基于终端身份校验的云存储数据授权方法及装置与流程

1.本发明涉及云存储数据传输技术领域，具体地说，涉及基于终端身份校验的云存储数据授权方法及装置。


背景技术：

2.云存储是一种网上在线存储的模式，即把数据存放在通常由第三方托管的多台虚拟服务器，而非专属的服务器上。随着大数据技术的爆炸式发展，很多用户都会接触会产生大量的数字数据，这些数据需要大量的存储设备来进行存储，硬件存储器存在较多弊端，如成本高、占用空间大、安全性低，容易出现信息泄露，或者因硬件损坏会导致数据丢失，因此云存储越来越受到人们的青睐。但是，在使用云存储技术过程中，用户为了保护数据隐私，通常会将数据加密后再上传至存储云，而在存储云中，难免会存在一些重复的数据，在查找或调用数据时，会给云服务器增加大量的工作负担，而加密后的数据难以进行安全的去重操作。同时，大量存储在云端的数据，用户会将一些数据共享出去，这个共享的过程仍然需要保证数据的隐私和安全，而如何识别请求使用云存储数据的终端身份及安全地将加密数据有针对性地共享给用户终端，是目前亟待解决的。另外，在多个用户共同请求使用某一特定云存储数据时，云服务器需依次挨个处理各用户终端的请求，并依次按照流程分别传送相应的数据到各终端，导致云服务器的工作压力增大，且影响运存储数据查找、调用及传送的处理效率。然而，目前却没有可基于终端身份校验的云存储数据授权方法及装置。


技术实现要素：

3.本发明的目的在于提供基于终端身份校验的云存储数据授权方法及装置，以解决上述背景技术中提出的问题。
4.为实现上述技术问题的解决，本发明的目的之一在于，提供了基于终端身份校验的云存储数据授权方法，包括如下步骤：s1、采用密文策略属性基加密方案，对数据进行加密后上传至存储云；s2、对云存储中的数据进行去重操作，以减轻云服务器的工作量；s3、由云存储数据授权单元设置不同终端的授权优先级及其对云存储数据的访问权限；s4、终端中的云端应用启动后，经网关向云服务器发送获取其所需云存储数据的使用请求；s5、通过网关验证传感器组的mac地址以及用户名，验证成功后，接收传感器组传来的针对终端的检测数据，并存储检测数据到对应的终端用户名存储单元；s6、基于各终端的数据访问请求，通过网关输出相应的转置密文到各终端，各终端分别对接收到的转置密文进行解密操作；s7、云服务器根据返回的各终端对转置密文的解密结果，校验各终端的身份类别，确定终端的授权优先级及访问权限；
s8、基于各终端的身份类别，依次传送对应的解密后的数据到各终端。
5.作为本技术方案的进一步改进，所述s1中，采用密文策略属性基加密方案对数据进行加密的具体方法包括如下步骤：s1.1、由属性授权机构执行初始化算法，以安全参数作为输入，输出系统公钥和主密钥；s1.2、由数据拥有者执行加密算法，以系统公钥、数据明文和访问树作为输入，输出铭文对应的密文数据；s1.3、在传统的密文策略属性基加密的基础上，对用户进行信任计算以判断用户的可信度；s1.4、为可信的合法用户生成全局密钥与属性密钥；s1.5、使用代理服务器进行解密计算，并存储用户的属性密钥。
6.作为本技术方案的进一步改进，所述s1.2中，加密算法的具体步骤为：以系统公钥pk、数据明文m和访问树t作为输入，输出密文ct；设r为访问树t的根节点，首先从根节点r开始，自上而下为访问树t的每个节点x (包括叶子节点)选择一个多项式，针对多项式 定义阶数 和门限值 的关系为；随机选择根节点r的多项式 中的常数项 ，则有 ；计算 ；若，对于每个子节点，其常数项的值由函数 生成，其他 个点同样是随机生成的；对于叶子节点，令y为访问树t中的所有叶子节点集合，计算每个叶子节点 对应的 ；则计算密文的具体表达式为： 。
7.作为本技术方案的进一步改进，所述s2中，对云存储中的数据进行去重操作的具体方法包括如下步骤：s2.1、针对存储云中的加密数据，基于双线性映射构造数据标签，并根据数据标签设计存储结构；s2.2、根据数据流行程度，针对采用不同加密方式加密的数据，利用代理重加密进行密钥转换；s2.3、确保数据标签不会泄露任何数据的明文信息；s2.4、实现数据的所有权验证，并在数据所有权的基础上，去除重复的数据。
8.作为本技术方案的进一步改进，所述s2.1中，双线性映射的算法定义为：设 和 都是阶为素数p的循环群，g为 的一个生成元，则 是一个满足以下性质的双线性映射：双线性：即对任意 ，有 ；非退化性：即 quote
ꢀꢀ
，其中1为 quote
ꢀꢀ
中的单位元；
可计算性：即对任意的 ，存在有效的算法计算 。
9.作为本技术方案的进一步改进，所述s6中，终端对转置密文进行解密的解密算法具体为：以系统公钥pk和部分解密密文pct、全局密钥ugsk为输入，输出明文数据m，计算明文的具体表达式为：文的具体表达式为：文的具体表达式为：文的具体表达式为：。
10.作为本技术方案的进一步改进，所述s8中，基于各终端的身份类别依次传送对应的解密后的数据的具体方法如下步骤：s8.1、终端的身份类别包括第一优先级终端、第二优先级终端及第三优先级终端，三个优先级终端依次连接；s8.2、当终端为第一/二/三优先级终端且只有第一/二/三优先级终端请求使用云存储数据时，云服务器经网关传送对应的解密后的请求数据到第一/二/三优先级终端；s8.3、当终端为第一、第二及第三优先级终端时，云服务器经网关传送对应的解密后的请求数据到第一优先级终端，由第一优先级终端将请求数据转送到第二优先级终端，并由第二优先级终端将请求数据转送到第三优先级终端；s8.4、当终端为第二优先级终端且第一优先级终端接收过其请求数据时，由第一优先级终端将请求数据传送到第二优先级终端；s8.5、当终端为第三优先级终端且第一/二优先级终端接收过其请求数据时，由第一优先级终端将请求数据经第二优先级终端或直接由第二优先级终端将请求数据转送到第三优先级终端。
11.本发明的目的之二在于，提供了基于终端身份校验的云存储数据授权装置，该装置用于支撑上述所述的基于终端身份校验的云存储数据授权方法的运行，包括：存储云，用于存储由数据拥有者加密后上传的密文数据，并执行加密数据去重操作；云存储数据授权单元，用于设置不同终端的授权优先级及访问权限，接收终端对所需云存储数据的使用请求，校验各终端的身份类别并传送相应的解密后的数据；属性授权机构，用于负责管理用户的属性、用户信任值的计算、属性密钥与全局密钥的生成及分发、系统公钥和主密钥等公共参数的生成；数据拥有者，可以通过构造访问树定义自己的访问策略，并对明文数据进行加密后上传至云服务器存储；代理服务器，用来存储用户的属性密钥并利用该密钥执行外包解密操作后得到部分解密密文，并将其部分解密密文返回给用户；用户终端，可以向云服务器发送获取数据的使用请求，在用户所拥有的属性满足数据所有者定义的访问策略时，通过对转置密文使用全局密钥进行解密得到数据明文；传感器组，用于检测用户终端的数据并将检测数据传输到网关。
12.作为本技术方案的进一步改进，所述云存储数据授权单元包括：云服务器，能够为数据拥有者和用户终端分别提供数据存储服务与密文访问请求服务；网关，用于验证传感器组的mac地址以及用户名，接收传感器组传来的针对终端的检测数据，存储检测数据到云
端服务器对应的用户名存储单元，基于终端的数据访问请求输出转置密文，并根据的身份类别辅助云服务器传送对应的解密后的检测数据到各终端。
13.作为本技术方案的进一步改进，所述用户终端包括：第一优先级终端，具有最高授权优先级的终端，可以优先获取授权并获取所求数据；第二优先级终端，具有次级授权优先级的终端，可以从云服务器或优先从第一优先级终端获取所求数据；第三优先级终端，具有最低授权优先级的终端，可以从云服务器或从第一/二优先级终端获取所求数据。
14.本发明的目的之三在于，提供了基于终端身份校验的云存储数据授权方法的运行装置，该装置装载于上述的基于终端身份校验的云存储数据授权装置中，包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序，处理器用于执行计算机程序时实现上述的基于终端身份校验的云存储数据授权方法的步骤。
15.本发明的目的之四在于，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的基于终端身份校验的云存储数据授权方法的步骤。
16.与现有技术相比，本发明的有益效果：1.该基于终端身份校验的云存储数据授权方法通过对密文策略属性基加密方法对数据加密以保证其安全，通过数据标签及存储结构来实现加密数据的安全去重，以有效减轻云服务器对数据进行存储、查找及调用等管理工作量，同时，通过对请求使用数据的用户终端进行分级，并由用户终端对转置密文的解密结果校验其身份类别，从而可以有针对性地分级传送对应的解密数据，提高云服务器的工作效率，保障数据的隐私性和安全性，并降低对数据进行加密及解密的时间和空间成本；2.该基于终端身份校验的云存储数据授权装置通过设置包括云服务器和网关的云存储数据授权单元，可以快速验证用户终端的身份类别，提高数据传输的效率，通过设置分级的用户终端，可以由较高级终端分担部分数据转送工作，减轻云服务器的工作压力，有效扩展云存储服务的应用场景。
附图说明
17.图1为本发明的整体方法流程框图；图2为本发明的局部方法流程框图之一；图3为本发明的局部方法流程框图之二；图4为本发明的局部方法流程框图之三；图5为本发明中云存储数据授权装置的示例性产品架构示意框图。
具体实施方式
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.实施例1如图1-图4所示，本实施例的提供了基于终端身份校验的云存储数据授权方法，包
括如下步骤：s1、采用密文策略属性基加密方案，对数据进行加密后上传至存储云；s2、对云存储中的数据进行去重操作，以减轻云服务器的工作量；s3、由云存储数据授权单元设置不同终端的授权优先级及其对云存储数据的访问权限；s4、终端中的云端应用启动后，经网关向云服务器发送获取其所需云存储数据的使用请求；s5、通过网关验证传感器组的mac地址以及用户名，验证成功后，接收传感器组传来的针对终端的检测数据，并存储检测数据到对应的终端用户名存储单元；s6、基于各终端的数据访问请求，通过网关输出相应的转置密文到各终端，各终端分别对接收到的转置密文进行解密操作；s7、云服务器根据返回的各终端对转置密文的解密结果，校验各终端的身份类别，确定终端的授权优先级及访问权限；s8、基于各终端的身份类别，依次传送对应的解密后的数据到各终端。
20.本实施例中，s1中，采用密文策略属性基加密方案对数据进行加密的具体方法包括如下步骤：s1.1、由属性授权机构执行初始化算法，以安全参数作为输入，输出系统公钥和主密钥；s1.2、由数据拥有者执行加密算法，以系统公钥、数据明文和访问树作为输入，输出铭文对应的密文数据；s1.3、在传统的密文策略属性基加密的基础上，对用户进行信任计算以判断用户的可信度；s1.4、为可信的合法用户生成全局密钥与属性密钥；s1.5、使用代理服务器进行解密计算，并存储用户的属性密钥。
21.具体地，s1.2中，加密算法的具体步骤为：以系统公钥pk、数据明文m和访问树t作为输入，输出密文ct；设r为访问树t的根节点，首先从根节点r开始，自上而下为访问树t的每个节点x (包括叶子节点)选择一个多项式 ，针对多项式 定义阶数 和门限值 的关系为 ；随机选择根节点r的多项式 中的常数项 ，则有 ；计算 ；若，对于每个子节点，其常数项的值由函数 生成，其他 个点同样是随机生成的；对于叶子节点，令y为访问树t中的所有叶子节点集合，计算每个叶子节点 对应的 ；则计算密文的具体表达式为 ： 。
22.本实施例中，s2中，对云存储中的数据进行去重操作的具体方法包括如下步骤：s2.1、针对存储云中的加密数据，基于双线性映射构造数据标签，并根据数据标签设计存储结构；s2.2、根据数据流行程度，针对采用不同加密方式加密的数据，利用代理重加密进行密钥转换；s2.3、确保数据标签不会泄露任何数据的明文信息；s2.4、实现数据的所有权验证，并在数据所有权的基础上，去除重复的数据。
23.具体地，s2.1中，双线性映射的算法定义为：设 和 都是阶为素数p的循环群，g为 的一个生成元，则 是一个满足以下性质的双线性映射：双线性：即对任意的，有 ；非退化性：即 ，其中1为 中的单位元；可计算性：即对任意的 ，存在有效的算法计算 。
24.本实施例中，s6中，终端对转置密文进行解密的解密算法具体为：以系统公钥pk和部分解密密文pct、全局密钥ugsk为输入，输出明文数据m，计算明文的具体表达式为：文的具体表达式为：文的具体表达式为：文的具体表达式为：。
25.本实施例中，s8中，基于各终端的身份类别依次传送对应的解密后的数据的具体方法如下步骤：s8.1、终端的身份类别包括第一优先级终端、第二优先级终端及第三优先级终端，三个优先级终端依次连接；s8.2、当终端为第一/二/三优先级终端且只有第一/二/三优先级终端请求使用云存储数据时，云服务器经网关传送对应的解密后的请求数据到第一/二/三优先级终端；s8.3、当终端为第一、第二及第三优先级终端时，云服务器经网关传送对应的解密后的请求数据到第一优先级终端，由第一优先级终端将请求数据转送到第二优先级终端，并由第二优先级终端将请求数据转送到第三优先级终端；s8.4、当终端为第二优先级终端且第一优先级终端接收过其请求数据时，由第一优先级终端将请求数据传送到第二优先级终端；s8.5、当终端为第三优先级终端且第一/二优先级终端接收过其请求数据时，由第一优先级终端将请求数据经第二优先级终端或直接由第二优先级终端将请求数据转送到第三优先级终端。
26.如图5所示，本实施例还提供了基于终端身份校验的云存储数据授权装置，该装置用于上述的基于终端身份校验的云存储数据授权方法的运行，包括：存储云，用于存储由数据拥有者加密后上传的密文数据，并执行加密数据去重操作；云存储数据授权单元，用于设
置不同终端的授权优先级及访问权限，接收终端对所需云存储数据的使用请求，校验各终端的身份类别并传送相应的解密后的数据；属性授权机构，用于负责管理用户的属性、用户信任值的计算、属性密钥与全局密钥的生成及分发、系统公钥和主密钥等公共参数的生成；数据拥有者，可以通过构造访问树定义自己的访问策略，并对明文数据进行加密后上传至云服务器存储；代理服务器，用来存储用户的属性密钥并利用该密钥执行外包解密操作后得到部分解密密文，并将其部分解密密文返回给用户；用户终端，可以向云服务器发送获取数据的使用请求，在用户所拥有的属性满足数据所有者定义的访问策略时，通过对转置密文使用全局密钥进行解密得到数据明文；传感器组，用于检测用户终端的数据并将检测数据传输到网关。
27.本实施例中，云存储数据授权单元包括：云服务器，能够为数据拥有者和用户终端分别提供数据存储服务与密文访问请求服务；网关，用于验证传感器组的mac地址以及用户名，接收传感器组传来的针对终端的检测数据，存储检测数据到云端服务器对应的用户名存储单元，基于终端的数据访问请求输出转置密文，并根据的身份类别辅助云服务器传送对应的解密后的检测数据到各终端。
28.本实施例中，用户终端包括：第一优先级终端，具有最高授权优先级的终端，可以优先获取授权并获取所求数据；第二优先级终端，具有次级授权优先级的终端，可以从云服务器或优先从第一优先级终端获取所求数据；第三优先级终端，具有最低授权优先级的终端，可以从云服务器或从第一/二优先级终端获取所求数据。
29.本实施例还提供了基于终端身份校验的云存储数据授权方法的运行装置，该装置装载于上述的基于终端身份校验的云存储数据授权装置中，包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序。
30.处理器包括一个或一个以上处理核心，处理器通过总线与存储器相连，存储器用于存储程序指令，处理器执行存储器中的程序指令时实现上述的基于终端身份校验的云存储数据授权方法及装置。
31.可选的，存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随时存取存储器（sram），电可擦除可编程只读存储器（eeprom），可擦除可编程只读存储器（eprom），可编程只读存储器（prom），只读存储器（rom），磁存储器，快闪存储器，磁盘或光盘。
32.此外，本发明还提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的基于终端身份校验的云存储数据授权方法及装置的步骤。
33.可选的，本发明还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面基于终端身份校验的云存储数据授权方法及装置的步骤。
34.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储与计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
35.以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的仅为本发明的优选例，并不用来限制本发明，在不脱离本发明精神和范围的前提下，本发明还会有各种
变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。