CN112217804A - 隐私化数据跨平台数据安全流转系统及方法 - Google Patents
隐私化数据跨平台数据安全流转系统及方法 Download PDFInfo
- Publication number
- CN112217804A CN112217804A CN202010996116.0A CN202010996116A CN112217804A CN 112217804 A CN112217804 A CN 112217804A CN 202010996116 A CN202010996116 A CN 202010996116A CN 112217804 A CN112217804 A CN 112217804A
- Authority
- CN
- China
- Prior art keywords
- data
- platform
- side communication
- sub
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Abstract
本发明涉及一种隐私化数据跨平台数据安全流转系统及方法。该系统包括:数据平台;数据转发服务器;至少一个发送终端,由发送用户所持有,分别与数据平台和数据转发服务器通信连接,每个发送终端具有唯一的发送终端识别码;以及至少一个接收终端,分别与数据平台和数据转发服务器通信连接,由接收用户所持有,每个接收终端具有唯一的接收终端识别码,数据平台具有平台侧数据存储部、平台侧数据检索获取部和平台侧通信部,数据转发服务器具有服务侧数据存储部、服务侧数据检索获取部和服务侧通信部,发送终端具有发送侧数据存储部、数据拆分部、数据加密部和发送侧通信部,接收终端具有数据获取请求生成部、数据解密部、数据恢复部和接收侧通信部。
Description
技术领域
本发明属于数据传输安全技术领域,特别涉及一种隐私化数据跨平台数据安全流转系统以及隐私化数据跨平台数据安全流转方法。
背景技术
现有数据平台数据转发与平台是一体化的,即数据通过平台进行转发。由于平台可能会对用户的隐私产生好奇,而偷窥或者截留用户的数据。所以,在这种模式下用户的数据是不安全的。此时,用户想要使用平台的数据转发功能,就必须信任平台。但是这种信任往往是脆弱的,用户的隐私数据经常受到来平台的侵害。
为了保护数据的安全,一种常用的措施就是对数据进行加密。但是加密之后的密钥传输依旧是一个问题。如果密钥通过平台进行传输,则平台会在拥有密文的同时也拥有解密的密钥。此时就和不加密数据相比没有什么区别。如果采用点对点的专线方式进行传输,虽然可以保护密钥,并且数据也可以直接通过专线进行传输。但是这种方法成本非常之高,一个数据源需要使用专线连接多个数据需求方,一个数据需求方也需要连接多个数据提供方。这种方式不仅结构复杂,而且成本非常高。
发明内容
本发明是为了解决上述问题而进行的,目的在于提供一种能够在保留数据平台隔离数据提供方和需求方的特点的基础上有效地保护数据的安全性的隐私化数据跨平台数据安全流转系统以及隐私化数据跨平台数据安全流转方法。
本发明为了实现上述目的,采用了以下方案:
本发明提供一种隐私化数据跨平台数据安全流转系统,具有这样的特征,包括:数据平台;数据转发服务器;至少一个发送终端,由发送用户所持有,分别与数据平台和数据转发服务器通信连接,每个发送终端具有唯一的发送终端识别码;以及至少一个接收终端,分别与数据平台和数据转发服务器通信连接,由接收用户所持有,每个接收终端具有唯一的接收终端识别码,其中,数据平台具有平台侧数据存储部、平台侧数据检索获取部以及平台侧通信部,数据转发服务器具有服务侧数据存储部、服务侧数据检索获取部以及服务侧通信部,发送终端具有发送侧数据存储部、数据拆分部、数据加密部以及发送侧通信部,接收终端具有数据获取请求生成部、数据解密部、数据恢复部以及接收侧通信部,发送侧数据存储部存储有至少一个具有不同文件标识的数据文件,一旦发送用户从至少一个数据文件中选定至少一个需要进行发送的数据文件作为待发送数据文件,数据拆分部就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成n个子数据文件,数据加密部采用预设一对多加密算法并使用公钥对n个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文,发送侧通信部将二个子数据密文分别发送给数据平台和数据转发服务器,一旦平台侧通信部和服务侧通信部接收到对应的子数据密文,平台侧数据存储部和服务侧数据存储部就分别将接收到的子数据密文和对应的文件标识进行对应存储,数据获取请求生成部根据文件标识生成获取数据文件的数据获取请求,接收侧通信部将数据获取请求分别发送给数据平台和数据转发服务器,一旦平台侧通信部和服务侧通信部接收到数据获取请求,平台侧数据检索获取部就根据文件标识对平台侧数据存储部进行检索获取对应的子数据密文,服务侧数据检索获取部根据文件标识对服务侧数据存储部进行检索获取对应的子数据密文,平台侧通信部和服务侧通信部将获取的子数据密文分别发送给接收终端,一旦接收用户选定接收到的二个子数据密文作为待解密子密文,数据解密部就采用预设一对多加密算法并使用私钥分别解密二个待解密子密文,以判断私钥中的接收终端信息是否满足公钥中的访问控制策略,若满足则解密得到明文子数据文件,数据恢复部采用预设(2,n)门限秘密分享算法对二个明文子数据文件进行恢复得到数据文件,n为大于2的正整数。
在本发明提供的隐私化数据跨平台数据安全流转系统中,还可以具有这样的特征:其中,数据平台还具有一对多密钥生成部,发送终端还具有公钥获取指令生成部,一旦发送用户选定待发送数据文件,公钥获取指令生成部就基于访问控制策略生成公钥获取指令,发送侧通信部将公钥获取指令发送给数据平台,一旦平台侧通信部接收到公钥获取指令,一对多密钥生成部就生成公钥,平台侧通信部将公钥发送给发送终端。
在本发明提供的隐私化数据跨平台数据安全流转系统中,还可以具有这样的特征:其中,发送终端还具有发送侧密钥存储部,一旦发送侧通信部接收到公钥,发送侧密钥存储部就将该公钥进行存储。
在本发明提供的隐私化数据跨平台数据安全流转系统中,还可以具有这样的特征:其中,预设一对多加密算法为代理重加密算法,数据平台还具有一对多密钥生成部,接收终端还具有私钥获取指令生成部和接收侧密钥存储部,私钥获取指令生成部基于接收终端信息生成私钥获取指令,接收侧通信部将私钥获取指令发送给数据平台,一旦平台侧通信部接收到私钥获取指令,一对多密钥生成部就生成私钥,平台侧通信部将私钥发送给接收终端,一旦接收侧通信部接收到私钥,接收侧密钥存储部就将该私钥进行存储。
在本发明提供的隐私化数据跨平台数据安全流转系统中,还可以具有这样的特征:其中,预设一对多加密算法为ABE算法或者IBE算法,数据平台还具有一对多密钥生成部,接收终端还具有私钥获取指令生成部,一旦接收用户选定待解密子密文,私钥获取指令生成部就基于接收终端信息生成私钥获取指令,接收侧通信部将私钥获取指令发送给数据平台,一旦平台侧通信部接收到私钥获取指令,一对多密钥生成部就生成私钥,平台侧通信部将私钥发送给接收终端。
在本发明提供的隐私化数据跨平台数据安全流转系统中,还可以具有这样的特征:其中,接收终端还具有接收侧数据存储部,一旦数据恢复部得到数据文件,接收侧数据存储部将该数据文件进行存储。
本发明还提供了一种隐私化数据跨平台数据安全流转方法,具有这样的特征,包括:一旦发送用户从至少一个数据文件中选定至少一个需要进行发送的数据文件作为待发送数据文件,数据拆分部就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成多个子数据文件,数据加密部采用预设一对多加密算法并使用公钥对多个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文,发送侧通信部将二个子数据密文分别发送给数据平台和数据转发服务器,一旦平台侧通信部和服务侧通信部接收到对应的子数据密文,平台侧数据存储部和服务侧数据存储部就分别将接收到的子数据密文和对应的文件标识进行对应存储,获取请求生成部根据文件标识生成获取数据文件的数据获取请求,接收侧通信部将获取请求分别发送给数据平台和数据转发服务器,一旦平台侧通信部和服务侧通信部接收到数据获取请求,平台侧数据检索获取部就根据文件标识对平台侧数据存储部进行检索获取对应的子数据密文,服务侧数据检索获取部根据文件标识对服务侧数据存储部进行检索获取对应的子数据密文,平台侧通信部和服务侧通信部将获取的子数据密文分别发送给接收终端,一旦接收用户选定接收到的二个子数据密文作为待解密子密文,数据解密部就采用预设一对多加密算法并使用私钥分别解密待解密子密文,以判断私钥中的接收终端信息是否满足公钥中的访问控制策略,若满足则解密得到明文子数据文件,数据恢复部采用预设(2,n)门限秘密分享算法对二个明文子数据文件进行恢复得到数据文件。
发明的作用与效果
根据本发明所涉及的隐私化数据跨平台数据安全流转系统及隐私化数据跨平台数据安全流转方法,因为数据拆分部就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成n个子数据文件,数据加密部采用预设一对多加密算法并使用公钥对n个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文,发送侧通信部将二个子数据密文分别发送给数据平台和数据转发服务器,接收侧通信部将数据获取请求分别发送给数据平台和数据转发服务器,平台侧数据检索获取部根据文件标识对平台侧数据存储部进行检索获取对应的子数据密文,服务侧数据检索获取部根据文件标识对服务侧数据存储部进行检索获取对应的子数据密文,平台侧通信部和服务侧通信部将获取的子数据密文分别发送给接收终端,数据解密部采用预设一对多加密算法并使用私钥分别解密二个待解密子密文,以判断私钥中的接收终端信息是否满足公钥中的访问控制策略,若满足则解密得到明文子数据文件,数据恢复部采用预设(2,n)门限秘密分享算法对二个明文子数据文件进行恢复得到数据文件,所以,本发明只需附加一台数据转发服务器并利用现有的数据平台的转发功能,通过对数据进行拆分并经数据转发服务器和数据平台进行转发,有效地保障了数据的安全性;而且,采用一对多加密算法对数据进行加密和解密处理,在保留现有数据平台隔离数据提供方和需求方的特点的基础上,低成本地实现了对数据的保护。
附图说明
图1是本发明的实施例中隐私化数据跨平台数据安全流转系统的结构框图;
图2是本发明的实施例中数据平台的结构框图;
图3是本发明的实施例中数据转发服务器的结构框图;
图4是本发明的实施例中发送终端的结构框图;
图5是本发明的实施例中接收终端的结构框图;以及
图6是本发明的实施例中隐私化数据跨平台数据安全流转系统转发数据的动作流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,以下结合实施例及附图对本发明的隐私化数据跨平台数据安全流转系统以及隐私化数据跨平台数据安全流转方法作具体阐述。
<实施例>
图1是本发明的实施例中隐私化数据跨平台数据安全流转系统的结构框图。
如图1所示,在本实施例中,隐私化数据跨平台数据安全流转系统100是在传统的数据平台系统的基础上改进而成的,包括数据平台10、数据转发服务器20、多个发送终端30以及多个接收终端40。
数据平台10为现有技术中的数据平台,该数据平台至少具有数据转发功能和一对多密钥生成功能。
数据转发服务器20与数据平台10相互独立,具有数据转发功能。
多个发送终端30由发送用户所持有,也就是由数据提供方所持有。多个发送终端30通过通信网络50分别与数据平台10和数据转发服务器20连接,通信网络50可以为无线网络或有线网络。每个发送终端30具有唯一的发送终端识别码,本实施例中,发送终端识别码为每个发送终端的IP地址。
多个接收终端40由接收用户所持有,也就是由数据需求方所持有。多个接收终端40通过通信网络60分别与数据平台10和数据转发服务器20连接,通信网络60可以为无线网络或有线网络。每个接收终端40具有唯一的接收终端识别码,本实施例中,接收终端识别码为每个接收终端的IP地址。
图2是本发明的实施例中数据平台的结构框图。
如图2所示,数据平台10包含平台侧数据存储部11、平台侧数据检索获取部12、一对多密钥生成部13、平台侧暂存部14、平台侧通信部15以及平台侧控制部16。
平台侧数据存储部11用于将发送终端30发送来的子数据密文和对应的文件标识进行对应存储。
平台侧数据检索获取部12用于根据文件标识对平台侧数据存储部11进行检索获取对应的子数据密文。
一对多密钥生成部13用于根据发送终端30的公钥获取指令生成对应的公钥;也用于根据接收终端40的私钥获取指令生成对应的私钥。
平台侧通信部14用于进行数据平台10的各个构成部分之间、数据平台10与发送终端30之间以及数据平台10与接收终端40之间的数据交换。例如,接收发送终端30发来的子数据密文和公钥获取指令,接收接收终端30发来的私钥获取指令,以及将平台侧数据检索获取部12获取到的子数据密文发送给接收终端40。
平台侧暂存部15用于暂时存储数据平台10的各个构成部分之间、数据平台10与发送终端30之间以及数据平台10与接收终端40之间所交换的相关数据信息,包括发送终端30发来的公钥获取指令、以及接收终端40发来的私钥获取指令。
平台侧控制部16用于控制数据平台10中的各个构成部分的工作。
图3是本发明的实施例中数据转发服务器的结构框图。
如图3所示,数据转发服务器20包含服务侧数据存储部21、服务侧数据检索获取部22、服务侧通信部23、服务侧暂存部24以及服务侧控制部25。
服务侧数据存储部21用于将发送终端30发送来的子数据密文和对应的文件标识进行对应存储。
服务侧数据检索获取部22用于根据文件标识对服务侧数据存储部21进行检索获取对应的子数据密文。
服务侧通信部23用于进行数据转发服务器20的各个构成部分、数据转发服务器20与发送终端30之间以及数据转发服务器20与接收终端40之间的数据交换。例如,接收发送终端30发来的子数据密文,以及将服务侧数据检索获取部22或取到的子数据密文发送给接收终端40。
服务侧暂存部24用于暂时存储数据转发服务器20的各个构成部分之间、数据转发服务器20与发送终端30之间以及数据转发服务器20与接收终端40之间所交换的相关数据信息。
服务侧通信部25用于控制数据转发服务器20中的各个构成部分的工作。
图4是本发明的实施例中发送终端的结构框图。
如图4所示,发送终端30包含发送侧数据存储部31、数据拆分部32、公钥获取指令生成部33、发送侧密钥储存部34、数据加密部35、发送侧通信部36、发送侧暂存部37以及发送侧控制部38。
发送侧数据存储部31用于存储多个数据文件,每个数据文件分别具有不同的文件标识。本实施例中,文件标识为文件名。
数据拆分部32用于采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成n个子数据文件,n为大于2的正整数。
公钥获取指令生成部33用于基于访问控制策略生成公钥获取指令。一旦发送用户选定待发送数据文件,公钥获取指令生成部33就基于访问控制策略生成公钥获取指令。
发送侧密钥储存部34用于存储公钥。一旦发送侧通信部36接收到公钥,发送侧密钥存储部34就将该公钥进行存储。
数据加密部35用于采用预设一对多加密算法并使用公钥对n个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文。预设一对多加密算法可以为代理重加密算法、ABE算法以及IBE算法中的任意一种。
发送侧通信部36用于进行发送终端30的各个构成部分之间、发送终端30与数据平台10之间以及发送终端30与数据转发服务器20之间的数据交换。例如,将子数据密文发送给数据平台30,将子数据密文发送给数据转发服务器20,以及将公钥获取指令发送给数据平台10并从数据平台10接收公钥。
发送侧暂存部37用于暂时存储发送终端30的各个构成部分之间、发送终端30与数据平台10之间以及发送终端30与数据转发服务器20之间所交换的相关数据信息,包括公钥获取指令生成部33生成的公钥获取指令。
发送侧控制部38用于控制发送终端30中的各个构成部分的工作。
图5是本发明的实施例中接收终端的结构框图。
如图5所示,接收终端40包含数据获取指令生成部41、私钥获取指令生成部42、接收侧密钥存储部43、数据解密部44、数据恢复部45、接收侧数据存储部46、接收侧通信部47、接收侧暂存部48以及接收侧控制部49。
数据获取指令生成部41用于根据文件标识生成获取数据文件的数据获取请求。
私钥获取指令生成部42用于基于接收终端信息生成私钥获取指令。
接收侧密钥存储部43用于存储私钥。
数据解密部44用于采用预设一对多加密算法并使用私钥分别解密二个待解密子密文,以判断私钥中的接收终端信息是否满足公钥中的访问控制策略,若满足则解密得到明文子数据文件。
数据恢复部45用于采用预设(2,n)门限秘密分享算法对二个明文子数据文件进行恢复得到数据文件。
接收侧数据存储部46用于存储数据恢复部45得到的数据文件。一旦数据恢复部45得到数据文件,接收侧数据存储部46将该数据文件进行存储。
接收侧通信部47用于进行接收终端40的各个构成部分之间、接收终端40与数据平台10之间以及接收终端40与数据转发服务器20之间的数据交换。例如,接收数据平台10发来的子数据密文,接收数据转发服务器20发来的子数据密文,以及将私钥获取指令发送给数据平台10并从数据平台10接收私钥。
接收侧暂存部48用于暂时存储接收终端40的各个构成部分之间、接收终端40与数据平台10之间以及接收终端40与数据转发服务器20之间所交换的相关数据信息,包括私钥获取指令生成部42生成的私钥获取指令。
接收侧控制部49用于控制接收终端40中的各个构成部分的工作。
下面结合流程图来详细阐述隐私化数据跨平台数据安全流转系统100的动作过程。
图6是本发明的实施例中隐私化数据跨平台数据安全流转系统转发数据的动作流程图。
如图6所示,在本实施例中,隐私化数据跨平台数据安全流转系统100转发数据的动作流程包含如下步骤:
步骤S1,一旦发送用户从至少一个数据文件中选定至少一个需要进行发送的数据文件作为待发送数据文件,数据拆分部32就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成n个子数据文件,然后进入步骤S2。
步骤S2,数据加密部35采用预设一对多加密算法并使用公钥对n个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文,然后进入步骤S3。
步骤S3,发送侧通信部36将二个子数据密文分别发送给数据平台和数据转发服务器,然后进入步骤S4。
步骤S4,一旦平台侧通信部14和服务侧通信部23接收到对应的子数据密文,平台侧数据存储部11和服务侧数据存储部21就分别将接收到的子数据密文和对应的文件标识进行对应存储,然后进入步骤S5。
步骤S5,数据获取请求生成部41根据文件标识生成获取数据文件的数据获取请求,然后进入步骤S6。
步骤S6,接收侧通信部47将数据获取请求分别发送给数据平台10和数据转发服务器20,然后进入步骤S7。
步骤S7,一旦平台侧通信部14和服务侧通信部23接收到数据获取请求,平台侧数据检索获取部12就根据文件标识对平台侧数据存储部11进行检索获取对应的子数据密文,服务侧数据检索获取部22根据文件标识对服务侧数据存储部21进行检索获取对应的子数据密文,然后进入步骤S8。
步骤S8,平台侧通信部14和服务侧通信部23将获取的子数据密文分别发送给接收终端40,然后进入步骤S9。
步骤S9,一旦接收用户选定接收到的二个子数据密文作为待解密子密文,数据解密部44就采用预设一对多加密算法并使用私钥分别解密二个待解密子密文,以判断私钥中的接收终端信息是否满足公钥中的访问控制策略,若满足则解密得到明文子数据文件,然后进入步骤S10。
步骤S10,数据恢复部45采用预设(2,n)门限秘密分享算法对二个明文子数据文件进行恢复得到数据文件,然后进入步骤S11。
步骤S11,接收侧数据存储部46将该数据文件进行存储,然后进入结束状态。
在本实施例中,当预设一对多加密算法采用代理重加密算法时,私钥要固定密钥;当预设一对多加密算法采用ABE算法或IBE算法时,私钥为随机密钥。
获取固定密钥的动作流程为:私钥获取指令生成部42基于接收终端信息生成私钥获取指令;接收侧通信部47将私钥获取指令发送给数据平台10;一旦平台侧通信部14接收到私钥获取指令,一对多密钥生成部13就生成私钥;平台侧通信部14将私钥发送给接收终端40;一旦接收侧通信部47接收到私钥,接收侧密钥存储部43就将该私钥进行存储。
获取随机密钥的动作流程为:一旦接收用户选定待解密子密文,私钥获取指令生成部42就基于接收终端信息生成私钥获取指令;接收侧通信部47将私钥获取指令发送给数据平台10;一旦平台侧通信部14接收到私钥获取指令,一对多密钥生成部13就生成私钥;平台侧通信部14将私钥发送给接收终端。
实施例的作用与效果
根据本实施例所涉及的隐私化数据跨平台数据安全流转系统及隐私化数据跨平台数据安全流转方法,因为数据拆分部就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成n个子数据文件,数据加密部采用预设一对多加密算法并使用公钥对n个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文,发送侧通信部将二个子数据密文分别发送给数据平台和数据转发服务器,接收侧通信部将数据获取请求分别发送给数据平台和数据转发服务器,平台侧数据检索获取部根据文件标识对平台侧数据存储部进行检索获取对应的子数据密文,服务侧数据检索获取部根据文件标识对服务侧数据存储部进行检索获取对应的子数据密文,平台侧通信部和服务侧通信部将获取的子数据密文分别发送给接收终端,数据解密部采用预设一对多加密算法并使用私钥分别解密二个待解密子密文,以判断私钥中的接收终端信息是否满足公钥中的访问控制策略,若满足则解密得到明文子数据文件,数据恢复部采用预设(2,n)门限秘密分享算法对二个明文子数据文件进行恢复得到数据文件,所以本实施例只需附加一台数据转发服务器并利用现有的数据平台的转发功能,通过对数据进行拆分并经数据转发服务器和数据平台进行转发,有效地保障了数据的安全性;而且,采用一对多加密算法对数据进行加密和解密处理,在保留现有数据平台隔离数据提供方和需求方的特点的基础上,低成本地实现了对数据的保护。
上述实施方式为本发明的优选案例,并不用来限制本发明的保护范围。
Claims (7)
1.一种隐私化数据跨平台数据安全流转系统,其特征在于,包括:
数据平台;
数据转发服务器;
至少一个发送终端,由发送用户所持有,分别与所述数据平台和所述数据转发服务器通信连接,每个所述发送终端具有唯一的发送终端识别码;以及
至少一个接收终端,分别与所述数据平台和所述数据转发服务器通信连接,由接收用户所持有,每个所述接收终端具有唯一的接收终端识别码,
其中,所述数据平台具有平台侧数据存储部、平台侧数据检索获取部以及平台侧通信部,
所述数据转发服务器具有服务侧数据存储部、服务侧数据检索获取部以及服务侧通信部,
所述发送终端具有发送侧数据存储部、数据拆分部、数据加密部以及发送侧通信部,
所述接收终端具有数据获取请求生成部、数据解密部、数据恢复部以及接收侧通信部,
所述发送侧数据存储部存储有至少一个具有不同文件标识的数据文件,
一旦所述发送用户从至少一个所述数据文件中选定至少一个需要进行发送的数据文件作为待发送数据文件,所述数据拆分部就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成n个子数据文件,
所述数据加密部采用预设一对多加密算法并使用公钥对所述n个子数据文件中的二个子数据文件分别进行加密形成包含有所述文件标识的子数据密文,
所述发送侧通信部将二个所述子数据密文分别发送给所述数据平台和所述数据转发服务器,
一旦所述平台侧通信部和所述服务侧通信部接收到对应的所述子数据密文,所述平台侧数据存储部和所述服务侧数据存储部就分别将接收到的所述子数据密文和对应的所述文件标识进行对应存储,
所述数据获取请求生成部根据所述文件标识生成获取数据文件的数据获取请求,
所述接收侧通信部将所述数据获取请求分别发送给所述数据平台和所述数据转发服务器,
一旦所述平台侧通信部和所述服务侧通信部接收到所述数据获取请求,所述平台侧数据检索获取部就根据所述文件标识对所述平台侧数据存储部进行检索获取对应的所述子数据密文,所述服务侧数据检索获取部根据所述文件标识对所述服务侧数据存储部进行检索获取对应的所述子数据密文,
所述平台侧通信部和所述服务侧通信部将获取的所述子数据密文分别发送给所述接收终端,
一旦所述接收用户选定接收到的二个所述子数据密文作为待解密子密文,所述数据解密部就采用所述预设一对多加密算法并使用私钥分别解密二个所述待解密子密文,以判断所述私钥中的接收终端信息是否满足所述公钥中的访问控制策略,若满足则解密得到明文子数据文件,
所述数据恢复部采用所述预设(2,n)门限秘密分享算法对二个所述明文子数据文件进行恢复得到所述数据文件,
所述n为大于2的正整数。
2.根据权利要求1所述的隐私化数据跨平台数据安全流转系统,其特征在于:
其中,所述数据平台还具有一对多密钥生成部,
所述发送终端还具有公钥获取指令生成部,
一旦所述发送用户选定所述待发送数据文件,所述公钥获取指令生成部就基于所述访问控制策略生成公钥获取指令,
所述发送侧通信部将所述公钥获取指令发送给所述数据平台,
一旦所述平台侧通信部接收到所述公钥获取指令,所述一对多密钥生成部就生成所述公钥,
所述平台侧通信部将所述公钥发送给所述发送终端。
3.根据权利要求2所述的隐私化数据跨平台数据安全流转系统,其特征在于:
其中,所述发送终端还具有发送侧密钥存储部,
一旦所述发送侧通信部接收到所述公钥,所述发送侧密钥存储部就将该公钥进行存储。
4.根据权利要求1所述的隐私化数据跨平台数据安全流转系统,其特征在于:
其中,所述预设一对多加密算法为代理重加密算法,
所述数据平台还具有一对多密钥生成部,
所述接收终端还具有私钥获取指令生成部和接收侧密钥存储部,
所述私钥获取指令生成部基于所述接收终端信息生成私钥获取指令,
所述接收侧通信部将所述私钥获取指令发送给所述数据平台,
一旦所述平台侧通信部接收到所述私钥获取指令,所述一对多密钥生成部就生成所述私钥,
所述平台侧通信部将所述私钥发送给所述接收终端,
一旦所述接收侧通信部接收到所述私钥,所述接收侧密钥存储部就将该私钥进行存储。
5.根据权利要求1所述的隐私化数据跨平台数据安全流转系统,其特征在于:
其中,所述预设一对多加密算法为ABE算法或者IBE算法,
所述数据平台还具有一对多密钥生成部,
所述接收终端还具有私钥获取指令生成部,
一旦所述接收用户选定所述待解密子密文,所述私钥获取指令生成部就基于所述接收终端信息生成私钥获取指令,
所述接收侧通信部将所述私钥获取指令发送给所述数据平台,
一旦所述平台侧通信部接收到所述私钥获取指令,所述一对多密钥生成部就生成所述私钥,
所述平台侧通信部将所述私钥发送给所述接收终端。
6.根据权利要求1所述的隐私化数据跨平台数据安全流转系统,其特征在于:
其中,所述接收终端还具有接收侧数据存储部,
一旦所述数据恢复部得到所述数据文件,所述接收侧数据存储部将该数据文件进行存储。
7.一种隐私化数据跨平台数据安全流转方法,其特征在于,包括:
一旦发送用户从至少一个数据文件中选定至少一个需要进行发送的数据文件作为待发送数据文件,数据拆分部就采用预设(2,n)门限秘密分享算法对该待发送数据文件进行拆分形成多个子数据文件,
数据加密部采用预设一对多加密算法并使用公钥对所述多个子数据文件中的二个子数据文件分别进行加密形成包含有文件标识的子数据密文,
发送侧通信部将二个所述子数据密文分别发送给数据平台和数据转发服务器,
一旦平台侧通信部和服务侧通信部接收到对应的所述子数据密文,平台侧数据存储部和服务侧数据存储部就分别将接收到的所述子数据密文和对应的所述文件标识进行对应存储,
获取请求生成部根据所述文件标识生成获取数据文件的数据获取请求,
接收侧通信部将所述获取请求分别发送给所述数据平台和所述数据转发服务器,
一旦所述平台侧通信部和所述服务侧通信部接收到所述数据获取请求,平台侧数据检索获取部就根据所述文件标识对所述平台侧数据存储部进行检索获取对应的所述子数据密文,服务侧数据检索获取部根据所述文件标识对所述服务侧数据存储部进行检索获取对应的所述子数据密文,
所述平台侧通信部和所述服务侧通信部将获取的所述子数据密文分别发送给接收终端,
一旦接收用户选定接收到的二个所述子数据密文作为待解密子密文,数据解密部就采用所述预设一对多加密算法并使用私钥分别解密所述待解密子密文,以判断所述私钥中的接收终端信息是否满足所述公钥中的访问控制策略,若满足则解密得到明文子数据文件,
数据恢复部采用所述预设(2,n)门限秘密分享算法对二个所述明文子数据文件进行恢复得到所述数据文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010996116.0A CN112217804A (zh) | 2020-09-21 | 2020-09-21 | 隐私化数据跨平台数据安全流转系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010996116.0A CN112217804A (zh) | 2020-09-21 | 2020-09-21 | 隐私化数据跨平台数据安全流转系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112217804A true CN112217804A (zh) | 2021-01-12 |
Family
ID=74049790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010996116.0A Pending CN112217804A (zh) | 2020-09-21 | 2020-09-21 | 隐私化数据跨平台数据安全流转系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112217804A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6118874A (en) * | 1997-03-31 | 2000-09-12 | Hitachi, Ltd. | Encrypted data recovery method using split storage key and system thereof |
| CN105100115A (zh) * | 2015-08-27 | 2015-11-25 | 中国科学院信息工程研究所 | 一种基于加密口令及数据拆分的隐私保护的数据存储方法 |
| CN107743120A (zh) * | 2017-09-26 | 2018-02-27 | 深圳市卓帆技术有限公司 | 一种可拆分式加密试题数据传输系统及方法 |
| CN109768987A (zh) * | 2019-02-26 | 2019-05-17 | 重庆邮电大学 | 一种基于区块链的数据文件安全隐私存储和分享方法 |
| US20190229906A1 (en) * | 2018-01-19 | 2019-07-25 | Huazhong University Of Science And Technology | Method of hybrid searchable encryption and system using the same |
| US20200067904A1 (en) * | 2017-03-17 | 2020-02-27 | Thales Dis France Sa | Method for authenticating a user and corresponding device, first and second servers and system |
-
2020
- 2020-09-21 CN CN202010996116.0A patent/CN112217804A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6118874A (en) * | 1997-03-31 | 2000-09-12 | Hitachi, Ltd. | Encrypted data recovery method using split storage key and system thereof |
| CN105100115A (zh) * | 2015-08-27 | 2015-11-25 | 中国科学院信息工程研究所 | 一种基于加密口令及数据拆分的隐私保护的数据存储方法 |
| US20200067904A1 (en) * | 2017-03-17 | 2020-02-27 | Thales Dis France Sa | Method for authenticating a user and corresponding device, first and second servers and system |
| CN107743120A (zh) * | 2017-09-26 | 2018-02-27 | 深圳市卓帆技术有限公司 | 一种可拆分式加密试题数据传输系统及方法 |
| US20190229906A1 (en) * | 2018-01-19 | 2019-07-25 | Huazhong University Of Science And Technology | Method of hybrid searchable encryption and system using the same |
| CN109768987A (zh) * | 2019-02-26 | 2019-05-17 | 重庆邮电大学 | 一种基于区块链的数据文件安全隐私存储和分享方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109995513B (zh) | 一种低延迟的量子密钥移动服务方法 | |
| US8345875B2 (en) | System and method of creating and sending broadcast and multicast data | |
| CN101340443B (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
| US9698979B2 (en) | QKD key management system | |
| US5812671A (en) | Cryptographic communication system | |
| CN104244237B (zh) | 数据发送、接收方法及接收、发送终端和数据收发装置 | |
| CN104506483A (zh) | 一种信息加密解密、管理密钥的方法、终端及网络服务器 | |
| CN112187757A (zh) | 多链路隐私数据流转系统及方法 | |
| CN101707767B (zh) | 一种数据传输方法及设备 | |
| CN109600374A (zh) | 基于区块链的用户数据安全发送方法及其系统 | |
| CN104270380A (zh) | 基于移动网络和通信客户端的端到端加密方法和加密系统 | |
| CN110166410B (zh) | 一种安全传输数据的方法、终端及多模通信终端 | |
| CN102118311B (zh) | 一种数据传输方法 | |
| US20060136714A1 (en) | Method and apparatus for encryption and decryption, and computer product | |
| CN104579645B (zh) | 基于aes加密系统的密钥更新方法 | |
| WO2012075761A1 (zh) | 一种加密mms的方法及系统 | |
| CN104618211A (zh) | 一种基于隧道的报文处理方法和总部网关设备 | |
| CN112217804A (zh) | 隐私化数据跨平台数据安全流转系统及方法 | |
| CN111885013B (zh) | 一种拟态加密通信模块、系统及方法 | |
| KR20130003616A (ko) | 세션 키 및 클러스터 키 생성 방법 및 그 장치 | |
| US9369442B2 (en) | System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers | |
| CN112019553A (zh) | 一种基于ibe/ibbe数据共享方法 | |
| CN101729533B (zh) | 一种ip多媒体子系统延迟媒体信息的传输方法及系统 | |
| CN101034979B (zh) | 一种用户身份的保护方法 | |
| CN110650121A (zh) | 基于分布式系统的流媒体数据保密系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210112 |
|
| WD01 | Invention patent application deemed withdrawn after publication |