CN111181906A - 一种数据共享方法、装置、设备、系统及存储介质 - Google Patents

一种数据共享方法、装置、设备、系统及存储介质 Download PDF

Info

Publication number
CN111181906A
CN111181906A CN201910662742.3A CN201910662742A CN111181906A CN 111181906 A CN111181906 A CN 111181906A CN 201910662742 A CN201910662742 A CN 201910662742A CN 111181906 A CN111181906 A CN 111181906A
Authority
CN
China
Prior art keywords
ciphertext
key
server
terminal
shared
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910662742.3A
Other languages
English (en)
Other versions
CN111181906B (zh
Inventor
孔庆磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201910662742.3A priority Critical patent/CN111181906B/zh
Publication of CN111181906A publication Critical patent/CN111181906A/zh
Application granted granted Critical
Publication of CN111181906B publication Critical patent/CN111181906B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种数据共享方法、装置、设备、系统及存储介质,包括:生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;将所述重加密密钥发送给第二终端;基于所述第一密钥生成第一密文;基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器,以使所述第二终端对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。在实现密钥加密的同时,实现了密钥的授权,且保证了托管数据的隐私。

Description

一种数据共享方法、装置、设备、系统及存储介质
技术领域
本发明涉及数据存储技术领域,具体涉及一种数据共享方法、装置、设备、系统及存储介质。
背景技术
密钥管理服务(Key Management Service,KMS):一种安全、容易使用的密钥生成和管理类服务。最终目的为保护用户静态存储数据的安全性,即用户数据的保密性、完整性和可用性。通过在云服务中部署密钥管理服务,用户可以安全便捷的使用、管理数据保护和数据加解密密钥,并专注于云服务的静态数据加解密场景。
硬件安全模块(Hardware Security Module,HSM):用于保障和管理强认证系统所使用的数字密钥,并同时提供密码学相关操作的计算机硬件设备;并通过扩展卡和外部设备直接连接到电脑和网络服务器。由于HSM能为广泛的应用程序提供保护加密密钥和配置加密、解密、身份认证和数码签名服务,所以云服务的硬件安全模块可以为数据根密钥的存储提供保护;同时,HSM提供两种防篡改功能,即篡改留证和篡改抵抗功能。
密钥管理服务(KMS)是一项云密钥托管服务,旨在创建、控制和保护加密客户静态数据所需的加密密钥。为了保护KMS中客户密钥的安全性,部分覆盖区域较广的密钥由硬件安全模块(HSM)进行保护,且部分加解密操作由HSM完成,以达到客户数据机密性、可用性和完整性的目标。
在现有的KMS密钥管理和数据加密服务的场景中,数据密钥由和云服务商建立和托管,且密钥授权功能(即指定数据共享功能)也通过云服务的访问控制实现。在PonemonInstitute公布的《2018年全球组织内部威胁成本》中指出,64%的安全威胁事件是由员于内部人员的疏忽导致的,而23%是由内部人员的窃取导致的。因此,在数据隐私保护方面,企业安全团队的内部威胁,KMS和HSM的现有结构,会造成客户数据的泄露风险。另一方面,通过访问控制来实现密钥授权的功能,会导致存储数据敏感度的隐私泄露。
发明内容
本发明提出了一种数据共享方法、装置、设备、系统及存储介质,在实现密钥加密的同时,实现了密钥的授权,且保证了托管数据的隐私。本发明具体是以如下技术方案实现的:
一方面,本发明提供了一种数据共享方法,应用于第一终端,方法包括:
生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;
将所述重加密密钥发送给第二终端;
基于所述第一密钥生成第一密文;
基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;
利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;
将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器,以使所述第二服务器将所述第一密文和所述第二密文发送至第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文,所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端,以使所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥,所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
另一方面,本发明提供了一种数据共享方法,应用于第一服务器,方法包括:
接收第二服务器发送的第一密文和第二密文,所述第一密文由第一客户端基于第一密钥生成,所述第一密钥由所述第一客户端生成,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成;
基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
将所述第一密文和所述第三密文发送给第二终端,以使所述第二终端基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,以使所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据,所述重加密密钥由所述第一终端基于所述第一终端的第一公钥和第二终端的第二公钥生成后发送给所述第二终端。
另一方面,本发明提供了一种数据共享装置,包括:
密钥生成模块,用于生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;
第一发送模块,用于将所述重加密密钥发送给第二终端;
第一密文生成模块,用于基于所述第一密钥生成第一密文;
第二密文生成模块,用于基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;
第一加密模块,用于利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;
第二发送模块,用于将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器,以使所述第二服务器将所述第一密文和所述第二密文发送至第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文,所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端,以使所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥,所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
在一些实施例中,所述装置还包括:
第二加密模块,用于利用所述第二密钥对非共享数据进行加密,得到非共享加密数据;
第三发送模块,用于将所述第二密文、所述第一终端的标识信息和所述非共享加密数据发送至第二服务器,以使所述第二服务器将所述第二密文发送至所述第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
第一接收模块,用于接收所述第一服务器发送的所述第三密文;
第二计算模块,用于基于所述第三密文和所述第一终端的私钥计算所述第二密钥;
第一获取模块,用于获取所述第二服务器中的所述非共享加密数据;
第一解密模块,用于所述第一终端利用所述第二密钥对所述第二服务器中的所述非共享加密数据进行解密,得到非共享数据。
另一方面,本发明提供了一种数据共享装置,包括:
第二接收模块,用于接收第二服务器发送的第一密文和第二密文,所述第一密文由第一客户端基于第一密钥生成,所述第一密钥由所述第一客户端生成,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成;
第一计算模块,用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
第三发送模块,用于将所述第一密文和所述第三密文发送给第二终端,以使所述第二终端基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,以使所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据,所述重加密密钥由所述第一终端基于所述第一终端的第一公钥和第二终端的第二公钥生成后发送给所述第二终端。
在一些实施例中,所述装置还包括:
第三接收模块,用于接收第二服务器发送的第二密文,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成;
第二计算模块,用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
第四发送模块,用于将所述第三密文发送给第一终端,以使所述第一终端基于所述第三密文和所述第一终端的私钥计算所述第二密钥,以使所述第一终端在获取所述第二服务器中的所述非共享加密数据后,利用所述第二密钥对所述第二服务器中的非共享加密数据进行解密,得到非共享数据,所述非共享加密数据由所述第一终端利用所述第二密钥对非共享数据进行加密得到。
另一方面,本发明提供了一种数据共享系统,所述系统包括:第一终端、第二终端、第一服务器和第二服务器;
所述第一终端,用于生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;用于将所述重加密密钥发送给第二终端;用于基于所述第一密钥生成第一密文;用于基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;用于利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;用于将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器;
所述第二服务器,用于接收所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据;
所述第一服务器,用于接收第二服务器发送的第一密文和第二密文;用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;用于将所述第一密文和所述第三密文发送给第二终端;
所述第二终端,用于基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
另一方面,本发明提供了一种数据共享设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现所述数据共享方法。
另一方面,本发明提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如前所述数据共享方法。
本发明提供了一种数据共享方法、装置、设备、系统及计算机可读介质,由第一终端生成第一密钥、第二密钥和重加密密钥,将基于第一终端的第一公钥和第二终端的第二公钥生成的重加密密钥发送给第二终端,将基于第一密钥生成的第一密文、基于第一终端的第一公钥和第一服务器的公钥生成的第二密文、第一终端用户的标识信息和待共享加密数据发送至第二服务器,以使第一服务器基于第二服务器发送的第二密文和第一服务器的私钥计算出第三密文,从而使第二终端可以基于第一服务器发送的第一密文、第三密文和第一终端发送的重加密密钥计算第二服务器中待共享加密数据的加密密钥以读取待共享数据。本发明由第一终端生成密钥并对待共享数据进行加密后,将将基于密钥生成的密文和待共享加密数据发送到第二服务器,在由第二服务器将密文发送给第一服务器,使得第一服务器和第二服务器任何一方都不能获取到待共享数据,从而保证了待共享数据的安全性;另外,只需在第一终端处进行一次加密,即可同时实现授权和非授权数据的加密,提高了数据共享的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明实施例提供的一种数据共享方法的应用环境示意图;
图2是本发明实施例提供的一种数据共享中基于授权数据的密钥、密文生成及获得加密数据的方法的流程示意图;
图3是本发明实施例提供的一种数据共享中第一服务器获得新密文的方法的流程示意图;
图4是本发明实施例提供的一种数据共享中第二终端获取待共享加密数据的密钥的方法的流程示意图;
图5是本发明实施例提供的一种数据共享中基于非授权数据的密钥、密文生成及获得加密数据的方法的流程示意图;
图6是本发明实施例提供的另一种数据共享中第一终端获取待共享加密数据的密钥的方法的流程示意图;
图7是本发明实施例提供的一种数据共享装置的结构示意图;
图8是本发明实施例提供的另一种数据共享装置的结构示意图;
图9是本发明实施例提供的一种数据共享的业务调用架构示意图;
图10是本发明实施例提供的一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
以下介绍本发明数据共享方法,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。
图1是本说明书实施例提供的数据共享方法的应用环境示意图。如图1所示,其也是一种数据共享系统,该系统包括:第一终端01、第二终端02、第一服务器03和第二服务器04。
具体的,所述第一终端01和所述第二终端02可以为可连接无线网络的设备,可以包括:智能手机、平板电脑、笔记本电脑、数字助理、智能可穿戴设备、车载终端等类型的实体设备,也可以包括运行于实体设备中的软体,例如应用程序等。所述第一终端01和所述第二终端02可以是移动用户的移动终端。
所述第一服务器03可以是分布式服务器,或者由多个服务器组成的服务器集群。实际应用中,所述服务器03可以是云存储服务器。
所述第二服务器04可以是分布式服务器,或者由多个服务器组成的服务器集群。实际应用中,所述第二服务器04可以与所述服务器03独立存在,也可以集成到所述服务器03上,所述第二服务器04与所述服务器03独立存在时,所述第二服务器04作为云服务商的硬件安全模块存在。
下面基于图1对本发明的方案进行进一步说明。
图2是本发明实施例提供的一种数据共享中基于授权数据的密钥、密文生成及获得加密数据的方法的流程示意图,如图2所示,所述方法具体包括:
S201:第一终端生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和所述第二终端的第二公钥生成。
实际应用中,第一终端可以利用随机数生成器生成第一密钥和第二密钥,也可以由用户选择随机数来生成。
S203:所述第一终端将所述重加密密钥发送给第二终端。
该步骤中,将重加密密钥发送给第二终端,即指定第二终端可以共享服务器中的加密数据。
S205:所述第一终端基于所述第一密钥生成第一密文。
S207:所述第一终端基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文。
步骤205和步骤207获得第一密文和第二密文后,将其发送给第二服务器,使得第二服务器不能得到第一密钥和第二密钥,只能得到对第一密钥和第二密钥加密后的密文,保证了数据在第二服务器中存储的安全性。
S209:所述第一终端利用所述第一密钥对待共享数据进行加密,得到待共享加密数据。
S211:所述第一终端将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器。
该步骤是为了使所述第二服务器将所述第一密文和所述第二密文发送至第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文,所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端,以使所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥,所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
在步骤S211之后,本发明的数据共享方法还包括:所述第二服务器将所述第一密文和所述第二密文发送至第一服务器。
图3是本发明实施例提供的一种数据共享中第一服务器获得新密文的方法的流程示意图,如图3所示,所述方法具体包括:
S301:所述第一服务器基于所述第二密文和所述第一服务器的私钥进行计算,得到第三密文。
可见,第一服务器仅收到第一密文和第二密文,因此,同样无法得到第一密钥和第二密钥,保证了密钥在第一服务器中的安全性,且无需第一服务器存储密文等信息,降低了第一服务器的维护成本。
S303:所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端。
图4是本发明实施例提供的一种数据共享中第二终端获取待共享加密数据的密钥的方法的流程示意图,如图4所示,所述方法具体包括:
S401:所述第二终端获取所述第一服务器中的所述待共享加密数据。
S403:所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥。
S405:所述第二终端利用所述第一密钥对所述第二服务器中的所述待共享加密数据进行解密,得到待共享数据。
图5是本发明实施例提供的一种数据共享中基于非授权数据的密钥、密文生成及获得加密数据的方法的流程示意图,如图5所示,所述方法具体包括:
S501:利用所述第二密钥对非共享数据进行加密,得到非共享加密数据。
S503:将所述第二密文、所述第一终端的标识信息和所述非共享加密数据发送至第二服务器,以使所述第二服务器将所述第二密文发送至所述第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文。
S505:接收所述第一服务器发送的所述第三密文。
在本说明书实施例中,步骤303和步骤505中第三密文的计算方法相同。
图6是本发明实施例提供的另一种数据共享中第一终端获取待共享加密数据的密钥的方法的流程示意图,如图6所示,所述方法具体包括:
S601:基于所述第三密文和所述第一终端的私钥计算所述第二密钥。
S603:获取所述第二服务器中的所述非共享加密数据。
S605:利用所述第二密钥对所述第二服务器中的所述非共享加密数据进行解密,得到非共享数据。
在一些实施例中,第一终端获取待共享加密数据的密钥的方法中的一终端可以替换成其他非授权终端。
根据本说明书实施例可以看出,本说明书提供了一种数据存储场景下的密钥生成和授权方案,即同时实现授权和非授权数据的加密;旨在提高存储密钥的生成效率,在实现密钥加密的同时,实现了密钥的授权,且保证了托管数据的隐私,大大优化了现有的密钥管理方案。
下面基于双线性映射算法(BP)和对称加密算法(AES),具体介绍在云数据存储场景下的密钥生成和授权方案。首先,对相关关键术语进行说明。
双线性映射(Bilinear Pairing,BP):密码学中主要是通过双线性映射来构造配对,具体可利用椭圆曲线上的Weil配对实现。假设G和GT是两个q阶群,其中q是素数,G是加法群,GT是乘法群,g为群G的生成元,定义满足如下3个性质的一个映射e:G×G→GT
1)双线性:对于
Figure BDA0002139076660000121
g∈G,
Figure BDA0002139076660000122
Figure BDA0002139076660000123
Figure BDA0002139076660000124
为大素数集合,e(ga,hb)=e(g,h)ab
2)非退化性:存在h,g∈G,使得e(g,h)≠1
3)可计算性:对所有的h,g∈G,存在有效的算法计算e(g,h)
BDH(Bilinear Diffie-Hellman)假设:在已知(g,ga,gb,gc)的场景下,多项式时间内计算e(g,g)abc是困难的。在密码学中通常利用该BDH假设来构造安全方案。
对称加密(Symmetric Key Encryption):需要对加密和解密使用相同密钥的加密算法。由于其速度快,对称性加密通常在消息发送方需要加密大量数据时使用。其中高级加密标准(Advanced Encryption Standard,AES)是一种利用代换-置换网络的区块加密标准,并作为对称密钥加密中最流行的算法之一。
本说明书提供了一种在云场景下的密钥生成、管理和授权方案,并提升了云存储密钥的生成和管理效率。本说明书提供的方案可以应用到如下场景:云存储的密钥生成和用户授权,且云服务商在内部人员泄露的场景下,仍能保证云存储数据的机密性。
图7是本说明书实施例提供的一种基于数据共享方法的系统的流程示意图。
本说明书实施例方案的系统主体分为四个部分:1)系统初始化;2)密钥生成;3)密钥授权;4)数据解密。其工作流程如下:
1)系统初始化
基于一个给定的安全参数k,通过如下四个步骤初始化云密钥管理系统的安全要素。
(1)产生两个q阶群G和GT,设g为群G的生成元,并构造一个双线性映射e:G×G→GT,其中q为k位的素数。
(2)选择哈希函数H:{0,1}*→G,则输出的系统公开参数为(g,G,GT,H,e)。
(3)对于HSM:选取一个随机数
Figure BDA0002139076660000131
作为私钥,且永久保存在本地,并生成公钥
Figure BDA0002139076660000132
同时,对于数据上传客户A:选取一个随机数
Figure BDA0002139076660000133
计算
Figure BDA0002139076660000134
其中IDa为客户A的唯一标识;并将
Figure BDA0002139076660000135
设为公钥,将
Figure BDA0002139076660000136
Figure BDA0002139076660000137
设为私钥,且保存在本地。
(4)同样地,对于任一其他客户S:选取一个随机数
Figure BDA0002139076660000138
计算
Figure BDA0002139076660000139
Figure BDA00021390766600001310
其中IDs为客户S的唯一标识;并将
Figure BDA00021390766600001311
设为公钥,将
Figure BDA00021390766600001312
设为私钥,且保存在本地;同时,客户A生成一个重加密密钥
Figure BDA00021390766600001313
且将重加密密钥
Figure BDA00021390766600001314
发送给客户S。
2)密钥生成
在密钥生成阶段,客户选择一个随机数k0∈GT,选择另一个随机数r∈
Figure BDA00021390766600001315
并生成密文c1和密文c2
输入:随机数k0,随机数r,客户A的公钥
Figure BDA00021390766600001316
云存储数据(m1,m2,…,mk)
输出:密钥密文c1||c2和数据密文(Enc(m1),…,Enc(mk))
步骤:
(1)计算c1:c1=e(g,g)r·k0
(2)计算c2
Figure BDA0002139076660000141
(3)计算密钥:k1=H(e(g,H(IDa)))r
(4)对于授权数据(m1,m2,…,mn),计算密钥(H(1||k0),H(2||k0),…,H(n||k0)),并生成密文(Enc(m1),…,Enc(mn));同时对于非授权数据(mn+1,mn+2,…,mk),计算密钥(H(n+1||k1),H(n+2||k1),…,H(k||k1)),并生成密文(Enc(mn+1),…,Enc(mk))
3)密钥授权
密钥授权阶段的任务是另一客户从收到的密文中获取共享密钥k0,即密钥授权。具体过程如下。
输入:另一客户私钥xs,重加密密钥
Figure BDA0002139076660000142
密文c1||c2
输出:共享密钥k0
步骤:
(1)HSM计算:
Figure BDA0002139076660000143
并将c1||c2’发送到客户S
(2)客户S计算k0
Figure BDA0002139076660000144
并由k0得到存储数据(m1,m2,…,mn)。
4)数据解密
如图2(阶段三)所示,本阶段的任务是恢复密钥k1的值。
输入:私钥
Figure BDA0002139076660000145
密文c2
输出:密钥k1
步骤:
(1)HSM计算:
Figure BDA0002139076660000151
(2)客户A计算k1
Figure BDA0002139076660000152
并由k1得到存储数据(mn+1,mn+2,…,mk)
本说明书实施例通过使用双线性映射对数据加密密钥进行保护,使得客户的加密数据,只有在HSM和客户共同解密的场景下,才能够解密;并降低了HSM中密钥存储的负载和层层包裹结构所带来的计算负载。通过设计基于双线性映射的密钥生成协议,可以同时实现对授权和非授权数据的密钥建立和数据加密。
本发明实施例还提供了一种数据共享装置,如图8所示,所述装置包括:另一方面,本发明提供了一种数据共享装置,包括:
密钥生成模块801,用于生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成。
第一发送模块803,用于将所述重加密密钥发送给第二终端。
第一密文生成模块805,用于基于所述第一密钥生成第一密文。
第二密文生成模块807,用于基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文。
第一加密模块809,用于利用所述第一密钥对待共享数据进行加密,得到待共享加密数据。
第二发送模块811,用于将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器,以使所述第二服务器将所述第一密文和所述第二密文发送至第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文,所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端,以使所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥,所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
在一些实施例中,所述装置还包括:
第二加密模块,用于利用所述第二密钥对非共享数据进行加密,得到非共享加密数据。
第三发送模块,用于将所述第二密文、所述第一终端的标识信息和所述非共享加密数据发送至第二服务器,以使所述第二服务器将所述第二密文发送至所述第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文。
第一接收模块,用于接收所述第一服务器发送的所述第三密文。
第二计算模块,用于基于所述第三密文和所述第一终端的私钥计算所述第二密钥。
第一获取模块,用于获取所述第二服务器中的所述非共享加密数据。
第一解密模块,用于所述第一终端利用所述第二密钥对所述第二服务器中的所述非共享加密数据进行解密,得到非共享数据。
如图9所示,本发明提供了一种数据共享装置,包括:
第二接收模块901,用于接收第二服务器发送的第一密文和第二密文,所述第一密文由第一客户端基于第一密钥生成,所述第一密钥由所述第一客户端生成,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成。
第一计算模块903,用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文。
第三发送模块905,用于将所述第一密文和所述第三密文发送给第二终端,以使所述第二终端基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,以使所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据,所述重加密密钥由所述第一终端基于所述第一终端的第一公钥和第二终端的第二公钥生成后发送给所述第二终端。
在一些实施例中,所述装置还包括:
第三接收模块,用于接收第二服务器发送的第二密文,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成。
第二计算模块,用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文。
第四发送模块,用于将所述第三密文发送给第一终端,以使所述第一终端基于所述第三密文和所述第一终端的私钥计算所述第二密钥,以使所述第一终端在获取所述第二服务器中的所述非共享加密数据后,利用所述第二密钥对所述第二服务器中的非共享加密数据进行解密,得到非共享数据,所述非共享加密数据由所述第一终端利用所述第二密钥对非共享数据进行加密得到。
所述的装置实施例中的装置与方法实施例基于同样的发明构思。
本发明还提供了一种数据共享系统,所述系统包括:第一终端、第二终端、第一服务器和第二服务器。
所述第一终端,用于生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;用于将所述重加密密钥发送给第二终端;用于基于所述第一密钥生成第一密文;用于基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;用于利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;用于将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器。
所述第二服务器,用于接收所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据。
所述第一服务器,用于接收第二服务器发送的第一密文和第二密文;用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;用于将所述第一密文和所述第三密文发送给第二终端。
所述第二终端,用于基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
进一步地,图10示出了一种用于实现本发明实施例所提供的方法的设备的硬件结构示意图,所述设备可以参与构成或包含本发明实施例所提供的装置。如图10所示,设备10可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图10所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,设备10还可包括比图10中所示更多或者更少的组件,或者具有与图10所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到设备10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中所述的方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的一种基于角色的权限管控方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括设备10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(NetworkInterfaceController,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与设备10(或移动设备)的用户界面进行交互。
本发明还提供了一种数据共享设备,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如前述的数据共享方法。
本说明书实施例中,所述存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、功能所需的应用程序等;存储数据区可存储根据所述设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。
本发明还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如前所述数据共享方法。
由上述本发明提供的数据共享方法、装置及设备的实施例可见,本发明提供了一种数据共享方法、装置、设备、系统及计算机可读介质,由第一终端生成第一密钥、第二密钥和重加密密钥,将基于第一终端的第一公钥和第二终端的第二公钥生成的重加密密钥发送给第二终端,将基于第一密钥生成的第一密文、基于第一终端的第一公钥和第一服务器的公钥生成的第二密文、第一终端用户的标识信息和待共享加密数据发送至第二服务器,以使第一服务器基于第二服务器发送的第二密文和第一服务器的私钥计算出第三密文,从而使第二终端可以基于第一服务器发送的第一密文、第三密文和第一终端发送的重加密密钥计算第二服务器中待共享加密数据的加密密钥以读取待共享数据。本发明由第一终端生成密钥并对待共享数据进行加密后,将将基于密钥生成的密文和待共享加密数据发送到第二服务器,在由第二服务器将密文发送给第一服务器,使得第一服务器和第二服务器任何一方都不能获取到待共享数据,从而保证了待共享数据的安全性;另外,只需在第一终端处进行一次加密,即可同时实现授权和非授权数据的加密,提高了数据共享的效率。
本申请利用双线性映射密码算法以及对称加密技术,能够解决以下问题:a)实现客户数据在云端存储的保密性,且云服务商即使通过内部攻击,仍无法解密客户上传的数据;即只有在客户/目标客户和HSM共同提供解密时,才能对客户存储在云端的数据进行解密,进而保证了客户数据在云端存储的机密性。另一方面,本方案可以同时实现对授权和非授权数据的密钥生成和数据加密。b)对云服务商而言,无需在HSM中对数据密钥进行存储,从而降低了HSM的数据存储复杂度。另一方面,对于数据授权过程,只需要一次加密过程,即可达到对授权和非授权数据的加密。
需要说明的是:上述本说明书实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、系统和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本说明书的较佳实施例,并不用以限制本说明书,凡在本说明书的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书的保护范围之内。

Claims (10)

1.一种数据共享方法,其特征在于,所述方法应用于第一终端,所述方法包括:
生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;
将所述重加密密钥发送给第二终端;
基于所述第一密钥生成第一密文;
基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;
利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;
将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器,以使所述第二服务器将所述第一密文和所述第二密文发送至第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文,所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端,以使所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥,所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
2.根据权利要求1所述的方法,其特征在于,在所述基于所述第一终端的公钥和第一服务器的公钥生成第二密文之后,所述方法还包括:
利用所述第二密钥对非共享数据进行加密,得到非共享加密数据;
将所述第二密文、所述第一终端的标识信息和所述非共享加密数据发送至第二服务器,以使所述第二服务器将所述第二密文发送至所述第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
接收所述第一服务器发送的所述第三密文;
基于所述第三密文和所述第一终端的私钥计算所述第二密钥;
获取所述第二服务器中的所述非共享加密数据;
利用所述第二密钥对所述第二服务器中的所述非共享加密数据进行解密,得到非共享数据。
3.一种数据共享方法,其特征在于,所述方法应用于第一服务器,所述方法包括:
接收第二服务器发送的第一密文和第二密文,所述第一密文由第一客户端基于第一密钥生成,所述第一密钥由所述第一客户端生成,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成;
基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
将所述第一密文和所述第三密文发送给第二终端,以使所述第二终端基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,以使所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据,所述重加密密钥由所述第一终端基于所述第一终端的第一公钥和第二终端的第二公钥生成后发送给所述第二终端。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收第二服务器发送的第二密文,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成;
基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
将所述第三密文发送给第一终端,以使所述第一终端基于所述第三密文和所述第一终端的私钥计算所述第二密钥,以使所述第一终端在获取所述第二服务器中的所述非共享加密数据后,利用所述第二密钥对所述第二服务器中的非共享加密数据进行解密,得到非共享数据,所述非共享加密数据由所述第一终端利用所述第二密钥对非共享数据进行加密得到。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述第一服务器无需存储所述第一密文和所述第二密文。
6.一种数据共享装置,其特征在于,所述装置包括:
密钥生成模块,用于生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;
第一发送模块,用于将所述重加密密钥发送给第二终端;
第一密文生成模块,用于基于所述第一密钥生成第一密文;
第二密文生成模块,用于基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;
第一加密模块,用于利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;
第二发送模块,用于将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器,以使所述第二服务器将所述第一密文和所述第二密文发送至第一服务器,以使所述第一服务器基于所述第二密文和所述第一服务器的私钥计算,得到第三密文,所述第一服务器将所述第一密文和所述第三密文发送给所述第二终端,以使所述第二终端基于所述第一密文、所述第三密文和所述重加密密钥计算所述第一密钥,所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
7.一种数据共享装置,其特征在于,所述装置包括:
接收模块,用于接收第二服务器发送的第一密文和第二密文,所述第一密文由第一客户端基于第一密钥生成,所述第一密钥由所述第一客户端生成,所述第二密文由所述第一客户端基于所述第一终端的第一公钥和所述第一服务器的公钥生成;
第一计算模块,用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;
第三发送模块,用于将所述第一密文和所述第三密文发送给第二终端,以使所述第二终端基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,以使所述第二终端在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据,所述重加密密钥由所述第一终端基于所述第一终端的第一公钥和第二终端的第二公钥生成后发送给所述第二终端。
8.一种数据共享系统,其特征在于,所述系统包括:第一终端、第二终端、第一服务器和第二服务器;
所述第一终端,用于生成第一密钥、第二密钥和重加密密钥,所述重加密密钥基于所述第一终端的第一公钥和第二终端的第二公钥生成;用于将所述重加密密钥发送给第二终端;用于基于所述第一密钥生成第一密文;用于基于所述第一终端的第一公钥和第一服务器的公钥生成第二密文;用于利用所述第一密钥对待共享数据进行加密,得到待共享加密数据;用于将所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据发送至第二服务器;
所述第二服务器,用于接收所述第一密文、所述第二密文、所述第一终端用户的标识信息和所述待共享加密数据;
所述第一服务器,用于接收第二服务器发送的第一密文和第二密文;用于基于所述第二密文和所述第一服务器的私钥计算,得到第三密文;用于将所述第一密文和所述第三密文发送给第二终端;
所述第二终端,用于基于所述第一密文、所述第三密文和重加密密钥计算所述第一密钥,在获取所述第二服务器中的所述待共享加密数据后,利用所述第一密钥对所述第二服务器中的待共享加密数据进行解密,得到待共享数据。
9.一种数据共享设备,其特征在于,所述设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至5中任一权利要求所述的数据共享方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至5中任一权利要求所述的数据共享方法。
CN201910662742.3A 2019-07-22 2019-07-22 一种数据共享方法、装置、设备、系统及存储介质 Active CN111181906B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910662742.3A CN111181906B (zh) 2019-07-22 2019-07-22 一种数据共享方法、装置、设备、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910662742.3A CN111181906B (zh) 2019-07-22 2019-07-22 一种数据共享方法、装置、设备、系统及存储介质

Publications (2)

Publication Number Publication Date
CN111181906A true CN111181906A (zh) 2020-05-19
CN111181906B CN111181906B (zh) 2021-07-16

Family

ID=70649972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910662742.3A Active CN111181906B (zh) 2019-07-22 2019-07-22 一种数据共享方法、装置、设备、系统及存储介质

Country Status (1)

Country Link
CN (1) CN111181906B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779629A (zh) * 2021-09-09 2021-12-10 北京安天网络安全技术有限公司 密钥文件共享方法、装置、处理器芯片及服务器
CN115460020A (zh) * 2022-11-10 2022-12-09 鹏城实验室 数据共享方法、装置、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140164775A1 (en) * 2012-12-12 2014-06-12 Institute For Information Industry Major management apparatus, authorized management apparatus, electronic apparatus for delegation management, and delegation management methods thereof
CN104158827A (zh) * 2014-09-04 2014-11-19 中电长城网际系统应用有限公司 密文数据共享方法、装置、查询服务器和上传数据客户端
CN108600217A (zh) * 2018-04-23 2018-09-28 南京理工大学 一种云端基于代理重加密的数据授权确定性更新方法
CN109246110A (zh) * 2018-09-18 2019-01-18 北京小米智能科技有限公司 数据共享方法及装置
CN109286636A (zh) * 2018-11-08 2019-01-29 蓝信移动(北京)科技有限公司 密钥管理方法、密钥服务器以及存储介质
CN109347832A (zh) * 2018-10-24 2019-02-15 中国银行股份有限公司 一种动态数据共享方法、终端设备及代理服务器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140164775A1 (en) * 2012-12-12 2014-06-12 Institute For Information Industry Major management apparatus, authorized management apparatus, electronic apparatus for delegation management, and delegation management methods thereof
CN104158827A (zh) * 2014-09-04 2014-11-19 中电长城网际系统应用有限公司 密文数据共享方法、装置、查询服务器和上传数据客户端
CN108600217A (zh) * 2018-04-23 2018-09-28 南京理工大学 一种云端基于代理重加密的数据授权确定性更新方法
CN109246110A (zh) * 2018-09-18 2019-01-18 北京小米智能科技有限公司 数据共享方法及装置
CN109347832A (zh) * 2018-10-24 2019-02-15 中国银行股份有限公司 一种动态数据共享方法、终端设备及代理服务器
CN109286636A (zh) * 2018-11-08 2019-01-29 蓝信移动(北京)科技有限公司 密钥管理方法、密钥服务器以及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779629A (zh) * 2021-09-09 2021-12-10 北京安天网络安全技术有限公司 密钥文件共享方法、装置、处理器芯片及服务器
CN115460020A (zh) * 2022-11-10 2022-12-09 鹏城实验室 数据共享方法、装置、设备及存储介质
CN115460020B (zh) * 2022-11-10 2023-04-28 鹏城实验室 数据共享方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111181906B (zh) 2021-07-16

Similar Documents

Publication Publication Date Title
US9973334B2 (en) Homomorphically-created symmetric key
Ali et al. SeDaSC: secure data sharing in clouds
US20180013555A1 (en) Data transmission method and apparatus
Shao et al. Fine-grained data sharing in cloud computing for mobile devices
US20170310479A1 (en) Key Replacement Direction Control System and Key Replacement Direction Control Method
US11190499B2 (en) Communication terminals, server devices, and programs
CN111181906B (zh) 一种数据共享方法、装置、设备、系统及存储介质
Xu et al. A shareable keyword search over encrypted data in cloud computing
Chao et al. An Improved Key-Management Scheme for Hierarchical Access Control.
Sivasakthi et al. Applying digital signature with encryption algorithm of user authentication for data security in cloud computing
Thangavel et al. Secure file storage and retrieval in cloud
KR101793528B1 (ko) 무인증서 공개키 암호 시스템
KR101812311B1 (ko) 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법
US10892892B1 (en) Method and apparatus for end-to-end secure sharing of information with multiple recipients without maintaining a key directory
Xiong et al. Cloudsafe: Securing data processing within vulnerable virtualization environments in the cloud
EP4022837A1 (en) Multi-party cryptographic systems and methods
Elrabaa et al. A protection and pay-per-use licensing scheme for on-cloud FPGA circuit IPs
CA2988628C (en) Methods and computer program products for encryption key generation and management
Kumar et al. Role of Cryptography & its Related Techniques in Cloud Computing Security
Anjali et al. Design and implementation of secure cloud storage system using hybrid cryptography algorithms with role based access control model
CN110535873B (zh) 应用于数据协同加密系统的加密方法、解密方法
Usha et al. Multiple attribute authority based access control and anonymous authentication in decentralized cloud
CN115632831A (zh) 基于区块链系统的加密及解密方法、装置以及存储介质
Heins Cryptographic Toolkit
Kumar et al. Web Application Security on Top of Public Cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant