CN102907041A - 一种数据共享系统、数据分发系统以及数据保护方法 - Google Patents

一种数据共享系统、数据分发系统以及数据保护方法 Download PDF

Info

Publication number
CN102907041A
CN102907041A CN2011800050537A CN201180005053A CN102907041A CN 102907041 A CN102907041 A CN 102907041A CN 2011800050537 A CN2011800050537 A CN 2011800050537A CN 201180005053 A CN201180005053 A CN 201180005053A CN 102907041 A CN102907041 A CN 102907041A
Authority
CN
China
Prior art keywords
data
key
owner
upper strata
agent relation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011800050537A
Other languages
English (en)
Other versions
CN102907041B (zh
Inventor
张弓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN102907041A publication Critical patent/CN102907041A/zh
Application granted granted Critical
Publication of CN102907041B publication Critical patent/CN102907041B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例提供一种数据保护方法,其用于数据拥有者通过数据分发系统安全的向数据分享者共享数据。其中,数据拥有者首先与数据分享者建立代理关系,而数据分发系统则用于维护数据拥有者和数据分享者间的代理关系并且在接收到数据拥有者发送的加密后的共享数据时,数据分发系统根据所述代理关系对所述加密后的共享数据进行变换,以使得数据分向者可以解密。采用本发明实施例的数据保护方法,数据的加密和解密均是三方协同的结果,避免了由于单方出现问题而造成的数据泄密的问题。

