本發明公開了一種大數據環境下的多粒度訪問控制方法，其通過將文件層次的訪問控制豐富成文件夾、文件、文件元數據三個層次的訪問控制，實現多粒度的訪問控制，從多個層面保障了大數據環境下的數據安全。在用戶創建文件夾時指定基于文件夾的訪問控制策略，上傳文件時指定基于文件和文件元數據的訪問控制策略，并且可選擇對文件進行CPABE加密方式進行加密，使其以密文的形式存儲在云端，適應了云端的半可信特性。當用戶請求數據時，會依次判斷文件夾的訪問權限和文件的訪問權限，只有同時滿足條件時才能得到密文，并用自己的密鑰進行解密。由于增加了策略沖突檢測和策略合并模塊，使整個系統的運行更加高效。

技術領域

本發明屬于計算機存儲安全技術領域，更具體地，涉及一種大數據環境下的多粒度訪問控制方法。

背景技術

大數據時代的到來，使得數據成為公司有價值的財產、重要的經濟投入和新型商業模式的基石。用戶數據的使用與共享，給企業帶來商機的同時，也帶來了前所未有的數據安全風險。

隨著大數據使用規模的逐漸增大，實現對數據的受控共享也是亟待解決的問題，訪問控制技術是一種能夠有效防止未授權用戶獲取機密和隱私信息的重要安全保護技術。

針對現有的單一粒度訪問控制方法而言，由于大數據應用場景復雜、需求多樣，不同應用的訪問粒度也不盡同，因此難以用傳統的單一粒度的訪問控制策略進行有效防控。例如：一個由興趣而構建的用戶群，群里一些目錄下都是公開文件，所有人都可以查看，而另一些目錄下含有部分成員所共享的私密文件，可能只需求部分人查看，并且，針對一些特殊的文件，文件的一些附屬信息只能由特定的用戶(例如管理員、群主等)查看，此時針對目錄、文件、附加字段應該實施不同粒度的訪問控制。因此，現有的單一粒度訪問控制方法無法滿足不同應用的多樣化訪問需求，進而無法有效保障大數據環境下數據的安全訪問。

發明內容

針對現有技術的以上缺陷或改進需求，本發明提供了一種大數據環境下的多粒度訪問控制方法，其目的在于，解決現有的單一粒度訪問控制方法無法滿足不同應用的多樣化訪問需求，進而無法有效保障大數據環境下數據的安全訪問的技術問題。

為實現上述目的，按照本發明的一個方面，提供了一種大數據環境下的多粒度訪問控制方法，包括以下步驟：

(1)客戶端接收來自用戶的請求，在接收到的該請求中添加用戶令牌信息，并將添加了用戶令牌信息以后的該請求轉發到服務端；

(2)服務端判斷接收到的請求的類型，是策略類型請求，還是文件數據類型請求，如果是策略類型請求，則轉入步驟(3)，否則轉入步驟(4)；

(3)服務端針對讀類型的策略類型請求，直接讀取其本地存儲的與該策略類型請求對應的策略；針對寫類型的策略類型請求，根據該策略類型請求對應的粒度進行策略沖突檢測以及策略合并操作，并將成功操作的結果存儲在服務端本地，然后轉入步驟(5)；

(4)服務端根據請求類型參數讀取其本地存儲的策略，根據該策略以及用戶的身份令牌判斷該用戶是否具有訪問權限，并在該用戶具有訪問權限時執行與該文件數據類型請求對應的數據操作，以得到操作結果，然后轉入步驟(5)；

(5)服務端將操作結果反饋給客戶端。

優選地，用戶令牌信息包括用戶的身份令牌、以及請求類型參數。

優選地，在接收到的該請求中添加用戶令牌信息的過程具體包括以下子步驟：

(1-1)驗證該用戶是否合法，如果合法則構造該用戶的身份令牌，然后轉入步驟(1-2)，否則過程結束；

(1-2)判斷接收到的請求的類型，是文件夾粒度類型請求、文件粒度類型請求、以及元數據粒度類型請求，如果是文件夾粒度類型請求，則轉入子步驟(1-3)，如果是文件粒度類型請求，則轉入子步驟(1-6)，如果是元數據粒度類型請求，則轉入子步驟(1-13)；