技術領域

本發明涉及云存儲安全領域，尤其涉及一種云數據的上傳、訪問控制方法。

背景技術

云存儲是在云計算(cloud?computing)概念上延伸和衍生發展出來的一個新的概念。從功能實現上來講，就是實現異地文件存取與文件分享共步的技術。云存儲通常意味著把主數據或備份數據放到外部存儲池里，而不是放到本地數據中心或專用遠程站點。使用云存儲服務，企業機構就能節省投資費用，簡化復雜的設置和管理任務，把數據放在云中還便于從更多的地方訪問數據。云存儲已經成為未來存儲發展的一種趨勢，但隨著云存儲技術的發展，各類搜索、應用技術和云存儲相結合的應用，還需充分考慮私密文件保護隱患方面的問題，并從安全性、隱私保護角度進行改進。

隨著云存儲技術的迅速發展與普及，越來越多的移動平臺用戶喜歡隨時將自己用手機或平板拍攝的照片與視頻或者是個人日志通過云存儲快速上傳到網盤中，這樣可以非常快捷的通過WEB或PC客戶端在異地甚至即時取回照片和日志，但是用戶上傳的每一張照片或其他文件在云存儲的服務端明文保存的，這些文件中不乏用戶的機密文件或用戶私隱，一旦個人云存儲空間被破解將導致敏感信息的泄露；另外，在服務器上對所有文件都實現密鑰加密會增加成本。

發明內容

為了解決上述任一問題，本發明提出一種云數據的上傳、訪問控制方法。

本發明提供了一種云數據的訪問控制方法，包括以下步驟:服務器接收客戶端發送的云數據訪問請求；所述服務器接收到所述云數據訪問請求后，獲取所述云數據對應的上傳用戶密鑰信息；所述服務器獲取所述上傳用戶密鑰信息后，向所述客戶端發送密鑰認證請求；所述客戶端接收到所述密鑰認證請求后，向所述服務器發送訪問用戶密鑰信息；所述服務器接收到所述客戶端發送的所述訪問用戶密鑰信息后，對所述上傳用戶密鑰信息以及所述訪問用戶密鑰信息進行密鑰認證，若所述密鑰認證成功，則所述服務器允許所述訪問用戶對所述云數據進行讀寫操作，否則，所述服務器向所述客戶端發送密碼認證請求；所述客戶端接收到所述密碼認證請求后，向所述服務器發送訪問密碼；所述服務器接收到所述客戶端發送的所述訪問密碼后，判斷所述訪問密碼是否正確，若不正確，所述服務器拒絕所述訪問請求，若正確，所述服務器獲取所述云數據對應的安全等級，若所述安全等級為普通，則所述服務器允許所述訪問用戶對所述云數據進行讀寫操作，若所述安全等級為重要，則所述服務器允許所述訪問用戶對所述云數據進行只讀操作，若所述安全等級為機密，則所述服務器拒絕所述訪問請求。

此外，若所述云數據對應的安全等級為機密，則所述云數據為利用上傳用戶加密密鑰加密后的數據，所述加密后的云數據只有通過解密密鑰進行解密操作后才能被讀寫操作。

此外，所述加密密鑰為上傳用戶公鑰，所述解密密鑰為上傳用戶私鑰。

此外，所述服務器允許訪問用戶對云數據進行只讀操作包括以下步驟：所述服務器對第一云數據進行HASH運算，生成第一摘要，所述第一云數據為訪問用戶請求訪問的云數據；所述服務器向所述客戶端發送所述第一云數據；所述客戶端接收到所述第一云數據后，對所述第一云數據進行一系列讀取或修改操作后，生成第二云數據，并向服務器發送第二云數據上傳請求；所述服務器接收到所述第二云數據上傳請求后，向所述客戶端發送反饋信息；所述客戶端接收到所述反饋信息后，向所述服務器發送所述第二云數據；所述服務器接收到所述第二云數據后，對所述第二云數據進行HASH運算，生成第二摘要；所述服務器生成所述第二摘要后，判斷所述第一摘要與所述第二摘要是否相同，若不同，則所述服務器發送上傳請求失敗信息。

此外，所述密鑰認證包括以下步驟：所述服務器根據所述上傳用戶身份信息獲取上傳用戶公鑰；所述服務器隨機生成第一數據包，利用所述上傳用戶公鑰對所述第一數據包進行加密運算，獲得第一加密數據包；所述服務器獲得所述第一加密數據包后，向所述客戶端發送所述第一加密數據包；所述客戶端接收到所述第一加密數據包后，利用所述訪問用戶私鑰對所述第一加密數據包進行解密運算，獲得第二數據包；所述客戶端獲得所述第二數據包后，利用服務器公鑰對所述第二數據包進行加密運算，獲得第二加密數據包；所述客戶端獲得所述第二加密數據包后，向所述服務器發送所述第二加密數據包；所述服務器接收到所述第二加密數據包后，利用服務器私鑰對所述第二加密數據包進行解密運算，獲得第三數據包；所述服務器獲得所述第三數據包后，判斷所述第三數據包與所述第一數據包是否一致，若一致，則所述密鑰認證成功。