Description

一种数据共享系统、 数据分发系统以及数据保护方法 技术领域
本发明涉及数据共享技术, 特别涉及一种共享数据加密的数据共享方法和 系统。 背景技术
近年来数据中心和云计算技术得到了很大的发展, 和传统的计算模式相比, 云计算在可靠性、 可扩展性等方面拥有无可比拟的优势。 越来越多的企业和个 人选择将自己的数据存放在云计算网络的存储系统中。 于此同时, 数据中心和 云计算技术的应用也带来了新的挑战, 主要是数据的拥有者和数据的管理者不 再是同一方, 企业或者个人作为数据的拥有者将数据存放在云计算网络的存储 系统中, 而云计算网络则成为数据的管理者。 一方面用户 (数据的拥有者)希 望利用云计算网络的计算、 存储、 通信能力来完成很多工作, 另外一方面用户 又不完全信任云计算网络, 因此, 如何保护数据拥有者的数据不被非法获得, 一直是业界努力的方向。 发明内容
本发明实施例提供一种数据保护方法, 其包括数据拥有者与数据分享者建立 代理关系, 根据数据拥有者私钥 ^ A;)和数据分享者公钥 PkB = (PB1 , PB2 成代理关系式 rkA→B; 所述数据拥有者向所述数据分发系统发送代理关系信息以 及所述代理关系式/ ^→s, 其中, 所述代理关系信息包括所述数据拥有者和数据 分享者之间确定代理关系的信息; 所述数据分发系统根据所述代理关系信息更 新所述数据拥有者的代理关系表, 建立所述代理关系式 rt^→s与数据分享者之间 的映射关系; 所述数据拥有者生成共享数据的密值 m, 通过密值 m将共享数据 加密;所述数据拥有者通过数据拥有者公钥 = ( , 2)对所述密值 m进行加密 得到上层密钥; 所述数据拥有者将经过密值 m加密后的所述共享数据以及所述 上层密钥发送至所述数据分发系统; 所述数据分发系统接收所述加密后的共享 数据以及所述上层密钥后, 查找所述代理关系表并确认所述数据拥有者和所述 数据分享者之间的代理关系, 当所述数据分发系统确认所述数据拥有者和数据 分享者之间确定代理关系的信息时, 所述数据分发系统获得所述数据分享者对 应的所述代理关系式 rkA→B; 所述数据分发系统根据所述代理关系式 A→B对所述 上层密钥进行更新, 得到更新后的上层密钥; 所述数据分发系统将加密后的所 述共享数据以及所述更新后的上层密钥发送给所述数据分享者; 所述数据分享 者根据数据分享者私钥 ^ ^^解密所述更新后的上层密钥, 得到所述密值 m; 所述数据分享者根据所述密值 m对加密后的所述共享数据进行解密, 得到 所述共享数据。
本发明实施例还提供了相应的数据共享系统, 其包括数据拥有者、 数据分 发系统、 以及数据分享者, 所述数据拥有者通过所述数据分发系统将共享数据 分发给所述数据分享者, 所述数据拥有者包括代理关系建立模块、 密钥生成模 块、 以及共享数据发送模块, 所述数据分发系统包括接收模块、 代理关系维护 模块、 上层密钥更新模块、 以及共享数据分发模块, 所述数据分享者包括获得 模块、 以及解密模块, 其中, 所述代理关系建立模块用于与所述数据分享者建 立代理关系, 根据所述数据拥有者私钥 ^^ ^, ^和数据分享者公钥 生成代理关系式 rkA→B,以及向所述数据分发系统发送代理关系信息 以及所述代理关系式 , 其中, 所述代理关系信息包括所述数据拥有者和数 据分享者之间确定代理关系的信息; 所述密钥生成模块用于生成共享数据的密 值11, 通过所述密值 m将所述共享数据加密, 以及通过数据拥有者公钥 ;^ = ( ,/^)对所述密值 m进行加密得到上层密钥; 所述共享数据发送模块用于 将加密后的所述共享数据以及所述上层密钥发送至所述数据分发系统; 所述接 收模块用于自所述数据拥有者获得所述代理关系信息、 所述代理关系式、 经加 密后的所述共享数据、 以及所述上层密钥; 所述代理关系维护模块用于根据所 述代理关系信息更新所述数据拥有者的代理关系表, 建立所述代理关系式 rkA→B 与数据分享者之间的映射关系, 以及当所述接收模块接收到所述加密后的共享 数据以及所述上层密钥时, 所述代理关系维护模块还用于查找所述代理关系表 并确认所述数据拥有者和所述数据分享者之间的代理关系, 并且在确认所述数 据拥有者和数据分享者之间确定代理关系的信息之后, 获得所述数据分享者对 应的所述代理关系式 r →s ; 上层密钥更新模块, 用于根据所述代理关系式对所 述上层密钥进行更新, 得到更新后的上层密钥; 分发模块用于将所述共享数据 以及所述更新后的上层密钥发送给数据分享者; 所述获得模块用于自所述数据 分发系统接收共享数据和所述更新后的上层密钥; 所述解密模块用于根据数据 分享者私钥 ^^ = ( 1, 2)解密所述更新后的上层密钥, 得到所述密值 m。
本发明实施例还提供一种数据分发系统,包括接收模块、代理关系维护模块、 上层密钥更新模块、 以及共享数据分发模块。 所述接收模块用于自数据拥有者 处获得与所述数据拥有者建立代理关系的数据分享者信息、 由数据拥有者密钥 和数据分享者密钥共同生成的代理关系式、 经过数据拥有者采用密值 m加密后 的共享数据、 以及所述共享数据的上层密钥, 其中, 所述上层密钥为数据拥有 者通过数据拥有者密钥对所述密值 m加密生成。 所述代理关系维护模块用于根 据所述数据分向者信息建立和维护代理关系表, 在接收到所述加密后的共享数 据以及所述上层密钥时, 查找所述代理关系表确认与所述数据拥有者建立代理 关系的数据分享者, 并获得所述由数据拥有者密钥和数据分享者密钥共同生成 的代理关系式。 上层密钥更新模块用于根据所述代理关系式对所述上层密钥进 行更新, 得到更新后的上层密钥, 以使得数据分享者可以根据数据分享者密钥 对所述更新后的上层密钥进行解密得到所述密值 m。 分发模块用于将所述共享 数据以及所述更新后的上层密钥发送给数据分享者。 本发明实施例还提供一种 数据保护方法, 其包括: 数据分发系统接收所述数据拥有者发送的代理关系信 息以及代理关系式 /^, 其中, 数据拥有者与数据分享者建立了代理关系, 所述 代理关系信息包括所述数据拥有者和数据分享者之间确定代理关系的信息, 所 述代理关系式是根据数据拥有者私钥 skA和数据分享者公钥 pkB生成的; 所述数 据分发系统根据所述代理关系信息更新所述数据拥有者的代理关系表, 建立所 述代理关系式 与数据分享者之间的映射关系, 其中, 所述代理关系表用于记 录与所述数据拥有者建立代理关系的数据分享者的信息; 所述数据分发系统接 收所述数据拥有者发送的共享数据以及上层密钥, 所述共享数据由所述数据拥 有者生成的共享数据的密值 m加密, 所述上层密钥由所述数据拥有者通过数据 有者公钥 pkA对所述密值 m进行加密得到;所述数据分发系统接收所述加密后的 共享数据以及所述上层密钥后, 查找所述代理关系表并确认所述数据拥有者和 所述数据分享者之间的代理关系, 当所述数据分发系统确认所述数据拥有者和 数据分享者之间建立有代理关系时, 所述数据分发系统获得所述数据分享者对 应的所述代理关系式 fAB;所述数据分发系统根据所述代理关系式 对所述上层 密钥进行更新, 得到更新后的上层密钥; 所述数据分发系统将加密后的所述共 享数据以及所述更新后的上层密钥发送给所述数据分享者, 以使所述数据分享 者根据数据分享者私钥^ ^解密所述更新后的上层密钥, 得到所述密值 m, 进而 使得所述数据分享者根据所述密值 m对加密后的所述共享数据进行解密, 得到 所述共享数据。
