CN112398643B - 一种通信数权保护方法及系统 - Google Patents
一种通信数权保护方法及系统 Download PDFInfo
- Publication number
- CN112398643B CN112398643B CN201910760850.4A CN201910760850A CN112398643B CN 112398643 B CN112398643 B CN 112398643B CN 201910760850 A CN201910760850 A CN 201910760850A CN 112398643 B CN112398643 B CN 112398643B
- Authority
- CN
- China
- Prior art keywords
- data
- pdu
- secret
- download
- platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种通信数权保护方法,所述方法包括:将源数据PT进行秘密分割编码,编码为编号0到n的n+1个保密数据包并生成编号1到n的对应下载数权控制指令和访问控制证书,生成数权控制证书PTC;将编号1到n的n个保密数据包及其访问控制证书分别发送给n个平台方;向接受方发送n个下载数权控制指令、数权控制证书PTC和0号保密数据包;接受方分别从n个平台方下载保密数据包,期间,第k平台方使用第k个访问控制证书校验k个下载数权控制指令;接受方使用n+1个保密数据包,依据数权控制证书PTC解码出源数据PT。本发明基于秘密分割技术路线,用于双方通信、群组通信,保证数据的保密传输、防扩散、防泄漏。
Description
技术领域
本发明涉及信息安全领域,尤其是通信安全领域。
背景技术
端到端加密是在源结点和目的结点中对传送的PDU进行加密和解密,通过在起点将传送的信息加密并且在该信息的目的地将该信息解密而对所述传送的信息的机密性和完整性提供持续保护的机制,报文的安全性不会因中间结点的不可靠而受到影响。所述协议数据单元PDU(Protocol Data Unit)是指对等层次之间传递的数据单位。协议数据单元(Protocol Data Unit)物理层的PDU是数据位(bit),数据链路层的PDU是数据帧(frame),网络层的PDU是数据包(packet),传输层的PDU是数据段(segment),会话层和表示层的PDU是报文(message),应用层的PDU可以是完整的数据(Data)。
开源的Signal protocol是端到端的通信加密协议,号称是世界上最安全的通信协议,任何第三方包括服务器都无法查看通信内容,热门应用facebook messenger,whatsapp,singal app都采用的此协议。Signal protocol可应用在双方通信,群组通信中,能保证传输的消息,图片,音频,视频等文件的加密传输。Signal protocol能提供前向安全和后向安全,即使某个消息的密钥泄露,黑客也无法解密以前的消息和之后的消息。Signalprotocol的核心协议是迪菲-赫尔曼密钥交换协议(Diffie–Hellman key exchange,后文简称DH协议)。DH协议采用发送方的私钥和接受方的公钥作为缺省的“协商密钥”,所有消息在发送时使用发送方的私钥和接受方的公钥进行加密,在接受消息时,接受方使用发送方的公钥和接受方的私钥进行解密。
端到端加密存在如下问题:缺乏防扩散能力,不能防范数据接受方故意泄露密钥造成数据加密失效的安全风险。拥有权限的人员收到密文后,连同密钥一起,有意扩散加密信息,这类间谍、监守自盗等数据泄露方式,能够有效绕开端到端加密安全保密措施。
发明内容
本发明基于秘密分割技术路线,提供一种通信数权保护方法和系统,用于在双方通信,群组通信中,保证传输的消息和图片、音频、视频、文档等数据文件的保密传输、防间反谍、防扩散、防泄漏。
所述数权,是指有数据在全生命周期治理过程中所产生的权利,涉及个人隐私、数据产权、国家主权等权益。数权主体,是指数据控制权所有人,可以是自然人、法人、非法人组织等,往往是数据所指向的特定对象或者该数据的收集、存储、传输、处理者。数权客体是数据,即数权涉及的有一定规律或价值的信息编码集合。
所述数权保护,是指数权主体对数权客体所享有的完全支配权,使数权客体处于数权主体合法控制之下,使得数权主体拥有了自由行使、不受他人干涉的合法控制数据客体的权利。数权保护的本质是数权主体对数权客体的控制,为了保障数权主体的权益,数权主体作为施控者,影响和支配数权客体全生命周期所涉及受控对象,包括信源、信道、信宿、编码器、译码器等计算、存储、传输方面的软硬件设施。
第一方面,本发明实施例提供了一种通信数权保护方法,涉及到数权主权和数权客体全生命周期相关信源、信道、信宿、编码器、译码器。参与的角色包括发送方、接受方和第1平台方、第2平台方、……、第k平台方、……、第n平台方,n为大于0的自然数,k为大于0并且小于或等于n的自然数。通信数权保护过程包括:
发送方将源数据PT进行秘密分割编码,编码为n+1个保密数据包,分别编码为PDU0、PDU1、……、PDUn;生成源数据PT数权控制证书PTC,生成下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;生成访问控制证书PDU-c1、PDU-c2、……、PDU-cn。其中,PDU-dk是PDUk的下载数权控制指令;PDU-ck是PDUk的访问控制证书。
发送方将PDU1、……、PDUn及其访问控制证书PDU-c1、……、PDU-cn分别发送数据给n个平台方。包括:
发送方给第1平台方发送PDU1、PDU1的访问控制证书PDU-c1
发送方给第2平台方发送PDU2、PDU2的访问控制证书PDU-c2
……
发送方给第n平台方发送PDUn、PDUn的访问控制证书PDU-cn
发送方给接受方发送n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn
接受方分别从n个平台方下载数据PDU1、……、PDUn,期间,第k平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令。
包括:
接受方使用PDU-d1下载数权控制指令从第1平台方下载PDU1,期间,第1平台方使用PDU-c1访问控制证书校验PDU-d1下载数权控制指令;
接受方使用PDU-d2下载数权控制指令从第2平台方下载PDU2,期间,第2平台方使用PDU-c2访问控制证书校验PDU-d2下载数权控制指令;
……
接受方使用PDU-dn下载数权控制指令从第n平台方下载PDUn,期间,第n平台方使用PDU-cn访问控制证书校验PDU-dn下载数权控制指令。
接受方使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC记录的秘密分割算法及其参数解码出源数据PT。
第二方面,本发明实施例提供了一种通信数权保护系统,可完整实现所述通信数权保护方法。
所述一种通信数权保护系统包括发送方数权保护SDK、接受方数权保护SDK、消息推送中心、第1平台方、第2平台方、……、第k平台方、……、第n平台方,n为大于0的自然数,k为大于0并且小于或等于n的自然数。
所述发送方数权保护SDK包括数权编码单元、数据分发单元;
所述接受方数权保护SDK包括数权解码单元、数据下载单元。
通信数权保护系统的通信数权保护过程,包括:
所述数权编码单元将源数据PT进行秘密分割编码,编码为n+1个保密数据包,分别编码为PDU0、PDU1、……、PDUn;生成源数据PT数权控制证书PTC,生成下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;生成访问控制证书PDU-c1、PDU-c2、……、PDU-cn。
所述数据分发单元将PDU1、……、PDUn及其访问控制证书PDU-c1、……、PDU-cn分别发送数据给n个平台方。包括:
数据分发单元给第1平台方发送PDU1、PDU1的访问控制证书PDU-c1
数据分发单元给第2平台方发送PDU2、PDU2的访问控制证书PDU-c2
……
数据分发单元给第n平台方发送PDUn、PDUn的访问控制证书PDU-cn
所述数据分发单元向消息推送中心发送n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn。
所述数据下载单元分别从消息推送中心下载n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn。
所述数据下载单元分别从n个平台方下载数据PDU1、……、PDUn,期间,第k平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令。
包括:
数据下载单元使用PDU-d1下载数权控制指令从第1平台方下载PDU1,期间,第1平台方使用PDU-c1访问控制证书校验PDU-d1下载数权控制指令;
数据下载单元使用PDU-d2下载数权控制指令从第2平台方下载PDU2,期间,第2平台方使用PDU-c2访问控制证书校验PDU-d2下载数权控制指令;
……
数据下载单元使用PDU-dn下载数权控制指令从第n平台方下载PDUn,期间,第n平台方使用PDU-cn访问控制证书校验PDU-dn下载数权控制指令。
所述数权解码单元使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC记录的秘密分割算法及其参数解码出源数据PT。
本发明应用实例具有如下有益效果:1、发送方对外发送的源数据PT采用秘密分割编码,编码为n+1个保密数据包,分别发送到接受方和n个平台方,网络上传输的内容都是密文,具备网络可传不可见安全保密特征,防范了网络电子监听。2、第k平台方存储的编码为PDUk,是保密的数据编码,可存不可见,第k平台方不能够根据PDUk解码出源数据PT,防范了第k平台方对源数据PT的窃取、泄露。3、接受方存储的编码为PDU0,是保密的数据编码,可存不可见,接受方不能够仅仅根据PDU0解码出源数据PT,防范了接受方对源数据PT非授权使用。4、接受方使用源数据PT时,需要经过两类校验:第一类校验是平台方校验,接受方使用PDU-dk下载数权控制指令从第k平台方下载PDUk,期间,平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令;第二类是源数据PT解码校验,接受方需要先通过数权控制证书PTC的身份校验后,才可使用PDU0、PDU1、PDU 2、……、PDUn进行解码出源数据PT。两类校验提升了接受方单方面窃取源数据PT的难度,提高了源数据PT应用防泄漏、防扩散等方面的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种通信数权保护方法流程图;
图2为一种通信数权保护系统示意图;
图3为一种通信数权保护系统流程图;
图4为本发明实施例通信数权保护系统与IM即时通讯系统结合示意图;
图5为本发明实施例发送方IM手机软件发送源数据PT过程图;
图6为本发明实施例接受方IM手机软件接受源数据PT过程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
通信数权保护过程如图1所示,包括:
101、发送方将源数据PT进行秘密分割编码,编码为n+1个保密数据包,分别编码为PDU0、PDU1、……、PDUn;生成源数据PT数权控制证书PTC,生成下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;生成访问控制证书PDU-c1、PDU-c2、……、PDU-cn。
所述数权控制证书PTC,内容包括源数据PT秘密分割算法、身份标识、算法参数。
所述下载数权控制指令,是接受方从平台方下载保密数据包的依据,包括保密数据包下载地址、保密数据包下载授权令牌。k为大于0并且小于或等于n的自然数,所述PDU-dk是指保密数据包PDUk的下载数权控制指令。
所述访问控制证书,包括保密数据包下载授权令牌校验数据,用于校验保密数据包下载授权令牌的真伪。所述PDU-ck是指保密数据包PDUk的访问控制证书。
源数据PT使用秘密分割算法生成多个子秘密,每个子秘密都是保密的数据包,都有信息残缺,不能恢复出源数据PT,必须由超过门限数量的子秘密一同协作才能恢复出源数据PT。
发送方、平台方、接受方之间使用开源的Signal protocol协议进行端对端加密通信。
发送方、平台方、接受方的身份标识采用基于身份标识的密码学IBC技术生成,使用SM9标识密码算法。
102、发送方将PDU1、……、PDUn及其访问控制证书PDU-c1、……、PDU-cn分别发送数据给n个平台方。包括:
发送方给第1平台方发送PDU1、PDU1的访问控制证书PDU-c1
发送方给第2平台方发送PDU2、PDU2的访问控制证书PDU-c2
……
发送方给第n平台方发送PDUn、PDUn的访问控制证书PDU-cn
103、发送方给接受方发送n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn
104、接受方分别从n个平台方下载数据PDU1、……、PDUn,期间,第k平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令。
包括:
接受方使用PDU-d1下载数权控制指令从第1平台方下载PDU1,期间,第1平台方使用PDU-c1访问控制证书校验PDU-d1下载数权控制指令;
接受方使用PDU-d2下载数权控制指令从第2平台方下载PDU2,期间,第2平台方使用PDU-c2访问控制证书校验PDU-d2下载数权控制指令;
……
接受方使用PDU-dn下载数权控制指令从第n平台方下载PDUn,期间,第n平台方使用PDU-cn访问控制证书校验PDU-dn下载数权控制指令。
105、接受方使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC记录的秘密分割算法及其参数解码出源数据PT。
一种通信数权保护系统示意图如图2。
所述一种通信数权保护系统包括发送方数权保护SDK、接受方数权保护SDK、消息推送中心、第1平台方、第2平台方、……、第n平台方。
所述发送方数权保护SDK包括数权编码单元、数据分发单元;
所述接受方数权保护SDK包括数权解码单元、数据下载单元。
通信数权保护系统的通信数权保护过程如图3所示,包括:
301、所述数权编码单元将源数据PT进行秘密分割编码,编码为n+1个保密数据包,分别编码为PDU0、PDU1、……、PDUn;生成源数据PT数权控制证书PTC,生成下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;生成访问控制证书PDU-c1、PDU-c2、……、PDU-cn。
所述数权控制证书PTC,内容包括源数据PT秘密分割算法、身份标识、算法参数。
所述下载数权控制指令,是接受方从平台方下载保密数据包的依据,包括保密数据包下载地址、保密数据包下载授权令牌。k为大于0并且小于或等于n的自然数,所述PDU-dk是指保密数据包PDUk的下载数权控制指令。
所述访问控制证书,包括保密数据包下载授权令牌校验数据,用于校验保密数据包下载授权令牌的真伪。所述PDU-ck是指保密数据包PDUk的访问控制证书。
源数据PT使用秘密分割算法生成多个子秘密,每个子秘密都是保密的数据包,都有信息残缺,不能恢复出源数据PT,必须由超过门限数量的子秘密一同协作才能恢复出源数据PT。
发送方、平台方、接受方之间使用开源的Signal protocol协议进行端对端加密通信。
发送方、平台方、接受方的身份标识采用基于身份标识的密码学IBC技术生成,使用SM9标识密码算法。
302、所述数据分发单元将PDU1、……、PDUn及其访问控制证书PDU-c1、……、PDU-cn分别发送数据给n个平台方。包括:
数据分发单元给第1平台方发送PDU1、PDU1的访问控制证书PDU-c1
数据分发单元给第2平台方发送PDU2、PDU2的访问控制证书PDU-c2
……
数据分发单元给第n平台方发送PDUn、PDUn的访问控制证书PDU-cn
303、所述数据分发单元向消息推送中心发送n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn。
304、所述数据下载单元分别从消息推送中心下载n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn。
305、所述数据下载单元分别从n个平台方下载数据PDU1、……、PDUn,期间,第k平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令。
包括:
数据下载单元使用PDU-d1下载数权控制指令从第1平台方下载PDU1,期间,第1平台方使用PDU-c1访问控制证书校验PDU-d1下载数权控制指令;
数据下载单元使用PDU-d2下载数权控制指令从第2平台方下载PDU2,期间,第2平台方使用PDU-c2访问控制证书校验PDU-d2下载数权控制指令;
……
数据下载单元使用PDU-dn下载数权控制指令从第n平台方下载PDUn,期间,第n平台方使用PDU-cn访问控制证书校验PDU-dn下载数权控制指令。
306、所述数权解码单元使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC记录的秘密分割算法及其参数解码出源数据PT。
通信数权保护系统与IM即时通讯系统结合示意图如图4。
所述通信数权保护系统包括发送方数权保护SDK、接受方数权保护SDK、第1平台方、第2平台方、……、第n平台方。所述发送方数权保护SDK包括秘密分割编码单元、数据分发单元;所述接受方数权保护SDK包括秘密分割解码单元、数据下载单元。
所述IM即时通讯系统包括发送方IM手机软件、接受方IM手机软件、IM后台服务系统。
发送方IM手机软件发送源数据PT过程如图5:
501、发送方IM手机软件将源数据PT输入到通信数权保护系统的发送方数权保护SDK的秘密分割编码单元;
502、秘密分割编码单元将源数据PT进行秘密分割编码,编码为n+1个保密数据包,分别编码为PDU0、PDU1、……、PDUn;生成源数据PT数权控制证书PTC,生成下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;生成访问控制证书PDU-c1、PDU-c2、……、PDU-cn;
503、秘密分割编码单元调用数据分发单元,将PDU1、……、PDUn及其访问控制证书PDU-c1、……、PDU-cn分别发送数据给n个平台方,包括:
秘密分割编码单元调用数据分发单元给第1平台方发送PDU1、PDU1的访问控制证书PDU-c1;
秘密分割编码单元调用数据分发单元给第2平台方发送PDU2、PDU2的访问控制证书PDU-c2;
……;
秘密分割编码单元调用数据分发单元给第n平台方发送PDUn、PDUn的访问控制证书PDU-cn;
504、秘密分割编码单元将PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn编码打包为保密消息S0,反馈给发送方IM手机软件。
505、发送方IM手机软件将保密消息S0发送到IM后台服务系统。
接受方IM手机软件接受源数据PT过程如图6:
61、接受方IM手机软件从IM后台服务系统下载保密消息S0;
62、接受方IM手机软件将保密消息S0输入到通信数权保护系统的接受方数权保护SDK的秘密分割解码单元;
63、秘密分割解码单元验证保密消息S0,解码出PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn;
64、秘密分割解码单元调用数据下载单元,从n个平台方下载数据,包括:
秘密分割解码单元调用数据下载单元使用PDU-d1下载数权控制指令从第1平台方下载PDU1,期间,第1平台方使用PDU-c1访问控制证书校验PDU-d1下载数权控制指令;
秘密分割解码单元调用数据下载单元使用PDU-d2下载数权控制指令从第2平台方下载PDU2,期间,第2平台方使用PDU-c2访问控制证书校验PDU-d2下载数权控制指令;
……
秘密分割解码单元调用数据下载单元使用PDU-dn下载数权控制指令从第n平台方下载PDUn,期间,第n平台方使用PDU-cn访问控制证书校验PDU-dn下载数权控制指令。
65、秘密分割解码单元使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC记录的秘密分割算法及其参数解码出源数据PT;
66、秘密分割解码单元向接受方IM手机软件反馈源数据PT。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种通信数权保护方法,其特征在于,所述方法包括:
涉及到数权主权和数权客体全生命周期相关信源、信道、信宿、编码器、译码器;参与的角色包括发送方、接受方和第1平台方、第2平台方、……、第k平台方、……、第n平台方,n为大于0的自然数,k为大于0并且小于或等于n的自然数;
通信数权保护过程包括:
发送方根据源数据PT,按照编码算法编码出数据编码,包括:n+1个保密数据包PDU0、PDU1、……、PDUn;源数据PT数权控制证书PTC;n个下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;n个访问控制证书PDU-c1、PDU-c2、……、PDU-cn;
发送方向全部n个平台方发送数据编码,发送方给第k平台发送的数据编码PDUk,PDU-ck;
发送方给接受方发送n+2项数据编码,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn;
接受方从全部n个平台方下载数据编码,其中,向第k平台提交PDU-ck,第k平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令,校验通过后,接受方才可下载数据PDUk;
接受方使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC,使用编码算法对应的译码算法解码出源数据PT。
2.如权利要求1所述通信数权保护方法,其特征在于,编码算法以及对应的译码算法使用基于秘密分割技术的编解码算法;
源数据PT使用秘密分割算法生成多个子秘密,每个子秘密都是保密的数据包,都有信息残缺,不能恢复出源数据PT,必须由超过门限数量的子秘密一同协作才能恢复出源数据PT;
发送方、平台方、接受方之间使用开源的Signal protocol协议进行端对端加密通信;
发送方、平台方、接受方的身份标识采用基于身份标识的密码学IBC技术生成,使用SM9标识密码算法。
3.如权利要求1所述通信数权保护方法,其特征在于,所述数权控制证书PTC,
内容包括源数据PT秘密分割算法、身份标识、算法参数。
4.如权利要求1所述通信数权保护方法,其特征在于,所述下载数权控制指令,
是接受方从平台方下载数据编码的依据,包括数据编码下载地址、数据编码下载授权令牌;所述PDU-dk是指保密数据包PDUk的下载数权控制指令。
5.如权利要求1所述通信数权保护方法,其特征在于,所述访问控制证书,
包括数据编码下载授权令牌校验数据,用于校验数据编码下载授权令牌的真伪;所述PDU-ck是指保密数据包PDUk的访问控制证书。
6.一种通信数权保护系统,其特征在于,所述系统包括:
发送方数权保护SDK、接受方数权保护SDK、消息推送中心、第1平台方、第2平台方、……、第k平台方、……、第n平台方,n为大于0的自然数,k为大于0并且小于或等于n的自然数;所述发送方数权保护SDK包括数据编码单元、数据分发单元;所述接受方数权保护SDK包括数据解码单元、数据下载单元;
通信数权保护系统的通信数权保护过程包括:
所述数据编码单元将源数据PT进行秘密分割编码,编码为n+1个保密数据包,分别编码为PDU0、PDU1、……、PDUn;生成源数据PT数权控制证书PTC,生成下载数权控制指令PDU-d1、PDU-d2、……PDU-dn;生成访问控制证书PDU-c1、PDU-c2、……、PDU-cn;
所述数据分发单元向n个平台方发送数据,发送方向第k平台发送数据PDUk,PDU-ck;
所述数据分发单元向消息推送中心发送n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn;
所述数据下载单元分别从消息推送中心下载n+2项数据,包括:PDU0、源数据PT数权控制证书PTC、PDU-d1、PDU-d2、……、PDU-dn;
所述数据下载单元分别从n个平台方下载数据PDU1、……、PDUn,期间,第k平台方使用PDU-ck访问控制证书校验PDU-dk下载数权控制指令;
所述数据解码单元使用PDU0、PDU1、PDU2、……、PDUn,依据数权控制证书PTC记录的秘密分割算法及其参数解码出源数据PT。
7.如权利要求6所述通信数权保护系统,其特征在于,所述数权编码单元的编码算法以及对应的译码算法使用基于秘密分割技术的编解码算法;
源数据PT使用秘密分割算法生成多个子秘密,每个子秘密都是保密的数据包,都有信息残缺,不能恢复出源数据PT,必须由超过门限数量的子秘密一同协作才能恢复出源数据PT;
数据分发单元、平台方、数据下载单元之间使用开源的Signal protocol协议进行端对端加密通信;
数据分发单元、平台方、数据下载单元的身份标识采用基于身份标识的密码学IBC技术生成,使用SM9标识密码算法。
8.如权利要求6所述通信数权保护系统,其特征在于,所述数权控制证书PTC,
内容包括源数据PT秘密分割算法、身份标识、算法参数。
9.如权利要求6所述通信数权保护系统,其特征在于,所述下载数权控制指令,
是数据下载单元从平台方下载数据编码的依据,包括数据编码下载地址、数据编码下载授权令牌;所述PDU-dk是指保密数据包PDUk的下载数权控制指令。
10.如权利要求6所述通信数权保护系统,其特征在于,所述访问控制证书
包括数据编码下载授权令牌校验数据,用于校验数据编码下载授权令牌的真伪;所述PDU-ck是指保密数据包PDUk的访问控制证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910760850.4A CN112398643B (zh) | 2019-08-16 | 2019-08-16 | 一种通信数权保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910760850.4A CN112398643B (zh) | 2019-08-16 | 2019-08-16 | 一种通信数权保护方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398643A CN112398643A (zh) | 2021-02-23 |
| CN112398643B true CN112398643B (zh) | 2023-08-18 |
Family
ID=74603105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910760850.4A Active CN112398643B (zh) | 2019-08-16 | 2019-08-16 | 一种通信数权保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398643B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1842990A (zh) * | 2004-05-05 | 2006-10-04 | 捷讯研究有限公司 | 发送安全消息的系统和方法 |
| CN1961270A (zh) * | 2004-05-28 | 2007-05-09 | 皇家飞利浦电子股份有限公司 | 保密信息分配系统中的许可证管理 |
| CN106712945A (zh) * | 2017-01-22 | 2017-05-24 | 安徽大学 | 一种基于Bell态的量子秘密共享方法 |
| CN107241188A (zh) * | 2017-06-02 | 2017-10-10 | 丁爱民 | 一种量子存储数据编解码方法、装置及系统 |
| WO2018109010A1 (en) * | 2016-12-15 | 2018-06-21 | Luxembourg Institute Of Science And Technology (List) | P2p network data distribution and retrieval using blockchain log |
-
2019
- 2019-08-16 CN CN201910760850.4A patent/CN112398643B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1842990A (zh) * | 2004-05-05 | 2006-10-04 | 捷讯研究有限公司 | 发送安全消息的系统和方法 |
| CN1961270A (zh) * | 2004-05-28 | 2007-05-09 | 皇家飞利浦电子股份有限公司 | 保密信息分配系统中的许可证管理 |
| WO2018109010A1 (en) * | 2016-12-15 | 2018-06-21 | Luxembourg Institute Of Science And Technology (List) | P2p network data distribution and retrieval using blockchain log |
| CN106712945A (zh) * | 2017-01-22 | 2017-05-24 | 安徽大学 | 一种基于Bell态的量子秘密共享方法 |
| CN107241188A (zh) * | 2017-06-02 | 2017-10-10 | 丁爱民 | 一种量子存储数据编解码方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 新型量子秘密共享协议设计的研究;窦钊;《中国博士学位论文全文数据库基础科学辑》;43-64页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398643A (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7095851B1 (en) | Voice and data encryption method using a cryptographic key split combiner | |
| CN101903889B (zh) | 数字版权管理的设备和方法 | |
| CA2730588C (en) | Multipad encryption | |
| US20130177152A1 (en) | Cryptographic Key Spilt Combiner | |
| GB2533279B (en) | Secure media player | |
| JPH07245605A (ja) | 暗号化情報中継装置とそれに接続される加入者端末装置ならびに暗号通信方法 | |
| JP2004527188A (ja) | メッセージの保護および識別のためのセキュリティ装置およびセキュリティ方法 | |
| US9819486B2 (en) | S-box in cryptographic implementation | |
| CN1950777A (zh) | 内容流的完整性保护 | |
| CN113347215B (zh) | 一种移动视频会议加密方法 | |
| CN114006736A (zh) | 一种基于硬件密码设备的即时通信消息保护系统及方法 | |
| WO2009154580A1 (en) | Secure short message service | |
| US20160359822A1 (en) | Sovereign share encryption protocol | |
| CN103108245A (zh) | 一种智能电视支付密钥系统以及基于智能电视的支付方法 | |
| CN113591109B (zh) | 可信执行环境与云端通信的方法及系统 | |
| WO2007018476A1 (en) | Hybrid cryptographic approach to mobile messaging | |
| CN112787987B (zh) | 一种路径加密方法、装置和系统 | |
| CN112398643B (zh) | 一种通信数权保护方法及系统 | |
| AU753951B2 (en) | Voice and data encryption method using a cryptographic key split combiner | |
| CN106982123B (zh) | 一种单向加密电子签名方法及系统 | |
| Blaze | Key escrow from a safe distance: looking back at the clipper chip | |
| CN103986640A (zh) | 一种可保障用户通讯内容安全的即时通讯方法及其系统 | |
| EP1693982A2 (en) | Method for establishing a secure communication channel | |
| EP2141924A1 (en) | Process to ensure massive data diffusion security, and devices associated | |
| Sharma et al. | Comparative Analysis of Different Algorithms on Security of Chat Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |