CN112883399B - 一种用于实现加密文件安全共享的方法及系统 - Google Patents
一种用于实现加密文件安全共享的方法及系统 Download PDFInfo
- Publication number
- CN112883399B CN112883399B CN202110262735.1A CN202110262735A CN112883399B CN 112883399 B CN112883399 B CN 112883399B CN 202110262735 A CN202110262735 A CN 202110262735A CN 112883399 B CN112883399 B CN 112883399B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- attribute
- file
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种用于实现加密文件安全共享的方法及系统。该方法包括:上传加密文件过程:第一客户端获取属性公钥和第一用户ID信息后,生成第一密钥并使用对称密码算法对待分享文件加密生成文件密文;第一客户端通过属性公钥和第一用户ID信息使用属性加密算法对第一密钥加密生成密钥密文I后,将文件密文和密钥密文I上传至业务服务器;动态共享加密文件过程:第一客户端通过获取的属性私钥对密钥密文I解密获得第一密钥,再通过属性公钥和共享用户ID加密第一密钥生成密钥密文II,并由业务服务器写入安全头文件中;第二客户端通过属性私钥使用属性解密算法对密钥密文II解密获得第一密钥后,再使用对称密码算法对文件密文进行解密后获得待分享文件。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种用于实现加密文件安全共享的方法及系统。
背景技术
企业内隐私文件的安全,通常需要采用密码技术进行敏感文件的保护,但一次一密的加密分发又不便于文件在企业内高效的流转,如果采用相同的密钥又缺乏足够的安全性;目前,通常采用ABE(Attribute-Based Encryption,基于属性的加密)技术能实现高效密钥分发的特点,将ABE技术应用到企业内部的加密文件分享中,实现一套适用于企业内加密文件的高效分发的共享访问控制系统。
ABE是一种将属性、策略与密码算法相结合的公钥密码技术;使用ABE技术多应用在互联环境下的加密文件高效分发,通过只对原文使用属性策略结合的加密方式,只需要进行一次加密,与之相对的具有相关属性的用户都能解密出加密对象。
然而,ABE技术在实际应用中,相关密钥在传输过程中的安全性较低;此外,还缺少对属性私钥的过期保护;从而导致敏感文件在共享时存在安全隐患。
因此如何设计一种用于实现加密文件安全共享的方法,能够保证相关密钥(包括属性私钥)的安全有效和安全传输,且提升文件共享时的安全性是目前急需解决的问题。
发明内容
为了部分地解决传统加密文件共享方法中存在的密钥在传输过程中安全性较低或缺少属性私钥的过期保护的问题,本发明提供一种用于实现加密文件安全共享的方法及系统。
一方面,本发明提供一种用于实现加密文件安全共享的方法,包括:上传加密文件过程和共享加密文件过程;
所述上传加密文件过程包括:
第一客户端通过业务服务器从密钥管理服务器中获取属性公钥,再通过业务服务器从用户中心获取第一用户ID信息,所述第一用户ID信息指上传待分享文件的用户的用户自身ID;
第一客户端生成第一密钥并使用对称密码算法对待分享文件加密后生成文件密文;
第一客户端通过属性公钥和第一用户ID信息使用属性加密算法对第一密钥加密后生成密钥密文I;
第一客户端将所述文件密文和所述密钥密文I上传至业务服务器,以供业务服务器将密钥密文I保存为安全头文件;
所述共享加密文件过程包括:
第一客户端通过业务服务器从密钥管理服务器中获取属性私钥,从业务服务器中获取第二用户ID信息,并对密钥密文I解密后获得第一密钥;所述第二用户ID信息是指为被分享文件的用户分配的用户ID;
第一客户端通过属性公钥和第二用户ID信息使用属性加密算法加密第一密钥后生成密钥密文II,并通过业务服务器将所述密钥密文II写入安全头文件中;
第二客户端从业务服务器获取第二用户ID信息、文件密文、安全头文件和属性私钥,通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥;
第二客户端通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件;
其中,第一客户端是指上传待分享文件的用户的客户端;第二客户端是指被分享文件的用户的客户端。
进一步地,根据第二用户ID信息的不同,所述共享加密文件过程包括动态共享加密文件过程和/或共享加密文件至部门/集团成员过程;其中,所述第二用户ID信息包括共享用户ID和/或部门/集团成员ID;当第二用户ID信息为共享用户ID时,所述共享加密文件过程为动态共享加密文件过程,当第二用户ID信息为部门/集团成员ID时,所述共享加密文件过程为共享加密文件至部门/集团成员过程。
进一步地,还包括:上传待分享文件的用户解密自身上传的加密文件过程,具体为:
第一客户端从业务服务器获取其上传的文件密文和安全头文件;
第一客户端通过业务服务器从密钥管理服务器中获取被加密的属性私钥和第二密钥密文;其中,所述被加密的属性私钥是指由密钥管理服务器对生成的第二密钥使用对称密码算法加密后所获得的密钥;所述第二密钥密文是指通过保存在用户中心的用户公钥使用非对称密码算法对第二密钥加密后所生成的密文;
第一客户端使用其用户私钥对第二密钥密文解密后获得第二密钥,再通过第二密钥对被加密的属性私钥解密后获得属性私钥;
第一客户端通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,再通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
进一步地,所述属性公钥和属性私钥由密钥管理服务器生成;密钥管理服务器根据客户端用户的属性集生成用户的属性私钥;
其中,用户的属性集包括静态属性集和动态属性集,属性私钥包括静态属性私钥和动态属性私钥,密钥管理服务器提供相应的属性私钥获取接口;所述共享用户ID为动态属性集,所述部门/集团成员ID和第一用户ID信息为静态属性集。
进一步地,通过在属性私钥中设置时间戳参数来表示静态属性私钥和动态属性私钥的有效时限,动态属性私钥的有效期比静态属性私钥的有效期短。
进一步地,客户端在获取到属性私钥后,判断相关的时间戳参数是否超过约定的使用时效,若超过则返回属性私钥过期,否则继续执行后续解密操作。
另一方面,本发明提供一种用于实现加密文件安全共享的系统,包括:客户端、业务服务器、用户中心和密钥管理服务器;业务服务器分别与客户端、用户中心和密钥管理服务器进行通信连接;其中,将上传待分享文件的用户的客户端记为第一客户端,将被分享文件的用户的客户端记为第二客户端;
所述客户端,在上传加密文件过程中,用于通过业务服务器从密钥管理服务器中获取属性公钥,再通过业务服务器从用户中心获取第一用户ID信息,所述第一用户ID信息指上传待分享文件的用户的用户自身ID;用于生成第一密钥并使用对称密码算法对待分享文件加密后生成文件密文;以及用于通过属性公钥和用户自身ID使用属性加密算法对第一密钥加密后生成密钥密文I后,将文件密文和密钥密文I上传至业务服务器,业务服务器将密钥密文保存为安全头文件;
以及,在共享加密文件过程中,用于通过业务服务器从密钥管理服务器中获取属性私钥,从业务服务器中获取第二用户ID信息,并对密钥密文I解密后获得第一密钥;所述第二用户ID信息是指为被分享文件的用户分配的用户ID;用于属性公钥和第二用户ID信息使用属性加密算法加密第一密钥后生成密钥密文II,并通过业务服务器将所述密钥密文II写入安全头文件中;
所述第二客户端,在共享加密文件过程中,用于从业务服务器获取第二用户ID信息、文件密文、安全头文件和属性私钥,通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
进一步地,所述第一客户端,在解密自身上传的加密文件过程中,还用于从业务服务器获取其上传的文件密文和安全头文件;通过业务服务器从密钥管理服务器中获取被加密的属性私钥和第二密钥密文;其中,所述被加密的属性私钥是指由密钥管理服务器对生成的第二密钥使用对称密码算法加密后所获得的密钥;所述第二密钥密文是指通过保存在用户中心的用户公钥使用非对称密码算法对第二密钥进行加密后所生成的密文;用于使用其用户私钥对第二密钥密文解密后获得第二密钥,再通过第二密钥对被加密的属性私钥解密后获得属性私钥;以及用于通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,再通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
进一步地,所述属性公钥和属性私钥由密钥管理服务器生成;密钥管理服务器根据客户端用户的属性集生成用户的属性私钥;
其中,用户的属性集包括静态属性集和动态属性集,属性私钥包括静态属性私钥和动态属性私钥,密钥管理服务器提供相应的属性私钥获取接口;所述共享用户ID为动态属性集,所述部门/集团成员ID和用户自身ID为静态属性集。
进一步地,通过在属性私钥中设置时间戳参数来表示静态属性私钥和动态属性私钥的有效时限,动态属性私钥的有效期比静态属性私钥的有效期短。
本发明的有益效果:
(1)本发明通过将属性加密技术与企业文件共享访问的场景相结合,采用动态属性私钥、静态属性私钥分别应用于不同的文件共享场景,所有属性私钥均由密钥管理服务器依据属性的不同而动态生成,能够保证不同的共享用户客户端、不同的成员能够安全地共享文件;
(2)本发明通过将优化的属性密码算法和PKI技术相结合,实现根据用户属性和权限动态分发用户的属性私钥,属性私钥还设置有时间戳参数,且能够保证属性私钥的安全传输和属性私钥的有效性,解决了企业内部跨部门、跨集团加密文件的共享安全和密钥高效分发的问题,提高加解密效率,保证共享文件的安全。
附图说明
图1为本发明实施例提供的一种用于实现加密文件安全共享的方法的流程图;
图2为本发明实施例提供的一种用于实现加密文件安全共享的方法中第一客户端解密自身上传的加密文件过程的流程图;
图3为本发明实施例提供的一种用于实现加密文件安全共享的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于理解本发明的技术方案,将本发明涉及的密码算法给出如下解释。
如图1所示,本发明实施例提出一种用于实现加密文件安全共享的方法,包括上传加密文件过程和共享加密文件过程;
所述上传加密文件过程包括:
第一客户端通过业务服务器从密钥管理服务器中获取属性公钥,再通过业务服务器从用户中心获取第一用户ID信息,所述第一用户ID信息指上传待分享文件的用户的用户自身ID;
第一客户端生成第一密钥并使用对称密码算法对待分享文件加密后生成文件密文;
第一客户端通过属性公钥和第一用户ID信息使用属性加密算法对第一密钥加密后生成密钥密文I;
第一客户端将所述文件密文和所述密钥密文I上传至业务服务器,以供业务服务器将密钥密文I保存为安全头文件;
所述共享加密文件过程包括:
第一客户端通过业务服务器从密钥管理服务器中获取属性私钥,从业务服务器中获取第二用户ID信息,并对密钥密文I解密后获得第一密钥;所述第二用户ID信息是指为被分享文件的用户分配的用户ID;
具体地,根据第一用户ID信息和属性私钥对密钥密文I解密后获得第一密钥。
第一客户端通过属性公钥和第二用户ID信息使用属性加密算法加密第一密钥后生成密钥密文II,并通过业务服务器将所述密钥密文II写入安全头文件中;
第二客户端从业务服务器获取第二用户ID信息、文件密文、安全头文件和属性私钥,通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥;
具体地,可以理解,第二客户端通过业务服务器最终从密钥管理服务器获取属性私钥。
第二客户端通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件;
其中,第一客户端是指上传待分享文件的用户的客户端;第二客户端是指被分享文件的用户的客户端。
属性密码算法(属性加密算法和属性解密算法)是基于ECC的公钥密码技术,结合LSSS算法的密钥共享实现。本发明实施例提供的用于实现加密文件安全共享的方法,先使用对称密码算法对保护的密钥进行加密,再将对称加密使用的密钥进行基于LSSS共享密钥树算法,结合加密的策略属性集,生成出运算后多个叶子节点,增加了LSSS共享密钥算法的安全性。通过优化后的属性密码算法能够保证企业内部敏感文件的密钥能在授权的用户内安全的分发。
属性加密算法为:输入明文data1进行属性加密,通过线性密钥分享算法(LinearSecret Sharing Scheme,LSSS)生成共享秘密使用的随机数R1,并根据属性策略得到叶子结点Zn,使用R1和对称密码算法对data1加密得到密文SEC1,将SEC1和Zn作为密文字符串返回给客户端;
属性解密算法:输入密文SEC1进行属性解密,根据属性私钥解密基于LSSS的共享秘密算法,解密随机数R1,使用R1和对称密码算法解密SEC1得到data1,将data1返回给客户端。
在上述实施例的基础上,本发明实施例中,根据第二用户ID信息的不同,所述共享加密文件过程包括动态共享加密文件过程和/或共享加密文件至部门/集团成员过程;其中,所述第二用户ID信息包括共享用户ID和/或部门/集团成员ID;当第二用户ID信息为共享用户ID时,所述共享加密文件过程为动态共享加密文件过程,当第二用户ID信息为部门/集团成员ID时,所述共享加密文件过程为共享加密文件至部门/集团成员过程。
具体地,共享用户ID和部门/集团成员ID适用于不同的应用场景。其中,共享用户ID适用于将待分享文件分享至其它集团、部门的用户客户端的场景;该其它集团、部门的用户客户端是指与上传待分享文件的用户所在的集团、部门不同的用户客户端。部门/集团成员ID适用于与上传待分享文件的用户所属的集团、部门相同的用户客户端的场景。
具体地,在实际的应用中,客户端将加密文件共享给部门成员或集团成员的过程具体包括:客户端通过业务服务器从密钥管理服务器中获取自己的属性私钥;使用自己的属性私钥解密出待分享文件的加密密钥(也就是第一密钥);通过属性公钥和部门唯一ID(部门ID,分享给集团成员时,则是集团ID)使用属性加密算法加密第一密钥,并将加密得到的密钥密文(也就是密钥密文II)提交到业务服务器,由业务服务器将其写到安全头文件中,该文件文件名包括:分享id+”_”+fileid+”.sec.header”组成,业务服务器关联分享操作(即共享用户ID)、文件密文和分享文件密文头(即安全头文件)的关联关系,被分享部门的用户从业务服务器拉取到这些信息后,通过自己的属性私钥能解密出安全头文件中的文件对称密钥(也就是第一密钥),并根据该第一密钥解密出待分享文件。
在上述各实施例的基础上,如图2所示,本发明实施例中还包括:上传待分享文件的用户解密自身上传的加密文件过程,具体为:
第一客户端从业务服务器获取其上传的文件密文和安全头文件;
第一客户端通过业务服务器从密钥管理服务器中获取被加密的属性私钥和第二密钥密文;其中,所述被加密的属性私钥是指由密钥管理服务器对自身生成的第二密钥使用对称密码算法加密后所获得的密钥;所述第二密钥密文是指通过保存在用户中心的用户公钥使用非对称密码算法对第二密钥加密后所生成的密文;
第一客户端使用其用户私钥对第二密钥密文解密后获得第二密钥,再通过第二密钥对被加密的属性私钥解密后获得属性私钥;
第一客户端通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,再通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
在上述各实施例中,作为一种可实施方式,所述属性公钥和属性私钥由密钥管理服务器生成;密钥管理服务器根据客户端用户的属性集生成用户的属性私钥;
其中,用户的属性集包括静态属性集和动态属性集,属性私钥包括静态属性私钥和动态属性私钥,密钥管理服务器提供相应的属性私钥获取接口;所述共享用户ID为动态属性集,所述部门/集团成员ID和第一用户ID信息为静态属性集。
通过在属性私钥中设置时间戳参数来表示静态属性私钥和动态属性私钥的有效时限,动态属性私钥的有效期比静态属性私钥的有效期短。
客户端在获取到属性私钥后,判断相关的时间戳参数是否超过约定的使用时效,若超过则返回属性私钥过期,否则继续执行后续解密操作。
具体地,在实际的应用中,约定动态属性私钥只能在业务服务器签发时间戳之后的15分钟内有效,约定静态属性私钥只能在业务服务器签发时间戳之后的60分钟内有效,否则返回用户属性私钥过期的错误。
为了实现上述各实施例中的用于实现加密文件安全共享方法,如图3所示,本发明实施例还提供了一种用于实现加密文件安全共享的系统,包括:客户端、业务服务器、用户中心和密钥管理服务器;业务服务器分别与客户端、用户中心和密钥管理服务器进行通信连接;其中,将上传待分享文件的用户的客户端记为第一客户端,将被分享文件的用户的客户端记为第二客户端;
所述第一客户端,在上传加密文件过程中,用于通过业务服务器从密钥管理服务器中获取属性公钥,再通过业务服务器从用户中心获取第一用户ID信息,所述第一用户ID信息指上传待分享文件的用户的用户自身ID;用于生成第一密钥并使用对称密码算法对待分享文件加密后生成文件密文;以及用于通过属性公钥和用户自身ID使用属性加密算法对第一密钥加密后生成密钥密文I后,将文件密文和密钥密文I上传至业务服务器,业务服务器将密钥密文保存为安全头文件;
以及,在共享加密文件过程中,用于通过业务服务器从密钥管理服务器中获取属性私钥,从业务服务器中获取第二用户ID信息,并对密钥密文I解密后获得第一密钥;所述第二用户ID信息是指为被分享文件的用户分配的用户ID;用于属性公钥和第二用户ID信息使用属性加密算法加密第一密钥后生成密钥密文II,并通过业务服务器将所述密钥密文II写入安全头文件中;
所述第二客户端,在共享加密文件过程中,用于从业务服务器获取第二用户ID信息、文件密文、安全头文件和属性私钥,通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
在上述实施例的基础上,所述第一客户端,在解密自身上传的加密文件过程中,还用于从业务服务器获取其上传的文件密文和安全头文件;通过业务服务器从密钥管理服务器中获取被加密的属性私钥和第二密钥密文;其中,所述被加密的属性私钥是指由密钥管理服务器对生成的第二密钥使用对称密码算法加密后所获得的密钥;所述第二密钥密文是指通过保存在用户中心的用户公钥使用非对称密码算法对第二密钥进行加密后所生成的密文;用于使用其用户私钥对第二密钥密文解密后获得第二密钥,再通过第二密钥对被加密的属性私钥解密后获得属性私钥;以及用于通过属性私钥使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,再通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
作为一种可实施方式,上述各系统实施例中,所述属性公钥和属性私钥由密钥管理服务器生成;密钥管理服务器根据客户端用户的属性集生成用户的属性私钥;
其中,用户的属性集包括静态属性集和动态属性集,属性私钥包括静态属性私钥和动态属性私钥,密钥管理服务器提供相应的属性私钥获取接口;所述共享用户ID为动态属性集,所述部门/集团成员ID和用户自身ID为静态属性集。
通过在属性私钥中设置时间戳参数来表示静态属性私钥和动态属性私钥的有效时限,动态属性私钥的有效期比静态属性私钥的有效期短。
需要说明的是,业务服务器负责文件密文的存储,以及将文件和用户进行关联,并负责共享的业务操作,以及相关公钥和属性获取的业务提供访问接口;用户中心负责初始化用户客户端中保存的用户公私钥证书数据,并提供相应接口给其他业务服务器获取用户客户端保存的用户公钥;为了用户数据的保密安全,所有的加密操作和解密操作均由客户端完成,业务服务器只是作为加密后密钥的传递者,密钥管理服务器则为用户提供属性私钥的生成、加密存储、密钥的生成和密钥撤销等管理功能;客户端使用USB Key或者硬件密码钥匙作为密钥存储和运算的载体。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种用于实现加密文件安全共享的方法,其特征在于,包括:上传加密文件过程和共享加密文件过程;
所述上传加密文件过程包括:
第一客户端通过业务服务器从密钥管理服务器中获取自己的属性公钥,再通过业务服务器从用户中心获取第一用户ID信息,所述第一用户ID信息指上传待分享文件的用户的用户自身ID;
第一客户端生成第一密钥并使用对称密码算法对待分享文件加密后生成文件密文;
第一客户端通过自己的属性公钥和第一用户ID信息使用属性加密算法对第一密钥加密后生成密钥密文I;
第一客户端将所述文件密文和所述密钥密文I上传至业务服务器,以供业务服务器将密钥密文I保存为安全头文件;
所述共享加密文件过程包括:
第一客户端通过业务服务器从密钥管理服务器中获取自己的属性私钥和第二客户端的属性公钥,从业务服务器中获取第二用户ID信息,并通过自己的属性私钥和第一用户ID信息使用属性加密算法对密钥密文I解密后获得第一密钥;所述第二用户ID信息是指为被分享文件的用户分配的用户ID;
第一客户端通过第二客户端的属性公钥和第二用户ID信息使用属性加密算法加密第一密钥后生成密钥密文II,并通过业务服务器将所述密钥密文II写入安全头文件中;
第二客户端从业务服务器获取第二用户ID信息、文件密文、安全头文件和自己的属性私钥,通过自己的属性私钥和第二用户ID信息使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥;
第二客户端通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件;
其中,第一客户端是指上传待分享文件的用户的客户端;第二客户端是指被分享文件的用户的客户端。
2.根据权利要求1所述的方法,其特征在于,根据第二用户ID信息的不同,所述共享加密文件过程包括动态共享加密文件过程和/或共享加密文件至部门/集团成员过程;其中,所述第二用户ID信息包括共享用户ID和/或部门/集团成员ID;当第二用户ID信息为共享用户ID时,所述共享加密文件过程为动态共享加密文件过程,当第二用户ID信息为部门/集团成员ID时,所述共享加密文件过程为共享加密文件至部门/集团成员过程。
3.根据权利要求1所述的方法,其特征在于,还包括:上传待分享文件的用户解密自身上传的加密文件过程,具体为:
第一客户端从业务服务器获取其上传的文件密文和安全头文件;
第一客户端通过业务服务器从密钥管理服务器中获取被加密的属性私钥和第二密钥密文;其中,所述被加密的属性私钥是指由密钥管理服务器对生成的第二密钥使用对称密码算法加密后所获得的密钥;所述第二密钥密文是指通过保存在用户中心的用户公钥使用非对称密码算法对第二密钥加密后所生成的密文;
第一客户端使用其用户私钥对第二密钥密文解密后获得第二密钥,再通过第二密钥对被加密的属性私钥解密后获得属性私钥;
第一客户端通过属性私钥和第二用户ID信息使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,再通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述属性公钥和属性私钥由密钥管理服务器生成;密钥管理服务器根据客户端用户的属性集生成用户的属性私钥;
其中,用户的属性集包括静态属性集和动态属性集,属性私钥包括静态属性私钥和动态属性私钥,密钥管理服务器提供相应的属性私钥获取接口;共享用户ID为动态属性集,部门/集团成员ID和第一用户ID信息为静态属性集。
5.根据权利要求4所述的方法,其特征在于,通过在属性私钥中设置时间戳参数来表示静态属性私钥和动态属性私钥的有效时限,动态属性私钥的有效期比静态属性私钥的有效期短。
6.根据权利要求5所述的方法,其特征在于,客户端在获取到属性私钥后,判断相关的时间戳参数是否超过约定的使用时效,若超过则返回属性私钥过期,否则继续执行后续解密操作。
7.一种用于实现加密文件安全共享的系统,其特征在于,包括:客户端、业务服务器、用户中心和密钥管理服务器;业务服务器分别与客户端、用户中心和密钥管理服务器进行通信连接;其中,将上传待分享文件的用户的客户端记为第一客户端,将被分享文件的用户的客户端记为第二客户端;
所述第一客户端,在上传加密文件过程中,用于通过业务服务器从密钥管理服务器中获取自己的属性公钥,再通过业务服务器从用户中心获取第一用户ID信息,所述第一用户ID信息指上传待分享文件的用户的用户自身ID;用于生成第一密钥并使用对称密码算法对待分享文件加密后生成文件密文;以及用于通过自己的属性公钥和用户自身ID使用属性加密算法对第一密钥加密后生成密钥密文I后,将文件密文和密钥密文I上传至业务服务器,业务服务器将密钥密文保存为安全头文件;
以及,在共享加密文件过程中,用于通过业务服务器从密钥管理服务器中获取自己的属性私钥和第二客户端的属性公钥,从业务服务器中获取第二用户ID信息,并通过自己的属性私钥和第一用户ID信息使用属性加密算法对密钥密文I解密后获得第一密钥;所述第二用户ID信息是指为被分享文件的用户分配的用户ID;用于通过第二客户端的属性公钥和第二用户ID信息使用属性加密算法加密第一密钥后生成密钥密文II,并通过业务服务器将所述密钥密文II写入安全头文件中;
所述第二客户端,在共享加密文件过程中,用于从业务服务器获取第二用户ID信息、文件密文、安全头文件和自己的属性私钥,通过自己的属性私钥和第二用户ID信息使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
8.根据权利要求7所述的系统,其特征在于,所述第一客户端,在解密自身上传的加密文件过程中,还用于从业务服务器获取其上传的文件密文和安全头文件;通过业务服务器从密钥管理服务器中获取被加密的属性私钥和第二密钥密文;其中,所述被加密的属性私钥是指由密钥管理服务器对生成的第二密钥使用对称密码算法加密后所获得的密钥;所述第二密钥密文是指通过保存在用户中心的用户公钥使用非对称密码算法对第二密钥进行加密后所生成的密文;用于使用其用户私钥对第二密钥密文解密后获得第二密钥,再通过第二密钥对被加密的属性私钥解密后获得属性私钥;以及用于通过属性私钥和第二用户ID信息使用属性解密算法对安全头文件中的密钥密文II解密获得第一密钥,再通过第一密钥使用对称密码算法对文件密文进行解密后获得待分享文件。
9.根据权利要求7或8所述的系统,其特征在于,所述属性公钥和属性私钥由密钥管理服务器生成;密钥管理服务器根据客户端用户的属性集生成用户的属性私钥;
其中,用户的属性集包括静态属性集和动态属性集,属性私钥包括静态属性私钥和动态属性私钥,密钥管理服务器提供相应的属性私钥获取接口;共享用户ID为动态属性集,部门/集团成员ID和用户自身ID为静态属性集。
10.根据权利要求9所述的系统,其特征在于,通过在属性私钥中设置时间戳参数来表示静态属性私钥和动态属性私钥的有效时限,动态属性私钥的有效期比静态属性私钥的有效期短。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110262735.1A CN112883399B (zh) | 2021-03-11 | 2021-03-11 | 一种用于实现加密文件安全共享的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110262735.1A CN112883399B (zh) | 2021-03-11 | 2021-03-11 | 一种用于实现加密文件安全共享的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112883399A CN112883399A (zh) | 2021-06-01 |
| CN112883399B true CN112883399B (zh) | 2022-03-25 |
Family
ID=76054177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110262735.1A Active CN112883399B (zh) | 2021-03-11 | 2021-03-11 | 一种用于实现加密文件安全共享的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112883399B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114401151B (zh) * | 2022-02-25 | 2024-04-02 | 百果园技术(新加坡)有限公司 | 群组消息加密方法、装置、设备和存储介质 |
| CN115102694A (zh) * | 2022-06-07 | 2022-09-23 | 三峡星未来数据科技(宜昌)有限公司 | 一种基于中心化存储的敏感信息共享方法和系统 |
| CN115333875B (zh) * | 2022-10-18 | 2023-02-10 | 北京网藤科技有限公司 | 一种数据共享的方法、系统、设备及存储介质 |
| CN116506224B (zh) * | 2023-06-27 | 2023-10-03 | 中航金网(北京)电子商务有限公司 | 文件上传方法、装置、计算机设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014174045A1 (en) * | 2013-04-24 | 2014-10-30 | Nec Europe Ltd. | Method and system for enforcing access control policies on data |
| CN105897812A (zh) * | 2015-04-10 | 2016-08-24 | 杭州远眺科技有限公司 | 一种适用于混合云环境下的数据安全共享方法 |
| CN105991278A (zh) * | 2016-07-11 | 2016-10-05 | 河北省科学院应用数学研究所 | 一种基于cp-abe的密文访问控制方法 |
| CN106506155A (zh) * | 2016-12-09 | 2017-03-15 | 四川师范大学 | 公有云环境下的密文共享方法 |
| WO2018045568A1 (zh) * | 2016-09-09 | 2018-03-15 | 深圳大学 | 一种面向云存储服务平台的访问控制方法及其系统 |
| CN109583232A (zh) * | 2018-11-20 | 2019-04-05 | 深圳大学 | 基于cp-abe的医疗档案管理方法、装置、设备及存储介质 |
| CN109617855A (zh) * | 2018-10-25 | 2019-04-12 | 深圳技术大学(筹) | 基于cp-abe分层访问控制的文件共享方法、装置、设备及介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101593165B1 (ko) * | 2014-08-19 | 2016-02-15 | 한국전자통신연구원 | 데이터 접근 제어 방법 |
-
2021
- 2021-03-11 CN CN202110262735.1A patent/CN112883399B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014174045A1 (en) * | 2013-04-24 | 2014-10-30 | Nec Europe Ltd. | Method and system for enforcing access control policies on data |
| CN105897812A (zh) * | 2015-04-10 | 2016-08-24 | 杭州远眺科技有限公司 | 一种适用于混合云环境下的数据安全共享方法 |
| CN105991278A (zh) * | 2016-07-11 | 2016-10-05 | 河北省科学院应用数学研究所 | 一种基于cp-abe的密文访问控制方法 |
| WO2018045568A1 (zh) * | 2016-09-09 | 2018-03-15 | 深圳大学 | 一种面向云存储服务平台的访问控制方法及其系统 |
| CN106506155A (zh) * | 2016-12-09 | 2017-03-15 | 四川师范大学 | 公有云环境下的密文共享方法 |
| CN109617855A (zh) * | 2018-10-25 | 2019-04-12 | 深圳技术大学(筹) | 基于cp-abe分层访问控制的文件共享方法、装置、设备及介质 |
| CN109583232A (zh) * | 2018-11-20 | 2019-04-05 | 深圳大学 | 基于cp-abe的医疗档案管理方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 一种基于属性加密的文件共享系统;雷入一;《数据通信》;20200410(第6期);全文 * |
| 基于CP-ABE算法的云存储数据访问控制;孙国梓等;《通信学报》;20120111;第32卷(第7期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112883399A (zh) | 2021-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112883399B (zh) | 一种用于实现加密文件安全共享的方法及系统 | |
| Kumar et al. | Secure storage and access of data in cloud computing | |
| Zhao et al. | Trusted data sharing over untrusted cloud storage providers | |
| US20210089676A1 (en) | Methods and systems for secure data exchange | |
| EP3616384B1 (en) | Orthogonal access control for groups via multi-hop transform encryption | |
| US20070127719A1 (en) | Efficient management of cryptographic key generations | |
| CN104158880B (zh) | 一种用户端云数据共享解决方法 | |
| Kaaniche et al. | ID based cryptography for cloud data storage | |
| CN113411323B (zh) | 基于属性加密的医疗病历数据访问控制系统及方法 | |
| Senthil Kumari et al. | Key derivation policy for data security and data integrity in cloud computing | |
| Wu et al. | A trusted and efficient cloud computing service with personal health record | |
| Jakubeit et al. | SSI-AWARE: Self-sovereign identity authenticated backup with auditing by remote entities | |
| Xavier et al. | Cloud computing data security for personal health record by using attribute based encryption | |
| KR100377196B1 (ko) | 다중 에이전트를 이용한 키 복구 시스템 및 그 방법 | |
| de Souza et al. | SSICC: sharing sensitive information in a cloud-of-clouds | |
| Ma et al. | Comparing general paradigms on data secrecy protection for outsourced files in mobile cloud computing | |
| Venkata Rao et al. | Enhanced ciphertext-policy attribute-based encryption (ECP-ABE) | |
| Chennam et al. | Fine Grained Access Control Policy with Advanced Encryption Standard in the Cloud Computing | |
| Nithya et al. | A Novel Approach for Data Privacy Using Attribute Based Scheme Algorithm for Cloud Computing | |
| Usha et al. | Multiple attribute authority based access control and anonymous authentication in decentralized cloud | |
| George et al. | Secured Key Sharing in Cloud Storage using Elliptic Curve Cryptography | |
| Vanamoorthy | Secure Data Sharing Using Revocable-Storage Identity-Based Encryption | |
| Sammy et al. | Research Article An Efficient Blockchain Based Data Access with Modified Hierarchical Attribute Access Structure with CP-ABE Using ECC Scheme for Patient Health Record | |
| Renjith et al. | Survey on Data Sharing and Re-Encryption in Cloud | |
| Xavier et al. | Security of PHR in Cloud Computing by Using Several Attribute Based Encryption Techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |