储中实现访问控制的手段之一。

然而由于缺乏相应的可兼容的云端访问控制策略，CP-ABE还是很难被直接部署到实际的公有云环境中。在目前的云端访问控制方案中，云服务器总是被假设为完全可信的，因此这些方案很难做到与CP-ABE方案相互兼容。由于缺乏相应的云端访问控制，在基于CP-ABE的访问控制方案中，云服务器始终暴露在多种安全威胁当中，其中最重要的安全威胁之一就是拒绝服务攻击(DoS/DDoS)，恶意的用户可以无限制的下载云服务器上其他用户共享的文件，从而消耗云服务器上的各种资源，使得云服务器不能够正常的工作；除此之外，由于缺乏云端访问控制，恶意的用户通过下载大量的文件，可以进行有关密文分析的攻击，威胁用户数据的机密性；同时为了对云服务器消耗资源进行合理付费，云服务器需要为用户提供相关资源消耗方面的审计机制，目前已有一些工作来尝试解决云服务器侧的资源审计问题，但是这些解决方案都很难和当前的CP-ABE访问控制方案协同的工作。

发明内容

本发明的目的是提供一种带轻量级审计的数据存储与云端控制方法，利用该方法，云服务器可以有效的对特定用户的访问权限进行判断，避免恶意用户对云存储文件的非法下载，有效保证了云服务器自身及所存储数据的安全性，同时也保证了用户能够有效的对云服务器为其提供的资源进行监控，合理对云服务器外包服务进行付费。

一种带轻量级审计的数据存储与云端控制方法，所述方法包括：

步骤1、数据拥有者根据所要上传文件M的访问权限需求生成进行属性加密所需的属性集合{A₁,A₂,...,A_n}和访问策略A；

步骤2、所述数据拥有者生成随机会话密钥K以及N个随机字符串{S₁,S₂,...,S_N}，并采用对称加密算法对文件M和该N个随机字符串分别进行加密处理，再根据所述访问策略A采用属性加密方法对所述随机会话密钥K进行加密处理；