CN109684858A - 一种多用户访问的数据保护方法、设备及介质 - Google Patents
一种多用户访问的数据保护方法、设备及介质 Download PDFInfo
- Publication number
- CN109684858A CN109684858A CN201811601848.4A CN201811601848A CN109684858A CN 109684858 A CN109684858 A CN 109684858A CN 201811601848 A CN201811601848 A CN 201811601848A CN 109684858 A CN109684858 A CN 109684858A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- credentials
- flag bit
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种多用户访问的数据保护方法,包括:加密初始化步骤:获取运行信息系统的设备信息和若干个用户的用户凭据;利用所述用户凭据和设备信息,采用门限算法,对原始数据进行初始化加密,生成加密数据;保存所述加密数据和所述设备信息,抛弃所述用户凭据和所述原始数据;数据恢复步骤:获取用户输入的用户凭据;利用所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。能够在不保存任何用户凭据或凭据派生数据的基础上,完成用户身份的鉴别,能够降低敏感数据泄露的风险,提升信息系统的整体安全性。
Description
技术领域
本发明涉及加密技术领域,具体涉及一种多用户访问的数据保护方法、设备及介质。
背景技术
随着信息化技术和互联网产业发展,用户对信息系统的安全性需求与日俱增。当信息系统管理的信息不断增多时,数据安全的重要性就逐渐凸显出来。信息系统如何防止敏感数据不被泄露,成为信息系统需要考虑的重要问题之一。
信息系统中通常也会实现这样的功能:某个数据并不是只供一个用户访问,而是要实现多个用户都能访问。同时,用户访问数据前需要先进行身份鉴别。这种功能通常会出现在对敏感数据的访问控制上,例如企业内部合同的查阅、密码学中间件的密钥访问控制或是在线网盘系统的数据审查上。
在考虑上述两个问题的系统中,一种通常的实现方式是使用可修改的用户凭据(例如密码、口令)来鉴别用户身份,系统利用事先存储的凭据数据或凭据特征数据来鉴别用户身份。同时,系统会使用自己实现的算法从凭据派生保护因子,利用保护因子来保护数据。通常保护因子会作为某种加密算法的密钥,保护数据即为数据加密过程。
通常的实现方式存在以下缺点:1.系统需要存储用户凭据或凭据特征来进行身份鉴别。若有多个用户,则需要存储多份数据。如果这些数据被泄露,则身份鉴别将会失效。2.凭据派生保护因子的算法本身存在安全性风险,一旦算法泄露,则攻击者可以反推保护因子,进而获取数据。3.身份鉴别和数据保护功能会采用程序逻辑编写在软件系统中,当软件系统存在被篡改的风险时,这两个过程就存在被绕过的可能性。
发明内容
针对现有技术中的缺陷,本发明提供一种多用户访问的数据保护方法、设备及介质,能够在不保存任何用户凭据或凭据派生数据的基础上,完成用户身份的鉴别,能够降低敏感数据泄露的风险,提升信息系统的整体安全性。
第一方面,本发明提供了一种多用户访问的数据保护方法,包括:
加密初始化步骤:获取运行信息系统的设备信息和若干个用户的用户凭据;利用所述用户凭据和设备信息,采用门限算法,对原始数据进行初始化加密,生成加密数据;保存所述加密数据和所述设备信息,抛弃所述用户凭据和所述原始数据;
数据恢复步骤:获取用户输入的用户凭据;利用所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。
可选的,在加密初始化步骤之后,还包括:用户凭据修改步骤;
所述用户凭据修改步骤,包括:获取用户输入的用户凭据;根据所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据;
获取用户输入的新用户凭据;根据所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据。
可选的,在加密初始化步骤中的所述利用所述用户凭据和设备信息,采用门限算法,对原始数据进行初始化加密,生成加密数据的步骤之后,还包括:设置初始化的标志位为第一标志位;
在用户凭据修改步骤中的所述根据所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据的步骤之后,还包括:判断并设置当前的标志位。
可选的,所述标志位,包括:第一标志位、第二标志位和第三标志位。
可选的,所述数据恢复步骤,包括:获取用户输入的所述新用户凭据;判断当前的标志位;根据当前的标志位,利用所述新用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。
可选的,所述用户凭据修改步骤包括:
获取用户输入的用户凭据;判断当前的标志位;根据当前的标志位、所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据;
获取用户输入的新用户凭据;根据当前的标志位、所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成加密数据。
第二方面,本发明提供了一种多用户访问的数据保护设备,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如第一方面中的一种多用户访问的数据保护方法。
第三方面,本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如第一方面中的一种多用户访问的数据保护方法。
本发明通过使用门限算法派生保护因子,利用保护因子进行数据保护,能够降低数据泄露对信息系统造成的风险和危害。本发明所述方案的核心逻辑使用现代密码学中的门限算法实现。其算法公开并不会影响其安全强度。即便算法泄露,也不会导致系统的安全强度下降。另外,此方案中除最终保存加密数据和标志位以外,不需要再保存任何额外数据,免除敏感数据泄露的风险,提升了信息系统的整体安全性。
本发明提供的一种计算机可读存储介质和一种多用户访问的数据保护设备,与上述一种多用户访问的数据保护方法出于相同的发明构思,具有相同的有益效果。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本发明实施例提供的一种多用户访问的数据保护方法的流程图;
图2为本发明实施例提供的两个用户的标志位为0的第一数据关系图;
图3为本发明实施例提供的两个用户的标志位为0的第二数据关系图;
图4为本发明实施例提供的两个用户的标志位为1的第一数据关系图;
图5为本发明实施例提供的两个用户的标志位为0的第三数据关系图;
图6为本发明实施例提供的两个用户的标志位为2的数据关系图;
图7为本发明实施例提供的两个用户的标志位为1的第二数据关系图;
图8为本发明实施例提供的n个用户的标志位为0的第一数据关系图;
图9为本发明实施例提供的n个用户的标志位为1的第一数据关系图;
图10为本发明实施例提供的n个用户的标志位为0的第二数据关系图;
图11为本发明实施例提供的n个用户的标志位为2的第一数据关系图;
图12为本发明实施例提供的一种多用户访问的数据保护设备的示意图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只是作为示例,而不能以此来限制本发明的保护范围。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
本发明提供了一种多用户访问的数据保护方法、设备及介质。下面结合附图对本发明的实施例进行说明。
请参考图1,图1为本发明具体实施例提供的一种多用户访问的数据保护方法的流程图,本实施例提供的一种多用户访问的数据保护方法,包括:
加密初始化步骤:S101:获取运行信息系统的设备信息和若干个用户的用户凭据;S102:利用所述用户凭据和设备信息,采用门限算法,对原始数据进行初始化加密,生成加密数据;S103:保存所述加密数据和所述设备信息,抛弃所述用户凭据和所述原始数据。
数据恢复步骤:S104:获取用户输入的用户凭据;S105:利用所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。
本发明提供的数据保护方法,在对原始数据进行加密后,只需要保存设备信息和加密数据,不需要保存用户凭据和原始数据,也不需要保存任何的凭据派生数据,能够保证用户凭据和原始数据的安全性,增强身份鉴别过程的安全性。
本发明可适用于电子档案系统,对档案的保护和多用户存取场景。电子档案建立或存入时,需先确定可调取的用户。使用“初始化流程”进行操作,对文档进行保存。在调取文档时,应先判断标志位的值,之后根据本发明技术方案中的流程进行操作。在调取过程中,若解密数据失败,可认为用户身份鉴别失败。修改用户凭据时,应先判断标志位的值,之后根据本发明所述技术方案中的流程进行操作。
本发明还可适用于密码学系统对密钥数据的访问控制。密钥数据建立时,需先确定可调取的用户。使用“初始化流程”进行操作,对密钥进行保存。用户可分为普通用户和管理员两种身份。一般场景下仅通过普通用户的凭据进行调取,管理员凭据仅在普通用户凭据丢失时使用。在调取密钥时,应先判断标志位的值,之后根据本发明所述技术方案中的流程进行操作。在调取密钥过程中,若解密数据失败,可认为用户身份鉴别失败。修改用户凭据时,应先判断标志位的值,之后根据本发明技术方案中的流程进行操作。
其中,设备信息是指运行信息系统的设备信息。在用户访问时,仅使用信息系统可访问。
门限算法,秘密分享方案。秘密被分割为s个分量,任意多于等于t个分量可以恢复秘密,反之则不能恢复。利用门限算法可构造随机秘密分享函数。使用任意个输入(x,y,z,…),获得一个随机秘密,且生成的秘密数输入构成秘密分享方案。
加密初始化步骤为对原始数据进行初始化加密,加密之后,用户可以利用用户凭据进行恢复,获得原始数据。当用户需要修改用户凭据时,也可以按照相应的流程进行用户凭据的修改。具体修改过程为:获取用户输入的用户凭据;根据所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据;获取用户输入的新用户凭据;根据所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据。
在初始化流程中,在对原始数据进行加密后,还需要设置当前的标志位。标志位表示若干个用户凭据和设备信息之间的数据关系。在本发明中,标志位包括三个,第一标志位、第二标志位和第三标志位。不同的标志位对应不同的数据关系,因此,不同的标志位对应的数据恢复步骤和用户凭据修改步骤不同。在数据恢复步骤中,首先需要判断当前的数据关系的标志位是什么,再根据标志位确定相应的恢复流程。在用户凭据修改步骤中,也需要先判断当前的数据关系的标志位,再根据标志位确定相应的修改流程。
在本发明中,当某个用户修改用户凭据后,标志位可能会因为该用户的修改发生变化,数据关系产生变化,数据恢复的流程也就不同。因此,在用户凭据修改步骤之后,还包括:判断并设置当前的标志位。
数据恢复步骤具体包括:获取用户输入的用户凭据;判断当前的标志位;根据当前的标志位,利用所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。
用户凭据修改步骤具体包括:获取用户输入的用户凭据;判断当前的标志位;根据当前的标志位、所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据;获取用户输入的新用户凭据;根据当前的标志位、所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据。
通过本发明的方案,信息系统无需保存任何用户的凭据或凭据派生数据,即可保证凭据数据的安全,可访问数据的各个用户也可以分别修改自己的凭据。增强身份鉴别过程的安全性。
本发明通过使用门限算法派生保护因子,利用保护因子进行数据保护,能够降低数据泄露对信息系统造成的风险和危害。本发明所述方案的核心逻辑使用现代密码学中的门限算法实现。其算法公开并不会影响其安全强度。即便算法泄露,也不会导致系统的安全强度下降。另外,此方案中除最终保存加密数据和标志位以外,不需要再保存任何额外数据,免除敏感数据泄露的风险。这两个特点提升了信息系统的整体安全性。
示例:设门限算法为S(t,s),可以作为秘密分享方案。秘密被分割为s个分量,任意多于等于t个分量可以恢复秘密,反之则不能恢复。
利用门限算法构造的随机秘密分享函数为RSS(t,s,x,y,z,...)。其中,使用任意个输入(x,y,z,…),获得一个随机秘密,且生成的秘密数输入构成秘密分享方案S(t,s)。例如:RSS(2,3,a,b,c)=R,则R与a、b、c构成S(2,3)。
运行信息系统的设备信息表示为DID。代表仅信息系统可访问,参与到本方法的计算过程中。
标志位为F,需信息系统记录的标志位。
D表示需要加密保护的数据,为原始数据。
ED表示已加密保护的数据,为加密数据。
加密函数为ENC(K,P),使用K作为密钥,P为原始数据,输出为加密数据。
解密函数为DEC(K,E),使用K作为密钥,E为加密数据,输出为原始数据。此函数也可以识别K是否是生成E时所用的密钥,当不是时将返回错误。
记录表示将数据保存在易失存储器中,例如内存。
保存表示将数据保存在非易失存储器中,例如硬盘。
抛弃表示在易失存储器和非易失存储器中抹除数据。
以两个用户为例:
1、方案初始化流程
输入:用户A的凭据Pa、用户B的凭据Pb、设备信息DID和需保护的数据D。
步骤:
1.生成随机数,在当前流程中以R表示,并计算RSS(2,3,Pa,R,DID),其结果在当前流程中记录为T。记录T,并抛弃R;
2.计算RSS(2,3,T,Pb,DID),其结果在当前流程中记录为SK。记录SK,抛弃T;
3.计算ENC(SK,D),结果为加密数据ED。抛弃SK,保存加密数据ED。
4.F保存为0。
此流程执行完成后,信息系统仅保存加密数据ED,中间结果(R、T)、用于加密数据的SK和用户凭据(Pa、Pb)不保存。数据关系如图2所示。
数据恢复流程
根据标志位F的值,此方案在恢复数据时需采取不同的操作流程。在这些流程中,F的值不会变化。
当F等于0时,用户A恢复数据的操作流程:
输入:用户A的凭据Pa,设备信息DID,加密数据ED。数据关系如图2所示。
1.Pa与DID是某S(2,3)的两个分量,可进行恢复。其恢复结果在当前流程中以T表示。
2.T与DID是某S(2,3)的两个分量,可进行恢复。其恢复结果在当前流程中以SK表示。
3.计算DEC(SK,ED)。若解密成功,则进入步骤4。若解密失败,则将SK视作第一步中的T,重复步骤2、3。
4.解密成功后的结果为D,即方案初始化流程中输入的需保护的数据D。
当F等于0时,用户B恢复数据的操作流程:
输入:用户B的凭据Pb,设备信息DID,加密数据ED。数据关系如图2所示。
1.Pb与DID是某S(2,3)的两个分量,可进行恢复。其恢复结果在当前流程中以SK表示。
2.计算DEC(SK,ED)。其结果为D,即方案初始化流程中输入的需保护的数据D。
当F等于1时,用户A恢复数据的操作流程:
输入:用户A的凭据Pa,设备信息DID,加密数据ED。数据关系与图4一致,将其中Pa2表示为Pa,SK2表示为SK,SK表示为T后,数据关系如图7所示。
1.Pa与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以R表示。
2.R与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以SK表示(图4中为SK2)。
3.计算DEC(SK,ED),可恢复D。
当F等于1时,用户B恢复数据的操作流程
输入:用户B的凭据Pb,设备信息DID,加密数据ED。数据关系与图4一致,将其中Pa2表示为Pa,SK2表示为SK,SK表示为T后,数据关系如图7所示。
1.Pb与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以T表示。
2.T与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以SK表示。
3.计算DEC(SK,ED),可恢复D。
用户修改凭据流程
根据标志位F的值,此方案在用户修改凭据时需采取不同的操作流程。
当F等于0时,用户A修改凭据的流程
输入:用户A的原凭据Pa,用户A的新凭据Pa2。数据关系如图2所示。
1.Pa与DID是某S(2,3)的两个分量,可进行恢复。其恢复结果在当前流程中以T表示。
2.T与DID是某S(2,3)的两个分量,可进行恢复。其恢复结果在当前流程中以SK表示。
3.计算DEC(SK,ED)。若解密成功,则进入步骤4。若解密失败,则将SK视作第一步中的T,重复步骤2、3。
4.解密成功后的结果为D,即方案初始化流程中输入的需保护的数据D。
5.计算RSS(2,3,SK,DID,Pa2),其结果在此流程中以R表示。
6.计算RSS(2,3,SK,DID,R),其结果在此流程中以SK2表示。
7.计算ENC(SK2,D),结果为加密数据ED2。系统保存加密数据ED2,并抛弃此流程中生成的其它数据。
8.标志位F保存为1。
此流程执行完成后,数据关系如图4所示。
当F等于0时,用户B修改凭据的流程
输入:用户B的原凭据Pb,用户B的新凭据Pb2。数据关系如图2所示。
1.Pb与DID是某S(2,3)的两个分量,可进行恢复。其恢复结果在当前流程中以SK表示。
2.计算DEC(SK,ED)。其结果为D,即方案初始化流程中输入的需保护的数据D。
3.计算RSS(2,3,SK,DID,Pb2)。其结果在此流程中以SK2表示。
4.计算ENC(SK2,D),结果为加密数据ED2。系统保存加密数据ED2,并抛弃此流程中生成的其它数据。
5.标志位F设置为0。
此流程执行完成后,数据关系如图3所示。
当F等于1时,用户A修改凭据的流程
输入:用户A的原凭据Pa,用户A的新凭据Pa2。数据关系与图4一致,将其中Pa2表示为Pa,SK2表示为SK,SK表示为T后,数据关系如图7所示。
1.Pa与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以R表示。
2.R与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以SK表示。
3.计算DEC(SK,ED),可恢复D。
4.计算RSS(2,3,SK,DID,Pa2)。其结果在此流程中以SK2表示。
6.计算ENC(SK2,D),结果为加密数据ED2。系统保存加密数据ED2,并抛弃此流程中生成的其它数据。
5.标志位F保存为2。
此流程执行完成后,数据关系如图6所示。
当F等于1时,用户B修改凭据的流程
输入:用户B的原凭据Pb,用户B的新凭据Pb2。数据关系与图4一致,将其中Pa2表示为Pa,SK2表示为SK,SK表示为T后,数据关系如图7所示。
1.Pb与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以T表示。
2.T与DID是某S(2,3)的两个分量,可进行恢复。恢复结果在此流程中以SK表示。
3.计算DEC(SK,ED),可恢复D。
4.计算RSS(2,3,SK,DID,Pb2)。其结果在此流程中以SK2表示。
5.计算ENC(SK2,D),结果为加密数据ED2。系统保存加密数据ED2,并抛弃此流程中生成的其它数据。
6.保存F等于0。
此方法完成后,数据关系如图5所示。
F等于2时的各种操作
当F等于2时,可比照F等于0时的对应操作,仅需对调Pa与Pb。
用户数量扩展到N时的方案:
参照上述的操作方法,当用户数量扩展为n个时,需将流程中的一些步骤迭代进行多次运算。例如:
在方案初始化流程中
1.应迭代进行第2步,使用每个用户的凭据依次生成T。例如:P1、R、DID生成T1,P2、T1、DID生成T2,直至Pn-1、Tn-1、DID生成Tn-1。
2.使用第n个用户的凭据Pn、Tn-1、DID生成SK。
3.计算ENC(SK,D),结果为加密数据ED。抛弃SK,保存加密数据ED。
4.F保存为0。
执行完以上步骤后,数据关系如图8所示。
在F等于0时,用户恢复数据的流程如下
1.在使用Pn恢复数据时,可将Pn视作两个用户时的Pb进行操作。使用Pn和DID就可恢复SK,进而恢复数据。
2.在使用P1…Pn-1恢复数据时,可将P1…Pn-1视作两个用户时Pa进行操作。恢复时,第2、3步需迭代进行运算,当有n个用户时,迭代次数不大于n次。
在F等于0,修改用户P1…Pn-1的流程如下
可参考两个用户时,Pa修改凭证的流程进行。假定,新凭证为Px。
1.进行1-4步,恢复D,并得到SK。其中,第2、3步的迭代次数不大于n次。
2.进行流程的第5-8步。Px可视作Pa2。
执行完以上步骤后,数据关系如图9所示。
在F等于0时,修改用户Pn的流程如下
可参考两个用户时,Pb修改凭证的流程进行。假定,新凭证为Px。Pn可视作Pb,Px可视作Pb2。
此流程执行完成后,数据关系如图10所示。
在F等于1时,修改用户P1…Pn-1时的流程如下
可参考两个用户时,Pa修改凭证的流程进行。假定新凭证为Px。
1.进行第1、2步,并迭代计算出SK。其迭代次数不超过n次
2.进行第3-5步,完成将新凭证修改为Px的操作。
此流程执行完后,数据关系如图11所示。
图11中Tn与DID和T与DID恢复出的SK值相同,均参与到SK2的生成中。
可比照F等于0时的对应操作。参考图10,Px可视作Pn进行操作,Pn可视作P1…Pn-1进行操作。
在上述方案中,保护数据所用的保护因子是使用RSS算法从Pa或Pb或P1…Pn派生而来,错误的Pa和Pb或P1…Pn将派生出的保护因子,进而无法解密所保存的加密数据。这个过程即为此方案中的身份鉴别过程。
以上,为本发明提供的一种多用户访问的数据保护方法。
进一步地,在上述实施例所提供的一种多用户访问的数据保护方法的基础上,本发明实施例还提供了一种多用户访问的数据保护设备。如图12所示,该设备可以包括:一个或多个处理器201、一个或多个输入设备202、一个或多个输出设备203和存储器204,上述处理器201、输入设备202、输出设备203和存储器204通过总线205相互连接。存储器204用于存储计算机程序,所述计算机程序包括程序指令,所述处理器201被配置用于调用所述程序指令执行上述方法实施例部分的方法。
应当理解,在本发明实施例中,所称处理器201可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
输入设备202可以包括键盘等,输出设备203可以包括显示器(LCD等)、扬声器等。
该存储器204可以包括只读存储器和随机存取存储器,并向处理器201提供指令和数据。存储器204的一部分还可以包括非易失性随机存取存储器。例如,存储器204还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器201、输入设备202、输出设备203可执行本发明实施例提供的一种多用户访问的数据保护方法的实施例中所描述的实现方式,在此不再赘述。
相应地,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时实现:上述一种多用户访问的数据保护方法。
所述计算机可读存储介质可以是前述任一实施例所述的系统的内部存储单元,例如系统的硬盘或内存。所述计算机可读存储介质也可以是所述系统的外部存储设备,例如所述系统上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述系统的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述系统所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种多用户访问的数据保护方法,其特征在于,包括:
加密初始化步骤:获取运行信息系统的设备信息和若干个用户的用户凭据;利用所述用户凭据和设备信息,采用门限算法,对原始数据进行初始化加密,生成加密数据;保存所述加密数据和所述设备信息,抛弃所述用户凭据和所述原始数据;
数据恢复步骤:获取用户输入的用户凭据;利用所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。
2.根据权利要求1所述的方法,其特征在于,在加密初始化步骤之后,还包括:用户凭据修改步骤;
所述用户凭据修改步骤,包括:获取用户输入的用户凭据;根据所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据;
获取用户输入的新用户凭据;根据所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据。
3.根据权利要求2所述的方法,其特征在于,在加密初始化步骤中的所述利用所述用户凭据和设备信息,采用门限算法,对原始数据进行初始化加密,生成加密数据的步骤之后,还包括:设置初始化的标志位为第一标志位;
在用户凭据修改步骤中的所述根据所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据的步骤之后,还包括:判断并设置当前的标志位。
4.根据权利要求3所述的方法,其特征在于,所述标志位,包括:第一标志位、第二标志位和第三标志位。
5.根据权利要求4所述的方法,其特征在于,所述数据恢复步骤,包括:获取用户输入的所述新用户凭据;判断当前的标志位;根据当前的标志位,利用所述新用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据。
6.根据权利要求4所述的方法,其特征在于,所述用户凭据修改步骤,包括:
获取用户输入的用户凭据;判断当前的标志位;根据当前的标志位、所述用户凭据和所述设备信息,对所述加密数据进行解密,获得所述原始数据;
获取用户输入的新用户凭据;根据当前的标志位、所述新用户凭据和所述设备信息,采用门限算法,对所述原始数据进行加密,生成新加密数据。
7.一种多用户访问的数据保护设备,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-6任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811601848.4A CN109684858A (zh) | 2018-12-26 | 2018-12-26 | 一种多用户访问的数据保护方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811601848.4A CN109684858A (zh) | 2018-12-26 | 2018-12-26 | 一种多用户访问的数据保护方法、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109684858A true CN109684858A (zh) | 2019-04-26 |
Family
ID=66189727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811601848.4A Pending CN109684858A (zh) | 2018-12-26 | 2018-12-26 | 一种多用户访问的数据保护方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109684858A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021101853A1 (en) * | 2019-11-18 | 2021-05-27 | Frostbyte, Llc | Cryptographic key management |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034813A (zh) * | 2012-11-26 | 2013-04-10 | 蓝盾信息安全技术股份有限公司 | 一种移动终端数据的保护方法及系统 |
| CN105100115A (zh) * | 2015-08-27 | 2015-11-25 | 中国科学院信息工程研究所 | 一种基于加密口令及数据拆分的隐私保护的数据存储方法 |
| US20160277179A1 (en) * | 2015-03-20 | 2016-09-22 | Cryptography Research, Inc. | Multiplicative blinding for cryptographic operations |
| CN107465505A (zh) * | 2017-08-28 | 2017-12-12 | 阿里巴巴集团控股有限公司 | 一种密钥数据处理方法、装置及服务器 |
| CN108768643A (zh) * | 2018-06-22 | 2018-11-06 | 哈尔滨工业大学 | 一种隐私数据保护方法及系统 |
-
2018
- 2018-12-26 CN CN201811601848.4A patent/CN109684858A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103034813A (zh) * | 2012-11-26 | 2013-04-10 | 蓝盾信息安全技术股份有限公司 | 一种移动终端数据的保护方法及系统 |
| US20160277179A1 (en) * | 2015-03-20 | 2016-09-22 | Cryptography Research, Inc. | Multiplicative blinding for cryptographic operations |
| CN105100115A (zh) * | 2015-08-27 | 2015-11-25 | 中国科学院信息工程研究所 | 一种基于加密口令及数据拆分的隐私保护的数据存储方法 |
| CN107465505A (zh) * | 2017-08-28 | 2017-12-12 | 阿里巴巴集团控股有限公司 | 一种密钥数据处理方法、装置及服务器 |
| CN108768643A (zh) * | 2018-06-22 | 2018-11-06 | 哈尔滨工业大学 | 一种隐私数据保护方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| S. A. PITCHAY等: "《A Proposed System Concept on Enhancing the Encryption and Decryption Method for Cloud Computing》", 《2015 17TH UKSIM-AMSS INTERNATIONAL CONFERENCE ON MODELLING AND SIMULATION (UKSIM)》 * |
| 刘春辉等: "《基于秘密共享算法的云存储信息安全系统探究》", 《中国新通信》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021101853A1 (en) * | 2019-11-18 | 2021-05-27 | Frostbyte, Llc | Cryptographic key management |
| US11328080B2 (en) | 2019-11-18 | 2022-05-10 | Frostbyte, Llc | Cryptographic key management |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI701929B (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
| CN107425982B (zh) | 一种实现智能合约数据加密的方法和区块链 | |
| WO2020181845A1 (zh) | 区块链数据加密方法、装置、计算机设备及存储介质 | |
| US11184164B2 (en) | Secure crypto system attributes | |
| CN109831298A (zh) | 区块链中安全更新密钥的方法及节点、存储介质 | |
| WO2018076762A1 (zh) | 基于区块链的交易验证方法、系统、电子装置及介质 | |
| CN101897211B (zh) | 计算机秘密的迁移 | |
| TWI706658B (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
| CN102138300B (zh) | 消息认证码预计算在安全存储器中的应用 | |
| CN108475237A (zh) | 存储器操作加密 | |
| CN103580855B (zh) | 一种基于共享技术的UsbKey密钥管理方法 | |
| CN110032884A (zh) | 区块链中实现隐私保护的方法及节点、存储介质 | |
| CN103530570A (zh) | 一种电子文档安全管理系统及方法 | |
| CN105450620A (zh) | 一种信息处理方法及装置 | |
| CN103378971B (zh) | 一种数据加密系统及方法 | |
| CN109768862B (zh) | 一种密钥管理方法、密钥调用方法及密码机 | |
| CN107370595A (zh) | 一种基于细粒度的密文访问控制方法 | |
| CN111191217B (zh) | 一种密码管理方法及相关装置 | |
| CN110008715A (zh) | 区块链中实现隐私保护的方法及节点、存储介质 | |
| CN112953974B (zh) | 数据碰撞方法、装置、设备及计算机可读存储介质 | |
| CN102930223B (zh) | 一种磁盘数据保护方法和系统 | |
| CN109815747A (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
| US20200026583A1 (en) | Automatic correction of cryptographic application program interfaces | |
| CN109766731A (zh) | 基于固态硬盘的加密数据处理方法、装置和计算机设备 | |
| CN109510702A (zh) | 一种基于计算机特征码的密钥存储及使用的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20220429 |
|
| AD01 | Patent right deemed abandoned |