CN111740986A - 基于标识密码技术的实现数据共享控制的系统及其方法 - Google Patents

基于标识密码技术的实现数据共享控制的系统及其方法 Download PDF

Info

Publication number
CN111740986A
CN111740986A CN202010563951.5A CN202010563951A CN111740986A CN 111740986 A CN111740986 A CN 111740986A CN 202010563951 A CN202010563951 A CN 202010563951A CN 111740986 A CN111740986 A CN 111740986A
Authority
CN
China
Prior art keywords
data
identification
module
generation module
data sharing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010563951.5A
Other languages
English (en)
Other versions
CN111740986B (zh
Inventor
胡善学
胥怡心
胡永涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Original Assignee
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN202010563951.5A priority Critical patent/CN111740986B/zh
Publication of CN111740986A publication Critical patent/CN111740986A/zh
Application granted granted Critical
Publication of CN111740986B publication Critical patent/CN111740986B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于标识密码技术的实现数据共享控制的系统,包括数据生成模块,用于汇集用户数据,建立以多维标识为基础的数据仓库;私钥生成模块用于针对不同的标识生成对应的用户私钥;数据共享引擎用于对数据消费模块请求的标识集进行处理,共享标识对应的行为属性数据;数据仓库用于存储以标识为基础的数据;数据消费模块,用于向数据生产模块申请用户私钥,并请求所需标识集合的行为属性数据。本发明还涉及一种实现基于标识密码技术的数据共享控制方法。采用了该基于标识密码技术的实现数据共享控制的系统及其方法,有助于实现对敏感数据的保护,也能够促进数据收集方合法合规地利用数据,可以非常有效地进行数据加密传输,能够有效保护数据不被窃取。

Description

基于标识密码技术的实现数据共享控制的系统及其方法
技术领域
本发明涉及移动互联网领域,尤其涉及数据共享领域,具体是指一种基于标识密码技术的实现数据共享控制的系统及其方法。
背景技术
随着移动互联网的飞速发展,网络信息数据呈现出爆炸性增长,这包括与人身份相关联的敏感信息,如个人基本资料、个人身份信息、个人生物识别信息、个人健康生理信息、财产信息、联系人信息、宗教信息等等,同时也包括组织机构商业信息,以及与人相关可接入网络的设备,如个人电脑、汽车、网络摄像头、射频识别(RFID)、传感器等。考虑到与人、组织相关的敏感信息或网络设备产生的信息需要在网际之间交互流动,那么就存在信息泄露的风险,特别是信息买卖交易,严重影响人们的工作生活,给各行各业造成巨大损失,甚至危害国家安全。
同时,当前的商业活动又亟需大量的数据,用于分析以获取有价值的信息,以便于提供更好的经营活动,服务于大众。因此,我们考虑建立一种有效地数据共享技术,既能防止数据的泄露,又能安全地共享出去。
国外对数据共享的研究内容涉及数据共享的动力与障碍、数据共享带来的实质性影响、不同主体的认知态度与责任、相关政策法规、数据管理生命周期下的数据共享以及元数据和本体等技术的应用与发展。从研究现状可以发现,当前国外数据共享研究的重点在于数据共享实现过程中的问题解决、数据共享的影响以及信息组织新技术等在数据共享实践中的应用。
随着互联网和大数据技术的发展,数据共享现象日益普遍。数据共享是一种重要的数据利用方式,也是数据流通和数据产业发展的重要基础。数据共享中的个人信息仍然属于信息权利人的权利,与个人信息的收集、利用行为一样,数据共享也应当获得信息权利人的授权。我国民法典人格权编在规定个人信息权利时,应当规定数据共享规则,数据共享规则的设计应当妥当平衡数据流通与信息主体权利保护之间的关系,在具体设计数据共享规则时,应当在区分不同个人信息类型的基础上,设计信息主体的授权规则。
数据共享和知识产权保护是数字时代和知识经济时代的重要内容。面对新的数据增长模式和处理方式以及数据产权问题,找到新的利益平衡点成为解决该冲突的关键。
当前,影响公钥密码体制下安全系统设计、实现以及有效应用的主要困难,不是选择合适的安全算法或如何实现这些算法,而是用以支持密钥真实性的基础设施的部署和管理。这些基础设施需要为用户提供公钥,或提供用户身份与私钥之间关系的安全保证,如签发包含与私钥相对应公钥的证书。在传统的公钥基础设施中(例如PKI,Public KeyInfrastructure体系),安全保障就是由证书来体现的,其本质是用权威机构来为用户签名。这种管理体制存在很多与证书管理相关的安全问题和实施问题:包括生成、撤销、存储、分配以及认证核查用户身份与证书之间的对应关系等等,这都需要占用大量的处理资源、带宽资源,且涉及范围广泛,协调性标准化要求很高。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种满足安全性好、隐私性好、适用范围较为广泛的基于标识密码技术的实现数据共享控制的系统及其方法。
为了实现上述目的,本发明的基于标识密码技术的实现数据共享控制的系统及其方法如下:
该基于标识密码技术的实现数据共享控制的系统,其主要特点是,所述的系统包括:
数据生成模块,用于汇集用户数据,建立以多维标识为基础的数据仓库;
私钥生成模块,与所述的数据生成模块相连接,用于针对不同的标识生成对应的用户私钥;
数据共享引擎,与所述的数据生成模块和私钥生成模块相连接,用于对数据消费模块请求的标识集进行处理,共享标识对应的行为属性数据;
数据仓库,与所述的数据生成模块和数据共享引擎相连接,用于存储以标识为基础的数据;
数据消费模块,与所述的数据生成模块、私钥生成模块和数据共享引擎相连接,用于向数据生产模块申请用户私钥,并请求所需标识集合的行为属性数据。
较佳地,所述的数据生成模块从各平台汇集用户数据,根据用户授权来完成后续对数据的共享,并将数据存储至数据仓库。
较佳地,所述的数据消费模块还用于建立与标识之间可信通道,并验证数据的合法性。
该利用上述系统实现基于标识密码技术的数据共享控制方法,其主要特点是,所述的方法包括以下步骤:
(1)数据生成模块和私钥生成模块建立可信环境;
(2)数据消费模块申请标识数据,验证合法性,并进行标识数据查询;
(3)数据共享引擎构建和传输已授权的标识行为属性数据;
(4)数据共享引擎进行行为属性数据的验证与解密。
较佳地,所述的步骤(1)具体包括以下步骤:
(1.1)数据生成模块发布密钥生成参数,并向密钥生成中心发布密钥生成参数,生成用于数据共享的主密钥和签名主密钥对;
(1.2)数据消费模块申请生成以数据消费模块主体作为标识的用户私钥。
较佳地,所述的步骤(2)具体包括以下步骤:
(2.1)数据消费模块向数据生成模块申请标识集合为ID-Set的行为属性数据;
(2.2)数据生成模块验证数据消费模块的合法性,如果合法,则将标识集合ID-Set发给数据共享引擎;否则,继续验证;
(2.3)数据共享引擎向数据仓库请求查询ID-Set中已授权的标识元素。
较佳地,所述的步骤(3)具体包括以下步骤:
(3.1)数据共享引擎为已授权的标识申请用于签名的用户私钥,并申请用于密钥交换的用户私钥;
(3.2)数据共享引擎针对每一个已授权的标识,与数据消费方协商共享秘钥;
(3.3)数据共享引擎向数据仓库发起请求,提取ID-Set中已授权标识的属性行为数据;
(3.4)数据共享引擎针对每个已授权的标识使用共享秘钥加密属性行为数据;
(3.5)数据共享引擎对密文的属性行为数据使用相应的用户私钥进行签名。
较佳地,所述的步骤(4)具体包括以下步骤:
(4.1)数据共享引擎将密文数据和签名发往数据消费模块;
(4.2)数据消费模块对接收数据进行处理。
采用了该基于标识密码技术的实现数据共享控制的系统及其方法,标识算法能够通过构建轻量级的签名验签、加解密、密钥协商等平台,有助于实现对敏感数据的保护,也能够促进数据收集方合法合规地利用数据。本发明通过使用标识密码算法,以标识作为密钥分发的基础,可以有助于建立细粒度的数据管理和应用。本发明通过使用标识密码算法,在数据共享过程中,可以非常有效地进行数据加密传输,能够有效保护数据不被窃取。
附图说明
图1为本发明的基于标识密码技术的实现数据共享控制的系统的结构图。
图2为本发明的基于标识密码技术的实现数据共享控制的系统的数据生成模块结构示意图。
图3为本发明的实现基于标识密码技术的数据共享控制方法的建立可信环境的流程图。
图4为本发明的实现基于标识密码技术的数据共享控制方法的标识数据查询的流程图。
图5为本发明的实现基于标识密码技术的数据共享控制方法的构建和传输已授权的标识行为属性数据的流程图。
图6为本发明的实现基于标识密码技术的数据共享控制方法的行为属性数据的验证与解密的流程图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
本发明的该基于标识密码技术的实现数据共享控制的系统,其中包括:
数据生成模块,用于汇集用户数据,建立以多维标识为基础的数据仓库;
私钥生成模块,与所述的数据生成模块相连接,用于针对不同的标识生成对应的用户私钥;
数据共享引擎,与所述的数据生成模块和私钥生成模块相连接,用于对数据消费模块请求的标识集进行处理,共享标识对应的行为属性数据;
数据仓库,与所述的数据生成模块和数据共享引擎相连接,用于存储以标识为基础的数据;
数据消费模块,与所述的数据生成模块、私钥生成模块和数据共享引擎相连接,用于向数据生产模块申请用户私钥,并请求所需标识集合的行为属性数据。
较佳地,所述的数据生成模块从各平台汇集用户数据,根据用户授权来完成后续对数据的共享,并将数据存储至数据仓库。
较佳地,所述的数据消费模块还用于建立与标识之间可信通道,并验证数据的合法性。
本发明的该利用上述系统实现基于标识密码技术的数据共享控制方法,其中包括以下步骤:
(1)数据生成模块和私钥生成模块建立可信环境;
(2)数据消费模块申请标识数据,验证合法性,并进行标识数据查询;
(3)数据共享引擎构建和传输已授权的标识行为属性数据;
(4)数据共享引擎进行行为属性数据的验证与解密。
较佳地,所述的步骤(1)具体包括以下步骤:
(1.1)数据生成模块发布密钥生成参数,并向密钥生成中心发布密钥生成参数,生成用于数据共享的主密钥和签名主密钥对;
(1.2)数据消费模块申请生成以数据消费模块主体作为标识的用户私钥。
较佳地,所述的步骤(2)具体包括以下步骤:
(2.1)数据消费模块向数据生成模块申请标识集合为ID-Set的行为属性数据;
(2.2)数据生成模块验证数据消费模块的合法性,如果合法,则将标识集合ID-Set发给数据共享引擎;否则,继续验证;
(2.3)数据共享引擎向数据仓库请求查询ID-Set中已授权的标识元素。
较佳地,所述的步骤(3)具体包括以下步骤:
(3.1)数据共享引擎为已授权的标识申请用于签名的用户私钥,并申请用于密钥交换的用户私钥;
(3.2)数据共享引擎针对每一个已授权的标识,与数据消费方协商共享秘钥;
(3.3)数据共享引擎向数据仓库发起请求,提取ID-Set中已授权标识的属性行为数据;
(3.4)数据共享引擎针对每个已授权的标识使用共享秘钥加密属性行为数据;
(3.5)数据共享引擎对密文的属性行为数据使用相应的用户私钥进行签名。
较佳地,所述的步骤(4)具体包括以下步骤:
(4.1)数据共享引擎将密文数据和签名发往数据消费模块;
(4.2)数据消费模块对接收数据进行处理。
本发明的具体实施方式中,标识密码算法作为一种轻量级的密码技术,能够为数据共享提供指引。数据共享出去,不是无序混杂的数据,而是要以标识为关键字的一系列行为属性数据,数据消费方就可以分析它,利用它。通过标识构建加解密密钥、签名验签密钥以及实现共享秘钥,可以有效地保护标识自身关联的数据,并与其它标识保持良好的独立性,能够做到充分地保护用户的个人隐私。
标识密码算法的设计思想是以实体的有效标识作为公钥,用户无需申请和交换证书,从而大大降低安全系统的复杂性。基于标识的密码体制假设存在一个可信的密钥生成中心(KGC,key generator center),当用户第一次加入到系统,或达到系统要求的进行私钥更新的条件时,该中心会给用户生成一个私钥。该中心作用类似现实生活中的身份识别卡的发卡机构。用户自己选择标识信息,如用户姓名、用户的电子邮件、电话号码等信息或这些信息的组合作为其公钥使用,同时该用户也不能对代表自己的标识加以否认且该标识信息是可以公开发布的。而与用户选择的标识信息即公钥所对应的私钥则由密钥生成中心生成,像其它权威的身份识别卡的发卡机构一样,密钥生成中心须严格审查要申请私钥的用户身份,以避免非法用户盗用合法用户的标识/身份;同时密钥生成中心也应保护好计算用户私钥所使用的特权信息以防止用户私钥泄露。而对一般用户而言,则应防止自己的私钥泄露,或其在使用时被非法复制。
本发明的基于标识密码技术的实现数据共享控制的系统如图1所示,主要包括两个方面,一个是数据生成过程,另一个就是数据共享过程。
数据生成过程主要是数据生产方将用户数据汇集,建立以多维标识为基础的数据仓库。当数据消费方有需求时,可以非常方便地向数据生产方提出申请。
数据共享过程主要是数据生产方提供合法合规方式将数据共享给数据消费方。数据共享过程需要考虑以下几点:(1)数据拥有者的使用授权;(2)数据本身的完整性;(3)数据传输的保密性。
数据生成过程主要企事业单位在日常业务中,产生与客户工作、生活等相关的行为属性数据。例如,我们使用地图软件,搜索起始点和目的地,以及经过的路线,都是与个人息息相关的敏感数据,特别是家庭地址信息、工作地点信息;另外,用户的购物信息,在各家电商平台上,每一个年龄段都会有不同的购物习惯和需求,这所有的信息都将被电商平台所收集。另外,移动端应用会借用录音功能,将用户的谈话录下来,分析用户,然后在用户搜索时,提供推荐内容,这极大地侵犯了用户的隐私。
在金融、保险领域,不管是金融贷款还是办理保险,都需要对用户进行大量数据收集,并分析。通过对用户的收入支出以及购物情况进行分析,以及供职企业,可以分析用户的经济状况,并能获取更优的贷款额度;同样,保险行业是对用户进行经济状况、身体状况进行评估,所以就需要去共享银行方面的数据和医疗数据。
随着物联网的不断深入发展,物联网产生的数据体量不断增大,比如空调、电视、冰箱等家居设备,甚至是智能马桶,以及互联网汽车,都会产生大量的数据,这些数据最终会跟用户相关联,并直接用于对用户操作及行为的评估,用于具有商业价值的领域。
我们可以看到,电商平台、金融机构、网络,当数据生成完成之后,具有提供给其他商业机构的数据供应能力,但存在一个问题,那就是用户对自己产生的数据信息,并没有完全自主决定权。因此,我们考虑,针对用户产生的数据信息,在数据分享过程中,需要用户参与授权,只有用户授权,数据的流通才具有合法性,数据生成过程如图2所示。
关于数据共享过程中,传统方式一般采用分发应用ID和应用密钥的方式,将数据加密返回给数据消费方,或者直接将数据仓库暴露给数据消费方。这样的方式过于简单,不够细粒度化,若密钥泄露,也会造成数据的大量泄露。
而标识密码算法本身所具有的特点,可以从细粒度上对数据进行管理,并与数据消费方建立安全通道,将数据传输到数据消费方。
数据生产方构建基于标识算法的安全环境,包括建立密钥生成中心、密钥安全分发平台、数据共享引擎。
其中密钥生成中心主要是针对不同的标识生成对应的用户私钥,
而密钥安全分发平台,主要是完成对用户私钥进行安全分发。
数据共享引擎主要是对数据消费方请求的标识集进行处理,将标识对应的行为属性数据共享出去。
数据消费方主要是完成向数据生产方申请用户私钥,并请求所需标识集合的行为属性数据,这其中包括建立与标识之间可信通道,并验证数据的合法性。
本发明的基于上述系统实现数据共享的方法,其中,包括以下步骤:
1、建立可信环境:
建立可信环境的流程如图3所示,数据生产方构建自己的私有KGC,并向密钥生成中心KGC发布密钥生成参数,生成用于数据共享的加密主密钥对(包括加密主公钥和加密主私钥,[ke,Ppub-e])、签名主密钥对(包括签名主公钥和签名主私钥,[ks,Ppub-s])。
数据生产方通过构建自己的密钥生成中心,可以有助于向数据消费方安全地提供数据。密钥生成中心建立后,可以向各数据消费方提供接入所需要的用户级私钥,同时为数据生产方所定义的标识提供用户级私钥,这需要通过数据共享引擎协助处理。
数据消费方申请生成以数据消费方主体作为标识的用户级私钥。数据消费方自身申请的用户级私钥主要用于完成与待查询标识的密钥交换。数据消费方向隶属于数据生产方的KGC申请用户级私钥,我们将其记为(IDc-dec)。
2、标识数据查询,如图4所示:
1)数据消费方向数据生产方申请标识集合为(ID-Set:{IDi,i={0,n}})的行为属性数据;
2)数据生产方验证数据消费方请求的合法性(合法性可通过注册机制来保证),验证合法后将标识集合ID-Set转发发给数据共享引擎;
3)数据共享引擎向数据仓库请求查询ID-Set中已授权的标识元素ID-SubSet:{IDj,j∈{0,……,m,m<=n}}。
3、构建和传输已授权的标识行为属性数据,如图5所示:
1)数据共享引擎为已授权的标识,向KGC申请用于签名的用户私钥,记为dsDj,并申请用于密钥交换的用户私钥,记为deDj
2)数据共享引擎针对每一个已授权的标识,与数据消费方协商共享秘钥SKDj
3)数据共享引擎向数据仓库发起请求,提取ID-Set中已授权标识的属性行为数据;
4)针对每一个已授权的标识IDj,使用共享秘钥SKDj加密行为属性数据,我们将隶属于IDj的行为属性数据记为ActAttr-DataSet-IDj,使用SKDj加密后的行为属性数据定义Enc(SKDj,ActAttr-DataSet-IDj);
5)针对某一标识,数据共享引擎对密文的行为属性数据使用相应的用户私钥进行签名
为了确保数据的完整性,数据共享引擎使用dsDj对Enc(SKDj,ActAttr-DataSet-IDj)进行签名,记为Sign(dsDj,Enc(SKDj,ActAttr-DataSet-IDj)),当数据消费方接收到数据时,即可使用IDj进行验签操作;
4、行为属性数据的验证与解密,如图6所示:
1)数据共享引擎将密文和签名数据发往数据消费方;
构建行为属性数据集合,将密文和签名数据进行打包,发往之前请求的数据消费方。
2)数据消费方对接收数据的处理;
数据消费方使用ID信息对相应的密文数据进行验签,确保数据的完整性,若成功后,则使用共享秘钥SKDj对行为属性数据进行解密,最终即可实现数据共享。
采用了该基于标识密码技术的实现数据共享控制的系统及其方法,标识算法能够通过构建轻量级的签名验签、加解密、密钥协商等平台,有助于实现对敏感数据的保护,也能够促进数据收集方合法合规地利用数据。本发明通过使用标识密码算法,以标识作为密钥分发的基础,可以有助于建立细粒度的数据管理和应用。本发明通过使用标识密码算法,在数据共享过程中,可以非常有效地进行数据加密传输,能够有效保护数据不被窃取。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。

Claims (8)

1.一种基于标识密码技术的实现数据共享控制的系统,其特征在于,所述的系统包括:
数据生成模块,用于汇集用户数据,建立以多维标识为基础的数据仓库;
私钥生成模块,与所述的数据生成模块相连接,用于针对不同的标识生成对应的用户私钥;
数据共享引擎,与所述的数据生成模块和私钥生成模块相连接,用于对数据消费模块请求的标识集进行处理,共享标识对应的行为属性数据;
数据仓库,与所述的数据生成模块和数据共享引擎相连接,用于存储以标识为基础的数据;
数据消费模块,与所述的数据生成模块、私钥生成模块和数据共享引擎相连接,用于向数据生产模块申请用户私钥,并请求所需标识集合的行为属性数据。
2.根据权利要求1所述的基于标识密码技术的实现数据共享控制的系统,其特征在于,所述的数据生成模块从各平台汇集用户数据,根据用户授权来完成后续对数据的共享,并将数据存储至数据仓库。
3.根据权利要求1所述的基于标识密码技术的实现数据共享控制的系统,其特征在于,所述的数据消费模块还用于建立与标识之间可信通道,并验证数据的合法性。
4.一种利用权利要求1所述的系统实现基于标识密码技术的数据共享控制方法,其特征在于,所述的方法包括以下步骤:
(1)数据生成模块和私钥生成模块建立可信环境;
(2)数据消费模块申请标识数据,验证合法性,并进行标识数据查询;
(3)数据共享引擎构建和传输已授权的标识行为属性数据;
(4)数据共享引擎进行行为属性数据的验证与解密。
5.根据权利要求4所述的实现基于标识密码技术的数据共享控制方法,其特征在于,所述的步骤(1)具体包括以下步骤:
(1.1)数据生成模块发布密钥生成参数,并向密钥生成中心发布密钥生成参数,生成用于数据共享的主密钥和签名主密钥对;
(1.2)数据消费模块申请生成以数据消费模块主体作为标识的用户私钥。
6.根据权利要求4所述的实现基于标识密码技术的数据共享控制方法,其特征在于,所述的步骤(2)具体包括以下步骤:
(2.1)数据消费模块向数据生成模块申请标识集合为ID-Set的行为属性数据;
(2.2)数据生成模块验证数据消费模块的合法性,如果合法,则将标识集合ID-Set发给数据共享引擎;否则,继续验证;
(2.3)数据共享引擎向数据仓库请求查询ID-Set中已授权的标识元素。
7.根据权利要求4所述的实现基于标识密码技术的数据共享控制方法,其特征在于,所述的步骤(3)具体包括以下步骤:
(3.1)数据共享引擎为已授权的标识申请用于签名的用户私钥,并申请用于密钥交换的用户私钥;
(3.2)数据共享引擎针对每一个已授权的标识,与数据消费方协商共享秘钥;
(3.3)数据共享引擎向数据仓库发起请求,提取ID-Set中已授权标识的属性行为数据;
(3.4)数据共享引擎针对每个已授权的标识使用共享秘钥加密属性行为数据;
(3.5)数据共享引擎对密文的属性行为数据使用相应的用户私钥进行签名。
8.根据权利要求4所述的实现基于标识密码技术的数据共享控制方法,其特征在于,所述的步骤(4)具体包括以下步骤:
(4.1)数据共享引擎将密文数据和签名发往数据消费模块;
(4.2)数据消费模块对接收数据进行处理。
CN202010563951.5A 2020-06-19 2020-06-19 基于标识密码技术的实现数据共享控制的系统及其方法 Active CN111740986B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010563951.5A CN111740986B (zh) 2020-06-19 2020-06-19 基于标识密码技术的实现数据共享控制的系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010563951.5A CN111740986B (zh) 2020-06-19 2020-06-19 基于标识密码技术的实现数据共享控制的系统及其方法

Publications (2)

Publication Number Publication Date
CN111740986A true CN111740986A (zh) 2020-10-02
CN111740986B CN111740986B (zh) 2022-07-19

Family

ID=72650158

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010563951.5A Active CN111740986B (zh) 2020-06-19 2020-06-19 基于标识密码技术的实现数据共享控制的系统及其方法

Country Status (1)

Country Link
CN (1) CN111740986B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101989984A (zh) * 2010-08-24 2011-03-23 北京易恒信认证科技有限公司 电子文件安全共享系统及方法
CN102075544A (zh) * 2011-02-18 2011-05-25 博视联(苏州)信息科技有限公司 局域网共享文件加密系统及其加解密方法
US8874915B1 (en) * 2011-09-28 2014-10-28 Amazon Technologies, Inc. Optimized encryption key exchange
US20180025145A1 (en) * 2015-02-10 2018-01-25 Bundesdruckerei Gmbh Computer-implemented method for controlling access
CN107979590A (zh) * 2017-11-02 2018-05-01 财付通支付科技有限公司 数据共享方法、客户端、服务器、计算设备及存储介质
CN109450884A (zh) * 2018-10-26 2019-03-08 天津海泰方圆科技有限公司 一种数据加密、解密方法、装置、系统、设备及介质
CN109471844A (zh) * 2018-10-10 2019-03-15 深圳市达仁基因科技有限公司 文件共享方法、装置、计算机设备和存储介质
US20190236300A1 (en) * 2017-03-30 2019-08-01 Tencent Technology (Shenzhen) Company Limited Service processing method and apparatus, data sharing system, and storage medium
CN110519041A (zh) * 2019-07-29 2019-11-29 同济大学 一种基于sm9标识加密的属性基加密方法
CN111106936A (zh) * 2019-11-27 2020-05-05 国家电网有限公司 一种基于sm9的属性加密方法与系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101989984A (zh) * 2010-08-24 2011-03-23 北京易恒信认证科技有限公司 电子文件安全共享系统及方法
CN102075544A (zh) * 2011-02-18 2011-05-25 博视联(苏州)信息科技有限公司 局域网共享文件加密系统及其加解密方法
US8874915B1 (en) * 2011-09-28 2014-10-28 Amazon Technologies, Inc. Optimized encryption key exchange
US20180025145A1 (en) * 2015-02-10 2018-01-25 Bundesdruckerei Gmbh Computer-implemented method for controlling access
US20190236300A1 (en) * 2017-03-30 2019-08-01 Tencent Technology (Shenzhen) Company Limited Service processing method and apparatus, data sharing system, and storage medium
CN107979590A (zh) * 2017-11-02 2018-05-01 财付通支付科技有限公司 数据共享方法、客户端、服务器、计算设备及存储介质
CN109471844A (zh) * 2018-10-10 2019-03-15 深圳市达仁基因科技有限公司 文件共享方法、装置、计算机设备和存储介质
CN109450884A (zh) * 2018-10-26 2019-03-08 天津海泰方圆科技有限公司 一种数据加密、解密方法、装置、系统、设备及介质
CN110519041A (zh) * 2019-07-29 2019-11-29 同济大学 一种基于sm9标识加密的属性基加密方法
CN111106936A (zh) * 2019-11-27 2020-05-05 国家电网有限公司 一种基于sm9的属性加密方法与系统

Also Published As

Publication number Publication date
CN111740986B (zh) 2022-07-19

Similar Documents

Publication Publication Date Title
CN112989415B (zh) 一种基于区块链的隐私数据存储与访问控制方法及系统
CN109194523B (zh) 隐私保护的多方诊断模型融合方法及系统、云端服务器
CN110099043A (zh) 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN110474893A (zh) 一种异构跨信任域密态数据安全分享方法及系统
CN108040056B (zh) 基于物联网的安全医疗大数据系统
CN111212084B (zh) 一种面向边缘计算的属性加密访问控制方法
US20010020228A1 (en) Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
US20080310619A1 (en) Process of Encryption and Operational Control of Tagged Data Elements
CN103179114A (zh) 一种云存储中的数据细粒度访问控制方法
CN115242518A (zh) 混合云环境下医疗健康数据保护系统与方法
Win et al. Privacy enabled digital rights management without trusted third party assumption
Gao et al. A privacy-preserving identity authentication scheme based on the blockchain
Sethia et al. CP-ABE for selective access with scalable revocation: A case study for mobile-based healthfolder.
Guo et al. Using blockchain to control access to cloud data
Deng et al. Policy-based broadcast access authorization for flexible data sharing in clouds
Pugazhenthi et al. Data access control and secured data sharing approach for health care data in cloud environment
Poornima et al. A Generic Framework for Sharing Data Using Attribute Based Cryptography in Hybrid Cloud
CN112733179B (zh) 一种轻量级非交互隐私保护数据聚合方法
CN114238897A (zh) 基于分布式数字身份的物联网数据采集系统及方法
Huynh et al. A reliability guaranteed solution for data storing and sharing
Wang et al. Data transmission and access protection of community medical internet of things
CN111740986B (zh) 基于标识密码技术的实现数据共享控制的系统及其方法
Lin et al. Research on security and performance of blockchain with innovation architecture technology
Bertino et al. Digital identity protection-concepts and issues
CN113990399A (zh) 保护隐私安全的基因数据分享方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant