一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)及方法�����,其中��,所述系統(tǒng)包括:管理中心單元��、用戶驗(yàn)證單元�����、加密單元����、訪問控制決策單元及日志單元���,同時(shí)本發(fā)明公開了一種基于云存儲(chǔ)的加密文件訪問控制方法�,其特征在于,包括如下步驟:A1:如果用戶有加密文件訪問需要�����,進(jìn)入訪問控制系統(tǒng)�����;A2:進(jìn)入用戶驗(yàn)證單元�����,如果驗(yàn)證通過�,記錄用戶信息到本地日志和云日志,用戶發(fā)出操作加密文件的請求����;反之,退出�����;A3:接收用戶的加密文件操作請求�����,進(jìn)行訪問控制決策,主要包括:計(jì)算請求操作可信度并將其記錄到云日志���,基于用戶初始權(quán)限��、請求操作和歷史可信度記錄�;訪問控制決策����,基于可信度和用戶初始權(quán)限;如果決策結(jié)果為拒絕用戶請求�����,退出系統(tǒng)�����;反之����,通過權(quán)限控制為用戶分配相應(yīng)的加密文件操作權(quán)限�。記錄用戶操作信息到本地日志;A4:用戶根據(jù)分配的暫時(shí)權(quán)限執(zhí)行對加密文件的相關(guān)操作���,并記錄用戶操作信息到本地日志�����。本發(fā)明采用云存儲(chǔ)技術(shù),可以上傳加密文件到云服務(wù)器或從云服務(wù)器讀取加密文件�,并引入了可信度來動(dòng)態(tài)調(diào)整用戶對加密文件的操作權(quán)限����,可以更有效地減少甚至避免因用戶信息泄露和用戶登錄后權(quán)限固定等問題帶來的危害。
【專利說明】—種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于電子信息安全保護(hù)領(lǐng)域����,特別是一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)及方法。
【背景技術(shù)】
[0002]目前的文件安全控制體系中�,傳統(tǒng)的方法是將需要安全保護(hù)的文件進(jìn)行加密����,然后設(shè)定用戶進(jìn)行訪問。但僅僅通過對文件進(jìn)行加密來保護(hù)文件時(shí)不夠的,因?yàn)閷用芪募脑L問也存在著很多風(fēng)險(xiǎn),例如授權(quán)用戶對加密文件進(jìn)行訪問,一旦訪問權(quán)限被固定,當(dāng)該用戶在其權(quán)限訪問內(nèi)對加密文件做出危害行為時(shí)����,目前的體系無法對用戶權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整來減少甚至避免危害���。隨著云存儲(chǔ)技術(shù)的快速發(fā)展����,該技術(shù)也逐步被應(yīng)用在文件安全領(lǐng)域中����。因此����,基于加密文件的安全性考慮�����,需要一套基于云存儲(chǔ)的����、可以動(dòng)態(tài)調(diào)整用戶權(quán)限的系統(tǒng)及方法�,來減少甚至避免由此帶來的風(fēng)險(xiǎn)。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的第一目的是提供一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)��,基于云存儲(chǔ)技術(shù)��,可以上傳加密文件到云服務(wù)器或從云服務(wù)器讀取加密文件,并引入了可信度來動(dòng)態(tài)調(diào)整用戶對加密文件的操作權(quán)限��,可以更有效地減少甚至避免因用戶信息泄露和用戶登錄后權(quán)限固定等問題帶來的危害��。
[0004]本發(fā)明的第二目的是提供一種基于云存儲(chǔ)的加密文件訪問控制方法��,該方法是一種基于云存儲(chǔ)技術(shù)的加密文件訪問方法���,將保護(hù)要求更高的加密文件放到云服務(wù)器上,并引入了可信度來動(dòng)態(tài)調(diào)整對用戶對加密文件的操作操作權(quán)限�,可以更有效地減少甚至避免因用戶信息泄露和用戶登錄后權(quán)限固定等問題帶來的危害��。
[0005]為了實(shí)現(xiàn)上述目的,本發(fā)明采用如下技術(shù)方案:
[0006]一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)��,其中��,所述系統(tǒng)包括:
[0007]管理中心單元:僅管理員用戶可進(jìn)入���,進(jìn)入后可以管理本地加密文件和云服務(wù)器上的加密文件,如對本地加密文件的加解密����、添加或刪除加密文件、從云服務(wù)器下載加密文件并解密及上傳加密文件到云服務(wù)器等�。
[0008]用戶驗(yàn)證單元:包括網(wǎng)絡(luò)控制模塊和用戶驗(yàn)證模塊。其中網(wǎng)絡(luò)控制模塊功能為檢測網(wǎng)絡(luò)連接及連接到云服務(wù)器�;用戶驗(yàn)證模塊功能為將請求用戶的信息與云服務(wù)器中用戶文件中對應(yīng)的用戶信息進(jìn)行比較���,決定是否通過驗(yàn)證。
[0009]加密單元:包括加密模塊和解密模塊�。其中加密模塊功能為強(qiáng)制執(zhí)行加密操作�,針對設(shè)定文件進(jìn)行加密操作�;解密模塊功能為通過后臺(tái)將加密文件自動(dòng)解密到內(nèi)存��,不影響文件在磁盤上的加密狀態(tài)。
[0010]訪問控制決策單元:接收用戶操作加密文件的請求����,從云服務(wù)器讀取用戶的歷史可信度用于可信度計(jì)算,然后進(jìn)行訪問控制決策�,包括可信度計(jì)算模塊、控制決策模塊和權(quán)限控制模塊。其中可信度計(jì)算模塊功能為根據(jù)用戶的初始權(quán)限、操作信息和歷史可信度計(jì)算對加密文件操作的可信度����;控制決策模塊功能為根據(jù)可信度計(jì)算結(jié)果和用戶初始權(quán)限���,采用相關(guān)策略決定當(dāng)前用戶的可信操作權(quán)限��;權(quán)限控制模塊功能為控制用戶初始權(quán)限及根據(jù)決策結(jié)果為用戶分配暫時(shí)的可信操作權(quán)限。
[0011]日志單元:將請求用戶信息和操作記錄保存到本地系統(tǒng)日志文件中去����,將其中的用戶信息和可信度保存到云日志(云服務(wù)器上對應(yīng)的日志文件)。
[0012]一種基于云存儲(chǔ)的加密文件訪問控制方法�����,其中����,所述方法包括步驟:
[0013]Al:如果用戶有加密文件訪問需要,進(jìn)入訪問控制系統(tǒng)�����;
[0014]A2:進(jìn)入用戶驗(yàn)證單元,如果驗(yàn)證通過�,記錄用戶信息到本地日志和云日志,用戶發(fā)出操作加密文件的請求�;反之,退出�����;
[0015]A3:接收用戶的加密文件操作請求����,進(jìn)行訪問控制決策,主要包括:計(jì)算請求操作可信度并將其記錄到云日志��,基于用戶初始權(quán)限����、請求操作和歷史可信度記錄;訪問控制決策����,基于可信度和用戶初始權(quán)限;如果決策結(jié)果為拒絕用戶請求��,退出系統(tǒng);反之��,通過權(quán)限控制為用戶分配相應(yīng)的加密文件操作權(quán)限�。記錄用戶操作信息到本地日志;
[0016]A4:用戶根據(jù)分配的暫時(shí)權(quán)限執(zhí)行對加密文件的相關(guān)操作��,并記錄用戶操作信息到本地日志����。
[0017]進(jìn)一步地,所述用戶認(rèn)證單元包括網(wǎng)絡(luò)控制模塊和用戶驗(yàn)證模塊��。其中網(wǎng)絡(luò)控制模塊功能為檢測網(wǎng)絡(luò)連接及連接到云服務(wù)器����;用戶驗(yàn)證模塊功能為將請求用戶的信息與云服務(wù)器中用戶文件中對應(yīng)的用戶信息進(jìn)行比較���,決定是否通過驗(yàn)證���。
[0018]進(jìn)一步地,所述可信度計(jì)算����,根據(jù)用戶的初始權(quán)限、操作信息和歷史可信度計(jì)算對加密文件操作的可信度;訪問控制決策��,根據(jù)可信度計(jì)算結(jié)果和用戶初始權(quán)限�,采用相關(guān)策略決定當(dāng)前用戶的可信操作權(quán)限;權(quán)限控制�����,控制用戶初始權(quán)限及根據(jù)決策結(jié)果為用戶分配暫時(shí)的可信操作權(quán)限���。
[0019]進(jìn)一步地���,所述加密文件操作權(quán)限分為三級:C級一對本地加密文件具有只讀權(quán)限出級一對本地加密文件有讀、寫權(quán)限4級一對本地加密文件有讀�����、寫權(quán)限���,對云服務(wù)器上的加密文件有只讀權(quán)限��。
[0020]本發(fā)明提供一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)����,采用云存儲(chǔ)技術(shù),可以上傳加密文件到云服務(wù)器或從云服務(wù)器讀取加密文件�����,并引入了可信度來動(dòng)態(tài)調(diào)整用戶對加密文件的操作權(quán)限��,可以更有效地減少甚至避免因用戶信息泄露和用戶登錄后權(quán)限固定等問題帶來的危害����。
【專利附圖】
【附圖說明】
[0021]圖1為本發(fā)明提供的系統(tǒng)結(jié)構(gòu)示意圖;
[0022]圖2為本發(fā)明提供的管理中心示意圖���;
[0023]圖3為本發(fā)明提供的控制訪問方法步驟示意圖��;
【具體實(shí)施方式】
[0024]下面結(jié)合附圖詳細(xì)說明本發(fā)明��,其作為本說明書的一部分��,通過實(shí)施例來說明本發(fā)明的原理,本發(fā)明的其他方面����,特征及其優(yōu)點(diǎn)通過該詳細(xì)說明將會(huì)變得一目了然。
[0025]如圖1�、2所示����,本發(fā)明一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)���,其中�,所述系統(tǒng)包括:
[0026]管理中心單元:僅管理員用戶可進(jìn)入�,進(jìn)入后可以管理本地加密文件和云服務(wù)器上的加密文件,如對本地加密文件的加解密����、添加或刪除加密文件、從云服務(wù)器下載加密文件并解密及上傳加密文件到云服務(wù)器等���。
[0027]用戶驗(yàn)證單元:包括網(wǎng)絡(luò)控制模塊和用戶驗(yàn)證模塊�。其中網(wǎng)絡(luò)控制模塊功能為檢測網(wǎng)絡(luò)連接及連接到云服務(wù)器���;用戶驗(yàn)證模塊功能為將請求用戶的信息與云服務(wù)器中用戶文件中對應(yīng)的用戶信息進(jìn)行比較��,決定是否通過驗(yàn)證�。
[0028]加密單元:包括加密模塊和解密模塊��。其中加密模塊功能為強(qiáng)制執(zhí)行加密操作�����,針對設(shè)定文件進(jìn)行加密操作;解密模塊功能為通過后臺(tái)將加密文件自動(dòng)解密到內(nèi)存��,不影響文件在磁盤上的加密狀態(tài)�。
[0029]訪問控制決策單元:接收用戶操作加密文件的請求,從云服務(wù)器讀取用戶的歷史可信度用于可信度計(jì)算�����,讓回進(jìn)行訪問控制決策��,包括可信度計(jì)算模塊�、控制決策模塊和權(quán)限控制模塊。其中可信度計(jì)算模塊功能為根據(jù)用戶的初始權(quán)限��、操作信息和歷史可信度計(jì)算對加密文件操作的可信度���;控制決策模塊功能為根據(jù)可信度計(jì)算結(jié)果和用戶初始權(quán)限�,采用相關(guān)策略決定當(dāng)前用戶的可信操作權(quán)限�����;權(quán)限控制模塊功能為控制用戶初始權(quán)限及根據(jù)決策結(jié)果為用戶分配暫時(shí)的可信操作權(quán)限�����。
[0030]日志單元:將請求用戶信息和操作記錄保存到本地系統(tǒng)日志文件中去�����,將其中的用戶信息和可信度保存到云日志(云服務(wù)器上對應(yīng)的日志文件)�。
[0031]如圖3所示,本發(fā)明一種基于云存儲(chǔ)的加密文件訪問控制方法����,其中,所述方法包括步驟:
[0032]Al:如果用戶有加密文件訪問需要����,進(jìn)入訪問控制系統(tǒng);
[0033]A2:進(jìn)入用戶驗(yàn)證單元�����,如果驗(yàn)證通過�����,記錄用戶信息到本地日志和云日志��,用戶發(fā)出操作加密文件的請求;反之��,退出�;
[0034]A3:接收用戶的加密文件操作請求,進(jìn)行訪問控制決策����,主要包括:計(jì)算請求操作可信度并將其記錄到云日志,基于用戶初始權(quán)限�、請求操作和歷史可信度記錄;訪問控制決策�����,基于可信度和用戶初始權(quán)限�;如果決策結(jié)果為拒絕用戶請求,退出系統(tǒng)�����;反之���,通過權(quán)限控制為用戶分配相應(yīng)的加密文件操作權(quán)限���。記錄用戶操作信息到本地日志���;
[0035]A4:用戶根據(jù)分配的暫時(shí)權(quán)限執(zhí)行對加密文件的相關(guān)操作�����,并記錄用戶操作信息到本地日志����。
[0036]進(jìn)一步地,所述用戶認(rèn)證單元包括網(wǎng)絡(luò)控制模塊和用戶驗(yàn)證模塊�����。其中網(wǎng)絡(luò)控制模塊功能為檢測網(wǎng)絡(luò)連接及連接到云服務(wù)器�;用戶驗(yàn)證模塊功能為將請求用戶的信息與云服務(wù)器中用戶文件中對應(yīng)的用戶信息進(jìn)行比較,決定是否通過驗(yàn)證�����。
[0037]進(jìn)一步地���,所述可信度計(jì)算�,根據(jù)用戶的初始權(quán)限、操作信息和歷史可信度計(jì)算對加密文件操作的可信度�����;訪問控制決策���,根據(jù)可信度計(jì)算結(jié)果和用戶初始權(quán)限��,采用相關(guān)策略決定當(dāng)前用戶的可信操作權(quán)限��;權(quán)限控制����,控制用戶初始權(quán)限及根據(jù)決策結(jié)果為用戶分配暫時(shí)的可信操作權(quán)限��。
[0038]進(jìn)一步地�,所述加密文件操作權(quán)限分為C級:對本地加密文件具有只讀權(quán)限;B級:對本地加密文件有讀��、寫權(quán)限4級:對本地加密文件有讀�����、寫權(quán)限�����,對云服務(wù)器上的加密文件有只讀權(quán)限。[0039]本發(fā)明提供一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng)及方法��,采用云存儲(chǔ)技術(shù)��,可以上傳加密文件到云服務(wù)器或從云服務(wù)器讀取加密文件�����,并引入了可信度來動(dòng)態(tài)調(diào)整用戶對加密文件的操作權(quán)限��,可以更有效地減少甚至避免因用戶信息泄露和用戶登錄后權(quán)限固定等問題帶來的危害�。
[0040]以上所揭露的僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍�,因此依本發(fā)明申請專利范圍所作的等同變化,仍屬本發(fā)明所涵蓋的范圍�。
【權(quán)利要求】
1.一種基于云存儲(chǔ)的加密文件訪問控制系統(tǒng),其特征在于���,所述系統(tǒng)包括: 管理中心單元:僅管理員用戶可進(jìn)入����,進(jìn)入后可以管理本地加密文件和云服務(wù)器上的加密文件,如對本地加密文件的加解密�����、添加或刪除加密文件�����、從云服務(wù)器下載加密文件并解密及上傳加密文件到云服務(wù)器等�����。 用戶驗(yàn)證單元:包括網(wǎng)絡(luò)控制模塊和用戶驗(yàn)證模塊����。其中網(wǎng)絡(luò)控制模塊功能為檢測網(wǎng)絡(luò)連接及連接到云服務(wù)器;用戶驗(yàn)證模塊功能為將請求用戶的信息與云服務(wù)器中用戶文件中對應(yīng)的用戶信息進(jìn)行比較����,決定是否通過驗(yàn)證。 加密單元:包括加密模塊和解密模塊���。其中加密模塊功能為強(qiáng)制執(zhí)行加密操作���,針對設(shè)定文件進(jìn)行加密操作��;解密模塊功能為通過后臺(tái)將加密文件自動(dòng)解密到內(nèi)存�����,不影響文件在磁盤上的加密狀態(tài)�����。 訪問控制決策單元:接收用戶操作加密文件的請求,從云服務(wù)器讀取用戶的歷史可信度用于可信度計(jì)算�����,讓回進(jìn)行訪問控制決策�,包括可信度計(jì)算模塊、控制決策模塊和權(quán)限控制模塊���。其中可信度計(jì)算模塊功能為根據(jù)用戶的初始權(quán)限��、操作信息和歷史可信度計(jì)算對加密文件操作的可信度����;控制決策模塊功能為根據(jù)可信度計(jì)算結(jié)果和用戶初始權(quán)限,采用相關(guān)策略決定當(dāng)前用戶的可信操作權(quán)限���;權(quán)限控制模塊功能為控制用戶初始權(quán)限及根據(jù)決策結(jié)果為用戶分配暫時(shí)的可信操作權(quán)限��。 日志單元:將請求用戶信息和操作記錄保存到本地系統(tǒng)日志文件中去��,將其中的用戶信息和可信度保存到云日志(云服務(wù)器上對應(yīng)的日志文件)��。
2.一種基于云存儲(chǔ)的加密文件訪問控制方法��,其特征在于���,所述方法包括如下步驟: Al:如果用戶有加密文 件訪問需要,進(jìn)入訪問控制系統(tǒng)����; A2:進(jìn)入用戶驗(yàn)證單元,如果驗(yàn)證通過��,記錄用戶信息到本地日志和云日志�����,用戶發(fā)出操作加密文件的請求���;反之�����,退出�; A3:接收用戶的加密文件操作請求,進(jìn)行訪問控制決策����,主要包括:計(jì)算請求操作可信度并將其記錄到云日志,基于用戶初始權(quán)限�����、請求操作和歷史可信度記錄��;訪問控制決策�,基于可信度和用戶初始權(quán)限���;如果決策結(jié)果為拒絕用戶請求����,退出系統(tǒng)����;反之����,通過權(quán)限控制為用戶分配相應(yīng)的加密文件操作權(quán)限��。記錄用戶操作信息到本地日志��; A4:用戶根據(jù)分配的暫時(shí)權(quán)限執(zhí)行對加密文件的相關(guān)操作���,并記錄用戶操作信息到本地日志��。
3.如權(quán)利要求2所述的基于云存儲(chǔ)的加密文件訪問控制方法�,其特征在于�,所述步驟中的用戶認(rèn)證單元包括網(wǎng)絡(luò)控制模塊和用戶驗(yàn)證模塊。其中網(wǎng)絡(luò)控制模塊功能為檢測網(wǎng)絡(luò)連接及連接到云服務(wù)器���;用戶驗(yàn)證模塊功能為將請求用戶的信息與云服務(wù)器中用戶文件中對應(yīng)的用戶信息進(jìn)行比較��,決定是否通過驗(yàn)證�。
4.如權(quán)利要求2所述的基于云存儲(chǔ)的加密文件訪問控制方法����,其特征在于����,所述步驟中可信度計(jì)算��,根據(jù)用戶的初始權(quán)限�、操作信息和歷史可信度計(jì)算對加密文件操作的可信度;訪問控制決策�����,根據(jù)可信度計(jì)算結(jié)果和用戶初始權(quán)限�����,采用相關(guān)策略決定當(dāng)前用戶的可信操作權(quán)限�����;權(quán)限控制�,控制用戶初始權(quán)限及根據(jù)決策結(jié)果為用戶分配暫時(shí)的可信操作權(quán)限�。
5.如權(quán)利要求2所述的基于云存儲(chǔ)的加密文件訪問控制方法,其特征在于��,所述步驟中加密文件操作權(quán)限分為三級:C級一對本地加密文件具有只讀權(quán)限���;B級一對本地加密文件有讀��、寫權(quán)限4級--對本地加密文件有讀�����、寫權(quán)限��,對云服務(wù)器上的加密文件有只讀權(quán)限��。
【文檔編號(hào)】H04L29/06GK103780581SQ201210405395
【公開日】2014年5月7日 申請日期:2012年10月23日 優(yōu)先權(quán)日:2012年10月23日
【發(fā)明者】張海濤, 李志華, 孫雅, 張華偉, 李林, 李朋飛, 尹熙 申請人:江南大學(xué)