CN112383391B - 基于数据属性授权的数据安全保护方法、存储介质及终端 - Google Patents
基于数据属性授权的数据安全保护方法、存储介质及终端 Download PDFInfo
- Publication number
- CN112383391B CN112383391B CN202011264244.2A CN202011264244A CN112383391B CN 112383391 B CN112383391 B CN 112383391B CN 202011264244 A CN202011264244 A CN 202011264244A CN 112383391 B CN112383391 B CN 112383391B
- Authority
- CN
- China
- Prior art keywords
- data
- user
- key
- authorization
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 94
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 54
- 239000006185 dispersion Substances 0.000 claims description 30
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 8
- 230000008520 organization Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 3
- 230000004927 fusion Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于属性授权、数据及文件保护、金融安全、数据安全及物联网安全技术领域,公开了一种基于数据属性授权的数据安全保护方法、存储介质及终端,由TEE产生签名公私钥,并上送公钥和数字信封密钥给可信密钥管理系统;产生随机密钥作为工作密钥,基于随机密钥采用国密算法对数据块进行加密;根据属性和标识密钥还原出随机密钥,解密数据块;根据解密后的数据块判断是否有管理权限,如果存在管理权限,则再次授权给授权方。本发明能够满足多方或多级数据共享、细粒度授权与数据保护,可用于物联网终端与实体间数据共享、细粒度权限控制和数据保护、云环境下文件的细粒度授权、二次分发及数据安全保护工作场景。
Description
技术领域
本发明属于属性授权、数据及文件保护、金融安全、数据安全及物联网安全技术领域,尤其涉及一种基于数据属性授权的数据安全保护方法、存储介质及终端。
背景技术
目前,随着互联网、移动互联网技术、物联网和应用发展,不同实体间数据共享场景下需提供数据细粒度授权、二次分发及数据保密。例如:所属机构在联盟链上进行多方或多级数据共享,所属机构甲对写入的数据块进行加密保护,密文数据需要共享授权给多方,只有被授权的所属机构乙用户才可以解密该数据。所属机构乙可以二次或者多次授权给所属机构丙用户或者其他用户,所属机构丙用户或者其他用户在获得授权后也可解密该数据。
目前常用的数据安全分享的做法是:
1)采用对称或非对称的算法进行数据加密,此方式使用于点对点加密传输,或者多人密钥共享的场景,难以实现二次授权和分发操作;
2)使用集中的文件管控系统进行统一的授权访问控制,一但文件或数据落地后便难以进行控制分发控制和隐私保护;
3)采用数字信封的国际通用算法进行保护,难以实现二次分发授权控制并满足国密算法的安全合规。
综合现行的安全方案均难以满足数据的细粒度授权、隐私保护及二次授权的数据共享操作。因此,亟需一种新的数据安全保护方法。
通过上述分析,现有技术存在的问题及缺陷为:
(1)采用对称或非对称的算法进行数据加密的方法,难以实现二次授权和分发操作。
(2)使用集中的文件管控系统进行统一的授权访问控制的方法,一但文件或数据落地后便难以进行控制分发控制和隐私保护。
(3)采用数字信封的国际通用算法进行保护,难以实现二次分发授权控制并满足国密算法的安全合规。
(4)综合现行的安全方案均难以满足数据的细粒度授权、隐私保护及二次授权的数据共享操作。
解决以上问题及缺陷的难度为:
(1)实现一对多的细粒度授权和访问控制;
(2)如何解决数据的共享及二次分发的问题;
(3)满足国内相关的法律法规,尤其是算法合规;
解决以上问题及缺陷的意义为:
(1)解决不同场景下数据的授权和控制;
(2)提供数据共享和二次分发的数据防护,满足业务所需;
(3)满足算法的安全合规。
发明内容
针对现有技术存在的问题,本发明提供了一种基于数据属性授权的数据安全保护方法、存储介质及终端,尤其涉及一种采用数据属性进行细粒度授权、融合国密算法对数据隐私保护和二次分发的数据保护方法。TEE为可信执行环境本发明是这样实现的,一种基于数据属性授权的数据安全保护方法,包括:
TEE将产生的签名公钥和数字信封密钥上传给可信密钥管理系统;所述可信密钥管理系统利用数字信封保护密钥进行保护所述执行可信应用程序的区域上传的信息,并返回个人化属性;
所述TEE产生随机密钥作为工作密钥,基于所述随机密钥采用国密算法对数据块进行加密;
使用方根据自己的属性和标识密钥还原出随机密钥,解密数据块;使用方根据解密后的数据块判断是否有管理权限,如果使用方存在管理权限,则使用方再次授权给授权方。
进一步,所述采用国密算法对数据块进行加密,包括:
使用国密算法保护随机密钥R;
使用国密算法还原随机密钥R;
定义共享数据结构。
进一步,所述国密算法采用使用方属性作为个性化参数,利用使用方公钥对授权列表进行反向签名并保护分散因子;
所述国密算法将用户标识作为一种属性,把被撤销用户标识的“非”与密文关联起来,使撤销的用户无法解密密文;设:
W=U\R;
其中,U为系统中用户的标识集;R为用户撤销列表,包含被撤销用户的ID密文与W相关;
授权方只有满足ID∈W且属性与策略匹配时,才能解密密文;直接撤销模式下,未撤销用户无需周期性更新密钥;TEE加密时规定一个系统属性撤销列表实现系统属性的撤销。
进一步,所述使用国密算法保护随机密钥,包括:
1)对使用方属性进行SM3摘要后获得使用方属性摘要信息;
2)在TEE中生成一次性分散因子IV,用其对受保护的随机密钥R进行解密操作获得R分散结果;
3)对获取的使用方权限列表逐一进行摘要并用使用方公钥进行反向签名,再使用一次性分散因子分别加密后按顺序加入权限原文构造授权摘要结果;
4)以步骤2)产生的R分散结果作为数据,以步骤3)产生的结果授权摘要结果作为密钥进行SM4运算获取中间参数;
5)以步骤1)产生的使用方属性摘要信息和步骤4)产生的中间参数进行异或运算获得保密参数;
6)由用户ID、保密参数、授权摘要结果及采用使用方公钥保护的一次性分散因子共四部分组成该使用方授权信息;根授权的用户数量,重复1)到5)步骤构建授权列表CT,作为全新定义的数字信封结构的一部分。
进一步,所述使用国密算法还原随机密钥R,包括:
1)验证授权信息:通过授权列表中读取的该用户的授权摘要信息与计算摘要进行对比,如果有权限则进行下一步操作;
2)对使用方属性进行SM3摘要后获得使用方属性摘要信息;
3)从数字信封的授权列表中读取该使用方的保密参数;
4)使用步骤2)产生的使用方属性摘要信息和步骤3)产生的保密参数进行异或运算获得中间参数;
5)以步骤1)中读取的用户授权摘要做密钥,步骤4)中计算获得的中间参数做数据进行SM4运算获得还原获得R分散结果;
6)利用使用方私钥解密该用户公钥保护的分散因子得到的结果做密钥,以步骤5)获得的R分散结果做数据,进行加密操作从而还原获得随机密钥R。
进一步,所述数据结构包括数据的版本、数据的摘要信息、时间戳、数据块数据、版权、所有者标识、授权列表CT、日志。
本发明的另一目的在于提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行所述的基于数据属性授权的数据安全保护方法。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述的基于数据属性授权的数据安全保护方法。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的基于数据属性授权的数据安全保护方法。
本发明的另一目的在于提供一种所述的基于数据属性授权的数据安全保护方法在所属机构联盟链上进行多方或多级数据共享的应用。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提供的基于数据属性授权的数据安全保护方法,基于数据使用方属性、授权信息、公私钥融合国密算法对共享数据的工作密钥进行保护访问控制方法,以满足多方或多级数据共享、细粒度授权与数据保护,可用于物联网终端与实体间数据共享、细粒度权限控制和数据保护,亦可用于云环境下文件的细粒度授权、二次分发及数据安全保护工作场景。
本发明借助使用方的属性、授权列表、一次性分散因子、使用方公私钥,融合国密的摘要、加解密与签名等算法,并在TEE环境完成的受保护密钥生成和还原的过程;采用使用方属性作为个性化参数,利用使用方公钥对授权列表进行反向签名并保护分散因子,确保只有使用方本人才可以解密一次性分散因子IV。利用本发明可以实现基于属性授权来保护加密共享数据的随机密钥,从而实现在所属机构在联盟链上进行多方或多级数据共享的加密保护、二次或授权的场景应用。
本发明优化传统数字信封结构、参照CP-ABE算法进行改进、融合国密算法提高安全性,以确保机密性和对敏感数据的访问控制,这些敏感数据仅由持有用户公私钥、属性集的授权实体访问。使用密码算法实现细粒度访问控制并有效防御多用户共谋攻击、授权可追溯的同时实现数据的隐私保护、二次授权及数据安全共享。本发明的优势还包括:
(1)方案融合国密算法进行数据保护、完整性校验。加密的数据(采用国密算法)和保密参数(基于属性授权、用户标识密钥和工作密钥R分散计算获取)可以安全地分布在不安全的网络上,或存储在诚实但好奇的不受信任的第三方(即云提供商)中。因此,算法可实现机密性,基于属性授权的细粒度的控制访问机制。运用国密算法提高运算效率的并满足安全合规;
(2)全新定义数字信封的数据共享结构,便于多场景的应用。借助对称密码对大量可变大小的消息数据进行加密提升计算性能。同时提供数据版权、所有者、分发操作溯源的数据管控能力;
(3)采用用户数据属性授权与标识密钥结合方式保护工作密钥,只有那些具有有效属性和标识密钥的授权实体才能解密和恢复工作密钥,以对加密数据启动国密算法解密保护数据;
(4)拥有二次分发能力的用户可以在不改变原来加密数据包、版权、所有者的信息基础上结合新用户的属性进行二次授权,同时记录可溯源的日志;
(5)借鉴了传统数字信封的成熟经验,融入属性授权、标识密钥及国密算法,创造性的解决了在数据共享和授权时对对称密钥进行保护;
(6)采用TEE环境确保标识密钥、SM-ABE算法及国密算法的安全应用,深层提高了数据共享及二次授权分发的安全性。
通过本方法的使用可以从安全方面实现以下效果:
1)隐私保护:在整个体系结构中保护数据的隐私,只有满足属性策略并持有标识密钥的用户才能访问数据并获取相应的解密密钥。
2)细粒度访问控制:数据拥有者为它们的数据生成相应的授权访问策略,它们可以通过修改访问属性,以细粒度的方式授予或撤消使用方的访问权限。
3)相互验证身份:为了保护参与者的安全,系统应该提供相互验证身份,确保通讯实体间建立可信连接。
4)预防仿冒攻击:由于只有持有授权用户授权属性和标识密钥并在TEE中保护的用户才可以解密保密参数,从而计算获得保护数据,如果对手冒充合法用户试图访问受保护的共享数据,则无法实现。
5)抵御碰撞攻击:对称密钥采用真随机数、并且使用用户标识密钥及属性策略做分散保护,可以抵抗碰撞攻击。
6)抵御中间人攻击:数字信封记录了版权及可追溯的日志,通过验证可以识别信息的完整性和真实性。
7)混淆抵抗:用户间不能通过共享密钥或者合谋,访问未授权数据。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于数据属性授权的数据安全保护方法流程图。
图2是本发明实施例提供的SM-ABE算法逻辑流程图。
图3是本发明实施例提供的加密流程示意图。
图4是本发明实施例提供的解密流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种基于数据属性授权的数据安全保护方法、存储介质及终端,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的基于数据属性授权的数据安全保护方法包括以下步骤:
S101,参数初始化:TEE产生签名公私钥并上送公钥和数字信封密钥给可信密钥管理系统TKMS;可信密钥管理系统TKMS用数字信封保护密钥保护并返回个人化属性。
S102,加密与授权:TEE产生真随机数R作为工作密钥,使用真随机数R采用国密算法加密数据块。
S103,解密:乙根据自己的属性和标识密钥还原出密钥R;乙用R解密数据块;TEE根据解密后的数据块判断是否有管理权限,如果乙存在管理权限,则乙可以再次授权给丙。
下面结合实施例对本发明作进一步描述。
1、SM-ABE算法概述
借助使用方的属性、授权列表、一次性分散因子、使用方公私钥,融合国密的摘要、加解密与签名等算法,并在TEE环境完成的受保护密钥生成和还原的过程。算法中采用使用方属性作为个性化参数,利用使用方公钥对授权列表进行反向签名并保护分散因子,确保只有使用方本人才可以解密一次性分散因子IV。利用该算法可以实现基于属性授权来保护加密共享数据的随机密钥,从而实现在所属机构在联盟链上进行多方或多级数据共享的加密保护、二次或授权的场景应用。
本算法提出SM-ABE的直接撤销思想,将用户标识作为一种属性,把被撤销用户标识的“非”与密文关联起来,使得撤销的用户无法解密密文。设W=U\R,其中:U为系统中用户的标识集;R为用户撤销列表,包含了被撤销用户的ID.密文与W相关。接收者只有满足ID∈W且属性与策略匹配时,才能解密密文。直接撤销模式下,未撤销用户无需周期性更新密钥。发送方加密时规定一个系统属性撤销列表可实现系统属性的撤销。
2、SM-ABE算法流程
SM-ABE算法主要由保护随机数R和还原随机数R两部分组成,为保证其安全性,运算均在TEE中完成。SM-ABE算法逻辑流程图如图2所示。
2.1使用SM-ABE算法保护随机数R
1)对使用方属性进行SM3摘要后获得使用方属性摘要信息;
2)在TEE(表示一个与SoC中其他模块隔离并能够执行可信应用程序(TAs)的区域)中生成一次性分散因子IV,用其对受保护的随机密钥R进行解密操作获得R分散结果;
3)对获取的使用方权限列表逐一进行摘要并用使用方公钥进行反向签名,再使用一次性分散因子分别加密后按顺序加入权限原文构造授权摘要结果;
4)以步骤2产生的R分散结果作为数据,以步骤3产生的结果授权摘要结果作为密钥进行SM4运算获取中间参数;
5)以步骤1产生的使用方属性摘要信息和步骤4产生的中间参数进行异或运算获得保密参数;
6)由用户ID、保密参数、授权摘要结果及采用使用方公钥保护的一次性分散因子共四部分组成该使用方授权信息。根授权的用户数量,重复1到5步骤构建授权列表CT,作为本方案全新定义的数字信封结构的一部分。
2.2使用SM-ABE算法还原随机数R
1)验证授权信息:通过授权列表中读取的该用户的授权摘要信息与按照2.4.2.1中步骤3计算摘要进行对比,如果有权限则进行下一步操作;
2)对使用方属性进行SM3摘要后获得使用方属性摘要信息;
3)从数字信封的授权列表中读取该使用方的保密参数;
4)使用步骤2产生的使用方属性摘要信息和步骤3产生的保密参数进行异或运算获得中间参数;
5)以步骤1中读取的用户授权摘要做密钥,步骤4中计算获得的中间参数做数据进行SM4运算获得还原获得R分散结果;
6)利用使用方私钥解密该用户公钥保护的分散因子得到的结果做密钥,以步骤5获得的R分散结果做数据,进行加密操作从而还原获得随机密钥R。
3、共享数据结构定义
表1共享数据结构定义
4、各步骤具体算法
(1)参数初始化
1)TEE产生签名公私钥并上送公钥证书和数字信封密钥给可信密钥管理系统TKMS。
2)可信密钥管理系统TKMS用数字信封保护密钥保护并返回个人化属性。
(2)加密与授权环节
TEE产生真随机数R作为工作密钥,使用真随机数R采用国密算法加密数据块。
加密流程示意图如图3所示。
(3)解密环节
1)乙根据自己的属性和标识密钥还原出密钥R;
2)乙用R解密数据块;
3)TEE根据解密后的数据块判断是否有管理权限,如果乙存在管理权限,则乙可以再次授权给丙。
解密流程示意图如图4所示。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (5)
1.一种基于数据属性授权的数据安全保护方法,其特征在于,所述基于数据属性授权的数据安全保护方法包括:
在TEE中产生公私钥对、并将公钥和数字信封密钥上传给可信密钥管理系统;所述可信密钥管理系统利用数字信封保护密钥进行保护可信应用程序的区域上传的信息,并返回个人化属性;
所述TEE产生随机密钥作为工作密钥,基于所述随机密钥采用国密算法对数据块进行加密;
使用方根据自己的属性和标识还原出随机密钥,并解密数据块;使用方根据解密后的数据块判断是否有管理权限,如果使用方存在管理权限,则使用方再次授权给授权方;
所述采用国密算法对数据块进行加密,包括:
使用国密算法保护随机密钥R;
使用国密算法还原随机密钥R;
定义共享数据结构;
所述国密算法采用使用方属性作为个性化参数,利用使用方公钥对授权列表进行反向签名并保护分散因子;
所述国密算法将用户标识作为一种属性,把被撤销用户标识的“非”与密文关联起来,使撤销的用户无法解密密文;设:
W=U\R;
其中,U为系统中用户的标识集;R为用户撤销列表,包含被撤销用户的ID密文;
授权方只有满足ID∈W且属性与策略匹配时,才能解密密文;直接撤销模式下,未撤销用户无需周期性更新密钥;TEE加密时规定一个系统属性撤销列表实现系统属性的撤销;
所述使用国密算法保护随机密钥,包括:
1)对使用方属性进行SM3摘要后获得使用方属性摘要信息;
2)在TEE中生成一次性分散因子IV,用其对受保护的随机密钥R进行解密操作获得R分散结果;
3)对获取的授权列表逐一进行摘要并用使用方公钥进行反向签名,再使用一次性分散因子分别加密后按顺序加入权限原文构造授权摘要结果;
4)以步骤2)产生的R分散结果作为数据,以步骤3)产生的结果授权摘要结果作为密钥进行SM4运算获取中间参数;
5)以步骤1)产生的使用方属性摘要信息和步骤4)产生的中间参数进行异或运算获得保密参数;
6)由用户ID、保密参数、授权摘要结果及采用使用方公钥保护的一次性分散因子共四部分组成该使用方授权信息;根授权的用户数量,重复1)到5)步骤构建授权列表CT,作为全新定义的数字信封结构的一部分;
所述使用国密算法还原随机密钥R,包括:
1)验证授权信息:通过授权列表中读取的用户的授权摘要信息与计算摘要进行对比,如果有权限则进行下一步操作;
2)对使用方属性进行SM3摘要后获得使用方属性摘要信息;
3)从数字信封的授权列表中读取该使用方的保密参数;
4)使用步骤2)产生的使用方属性摘要信息和步骤3)产生的保密参数进行异或运算获得中间参数;
5)以步骤1)中读取的用户授权摘要做密钥,步骤4)中计算获得的中间参数做数据进行SM4运算获得还原获得R分散结果;
6)利用使用方私钥解密该用户公钥保护的分散因子得到的结果做密钥,以步骤5)获得的R分散结果做数据,进行加密操作从而还原获得随机密钥R;
所述共享数据结构包括数据的版本、数据的摘要信息、时间戳、数据块数据、版权、所有者标识、授权列表CT、日志。
2.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1所述的基于数据属性授权的数据安全保护方法。
3.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1所述的基于数据属性授权的数据安全保护方法。
4.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现权利要求1所述的基于数据属性授权的数据安全保护方法。
5.一种如权利要求1所述的基于数据属性授权的数据安全保护方法在所属机构联盟链上进行多方或多级数据共享的应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011264244.2A CN112383391B (zh) | 2020-11-12 | 2020-11-12 | 基于数据属性授权的数据安全保护方法、存储介质及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011264244.2A CN112383391B (zh) | 2020-11-12 | 2020-11-12 | 基于数据属性授权的数据安全保护方法、存储介质及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112383391A CN112383391A (zh) | 2021-02-19 |
| CN112383391B true CN112383391B (zh) | 2024-03-19 |
Family
ID=74583526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011264244.2A Active CN112383391B (zh) | 2020-11-12 | 2020-11-12 | 基于数据属性授权的数据安全保护方法、存储介质及终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383391B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113362147B (zh) * | 2021-05-17 | 2023-02-10 | 杭州师范大学 | 物联网下基于多授权中心的可追踪电子拍卖方法 |
| CN113660235B (zh) * | 2021-08-10 | 2023-04-28 | 中和易茂科技服务(北京)有限公司 | 数据安全共享方法、存储器和处理器 |
| CN115988012A (zh) * | 2021-10-13 | 2023-04-18 | 中移物联网有限公司 | 设备使用权限分享方法及装置、电子设备及存储介质 |
| CN114050915B (zh) * | 2021-10-25 | 2024-03-15 | 安徽中科晶格技术有限公司 | 隔离网络下细粒度权限访问同步方法、装置及设备 |
| CN114844632A (zh) * | 2022-04-26 | 2022-08-02 | 维沃移动通信有限公司 | 数据传输方法、装置和电子设备 |
| CN115242392B (zh) * | 2022-08-01 | 2024-03-26 | 北京成鑫盈通科技有限公司 | 基于安全传输协议实现工业信息安全传输的方法及系统 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120041904A (ko) * | 2010-10-22 | 2012-05-03 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 환경에서 프록시 기반 의료 데이터 접근 권한 관리 방법 및 장치 |
| CN104145445A (zh) * | 2012-03-06 | 2014-11-12 | 诺基亚公司 | 用于安全地访问社交网络数据的方法、设备和计算机可读存储介质 |
| CN104221321A (zh) * | 2012-03-31 | 2014-12-17 | 诺基亚公司 | 用于安全社交网络的方法和装置 |
| CN104969224A (zh) * | 2013-03-13 | 2015-10-07 | 谷歌公司 | 未认可及新用户的改善用户体验 |
| CN106101131A (zh) * | 2016-07-06 | 2016-11-09 | 杨炳 | 一种实现支持细粒度访问控制的加密系统 |
| WO2016197770A1 (zh) * | 2015-06-12 | 2016-12-15 | 深圳大学 | 一种云存储服务平台的访问控制系统及其访问控制方法 |
| KR101701304B1 (ko) * | 2015-09-30 | 2017-02-02 | 고려대학교 산학협력단 | 클라우드 환경에서 속성기반 암호를 이용한 의료 데이터 관리 방법 및 시스템 |
| CN110035067A (zh) * | 2019-03-13 | 2019-07-19 | 西安电子科技大学 | 云存储中支持高效数据去重和属性撤销的属性加密方法 |
| CN110035065A (zh) * | 2019-03-12 | 2019-07-19 | 华为技术有限公司 | 数据处理方法、相关装置及计算机存储介质 |
| CN110321721A (zh) * | 2019-07-02 | 2019-10-11 | 石家庄铁道大学 | 基于区块链的电子病历访问控制方法 |
| CN110336665A (zh) * | 2019-07-11 | 2019-10-15 | 成都卫士通信息产业股份有限公司 | 一种大数据消息加密方法、装置 |
| CN110611662A (zh) * | 2019-08-30 | 2019-12-24 | 徐州工业职业技术学院 | 一种基于属性基加密的雾协同云数据共享方法 |
| CN110636500A (zh) * | 2019-08-27 | 2019-12-31 | 西安电子科技大学 | 支持跨域数据共享的访问控制系统及方法、无线通信系统 |
| CN111147460A (zh) * | 2019-12-16 | 2020-05-12 | 重庆邮电大学 | 一种基于区块链的协同细粒度访问控制方法 |
| CN111327597A (zh) * | 2020-01-21 | 2020-06-23 | 暨南大学 | 基于区块链隐私保护和细粒度访问控制的数字取证方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7401104B2 (en) * | 2003-08-21 | 2008-07-15 | Microsoft Corporation | Systems and methods for synchronizing computer systems through an intermediary file system share or device |
| US20170344983A1 (en) * | 2016-05-30 | 2017-11-30 | Business Information Exchange System Corp. | BIXCoin: A Secure Peer-to-Peer Payment System Based on the Public Payments Ledger |
-
2020
- 2020-11-12 CN CN202011264244.2A patent/CN112383391B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120041904A (ko) * | 2010-10-22 | 2012-05-03 | 동국대학교 경주캠퍼스 산학협력단 | 클라우드 환경에서 프록시 기반 의료 데이터 접근 권한 관리 방법 및 장치 |
| CN104145445A (zh) * | 2012-03-06 | 2014-11-12 | 诺基亚公司 | 用于安全地访问社交网络数据的方法、设备和计算机可读存储介质 |
| CN104221321A (zh) * | 2012-03-31 | 2014-12-17 | 诺基亚公司 | 用于安全社交网络的方法和装置 |
| CN104969224A (zh) * | 2013-03-13 | 2015-10-07 | 谷歌公司 | 未认可及新用户的改善用户体验 |
| WO2016197770A1 (zh) * | 2015-06-12 | 2016-12-15 | 深圳大学 | 一种云存储服务平台的访问控制系统及其访问控制方法 |
| KR101701304B1 (ko) * | 2015-09-30 | 2017-02-02 | 고려대학교 산학협력단 | 클라우드 환경에서 속성기반 암호를 이용한 의료 데이터 관리 방법 및 시스템 |
| CN106101131A (zh) * | 2016-07-06 | 2016-11-09 | 杨炳 | 一种实现支持细粒度访问控制的加密系统 |
| CN110035065A (zh) * | 2019-03-12 | 2019-07-19 | 华为技术有限公司 | 数据处理方法、相关装置及计算机存储介质 |
| CN110035067A (zh) * | 2019-03-13 | 2019-07-19 | 西安电子科技大学 | 云存储中支持高效数据去重和属性撤销的属性加密方法 |
| CN110321721A (zh) * | 2019-07-02 | 2019-10-11 | 石家庄铁道大学 | 基于区块链的电子病历访问控制方法 |
| CN110336665A (zh) * | 2019-07-11 | 2019-10-15 | 成都卫士通信息产业股份有限公司 | 一种大数据消息加密方法、装置 |
| CN110636500A (zh) * | 2019-08-27 | 2019-12-31 | 西安电子科技大学 | 支持跨域数据共享的访问控制系统及方法、无线通信系统 |
| CN110611662A (zh) * | 2019-08-30 | 2019-12-24 | 徐州工业职业技术学院 | 一种基于属性基加密的雾协同云数据共享方法 |
| CN111147460A (zh) * | 2019-12-16 | 2020-05-12 | 重庆邮电大学 | 一种基于区块链的协同细粒度访问控制方法 |
| CN111327597A (zh) * | 2020-01-21 | 2020-06-23 | 暨南大学 | 基于区块链隐私保护和细粒度访问控制的数字取证方法 |
Non-Patent Citations (5)
| Title |
|---|
| CP-ABE与数字信封融合技术的云存储安全模型设计与实现;张小红;涂平生;;计算机应用与软件(09);全文 * |
| 一种同态密码体制下加密云数据的隐私保护CART算法;苏杰波;张小萍;李道丰;赵搏文;周凯;;小型微型计算机系统(11);全文 * |
| 云计算环境下信任机制综述;金瑜;王凡;赵红武;邓莉;;小型微型计算机系统(01);全文 * |
| 基于密码学的云数据确定性删除研究进展;熊金波;李凤华;王彦超;马建峰;姚志强;;通信学报(08);全文 * |
| 移动互联服务与隐私保护的研究进展;李晖;李凤华;曹进;牛孙文海;耿魁;;通信学报(11);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112383391A (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112383391B (zh) | 基于数据属性授权的数据安全保护方法、存储介质及终端 | |
| US10673626B2 (en) | Threshold secret share authentication proof and secure blockchain voting with hardware security modules | |
| Ali et al. | SeDaSC: secure data sharing in clouds | |
| CN106104562B (zh) | 机密数据安全储存和恢复系统及方法 | |
| KR100969241B1 (ko) | 네트워크 상의 데이터 관리 방법 및 시스템 | |
| CN103179114A (zh) | 一种云存储中的数据细粒度访问控制方法 | |
| JP2023500570A (ja) | コールドウォレットを用いたデジタルシグニチャ生成 | |
| CN114039790A (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
| Kaaniche et al. | ID based cryptography for cloud data storage | |
| CN115426136B (zh) | 基于区块链的跨域访问控制方法及系统 | |
| WO2022148182A1 (zh) | 一种密钥管理方法及相关设备 | |
| CN107426162A (zh) | 一种基于属性基加密实施核心角色访问控制的方法 | |
| CN114631285A (zh) | 在安全通信中使用的密钥生成 | |
| CN102999710A (zh) | 一种安全共享数字内容的方法、设备及系统 | |
| CN110233729A (zh) | 一种基于puf的加密固态盘密钥管理方法 | |
| WO2022135383A1 (zh) | 一种身份鉴别方法和装置 | |
| CN113630448B (zh) | 分布式加密存储方法和系统、计算机设备和可读存储介质 | |
| Alshahrani et al. | Authentication method in software-defined network based on ciphertext-policy attributes encryption | |
| KR101389981B1 (ko) | 퍼블릭 클라우드 스토리지 서비스를 위한 데이터 위임 및 엑세스 방법 | |
| CN113556236B (zh) | 一种基于代理签名的能源数据中台敏感内容委托授权方法 | |
| Leung et al. | A device management framework for secure ubiquitous service delivery | |
| Sathana et al. | Three level security system for dynamic group in cloud | |
| WO2022135382A1 (zh) | 一种身份鉴别方法和装置 | |
| Thangavel et al. | A survey on security over data outsourcing | |
| KR100842014B1 (ko) | 다수의 장치로부터 네트워크 저장 장치상의 보호 데이터에대한 접근 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |