CN110460581B - 文件分享方法、系统、设备、se装置、被分享端和介质 - Google Patents
文件分享方法、系统、设备、se装置、被分享端和介质 Download PDFInfo
- Publication number
- CN110460581B CN110460581B CN201910629208.2A CN201910629208A CN110460581B CN 110460581 B CN110460581 B CN 110460581B CN 201910629208 A CN201910629208 A CN 201910629208A CN 110460581 B CN110460581 B CN 110460581B
- Authority
- CN
- China
- Prior art keywords
- target
- shared
- file
- ciphertext
- sharing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了文件分享方法、系统、设备、SE装置、被分享端和介质。该方法包括:建立与被分享端的第一近场通信链路;响应由被分享端通过第一近场通信链路发送的目标分享文件的读取请求,确定目标分享文件对应的第一密文;利用与第一解密密钥解密第一密文,得到目标分享文件的访问地址;对被分享端进行读取访问地址的授权验证;若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端。根据本发明实施例提供的方案,可以提高文件分享的安全性。
Description
技术领域
本发明涉及通信领域,尤其涉及文件分享方法、系统、设备、SE装置、被分享端和介质。
背景技术
在实际的日常生活和工作中,往往需要多个人对同一份电子文档进行查看或编辑。现阶段,用户之间往往通过发送邮件、使用聊天软件等将文件发送给对方。
但是,对于一些对安全性、保密性有要求的研发或工作场景来说,这种文件分享方法安全性较低。
发明内容
本发明实施例提供文件分享方法、系统、设备、SE装置、被分享端和介质,可以提高文件分享的安全性。
根据本发明实施例的第一方面,提供一种文件分享方法,包括:
建立与被分享端的第一近场通信链路;响应由被分享端通过第一近场通信链路发送的目标分享文件的读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;对被分享端进行读取访问地址的授权验证;若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端,以供被分享端根据访问地址访问目标分享文件。
在一种可选的实施方式中,对被分享端进行读取访问地址的授权验证,具体包括:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证被分享端被授予读取的访问地址的权限;若匹配失败,则验证被分享端未被授予读取访问地址的权限;其中,授权验证信息包括口令和/或生物特征信息。
在一种可选的实施方式中,若授权验证包括多级授权验证,则对被分享端进行读取访问地址的授权验证,具体包括:验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
在一种可选的实施方式中,方法还包括:与分享端建立第二近场通信链路;通过第二近场通信链路,接收由分享端发送的目标分享文件的写入请求,并响应写入请求生成第一加密密钥和第一解密钥,写入请求包括目标分享文件的身份标识信息和目标分享文件的访问地址;对写入请求进行写入授权验证;若验证写入请求被授予写入权限,利用第一加密密钥加密目标分享文件的访问地址,得到第一密文;在目标SE装置内部的安全存储区域,对应存储目标分享文件的身份标识信息和第一密文。
在一种可选的实施方式中,对写入请求进行写入授权验证,具体包括:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证写入请求被授予写入权限;若匹配失败,则验证写入请求未被授予写入权限;其中,授权验证信息包括口令和/或生物特征信息。
在一种可选的实施方式中,建立与被分享端的第一近场通信链路之后,方法还包括:与被分享端互相验证彼此具备安全性。
在一种可选的实施方式中,与被分享端互相验明彼此具备安全性,具体包括:通过第一近场通信链路接收由被分享端发送的第一随机数;利用第二加密密钥对第一随机数加密,得到第二密文,并将第二密文和自身生成的第二随机数发送至被分享端,以供被分享端利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文,若第一随机数与第二明文相匹配,则被分享端验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文,并通过第一近场通信链路将第三密文发送至目标SE装置;接收由被分享端发送的第三密文;利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文;验证第三明文与第二随机数是否匹配;若匹配,验证被分享端具备合法性。
在一种可选的实施方式中,响应由被分享端通过第一近场通信链路发送的目标分享文件的读取请求,确定目标分享文件对应的第一密文,具体包括:通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端,以供被分享端利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件,进而将包含目标分享文件的身份标识信息的读取请求通过第一近场通信链路发送至目标SE装置;响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文。
根据本发明实施例的第二方面,提供一种文件分享方法,包括:建立与目标SE装置的第一近场通信链路;通过第一近场通信链路,将目标分享文件的读取请求发送至目标SE装置;接收由目标SE装置发送的目标分享文件的访问地址;根据访问地址访问目标分享文件。
在一种可选的实施方式中,建立与目标SE装置的第一近场通信链路之后,方法还包括:与目标SE装置互相验证彼此具备安全性。
在一种可选的实施方式中,与目标SE装置互相验证彼此具备安全性,具体包括:通过第一近场通信链路将第一随机数发送至目标SE装置,以供目标SE装置利用第二加密密钥对第一随机数,得到第二密文,并将第二密文和自身生成第二随机数通过第一近场通信链路发送至被分享端;接收第二密文和第二随机数,利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文;验证第一随机数与第二明文是否匹配;若匹配,则验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文;将第三密文通过第一近场通信链路发送至目标SE装置,以供目标SE装置接收由被分享端发送的第三密文,利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文,并验证第三明文与第二随机数匹配,验证被分享端具备合法性。
在一种可选的实施方式中,方法还包括:接收由目标SE装置通过第一近场通信链路发送的目标SE装置的身份认证信息;利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件;基于目标分享文件的身份标识信息,生成目标分享文件的读取请求。
在一种可选的实施方式中,SE装置与待分享文件的隶属关系是分享端将目标分享文件存储到共享存储区域后建立的。
在一种可选的实施方式中,方法还包括:根据目标分享文件的辅助认证信息,验证目标分享文件的完整性,目标分享文件的辅助认证信息是分享端基于目标分享文件生成的。
根据本发明实施例的第三方面,提供一种文件分享方法,包括:被分享端与目标SE装置之间建立第一近场通信链路;被分享端将目标分享文件的读取请求通过第一近场通信链路发送至目标SE装置;目标SE装置响应读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;目标SE装置利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;目标SE装置对被分享端进行读取访问地址的授权验证;若验证被分享端被授予访问地址的读取权限,目标SE装置通过第一近场通信链路将访问地址发送至被分享端;被分享端根据访问地址访问目标分享文件。
在一种可选的实施方式中,目标SE装置对被分享端进行读取访问地址的授权验证,具体包括:目标SE装置将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则目标SE装置验证被分享端被授予读取的访问地址的权限;若匹配失败,则目标SE装置验证被分享端未被授予读取访问地址的权限;其中,授权验证信息包括口令和/或生物特征信息。
在一种可选的实施方式中,若授权验证包括多级授权验证,则目标SE装置对被分享端进行读取访问地址的授权验证,具体包括:目标SE装置验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;若匹配,则目标SE装置将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
在一种可选的实施方式中,方法还包括:分享端与目标SE装置之间建立第二近场通信链路;分享端将目标分享文件存储至共享存储区域,提取目标分享文件的访问地址,生成目标分享文件的身份认证信息;分享端基于访问地址和目标分享文件的身份认证信息生成目标分享文件的写入请求,并将写入请求发送至目标SE装置;目标SE装置响应写入请求,生成第一加密密钥和第一解密钥,并对写入请求进行写入授权验证;目标SE装置若验证写入请求被授予写入权限,利用第一加密密钥加密目标分享文件的访问地址,得到第一密文;目标SE装置在自身内部的安全存储区域,对应存储目标分享文件的身份标识信息和第一密文。
在一种可选的实施方式中,对写入请求进行写入授权验证,具体包括:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证写入请求被授予写入权限;若匹配失败,则验证写入请求未被授予写入权限;其中,授权验证信息包括口令和/或生物特征信息。
在一种可选的实施方式中,建立被分享端与目标SE装置之间的第一近场通信链路之后,方法还包括:目标SE装置与被分享端互相验证彼此具备安全性。
在一种可选的实施方式中,目标SE装置与被分享端互相验证彼此具备安全性,具体包括:被分享端通过第一近场通信链路将第一随机数发送至目标SE装置;目标SE装置利用第二加密密钥对第一随机数加密,得到第二密文,并将第二密文和自身生成第二随机数通过第一近场通信链路发送至被分享端;被分享端接收第二密文和第二随机数后,利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文;被分享端验证第一随机数与第二明文是否匹配;若匹配,则被分享端验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文,并将第三密文通过第一近场通信链路发送至目标SE装置;目标SE装置接收由被分享端发送的第三密文;目标SE装置利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文;目标SE装置验证第三明文与第二随机数是否匹配;若匹配,目标SE装置验证被分享端具备合法性。
在一种可选的实施方式中,目标SE装置响应读取请求,确定目标分享文件对应的第一密文,具体包括:目标SE装置通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端;被分享端利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件;被分享端将包含目标分享文件的身份标识信息的读取请求通过第一近场通信链路发送至目标SE装置;目标SE装置响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文。
在一种可选的实施方式中,SE装置与待分享文件的隶属关系是分享端将目标分享文件存储到共享存储区域后建立的。
在一种可选的实施方式中,方法还包括:被分享端根据目标分享文件的辅助认证信息,验证目标分享文件的完整性,目标分享文件的辅助认证信息是分享端基于目标分享文件生成的。
根据本发明实施例的第四方面,提供一种目标SE装置,包括:链路建立模块,用于建立与被分享端的第一近场通信链路;密文确定模块,用于响应由被分享端通过第一近场通信链路发送的目标分享文件的读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;地址获取模块,用于利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;授权验证模块,用于对被分享端进行读取访问地址的授权验证;地址发送模块,用于若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端,以供被分享端根据访问地址访问目标分享文件。
根据本发明实施例的第五方面,提供一种被分享端,包括:链路建立模块,用于建立与目标SE装置的第一近场通信链路;请求发送模块,用于通过第一近场通信链路,将目标分享文件的读取请求发送至目标SE装置;地址接收模块,用于接收由目标SE装置发送的目标分享文件的访问地址;文件访问模块,用于根据访问地址,在由分享端与被分享端所共享的共享存储区域内,访问目标分享文件。
根据本发明实施例的第六方面,提供一种文件分享系统,包括:被分享端,用于与目标SE装置之间建立第一近场通信链路;以及,将目标分享文件的读取请求通过第一近场通信链路发送至目标SE装置;以及,根据访问地址访问目标分享文件;目标SE装置,用于响应读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;以及,利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;以及,对被分享端进行读取访问地址的授权验证;以及,若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端。
根据本发明实施例的第七方面,提供一种文件分享设备,包括:存储器,用于存储程序;处理器,用于运行存储器中存储的程序,以执行本发明实施例的第一方面提供的文件共享方法、本发明实施例的第二方面提供的文件共享方法或者本发明实施例的第三方面提供的文件共享方法。
根据本发明实施例的第八方面,提供一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现本发明实施例的第一方面提供的文件共享方法、本发明实施例的第二方面提供的文件共享方法或者本发明实施例的第三方面提供的文件共享方法。
根据本发明实施例中的文件分享方法、系统、设备、SE装置、被分享端和介质,目标SE装置和被分享端之间传输的是目标分享文件的访问地址,被分享端接收到访问地址后可以根据该访问地址,访问目标分享文件。在本发明的技术方案中,即时传输过程被攻击也不会导致目标分享文件的泄露,提供了文件分享的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提供的一种文件分享的交互系统的逻辑示意图;
图2是示出根据本发明实施例的文件分享方法的示意流程图;
图3示出了本发明实施例中目标SE装置的结构示意图;
图4是示出了根据本发明实施例的文件分享方法的更详细的流程图;
图5是示出根据本发明实施例的文件分享方法的示意流程图;
图6是示出根据本发明实施例的文件分享方法的示意流程图;
图7示出了根据本发明实施例提供的文件分享系统的结构示意图;
图8示出了根据本发明实施例提供的目标SE装置的结构示意图;
图9示出了根据本发明实施例提供的被分享端的结构示意图;
图10是本发明实施例中文件分享设备的示例性硬件架构的结构图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
图1示出了本发明实施例提供的一种文件分享的交互系统的逻辑示意图。如图1所示,文件分析系统主要涉及分享端P1、被分享端P2和目标SE装置P3。
如图1所示,若分享端P1需要将目标分享文件分享给被分享端P2,可以将目标分享文件放置在由分享端P1和被分享端P2均能够访问的共享存储区域11内,并获取目标分享文件F1的访问地址S1。分享端P1与目标SE装置P3之间建立第二近场通信链路13,并将目标分享文件F1的访问地址S1写入目标SE装置P3。目标SE装置P3断开与分享端P1之间的第二近场通信链路13,并与被分享端P2建立第一近场通信链路12。被分享端P2通过第一近场通信链路12,从目标SE装置P3中读取目标分享文件F1的访问地址,并根据目标分享文件F1的访问地址S1,在共享存储区域11中查找并访问目标分享文件F1。
在本发明实施例中,分享端P1和被分享端P2表示对电子文档具有查看和/或编辑功能的智能终端设备。例如,智能手机、智能平板、电脑、智能手表等。其中,分享端和被分享端可以是同一种智能终端设备,也可以是不同种类的智能终端设备,在此不作限定。
此外,分享端P1和被分享端P2可以是自身具备近场通信功能的终端,例如安装有近场通信模块的手机等。也可以是自身不具备近场通信功能,但是可以借助外界设备进行近场通信的设备,例如,可以通过外接读卡器来与外界设备进行近场通信的电脑等。对此不作限定。
在本发明实施例中,目标SE装置P3表示兼具近场通信功能和数据读写功能的便携设备。示例性,出于实用性、方便些、经济性等多方面的考虑,SE装置的实际形态可以是嵌有芯片的卡片,例如智能卡或其他设置有NFC单元的卡片。优选地,SE装置为智能卡。在一个实施例中,NFC单元的具体实现方式可包括射频识别(Radio Frequency Identification,RFID)射频部分和天线环路的RFID电路。
需要说明的是,卡片的尺寸可以符合识别卡物理特性的国际标准。例如,SE装置的卡片尺寸为85.5mm×54mm等。SE装置还可以是其他卡片尺寸,对此不做限定。SE装置还可以是除卡片之外的其他形态,对此不做限定。
在一些实施例中,在目标SE装置P3内,可以开发有一个能正常运行的嵌入式操作系统。该操作系统可以调用芯片中的一些硬件资源。比如说可以擦写非易失存储器(Non-volatile memory,NVM)或者读取NVM。例如,闪存Flash或者带电可擦可编程只读存储器(Electrically Erasable Programmable read only memory,EEPROM)等。示例性的,操作系统可以是JavaCardOS,或者是一个状态机,或者While大循环。需要说明的是,该操作系统可以支持非接触式协议,例如ISO14443协议,也可以支持接触式协议,例如ISO7816协议,对此不作限定。
基于上述嵌入式操作系统,目标SE装置P3除了数据读写功能和近场通信功能外还可以具有其他功能。例如,创建文件功能、生物特征接收功能、生物特征识别功能,密码校验功能,密码设置功能,锁定数据区功能,非法操作自动销毁卡片功能等。
在一些实施例中,目标SE装置P3设置有安全传感器,例如电压传感器、频率传感器、主动防护层、光检测传感器、稳定的传感器等,可以保证目标SE装置物理上的安全性。
此外,还需要说明的是,若目标SE装置P3为智能卡,还可以应用在除文件分享之外的其他场景中,例如,门禁出入、刷卡消费等多种生活场景中,以提高生活便捷性。
在本发明实施例中,分享文档为能够在智能终端设备中查看和/或编辑的电子文档。示例性的,分享格式的格式可以是word、ppt、txt、jpg、xls、AVI等较为普遍的文件格式,也可以是INI、m、mdl、psd等代码编辑软件、图像绘制软件等较为专业的软件所支持的较为小众的文件格式。
在本发明一些实施例中,共享存储区域可以是由局域网共享存储网盘、文件共享服务器或者私有云服务器提供的存储空间等能够被多个终端访问的存储区域,对此不做限定。
在本实施例中,目标分享文件可以被放置在高安全的局域网内,其他介质中均不保存目标分享文件,提供了文件分享的安全性。
本发明实施例提供的文件共享系统,可以适用于各类文件共享场景中。特别适用于高安全办公环境中的工作协同。例如企业生产经营中跨部分多人同时服务一个项目或共同研发一个产品的具体场景。特别是对保密性要求极高的、核心的项目或产品。
为了更好的理解本发明,下面将结合附图,详细描述根据本发明实施例的文件分享方法、系统、设备、SE装置、被分享端和介质,应注意,这些实施例并不用来限制本发明公开的范围。
图2是示出根据本发明实施例的文件分享方法的示意流程图。如图2所示,本实施例中的文件分享方法200可以包括以下步骤:
S207,被分享端与目标SE装置之间建立第一近场通信链路。
其中,第一近场通信链路可以是被分享端发起的或者可以是目标SE装置发起的,对此不做限定。若被分享端与目标SE装置之间的距离小于预设近场感应距离时,被分享端与目标SE装置之间建立第一近场通信链路;若被分享端与目标SE装置之间的距离大于预设近场感应距离时,第一近场通信链路断开。
本发明实施例中通过近场通信链路进行数据传输,能够防止传输过程被远程攻击,提高了传输过程的安全性。
在一些实施例中,第一近场通信链路表示基于近场通信(Near FieldCommunication,NFC)技术所建立的通信链路。
需要说明的是,本发明实施例中目标SE装置和被分享端之间的通信均建立在第一近场通信链路上。
在一些实施例中,为了便于理解目标SE装置,图3示出了本发明实施例中目标SE装置的结构示意图。目标SE装置开发有操作系统,基于该操作系统,目标SE装置创建有写入模块、加密模块、安全存储区域、解密模块、授权管理模块和读取模块。
S209,被分享端将目标分享文件的读取请求通过第一近场通信链路发送至目标SE装置。
在一些实施例中,目标分享文件F1的读取请求用于向目标SE装置请求读取目标分享文件F1的访问地址S1。
在一个实施例中,目标分享文件F1的读取请求包括目标分享文件F1的身份标识信息R1。示例性地,目标分享文件F1的身份标识信息R1可以是由分享端P1为目标分享文件生成的、能够区别目标分享文件与其他文件的标识符。例如,目标分享文件F1的身份标识信息R1可以是固定长度的随机数。比如,8字节的随机数。
S210,目标SE装置响应该读取请求,确定目标分享文件对应的第一密文。
在S210中,第一密文是由目标SE装置利用第一加密密钥对目标分享文件F1的访问地址S1加密后得到的,访问地址S1是由分享端发送至目标SE装置的。其中,分享端可通过第二近场通信链路向目标SE装置发送访问地址S1。
在本实施例中,目标分享文件的访问地址在目标SE装置中以第一密文的形式存储,能够防止访问地址的泄露。
在一些实施例中,目标分享文件F1对应的第一密文M1存储于目标SE装置的安全存储区域内。在接收到该读取请求后,可以从安全存储区域调用第一密文F1。
在一些实施例中,目标分享文件F1内建立有分享文件对应的密文和分享文件的身份标识信息的对应关系,读取请求包含目标分享文件F1的身份标识信息。其中,分享文件对应的密文是对分享文件的访问地址加密得到的。
相应的,S210具体包括:在接收到该读取请求后,从读取请求中解析出目标分享文件F1的身份标识信息R1,再根据解析出的身份标识信息R1,从密文和分享文件的身份标识信息的对应关系中,查询到目标分享文件F1的身份标识信息R1对应的第一密文M1。
具体地,密文和分享文件的身份标识信息的对应关系的具体建立方式可以包括:将分享文件对应的密文与分享文件的身份标识信息一一对应存储。示例性的,继续参照图3,在目标SE装置的安全存储区域中,身份标识信息R1与密文M1对应存储,身份标识信息R2与密文M2对应存储,……,身份标识信息Rn与密文Mn对应存储。读取模块通过第一近场通信链路获取由被分享端P2发送的身份标识信息R1后,可以基于身份标识信息R1,在安全存储区域内查询到与身份标识信息R1对应的第一密文M1。
在本发明的一些实施例中,S210具体包括S2101至S2104。
S2101,目标SE装置通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端。
在一些实施例中,目标SE装置的身份认证信息会嵌入在接触式上电的目标SE装置的ATS信息(answer to select)中,或者嵌入非接触式上电ATR(answer to reset)信息中。当目标SE装置上电后,会向发送一个ATS信息/ATR信息至被分享端。被分享端基于接收到的ATS信息/ATR信息,能够从其中解析出目标SE装置的身份认证信息。
在一些实施例中,目标SE装置的身份认证信息用于表示目标SE装置的身份。具体地,可以是固定长度的字符串,例如4字节或8字节等。
S2102,被分享端利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件。
在一些实施例中,SE装置与待分享文件的隶属关系可以由分享端建立。若分享端需要通过某一SE装置分享某一待分享文件,则可以在SE装置与待分享文件的隶属关系中建立该SE装置与该待分享文件的隶属关系。
其中,SE装置与待分享文件的隶属关系中一个SE装置可以对应多个待分享文件,同一份待分享文件也可以对应多个SE装置。
在一个实施例中,分享端将SE装置与待分享文件的隶属关系同步至被分享端的方法是:通过在分享端运行上位机软件,在该上位机软件中建立并存储该隶属关系。在文件分享过程中,在被分享端运行该上位机软件,并同步该隶属关系。
在一些实施例中,SE装置与待分享文件的隶属关系的具体实施方式可以是:SE装置的身份认证信息与分享文件的身份标识信息的隶属关系。
在一些实施例中,在所有待分享文件中确定目标分享文件的具体实施方式可以是:被分享端的显示装置显示全部待分享文件,每一待分享文件对应一个显示控件。接收用户对显示控件的点选操作,将被点选的显示控件对应的待分享文件确定为目标分享文件。
S2103,被分享端将包含目标分享文件的身份标识信息的读取请求通过第一近场通信链路发送至目标SE装置。
S2104,目标SE装置响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文。
S211,目标SE装置利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址。
在本发明的一些实施例中,第一加密密钥K1和第一解密密钥K2可以对称性密钥或者非对称密钥。优选的,第一加密密钥K1和第二加密密钥K2是对称性密钥。其中,对称性加密算法可以包括高级加密标准(Advanced Encryption Standard,AES)算法,或者数据加密标准(Data Encryption Standard,DES)算法等,对此不做限定。
在本实施例中,由于目标SE装置已经为文件分享流程提供了安全性较高的环境,出于减少功耗和提高速度等方面的综合考虑,第一加密密钥K1和第二加密密钥K2优选为对称性密钥。
在一些实施例中,访问地址可以是目标分享文件在共享存储区域的网络路径信息。其中,访问地址的具体格式可以为:“\\网络上提供共享的那台电脑机器名或IP\共享文件夹名称\文件名称.文件名后缀”。
S212,目标SE装置对被分享端进行读取访问地址的授权验证。其中,授权验证用于验证被分享端是否有读取访问地址S1的权限。
在本发明的一些实施例中,S212具体包括S2121至S2123:
S2121,目标SE装置将输入的授权验证信息与授权方授权验证信息进行匹配。其中,授权验证信息包括口令和/或生物特征信息。
在一些实施例中,授权方授权验证信息为授权方预先设置的、正确的授权验证信息。若输入的授权验证信息与授权方授权验证信息相匹配,则证明被分享端被授予访问地址S1的读取权限。
在一些实施例中,授权方可以是访问地址S1的读取权限的授予方。也就是说,其他用户如果想读取目标分享文件,必须经过授权方的授权。在文件共享的具体工作场景中,不同的访问地址可能对应不同的授权方。示例性的,根据保密等级的不同,授权方可以是多级的。目标分享文件的保密等级越高,授权方的等级越高。例如,按照授权方等级由低到高的次序,授权方可分为普通工作人员,部门经理,总经理等。
在一些实施例中,口令可以是密码或者是约定好的验证信息。例如,密码可以是数字、文字、符号中的一种或多种。约定好的验证信息可以是授权方的身份标识信息,例如说姓名、工号、手机号、身份证号等。需要说明的是,若授权验证信息包括口令,为了加强安全性,可以同时输入密码和验证信息。例如,输入密码之后,还可以验证姓名等授权方的身份标识信息。
在一些实施例中,若授权验证信息包括生物特征信息,目标SE装置还有生物特征识别模块。其中,生物特征可以是指纹识别、掌纹识别、面部识别等能够表征被验证者区别于其他被验证者的生物特征。示例性的,以指纹特征为例,生物特征识别模块可以获取被验证者输入的指纹信息,并生成输入的指纹信息的哈希值。
在一些实施例中,验证是否匹配的方式是验证输入的授权验证信息与授权方授权验证信息是否完全相等。若完全相等,则证明相匹配;若不完全相等,则证明不匹配。示例性的,若授权方授权验证信息为密码“112233”,输入的验证信息为“1122333”,则验证不匹配。
在一些实施例中,被验证者可以提前输入授权验证信息,也可以当场输入授权验证信息。输入时间的不同,S212或者S212的部分子步骤,与其他步骤之间的执行次序可能不同,本发明对此不做限定。
S2122,若匹配成功,则目标SE装置验证被分享端被授予读取的访问地址的权限。也就是说,可以继续向后执行步骤S213。
S2123,若匹配失败,则目标SE装置验证被分享端未被授予读取访问地址的权限。
也就是说,被分享端不能获取目标SE装置内的第一密文。
在一些实施例中,授权方可以是多级的,授权验证也可以是多级的。若授权验证包括多级授权验证,则可以按照授权等级由高到低的次序依次验证。
相应地,S212,具体包括S2124和S2125:
S2124,目标SE装置验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配。
需要说明的是,若当前授权等级对应多个授权方,则输入的授权验证信息必须包括当前授权等级的所有授权方的授权验证信息。例如授权方包括张三、王五,输入的授权验证信息必须包括张三和王五的授权验证信息,才能确认输入的授权验证信息与当前授权等级对应授权方授权验证信息相匹配。
S2125,若匹配,则目标SE装置将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
需要说明的是,多级授权验证中还可以按照授权等级由低到高的次序依次验证,对具体验证次序不做特殊限定。
S213,若验证被分享端被授予访问地址的读取权限,目标SE装置通过第一近场通信链路将访问地址发送至被分享端。
S214,被分享端根据访问地址访问目标分享文件。其中,该目标分享文件存储于由分享端与被分享端所共享的共享存储区域内。
根据本发明实施例中的文件分享方法,目标SE装置和被分享端之间传输的是目标分享文件的访问地址,被分享端接收到访问地址后可以根据该访问地址,访问目标分享文件。在本发明的技术方案中,即时传输过程被攻击也不会导致目标分享文件的泄露,提供了文件分享的安全性。
在一些实施例中,被分享端在共享存储区域内,可以按照该访问地址S1,查找到目标分享文件F1。
在本发明的一些实施例中,S207之后,方法还包括:
S208,目标SE装置与被分享端互相验证彼此具备安全性。
在本实施例中,目标SE装置验证被分享端具备安全性,可以防止伪造被分享端的攻击;被分享端验证目标SE装置具备安全性,可以防止伪造目标SE装置的攻击,提高了安全性。
在一些实施例中,S208,具体包括:
S2081,被分享端通过第一近场通信链路将第一随机数RR1发送至目标SE装置。其中,第一随机数RR1由被分享端针对本次验证过程而随机生成的。
在一个实施例中,被分享端存储该第一随机数RR1,以便于后续过程中对第二密文验证,来验证目标SE装置的安全性。
S2082,目标SE装置P3利用第二加密密钥K3对第一随机数RR1加密,得到第二密文MM2,并将第二密文MM2和自身生成第二随机数RR2通过第一近场通信链路发送至被分享端P2。
S2083,被分享端接收第二密文MM2和第二随机数RR2后,利用与第二加密密钥K3对应的第二解密密钥K4解密第二密文MM2,得到第二明文MW2。
在一些实施例中,第二加密密钥K3和第二解密密钥K4可以是对称性密钥,也可以是非对称性密钥。考虑到功耗和速度的问题,优选为对称性密钥。
S2084,被分享端验证第一随机数RR1与第二明文MW2是否匹配。
在一些实施例中,被分享端验证生成的第一随机数RR1和第二明文MW2是否相同,若相同,则证明第一随机数RR1与第二明文MW2相匹配。
S2085,若匹配,则被分享端验证目标SE装置具备合法性,并利用第三加密密钥K5加密第二随机数RR2,得到第三密文MM3,并将第三密文MM3通过第一近场通信链路发送至目标SE装置。
S2086,目标SE装置接收由被分享端发送的第三密文MM3。
S2087,目标SE装置利用与第三加密密钥K5对应的第三解密密钥K6解密第三密文MM3,得到第三明文MW3。
在一些实施例中,第三加密密钥K5和第三解密密钥K6可以是对称性密钥,也可以是非对称性密钥。考虑到功耗和速度的问题,优选为对称性密钥。
S2088,目标SE装置验证第三明文MW3与第二随机数RR2是否匹配。
S2089,若匹配,目标SE装置验证被分享端具备合法性。
在一些实施例中,S2089之后,方法300还包括:目标SE装置P3向被分享端P2发送用以通知被分享端彼此具备安全性的通知信息。以供被分享端P2基于该通知消息继续执行步骤S209。
在本实施例中,由于第二密文和第三密文分别是基于第一随机数和第二随机数生成的,同理地,第二密文和第三密文也具有随机性,即使上一次文件分享过程的第二密文和第三密文泄露了,本次文件分享过程中伪造的目标SE装置和/或伪造的被分享端利用上次的第二密文和第三密文,也无法通过安全性校验,从而提高了验证过程的安全性。
此外,由于作为消息认证符的第一随机数和第二随机数都是随机生成的,无需预先存储于任何固件设备中,能够防止因固件设备被攻击所导致的消息认证符泄露。
在本发明的一些实施例中,S214之后,文件分享方法200还包括:
S215,被分享端根据目标分享文件的辅助认证信息,验证目标分享文件的完整性。其中,目标分享文件的辅助认证信息是分享端基于目标分享文件生成的。
在一些实施例中,目标分享文件的辅助认证信息可以表示目标分享文件的文档属性信息或者安全属性信息。示例性的,文档属性信息包括文档大小、文档创建时间、文档最后一次修改时间等,安全属性信息包括目标分享文件的Checksum(即一种校验值)等。
在一些实施例中,目标分享文档的完整性用于表示目标分享文档的真实性,以及目标分享文档未被篡改等。
在本发明的一些实施例中,S207、S209至S214主要涉及的是被分享端与目标SE装置之间的、对目标分享文件的读取步骤,在S207之前
文件分享方法200还包括:S201至S206。
S201,分享端与目标SE装置之间建立第二近场通信链路。
需要说明的是,本发明实施例中分享端和目标SE装置之间的通信均建立在第二近场通信链路上。
S202,分享端将目标分享文件存储至共享存储区域,提取目标分享文件的访问地址,并生成目标分享文件的身份认证信息。
在一些实施例中,分享端提取目标分享文件的访问地址和生成目标分享文件的身份认证信息可以通过上位机软件实现。示例性的,分享端在运行的上位机软件中进行相应的操作,例如将目标分享文件拖拉入预设区域,上位机软件即可提取目标分享文件的访问地址和生成目标分享文件的身份认证信息。
在一些实施例中,目标分享文件的访问地址和目标分享文件的身份认证信息的相关内容,可以详见上述实施例,对此不再赘述。
S203,分享端基于访问地址和目标分享文件的身份认证信息生成目标分享文件的写入请求,并将写入请求发送至目标SE装置。
在一些实施例中,目标SE装置的写入模块可以获取该写入请求。
S204,目标SE装置响应写入请求,生成第一加密密钥和第一解密钥,并对写入请求进行写入授权验证。
在一些实施例中,第一加密密钥和第一解密钥的相关内容,可以详见上述实施例,对此不再赘述。
在一些实施例中,写入授权验证的具体实施方式包括S2041至S2043:
S2041,目标SE装置将输入的授权验证信息与授权方授权验证信息进行匹配。其中,授权验证信息包括口令和/或生物特征信息。
S2042,若匹配成功,则目标SE装置验证写入请求被授予写入权限。
S2043,若匹配失败,则目标SE装置验证写入请求未被授予写入权限。
其中,S2041至S2043的相关内容,可以详见上述实施例,对此不再赘述。
S205,目标SE装置若验证写入请求被授予写入权限,利用第一加密密钥加密目标分享文件的访问地址,得到第一密文。
其中,加密算法可以是对称性加密算法,对称性加密算法的相关内容,可以详见上述实施例,对此不再赘述。
示例性的,参照图3,加密模块可以利用第一加密密钥K1对目标分享文件的访问地址S1进行加密,得到第一密文M1。需要说明的是,虽未示出,图3中加密模块和写入模块之间还可以包括写入授权管理模块。
S206,目标SE装置在自身内部的安全存储区域,对应存储目标分享文件的身份标识信息和第一密文。
在一些实施例中,安全存储区域可参见图3,如图3所示,分享文件的身份标识信息与对应的密文一一对应存储。
图4是示出了根据本发明实施例的文件分享方法的更详细的流程图,图4与图2相同或等同的步骤使用相同的标号。如图4所示,方法400基本相同于方法200,方法400具体包括:
S201,分享端P1与目标SE装置P3之间建立第二近场通信链路。
S202,分享端P1将目标分享文件F1存储至共享存储区域,提取目标分享文件的访问地址S1,并生成目标分享文件的身份认证信息R1。
S203,分享端P1基于访问地址S1和目标分享文件的身份认证信息R1生成目标分享文件的写入请求,并将写入请求发送至目标SE装置P3。
S204,目标SE装置P3响应写入请求,生成第一加密密钥K1和第一解密钥K2,并对写入请求进行写入授权验证。
在一些实施例中,S204具体包括:
S2041,目标SE装置P3将输入的授权验证信息与授权方授权验证信息进行匹配。其中,授权验证信息包括口令和/或生物特征信息。
S2042,若匹配成功,则目标SE装置P3验证写入请求被授予写入权限。
S2043,若匹配失败,则目标SE装置P3验证写入请求未被授予写入权限。
S205,目标SE装置P3若验证写入请求被授予写入权限,利用第一加密密钥K1加密目标分享文件的访问地址S1,得到第一密文M1。
S206,目标SE装置P3在自身内部的安全存储区域,对应存储目标分享文件的身份标识信息R1和第一密文M1。
S207,被分享端P2与目标SE装置P3之间建立第一近场通信链路。
S208,目标SE装置与被分享端互相验证彼此具备安全性。
在一些实施例中,S208具体包括S2081至S2089:
S2081,被分享端P2通过第一近场通信链路将第一随机数RR1发送至目标SE装置P3。
S2082,目标SE装置P3利用第二加密密钥K3对第一随机数RR1加密,得到第二密文MM2,并将第二密文MM2和自身生成第二随机数RR2通过第一近场通信链路发送至被分享端P2。
S2083,被分享端P2接收第二密文MM2和第二随机数RR2后,利用与第二加密密钥K3对应的第二解密密钥K4解密第二密文MM2,得到第二明文MW2。
S2084,被分享端P2验证第一随机数RR1与第二明文MW2是否匹配。
S2085,若匹配,则被分享端P2验证目标SE装置具备合法性,并利用第三加密密钥K5加密第二随机数RR2,得到第三密文MM3,并将第三密文MM3通过第一近场通信链路发送至目标SE装置P3。
S2086,目标SE装置P3接收由被分享端P2发送的第三密文MM3。
S2087,目标SE装置P3利用与第三加密密钥K5对应的第三解密密钥K6解密第三密文MM3,得到第三明文MW3。
S2088,目标SE装置P3验证第三明文MW3与第二随机数RR2是否匹配。
S2089,若匹配,目标SE装置P3验证被分享端P2具备合法性。
在一些实施例中,S2089之后,方法300还包括:目标SE装置P3向被分享端P2发送用以通知被分享端彼此具备安全性的通知信息。以供被分享端P2基于该通知消息继续执行步骤S209。
S209,被分享端P2将目标分享文件F1的读取请求通过第一近场通信链路发送至目标SE装置P3。
S210,目标SE装置P3响应该读取请求,确定目标分享文件F1对应的第一密文M1。
在一些实施例中,S210具体包括S2101至S2104:
S2101,目标SE装置P3通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端P2。
S2102,被分享端P2利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置P3的所有待分享文件,并在所有待分享文件中确定目标分享文件F1。
S2103,被分享端P2将包含目标分享文件F1的身份标识信息R1的读取请求通过第一近场通信链路发送至目标SE装置P3。
S2104,目标SE装置P3响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文M1。
S211,目标SE装置P3利用与第一加密密钥K1对应的第一解密密钥K2解密第一密文M1,得到目标分享文件的访问地址S1。
S212,目标SE装置P3对被分享端P2进行读取访问地址的授权验证。
在一些实施例中,S212具体包括S2121至S2123:
S2121,目标SE装置P3将输入的授权验证信息与授权方授权验证信息进行匹配。其中,授权验证信息包括口令和/或生物特征信息。
S2122,若匹配成功,则目标SE装置P3验证被分享端被授予读取的访问地址的权限。
S2123,若匹配失败,则目标SE装置P3验证被分享端未被授予读取访问地址的权限。
在一些实施例中,S212具体包括S2124和S2125:
S2124,目标SE装置P3验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配。
S2125,若匹配,则目标SE装置P3将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端P2被授予读取访问地址的权限。
S213,若验证被分享端P2被授予访问地址的读取权限,目标SE装置P3通过第一近场通信链路将访问地址S1发送至被分享端P2。
S214,被分享端P2根据访问地址S1访问目标分享文件F1。
S215,被分享端P2根据目标分享文件F1的辅助认证信息,验证目标分享文件F1的完整性。其中,目标分享文件F1的辅助认证信息是分享端P1基于目标分享文件F1生成的。
基于相同的发明构思,图5是示出根据本发明实施例的文件分享方法的示意流程图。本发明实施例各步骤的执行主体可以是目标SE装置。如图5所示,本实施例中的文件分享方法500可以包括以下步骤S506、S508至S511:
S506,建立与被分享端的第一近场通信链路。
S508,响应由被分享端通过第一近场通信链路发送的目标分享文件的读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;
S509,利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;
S510,对被分享端进行读取访问地址的授权验证;
S511,若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端,以供被分享端根据访问地址访问目标分享文件。
其中,本发明实施例步骤S506、S508至S511的相关描述和有益效果可对应参见本发明上述实施例中S207、S209至S214的相关描述和有益效果,对此不再赘述。
在本发明的一些实施例中,S510,具体包括S5101至S5103:
S5101,将输入的授权验证信息与授权方授权验证信息进行匹配;S5102,若匹配成功,则验证被分享端被授予读取的访问地址的权限;S5103,若匹配失败,则验证被分享端未被授予读取访问地址的权限;其中,授权验证信息包括口令和/或生物特征信息。
其中,S5101至S5103的相关描述可参见本发明上述实施例中S2121至S2123的相关描述,对此不再赘述。
在本发明的一些实施例中,若授权验证包括多级授权验证,则S510,具体包括S5104和S5105:
S5104,验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;S5105,若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
其中,S5104和S5105的相关描述可参见本发明上述实施例中S2124和S2125的相关描述,对此不再赘述。
在本发明的一些实施例中,文件分享方法500还包括S501至S505:
S501,与分享端建立第二近场通信链路;S502,通过第二近场通信链路,接收由分享端发送的目标分享文件的写入请求,并响应写入请求生成第一加密密钥和第一解密钥,写入请求包括目标分享文件的身份标识信息和目标分享文件的访问地址;S503,对写入请求进行写入授权验证;S504,若验证写入请求被授予写入权限,利用第一加密密钥加密目标分享文件的访问地址,得到第一密文;S505,在目标SE装置内部的安全存储区域,对应存储目标分享文件的身份标识信息和第一密文。
其中,S501至S505的相关描述可参见本发明上述实施例中S201至S206的相关描述,对此不再赘述。
在一些实施例中,S503,具体包括S5031至S5033:
S5031,将输入的授权验证信息与预置的授权方授权验证信息进行匹配,其中,授权验证信息包括口令和/或生物特征信息;S5032,若匹配成功,则验证写入请求被授予写入权限;S5033,若匹配失败,则验证写入请求未被授予写入权限。
其中,S5031至S5033的相关描述可参见本发明上述实施例中S2041至S2043的相关描述,对此不再赘述。
在本发明一些实施例中,S506之后,方法还包括:
S507,与被分享端互相验证彼此具备安全性。
在一些实施例中,S507,具体包括S5071至S5076:
S5071,通过第一近场通信链路接收由被分享端发送的第一随机数;S5072,利用第二加密密钥对第一随机数加密,得到第二密文,并将第二密文和自身生成的第二随机数发送至被分享端,以供被分享端利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文,若第一随机数与第二明文相匹配,则被分享端验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文,并通过第一近场通信链路将第三密文发送至目标SE装置;S5073,接收由被分享端发送的第三密文;S5074,利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文;S5075,验证第三明文与第二随机数是否匹配;S5076,若匹配,验证被分享端具备合法性。
其中,S507的相关描述可参见本发明上述实施例中S208的相关描述,对此不再赘述。S5071至S5076的相关描述可参见本发明上述实施例中对S2081至S2089,对此不再赘述。
在本发明的一些实施例中,S508,具体包括S5081和S5082:
S5081,通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端,以供被分享端利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件,进而将包含目标分享文件的身份标识信息的读取请求通过第一近场通信链路发送至目标SE装置;S5082,响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文。
其中,S5081和S5082的相关描述可参见本发明上述实施例中S2101至S2104的相关描述,对此不再赘述。
基于相同的发明构思,图6是示出根据本发明实施例的文件分享方法的示意流程图。本发明实施例各步骤的执行主体可以是被分享端。如图6所示,本实施例中的文件分享方法600可以包括以下步骤S601至S604:
S601,建立与目标SE装置的第一近场通信链路;
S603,通过第一近场通信链路,将目标分享文件的读取请求发送至目标SE装置;
S604,接收由目标SE装置发送的目标分享文件的访问地址;
S605,根据访问地址访问目标分享文件。
其中,本发明实施例步骤S601、S603至S605的相关描述和有益效果可对应参见本发明上述实施例中S207、S209至S214的相关描述和有益效果,对此不再赘述。
在本发明的一些实施例中,S601之后,方法还包括:
S602,与目标SE装置互相验证彼此具备安全性。
在本发明的一些实施例中,S602,具体包括S6021至S6025:
S6021,通过第一近场通信链路将第一随机数发送至目标SE装置,以供目标SE装置利用第二加密密钥对第一随机数,得到第二密文,并将第二密文和自身生成第二随机数通过第一近场通信链路发送至被分享端;
S6022,接收第二密文和第二随机数,利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文;
S6023,验证第一随机数与第二明文是否匹配;
S6024,若匹配,则验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文;
S6025,将第三密文通过第一近场通信链路发送至目标SE装置,以供目标SE装置接收由被分享端发送的第三密文,利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文,并验证第三明文与第二随机数匹配,验证被分享端具备合法性。
其中,S602的相关描述可参见本发明上述实施例中S208的相关描述,对此不再赘述。S6021至S6025的相关描述可参见本发明上述实施例中对S2081至S2089,对此不再赘述。
在本发明的一些实施例中,方法600还包括S606至S608:
S606,接收由目标SE装置通过第一近场通信链路发送的目标SE装置的身份认证信息;S607,利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件;S608,基于目标分享文件的身份标识信息,生成目标分享文件的读取请求。其中,S606至S608的相关描述可参见本发明上述实施例中S2101至S2104的相关描述,对此不再赘述。
在一些实施例中,SE装置与待分享文件的隶属关系是分享端将目标分享文件存储到共享存储区域后建立的。
在本发明的一些实施例中,方法600还包括:
S609,根据目标分享文件的辅助认证信息,验证目标分享文件的完整性,目标分享文件的辅助认证信息是分享端基于目标分享文件生成的。其中,S602的相关描述可参见本发明上述实施例中S215的相关描述,对此不再赘述。
基于相同的发明构思,本发明实施例提供了一种文件分享系统。图7示出了根据本发明实施例提供的文件分享系统的结构示意图。如图7所示,文件分享系统700包括被分享端P2和目标SE装置P3。
其中,被分享端P2,用于与目标SE装置P3之间建立第一近场通信链路;以及,将目标分享文件的读取请求通过第一近场通信链路发送至目标SE装置P3;以及,根据访问地址访问目标分享文件。
其中,目标SE装置P3,用于响应读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;以及,利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;以及,对被分享端P2进行读取访问地址的授权验证;以及,若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端P2。
在本发明一些实施例中,目标SE装置P3具体用于:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证被分享端被授予读取的访问地址的权限;若匹配失败,则验证被分享端未被授予读取访问地址的权限;其中,授权验证信息包括口令和/或生物特征信息。
在本发明一些实施例中,若授权验证包括多级授权验证,则目标SE装置P3具体用于:验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
在本发明一些实施例中,文件分享系统700还包括分享端P1。相应地,
分享端P1,用于与目标SE装置之间建立第二近场通信链路;以及,还用于将目标分享文件存储至共享存储区域,提取目标分享文件的访问地址,生成目标分享文件的身份认证信息;以及,还用于基于访问地址和目标分享文件的身份认证信息生成目标分享文件的写入请求,并将写入请求发送至目标SE装置P3。
目标SE装置P3,还用于响应写入请求,生成第一加密密钥和第一解密钥,并对写入请求进行写入授权验证;以及,还用于若验证写入请求被授予写入权限,利用第一加密密钥加密目标分享文件的访问地址,得到第一密文;以及,还用于在自身内部的安全存储区域,对应存储目标分享文件的身份标识信息和第一密文。
在一些实施例中,目标SE装置P3,具体用于:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证写入请求被授予写入权限;若匹配失败,则验证写入请求未被授予写入权限;其中,授权验证信息包括口令和/或生物特征信息。
在本发明一些实施例中,目标SE装置P3与被分享端P2还用于,互相验证彼此具备安全性。
在一些实施例中,被分享端P2具体用于,通过第一近场通信链路将第一随机数发送至目标SE装置;接收第二密文和第二随机数后,利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文;以及,还具体用于,验证第一随机数与第二明文是否匹配;以及,还具体用于,若匹配,则验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文,并将第三密文通过第一近场通信链路发送至目标SE装置。
目标SE装置P3具体用于,利用第二加密密钥对第一随机数加密,得到第二密文,并将第二密文和自身生成第二随机数通过第一近场通信链路发送至被分享端;以及,还具体用于,接收由被分享端发送的第三密文;以及,还具体用于,利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文;以及,还具体用于,验证第三明文与第二随机数是否匹配;以及,还具体用于,若匹配,验证被分享端具备合法性。
在本发明的一些实施例中,目标SE装置P3具体用于:通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端;以及,还具体用于,响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文。
被分享端P2,具体用于利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件;以及,还具体用于,将包含目标分享文件的身份标识信息的读取请求通过第一近场通信链路发送至目标SE装置。
在本发明的一些实施例中,SE装置与待分享文件的隶属关系是分享端将目标分享文件存储到共享存储区域后建立的。
在本发明的一些实施例中,被分享端P2还用于,根据目标分享文件的辅助认证信息,验证目标分享文件的完整性,目标分享文件的辅助认证信息是分享端基于目标分享文件生成的。
根据本发明实施例的文件分享系统的其他细节与以上结合图2和图4描述的根据本发明实施例的文件分享方法类似,在此不再赘述。
基于相同的发明构思,本发明实施例提供了一种目标SE装置,图8示出了根据本发明实施例提供的目标SE装置的结构示意图。如图8所示,目标SE装置P3包括:链路建立模块P301、密文确定模块P302、地址获取模块P303、授权验证模块P304和地址发送模块P305。
其中,链路建立模块P301,用于建立与被分享端的第一近场通信链路;密文确定模块P302,用于响应由被分享端通过第一近场通信链路发送的目标分享文件的读取请求,确定目标分享文件对应的第一密文,第一密文是由目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,访问地址是由分享端发送至目标SE装置的;地址获取模块P303,用于利用与第一加密密钥对应的第一解密密钥解密第一密文,得到目标分享文件的访问地址;授权验证模块P304,用于对被分享端进行读取访问地址的授权验证;地址发送模块P305,用于若验证被分享端被授予访问地址的读取权限,通过第一近场通信链路将访问地址发送至被分享端,以供被分享端根据访问地址访问目标分享文件。
在本发明的一些实施例中,授权验证模块P304,具体用于:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证被分享端被授予读取的访问地址的权限;若匹配失败,则验证被分享端未被授予读取访问地址的权限;其中,授权验证信息包括口令和/或生物特征信息。
在本发明的一些实施例中,若授权验证包括多级授权验证,则授权验证模块P304,具体用于:验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
在本发明的一些实施例中,目标SE装置P3还包括链路建立模块P306、密钥生成模块P307、授权验证模块P308、密文获取模块P309和存储处理模块P310。
其中,链路建立模块P306,用于与分享端建立第二近场通信链路;密钥生成模块P307,用于通过第二近场通信链路,接收由分享端发送的目标分享文件的写入请求,并响应写入请求生成第一加密密钥和第一解密钥,写入请求包括目标分享文件的身份标识信息和目标分享文件的访问地址;授权验证模块P308,用于对写入请求进行写入授权验证;密文获取模块P309,用于若验证写入请求被授予写入权限,利用第一加密密钥加密目标分享文件的访问地址,得到第一密文;存储处理模块P310,用于在目标SE装置内部的安全存储区域,对应存储目标分享文件的身份标识信息和第一密文。
在一些实施例中,授权验证模块P308,具体用于:将输入的授权验证信息与授权方授权验证信息进行匹配;若匹配成功,则验证写入请求被授予写入权限;若匹配失败,则验证写入请求未被授予写入权限;其中,授权验证信息包括口令和/或生物特征信息。
在本发明的一些实施例中,目标SE装置P3还包括安全校验模块P311。
安全校验模块P311用于,与被分享端互相验证彼此具备安全性。
在一些实施例中,安全校验模块P311具体用于:通过第一近场通信链路接收由被分享端发送的第一随机数;利用第二加密密钥对第一随机数加密,得到第二密文,并将第二密文和自身生成的第二随机数发送至被分享端,以供被分享端利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文,若第一随机数与第二明文相匹配,则被分享端验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文,并通过第一近场通信链路将第三密文发送至目标SE装置;接收由被分享端发送的第三密文;利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文;验证第三明文与第二随机数是否匹配;若匹配,验证被分享端具备合法性。
在本发明的一些实施例中,密文确定模块P302,具体用于:通过第一近场通信链路,将目标SE装置的身份认证信息发送至被分享端,以供被分享端利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件,进而将包含目标分享文件的身份标识信息的读取请求通过第一近场通信链路发送至目标SE装置;响应于读取请求,从存储于目标SE装置内的第一密文集群中提取出于目标分享文件对应的第一密文。
根据本发明实施例的文件分享系统的其他细节与以上结合图5描述的根据本发明实施例的文件分享方法类似,在此不再赘述。
基于相同的发明构思,本发明实施例提供了一种被分享端。图9示出了根据本发明实施例提供的被分享端的结构示意图。如图9所示,被分享端P2包括链路建立模块P201、请求发送模块P202、地址接收模块P203和文件访问模块P204。
链路建立模块P201,用于建立与目标SE装置的第一近场通信链路;请求发送模块P202,用于通过第一近场通信链路,将目标分享文件的读取请求发送至目标SE装置;地址接收模块P203,用于接收由目标SE装置发送的目标分享文件的访问地址;文件访问模块P204,用于根据访问地址,在由分享端与被分享端所共享的共享存储区域内,访问目标分享文件。
在本发明的一些实施例中,被分享端P2还包括:安全校验模块P205,用于与目标SE装置互相验证彼此具备安全性。
在一些实施例中,安全校验模块P205,具体用于:通过第一近场通信链路将第一随机数发送至目标SE装置,以供目标SE装置利用第二加密密钥对第一随机数,得到第二密文,并将第二密文和自身生成第二随机数通过第一近场通信链路发送至被分享端;接收第二密文和第二随机数,利用与第二加密密钥对应的第二解密密钥解密第二密文,得到第二明文;验证第一随机数与第二明文是否匹配;若匹配,则验证目标SE装置具备合法性,并利用第三加密密钥加密第二随机数,得到第三密文;将第三密文通过第一近场通信链路发送至目标SE装置,以供目标SE装置接收由被分享端发送的第三密文,利用与第三加密密钥对应的第三解密密钥解密第三密文,得到第三明文,并验证第三明文与第二随机数匹配,验证被分享端具备合法性。
在本发明的一些实施例中,被分享端P2还包括:信息接收模块P206,用于接收由目标SE装置通过第一近场通信链路发送的目标SE装置的身份认证信息;文件确定模块P207,用于利用目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于目标SE装置的所有待分享文件,并在所有待分享文件中确定目标分享文件;请求生成模块P208,用于基于目标分享文件的身份标识信息,生成目标分享文件的读取请求。
在一些实施例中,SE装置与待分享文件的隶属关系是分享端将目标分享文件存储到共享存储区域后建立的。
在本发明的一些实施例中,被分享端P2还包括:文件验证模块P209,用于根据目标分享文件的辅助认证信息,验证目标分享文件的完整性,目标分享文件的辅助认证信息是分享端基于目标分享文件生成的。
根据本发明实施例的文件分享系统的其他细节与以上结合图6描述的根据本发明实施例的文件分享方法类似,在此不再赘述。
图10是本发明实施例中文件分享设备的示例性硬件架构的结构图。
如图10所示,文件分享设备1000包括输入设备1001、输入接口1002、中央处理器1003、存储器1004、输出接口1005、以及输出设备1006。其中,输入接口1002、中央处理器1003、存储器1004、以及输出接口1005通过总线1010相互连接,输入设备1001和输出设备1006分别通过输入接口1002和输出接口1005与总线1010连接,进而与文件分享设备1000的其他组件连接。
具体地,输入设备1001接收来自外部的输入信息,并通过输入接口1002将输入信息传送到中央处理器1003;中央处理器1003基于存储器1004中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器1004中,然后通过输出接口1005将输出信息传送到输出设备1006;输出设备1006将输出信息输出到文件分享设备1000的外部供用户使用。
也就是说,图10所示的文件分享设备也可以被实现为包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1至图9描述的文件分享设备的方法和装置。
在一个实施例中,图10所示的文件分享设备1000可以被实现为一种设备,该设备可以包括:存储器,用于存储程序;处理器,用于运行存储器中存储的程序,以执行本发明实施例的文件分享方法。
本发明实施例还提供了一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现本发明实施例的文件分享方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
Claims (27)
1.一种文件分享方法,其特征在于,应用于目标安全SE装置,所述方法包括:
建立与被分享端的第一近场通信链路;
响应由所述被分享端通过所述第一近场通信链路发送的目标分享文件的读取请求,确定所述目标分享文件对应的第一密文,所述第一密文是由所述目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,所述访问地址是由分享端发送至所述目标SE装置的;
利用与所述第一加密密钥对应的第一解密密钥解密所述第一密文,得到所述目标分享文件的访问地址;
对所述被分享端进行读取所述访问地址的授权验证;
若验证所述被分享端被授予所述访问地址的读取权限,通过所述第一近场通信链路将所述访问地址发送至被分享端,以供所述被分享端根据所述访问地址访问目标分享文件;
若所述授权验证包括多级授权验证,则所述对所述被分享端进行读取所述访问地址的授权验证,具体包括:
验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;
若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认所述被分享端被授予读取所述访问地址的权限。
2.根据权利要求1所述的方法,其特征在于,所述对所述被分享端进行读取所述访问地址的授权验证,具体包括:
将输入的授权验证信息与授权方授权验证信息进行匹配;
若匹配成功,则验证所述被分享端被授予读取所述的访问地址的权限;
若匹配失败,则验证所述被分享端未被授予读取所述访问地址的权限;
其中,所述授权验证信息包括口令和/或生物特征信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
与分享端建立第二近场通信链路;
通过所述第二近场通信链路,接收由所述分享端发送的所述目标分享文件的写入请求,并响应所述写入请求生成所述第一加密密钥和所述第一解密钥,所述写入请求包括所述目标分享文件的身份标识信息和所述目标分享文件的访问地址;
对所述写入请求进行写入授权验证;
若验证所述写入请求被授予写入权限,利用所述第一加密密钥加密所述目标分享文件的访问地址,得到所述第一密文;
在所述目标SE装置内部的安全存储区域,对应存储所述目标分享文件的身份标识信息和所述第一密文。
4.根据权利要求3所述的方法,其特征在于,所述对所述写入请求进行写入授权验证,具体包括:
将输入的授权验证信息与授权方授权验证信息进行匹配;
若匹配成功,则验证所述写入请求被授予写入权限;
若匹配失败,则验证所述写入请求未被授予写入权限;
其中,所述授权验证信息包括口令和/或生物特征信息。
5.根据权利要求1所述的方法,其特征在于,所述建立与被分享端的第一近场通信链路之后,所述方法还包括:
与所述被分享端互相验证彼此具备安全性。
6.根据权利要求5所述的方法,其特征在于,所述与所述被分享端互相验明彼此具备安全性,具体包括:
通过所述第一近场通信链路接收由所述被分享端发送的第一随机数;
利用第二加密密钥对所述第一随机数加密,得到第二密文,并将所述第二密文和自身生成的第二随机数发送至被分享端,以供所述被分享端利用与所述第二加密密钥对应的第二解密密钥解密所述第二密文,得到第二明文,若所述第一随机数与所述第二明文相匹配,则被分享端验证所述目标SE装置具备合法性,并利用第三加密密钥加密所述第二随机数,得到第三密文,并通过所述第一近场通信链路将所述第三密文发送至所述目标SE装置;
接收由所述被分享端发送的第三密文;
利用与所述第三加密密钥对应的第三解密密钥解密所述第三密文,得到第三明文;
验证所述第三明文与所述第二随机数是否匹配;
若匹配,验证所述被分享端具备合法性。
7.根据权利要求1所述的方法,其特征在于,所述响应由所述被分享端通过所述第一近场通信链路发送的目标分享文件的读取请求,确定所述目标分享文件对应的第一密文,具体包括:
通过所述第一近场通信链路,将所述目标SE装置的身份认证信息发送至所述被分享端,以供所述被分享端利用所述目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于所述目标SE装置的所有待分享文件,并在所述所有待分享文件中确定目标分享文件,进而将包含目标分享文件的身份标识信息的所述读取请求通过所述第一近场通信链路发送至所述目标SE装置;
响应于所述读取请求,从存储于所述目标SE装置内的第一密文集群中提取出于所述目标分享文件对应的第一密文。
8.一种文件分享方法,其特征在于,应用于被分享端,所述方法包括:
建立与目标SE装置的第一近场通信链路;
通过所述第一近场通信链路,将目标分享文件的读取请求发送至所述目标SE装置;
在确认被授予访问地址的读取权限的情况下,接收由所述目标SE装置发送的所述目标分享文件的访问地址,其中,所述读取权限是所述目标SE装置在授权验证包括多级授权验证,且所述授权验证匹配的情况下被授予的,所述授权验证具体包括:验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配,若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被授予读取所述访问地址的权限;
根据所述访问地址访问目标分享文件。
9.根据权利要求8所述的方法,其特征在于,所述建立与目标SE装置的第一近场通信链路之后,所述方法还包括:
与所述目标SE装置互相验证彼此具备安全性。
10.根据权利要求9所述的方法,其特征在于,所述与所述目标SE装置互相验证彼此具备安全性,具体包括:
通过所述第一近场通信链路将第一随机数发送至所述目标SE装置,以供所述目标SE装置利用第二加密密钥对所述第一随机数,得到第二密文,并将所述第二密文和自身生成第二随机数通过所述第一近场通信链路发送至被分享端;
接收所述第二密文和所述第二随机数,利用与所述第二加密密钥对应的第二解密密钥解密所述第二密文,得到第二明文;
验证所述第一随机数与所述第二明文是否匹配;
若匹配,则验证所述目标SE装置具备合法性,并利用第三加密密钥加密所述第二随机数,得到第三密文;
将所述第三密文通过所述第一近场通信链路发送至所述目标SE装置,以供所述目标SE装置接收由所述被分享端发送的第三密文,利用与所述第三加密密钥对应的第三解密密钥解密所述第三密文,得到第三明文,并验证所述第三明文与所述第二随机数匹配,验证所述被分享端具备合法性。
11.根据权利要求8所述的方法,其特征在于,所述方法还包括:
接收由所述目标SE装置通过所述第一近场通信链路发送的所述目标SE装置的身份认证信息;
利用所述目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于所述目标SE装置的所有待分享文件,并在所述所有待分享文件中确定目标分享文件;
基于目标分享文件的身份标识信息,生成目标分享文件的读取请求。
12.根据权利要求11所述的方法,其特征在于,所述SE装置与待分享文件的隶属关系是所述分享端将所述目标分享文件存储到共享存储区域后建立的。
13.根据权利要求8所述的方法,其特征在于,所述方法还包括:
根据目标分享文件的辅助认证信息,验证所述目标分享文件的完整性,所述目标分享文件的辅助认证信息是所述分享端基于所述目标分享文件生成的。
14.一种文件分享方法,其特征在于,所述方法包括:
被分享端与目标SE装置之间建立第一近场通信链路;
所述被分享端将目标分享文件的读取请求通过所述第一近场通信链路发送至所述目标SE装置;
所述目标SE装置响应所述读取请求,确定所述目标分享文件对应的第一密文,所述第一密文是由所述目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,所述访问地址是由分享端发送至所述目标SE装置的;
所述目标SE装置利用与所述第一加密密钥对应的第一解密密钥解密所述第一密文,得到所述目标分享文件的访问地址;
所述目标SE装置对所述被分享端进行读取所述访问地址的授权验证;
若验证所述被分享端被授予所述访问地址的读取权限,所述目标SE装置通过所述第一近场通信链路将所述访问地址发送至所述被分享端;
所述被分享端根据所述访问地址访问目标分享文件;
若所述授权验证包括多级授权验证,则所述目标SE装置对所述被分享端进行读取所述访问地址的授权验证,具体包括:
所述目标SE装置验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;
若匹配,则所述目标SE装置将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认所述被分享端被授予读取所述访问地址的权限。
15.根据权利要求14所述的方法,其特征在于,所述目标SE装置对所述被分享端进行读取所述访问地址的授权验证,具体包括:
所述目标SE装置将输入的授权验证信息与授权方授权验证信息进行匹配;
若匹配成功,则所述目标SE装置验证所述被分享端被授予读取所述的访问地址的权限;
若匹配失败,则所述目标SE装置验证所述被分享端未被授予读取所述访问地址的权限;
其中,所述授权验证信息包括口令和/或生物特征信息。
16.根据权利要求14所述的方法,其特征在于,所述方法还包括:
分享端与目标SE装置之间建立第二近场通信链路;
所述分享端将所述目标分享文件存储至共享存储区域,提取目标分享文件的访问地址,生成所述目标分享文件的身份认证信息;
所述分享端基于所述访问地址和所述目标分享文件的身份认证信息生成所述目标分享文件的写入请求,并将所述写入请求发送至所述目标SE装置;
所述目标SE装置响应所述写入请求,生成所述第一加密密钥和所述第一解密钥,并对所述写入请求进行写入授权验证;
所述目标SE装置若验证所述写入请求被授予写入权限,利用所述第一加密密钥加密所述目标分享文件的访问地址,得到所述第一密文;
所述目标SE装置在自身内部的安全存储区域,对应存储所述目标分享文件的身份标识信息和所述第一密文。
17.根据权利要求16所述的方法,其特征在于,所述对所述写入请求进行写入授权验证,具体包括:
将输入的授权验证信息与授权方授权验证信息进行匹配;
若匹配成功,则验证所述写入请求被授予写入权限;
若匹配失败,则验证所述写入请求未被授予写入权限;
其中,所述授权验证信息包括口令和/或生物特征信息。
18.根据权利要求14所述的方法,其特征在于,所述建立被分享端与目标SE装置之间的第一近场通信链路之后,所述方法还包括:
所述目标SE装置与所述被分享端互相验证彼此具备安全性。
19.根据权利要求18所述的方法,其特征在于,所述SE装置与所述被分享端互相验证彼此具备安全性,具体包括:
所述被分享端通过所述第一近场通信链路将第一随机数发送至所述目标SE装置;
所述目标SE装置利用第二加密密钥对所述第一随机数加密,得到第二密文,并将所述第二密文和自身生成第二随机数通过所述第一近场通信链路发送至被分享端;
所述被分享端接收所述第二密文和所述第二随机数后,利用与所述第二加密密钥对应的第二解密密钥解密所述第二密文,得到第二明文;
所述被分享端验证所述第一随机数与所述第二明文是否匹配;
若匹配,则所述被分享端验证所述目标SE装置具备合法性,并利用第三加密密钥加密所述第二随机数,得到第三密文,并将所述第三密文通过所述第一近场通信链路发送至所述目标SE装置;
所述目标SE装置接收由所述被分享端发送的第三密文;
所述目标SE装置利用与所述第三加密密钥对应的第三解密密钥解密所述第三密文,得到第三明文;
所述目标SE装置验证所述第三明文与所述第二随机数是否匹配;
若匹配,所述目标SE装置验证所述被分享端具备合法性。
20.根据权利要求14所述的方法,其特征在于,所述目标SE装置响应所述读取请求,确定所述目标分享文件对应的第一密文,具体包括:
所述目标SE装置通过所述第一近场通信链路,将所述目标SE装置的身份认证信息发送至所述被分享端;
所述被分享端利用所述目标SE装置的身份认证信息,在SE装置与待分享文件的隶属关系中确定隶属于所述目标SE装置的所有待分享文件,并在所述所有待分享文件中确定目标分享文件;
所述被分享端将包含目标分享文件的身份标识信息的读取请求通过所述第一近场通信链路发送至所述目标SE装置;
所述目标SE装置响应于所述读取请求,从存储于所述目标SE装置内的第一密文集群中提取出于所述目标分享文件对应的第一密文。
21.根据权利要求20所述的方法,其特征在于,所述SE装置与待分享文件的隶属关系是所述分享端将所述目标分享文件存储到共享存储区域后建立的。
22.根据权利要求14所述的方法,其特征在于,所述方法还包括:
所述被分享端根据目标分享文件的辅助认证信息,验证所述目标分享文件的完整性,所述目标分享文件的辅助认证信息是所述分享端基于所述目标分享文件生成的。
23.一种目标SE装置,其特征在于,所述装置包括:
链路建立模块,用于建立与被分享端的第一近场通信链路;
密文确定模块,用于响应由所述被分享端通过所述第一近场通信链路发送的目标分享文件的读取请求,确定所述目标分享文件对应的第一密文,所述第一密文是由所述目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,所述访问地址是由分享端发送至所述目标SE装置的;
地址获取模块,用于利用与所述第一加密密钥对应的第一解密密钥解密所述第一密文,得到所述目标分享文件的访问地址;
授权验证模块,用于对所述被分享端进行读取所述访问地址的授权验证;
地址发送模块,用于若验证所述被分享端被授予所述访问地址的读取权限,通过所述第一近场通信链路将所述访问地址发送至被分享端,以供所述被分享端根据所述访问地址访问目标分享文件;
若授权验证包括多级授权验证,则所述授权验证模块具体用于:验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被分享端被授予读取访问地址的权限。
24.一种被分享端,其特征在于,所述被分享端包括:
链路建立模块,用于建立与目标SE装置的第一近场通信链路;
请求发送模块,用于通过所述第一近场通信链路,将目标分享文件的读取请求发送至所述目标SE装置;
地址接收模块,用于在确认被授予访问地址的读取权限的情况下,接收由所述目标SE装置发送的所述目标分享文件的访问地址,其中,所述读取权限是所述目标SE装置在授权验证包括多级授权验证,且所述授权验证匹配的情况下被授予的,所述授权验证具体包括:验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配,若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认被授予读取所述访问地址的权限;
文件访问模块,用于根据所述访问地址,在由所述分享端与所述被分享端所共享的共享存储区域内,访问目标分享文件。
25.一种文件分享系统,其特征在于,所述系统包括:
被分享端,用于与目标SE装置之间建立第一近场通信链路;以及,将目标分享文件的读取请求通过所述第一近场通信链路发送至所述目标SE装置;以及,根据访问地址访问目标分享文件;
所述目标SE装置,用于响应所述读取请求,确定所述目标分享文件对应的第一密文,所述第一密文是由所述目标SE装置利用第一加密密钥对目标分享文件的访问地址加密后得到的,所述访问地址是由分享端发送至所述目标SE装置的;以及,利用与所述第一加密密钥对应的第一解密密钥解密所述第一密文,得到所述目标分享文件的访问地址;以及,对所述被分享端进行读取所述访问地址的授权验证;以及,若验证所述被分享端被授予所述访问地址的读取权限,通过所述第一近场通信链路将所述访问地址发送至所述被分享端;
其中,若所述授权验证包括多级授权验证,则所述对所述被分享端进行读取所述访问地址的授权验证,具体包括:
验证输入的授权验证信息与当前授权等级对应的授权方授权验证信息是否匹配;
若匹配,则将当前授权等级的下一授权等级作为新的当前授权等级,并验证输入的授权验证信息与新的当前授权等级对应的授权方授权验证信息是否匹配,直到当前授权等级为最低授权等级,确认所述被分享端被授予读取所述访问地址的权限。
26.一种文件分享设备,其特征在于,所述设备包括:
存储器,用于存储程序;
处理器,用于运行所述存储器中存储的所述程序,以执行权利要求1-7任一权利要求、8-13任一权利要求或者14-22任一权利要求所述的文件分享方法。
27.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现权利要求1-7任一权利要求、8-13任一权利要求或者14-22任一权利要求所述的文件分享方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910629208.2A CN110460581B (zh) | 2019-07-12 | 2019-07-12 | 文件分享方法、系统、设备、se装置、被分享端和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910629208.2A CN110460581B (zh) | 2019-07-12 | 2019-07-12 | 文件分享方法、系统、设备、se装置、被分享端和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110460581A CN110460581A (zh) | 2019-11-15 |
| CN110460581B true CN110460581B (zh) | 2021-09-28 |
Family
ID=68482793
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910629208.2A Active CN110460581B (zh) | 2019-07-12 | 2019-07-12 | 文件分享方法、系统、设备、se装置、被分享端和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110460581B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019135268A1 (de) * | 2019-12-19 | 2021-06-24 | Endress+Hauser Process Solutions Ag | Übertragung von Sicherheitseinstellungen zwischen einem ersten und einem zweiten Feldgerät der Automatisierungstechnik |
| CN111063070B (zh) * | 2019-12-26 | 2021-07-09 | 捷德(中国)科技有限公司 | 数字钥匙的共享方法、验证方法、及设备 |
| CN111460503B (zh) * | 2020-04-01 | 2024-03-12 | 得到(天津)文化传播有限公司 | 数据分享方法、装置、设备和存储介质 |
| CN113867818B (zh) * | 2021-09-28 | 2024-04-16 | 潍柴动力股份有限公司 | 一种ini文件的生成方法、装置、计算机设备及介质 |
| CN114461580A (zh) * | 2021-12-23 | 2022-05-10 | 北京达佳互联信息技术有限公司 | 一种在线文档的共享方法、装置、电子设备及存储介质 |
| CN116522371A (zh) * | 2022-01-21 | 2023-08-01 | 戴尔产品有限公司 | 用于处理访问权限的方法、电子设备和计算机程序产品 |
| CN114666140B (zh) * | 2022-03-25 | 2024-03-19 | 金蝶软件(中国)有限公司 | 一种访问表单的方法、装置、计算机设备以及介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120639A (zh) * | 2018-09-26 | 2019-01-01 | 众安信息技术服务有限公司 | 一种基于区块链的数据云存储加密方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7762470B2 (en) * | 2003-11-17 | 2010-07-27 | Dpd Patent Trust Ltd. | RFID token with multiple interface controller |
| US20080256627A1 (en) * | 2007-04-13 | 2008-10-16 | Heikki Kokkinen | Copyrights with post-payments for p2p file sharing |
| CN104200176A (zh) * | 2014-08-28 | 2014-12-10 | 电子科技大学 | 对智能移动终端中文件进行透明加解密的系统及方法 |
| CN106022157A (zh) * | 2015-05-04 | 2016-10-12 | 深圳市魔力信息技术有限公司 | 一种云端和本地安全存储方法和装置 |
| CN109639819B (zh) * | 2018-12-28 | 2022-01-14 | 腾讯科技(深圳)有限公司 | 文件传输方法、客户端、服务器及系统 |
-
2019
- 2019-07-12 CN CN201910629208.2A patent/CN110460581B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109120639A (zh) * | 2018-09-26 | 2019-01-01 | 众安信息技术服务有限公司 | 一种基于区块链的数据云存储加密方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| "智能手机上视频共享系统的研究与实现";梁家伟;《中国优秀博硕士学位论文全文数据库(硕士)》;20180315;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110460581A (zh) | 2019-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110460581B (zh) | 文件分享方法、系统、设备、se装置、被分享端和介质 | |
| KR101508360B1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| KR20190031989A (ko) | 블록체인 기반의 전자 계약 처리 시스템 및 방법 | |
| CN111034120B (zh) | 基于身份信息的加密密钥管理 | |
| CN112953707A (zh) | 密钥加密方法、解密方法及数据加密方法、解密方法 | |
| EP3304258B1 (en) | Authenticating stylus device | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN104144049A (zh) | 一种加密通信方法、系统和装置 | |
| KR101793409B1 (ko) | Qr코드를 이용한 데이터 암호화 및 복호화 방법 | |
| US20200145389A1 (en) | Controlling Access to Data | |
| WO2017181518A1 (zh) | 一种加密通讯的方法及装置、系统 | |
| WO2014051558A1 (en) | Shared secret identification for secure communication | |
| CN114900304A (zh) | 数字签名方法和装置、电子设备和计算机可读存储介质 | |
| CN111917536A (zh) | 身份认证密钥的生成方法、身份认证的方法、装置及系统 | |
| CN109347923A (zh) | 基于非对称密钥池的抗量子计算云存储方法和系统 | |
| KR101379711B1 (ko) | 전화번호를 이용한 파일 암호화 및 복호화 방법 | |
| CN113422679A (zh) | 密钥生成方法、装置和系统、加密方法、电子设备以及计算机可读存储介质 | |
| CN110431803B (zh) | 基于身份信息管理加密密钥 | |
| US9292992B2 (en) | Simplified smartcard personalization method, and corresponding device | |
| KR101745482B1 (ko) | 스마트홈 시스템에서의 통신 방법 및 그 장치 | |
| KR20140033824A (ko) | 스마트 디바이스에서 해쉬값 기반 대칭키 암호화 시스템 및 방법 | |
| Jeun et al. | Enhanced password-based user authentication using smart phone | |
| CN114462088A (zh) | 用于对共享数据进行去标识的方法及装置 | |
| CN114978783B (zh) | 零知识身份验证方法、验证客户端、用户客户端及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 330096 No. 399 torch street, hi tech Development Zone, Jiangxi, Nanchang Applicant after: Jiede (China) Technology Co.,Ltd. Address before: 330096 No. 399 torch street, hi tech Development Zone, Jiangxi, Nanchang Applicant before: Jiede (China) Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |