一种在线社交网络用户私有数据的访问控制方法

摘要

一种在线社交网络用户私有数据的访问控制方法，当数据创建者创建一个分享到社交网络的客体时，利用其系统公钥和定义的访问控制策略对客体进行加密，并将加密后的客体与访问控制策略上传至社交网络服务器；社交网络的每个用户均具有唯一的身份识别码、以及包含其主观属性和客观属性的属性集；当与数据创建者无直接社交联系的间接共享者向一个已获取客体的直接访问者请求共享该客体时，通过判断该间接访问者的客观属性是否符合数据创建者定义的访问控制策略来控制其访问。本发明在实现用户数据在服务器端加密存储的同时，满足了细粒度及可持续的访问控制需求，解决了现有技术中数据创建者无法控制间接共享者访问客体等问题。

说明书

技术领域

本发明涉及在线社交网络（OSNs，OnlineSocialNetworks）领域，尤其是关于一种在线社交网络用户私有数据的访问控制方法。

背景技术

传统的在线社交网络访问控制在实现细粒度的访问控制（AccessControl）时，用户数据（如用户上传的照片、视频、文本数据等）都是明文存放在在线社交网络的服务器上的，这样的存储方式要求在线社交网络服务提供商必须是可信的，如果发生服务器被攻击或者服务提供商监守自盗的情况，用户隐私数据的安全会无法保障。但是如果数据加密存储在服务器上，会影响访问控制策略的设计和实施，难以实现细粒度的访问控制。目前，既能实现细粒度的访问控制策略又能实现加密存储的方法是基于属性基加密（Attribute-basedencryption）的访问控制方法。但所有访问控制方法的控制策略不具备延续性，其仅能控制数据的第一跳访问，即控制谁能从用户本人的空间里下载得到用户的数据，而一旦用户数据脱离用户的控制域而成为别人的囊中之物后，会如何被使用以及将被传递到何方将不再受用户自己的控制。

使用控制（UsageControl，UCON）理论和架构能够实现控制策略的延续性，从而解决数据的可控使用问题，但目前的使用控制方法主要应用于分布式网络信息系统及数字版权管理领域，使用控制策略的定义不适用于社交网络环境下的应用，并且，使用控制方法中对数据的加密均采用传统的对称或非对称加密体制，不能满足在线社交网络应用环境下细粒度的控制策略自定义的需求，同时密钥的分发和管理也造成用户终端存储和计算的巨大压力，尤其不适用于使用移动终端的社交网络用户。

发明内容

本发明的主要目的是公开一种在线社交网络用户私有数据的访问控制方法，克服现有技术存在的问题，实现用户数据在服务器端加密存储的同时，满足细粒度及可持续的访问控制需求。

本发明采用的技术方案是：一种在线社交网络用户私有数据的访问控制方法，每个数据创建者均由权限服务器为其产生一个系统公钥和一个主密钥，当数据创建者创建一个分享到社交网络的客体时，利用其系统公钥和数据创建者定义的访问控制策略对客体进行属性基加密，并将加密后的客体与数据创建者定义的访问控制策略上传至社交网络服务器，所述加密后的客体包含被分享时的使用控制策略；社交网络的每个用户均具有唯一的身份识别码、以及包含其主观属性和客观属性的属性集；当与数据创建者有直接社交联系的直接访问者访问其分享的客体时，通过判断直接访问者的主观属性和客观属性是否符合数据创建者定义的访问控制策略来控制客体是否解密成功；当与数据创建者无直接社交联系的间接共享者向一个已获取数据创建者分享客体的直接访问者请求共享该客体时，通过判断该间接访问者的客观属性是否符合数据创建者定义的访问控制策略来控制其访问。

较佳的，用于访问社交网络的每个网络用户的终端上均具有用于加解密和执行使用控制策略的引用监控器，所述的属性基加密是指支持非线性访问控制结构的属性基加密方法。

较佳的，所述社交网络服务器包括数据服务器和策略服务器，数据服务器用于存储加密的客体，策略服务器用于存储数据创建者定义的访问控制策略。

较佳的，当社交网络的用户与一个数据创建者建立直接社交联系时，社交网络服务器将该用户的属性集发送到权限服务器，权限服务器以此属性集和其主密钥为输入参数，将利用属性基加密方法得到的私钥发送给直接访问者。

较佳的，当直接访问者请求访问客体时，社交网络服务器将加密的客体传输给直接访问者，直接访问者所在终端的引用监控器对客体进行解密，如果直接访问者的主观属性和客观属性符合数据创建者定义的访问控制策略，则客体被正常解密，且由直接访问者所在终端的引用监控器对客体执行使用控制策略，否则，客体无法被正常解密。

较佳的，当间接共享者向一个已获取数据创建者分享客体的直接访问者请求共享该客体时，直接访问者所在终端的引用监控器根据该客体的使用控制策略判断该客体是否可共享，若可共享，则直接访问者向社交网络服务器发送包含间接共享者身份识别码、客体身份识别码和间接共享者属性集的消息，否则，间接共享者的请求被拒绝。

较佳的，社交网络服务器实时更新网络用户之间的社交网络拓扑图，当社交网络服务器接收到直接访问者发送的间接共享者请求访问客体的身份识别码和属性集的消息时，根据所述社交网络拓扑图判断间接共享者是否是该客体的数据创建者的直接联系人，若是，社交网络服务器以直接访问者访问客体的方法控制其访问该客体，否则，以间接共享者访问客体的方法控制其访问该客体。

较佳的，如果直接访问者接收到社交网络服务器反馈的消息是允许间接共享者访问客体时，直接访问者将其私钥和加密的客体发送给间接共享者，否则，直接访问者拒绝间接共享者的请求。

较佳的，间接共享者成功访问客体后，若其他用户向其提出分享客体的请求，则间接共享者成为新的重分发过程中的直接访问者，请求分享的人成为新的重分发过程中新的间接共享者，以重新执行所述重分发过程。

较佳的，在社交网络拓扑图中，节点表示社交网络用户，定义直接相连的两个节点之间的距离为1且该两个节点所对应的两个社交网络用户是直接联系人，社交网络服务器根据社交网络拓扑图中对应节点的距离是否为1来判断间接共享者是否是数据创建者的直接联系人。

与现有技术相比，本发明至少具有下列优点及有益效果：

1、控制策略的可持续实施。本发明中数据创建者在创建每一个可传播共享的客体时，每个客体均绑定有一个使用控制策略，所述使用控制策略描述了该客体的创建者对客体共享者的要求以及共享者如何使用客体的要求，客体无论传播到哪个网络用户，该网络用户所在终端的引用监控器都会忠实执行该使用控制策略，以保证数据创建者定义的客体的使用控制策略对客体传播过程的全程控制，间接共享者通过直接访问者访问客体时，受到客体的使用控制策略的约束与控制，从而解决了现有技术中数据创建者无法控制间接共享者访问客体的问题；

2、方法更加合理与人性化。本发明将社交网络中每个用户的属性集都细分为主观属性(即与该用户有社交联系的其它用户对其主观判断的属性，例如：社交角色、标签分类、信任度、亲密度等主观属性)和客观属性（即反映该用户客观事实的属性，例如：年龄、性别、教育背景、职务、收入水平等客观事实），当直接访问者向社交网络服务器请求共享客体时，同时考虑直接访问者的主观属性和客观属性；当间接共享者向直接访问者请求共享客体时，忽略间接访问者属性集中的所有主观属性，只考虑其客观属性是否满足访问控制策略，这种方法新颖实用，忽略间接共享者的主观属性，使间接共享者访问客体的方法更加合理与人性化；

3、更高的性价比。本发明中间接共享者访问客体的方法只有保密通信的计算代价，对于间接共享者来说没有加密产生的计算成本，一方面，相比基于属性基加密的访问控制方法来说，本发明在没有更大计算代价的前提下实现了控制策略的可持续性；另一方面，与现有的使用控制方法相比，本发明的属性基加密是基于属性的非对称加密方法，既实现了数据的加密存储，又避免了现有使用控制方法中利用传统加密方法造成的秘钥存储和管理的困难；

