CN102594824A - 基于多重安全保护机制的电子文档安全分发方法 - Google Patents
基于多重安全保护机制的电子文档安全分发方法 Download PDFInfo
- Publication number
- CN102594824A CN102594824A CN2012100411461A CN201210041146A CN102594824A CN 102594824 A CN102594824 A CN 102594824A CN 2012100411461 A CN2012100411461 A CN 2012100411461A CN 201210041146 A CN201210041146 A CN 201210041146A CN 102594824 A CN102594824 A CN 102594824A
- Authority
- CN
- China
- Prior art keywords
- user
- key
- document
- server
- electronic document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了基于多重安全保护机制的电子文档安全分发方法,属于数字内容安全技术领域。本发明方法引入代理多重加密服务器,实现电子文档密文的传输,避免任何第三方(包括服务端、代理服务端、其它用户)获得文档明文,且减轻了服务端的工作负荷。该协议中用户注册时,服务端将为其计算出一个代理多重加密密钥,该密钥由服务端的私钥和用户的公钥根据特定算法生成。文档拥有者采用服务端的公钥加密内容加密密钥,文档接收方向服务端提出解密申请时,代理服务器采用文档接收方的代理多重加密密钥对内容密钥密文进行二次加密,将重加密后的密文发送给用户,用户采用自己的私钥解密获得内容加密密钥,从而解密获得文档明文。与现有技术相比,本发明方法具有内容安全、加解密高效、系统开销平衡、可扩展性强的特点,且服务端以密文方式存储文档,保证了文档的安全性。
Description
技术领域
本发明属于数字内容安全技术领域,具体涉及基于多重安全保护机制的电子文档安全分发方法。
背景技术
随着网络的普及和发展,数据安全越来越受到人们的重视。尤其是在开放、分散的分布式网络办公环境中,电子文档多域资源共享、跨域安全分发的需求快速增长。数据加密作为保障电子文档安全的基本技术之一,得到了广泛的应用,多域环境下的加密电子文档密文共享和安全传输的需求日益凸现。
目前,大多数电子文档安全管理方案中,采用透明加解密技术对文档进行实时加解密,文档拥有者发送文档密文给接收方,由接收方向服务端提出解密申请。服务端解密后,将明文采用接收方的密钥加密,发送给接书方。该方案中服务端可以解密获得文档明文,并对文档明文进行存储备份。一旦服务端被攻击者攻破,文档明文将被泄露。因此,如果可以实现由公钥pkA加密m得到的密文变换为由公钥pkB加密m得到的密文,将很好的解决服务端解密文档获得明文的问题。如何通过服务端传输密文实现电子文档多域资源共享、跨域安全分发,成为一个重要的研究课题。
1998年,Blaze、Bleumer和Straus在欧洲密码学会议上首次提出代理重密码概念,包括代理多重加密和代理重签名两部分。代理多重加密是指一个拥有额外信息的半可信代理者可以将由A的公钥加密m得到的密文变换为由B的密钥加密同一个明文得到的密文,而代理者并不能获得明文的任何信息。该方案可以解决很多应用环境中的实际问题,如加密的电子邮件转发、分布式文件系统、DRM跨域操作问题等。代理多重加密的出现,几乎是专门为解决DRM跨域操作管理问题设计的,提供了一个近乎完美的解决方案。
发明内容
为克服现有技术的不足,本发明提供基于多重安全保护机制的电子文档安全分发方法,以针对电子文档安全管理多域环境,提出基于代理多重加密机制的电子文档域分发协议,引入代理多重加密服务器,实现电子文档密文的传输,避免任何第三方(包括服务端、代理服务端、其它用户)获得文档明文,且减轻了服务端的工作负荷,为达此目的,本发明采用以下技术方案:
基于多重安全保护机制的电子文档安全分发方法提出一种基于代理多重加密的电子文档跨域分发模型图,如图1所示。该模型主要包括系统服务器,代理服务器,文档拥有者,用户。该模型通过代理多重加密机制,实现电子文档密文的传输,避免任何第三方获得文档明文。其主要特点在于:
(1)引入代理服务器,由系统服务端对代理服务器进行授权认证,产生代理密钥,用于代理服务器在文档分发过程中对代理重密钥进行解密。
(2)用户向系统服务端提出注册时,服务端将为每个用户生成一个代理多重加密密钥,该密钥由服务端的私钥和用户的私钥根据特定算法计算得出。当用户向服务端提出文档解密申请时,将由代理密钥加密后的代理多重加密密钥密文发送给代理服务器,代理服务器通过代理密钥,采用对称加解密算法,获得代理多重加密密钥。
文档拥有者采用服务端的公钥对内容加密密钥进行加密,由接收方向代理服务器提出解密申请,代理服务器通过代理重密钥对内容加密密钥密文进行二次加密后发送给接收方,接收方采用自己的私钥获得内容加密密钥,而代理服务器和系统服务器都无法获得内容加密密钥明文。
基于多重安全保护机制的电子文档安全分发方法,包括以下步骤:
代理服务器认证步骤:
Step1:代理服务器P向系统服务器S发出申请代理请求,并提交IDP;
Step2:系统服务器S随机生成一个密钥k,此密钥由系统服务器和代理服务器共享,系统服务器S用代理服务器的公钥pkp对密钥k进行加密;
Step3:系统服务器S为代理服务器P生成代理授权证书,证书内容包括代理服务器P的公钥pkp以及系统服务器的签名信息;
Step4:系统服务器S向代理服务器P发送α及代理授权证书License;
Step5:代理服务器验证代理授权证书的签名,验证成功,根据自身的私钥解密获得密钥k;否则,返回系统服务端验证失败。
用户注册步骤:
Step1:用户U向系统服务端发出用户注册请求,并提交个人信息IDU;
Step2:文档拥有者O收到用户U的请求后,验证用户个人信息,验证通过,则进行下一步,否则,返回“reject”;
Step3:文档拥有者O采用内容加密密钥CEK加密电子文档,并用服务端S的公钥加密内容密钥;
Step4:文档拥有者O为用户U设置对电子文档D的使用权限R,如阅读次数、复制、打印、二次转发等权利;
Step5:文档拥有者O打包封装权限及电子文档密文,并发送给用户U。
代理多重加密步骤:
Step1:用户U向服务端S发送密文解密申请,并发送相关信息给服务端(注意:这里不发送内容密钥密文给服务端);
Step2:服务端S存储文档D相关信息;
Step3:服务端S根据用户U的个人信息,选择代理服务器P,并将P的相关信息发送给用户;
Step4:用户收到代理服务器IDP后,向代理服务器P发送代理多重加密请求;
Step5:代理服务器P对内容加密密钥密文γ进行代理多重加密;
Step6:代理服务器发送代理多重加密后的内容加密密钥密文给用户U。
电子文档解密步骤:
Step1:用户U收到代理服务器发送的内容加密密钥密文δ后,用自己的私钥sku解密获得CEK;
Step2:用户U根据CEK解密获得文档D;
Step3:用户U根据权限R对电子文档D执行相应的操作。
采用了本发明的技术方法,引入代理多重加密服务器,实现电子文档密文的传输,避免任何第三方(包括服务端、代理服务端、其它用户)获得文档明文,且减轻了服务端的工作负荷。与现有技术相比,本方法具有内容安全、加解密高效、系统开销平衡、可扩展性强的特点,且服务端以密文方式存储文档,保证了文档的安全性。
附图说明
图1是基于代理多重加密的电子文档跨域分发模型图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
本发明技术方案基于多重安全保护机制的电子文档安全分发方法涉及到三个实体,包括服务端、代理服务端、其它用户。方案中设计的跨域环境下电子文档安全分发协议包括代理服务器认证过程、用户注册过程、代理多重加密过程、电子文档解密过程。电子文档分发模型如图1所示。相关符号定义如表1所示。
表1符号定义
(1)代理服务器认证过程
Step 1代理服务器P向系统服务器S发出申请代理请求,并提交IDP。
P->S:IDP||Req(Authorization)
Step 2系统服务器S随机生成一个密钥k,此密钥由系统服务器和代理服务器共享。系统服务器S用代理服务器的公钥pkp对密钥k进行加密。
S:KGen(k)
α=PEnc(pkp,k)
Step 3系统服务器S为代理服务器P生成代理授权证书,证书内容包括代理服务器P的公钥pkp以及系统服务器的签名信息。
Step4系统服务器S向代理服务器P发送α及代理授权证书License。
Step 5代理服务器验证代理授权证书的签名,验证成功,根据自己的私钥解密获得密钥k;否则,返回系统服务端验证失败。
P:k=PDec(skp,α)
(2)用户注册过程
Step 1用户U向系统服务端发出用户注册请求,并提交个人信息IDU。
U->S:IDU||Req(Register)
Step 2服务端验证用户U的身份信息,如验证通过,则为其生成代理多重加密密钥ru→s,否则,返回“reject”给用户。
S:ru→s=ReKGen(pku,sks)
Step 3服务端S以密钥k,采用对称加密算法,加密代理多重加密密钥。
S:β=Enc(k,ru→s)
Step4系统服务器向用户U发送代理多重加密密钥密文。
S->U:IDU||β
(3)电子文档密文申请过程
Step 1用户U向文档拥有者O发出申请电子文档D,并提交个人信息IDU。
U->O:IDU||Req(D)
Step 2文档拥有者O收到用户U的请求后,验证用户个人信息,验证通过,则进行第三步,否则,返回“reject”。
Step 3文档拥有者O采用内容加密密钥CEK加密电子文档,并用服务端S的公钥加密内容密钥。
O:C=Enc(CEK,D)
γ=PEnc(pks,CEK)
Step4文档拥有者O为用户U设置对电子文档D的使用权限R,如阅读次数、复制、打印、二次转发等权利。
O:Assign the rights
Step 5文档拥有者O打包封装权限及电子文档密文,并发送给用户U。
O->U:IDO||γ||IDm||R||C
