CN103152322A - 数据加密保护方法及系统 - Google Patents
数据加密保护方法及系统 Download PDFInfo
- Publication number
- CN103152322A CN103152322A CN2013100328859A CN201310032885A CN103152322A CN 103152322 A CN103152322 A CN 103152322A CN 2013100328859 A CN2013100328859 A CN 2013100328859A CN 201310032885 A CN201310032885 A CN 201310032885A CN 103152322 A CN103152322 A CN 103152322A
- Authority
- CN
- China
- Prior art keywords
- ciphertext
- deciphering
- user
- access structure
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Analysis (AREA)
- Software Systems (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据加密保护方法及系统,该数据加密保护方法包括:加密明文和指定的访问结构,得到密文,其中,访问结构用于表示有权限解密该密文的用户;解密上述密文,得到明文和访问结构。通过本发明,改进基于密文策略的属性加密CP-ABE算法,将访问结构作为消息的一部分一起加密,解决了云存储系统中的多用户间加密信息共享效率低的问题,既能保证数据的安全性,也能在较低的计算开销和通讯开销下实现多用户间的信息共享,还实现了对云存储系统中存储文件的细粒度访问控制。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种数据加密保护方法及系统。
背景技术
云计算作为新一代的技术变革,其发展受到各行各业的关注,随着云计算的发展,随之又出现了云存储。
云存储是在云计算(cloud computing)的概念上延伸和发展出来的一个新的概念,是指通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。当云计算系统运算和处理的核心是大量数据的存储和管理时,云计算系统中就需要配置大量的存储设备,那么,云计算系统就转变成为一个云存储系统。所以,云存储是一个以数据存储和管理为核心的云计算系统。
云存储能够更方便实现数据共享,没有地域限制,只需要能够连接互联网、就能够随时随地访问数据,就可以使用云存储系统。当今最具代表性的云存储服务有Google Drive、Dropbox和Sky Drive。
云存储中必须具备的几个基本特性:机密性:云存储提供商不能知道用户的信息;完整性:用户能够察觉到自己的信息被非法篡改过;可行性:用户可以随时随地的,在有效的时间内访问自己的数据;可靠性:有效的备份用户的数据,防止信息的丢失;可共享性:用户可以跟可信的用户共享自己的数据。
在使用云存储服务时,需要考虑到数据的安全性、用户信息泄露,或是不可信的第三方有可能会出售用户数据来获取利益,为了防止这些情况,采用加密算法对数据加密存储是有必要的。采用传统的非对称密码算法加密时,用户A用自己的私钥加密用户数据,将密文存储在云服务器上,如果用户B需要访问这些数据,那么A必须将加密的私钥交给B,B用A的私钥解密密文获取明文,这样B就可以查看A加密后的所有信息,包括那些A不希望B看到的敏感信息,不能实现细粒度访问控制。也即:使用加密算法对云存储中的数据加密存储,如果有用户需要访问加密后的数据,必须使用解密密钥对加密的数据进行解密,那么他可以访问解密后的所有数据,在多个用户间数据共享的情况下不能控制用户的访问权限。
另一种解决云存储安全的方法是通过一个访问控制服务器来控制用户对云存储中数据的访问权限,首先对系统中所有用户针对各种资源分配访问权限,根据用户的访问权限控制用户对数据的访问。这种方法的安全性完全由控制访问服务器来保证,如果控制访问服务器出问题,数据安全性也得不到任何保证。
云存储服务一个重要的目标就是实现用户数据共享,如果在云存储中的数据采用非对称加密算法加密,要将数据共享给其他用户,这时这些用户必须是确定的,在密文中必须为每个用户都增加信息,用户通过这段信息解密得到加密密钥,这段信息是用解密者的公钥加密的会话密钥。图1是根据相关技术的加密数据及实现数据共享的流程示意图,如图1所示,传统的加密及实现信息共享的实现方式是:选择一个会话密钥K对明文M加密得到密文C,然后再用每个用户的公钥分别加密会话密钥K,将密文C和加密后的会话密钥K给每个用户发送一份,用户用自己的私钥S解密得到会话密钥K,然后再用会话密钥K解密C得到明文M。
但是,这种实现多用户间信息共享的方式有两个明显的缺陷:首先,共享的用户必须是确定的,而且要用每个用户的公钥加密会话密钥。其次,如果共享的用户数量比较大,则额外需要共享的会话密钥的消息就很大,并且和用户数呈线性增长,导致通讯效率很低。
针对相关技术中云存储系统中的多用户间加密信息共享效率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种数据加密保护方法及系统,以至少解决相关技术中云存储系统中的多用户间加密信息共享效率低的问题。
根据本发明的一个方面,提供了一种数据加密保护方法,包括:加密明文和指定的访问结构,得到密文,其中,所述访问结构用于表示有权限解密所述密文的用户;解密所述密文,得到所述明文和所述访问结构。
优选地,解密所述密文包括:利用当前用户的私钥计算会话密钥,其中,所述会话密钥用于解密所述密文;如果计算出所述会话密钥,利用所述会话密钥解密所述密文。
优选地,在解密所述密文之前,所述方法还包括:根据所述当前用户的属性集和系统的主私钥生成所述当前用户的私钥。
优选地,在根据所述当前用户的所述属性集和系统的主私钥生成所述当前用户的私钥之前,所述方法还包括:验证所述当前用户的属性集属实。
优选地,在解密所述密文,得到所述明文和所述访问结构之后,所述方法还包括:加密所述访问结构和所述当前用户编辑后的明文;将加密后得到的密文发送至存储器进行保存。
优选地,所述数据加密保护方法应用于云存储系统。
根据本发明的另一方面,提供了一种数据加密保护系统,包括:加密模块,用于加密明文和指定的访问结构,得到密文,其中,所述访问结构用于表示有权限解密所述密文的用户;解密模块,用于解密所述密文,得到所述明文和所述访问结构。
优选地,所述解密模块包括:计算单元,用于利用当前用户的私钥计算会话密钥,其中,所述会话密钥用于解密所述密文;解密单元,用于在计算出所述会话密钥的情况下,利用所述会话密钥解密所述密文。
优选地,所述系统还包括:私钥生成模块,用于根据所述当前用户的属性集和系统的主私钥生成所述当前用户的私钥。
优选地,所述系统还包括:验证模块,用于验证所述当前用户的属性集属实。
优选地,所述加密模块,还用于加密所述访问结构和所述当前用户编辑后的明文;所述系统还包括:发送模块,用于将加密后得到的密文发送至存储器进行保存。
优选地,所述数据加密保护系统应用于云存储系统。
通过本发明,改进基于密文策略的属性加密(Ciphertext-Policy Attribute-Based Encryption,简称为CP-ABE)算法,将访问结构作为消息的一部分一起加密,解决了云存储系统中的多用户间加密信息共享效率低的问题,既能保证数据的安全性,也能在较低的计算开销和通讯开销下实现多用户间的信息共享,还实现了对云存储系统中存储文件的细粒度访问控制。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的加密数据及实现数据共享的流程示意图;
图2是根据本发明实施例的数据加密保护方法的流程图;
图3是根据本发明实施例的数据加密保护系统的结构框图;
图4是根据本发明实施例的数据加密保护系统的优选结构框图一;
图5是根据本发明实施例的数据加密保护系统的优选结构框图二;
图6是根据本发明优选实施例的数据加密保护系统的结构及其工作流程示意图;
图7是根据本发明优选实施例的数据加密保护方法中私钥生成的流程图;
图8是根据本发明优选实施例的数据加密保护方法中访问结构的二叉树表示的示意图;
图9是根据本发明优选实施例的数据加密的流程图;
图10是根据本发明优选实施例的数据解密和共享的流程图;
图11是根据本发明优选实施例的数据加密保护方法的总流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明实施例提供了一种数据加密保护方法,图2是根据本发明实施例的数据加密保护方法的流程图,如图2所示,包括如下的步骤S202至步骤S204。
步骤S202,加密明文和指定的访问结构,得到密文,其中,访问结构用于表示有权限解密该密文的用户。
步骤S204,解密上述密文,得到明文和访问结构。
通过上述步骤,改进CP-ABE,将访问结构作为消息的一部分一起加密,解决了云存储系统中的多用户间加密信息共享效率低的问题,既能保证数据的安全性,也能在较低的计算开销和通讯开销下实现多用户间的信息共享,还实现了对云存储系统中存储文件的细粒度访问控制。
在一个优选实施方式中,步骤S204中解密密文包括:利用当前用户的私钥计算会话密钥,其中,会话密钥用于解密密文;如果计算出会话密钥,利用会话密钥解密密文。
优选地,在解密所述密文之前,上述方法还包括:根据当前用户的属性集和系统的主私钥生成当前用户的私钥。
需要说明的是,每个用户都有一组属性,根据用户的属性为每个用户生成对应的私钥,加密的时候指定一个访问结构来描述哪些用户可以解密得到明文消息,即用户的属性如果满足加密时指定的访问结构,则可以解密得到明文和访问结构,否则不能解密。
在一个优选实施方式中,在根据当前用户的属性集和系统的主私钥生成当前用户的私钥之前,还需要验证当前用户的属性集是否属实。如果属实,则进入用户私钥生成的流程,如果不属实,则验证失败,返回消息给用户。本优选实施方式在用户的属性集属实的情况下,才生成私钥,可以保证生成的私钥的准确性。
解密密文成功的用户可以根据其需求对得到的明文进行编辑,需要对编辑后的明文进行加密,并存储至云存储系统,以便于其他用户共享编辑后的数据,可以通过以下步骤实现:在解密密文,得到明文和访问结构之后,加密访问结构和当前用户编辑后的明文;将加密后得到的密文发送至存储器进行保存。实际上,此处的加密与之前加密原始明文的过程是类似的,利用同一加密模块即可实现。对于云存储系统而言,将编辑后的数据重新加密保存在云存储服务器上供其它用户共享。
优选地,上述数据加密保护方法可以应用于云存储系统。
需要说明的是,本方法是对CP-ABE算法的改进,改进点在于将访问结构作为消息的一部分一起加密,在上述方法中,具体如何实现加密、解密以及用户私钥的生成都是按照CP-ABE算法实现的,并不是本发明所述数据加密保护方法关注的重点。
本发明实施例还提供了一种数据加密保护系统,图3是根据本发明实施例的数据加密保护系统的结构框图,如图3所示,该数据加密保护系统包括:加密模块32和解密模块34。下面对其结构进行详细描述。
加密模块32,用于加密明文和指定的访问结构,得到密文,其中,访问结构用于表示有权限解密该密文的用户;解密模块34,耦合至加密模块32,用于解密上述密文,得到明文和访问结构。
通过上述数据加密保护系统,改进CP-ABE,加密模块12将访问结构作为消息的一部分一起加密,解决了云存储系统中的多用户间加密信息共享效率低的问题,既能保证数据的安全性,也能在较低的计算开销和通讯开销下实现多用户间的信息共享,还实现了对云存储系统中存储文件的细粒度访问控制。
如图4所示,解密模块34包括:计算单元342,用于利用当前用户的私钥计算会话密钥,其中,会话密钥用于解密密文;解密单元344,耦合至计算单元342,用于在计算出会话密钥的情况下,利用会话密钥解密密文。
如图5所示,上述系统还包括:私钥生成模块36,耦合至解密模块34,用于根据当前用户的属性集和系统的主私钥生成当前用户的私钥。
优选地,上述系统还包括:验证模块38,耦合至私钥生成模块36,用于验证当前用户的属性集属实。
优选地,加密模块32还用于加密访问结构和当前用户编辑后的明文;上述系统还包括:发送模块39(图中未示出),耦合至加密模块32,用于将加密后得到的密文发送至存储器进行保存。
优选地,上述数据加密保护系统应用于云存储系统。
需要说明的是,装置实施例中描述的数据加密保护系统对应于上述的方法实施例,其具体的实现过程在方法实施例中已经进行过详细说明,在此不再赘述。
为了使本发明的技术方案和实现方法更加清楚,下面将结合优选的实施例对其实现过程进行详细描述。
根据本发明优选实施例,提供了一种数据加密保护方法及系统,该系统解决了云存储中数据的加密保护增强数据安全性的问题,保证了云存储系统中数据的机密性,又能实现细粒度访问控制,为更安全地实现数据共享提供了一种可行的方法。图6是根据本发明优选实施例的数据加密保护系统的结构及其工作流程示意图,如图6所示,该系统主要包括如下模块:
系统初始化模块602,用于生成系统的主私钥(Master Key,简称为MK)和公钥(PublicKey,简称为PK)。
属性认证模块604(实现了上述验证模块38的功能),又称为属性验证中心(AttributeCertificate Authority,简称为ACA),用于负责验证用户的属性是否属实。
私钥生成模块(Key Produce Group,简称为KPG,实现了上述私钥生成模块36的功能)606,用于根据输入的系统主私钥MK和属性集S,生成该属性对应的私钥SK。
数据加密模块608(实现了上述加密模块32的功能),用于根据输入的公钥PK、消息m、解密者的属性需要满足的访问结构TB,输出密文。
数据解密模块610(实现了上述解密模块34的功能),用于根据输入的私钥SKB(即用户B的私钥)和消息m对应的密文,在用户B的属性满足访问结构TB的情况下,解密上述密文,并成功输出消息m。
上述优选实施例采用了CP-ABE算法对数据进行加密存储,既保证了数据的加密存储,又能够实现细粒度访问控制,尤其是在多用户间数据共享的情况下能更好的保护数据安全性。具体地,云服务器(即云存储系统的数据存储服务器)中的所有数据采用CP-ABE加密存储,加密时指定了访问该数据的用户的属性必须满足的访问结构,只要用户的属性满足加密时所指定的访问结构就可以解密密文得到明文,解决多用户下数据安全共享的问题。特别是在大用户群中的数据共享比传统的有更低的通信开销。
较优地,上述优选实施例中的各个模块的工作流程如下:
步骤1,系统初始化模块602生成系统的公钥PK和系统主私钥MK。
步骤2,属性认证模块604负责对用户的属性组S进行验证,确认用户提供的属性组是否属实。
步骤3,在属性认证模块604认证用户的属性组S属实后,向私钥生成模块606发送该用户的属性组S,私钥生成模块606使用系统初始化模块602生成的MK,生成该属性组S对应的私钥SK返回给属性认证模块604。
步骤4,将需要加密保护的数据M和解密者的属性必须满足的访问结构T输入到加密模块608,然后在加密模块608中使用系统初始化模块602生成的PK对数据M以及上述的访问结构T使用CP-ABE算法加密,最终输出加密后得到的密文,存储在云服务器上。
步骤5,在用户需要访问云存储中的数据时,需要向解密模块610输入自己的私钥,如果生成该用户私钥时的属性满足数据M加密时指定的访问结构,则解密模块610解密密文得到明文后,返回给用户。为了实现多用户间的数据共享,在解密获取明文之后还可以,利用密文中的访问结构再次对编辑后的数据加密存储在云服务器中。通过上述方式可以方便实现多用户之间的数据共享,并且比传统方式更安全,进一步提高了通信开销的利用率。
图7是根据本发明优选实施例的数据加密保护方法中私钥生成的流程图,如图7所示,在系统初始化时会产生系统公钥PK和系统主私钥MK,并将MK同步给KPG,PK同步给数据加密模块608。在私钥生成流程中,包括以下步骤:
步骤S702,用户将属性集(即属性组)S提交给属性认证中心(即属性认证模块、属性验证中心)604进行认证,如果认证失败,直接返回。
步骤S704,在属性认证中心604对属性认证成功的情况下,将属性集S发给私钥生成模块606。
步骤S706,私钥生成模块606计算属性集S对应的私钥SK,并将SK返回给属性认证中心604。
步骤S708,属性认证中心604将私钥SK返回给用户。
因为加密时需要指定解密者属性(属性集、属性组)必须满足的访问结构,这里访问结构可以由一棵二叉树表示。图8是根据本发明优选实施例的数据加密保护方法中访问结构的二叉树表示的示意图,如图8所示,这个二叉树的叶子节点表示属性,非叶子节点是逻辑关系,一般是“与”和“或”的逻辑关系。图8所示的访问结构可以表示为一个矩阵,如下所示:
如果用户的属性集满足这个访问结构,则该属性集对应的行可以线性表示向量,例如[1,0,0,0]。
图9是根据本发明优选实施例的数据加密的流程图,如图9所示,在加密流程中,包括以下步骤:
步骤S902,用户将需要加密的数据M和解密者的属性必须满足的访问结构T,发送给数据加密模块608。
步骤S904,数据加密模块608使用CP-ABE算法对数据M进行加密,并将访问结构T也保存在密文中。
步骤S906,数据加密模块608将加密后得到的密文数据发送至云服务器。
步骤S908,云服务器保存加密后的密文数据。
图10是根据本发明优选实施例的数据解密和共享的流程图,如图10所示,在解密和共享的流程中,包括以下步骤:
步骤S1002,用户向云服务器请求内容。
步骤S1004,云服务器返回密文C给用户。
步骤S1006,用户将自己的私钥SK和密文C发给数据解密模块610。
步骤S1008,数据解密模块610用私钥SK解密密文C,得到明文M和访问结构T,并将明文M和访问结构T返回给用户。
步骤S1010,用户阅读明文M,并可以对明文M进行编辑。
步骤S1012,在用户需要编辑明文M,并希望将编辑后的数据保存在云服务器中和其他用户共享的情况下,则将编辑后的明文M和访问结构T发给数据加密模块608。
步骤S1014,数据加密模块608采用CP-ABE算法对明文M加密。
步骤S1016,数据加密模块608将加密后的数据C保存在云服务器上。
图11是根据本发明优选实施例的数据加密保护方法的总流程图,如图11所示,将上述图7、图9、图10所示的流程结合在一起就得到了本优选实施例的完整技术方案,此处不再赘述。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
综上所述,本发明的上述实施例或优选实施方式涉及云计算、云存储以及其他需要将数据存储在第三方平台的应用领域,对这样存储在第三方的数据的安全性提出一种云存储系统的数据保护系统及其相应的加密解密方法,特别是第三方不可信的情况下,这套系统能满足数据的共享、灵活的访问控制和数据的机密性、完整性,防止信息泄露带来的损失和危害。并且能够在较低的通信开销下实现多用户的信息共享,用户在获取云存储中的数据后进行编辑,然后重新采用CP-ABE算法加密保存在云服务器中共享给其他用户。
本发明实施例将存储在云服务器上的数据采用CP-ABE算法加密存储,能实现细粒度访问控制,既保证了数据的机密性,又能更安全地实现数据共享。本发明的上述实施例中,在加密时只需要指定一个访问结构T(而不是用户的公钥),只要用户的属性能够满足这个访问结构,就可以解密获取到明文,解密后再使用访问结构T加密保存在云服务器中,这就实现了多用户下的信息共享,并且保存的数据时密文存储,保证了信息的机密性。并且不关心具体哪些用户可以解密,跟用户数量无关,密文长度也和用户数无关,特别适合大用户下的信息安全共享。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种数据加密保护方法,其特征在于包括:
加密明文和指定的访问结构,得到密文,其中,所述访问结构用于表示有权限解密所述密文的用户;
解密所述密文,得到所述明文和所述访问结构。
2.根据权利要求1所述的方法,其特征在于,解密所述密文包括:
利用当前用户的私钥计算会话密钥,其中,所述会话密钥用于解密所述密文;
如果计算出所述会话密钥,利用所述会话密钥解密所述密文。
3.根据权利要求2所述的方法,其特征在于,在解密所述密文之前,所述方法还包括:
根据所述当前用户的属性集和系统的主私钥生成所述当前用户的私钥。
4.根据权利要求3所述的方法,其特征在于,在根据所述当前用户的所述属性集和系统的主私钥生成所述当前用户的私钥之前,所述方法还包括:
验证所述当前用户的属性集属实。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在解密所述密文,得到所述明文和所述访问结构之后,所述方法还包括:
加密所述访问结构和所述当前用户编辑后的明文;
将加密后得到的密文发送至存储器进行保存。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述数据加密保护方法应用于云存储系统。
7.一种数据加密保护系统,其特征在于包括:
加密模块,用于加密明文和指定的访问结构,得到密文,其中,所述访问结构用于表示有权限解密所述密文的用户;
解密模块,用于解密所述密文,得到所述明文和所述访问结构。
8.根据权利要求7所述的系统,其特征在于,所述解密模块包括:
计算单元,用于利用当前用户的私钥计算会话密钥,其中,所述会话密钥用于解密所述密文;
解密单元,用于在计算出所述会话密钥的情况下,利用所述会话密钥解密所述密文。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:
私钥生成模块,用于根据所述当前用户的属性集和系统的主私钥生成所述当前用户的私钥。
10.根据权利要求9所述的系统,其特征在于,所述系统还包括:
验证模块,用于验证所述当前用户的属性集属实。
11.根据权利要求7至10中任一项所述的系统,其特征在于,
所述加密模块,还用于加密所述访问结构和所述当前用户编辑后的明文;
所述系统还包括:发送模块,用于将加密后得到的密文发送至存储器进行保存。
12.根据权利要求7至10中任一项所述的系统,其特征在于,所述数据加密保护系统应用于云存储系统。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100328859A CN103152322A (zh) | 2013-01-28 | 2013-01-28 | 数据加密保护方法及系统 |
| PCT/CN2013/082486 WO2014114080A1 (zh) | 2013-01-28 | 2013-08-28 | 数据加密保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013100328859A CN103152322A (zh) | 2013-01-28 | 2013-01-28 | 数据加密保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103152322A true CN103152322A (zh) | 2013-06-12 |
Family
ID=48550185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100328859A Pending CN103152322A (zh) | 2013-01-28 | 2013-01-28 | 数据加密保护方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103152322A (zh) |
| WO (1) | WO2014114080A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014114080A1 (zh) * | 2013-01-28 | 2014-07-31 | 中兴通讯股份有限公司 | 数据加密保护方法及系统 |
| CN104144056A (zh) * | 2014-07-10 | 2014-11-12 | 北京大学 | 一种自主授权的cp-abe系统和方法 |
| CN104639322A (zh) * | 2013-11-13 | 2015-05-20 | 航天信息股份有限公司 | 带有证书的含有属性的基于身份加密的方法 |
| CN104935576A (zh) * | 2015-04-28 | 2015-09-23 | 广州大学 | 数据安全分存和指定用户分享系统 |
| CN106131013A (zh) * | 2016-07-06 | 2016-11-16 | 杨炳 | 一种数据加密保护系统 |
| CN103746962B (zh) * | 2013-12-12 | 2017-01-25 | 华南理工大学 | 一种goose电力实时报文加解密方法 |
| CN106487763A (zh) * | 2015-08-31 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 一种基于云计算平台的数据访问方法及用户终端 |
| CN106790273A (zh) * | 2017-02-17 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 分布式文件系统中流媒体数据的加密存储方法和装置 |
| EP3082123A4 (en) * | 2013-12-11 | 2017-06-21 | Mitsubishi Electric Corporation | File storage system, file storage apparatus, and user terminal |
| CN108200181A (zh) * | 2018-01-11 | 2018-06-22 | 中国人民解放军战略支援部队信息工程大学 | 一种面向云存储的可撤销属性基加密系统及方法 |
| CN109951498A (zh) * | 2019-04-18 | 2019-06-28 | 中央财经大学 | 一种基于密文策略属性加密的区块链访问控制方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112737785B (zh) * | 2021-01-06 | 2021-09-28 | 江西清能高科技术有限公司 | 一种用于复杂访问策略的属性基加密方法、系统及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101799853A (zh) * | 2010-03-05 | 2010-08-11 | 中国人民解放军国防科学技术大学 | 一种层次化信息加密共享方法 |
| CN102546764A (zh) * | 2011-12-20 | 2012-07-04 | 华中科技大学 | 一种云存储系统的安全访问方法 |
| CN102624522A (zh) * | 2012-03-30 | 2012-08-01 | 华中科技大学 | 一种基于文件属性的密钥加密方法 |
| WO2012161417A1 (ko) * | 2011-05-26 | 2012-11-29 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152322A (zh) * | 2013-01-28 | 2013-06-12 | 中兴通讯股份有限公司 | 数据加密保护方法及系统 |
-
2013
- 2013-01-28 CN CN2013100328859A patent/CN103152322A/zh active Pending
- 2013-08-28 WO PCT/CN2013/082486 patent/WO2014114080A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101799853A (zh) * | 2010-03-05 | 2010-08-11 | 中国人民解放军国防科学技术大学 | 一种层次化信息加密共享方法 |
| WO2012161417A1 (ko) * | 2011-05-26 | 2012-11-29 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법 |
| CN102546764A (zh) * | 2011-12-20 | 2012-07-04 | 华中科技大学 | 一种云存储系统的安全访问方法 |
| CN102624522A (zh) * | 2012-03-30 | 2012-08-01 | 华中科技大学 | 一种基于文件属性的密钥加密方法 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014114080A1 (zh) * | 2013-01-28 | 2014-07-31 | 中兴通讯股份有限公司 | 数据加密保护方法及系统 |
| CN104639322A (zh) * | 2013-11-13 | 2015-05-20 | 航天信息股份有限公司 | 带有证书的含有属性的基于身份加密的方法 |
| CN104639322B (zh) * | 2013-11-13 | 2018-08-24 | 航天信息股份有限公司 | 带有证书的含有属性的基于身份加密的方法 |
| US10140460B2 (en) | 2013-12-11 | 2018-11-27 | Mitsubishi Electric Corporation | File storage system and user terminal |
| EP3082123A4 (en) * | 2013-12-11 | 2017-06-21 | Mitsubishi Electric Corporation | File storage system, file storage apparatus, and user terminal |
| CN105830133B (zh) * | 2013-12-11 | 2019-03-12 | 三菱电机株式会社 | 文件保管系统及用户终端 |
| CN103746962B (zh) * | 2013-12-12 | 2017-01-25 | 华南理工大学 | 一种goose电力实时报文加解密方法 |
| CN104144056A (zh) * | 2014-07-10 | 2014-11-12 | 北京大学 | 一种自主授权的cp-abe系统和方法 |
| CN104144056B (zh) * | 2014-07-10 | 2017-05-17 | 北京大学 | 一种自主授权的cp‑abe系统和方法 |
| CN104935576A (zh) * | 2015-04-28 | 2015-09-23 | 广州大学 | 数据安全分存和指定用户分享系统 |
| CN106487763A (zh) * | 2015-08-31 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 一种基于云计算平台的数据访问方法及用户终端 |
| CN106487763B (zh) * | 2015-08-31 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 一种基于云计算平台的数据访问方法及用户终端 |
| CN106131013A (zh) * | 2016-07-06 | 2016-11-16 | 杨炳 | 一种数据加密保护系统 |
| CN106790273A (zh) * | 2017-02-17 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 分布式文件系统中流媒体数据的加密存储方法和装置 |
| CN106790273B (zh) * | 2017-02-17 | 2020-08-21 | 北京同有飞骥科技股份有限公司 | 分布式文件系统中流媒体数据的加密存储方法和装置 |
| CN108200181A (zh) * | 2018-01-11 | 2018-06-22 | 中国人民解放军战略支援部队信息工程大学 | 一种面向云存储的可撤销属性基加密系统及方法 |
| CN108200181B (zh) * | 2018-01-11 | 2021-03-19 | 中国人民解放军战略支援部队信息工程大学 | 一种面向云存储的可撤销属性基加密系统及方法 |
| CN109951498A (zh) * | 2019-04-18 | 2019-06-28 | 中央财经大学 | 一种基于密文策略属性加密的区块链访问控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014114080A1 (zh) | 2014-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110855671B (zh) | 一种可信计算方法和系统 | |
| CN103152322A (zh) | 数据加密保护方法及系统 | |
| Zhao et al. | Trusted data sharing over untrusted cloud storage providers | |
| CN108881314B (zh) | 雾计算环境下基于cp-abe密文隐私保护方法及系统 | |
| CN102624522B (zh) | 一种基于文件属性的密钥加密方法 | |
| CN110149322A (zh) | 一种不可逆的动态失效重验重建的区块链加密方法 | |
| KR20190073472A (ko) | 데이터 송신 방법, 장치 및 시스템 | |
| CN103957109A (zh) | 一种云数据隐私保护安全重加密方法 | |
| US20220014367A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| CN105743646A (zh) | 一种基于身份的加密方法及系统 | |
| CN103414682A (zh) | 一种数据的云端存储方法及系统 | |
| Kaaniche et al. | ID based cryptography for cloud data storage | |
| KR101615137B1 (ko) | 속성 기반의 데이터 접근 방법 | |
| CN114157415A (zh) | 数据处理方法、计算节点、系统、计算机设备和存储介质 | |
| CN101808089A (zh) | 基于非对称加密算法同态性的秘密数据传输保护方法 | |
| Kumar et al. | Data outsourcing: A threat to confidentiality, integrity, and availability | |
| CN104901968A (zh) | 一种安全云存储系统中的密钥管理分发方法 | |
| CN104184736B (zh) | 一种实现安全云计算的方法和系统 | |
| Sarhan et al. | An approach to identity management in clouds without trusted third parties | |
| CN109547413A (zh) | 具有数据源认证的可转换的数据云存储的访问控制方法 | |
| CN109063496A (zh) | 一种数据处理的方法及装置 | |
| Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
| CN106257859A (zh) | 一种密码使用方法 | |
| CN117155563A (zh) | 基于区块链的电网和电力通信网数据共享保护方法及系统 | |
| Senthil Kumari et al. | Key derivation policy for data security and data integrity in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130612 |