CN110474873B - 一种基于知悉范围加密的电子文件访问控制方法和系统 - Google Patents

一种基于知悉范围加密的电子文件访问控制方法和系统 Download PDF

Info

Publication number
CN110474873B
CN110474873B CN201910614818.5A CN201910614818A CN110474873B CN 110474873 B CN110474873 B CN 110474873B CN 201910614818 A CN201910614818 A CN 201910614818A CN 110474873 B CN110474873 B CN 110474873B
Authority
CN
China
Prior art keywords
electronic file
key
user
encryption
knowledge range
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910614818.5A
Other languages
English (en)
Other versions
CN110474873A (zh
Inventor
王秋华
吴国华
任一支
王震
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dianzi University
Original Assignee
Hangzhou Dianzi University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dianzi University filed Critical Hangzhou Dianzi University
Priority to CN201910614818.5A priority Critical patent/CN110474873B/zh
Publication of CN110474873A publication Critical patent/CN110474873A/zh
Application granted granted Critical
Publication of CN110474873B publication Critical patent/CN110474873B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3026Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to polynomials generation, e.g. generation of irreducible polynomials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Document Processing Apparatus (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种基于知悉范围加密的电子文件访问控制方法和系统。本发明方法包括根据知悉范围加密电子文件和根据知悉范围控制对电子文件的访问,首先设置电子文件知悉范围,然后为电子文件生成加密密钥和密钥分发多项式,加密电子文件,申请访问电子文件及解密电子文件,最后更新密钥。本发明系统包括用户注册/管理模块、电子文件知悉范围设置模块、密钥分发多项式生成模块、密钥多项式分发模块、密钥计算恢复模块、电子文件加密模块、电子文件解密模块、电子文件发送/接收模块和数据库模块。模块之间相互联动,形成统一的基于知悉范围加密的电子文件访问控制系统。本发明将访问控制具体到个人,实现了电子文件的细粒度访问控制。

Description

一种基于知悉范围加密的电子文件访问控制方法和系统
技术领域
本发明属于电子文件安全管控领域,具体涉及一种基于知悉范围加密的电子文件访问控制方法和系统。
背景技术
随着各级党政机关、部门与企事业等单位信息化程度的不断深入,越来越多的政务及工作信息以电子文件的形式进行存储和传输,电子文件已成为各级党政机关、部门与企事业等单位的重要数据资产之一。一旦发生电子文件失泄密事件,将会严重影响到各级党政机关、部门与企事业等单位的核心利益与自身安全,甚至威胁到国家安全与利益。如何保证这些电子文件的安全性和共享性,已成为各级党政机关、部门与企事业等单位和组织面临的管理难题。
各级党政机关、部门与企事业等单位网络中涉及众多的商业秘密或国家秘密,根据保密管理最小化原则,需要控制在最小的知悉范围,防止泄密。对电子文件进行访问控制是提高电子文件安全性的重要途径,但当前各级党政机关、部门与企事业等单位的电子文件主要是以明文的形式存储在服务器数据库中,其安全性无法得到保障。另外,目前尚不能根据知悉范围对电子文件进行“一文一密”的访问控制,无法有效防止用户越权访问电子文件的行为。
发明内容
本发明的目的是针对当前各级党政机关、部门与企事业等单位面临的电子文件安全性和共享性问题,提出一种基于知悉范围加密的电子文件访问控制方法,可实现对电子文件根据知悉范围进行加密和访问控制,不同电子文件对应不同的密钥,即“一文一密”机制。一方面防止了重要电子文件信息的泄露,另一方面又确保知悉范围内的合法用户能够解密并访问自己所需的电子文件。
本发明方法可实现对电子文件根据其知悉范围进行加密和访问控制,具体包括根据知悉范围加密电子文件和根据知悉范围控制对电子文件的访问。具体包括以下步骤:
网络系统中有N个用户,用户集合U={U1,U2,…,UN},每个用户Un都注册有唯一的身份标识ID号IDn,n∈(1,2,…,N)。
步骤1.设置电子文件知悉范围:
所述电子文件都具有唯一的电子文件ID,所述知悉范围是指可以访问该电子文件的合法用户,电子文件j的合法用户集合为Gj,Gj∈U。当电子文件发送者Ua需要发送电子文件j时,在客户端首先设置该电子文件的知悉范围Gj,并把电子文件ID和知悉范围Gj发送给服务器。
步骤2.为电子文件j生成加密密钥和密钥分发多项式:
服务器端为电子文件j生成加密密钥Kj,并根据电子文件j的知悉范围生成密钥Kj的分发多项式。知悉范围内的合法用户通过所述密钥Kj的分发多项式计算得到加密密钥Kj,而知悉范围外的非法用户只能得到一个随机值,而无法计算得到加密密钥Kj。具体方法为:
(1)为每个知悉范围内的合法用户Ui选择一个唯一的秘密值sj,i∈Fq,作为合法用户Ui访问电子文件j的个体私钥,Ui∈Gj
(2)利用集合Gj中合法用户的个体私钥,构造访问多项式
Figure GDA0003057797210000021
其中VIDj为虚拟标识,它的值不同于所有用户的个体私钥,为每个电子文件和Λj(x)随机选取的。对于知悉范围内的合法用户Ui,Λj(sj,i)=1。而对于知悉范围外的非法用户Uf
Figure GDA0003057797210000022
Λj(sj,f)是一个随机值。虚拟标识VIDj的目的是为了使得所有Λj(x)中即使包含相同的合法用户的个体私钥也互不相同。
(3)从域Fq中为电子文件j随机选择一个电子文件加密密钥Kj
(4)计算密钥分发多项式
Figure GDA0003057797210000023
(5)把密钥分发多项式Φj(x)发送给客户端,同时通过安全信道发送用户Ua的个体私钥sj,a;所述安全信道为加密信道。
步骤3.加密电子文件:
客户端首先根据收到的密钥分发多项式Φj(x)和用户的个体私钥sj,a计算恢复出电子文件j的加密密钥Kj。具体方法为:
计算Φj(sj,a),对于合法用户Ua,Λj(sj,a)=1,计算出电子文件加密密钥Kj=Φj(sj,a);
然后,使用加密算法和加密密钥Kj对电子文件j进行加密,并把加密后的电子文件j的密文发送给服务器进行存储。所述加密所用的加密算法为对称加密算法,如SM4、AES等,因此,本发明中的电子文件加密密钥也是电子文件解密密钥。
步骤4.申请访问电子文件:
当用户Ub申请访问电子文件j时,服务器检查用户Ub是否在电子文件j的知悉范围内,若不在电子文件j的知悉范围内则拒绝该申请,用户Ub访问电子文件失败;若用户Ub在电子文件j的知悉范围内,则把电子文件j的密文和密钥分发多项式Φj(x)发送给客户端,同时通过安全信道发送用户Ub的个体私钥sj,b
步骤5.解密电子文件:
客户端根据收到的密钥分发多项式Φj(x)和用户Ub的个体私钥sj,b计算恢复出电子文件j的解密密钥Kj。具体方法为:
计算Φj(sj,b),对于合法用户Ub,Λj(sj,b)=1,计算出电子文件加密密钥Kj=Φj(sj,b);
然后,使用解密算法和解密密钥Kj对电子文件j进行解密,恢复出明文。则用户Ub可以对电子文件j进行阅读和查看。
步骤6.更新密钥:
当电子文件j的知悉范围发生改变时,若在知悉范围内增加新的用户,则只需要根据电子文件新的知悉范围为其生成新的密钥分发多项式即可;若删除在知悉范围内的用户,则需要对该电子文件的加密密钥,密钥分发多项式以及电子文件的密文进行更新,以防止该用户继续访问该电子文件j。具体方法为:
(a)从域Fq中为电子文件j随机选择一个新的电子文件加密密钥Kj′;
(b)计算新的密钥分发多项式
Figure GDA0003057797210000031
(c)将密钥分发多项式Φj'(x)发送给客户端;
(d)采用新的加密密钥K′j加密电子文件j的明文,并存储新的密文。
本发明还提供一种基于知悉范围加密的电子文件访问控制系统,用于实现根据知悉范围对电子文件进行加密和访问控制。
本发明的系统包括用户注册/管理模块、电子文件知悉范围设置模块、密钥分发多项式生成模块、密钥多项式分发模块、密钥计算恢复模块、电子文件加密模块、电子文件解密模块、电子文件发送/接收模块和数据库模块。模块之间相互联动,形成统一的基于知悉范围加密的电子文件访问控制系统。
所述用户注册/管理模块,用于系统用户的注册和管理。
所述电子文件知悉范围设置模块,用于为电子文件设置知悉范围。所述知悉范围是指可以访问该电子文件的合法用户。
所述密钥分发多项式生成模块,用于为电子文件生成加密密钥,并根据该电子文件的知悉范围生成密钥的分发多项式。所述密钥分发多项式可以使得知悉范围内的合法用户通过该多项式计算得到该电子文件的密钥,而知悉范围外的非法用户只能得到一个随机值,而无法计算得到该电子文件的密钥。
所述密钥多项式分发模块,用于把密钥分发多项式发送给客户端的密钥计算恢复模块,同时通过安全信道发送用户的个体私钥。所述安全信道为加密信道。所述用户的个体私钥是系统为每个知悉范围内的合法用户选择一个唯一的秘密值,作为用户访问该电子文件的个体私钥。
所述密钥计算恢复模块,用于根据收到的密钥分发多项式和用户的个体私钥计算电子文件的密钥,并把该密钥发送给电子文件加密模块或电子文件解密模块。
所述电子文件加密模块,用于根据收到的电子文件的加密密钥调用加密算法对电子文件明文进行加密。所述加密所用的加密算法为对称加密算法,如SM4、AES等,因此,本发明中的电子文件加密密钥也是电子文件解密密钥。
所述电子文件解密模块,用于根据收到的电子文件的解密密钥调用解密算法对电子文件密文进行解密。
所述电子文件发送/接收模块,用于把电子文件密文发送给服务器,或者从服务器接收电子文件密文。
所述数据库模块,用于存储用户信息、电子文件密文、电子文件的知悉范围、电子文件对应的密钥、密钥分发多项式、电子文件知悉范围内每个用户的个体私钥等。
上述所有模块的操作对用户都是透明的,用户无需知道具体实现的细节。
本发明建立了一种基于知悉范围加密的电子文件访问控制方法和系统,实现了根据电子文件的知悉范围对电子文件进行加密和访问控制,满足电子文件安全传输和共享应用的需求,解决了电子文件共享中的安全问题,特别是访问权限控制问题。电子文件在应用系统流转过程中始终保持加密状态,既防止了重要电子文件信息的泄露,又确保了知悉范围内的合法用户能够访问自己所需的电子文件,利用技术手段有效保护了电子文件的安全。
本发明提高了电子文件在存储和使用过程中的安全性,不同电子文件对应不同的加解密密钥,实现了“一文一密”机制,且只有知悉范围内的用户才可以访问并解密电子文件,把对电子文件的访问控制具体到个人的控制,实现了电子文件的细粒度访问控制。
附图说明
图1为本发明系统结构示意图;
图2为用户根据知悉范围加密电子文件流程图;
图3为用户访问电子文件流程图;
具体实施方式
下面结合附图对本发明的实施作进一步详细说明,但本发明的保护范围不局限于以下所述。
图1为本发明所提供的一种基于知悉范围加密的电子文件访问控制系统结构示意图,具体包括用户注册/管理模块、电子文件知悉范围设置模块、密钥分发多项式生成模块、密钥多项式分发模块、密钥计算恢复模块、电子文件加密模块、电子文件解密模块、电子文件发送/接收模块和数据库模块。
所述用户注册/管理模块,用于系统用户的注册和管理。
所述电子文件知悉范围设置模块,用于为电子文件设置知悉范围。所述知悉范围是指可以访问该电子文件的合法用户。
所述密钥分发多项式生成模块,用于为电子文件生成加密密钥,并根据该电子文件的知悉范围生成密钥的分发多项式。所述密钥分发多项式可以使得知悉范围内的合法用户通过该多项式计算得到该电子文件的密钥,而知悉范围外的非法用户只能得到一个随机值,而无法计算得到该电子文件的密钥。
所述密钥多项式分发模块,用于把密钥分发多项式发送给客户端的密钥计算恢复模块,同时通过安全信道给用户发送个体私钥。所述通过安全信道发送可以为通过加密信道发送或者通过短信方式发送。所述用户的个体私钥是系统为每个知悉范围内的合法用户选择一个唯一的秘密值,作为用户访问该电子文件的个体私钥。
所述密钥计算恢复模块,用于根据收到的密钥分发多项式和用户的个体私钥计算电子文件的密钥,并把该密钥发送给电子文件加密模块或电子文件解密模块。
所述电子文件加密模块,用于根据收到的电子文件的加密密钥调用加密算法对电子文件明文进行加密。所述加密所用的加密算法为对称加密算法,如SM4、AES等,因此,本发明中的电子文件加密密钥也是电子文件解密密钥。
所述电子文件解密模块,用于根据收到的电子文件的解密密钥调用解密算法对电子文件密文进行解密。
所述电子文件发送/接收模块,用于把电子文件密文发送给服务器,或者从服务器接收电子文件密文。
所述数据库模块,用于存储用户信息、电子文件密文、电子文件的知悉范围、电子文件对应的密钥、密钥分发多项式及用户的个体私钥等。
通过上述系统,可以实现根据电子文件的知悉范围对电子文件进行加密和访问控制。
网络系统中有N个用户,用户集合U={U1,U2,…,UN},每个用户Un都注册有唯一的身份标识ID号IDn,n∈(1,2,…,N)。
如图2所示,用户Ua根据知悉范围加密加密电子文件j的具体过程包括以下步骤:
步骤a1:用户Ua输入用户名和密码登录客户端。
步骤a2:用户Ua创建电子文件j,客户端为电子文件j生成唯一的电子文件ID。
步骤a3:用户Ua为电子文件j设置知悉范围。知悉范围是指可以访问该电子文件的合法用户。为电子文件设置知悉范围是由客户端电子文件知悉范围设置模块完成。电子文件j的合法用户集合为Gj,Gj∈U。
步骤a4:客户端发送电子文件ID和知悉范围至服务器。
步骤a5:服务器密钥分发多项式生成模块根据电子文件j的知悉范围生成电子文件j的加密密钥Kj的分发多项式,具体方法为:
(1)为每个知悉范围内的合法用户Ui选择一个唯一的秘密值sj,i∈Fq,作为合法用户Ui访问电子文件j的个体私钥,Ui∈Gj
(2)利用集合Gj中合法用户的个体私钥,构造访问多项式
Figure GDA0003057797210000061
其中VIDj为虚拟标识,它的值不同于所有用户的个体私钥,为每个电子文件和Λj(x)随机选取的;对于知悉范围内的合法用户Ui,Λj(sj,i)=1;而对于知悉范围外的非法用户Uf
Figure GDA0003057797210000063
Λj(sj,f)是一个随机值;
(3)从域Fq中为电子文件j随机选择一个电子文件加密密钥Kj
(4)计算密钥分发多项式
Figure GDA0003057797210000062
步骤a6:服务器密钥分发多项式分发模块把多项式Φj(x)发送给客户端密钥计算恢复模块,同时通过安全信道给用户Ua发送个体私钥sj,a。通过安全信道发送可以为通过加密信道发送或者通过短信方式发送。
步骤a7:密钥计算恢复模块根据用户Ua的个体私钥sj,a和密钥分发多项式Φj(x)计算电子文件j的加密密钥Kj。具体方法为:计算Φj(sj,a),对于合法用户Ua,Λj(sj,a)=1,因此计算出电子文件加密密钥Kj=Φj(sj,a)。
步骤a8:客户端电子文件加密模块利用计算得出的密钥Kj和加密算法加密电子文件j。加密所用的加密算法为对称加密算法,如SM4、AES等,因此,本发明中的电子文件加密密钥也是电子文件解密密钥。
步骤a9:客户端电子文件发送/接收模块把加密后的电子文件j的密文发送给服务器,并存入服务器数据库。服务器数据库为每个电子文件存储的信息包括:电子文件ID、电子文件的知悉范围、电子文件的密文、电子文件对应的密钥、密钥分发多项式、电子文件知悉范围内每个用户的个体私钥等。
如图3所示,用户Ub访问电子文件j的具体控制过程包括以下步骤:
步骤b1:用户Ub输入用户名和密码登录客户端;
步骤b2:用户Ub申请访问电子文件j,客户端发送该请求至服务器;
步骤b3:服务器判断用户Ub是否在电子文件j的知悉范围内,若不在电子文件j的知悉范围内则拒绝该申请,用户Ub访问电子文件失败。若用户Ub在电子文件j的知悉范围内,则把电子文件j的密文和密钥分发多项式Φj(x)发送给客户端密钥计算模块,同时通过安全信道把用户Ub的个体私钥sj,b发送给用户Ub
步骤b4:密钥计算模块根据用户Ub的个体私钥sj,b和密钥分发多项式Φj(x)计算电子文件j的解密密钥Kj。具体方法为:计算Φj(sj,b),对于合法用户Ub,Λj(sj,b)=1,因此计算出电子文件加密密钥Kj=Φj(sj,b)。
步骤b5:客户端电子文件解密模块利用解密密钥Kj和解密算法解密电子文件j,恢复出明文。则用户Ub可以对电子文件j进行阅读和查看。
上述所有操作对用户都是透明的。

Claims (3)

1.一种基于知悉范围加密的电子文件访问控制方法,包括根据知悉范围加密电子文件和根据知悉范围控制对电子文件的访问,其特征在于具体包括:
网络系统中有N个用户,用户集合U={U1,U2,…,UN},每个用户Un都注册有唯一的身份标识ID号IDn,n∈(1,2,…,N);
步骤1.设置电子文件知悉范围:
所述电子文件都具有唯一的电子文件ID,所述知悉范围是指可以访问该电子文件的合法用户,电子文件j的合法用户集合为Gj,Gj∈U;
当电子文件发送者Ua需要发送电子文件j时,在客户端首先设置该电子文件的知悉范围Gj,并把电子文件ID和知悉范围Gj发送给服务器;
步骤2.为电子文件j生成加密密钥和密钥分发多项式:
服务器端为电子文件j生成加密密钥Kj,并根据电子文件j的知悉范围生成密钥Kj的分发多项式;知悉范围内的合法用户通过所述密钥Kj的分发多项式计算得到加密密钥Kj,而知悉范围外的非法用户只能得到随机值,无法计算得到加密密钥Kj;具体方法为:
(1)为每个知悉范围内的合法用户Ui选择一个唯一的秘密值sj,i∈Fq,作为合法用户Ui访问电子文件j的个体私钥,Ui∈Gj
(2)利用集合Gj中合法用户的个体私钥,构造访问多项式
Figure FDA0003057797200000011
其中VIDj为虚拟标识,它的值不同于所有用户的个体私钥,为每个电子文件和Λj(x)随机选取的;对于知悉范围内的合法用户Ui,Λj(sj,i)=1;而对于知悉范围外的非法用户Uf
Figure FDA0003057797200000012
Λj(sj,f)是一个随机值;
(3)从域Fq中为电子文件j随机选择一个电子文件加密密钥Kj
(4)计算密钥分发多项式
Figure FDA0003057797200000013
(5)把密钥分发多项式Φj(x)发送给客户端,同时通过安全信道发送用户Ua的个体私钥sj,a;所述安全信道为加密信道;
步骤3.加密电子文件:
客户端首先根据收到的密钥分发多项式Φj(x)和用户的个体私钥sj,a计算恢复出电子文件j的加密密钥Kj;具体方法为:
计算Φj(sj,a),对于合法用户Ua,Λj(sj,a)=1,计算出电子文件加密密钥Kj=Φj(sj,a);
然后,使用加密算法和加密密钥Kj对电子文件j进行加密,并把加密后的电子文件j的密文发送给服务器进行存储;
步骤4.申请访问电子文件:
当用户Ub申请访问电子文件j时,服务器检查用户Ub是否在电子文件j的知悉范围内,若不在电子文件j的知悉范围内则拒绝该申请,用户Ub访问电子文件失败;若用户Ub在电子文件j的知悉范围内,则把电子文件j的密文和密钥分发多项式Φj(x)发送给客户端,同时通过安全信道发送用户Ub的个体私钥sj,b
步骤5.解密电子文件:
客户端根据收到的密钥分发多项式Φj(x)和用户Ub的个体私钥sj,b计算恢复出电子文件j的解密密钥Kj;具体方法为:
计算Φj(sj,b),对于合法用户Ub,Λj(sj,b)=1,计算出电子文件加密密钥Kj=Φj(sj,b);
然后,使用解密算法和解密密钥Kj对电子文件j进行解密,恢复出明文,则用户Ub可以对电子文件j进行阅读和查看;
步骤6.更新密钥:
当电子文件j的知悉范围改变时,若在知悉范围内增加新的用户,则只需要根据电子文件新的知悉范围为其生成新的密钥分发多项式即可;若删除在知悉范围内的用户,则需要对该电子文件的加密密钥,密钥分发多项式以及电子文件的密文进行更新,具体方法为:
(a)从域Fq中为电子文件j随机选择一个新的电子文件加密密钥Kj′;
(b)计算新的密钥分发多项式
Figure FDA0003057797200000021
(c)将密钥分发多项式Φ′j(x)发送给客户端;
(d)采用新的加密密钥K′j加密电子文件j的明文,并存储新的密文。
2.如权利要求1所述的一种基于知悉范围加密的电子文件访问控制方法,其特征在于:步骤3中加密所用的加密算法为对称加密算法。
3.一种实现基于知悉范围加密的电子文件访问控制方法的系统,其特征在于:包括用户注册/管理模块、电子文件知悉范围设置模块、密钥分发多项式生成模块、密钥多项式分发模块、密钥计算恢复模块、电子文件加密模块、电子文件解密模块、电子文件发送/接收模块和数据库模块;模块之间相互联动,形成统一的基于知悉范围加密的电子文件访问控制系统;
所述用户注册/管理模块,用于系统用户的注册和管理;
所述电子文件知悉范围设置模块,用于为电子文件设置知悉范围;所述知悉范围是指可以访问该电子文件的合法用户;
所述密钥分发多项式生成模块,用于为电子文件生成加密密钥,并根据该电子文件的知悉范围生成密钥的分发多项式;所述密钥分发多项式可以使得知悉范围内的合法用户通过该多项式计算得到该电子文件的密钥,而知悉范围外的非法用户只能得到一个随机值,无法计算得到该电子文件的密钥;
所述密钥多项式分发模块,用于把密钥分发多项式发送给客户端的密钥计算恢复模块,同时通过安全信道发送用户的个体私钥;所述安全信道为加密信道;所述用户的个体私钥是系统为每个知悉范围内的合法用户选择一个唯一的秘密值,作为用户访问该电子文件的个体私钥;
所述密钥计算恢复模块,用于根据收到的密钥分发多项式和用户的个体私钥计算电子文件的密钥,并把该密钥发送给电子文件加密模块或电子文件解密模块;
所述电子文件加密模块,用于根据收到的电子文件的加密密钥调用加密算法对电子文件明文进行加密;所述加密所用的加密算法为对称加密算法,如SM4、AES等,因此,本发明中的电子文件加密密钥也是电子文件解密密钥;
所述电子文件解密模块,用于根据收到的电子文件的解密密钥调用解密算法对电子文件密文进行解密;
所述电子文件发送/接收模块,用于把电子文件密文发送给服务器,或者从服务器接收电子文件密文;
所述数据库模块,用于包括存储用户信息、电子文件密文、电子文件的知悉范围、电子文件对应的密钥、密钥分发多项式、电子文件知悉范围内每个用户的个体私钥。
CN201910614818.5A 2019-07-09 2019-07-09 一种基于知悉范围加密的电子文件访问控制方法和系统 Active CN110474873B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910614818.5A CN110474873B (zh) 2019-07-09 2019-07-09 一种基于知悉范围加密的电子文件访问控制方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910614818.5A CN110474873B (zh) 2019-07-09 2019-07-09 一种基于知悉范围加密的电子文件访问控制方法和系统

Publications (2)

Publication Number Publication Date
CN110474873A CN110474873A (zh) 2019-11-19
CN110474873B true CN110474873B (zh) 2021-06-29

Family

ID=68507172

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910614818.5A Active CN110474873B (zh) 2019-07-09 2019-07-09 一种基于知悉范围加密的电子文件访问控制方法和系统

Country Status (1)

Country Link
CN (1) CN110474873B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541731B (zh) * 2020-03-08 2022-06-24 杭州电子科技大学 一种基于区块链和知悉范围加密的电子文件访问控制方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102999732A (zh) * 2012-11-23 2013-03-27 富春通信股份有限公司 基于信息密级标识的多级域防护方法及系统
CN107359986A (zh) * 2017-07-03 2017-11-17 暨南大学 可撤销用户的外包加解密cp‑abe方法
US10095879B1 (en) * 2017-12-28 2018-10-09 Dropbox, Inc. Restrictive access control list
CN109831405A (zh) * 2017-11-23 2019-05-31 航天信息股份有限公司 一种云平台上的文件保护方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102999732A (zh) * 2012-11-23 2013-03-27 富春通信股份有限公司 基于信息密级标识的多级域防护方法及系统
CN107359986A (zh) * 2017-07-03 2017-11-17 暨南大学 可撤销用户的外包加解密cp‑abe方法
CN109831405A (zh) * 2017-11-23 2019-05-31 航天信息股份有限公司 一种云平台上的文件保护方法及装置
US10095879B1 (en) * 2017-12-28 2018-10-09 Dropbox, Inc. Restrictive access control list

Also Published As

Publication number Publication date
CN110474873A (zh) 2019-11-19

Similar Documents

Publication Publication Date Title
US7580521B1 (en) Identity-based-encryption system with hidden public key attributes
US8059818B2 (en) Accessing protected data on network storage from multiple devices
US6775382B1 (en) Method and apparatus for recovering encryption session keys
US20170142082A1 (en) System and method for secure deposit and recovery of secret data
US5481613A (en) Computer network cryptographic key distribution system
CN105122265B (zh) 数据安全服务系统
CN112187798B (zh) 一种应用于云边数据共享的双向访问控制方法及系统
CN105103488A (zh) 借助相关联的数据的策略施行
CN105191207A (zh) 联合密钥管理
WO2017061950A1 (en) Data security system and method for operation thereof
CN108632385B (zh) 基于时间序列的多叉树数据索引结构云存储隐私保护方法
US11646872B2 (en) Management of access authorization using an immutable ledger
Ramachandran et al. Secure and efficient data forwarding in untrusted cloud environment
US8161565B1 (en) Key release systems, components and methods
CN111541731B (zh) 一种基于区块链和知悉范围加密的电子文件访问控制方法
EP2503480A1 (en) Method and devices for secure data access and exchange
CN110474873B (zh) 一种基于知悉范围加密的电子文件访问控制方法和系统
CN115412236A (zh) 一种密钥管理和密码计算的方法、加密方法及装置
Verma et al. A hybrid two layer attribute based encryption for privacy preserving in public cloud
US20240214187A1 (en) System and Method of Creating Symmetric Keys Using Elliptic Curve Cryptography
Reddy et al. Data Storage on Cloud using Split-Merge and Hybrid Cryptographic Techniques
KR100842014B1 (ko) 다수의 장치로부터 네트워크 저장 장치상의 보호 데이터에대한 접근
Tanwar et al. Design and Implementation of Database Security for Various type of Digital Signature
Baseri et al. Statistical privacy protection for secure data access control in cloud
Bonde et al. Data retrieval with secure CP-ABE in splittened storage

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant