[发明专利]云环境下隐私策略的可信执行方法

摘要

本发明针对现有云计算安全技术领域中，存在的云环境下隐私策略的可实施及其实施可保障问题，公开了一种云环境下隐私策略的可信执行方法，具体涉及云环境下面向云端数据隐私保护的可信访问控制。该方法采用策略驱动的思想，针对多租户多样化的隐私保护需求，通过云环境下隐私策略的分布式执行，实现了隐私保护的灵活性，同时，结合可信计算技术，防止攻击者对云端隐私策略的恶意修改，保障了隐私策略执行过程的可信，最终确保了用户存储云端数据的隐私安全性。

主权项

一种云环境下隐私策略的可信执行方法，包括：隐私策略分布式执行方法及其实施可保障方法，其特征如下：本方法在于将云数据储存环境下的用户账户、容器、对象以及隐私策略进行分布式存储，当云数据存储服务接收到用户访问请求后，依据该请求查找用户账户、容器以及对象的元数据信息补全用户访问请求，同时，查找与用户请求相符的隐私策略，并将所得的隐私策略与补全后的用户请求进行匹配，判断并响应用户访问请求；所述的隐私策略分布式执行方法由分布式部署于不同独立节点上的隐私策略强制模块、隐私策略信息模块、隐私策略管理模块、隐私策略决策模块、账户存储模块、容器存储模块、对象存储模块、策略库存储模块和数据查询模块九个模块以及各模块之间的数据交互实现，其步骤如下：步骤1.1：隐私策略强制模块接受用户请求，并对不同格式的用户请求进行预处理，将其转化为统一的策略描述语言，再将转化后的用户请求转发给分布式部署在不同节点上的隐私策略信息模块和隐私策略管理模块；步骤1.2：隐私策略信息模块通过数据查询模块在账户、容器、对象存储模块中查找与用户请求相对应的账户、容器、对象元数据，并用该元数据中的属性信息补全用户请求中的主、客体信息，补全后的用户请求中包含完整的主客体属性信息，再采用XML格式基于SOAP协议发送到分布式部署在不同节点上的隐私策略决策模块，供各模块对用户请求进行判断；步骤1.3：隐私策略管理模块使用数据查询模块在策略库存储模块中查找与用户请求中主、客体信息相匹配的XML格式的隐私策略，得到一个与用户请求主、客体信息相匹配的策略子集，该策略子集由多个XML格式的匹配策略组成，将策略子集发送给分布式部署在不同节点上的隐私策略决策模块，供该模块对用户请求进行判断；步骤1.4：隐私策略决策模块将补全后的用户请求与策略子集进行匹配，其匹配方法是通过解析用户请求中主、客体、操作等属性信息，将其与策略子集中策略的主、客体、操作属性信息进行逐条匹配，查看策略子集中是否有与用户请求中主客体相匹配的策略，并将是否有策略与其相匹配的结果返回给隐私策略强制模块,若该匹配结果为真，表明该用户请求合法，若匹配结果为假，则表明该用户请求不合法；步骤1.5：隐私策略强制模块接收匹配结果，若步骤1.4中匹配结果为真，则执行该请求，通过数据查询模块获取请求的客体数据以响应用户请求；否则，拒绝响应；所述的实施可保障方法由可信支撑模块、可信存储模块、可信通信模块三个可信模块构成，用以确保隐私策略分布式执行方法的可信实施；可信支撑模块与隐私策略分布式执行方法中各模块部署于相同节点，以隐私策略强制模块为例，可信支撑模块通过对隐私策略强制模块进行初始可信度量和实时可信度量，构建由下到上依次为节点芯片自带的可信平台模块TPM、核心信任根CRTM、操作系统引导程序、操作系统到隐私策略强制模块的代码级可信链，该可信链由下至上进行逐层度量,各层均由下层保障其代码的完整性，每当下层代码完成对上层代码度量后，都将记入度量日志，此后，位于该节点芯片上的可信平台模块TPM调用底层算法计算出该度量日志的摘要值，在初始可信度量时，该摘要值将被存储在位于TPM内的PCR寄存器中，以达到数据内容不可篡改的目的，用以与实时可信度量产生的摘要值进行对比，作为验证实时可信度量的依据，若实时度量生成的PCR值与初始度量PCR值相同，则认为当前本节点状态与启动时相同，各层代码未被篡改，节点可信；否则，则认为节点不可信；可信存储模块与账户存储模块、容器存储模块、对象存储模块以及策略库存储模块部署于同一节点，提供数据加解密存储功能和数据完整性保护功能，其中，数据加解密存储功能主要是对各存储模块中的账户、容器、对象、隐私策略数据进行加密存储，并在各存储模块需读取自身数据时，采用解密算法对数据进行读取，可保障数据的私密性；数据完整性度量功能主要是通过调用算法对数据进行初始度量和实时度量，并将初始度量结果采用数据加解密存储功能进行存储，用以同实时度量结果进行对比，验证存储数据完整性；可信通信模块作用于分布式执行方法中需要数据交互的各个模块上，其与可信支撑模块、可信存储模块相结合，供各数据交互节点相互验证彼此的模块执行代码是否被恶意篡改以及运行状态是否正常可靠，以判断通信节点是否可信，当隐私策略分布式执行方法中的各模块进行数据交互时，步骤如下：步骤2.1：请求方向接收方请求度量日志和一组特定的PCR值；步骤2.2：接收方向用户发送度量日志和特定的PCR值，并同样向请求方请求度量日志和一组特定的PCR值；步骤2.3：请求方调用算法计算度量日志的摘要值，并将其与接收的PCR值比较，验证接收方的度量日志是否可信，验证通过后，向接收方发送自身的度量日志、特定PCR值以及服务请求；步骤2.4：接收方接收该度量日志和特定PCR值，同样对该度量日志进行验证，若验证通过，则执行并响应该服务请求，经过上述交互步骤，各数据交互节点可相互验证彼此的模块执行代码是否被恶意篡改以及运行状态是否正常可靠。