4、数据机密性。每个网络用户的数据都使用基于密文的属性基加密方法进行加密，以密文形式上传存储到社交网络服务器的数据服务器上，所有请求访问数据的网络用户当且仅当具有与数据创建者要求的条件相匹配的属性才可以解密并获取正确的数据；除此之外，社交网络服务器也无法获取用户数据，杜绝了第三方侵犯用户隐私的可能；

5、细粒度的访问控制。本发明中所使用的属性基加密方法是指支持非线性访问控制结构的属性基加密方法，可以灵活实现访问控制逻辑条件的“与”“或”“非”和门限操作，从而支持细粒度的用户自定义访问控制策略；

6、控制策略支持隐私悖论。本发明的数据创建者的访问控制策略和客体的使用控制策略可满足社交网络用户既希望传播与共享，又害怕隐私暴露给其防范的人群的矛盾心理，比现有技术用于版权保护系统的使用控制策略更符合社交网络的应用背景。

附图说明

图1是本发明一种在线社交网络用户私有数据的访问控制方法一实施例的模型示意图。

具体实施方式

下面结合附图和实施例对本发明进一步说明。

图1是本发明一种在线社交网络用户私有数据的访问控制方法一实施例的模型示意图。如图1，本发明一实施例的模型主要包括：

（1）社交网络服务器：一个管理注册用户的半可信服务平台，包含数据服务器和策略服务器，数据服务器负责存储用户上传的加密客体数据，策略服务器负责存储用户自定义的访问控制策略。

（2）权限服务器：一个可信第三方平台，通过向网络用户颁发基于网络用户属性的密钥，实现对网络用户不同访问权限的授予。

（3）OSNs网络用户：社交网络服务器的注册用户，并且在注册时都按要求从在线社交网络平台下载安装了引用监控器，通过引用监控器加密和解密用户自己的私人数据，与数据绑定被加密的是自定义的该数据在与其他用户分享时的使用控制策略。本发明一实施例的模型中，用户分为三种：数据创建者、直接访问者和间接共享者。其中，数据创建者指创作私人数据（如照片、视频、文本文件等）并可能通过社交网络平台与其他用户分享的人；直接访问者指在社交网络关系拓扑图中与数据创建者距离为1，也就是有直接联系的人；间接共享者，指向已获得数据的直接访问者请求共享数据的用户，也就是说，间接共享者是直接访问者的直接关系人，其可能与数据创建者有直接联系，也可能与其没有任何关系。

模型中涉及的符号说明：

（1）A：A是一个用户属性集合，包括主观属性集SA及客观属性集OA。即A=SA∪OA，主观属性是与该网络用户有社交联系的其它网络用户对其主观判断的属性，例如：社交角色、标签分类、信任度、亲密度等主观属性，客观属性是反映该用户客观事实的属性，例如：年龄、性别、教育背景、职务、收入水平等客观事实。

（2）C：C是一个二元组(id,AS)，表示模型中的数据创建者。其中，C.id表示其在社交网络唯一的身份识别码，AS是根据数据创建者自定义的访问控制策略。

（3）V：V是一个三元组(id,att_s,att_o)，表示模型中的直接访问者。其中，V.id表示其在社交网络上注册的身份唯一识别码，V.att_s表示其主观属性，V.att_o表示其客观属性，即V.att_sSA，V.att_oOA。

（4）S：S是一个三元组(id,att_s,att_o)，表示模型中的间接共享者。其中，S.id表示其在社交网络上注册的身份唯一识别码，S.att_s表示其主观属性，S.att_o表示其客观属性，即S.att_sSA，S.att_oOA。

（5）O：O是一个二元组(id,ucp)，表示被社交用户分享的客体，由数据创建者C创建。其中，O.id=C.id，O.ucp表示数据创建者C定义的客体被共享时的使用控制策略，一般用XACML（一种策略描述语言）文件表示，加密后的客体用EO_O.id来表示。

本发明一实施例的访问控制方法主要分为三个阶段：一是准备阶段，主要是数据创建者C创建客体O并加密存储的过程，二是直接分发阶段，主要是数据创建者与直接访问者分享客体的过程，三是重分发阶段，主要是直接访问者拥有客体数据后与间接共享者分享客体的过程。下面进行详细的描述。

1、准备阶段

该阶段是网络用户在分享客体前已经完成的工作。

（1）当一个新的数据创建者C注册到在线社交网络平台上时，权限服务器为其产生一个系统公钥PK_i和一个主秘钥MK_i，其中i=C.id。

（2）当数据创建者C新创建一个客体O时，将PK_i，AS(对客体O的访问控制策略)作为输入参数，利用属性基加密方法对客体O进行加密，生成加密后的客体EO_o.id，所述加密后的客体EO_o.id中包含被分享时的使用控制策略。数据创建者C将EO_o.id与AS上传至社交网络服务器，并分别存储在数据服务器和策略服务器中。

（3）当一个已注册的社交网络用户与数据创建者C建立了直接的社交联系（即其成为一个潜在的直接访问者V）时，社交网络服务器将该网络用户的属性集V.att_s∪V.att_o发送到权限服务器，权限服务器以此属性集和其主秘钥MK_i为输入参数，利用属性基加密方法得到一个私钥SK_i，并返回给直接访问者V。

2、直接分发阶段

（1）直接访问者V发送包含客体O身份识别码O.id的消息给社交网络服务器，请求访问客体O。

（2）社交网络服务器返回EO_O.id给直接访问者V。

（3）直接访问者V所在终端的引用监控器对EO_O.id进行解密，若V.att_s∪V.att_oAS，则客体O可以被正常解密，且解密后由V所在终端的引用监控器负责对客体O执行使用控制策略O.ucp；否则，客体O无法被正常解密，直接访问者V对客体O的访问失败。

3、重分发阶段

（1）间接共享者S向一个已经获取客体O的直接访问者V请求共享客体O，具体是S发送包含O.id、S.att_s和S.att_o的消息给直接访问者V，直接访问者V所在终端的引用监控器检查客体O的O.ucp，以确定O.ucp中描述的使用权限是否“可共享”。若可共享，直接访问者V发送包含S.id、O.id、S.att_s和S.att_o的消息给社交网络服务器，否则，间接共享者S的请求被拒绝。

（2）社交网络服务器掌握有社交网络拓扑图，图中的节点表示社交网络用户，该社交网络拓扑图是实时更新的，社交网络服务器根据社交网络拓扑图判断间接共享者是否是该客体的数据创建者的直接联系人，若是，则社交网络服务器执行（3）；否则，执行（4）。

（3）判断S.att_s∪S.att_oAS是否成立，若成立，返回“允许”的消息给V；否则，返回“拒绝”的消息给V，然后执行（5）。

（4）忽略间接共享者S的属性集中所有主观属性S.att_s，只考虑客观属性S.att_o是否满足AS,如果满足，返回“允许”的消息给V，否则，返回“拒绝”的消息给V，然后执行(5)。

（5）如果V得到社交网络服务器返回的消息为“允许”，则V发送其的私钥SK_i和EO_O.id给S，S对SK_i和EO_O.id进行解密后即可成功访问O；否则，V拒绝S的请求,即S对O的访问失败。

当S得到客体O后，若其他用户向其提出分享O的请求，S就成为以上重分发过程中的“V”，而请求分享的人即成为以上重分发过程中的“S”，这是一个递归实现的过程。

需要说明的是，重分发阶段（4）中，忽略间接共享者S的属性集中所有主观属性S.att_s的限制是因为S不是C的直接联系人，不具备从C自身角度定义的主观属性，即当C创建的客体脱离了C的控制域后，其定义的主观属性限制条件无效。因此，只考虑间接共享者S的客观属性S.att_o这样设计新颖实用，更加合理与人性化。

优选的，重分发阶段（2）中，在社交网络拓扑图中，两个节点之间直接有线相连，就表示这两个节点之间直接相连，定义直接相连的两个节点之间的距离为1，距离为1表示该两个节点所对应的两个社交网络用户是直接联系人，社交网络服务器根据社交网络拓扑图中对应节点的距离是否为1来判断间接共享者是否是数据创建者的直接联系人。

以上描述仅是本发明的一个较佳实施例，本发明还可以广泛地用在其他实施例中，并且本发明的保护范围并不受实施例的限定，以权利要求的保护范围为准。任何熟悉本专业的技术人员，可以在不偏离本发明技术思想的范围内，进行多样的变更以及修改，仍属于本发明技术方案的保护范围。