(4)代理多重加密过程
Step 1用户U向服务端S发送密文解密申请,并发送相关信息给服务端(注意:这里不发送内容密钥密文给服务端)。
U->S:IDO||IDm||R||C
Step 2服务端S存储文档D相关信息。
S:Save(IDO||IDm||R||C)
Step 3服务端S根据用户U的个人信息,选择代理服务器P,并将P的相关信息发送给用户。
S->U:IDP
Step4用户收到代理服务器IDP后,向代理服务器P发送代理多重加密请求。
U->P:IDU||γ||IDm||β||Req(ReEcn)
Step 5代理服务器P对内容加密密钥密文γ进行代理多重加密。
P:ru→s=Dec(k,β)
δ=ReEnc(ru→s,γ)
Step 6代理服务器发送代理多重加密后的内容加密密钥密文给用户U。
P->U:δ
(5)电子文档解密阶段
Step 1用户U收到代理服务器发送的内容加密密钥密文δ后,用自己的私钥sku解密获得CEK。
U:CEK=ReDec(sku,δ)
Step 2用户U根据CEK解密获得文档D。
U:D=Dec(CEK,C)
用户U根据权限R对电子文档D执行相应的操作。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (4)
1.基于多重安全保护机制的电子文档安全分发方法,其特征在于,包括代理服务器认证过程,步骤如下:
Step1:代理服务器P向系统服务器S发出申请代理请求,并提交IDP;
Step2:系统服务器S随机生成一个密钥k,此密钥由系统服务器和代理服务器共享,系统服务器S用代理服务器的公钥pkp对密钥k进行加密;
Step3:系统服务器S为代理服务器P生成代理授权证书,证书内容包括代理服务器P的公钥pkp以及系统服务器的签名信息;
Step4:系统服务器S向代理服务器P发送α及代理授权证书License;
Step5:代理服务器验证代理授权证书的签名,验证成功,根据自身的私钥解密获得密钥k;否则,返回系统服务端验证失败。
2.根据权利要求1所述的基于多重安全保护机制的电子文档安全分发方法,其特征在于,其特征在于,还包括用户注册过程,步骤如下:
Step1:用户U向系统服务端发出用户注册请求,并提交个人信息IDU;
Step2:文档拥有者O收到用户U的请求后,验证用户个人信息,验证通过,则进行下一步,否则,返回“reject”;
Step3:文档拥有者O采用内容加密密钥CEK加密电子文档,并用服务端S的公钥加密内容密钥;
Step4:文档拥有者O为用户U设置对电子文档D的使用权限R,如阅读次数、复制、打印、二次转发等权利;
Step5:文档拥有者O打包封装权限及电子文档密文,并发送给用户U。
3.根据权利要求1所述的基于多重安全保护机制的电子文档安全分发方法,其特征在于,还包括代理多重加密过程,步骤如下:
Step1:用户U向服务端S发送密文解密申请,并发送相关信息给服务端(注意:这里不发送内容密钥密文给服务端);
Step2:服务端S存储文档D相关信息;
Step3:服务端S根据用户U的个人信息,选择代理服务器P,并将P的相关信息发送给用户;
Step4:用户收到代理服务器IDP后,向代理服务器P发送代理多重加密请求;
Step5:代理服务器P对内容加密密钥密文γ进行代理多重加密;
Step6:代理服务器发送代理多重加密后的内容加密密钥密文给用户U。
4.根据权利要求1所述的基于多重安全保护机制的电子文档安全分发方法,其特征在于,还包括电子文档解密过程,步骤如下:
Step1:用户U收到代理服务器发送的内容加密密钥密文δ后,用自己的私钥sku解密获得CEK;
Step2:用户U根据CEK解密获得文档D;
Step3:用户U根据权限R对电子文档D执行相应的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100411461A CN102594824A (zh) | 2012-02-21 | 2012-02-21 | 基于多重安全保护机制的电子文档安全分发方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100411461A CN102594824A (zh) | 2012-02-21 | 2012-02-21 | 基于多重安全保护机制的电子文档安全分发方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102594824A true CN102594824A (zh) | 2012-07-18 |
Family
ID=46483025
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100411461A Pending CN102594824A (zh) | 2012-02-21 | 2012-02-21 | 基于多重安全保护机制的电子文档安全分发方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102594824A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103748527A (zh) * | 2011-07-27 | 2014-04-23 | Csp-信息及通信技术创新有限责任联盟 | 用于允许特别地在非隔离空域中的无人驾驶飞行器的任务的方法 |
CN104158880A (zh) * | 2014-08-19 | 2014-11-19 | 济南伟利迅半导体有限公司 | 一种用户端云数据共享解决方法 |
CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及系统 |
CN106682520A (zh) * | 2016-11-17 | 2017-05-17 | 精硕科技(北京)股份有限公司 | 数据交易方法及数据交易系统 |
CN106713276A (zh) * | 2016-11-25 | 2017-05-24 | 国信优易数据有限公司 | 一种基于授权认证的数据获取方法及其系统 |
CN109687978A (zh) * | 2019-01-15 | 2019-04-26 | 如般量子科技有限公司 | 基于私钥池和Elgamal的抗量子计算代理数字签名方法和系统 |
CN110140336A (zh) * | 2017-01-06 | 2019-08-16 | 微软技术许可有限责任公司 | 相继密码技术 |
CN110493259A (zh) * | 2019-09-12 | 2019-11-22 | 江苏诺安科技有限公司 | 一种保障云端电子数据安全的加解密系统及方法 |
CN111338572A (zh) * | 2020-02-18 | 2020-06-26 | 电子科技大学 | 一种可调节加密重复数据删除方法 |
CN111447060A (zh) * | 2020-04-01 | 2020-07-24 | 中电万维信息技术有限责任公司 | 一种基于代理重加密的电子文档分发方法 |
CN112347493A (zh) * | 2020-11-04 | 2021-02-09 | 杭州天谷信息科技有限公司 | 一种ofd文档加解密和脱密变灰方法 |
CN113301042A (zh) * | 2021-05-20 | 2021-08-24 | 南开大学 | 一种负载均衡的隐私数据共享方法 |
CN114422149A (zh) * | 2022-03-28 | 2022-04-29 | 苏州浪潮智能科技有限公司 | 数据加密、数据解密方法、系统以及存储介质 |
-
2012
- 2012-02-21 CN CN2012100411461A patent/CN102594824A/zh active Pending
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103748527A (zh) * | 2011-07-27 | 2014-04-23 | Csp-信息及通信技术创新有限责任联盟 | 用于允许特别地在非隔离空域中的无人驾驶飞行器的任务的方法 |
CN104158880A (zh) * | 2014-08-19 | 2014-11-19 | 济南伟利迅半导体有限公司 | 一种用户端云数据共享解决方法 |
CN104158880B (zh) * | 2014-08-19 | 2017-05-24 | 济南伟利迅半导体有限公司 | 一种用户端云数据共享解决方法 |
WO2017084273A1 (zh) * | 2015-11-19 | 2017-05-26 | 乐视控股(北京)有限公司 | 客户端与服务器进行握手的方法、装置及系统 |
CN105871797A (zh) * | 2015-11-19 | 2016-08-17 | 乐视云计算有限公司 | 客户端与服务器进行握手的方法、装置及系统 |
CN106682520A (zh) * | 2016-11-17 | 2017-05-17 | 精硕科技(北京)股份有限公司 | 数据交易方法及数据交易系统 |
CN106713276B (zh) * | 2016-11-25 | 2019-08-02 | 国信优易数据有限公司 | 一种基于授权认证的数据获取方法及其系统 |
CN106713276A (zh) * | 2016-11-25 | 2017-05-24 | 国信优易数据有限公司 | 一种基于授权认证的数据获取方法及其系统 |
CN110140336A (zh) * | 2017-01-06 | 2019-08-16 | 微软技术许可有限责任公司 | 相继密码技术 |
CN109687978A (zh) * | 2019-01-15 | 2019-04-26 | 如般量子科技有限公司 | 基于私钥池和Elgamal的抗量子计算代理数字签名方法和系统 |
CN109687978B (zh) * | 2019-01-15 | 2021-12-07 | 如般量子科技有限公司 | 基于私钥池和Elgamal的抗量子计算代理数字签名方法和系统 |
CN110493259A (zh) * | 2019-09-12 | 2019-11-22 | 江苏诺安科技有限公司 | 一种保障云端电子数据安全的加解密系统及方法 |
CN111338572A (zh) * | 2020-02-18 | 2020-06-26 | 电子科技大学 | 一种可调节加密重复数据删除方法 |
CN111338572B (zh) * | 2020-02-18 | 2021-09-14 | 电子科技大学 | 一种可调节加密重复数据删除方法 |
CN111447060A (zh) * | 2020-04-01 | 2020-07-24 | 中电万维信息技术有限责任公司 | 一种基于代理重加密的电子文档分发方法 |
CN112347493A (zh) * | 2020-11-04 | 2021-02-09 | 杭州天谷信息科技有限公司 | 一种ofd文档加解密和脱密变灰方法 |
CN113301042A (zh) * | 2021-05-20 | 2021-08-24 | 南开大学 | 一种负载均衡的隐私数据共享方法 |
CN113301042B (zh) * | 2021-05-20 | 2022-06-17 | 南开大学 | 一种负载均衡的隐私数据共享方法 |
CN114422149A (zh) * | 2022-03-28 | 2022-04-29 | 苏州浪潮智能科技有限公司 | 数据加密、数据解密方法、系统以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102594824A (zh) | 基于多重安全保护机制的电子文档安全分发方法 | |
CN102624522B (zh) | 一种基于文件属性的密钥加密方法 | |
Yasin et al. | Cryptography based e-commerce security: a review | |
CN102594558A (zh) | 一种可信计算环境的匿名数字证书系统及验证方法 | |
CN104735070B (zh) | 一种通用的异构加密云间的数据共享方法 | |
CN101247232A (zh) | 数据交换传输中基于数字签名的加密技术方法 | |
CN102684879A (zh) | 一种远程开标、评标方法及系统 | |
CN103414559A (zh) | 一种云计算环境下的基于类ibe系统的身份认证方法 | |
Nabi et al. | Suitability of adopting S/MIME and OpenPGP email messages protocol to secure electronic medical records | |
CN101984626B (zh) | 文件安全交换方法及系统 | |
JP5324813B2 (ja) | 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム | |
CN114826605B (zh) | 一种基于量子密钥分发的数据安全共享方法及区块链系统 | |
CN101964039B (zh) | 一种版权对象的加密保护方法和系统 | |
CN100518060C (zh) | 一种数字文档的加密保护方法及客户端设备 | |
CN111222118B (zh) | 基于联盟链的证明信息生成和查询方法 | |
Muminova et al. | Aspects of information security in the electronic document management system (EDMS) for bank system | |
CN111447060A (zh) | 一种基于代理重加密的电子文档分发方法 | |
Deshmukh et al. | A study of electronic document security | |
US20120070001A1 (en) | Method and device for archiving a document | |
KR101472312B1 (ko) | Id 기반 사인크립션 암호화 메시지의 안전성을 유지하는 시스템 및 방법 | |
Marcella Jr | Encryption Essentials | |
Kumar | Asymmetric Key Cryptography | |
Chokhani et al. | PKI and certificate authorities | |
Lu et al. | Research on Data Security and Encryption Technology in Network Transmission | |
Milgo | A secure unidirectional proxy re-encryption using identity and secret key exchange |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120718 |