本发明实施例还提供一种数据共享系统, 其包括多个数据分发系统, 其中, 所述多个数据分发系统中的每一个均用于记录数据拥有者和数据分享者间建立 的代理关系, 并且所述数据分发系统中的每一个均维护有与所述代理关系对应 的代理关系式, 所述代理关系式为所述数据拥有者的数据拥有者密钥和所述数 据分享者的数据分享者密钥共同生成, 当所述多个数据分发系统接收数据拥有 者发送的共享数据, 以及数据拥有者通过数据拥有者密钥对所述共享数据的密 值 m进行加密得到的上层密钥时, 所述多个数据分发系统中的每一个根据其各 自维护的所述代理关系式对所述上层密钥进行更新, 然后分别将更新后的上层 密钥发送给所述数据分享者, 以使得所述数据分享者可以通过将所述多个数据 分发系统发送的多个更新后的上层密钥进行组合并解密得到所述密值 m。
采用本发明实施例所提供的数据保护方法, 由数据拥有者与数据分享者先 建立代理关系, 而数据分发系统需要根据代理关系更新共享数据的上层密钥, 从而整个共享数据的加密环节实际上是由数据拥有者、 数据分发系统和数据分 享者三方共同参与, 杜绝了由于一方错误导致的共享数据泄漏。 附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对实施例或现有技术 描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图仅仅 是本发明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动 性的前提下, 还可以根据这些附图获得其他的附图。
图 1所示为本发明实施例的数据共享系统的总体架构图。
图 2所示为本发明实施例提供的数据保护方法的示意图。
图 3、 图 4、 图 6、 图 7和图 8为本发明又一实施例提供的数据保护方法的 示意图。
图 5 所示为采用本发明实施例所提供的数据保护方法加密后的共享数据的 结构示意图。 图 9所示为本发明实施例提供的数据共享系统的示意图。 具体实施方式
下面将结合本发明实施例中的附图, 对本发明实施例中的技术方案进行清 楚、 完整地描述, 显然, 所描述的实施例仅是本发明一部分实施例, 而不是全 部的实施例。 基于本发明中的实施例, 本领域普通技术人员在没有作出创造性 劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
本发明实施例所提供的数据共享方法用于帮助数据拥有者安全的将共享数 据发送给与数据拥有者建立了代理关系的数据分享者, 其包括三个主要的步骤, 分别为数据拥有者对共享数据进行加密的数据保护方法, 数据分发系统接收到 数据拥有者发送的加密后的数据后将数据共享给数据分享者的数据分发方法, 以及数据分享者获取加密后的数据进行解密得到共享数据的数据解密方法。 统的架构图。 其中, 所述数据共享系统包括数据拥有者、 数据分发系统、 以及 数据分享者。 当数据拥有者希望将数据上传到数据分发系统中, 以供数据分享 者获取时, 请参照图 2, 本发明实施例所提供的数据保护方法包括:
步骤 101 : 数据拥有者与数据分享者建立代理关系, 生成代理关系式; 步骤 102:数据拥有者生成共享数据的密值 m,通过密值 m将共享数据加密; 步骤 103: 数据拥有者通过数据拥有者公钥对所述密值 m进行加密得到上层 密钥;
步骤 104: 数据拥有者将加密后的所述共享数据以及所述上层密钥发送至所 述数据分享系统;
步骤 105: 数据分 r-系统根据所述代理关系式对所述上层密钥进行更新, 得 到更新后的上层密钥;
步骤 106: 数据分 -系统将加密后的所述共享数据以及所述更新后的上层密 钥发送给所述数据分享者;
步骤 107: 数据分 者才艮据数据分享者私钥解密所述上层密钥, 得到所述密 值 m;
步骤 108: 数据分 :者根据所述密值 m对加密后的所述共享数据进行解密, 得到所述共享数据。 采用本发明实施例所提供的数据保护方法, 由数据拥有者与数据分享者先建 立代理关系, 而数据分发系统需要根据代理关系更新共享数据的上层密钥, 从 而整个共享数据的加密环节实际上是由数据拥有者、 数据分发系统和数据分享 者三方共同参与, 杜绝了由于一方错误导致的共享数据泄漏。
图 3所示为本发明又一实施例提供的数据保护方法的示意图, 本发明又一实 施例提供的数据保护方法包括:
步骤 201 : 数据拥有者与数据分享者建立代理关系, 得到代理关系式 /^。 步骤 202: 所述数据拥有者向所述数据分发系统发送代理关系信息以及所述 代理关系式 /^, 其中, 所述代理关系信息包括所述数据拥有者和数据分享者之 间确定代理关系的信息。
请参照图 4, 所述数据拥有者与数据分享者私钥建立代理关系, 得到代理关 系式^包括:
步骤 2011 : 数据拥有者生成数据拥有者私钥 =0^A2;), 以及数据拥有者 公钥≠A = (PA1,PA2)。
需要说明的是, 在本发明中, 类似于 = 这样的表现形式是指, 数 据拥有者公钥 ^中包括至少由括号中的信息, 也就是 和 ^, 组成的信息序 歹 |J, 而也可能包含其他的信息序列。
在本发明实施例中, 数据拥有者通过随机数生成器得到两个随机数 (β1,β2 ), 将 ,"2 )作为数据拥有者私钥, 即^ ^ ^,^;), 以及根据预设参数 g和 Ζ得到数 据拥有者公钥 pkA = (PM , PA2) = (Za g^ )。
其中, 在本发明实施例中, 预设参数 g和 Z分别来自两个阶为 n 的循环群 ,G2。 其中, 的生成元为 g, 的生成元为 A, 且 可以通过双线性映射 G Gi → G2得到,在本发明实施例中,所述双线性映射可以通过业界已有的几 种算法实现, 比如 miller算法, 在此不进行赞述。 而数据拥有者公钥中的 Z值 则可以通过 二^ ^从^中取得。
步骤 2012: 数据拥有者获取数据分享者公钥 , 并根据所述数据 分享者公钥 P , 以及数据拥有者私钥 S ^ A2)确定代理关系式^, 即
(^¾2 ) 。
数据拥有者与数据分享者间建立代理关系时, 数据拥有者自数据分享者处得 到数据分享者公钥, 用于生成代理关系式。
在本发明实施例中, 数据分享者公钥和私钥在数据分享者中的生成方式与数 据拥有者类似, 也是通过随机数生成器得到数据分享者私钥
S k = { «§ , ^ ,然后根据从同样的循环群 G1,G2中获得的 Z和 g来得到数据 分享者公钥^^ =( , )。 从而代理关系式^则应该为
= 2) 1 =g。1
步骤 2013 : 数据拥有者将所述代理关系式 r^→£ = (Ρ£2 1发送至所述数据分发 系统中。
请再参照图 3, 本发明实施例提供的数据保护方法还包括:
步骤 203: 数据拥有者将共享数据通过密值 m进行加密, 并通过数据拥有者 公钥 ) , 其 中, k为随机数, 当然考虑到运算的简易型, 在本发明实施例中, k为随机整数, 进一步的, 如果考虑到密值 m的安全性, 可以设定 k不为 0;
代入 PA1的值可以得到 c = (gk, mZa'k)。
在本发明实施例中,所述密钥 m的生成可以通过以下步骤实现: 可以通过随 机数生成器得到一个 /, 计算 ^的值, 然后再对 ^作哈希, 并将哈希的结果作为 所述密钥 m值。
步骤 204: 数据拥有者根据所述上层秘钥、 所述共享数据、 以及用于记录所 述待分享数据所对应的数据分享者的访问控制信息, 生成安全数据, 并将所述 安全数据发送至数据分发系统。
在这里请参照图 5, 图 5为经过数据拥有者加密后的数据结构图。 从图中可 以看到, 数据拥有者加密后的数据包括共享数据、 上层密钥、 以及访问控制信 息。 其中, 所述访问控制信息中包括已经与数据拥有者建立代理关系的数据分 部分, 而其他应用需要的数据信息也可以被包含在所述安全数据中, 而并未在 图 5中显示。
数据分享者如果要获得数据拥有者加密后的数据中的共享数据, 其必须先根 据代理关系式破解上层密钥, 然后才能获得所述密值 m, 然后根据所述密值 m 来获得所述共享数据。
请参照图 6, 当数据分发系统接收到所述安全数据后, 将根据数据分享者和 数据拥有者之间的代理关系, 将安全数据分发给数据分享者, 这一数据分发方 法包括:
步骤 500: 所述数据分发系统根据所述代理关系信息更新所述数据拥有者的 代理关系表, 建立所述代理关系式 与数据分享者之间的映射关系。
步骤 501: 数据分发系统获得数据拥有者发送的安全数据后, 根据所述安全 数据中所包括的访问控制信息, 获得代理关系式/ ={PB21
在本发明实施例中, 所述数据分发系统接收所述加密后的共享数据以及所述 上层密钥后, 根据所述访问控制信息查找所述代理关系表并确认所述数据拥有 者和所述数据分享者之间的代理关系, 当所述数据分发系统确认所述数据拥有 者和数据分享者之间确定代理关系的信息时, 所述数据分发系统获得所述数据 分享者对应的所述代理关系式/^
数据分发系统根据访问控制信息获得数据拥有者希望分享数据的数据分享 者信息, 并获得相应的数据分享者和数据拥有者之间生成的代理关系式。 如果 数据分发系统没有找到所述代理关系式, 则所述数据分发系统将所述数据分享 者的公钥发送给所述数据拥有者, 以使得数据拥有者生成相应的代理关系式。
步骤 502: 数据分发系统根据^和上层密钥 c = (g m ^), 从 G2循环群中 获得代理变换值 ^,/^), 并根据所述代理变换值 ^, )更新所述上层密钥 c = {gk,m(PAl†), 以得到更新后的上层密钥 c'^g*,/^),^ ^*)
在本发明实施例中, 从而, ^, )= ^, ), 由于 e: Gi x Gi→ G2 , ^为^的生成元, 所以可以得到, gk,ga Zkab 从而, 更新后 的上层密钥 ' = (Ζ ( ^))。
步骤 503: 数据分发系统将更新了所述上层密钥的安全数据共享给所述数据 分享者。
请参照图 7, 数据分享者从数据分发系统获得安全数据后, 数据分享者根据 自身的私钥对所述安全数据进行解密的解密方法包括:
步骤 601:数据分享者通过数据分享者私钥 ^ ^对安全数据中的上层密钥进行 解密, 得到密值 m;
步骤 602: 数据分享者根据所述密值 m从所述安全数据中获得所述待分享的 数据。
在本发明实施例中, 数据分享者根据数据分享者私钥 ^ ^ ,^Χ^Α)对 更新后的上层密钥 c'^Z 2,^ ^) )进行解密得到密值 m, 即 者
从而, 由于 = Ζαι, SB2 = b2 , 数据分享者得到了正确的密值11, 并可根据所 述密值 m获得数据拥有者共享的数据。
为了更进一步的提高安全系数, 本发明实施例还提供一种数据保护方法, 其 中, 数据拥有者和数据分享者建立多个代理关系式, 并将所述代理关系式分发 至多个数据分发系统, 而数据分享者则需要对所有数据分发系统发送的更新后 的上层密钥进行整合, 这样才能正常解密。
请参照图 8, 本发明实施例所提供的针对多数据分发系统的数据保护方法, 包括:
步骤 801 : 数据拥有者与数据分享者生成多个代理关系式, 数据拥有者将所 述多个代理关系式分别发送至多个数据分发系统;
其中, 所述多个代理关系式与参与数据共享的多个数据分发系统——对应。 具体的, 数据拥有者和数据分享者的密钥和公钥的生成方式与前文所述相 同, 在这里不再进行赞述。 需要注意的是, 在这里数据拥有者与数据分享者建 立代理关系, 并根据 W=^2; r生成代理关系式, 其中, w为对应第 i个数 据分发系统的代理关系式, 即 fAB w将被发送给第 i个数据分发系统。
∑ ^ = 5ΑΙ , 其中, Τ为所述多个数据分发系统的数量。
步骤 802: 数据拥有者生成共享数据的密值 m, 对所述密值 m进行加密得到 上层密钥, 并将所述共享数据和所述上层密钥发送至所述多个数据分发系统。
本步骤中密值 m 的生成和上层密钥的生成可以采用与之前两个实施例中所 述的相同或相似的方法, 在这里不再进行赞述。
步骤 803: 多个数据分享系统分别根据所述多个代理关系式对所述上层密钥 进行更新, 得到多个更新后的上层密钥;
在本发明实施例中, 第 i 个数据分发系统根据
c ^g^^ ^ )进行更新, 得到第 i 个数据分发系统的更新后的上层密钥 ς '„,/ '·Χ )*)。
步骤 804: 数据分享者从所述多个数据分发系统中获得多个更新后的上层密 钥, 数据分享者根据所述多个上层密钥得到组合密钥, 并从所述组合密钥中解 密得到密值 m。
在本发明实施例中, 组合密钥为¾合'=(] (^, (0)^( ), 其中 T为所 述多个数据分发系统的数目,
在实际应用中可以看到, Λ^·) = (Ρ£2;θ e(gk , fAB (i)) = e(gk, g^ ) = Zk^ , 所 以, ς. - (Ζ¾Λ ,Λ'Ζ^) °相应的,
ΓΟ , / '·))
从而可以得到,
_ m(zkai 从而数据分享者可以根据密值对共享数据进行解密。
采用本发明实施例所提供的数据保护方法, 数据拥有者和数据分享者的代理 关系被分别保存到多个数据分发系统中, 而数据分享者必须根据所有数据分发 系统发送的更新后的上层密钥才能解密得到密值 m, 从而在已有的基础上更进 一步的提高了数据加密的安全性。 数据保护方法的数据共享系统的示意图。 本发明实施例所提供的数据共享系统, 包括数据拥有者 10、 数据分发系统 20、 数据分享者 30。
所述数据拥有者 10包括: 代理关系建立模块 12、 密钥生成模块 14、 以及共 享数据发送模块 16。
所述代理关系建立模块 12用于与所述数据分享者 10建立代理关系, 根据数 据拥有者私钥和数据分享者公钥生成代理关系式, 以及向所述数据分发系统发 送代理关系信息以及所述代理关系式 ^, 其中, 所述代理关系信息包括所述数 据拥有者和数据分享者之间确定代理关系的信息。
在本发明实施例中, 数据拥有者公钥、 数据私有者私钥、 数据分享者公钥、 数据分享者私钥的生成, 可以采用与本发明实施例所提供的数据保护方法相同 或相似的方法, 在此不再赘述。 数据拥有者公钥和数据拥有者私钥的生成可以 由所述代理关系建立模块生成, 也可以由其他的模块, 比如一个专门的密钥生 成模块来进行。 至于代理关系式的生成则可以根据数据分发系统的数量, 从本发明实施例所 提供的数据保护方法中选择。 具体的, 当本发明实施例所提供的数据分发系统 中, 如果数据拥有者仅通过一个数据分发系统向数据分享者提供共享数据, 则 所述代理关系式可以根据 fM = (pB2 )s-得到,而如果数据拥有者通过多个数据分发 系统向数据分享者提供共享数据, 则所述数据拥有者针对每一个数据分发系统 生成代理关系式 Λ^) = 2;Τ, 其中, W表示第 i个数据分发系统对应的代理 关系式, ∑^ = , τ为所述多个数据分发系统的数量。
密钥生成模块 14用于生成共享数据的密值 m, 通过所述密值 m将所述共享 数据加密, 以及通过数据拥有者公钥对所述密值 m进行加密得到上层密钥。
其中,密值 m和上层密钥的生成可以参用与本发明实施例所提供的数据保护 方法中相同或相似的方法, 在这里不再赘述。
共享数据发送模块 16用于将加密后的所述共享数据以及所述上层密钥发送 至所述数据分发系统 20。
数据分发系统 20包括接收模块 22、 代理关系维护模块 23、 上层密钥更新模 块 24、 以及共享数据分发模块 26。
所述接收模块 22用于自所述数据拥有者 10获得所述代理关系信息、 所述代 理关系式、 经加密后的所述共享数据、 以及所述上层密钥。
所述代理关系维护模块 23 用于根据所述代理关系信息更新所述数据拥有者 的代理关系表, 建立所述代理关系式 与数据分享者之间的映射关系, 以及当 所述接收模块接收到所述加密后的共享数据以及所述上层密钥时, 所述代理关 系维护模块还用于查找所述代理关系表并确认所述数据拥有者和所述数据分享 者之间的代理关系, 并且在确认所述数据拥有者和数据分享者之间确定代理关 系的信息之后, 获得所述数据分享者对应的所述代理关系式 rkA→B
上层密钥更新模块 24用于根据所述数据拥有者 10生成的代理关系式对所述 上层密钥进行更新, 得到更新后的上层密钥。
在本发明实施例中, 所述上层密钥的更新可以采用与本发明实施例所提供的 数据保护方法中相同或相似的方法。 具体的, 如果数据拥有者 10仅通过一个数 据分发系统 20向数据分享者 30分发共享数据, 则上层密钥更新模块 24根据代 理关系式/^和上层密钥 c = ( , 从 G2 循环群中获得代理变换值 e(gk ,fAB〕, 并且根据所述代理变换值 更新所述上层密钥 = (^,«( ^) ), 以得到更新后的上层密钥 c'^^,/^),^ ^*); 如果数据拥有者 10通过多个数 据分发系统 20向数据分享者 30分发共享数据,则第 i个数据分发系统通过上层 密钥更新模块 24,根据 W = ^2;r对上层密钥 c^g^m^ )进行更新,得到第 i个数据分发系统的更新后的上层密钥 c, ' = (e(gk,fAB ( m^ )。
分发模块 26用于将共享数据以及更新后的上层密钥发送给数据分享者。 数据分享者 30包括获得模块 32、 以及解密模块 34。
所述获得模块 32用于自所述数据分发系统 20接收共享数据和所述更新后的 上层密钥。
所述解密模块 34用于根据数据分享者私钥解密所述更新后的上层密钥, 得 到所述密值 m。 中涉及的方法相同或类似的方法。 具体的, 当数据拥有者 10通过一个数据分发 系统 20向数据分享者 30分发共享数据, 则数据分享者根据数据分享者私钥 skB = (Sm,SB2), 以及公式 m = m(PAi) ) 求得 m; 当数据拥有者 10通过多个数据分发系统 20向数据分享 e(gk,fAB)
者 30分发共享数据, 则数据分享者自多个数据分发系统 20中接收所述更新后 的上层密钥 , 然后根据所述更新后的上层密钥得到组合密钥 ' = e (S Λ ) i , 」, 然后根据所述组合密钥计算获得密值 m
当然所述数据分享者也包括分享者密钥生成模块, 用于生成数据分享者公钥 和数据分享者私钥, 生成的方法可以参照本发明实施例的数据保护方法中所提 供相应方法。
更进一步的, 本发明实施例所提供数据共享系统的数据拥有者还包括密钥更 新模块, 用于更新数据拥有者私钥、 数据拥有者公钥。 具体的, 密钥更新模块 生成第二数据拥有者私钥^ 4 ^ ,^)和第二数据拥有者公钥 P '«,A2';>,并 计算更新系数 =^'/^, 所述密钥更新模块还用于将所述更新系数 = S^ 'SA 2 = 发送给所述数据分发系统。 相应的数据分发系统包括密钥 更新响应模块, 用于根据所述更新系数得到新的代理关系式, 即 ' 或 者, = 在收到共享数据和上层密钥后, 数据分发系统就可以根据 新的代理关系式对上层密钥进行更新。
通过以上的实施方式的描述, 本领域的技术人员可以清楚地了解到本发明可 借助软件加必需的通用硬件平台的方式来实现, 当然也可以通过硬件, 但很多 情况下前者是更佳的实施方式。 基于这样的理解, 本发明的技术方案本质上或 者说对现有技术做出贡献的部分可以以软件产品的形式体现出来, 该计算机软 件产品可以存储在存储介质中, 如 ROm/RAm、 磁碟、 光盘等, 包括若干指令用 以使得一台计算机设备(可以是个人计算机, 服务器, 或者网络设备等)执行 本发明各个实施例或者实施例的某些部分所述的方法。
以上所述仅是本发明的优选实施方式, 应当指出, 对于本技术领域的普通 技术人员来说, 在不脱离本发明原理的前提下, 还可以作出若干改进和润饰, 这些改进和润饰也应视为本发明的保护范围。

Claims (1)

  1. 权 利 要 求 书
    1、 一种数据保护方法, 其特征在于, 包括:
    数据拥有者与数据分享者建立代理关系, 根据数据拥有者私钥 和数据分 享者公钥 pkB生成代理关系式 fAB
    所述数据拥有者向数据分发系统发送代理关系信息以及所述代理关系式 fAB, 其中, 所述代理关系信息包括所述数据拥有者和数据分享者之间确定代理关系 的信息;
    所述数据分发系统根据所述代理关系信息更新所述数据拥有者的代理关系 表, 建立所述代理关系式 ^与数据分享者之间的映射关系, 其中, 所述代理关 系表用于记录与所述数据拥有者建立代理关系的数据分享者的信息;
    所述数据拥有者生成共享数据的密值 m, 通过密值 m将共享数据加密; 所述数据拥有者通过数据拥有者公钥 对所述密值 m进行加密得到上层密 钥;
    所述数据拥有者将经过密值 m加密后的所述共享数据以及所述上层密钥发 送至所述数据分发系统;
    所述数据分发系统接收所述加密后的共享数据以及所述上层密钥后, 查找所 述代理关系表并确认所述数据拥有者和所述数据分享者之间的代理关系, 当所 述数据分发系统确认所述数据拥有者和数据分享者之间建立有代理关系时, 所 述数据分发系统获得所述数据分享者对应的所述代理关系式 fAB; 所述数据分发 系统根据所述代理关系式 fAB对所述上层密钥进行更新,得到更新后的上层密钥; 所述数据分发系统将加密后的所述共享数据以及所述更新后的上层密钥发 送给所述数据分享者;
    所述数据分享者根据数据分享者私钥^ ^解密所述更新后的上层密钥,得到所 述密值 m;
    所述数据分享者根据所述密值 m对加密后的所述共享数据进行解密,得到所 述共享数据。
    2、 如权利要求 1中所述的数据保护方法, 其特征在于, 所述数据拥有者私 钥 ^: ""^), 其中, 所述1 ^和1 ^是数据拥有者私钥的两个元素, 所述数据 拥有者公钥^^ ^^2), 其中, 和 是数据拥有者公钥的两个元素, 所述 数据分享者私钥 2), 其中, 和 2是数据分享者私钥的两个元素, 所述数据分享者公钥 , 2), 其中, 和 ^是数据分享者公钥的两个元 素, 所述 ^1= ^2 = , , = g"2 , , , ¾ ,
    其中, a〖、 、 b 均为随机数, 预设参数 g为循环群 的生成元, z为循环群 G2中的一个元素, 且 <¾为 通过双线性映射得到的 : χG2, Z = e(g,g)。
    3、 如权利要求 2中所述的数据保护方法, 其特征在于, 还包括:
    所述数据拥有者与数据分享者建立代理关系, 生成代理关系式包括 (: 数据拥有者根据所述数据分享者公钥 (Pm,PB2)以及数据拥有者私钥( Α2;) 确定代理关系式 = 2) 1
    4、 如权利要求 3中所述的数据保护方法, 其特征在于, 所述数据拥有者通 过数据拥有者公钥对所述密值 m进行加密得到上层密钥包括:
    通过数据拥有者公钥 (PAl,PA2)对所述密值 m进行加密得到上层密钥 (gk,m(PAlf), 其中, k为随机数。
    5、 如权利要求 4中所述的数据保护方法, 其特征在于, 所述数据分发系统 根据所述代理关系式对所述上层密钥进行更新, 得到更新后的上层密钥包括: 数据分发系统根据代理关系式 rkA→B和上层密钥(g^ ^ ), 从所述 G2循环 群中获得代理变换值 e(g fAB);
    根据所述代理变换值 更新所述上层密钥(^ ( ^), 以得到更新后 的上层密钥 ( ^, ) (^)。
    6、 如权利要求 5中所述的数据保护方法, 其特征在于, 所述数据分享者根 据数据分享者私钥(^,^^解密所述更新后的上层密钥, 得到所述密值 m包括: 数 根据数据分享者私钥 , 以及公式 = 2求得密值^
    7、 如权利要求 2中所述的数据保护方法, 其特征在于,
    所述数据拥有者与数据分享者建立代理关系, 生成代理关系式, 所述数据 拥有者将所述代理关系式发送给数据分发系统包括:
    所述数据拥有者与数据分享者建立代理关系, 生成多个代理关系式, 所述 数据拥有者将所述多个代理关系式中的每个关系式分别发送给多个数据分发系 统中对应的数据分发系统,
    所述数据分发系统根据所述代理关系式对所述上层密钥进行更新, 得到更 新后的上层密钥包括:
    每个数据分发系统分别根据各自接收到代理关系式对所述上层密钥进行更 新, 得到更新后的上层密钥,
    所述数据分享者根据数据分享者私钥解密所述更新后的上层密钥, 得到所 述密值 m包括:
    所述数据分享者根据所述多个数据分发系统产生的多个更新后的上层密 钥, 得到组合密钥;
    所述数据分享者根据所述组合密钥, 以及所述数据分享者私钥得到所述密 值 m。
    8、 如权利要求 7中所述的数据保护方法, 其特征在于,
    所述数据拥有者与数据分享者建立代理关系, 生成多个代理关系式, 所述 数据拥有者将所述多个代理关系式中的每个代理关系式分别发送给多个数据分 发系统中对应的数据分发系统:
    所述数据拥有者与数据分享者根据数据拥有者私钥和数据分享者公钥, 根 据公式
    / '•) = (
    生成与所述多个数据分享系统——对应的所述多个代理关系式, 其中, W表示第 i个数据分发系统对应的代理关系式, 且∑^. = , T为所述多个数 据分发系统的数量。
    9、 如权利要求 8中所述的数据保护方法, 其特征在于,
    所述数据拥有者通过数据拥有者公钥对所述密值 m进行加密得到上层密钥 包括:
    通过所述数据拥有者公钥 对所述密值 m进行公钥加密得到上层密钥 (gk , m(PAl f ) , 其中, k为随机数。
    所述多个数据分发系统分别根据所述多个代理关系式对所述上层密钥进行 更新, 得到多个更新后的上层密钥包括:
    第 i个数据分发系统根据代理关系式 fM ( = (ΡΒ2γ对上层密钥 (gk , m (PA1† 进 行更新, 得到第 i个数据分发系统的更新后的上层密钥(^^,Λ^ χρ ^)。
    10、 如权利要求 7中所述的数据保护方法, 其特征在于, 所述组合密钥为 (n e sk,fAB (i))MF ), 根据所述组合密钥获得所述密值 m包括:
    11、 一种数据共享系统, 其特征在于, 包括数据拥有者、 数据分发系统、 以及数据分享者, 所述数据拥有者通过所述数据分发系统将共享数据分发给所 述数据分享者, 所述数据拥有者包括代理关系建立模块、 密钥生成模块、 以及 共享数据发送模块, 所述数据分发系统包括接收模块、 代理关系维护模块、 上 层密钥更新模块、 以及共享数据分发模块, 所述数据分享者包括获得模块、 以 及解密模块, 其中,
    所述代理关系建立模块用于与所述数据分享者建立代理关系, 根据所述数 据拥有者私钥 和数据分享者公钥 生成代理关系式 ^ 以及向所述数据分 发系统发送代理关系信息以及所述代理关系式 /^, 其中, 所述代理关系信息包 括所述数据拥有者和数据分享者之间确定代理关系的信息;
    所述密钥生成模块用于生成共享数据的密值 m, 通过所述密值 m将所述共享 数据加密, 以及通过数据拥有者公钥 对所述密值 m进行加密得到上层密钥; 所述共享数据发送模块用于将加密后的所述共享数据以及所述上层密钥发 送至所述数据分发系统;
    所述接收模块用于自所述数据拥有者获得所述代理关系信息、 所述代理关 系式、 经加密后的所述共享数据、 以及所述上层密钥;
    所述代理关系维护模块用于根据所述代理关系信息更新所述数据拥有者的 代理关系表, 建立所述代理关系式 与数据分享者之间的映射关系, 以及当所 述接收模块接收到所述加密后的共享数据以及所述上层密钥时, 所述代理关系 维护模块还用于查找所述代理关系表并确认所述数据拥有者和所述数据分享者 之间的代理关系, 并且在确认所述数据拥有者和数据分享者之间确定建立有代 理关系时, 获得所述数据分享者对应的所述代理关系式 /^, 其中, 所述代理关 系表用于记录与所述数据拥有者建立代理关系的数据分享者的信息;
    上层密钥更新模块, 用于根据所述代理关系式对所述上层密钥进行更新, 得到更新后的上层密钥;
    分发模块用于将所述共享数据以及所述更新后的上层密钥发送给数据分享 者;
    所述获得模块用于自所述数据分发系统接收共享数据和所述更新后的上层 密钥;
    所述解密模块用于根据数据分享者私钥 解密所述更新后的上层密钥, 得 到所述密值 m。
    12、 如权利要求 11所述的数据共享系统, 其特征在于, 所述数据拥有者私 钥 ^: ""^), 其中, 所述1 ^和1 ^是数据拥有者私钥的两个元素, 所述数据 拥有者公钥 ^^ = (^,Ρ ), 其中, 和 是数据拥有者公钥的两个元素, 所述 数据分享者私钥 2), 其中, 和 2是数据分享者私钥的两个元素, 所述数据分享者公钥 , 2), 其中, 和 ^是数据分享者公钥的两个元 素, 所述 ι = ί¾,
    其中, Ωι、 a b 均为随机数, 预设参数 g为循环群 的生成元, Z为循环群 中的一个元素, 且 <¾为 通过双线性映射得到的6 ^ →G2, Z = e(g,g)。
    13、 如权利要求 12所述的数据共享系统, 其特征在于, 所述数据拥有者根 据 fAB = (PB2 )SAI生成所述代理关系式。
    14、 如权利要求 13所述的数据共享系统, 其特征在于, 所述密钥生成模块 根据所述数据拥有者公钥 (PAL, PA2)对所述密值 m进行公钥加密得到所述上层密钥 , 其中, k为随机数。 15、 如权利要求 14所述的数据共享系统, 其特征在于, 所述上层密钥更新 模块根据所述代理关系式^和所述上层密钥 = (^^( ^)),从所述 G2循环群中 获得代理变换值6(^, ), 并且根据所述代理变换值 , )更新所述上层密钥 (gk,m(p ), 以得到所述更新后的上层密钥《^, )^( ^)。 16、 如权利要求 15所述的数据共享系统, 其特征在于, 所述解密模块根据 数据分 (^^^), 以及公式 = 2求得密值^
    17、 如权利要求 12所述的数据共享系统, 其特征在于, 所述数据共享系统 包括多个数据分发系统, 所述数据拥有者通过所述多个数据分发系统向所述数 据分享者分发数据,
    所述代理关系建立模块根据 ^() = (A2;r生成多个代理关系式, 并将所述多 个代理关系式分别发送至所述多个数据分发系统, 其中, 表示发送至第 i 个数据分发系统的代理关系式, 且 = 1, τ为所述多个数据分发系统的数 量。
    18、 如权利要求 17所述的数据共享系统, 其特征在于,
    所述密钥生成模块通过所述数据拥有者公钥(^,/^)对所述密值 m进行公钥 加密得到上层密钥(^ ( ^)), 其中, k为随机数;
    所述上层密钥更新模块根据所述代理关系式 Χ^ΧΑ^对上层密钥
    (g , ( , )进行更新, 得到所述第 i个数据分发系统的更新后的上层密钥
    19、 如权利要求 18所述的数据共享系统, 其特征在于,
    所述解密模块根据自所述多个数据分发系统处获得的所述更新后的上层密 钥《 ,χ^οχ^)*),获得所述组合密钥 , 并且所述解 密模块根据所述组合密钥 (] e α Λ ) i HmiP获得所述密值 m : γγΐ―
    ro, ))° 20、 如权利要求 13或 17所述的数据共享系统, 其特征在于, 所述数据拥有 者还包括括密钥更新模块用于更新所述数据拥有者私钥和所述数据拥有者公 钥, 其中, 所述密钥更新模块生成第二数据拥有者私钥 (^',5^ ';)和第二数据拥有 者公钥 并计算更新系数 ^ 数据拥有者还用于将所述更新系数 tx 发送给所述数据分发系统;
    所述数据分发系统还包括密钥更新响应模块, 用于根据所述更新系数更更 新代理关系式, 即 = ( ) , 或者, ' « = ( ^'。
    21、 一种数据分发系统, 其特征在于, 包括接收模块、 代理关系维护模块、 上层密钥更新模块、 以及共享数据分发模块,
    所述接收模块用于自数据拥有者处获得与所述数据拥有者建立代理关系的 数据分享者信息、 由数据拥有者密钥和数据分享者密钥共同生成的代理关系式、 经过数据拥有者采用密值 m加密后的共享数据、 以及所述共享数据的上层密钥, 其中, 所述上层密钥为数据拥有者通过数据拥有者密钥对所述密值 m加密生成; 所述代理关系维护模块用于根据所述数据分向者信息建立和维护代理关系 表, 在接收到所述加密后的共享数据以及所述上层密钥时, 查找所述代理关系 表确认与所述数据拥有者建立代理关系的数据分享者, 并获得所述由数据拥有 者密钥和数据分享者密钥共同生成的代理关系式;
    上层密钥更新模块, 用于根据所述代理关系式对所述上层密钥进行更新, 得到更新后的上层密钥, 以使得数据分享者可以根据数据分享者密钥对所述更 新后的上层密钥进行解密得到所述密值 m;
    分发模块用于将所述共享数据以及所述更新后的上层密钥发送给数据分享 者。 22、 如权利要求 21所述的数据分发系统, 其特征在于, 所述数据拥有者密 钥包括数据拥有者私钥 skA和数据拥有者公钥 pkA, 所述数据分享者密钥包括数 据分享者私钥 s和数据分享者公钥 pkB
    23、 如权利要求 22所述的数据分发系统, 其特征在于, 所述代理关系式由 所述数据拥有者私钥和所述数据分享者公钥生成。 24、 如权利要求 22所述的数据分发系统, 其特征在于, 所述上层密钥为数 据拥有者根据数据拥有者公钥对密值 m进行加密得到的。 25、 如权利要求 24所述的数据分发系统, 其特征在于, 数据分享者根据所 述分享者私钥对所述更新后的上层密钥进行解密得到所述密值 m。
    26、 如权利要求 25所述的数据分发系统, 其特征在于, 所述数据拥有者私 钥 = 0^,^), 其中, 所述 和^是数据拥有者私钥的两个元素, 所述数据 拥有者公钥^^ = (^, 2), 其中, 和 是数据拥有者公钥的两个元素, 所述 数据分享者私钥 = C^, 2), 其中, ^和 2是数据分享者私钥的两个元素, 所述数据分享者公钥 ^ ^ ,^), 其中, 和 ^是数据分享者公钥的两个元 素, 所述 ι = , 其中, Ωι、 、 b 均为随机数, 预设参数 g为循环群 的生成元, z为循环群 G2中的一个元素, 且 <¾为 通过双线性映射得到的 6 : >< → G2, Z = e(g,g)。
    27、 一种数据保护方法, 其特征在于, 包括:
    数据分发系统接收所述数据拥有者发送的代理关系信息以及代理关系式 fAB, 其中, 数据拥有者与数据分享者建立了代理关系, 所述代理关系信息包括所述 数据拥有者和数据分享者之间确定代理关系的信息, 所述代理关系式是根据数 据拥有者私钥 skA和数据分享者公钥 pkB生成的;
    所述数据分发系统根据所述代理关系信息更新所述数据拥有者的代理关系 表, 建立所述代理关系式 ^与数据分享者之间的映射关系, 其中, 所述代理关 系表用于记录与所述数据拥有者建立代理关系的数据分享者的信息;
    所述数据分发系统接收所述数据拥有者发送的共享数据以及上层密钥, 所述 共享数据由所述数据拥有者生成的共享数据的密值 m加密, 所述上层密钥由所 述数据拥有者通过数据有者公钥 对所述密值 m进行加密得到;
    所述数据分发系统接收所述加密后的共享数据以及所述上层密钥后, 查找所 述代理关系表并确认所述数据拥有者和所述数据分享者之间的代理关系, 当所 述数据分发系统确认所述数据拥有者和数据分享者之间建立有代理关系时, 所 述数据分发系统获得所述数据分享者对应的所述代理关系式 fAB; 所述数据分发 系统根据所述代理关系式 fAB对所述上层密钥进行更新,得到更新后的上层密钥; 所述数据分发系统将加密后的所述共享数据以及所述更新后的上层密钥发 送给所述数据分享者, 以使所述数据分享者根据数据分享者私钥 解密所述更 新后的上层密钥, 得到所述密值 m, 进而使得所述数据分享者根据所述密值 m 对加密后的所述共享数据进行解密, 得到所述共享数据。
    28、 如权利要求 27所述的数据保护方法, 其特征在于, 所述数据拥有者私 钥 = 0^,^), 其中, 所述 和^是数据拥有者私钥的两个元素, 所述数据 拥有者公钥^^ = (^, 2), 其中, 和 是数据拥有者公钥的两个元素, 所述 数据分享者私钥 = C^, 2), 其中, 和 2是数据分享者私钥的两个元素, 所述数据分享者公钥 ^ ^ ,^), 其中, 和 ^是数据分享者公钥的两个元 素, 所述 ι = , 其中, Ωι、 、 b 均为随机数, 预设参数 g为循环群 的生成元, z为循环群 G2中的一个元素, 且 <¾为 通过双线性映射得到的 6 : >< → G2, Z = e(g,g)。
    29、 一种数据共享系统, 其特征在于, 包括多个数据分发系统, 其中, 所 述多个数据分发系统中的每一个均用于记录数据拥有者和数据分享者间建立的 代理关系, 并且所述数据分发系统中的每一个均维护有与所述代理关系对应的 代理关系式, 所述代理关系式为所述数据拥有者的数据拥有者密钥和所述数据 分享者的数据分享者密钥共同生成, 当所述多个数据分发系统接收数据拥有者 发送的共享数据,以及数据拥有者通过数据拥有者密钥对所述共享数据的密值 m 进行加密得到的上层密钥时, 所述多个数据分发系统中的每一个根据其各自维 护的所述代理关系式对所述上层密钥进行更新, 然后分别将更新后的上层密钥 发送给所述数据分享者, 以使得所述数据分享者可以通过将所述多个数据分发 系统发送的多个更新后的上层密钥进行组合并解密得到所述密值 m。
CN201180005053.7A 2011-08-12 2011-08-12 一种数据共享系统、数据分发系统以及数据保护方法 Active CN102907041B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2011/078384 WO2012119389A1 (zh) 2011-08-12 2011-08-12 一种数据共享系统、数据分发系统以及数据保护方法

Publications (2)

Publication Number Publication Date
CN102907041A true CN102907041A (zh) 2013-01-30
CN102907041B CN102907041B (zh) 2016-01-13

Family

ID=46797444

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180005053.7A Active CN102907041B (zh) 2011-08-12 2011-08-12 一种数据共享系统、数据分发系统以及数据保护方法

Country Status (4)

Country Link
US (1) US8539606B2 (zh)
EP (1) EP2713545B1 (zh)
CN (1) CN102907041B (zh)
WO (1) WO2012119389A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11476899B2 (en) * 2019-04-18 2022-10-18 Huawei Technologies Co., Ltd. Uplink multi-user equipment (UE) cooperative transmission

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103491183A (zh) * 2013-09-29 2014-01-01 宇龙计算机通信科技(深圳)有限公司 一种数据分享的方法、移动终端及云服务器
CN105704655A (zh) * 2016-03-29 2016-06-22 北京小米移动软件有限公司 终端之间的媒体数据共享方法及装置
US20170300303A1 (en) * 2016-04-18 2017-10-19 National Instruments Corporation Linear Programming Formulation for Incremental Layout in a Graphical Program
US11361088B2 (en) 2019-02-25 2022-06-14 Oocl (Infotech) Holdings Limited Zero trust communication system for freight shipping organizations, and methods of use
US11763011B2 (en) 2019-02-25 2023-09-19 Oocl (Infotech) Holdings Limited Zero trust communication system for freight shipping organizations, and methods of use

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011070393A1 (en) * 2009-12-07 2011-06-16 Nokia Corporation Preservation of user data privacy in a network
CN102111269A (zh) * 2009-12-29 2011-06-29 日电(中国)有限公司 非延展单向代理转密密钥产生方法和设备、非延展单向代理转密执行方法和系统

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061448A (en) * 1997-04-01 2000-05-09 Tumbleweed Communications Corp. Method and system for dynamic server document encryption
US7286665B1 (en) * 1999-04-06 2007-10-23 Contentguard Holdings, Inc. System and method for transferring the right to decode messages
US6937726B1 (en) * 1999-04-06 2005-08-30 Contentguard Holdings, Inc. System and method for protecting data files by periodically refreshing a decryption key
US20070088660A1 (en) 2005-10-13 2007-04-19 Abu-Amara Hosame H Digital security for distributing media content to a local area network
US8094810B2 (en) * 2006-02-03 2012-01-10 Massachusetts Institute Of Technology Unidirectional proxy re-encryption
US8117648B2 (en) 2008-02-08 2012-02-14 Intersections, Inc. Secure information storage and delivery system and method
US8849955B2 (en) 2009-06-30 2014-09-30 Commvault Systems, Inc. Cloud storage and networking agents, including agents for utilizing multiple, different cloud storage sites
CN101702725A (zh) * 2009-11-12 2010-05-05 清华大学 一种流媒体数据传输的系统、方法及装置
CN101833623B (zh) * 2010-05-07 2013-02-13 华为终端有限公司 数字版权管理方法及系统
CN101854392B (zh) 2010-05-20 2012-11-14 清华大学 一种基于云计算环境的个人数据管理方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011070393A1 (en) * 2009-12-07 2011-06-16 Nokia Corporation Preservation of user data privacy in a network
CN102111269A (zh) * 2009-12-29 2011-06-29 日电(中国)有限公司 非延展单向代理转密密钥产生方法和设备、非延展单向代理转密执行方法和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11476899B2 (en) * 2019-04-18 2022-10-18 Huawei Technologies Co., Ltd. Uplink multi-user equipment (UE) cooperative transmission

Also Published As

Publication number Publication date
US20130042113A1 (en) 2013-02-14
EP2713545A1 (en) 2014-04-02
EP2713545B1 (en) 2017-04-19
CN102907041B (zh) 2016-01-13
EP2713545A4 (en) 2014-08-13
WO2012119389A1 (zh) 2012-09-13
US8539606B2 (en) 2013-09-17

Similar Documents

Publication Publication Date Title
CN111835500B (zh) 基于同态加密与区块链的可搜索加密数据安全共享方法
Wang et al. A blockchain-based framework for data sharing with fine-grained access control in decentralized storage systems
EP3375129B1 (en) Method for re-keying an encrypted data file
WO2016197770A1 (zh) 一种云存储服务平台的访问控制系统及其访问控制方法
CN104363215B (zh) 一种基于属性的加密方法和系统
CN103427998B (zh) 一种面向互联网数据分发的身份验证和数据加密方法
CN110474893A (zh) 一种异构跨信任域密态数据安全分享方法及系统
CN108632292A (zh) 基于联盟链的数据共享方法和系统
CN102907041A (zh) 一种数据共享系统、数据分发系统以及数据保护方法
CN104486307A (zh) 一种基于同态加密的分权密钥管理方法
CN109951279B (zh) 一种基于区块链和边缘设备的匿名数据存储方法
Nirmala et al. Data confidentiality and integrity verification using user authenticator scheme in cloud
CN112365945A (zh) 基于区块链的电子病历细粒度访问控制和密文可搜索方法
CN109146479A (zh) 基于区块链的数据加密方法
CN108876381A (zh) 基于智能合约的安全交易方法
WO2021190453A1 (zh) 用于云雾协助物联网的轻量级属性基签密方法
CN109976948A (zh) 一种私密信息备份方法及恢复方法和系统
CN104243169A (zh) 可跟踪身份的共享数据云审计方法
Liu et al. EMK-ABSE: Efficient multikeyword attribute-based searchable encryption scheme through cloud-edge coordination
CN116545741A (zh) 一种基于区块链的代理重加密逆向防火墙方法
Gohel et al. A new data integrity checking protocol with public verifiability in cloud storage
Arumugam et al. Secure data sharing for mobile cloud computing using RSA
CN116232568A (zh) 一种基于sm9的属性基加密的区块链访问控制方法
CN116318654A (zh) 融合量子密钥分发的sm2算法协同签名系统、方法及设备
CN104468535B (zh) 适合云环境的密文存储与连接查询系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant