CN113169862B - 信息处理方法、终端设备及网络系统 - Google Patents

信息处理方法、终端设备及网络系统 Download PDF

Info

Publication number
CN113169862B
CN113169862B CN201880097100.7A CN201880097100A CN113169862B CN 113169862 B CN113169862 B CN 113169862B CN 201880097100 A CN201880097100 A CN 201880097100A CN 113169862 B CN113169862 B CN 113169862B
Authority
CN
China
Prior art keywords
terminal device
key
authorization key
authorization
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880097100.7A
Other languages
English (en)
Other versions
CN113169862A (zh
Inventor
朱成康
大卫·那克西
时杰
方成方
方习文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN113169862A publication Critical patent/CN113169862A/zh
Application granted granted Critical
Publication of CN113169862B publication Critical patent/CN113169862B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Abstract

一种信息处理方法、终端设备及网络系统,该方法包括:第一终端根据第二终端的公钥对授权密钥进行加密,得到第二终端对应的授权密钥密文;第一终端向第二终端发送该授权密钥密文,使得第二终端根据第二终端的私钥对该授权密钥密文进行解密得到授权密钥,继而进行文件解密。所述方法可保证用户文件的数据安全。

Description

信息处理方法、终端设备及网络系统
技术领域
本申请涉及通信技术,尤其涉及一种信息处理方法、终端设备及网络系统。
背景技术
随着云服务的日渐普及,大部分的用户习惯将个人文件上传并存储在云端,实现了云存储。
虽然,云存储可具有随时随地访问、同步管理、数据备份、数据分享等诸多优势,但用户对云存储的安全隐私问题还是存在很大的顾虑。目前,大多的云服务器具有自己的安全密钥机制,通过自身提供的密钥进行文件的加解密。
而云服务器为了随时提供服务,其通常都在线,容易使得黑客利用系统漏洞窃取密钥及用户文件,这使得用户的隐私存在安全隐患。
发明内容
本申请实施例提供一种信息处理方法、终端设备及服务器,以保证云端存储的用户文件的数据安全,避免安全隐患。
在第一方面,本申请实施例提供一种信息处理方法,包括:
第一终端设备根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥进行加密,得到该每个第二终端设备对应的授权密钥密文;
该第一终端设备通过服务器向该每个第二终端设备发送该每个第二终端设备对应的授权密钥密文;该每个第二终端设备对应的授权密钥密文,用于使得该每个第二终端设备根据该每个第二终端设备的私钥对该每个第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥,并根据该当前版本的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密。
该信息处理方法中,授权密钥密文是根据每个第二终端设备的公钥加密的,仅可由每个第二终端设备的私钥进行解密,因此传输或存储授权密钥密文的设备,如服务器其也无法解密该授权密钥密文,即便黑客可利用漏洞获取授权密钥密文,也无法解密,有效避免各种数据安全问题,避免了安全隐患,保证云端存储的用户文件的数据安全,使得用户隐私得到保障。
在一种实现方式中,所述方法还包括:
该第一终端设备根据该当前版本的授权密钥,对至少一个加密文件的密钥进行加密,得到该至少一个加密文件的密钥密文;
该第一终端设备向该服务器发送至少一个加密文件的密钥密文;
该至少一个加密文件的密钥密文,用于使得该每个第二终端设备从该服务器获取该至少一个加密文件的密钥密文,并根据该当前版本的授权密钥对该至少一个加密文件的密钥密文进行解密,得到该至少一个加密文件的密钥,继而根据每个加密文件的密钥解密该服务器存储的该每个加密文件。
该信息传输方法中,第一终端设备根据当前版本的授权密钥,对至少一个加密文件的密钥进行加密后,传输至服务器,使得每个第二终端设备可根据得到的当前版本的授权密钥,对其进行解密,得到该至少一个加密文件的密钥,从而根据每个加密文件的密钥对该每个加密文件进行解密,避免了加密文件的密钥的泄露,保证了密钥的安全性,从而保证用户数据安全。
即便服务器或其它设备可获知至少一个加密文件的密钥密文,由于其无法获知该当前版本的授权密钥,则无法解密得到该至少一个加密文件的密钥,继而无法实现文件解密,有效保证了数据安全。
在另一种实现方式中,所述方法还包括:
该第一终端设备确定预设比特数的随机数,并通过该服务器向该每个第二终端设备发送该预设比特数的随机数;该预设比特数的随机数用于使得该每个第二终端设备确定该每个第二终端设备的公钥和私钥。
在又一种可实现方式中,所述方法还包括:
该第一终端设备根据该第一终端设备的私钥或秘密陷门参数对该当前版本的授权密钥进行加密,得到下一版本的授权密钥;
该第一终端设备根据至少一个第三终端设备中每个第三终端设备的公钥,对该下一版本的授权密钥进行加密,得到该每个第三终端设备对应的授权密钥密文;
该第一终端设备通过该服务器向该每个第三终端设备发送该每个第三终端设备对应的授权密钥密文;该每个第三终端设备对应的授权密钥密文,用于使得该每个第三终端设备根据该每个第三终端设备的私钥对该每个第三终端设备对应的授权密钥密文进行解密,得到该下一版本的授权密钥,并根据该下一版本的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密。
该信息处理方法,可由第一终端设备根据自身的私钥对授权密钥进行更新,并将更新后的授权密钥分别根据至少一个第三终端设备的公钥进行加密,得到至少一个第三终端设备对应的授权密钥密文,并传输至每个第三终端设备,使得每个第三终端设备可根据其对应的私钥进行解密,得到该更新后的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密,可在第一终端设备撤销终端设备的情况下,使得被撤销的终端设备无法获知更新后的授权密钥,无法进行文件解密,实现被撤销终端设备的解密权限的撤销,有效保证数据安全。
在再一种可实现方式中,该至少一个第三终端设备为该第一终端设备进行撤销终端设备之后,用于文件分享的目的终端设备。
在再一种可实现方式中,所述方法还包括:
该下一版本的授权密钥,用于使得该每个第三终端设备根据该第一终端设备的公钥或公开陷门参数对该下一版本的授权密钥进行解密,得到该当前版本的授权密钥,继而根据该当前版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密。
采用该信息处理方法,第一终端设备可仅向每个第三终端设备发送该每个第三终端设备对应的授权密钥密文,使得每个第三终端设备采用各自的私钥解密,得到该下一版本的授权密钥,该第一终端设备无需向每个第三终端设备发送之前阶段的授权密钥,该每个第三终端设备可根据其获知的该第一终端设备的公钥对该下一版本的授权密钥进行解密,从而派生得到该之前版本的授权密钥。如此,该信息处理方法可减少了通信量及密钥管理存储,提高密钥分发及管理的效率。
在再一种可实现方式中,所述方法还包括:
该第一终端设备通过该服务器向目标终端设备发送群主更换信息,该群主更换信息用于使得该目标终端设备根据该目标终端设备的私钥或秘密陷门参数,对该当前版本的授权密钥进行加密,得到下一版本的授权密钥。
在群主终端设备更换后,可由更换后的群主终端设备根据自身的私钥进行授权密钥的更新,可有效保证更新群主后文件的访问安全,保证数据安全。
在再一种可实现方式中,所述方法还包括:
该第一终端设备从预设的第一数据库中,确定该当前版本的授权密钥的下一版本的授权密钥;该第一数据库包括该第一终端设备的多个版本的授权密钥;
该第一终端设备根据至少一个第四终端设备中每个第四终端设备的公钥,对该下一版本的授权密钥进行加密,得到该每个第四终端设备对应的授权密钥密文;
该第一终端设备通过该服务器向该每个第四终端设备发送该每个第四终端设备对应的授权密钥密文;该每个第四终端设备对应的授权密钥密文,用于使得该每个第四终端设备根据该每个第四终端设备的私钥对该每个第四终端设备对应的授权密钥密文进行解密,得到该下一版本的授权密钥,并根据该下一版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密。
该信息处理方法,可由第一终端设备从预设的第一数据库中确定该当前版本的授权密钥的下一版本的授权密钥,实现授权密钥的更新,并将下一版本的授权密钥分别根据至少一个第四终端设备的公钥进行加密,得到至少一个第四终端设备对应的授权密钥密文,并传输至每个第四终端设备,使得每个第四终端设备可根据其对应的私钥进行解密,得到该更新后的授权密钥,继而进行文件解密,可在第一终端设备撤销终端设备的情况下,使得被撤销的终端设备无法获知更新后的授权密钥,无法进行文件解密,实现被撤销终端设备的解密权限的撤销,有效保证数据安全。
在再一种可实现方式中,该至少一个第四终端设备为该第一终端设备进行撤销终端设备之后,文件分享的目的终端设备。
在再一种可实现方式中,所述方法还包括:
该第一终端设备根据预设的第一随机数,采用预设的第一单向陷门函数,得到该第一数据库中的多个版本的授权密钥。
在再一种可实现方式中,该第一终端设备根据预设的第一随机数,采用预设的第一单向陷门函数,得到该第一数据库中的多个版本的授权密钥,包括:
该第一终端设备将该第一随机数作为第n个版本的授权密钥;其中,n为大于或等于2的整数;
该第一终端设备根据该第n个版本的授权密钥,采用预设的第一单向陷门函数,得到第n-1个版本的授权密钥,直至得到第1个版本的授权密钥。
在再一种可实现方式中,该下一版本的授权密钥用于使得该每个第四终端设备根据该下一版本的授权密钥,采用该预设的第一单向陷门函数,得到该当前版本的授权密钥;并根据该当前版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密。
该方法中,第一终端设备无需向每个第四终端设备发送之前阶段的授权密钥,该每个第三终端设备可根据对该下一版本的授权密钥,采用该预设的第一单向陷门函数,从而派生得到该之前版本的授权密钥。如此,该信息处理方法可减少了通信量及密钥管理存储,提高密钥分发及管理的效率。
在再一种可实现方式中,所述方法还包括:
该第一终端设备通过该服务器向目标终端设备发送群主更换信息,该群主更换信息用于使得该目标终端设备根据预设的第二随机数,采用预设的第二单向陷门函数,得到第二数据库,该第二数据库包括:该第二终端设备的多个版本的授权密钥。
第二方面,本申请实施例提供一种信息处理方法,包括:
第二终端设备接收第一终端设备通过服务器发送的该第二终端设备对应的授权密钥密文;该第二终端设备对应的授权密钥密文为该第一终端设备根据该第二终端设备的公钥,对当前版本的授权密钥进行加密,所得到的密文;
该第二终端设备根据该第二终端设备的私钥,对该第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥,并根据该当前版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密。
在一种可实现方式中,该第二终端设备根据该当前版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密包括:
该第二终端设备从该服务器获取至少一个加密文件的密钥密文;该至少一个加密文件的密钥密文为该第一终端设备根据该当前版本的授权密钥,对该至少一个加密文件的密钥进行加密,并传输至该服务器的密文;
该第二终端设备根据该当前版本的授权密钥,对该至少一个加密文件的密钥密文进行解密,得到该至少一个加密文件的密钥;
该第二终端设备根据每个加密文件的密钥解密该服务器上存储的该每个加密文件。
在另一种可实现方式中,所述方法还包括:
该第二终端设备接收该第一终端设备通过该服务器发送的预设比特数的随机数,并根据该预设比特数的随机数,确定该第二终端设备的公钥和私钥。
第三方面,本申请实施例还可提供一种第一终端设备侧的装置,该装置可以是第一终端设备,也可以是第一终端设备内的芯片。
该装置能实现上述第一方面中任一实现方式涉及第一终端设备的任意功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。
在一种可能的实现方式中,当该装置为第一终端设备时,第一终端设备可包括:处理器和收发器,所述处理器被配置为支持第一终端设备执行上述方法中相应的功能。收发器用于支持第一终端设备与服务器之间的通信,以通过服务器向第二终端设备发送上述方法中所涉及的信息或指令。可选的,第一终端设备还可以包括存储器,所述存储器用于与处理器耦合,其保存第一终端设备必要的程序指令和数据。
在一种可能的实现方式中,该装置包括:处理器、存储器、收发机、天线以及输入输出装置。其中,处理器主要用于对整个装置进行控制,执行计算机程序指令,以支持装置执行上述第一方面中任一方法实施例中所描述的动作等。存储器主要用于存储保存第一终端设备必要的程序指令和数据。收发机主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置,例如触摸屏、显示屏,键盘等主要用于接收用户输入的数据以及对用户输出数据。
在一种可能的实现方式中,当该装置为第一终端设备内的芯片时,该芯片包括:处理模块和收发模块,所述处理模块例如可以是处理器,例如,此处理器用于生成各类消息和信令,并对各类消息按照协议封装后,进行编码,调制,放大等处理,所述处理器还可以用于解调,解码,解封装后获得信令和消息;所述收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。该处理模块可执行存储单元存储的计算机执行指令,以支持第一终端设备执行上述方法中相应的功能。可选地,所述存储单元可以为所述芯片内的存储单元,如寄存器、缓存等,所述存储单元还可以是第一终端设备内的位于芯片外部的存储单元,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。
其中,上述任一处提到的处理器,可以是一个通用中央处理器(centralprocessing unit,CPU),微处理器,特定应用集成电路(application-specificintegrated circuit,ASIC),或一个或多个用于控制上述第一方面的信息处理方法的程序执行的集成电路。
第四方面,本申请实施例提供一种应用于第二终端设备侧的装置,该装置可以是第二终端设备,也可以是第二终端设备内的芯片。
该装置具有实现上述第二方面中任一实现方式所涉及第二终端设备的任意功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元。
在一种可能的实现方式中,该装置可为第二终端设备,该第二终端设备包括:处理器和收发器,所述处理器被配置为支持第二终端设备执行上述方法中相应的功能。收发器用于支持第二终端设备与服务器之间的通信,以接收第一终端设备通过服务器发送的上述方法中所涉及的信息或指令。可选的,第二终端设备还可以包括存储器,所述存储器用于与处理器耦合,其保存第二终端设备必要的程序指令和数据。
在一种可能的实现方式中,该装置包括:处理器、存储器、收发机、天线以及输入输出装置。其中,处理器主要用于对整个装置进行控制,执行计算机程序指令,以支持装置执行上述第二方面中任一方法实施例中所描述的动作等。存储器主要用于存储保存第二终端设备必要的程序指令和数据。收发机主要用于基带信号与射频信号的转换以及对射频信号的处理。天线主要用于收发电磁波形式的射频信号。输入输出装置,例如触摸屏、显示屏,键盘等主要用于接收用户输入的数据以及对用户输出数据。
在一种可能的实现方式中,该装置可以为第二终端设备内的芯片,该芯片包括:处理模块和收发模块,所述处理模块例如可以是处理器,例如,此处理器用于生成各类消息和信令,并对各类消息按照协议封装后,进行编码,调制,放大等处理,所述处理器还可以用于解调,解码,解封装后获得信令和消息;所述收发模块例如可以是该芯片上的输入/输出接口、管脚或电路等。该处理模块可执行存储单元存储的计算机执行指令,以支持第二终端设备执行上述方法中相应的功能。可选地,所述存储单元可以为所述芯片内的存储单元,如寄存器、缓存等,所述存储单元还可以是所述第二终端设备内的位于所述芯片外部的存储单元,如ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM等。
其中,上述任一处提到的处理器,可以是一个CPU,微处理器,ASIC,或一个或多个用于控制上述第二方面的信息处理方法的程序执行的集成电路。
第五方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,所述指令可以由处理电路上的一个或多个处理器执行。当其在计算机上运行时,使得计算机执行上述第一方面或第二方面中任一方面中的任意可能的实现方式中的信息处理方法。
第六方面,本申请实施例提供了一种包含指令的计算机程序产品,其在计算机上运行时,使得计算机执行上述第一方面或第二方面中任一方面中的任意可能的实现方式中的信息处理方法。
第七方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持第一终端设备或第二终端设备实现上述第一方面或第二方面所涉及的功能,例如生成或处理上述各方面中所涉及的数据和/或信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存数据发送设备必要的程序指令和数据。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第八方面,本申请实施例提供一种网络系统,包括:第一终端设备、服务器以及至少一个第二终端设备;服务器与第一终端设备连接,服务还与每个第二终端设备连接;该第一终端设备为上述任一所述的第一终端设备,每个第二终端设备为上述任一所述的第二终端设备。
本申请实施例提供一种信息处理方法、终端设备及网络系统,可通过第一终端设备根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥进行加密,得到该每个第二终端设备对应的授权密钥密文,并通过服务器向该每个第二终端设备发送该每个第二终端设备对应的授权密钥密文,使得该每个第二终端设备根据该每个第二终端设备的私钥对该每个第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥,继而根据该当前版本的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥对进行文件解密。该信息处理方法中,授权密钥密文是根据每个第二终端设备的公钥加密的,仅可由每个第二终端设备的私钥进行解密,因此传输或存储授权密钥密文的设备,如服务器其也无法解密该授权密钥密文,即便黑客可利用漏洞获取授权密钥密文,也无法解密,有效避免各种数据安全问题,避免了安全隐患,保证云端存储的用户文件的数据安全,使得用户隐私得到保障。
附图说明
图1为本申请实施例提供的一种信息处理方法所适用的网络系统的架构图;
图2为本申请实施例提供的一种信息处理方法的流程图一;
图3为本申请实施例提供的一种信息处理方法的流程图二;
图4为本申请实施例提供的一种信息处理方法的应用场景一的示意图;
图5为本申请实施例提供的一种信息处理方法中更新授权密钥的示意图;
图6为本申请实施例提供的一种信息处理方法的流程图三;
图7为本申请实施例提供的一种信息处理方法的应用场景二的示意图;
图8为本申请实施例提供的一种信息处理方法的流程图四;
图9为本申请实施例提供的一种信息处理方法的流程图五;
图10为本申请实施例提供的一种信息处理方法的应用场景三的示意图;
图11为本申请实施例提供的一种信息处理方法的应用场景四的示意图;
图12为本申请实施例提供的一种信息处理方法的流程图六;
图13为本申请实施例提供的一种信息处理方法的流程图七;
图14为本申请实施例提供的一种信息处理方法的流程图八;
图15为本申请实施例提供的一种信息处理方法的流程图九;
图16为本申请实施例提供的一种终端设备的结构示意图一;
图17为本申请实施例所述的终端设备可能的产品形态的结构图一;
图18为本申请实施例提供的一种终端设备的结构示意图二;
图19为本申请实施例所述的终端设备可能的产品形态的结构图二。
具体实施方式
本申请下述各实施例所提供的信息处理方法、装置、终端设备及服务器,可适用于基于云存储服务场景中,可在实现群组内的文件分享的同时,有效保证用户隐私。图1为本申请实施例提供的一种信息处理方法所适用的网络系统的架构图。如图1所示,该网络系统中可包括服务器和多个终端设备。多个终端设备例如可以为图1所示的终端设备A、终端设备B、终端设备C和终端设备D。其中,终端设备A的文件可存储在云端,如服务器所控制的云端存储器上。终端设备A可以为文件的拥有者(Owner),在需要分享文件时,可通知服务器创建共享文件夹,将待分析的至少一个文件放入该共享文件夹中,并设置共享群组,终端设备A作为该群组的群主终端设备。该共享文件夹中的每个文件可通过每个文件的文件加密密钥(File Encryption Key,FEK)以加密的形式存储在服务器上。群主终端设备,也就是终端设备A可具有该每个文件的FEK,并将该每个文件的FEK通过密文的形式存储在服务器上。该群组内的其它终端设备具有该密文的解密密钥,因而可通过访问服务器得到该每个文件的FEK,继而实现文件的访问。而服务器不具有该密文的解密密钥,因此,无法获知该每个文件的FEK,继而无法进行文件访问,从避免了服务器侧各种数据安全问题,避免了安全隐患,保证云端存储的用户文件的数据安全。
如下结合多个示例对本申请实施例提供的各方案进行说明。
图2为本申请实施例提供的一种信息处理方法的流程图一。该图2所示的信息处理方法可由第一终端设备和第二终端设备交互执行。如图2所示,该信息处理方法可包括:
S201、第一终端设备根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥(Authorization Key,AK)进行加密,得到该每个第二终端设备对应的授权密钥密文。
第一终端设备可以为群主终端设备,该至少一个第二终端设备可以为该第一终端设备所设置的用于文件分享的群组中的其它终端设备。在该群组中,第一终端设备作为群主终端设备,至少一个第二终端设备作为成员终端设备,通过执行本申请实施例提供的各方法,可使得每个第二终端设备对该第一终端设备存储在服务器的文件进行解密,实现第一终端设备存储在服务器的文件的分享。
对于每个终端设备,第一终端设备或者第二终端设备,具有各自的公钥和私钥。每个终端设备的公钥可存储在服务器上,或者,可直接或间接发送至其他的终端设备。而每个终端设备的私钥,存储在各自设备上,只有各自设备可知。即,每个终端设备的公钥对于服务器或者其他终端设备是可知的,而每个终端设备的私钥对于服务器或其它终端设备不可知。
例如,服务器上具有每个终端设备的公钥,其可包括每个第二终端设备的公钥,以及第一终端设备的公钥等信息。服务器可在确定第一终端设备要将文件分享至该至少一个第二终端设备时,向该第一终端设备发送该每个第二终端设备的公钥,以将每个第二终端设备的公钥告知该第一终端设备。
该当前版本的授权密钥可以为当前阶段的授权密钥,其可以为预设的初始授权密钥,也可称为第一版本的授权密钥,也可以为非初始的授权密钥,如更新后的授权密钥。
该第一终端设备可在获知该每个第二终端设备的公钥的情况下,根据该每个第二终端设备的公钥,对该当前版本的授权密钥进行加密,得到该每个第二终端设备对应的授权密钥密文。
例如,若该第一终端设备为终端设备A,该至少一个第二终端设备可包括:终端设备B、终端设备C和终端设备D。该终端设备B的公钥可表示为PKB,终端设备C的公钥可表示为PKC,终端设备D的公钥可表示为PKD。该当前版本的授权密钥可以为第一版本的授权密钥,表示为AK1
因而,终端设备A可根据PKB对AK1进行加密,得到终端设备B对应的授权密钥密文;根据PKC对AK1进行加密,得到终端设备C对应的授权密钥密文;根据PKD对AK1进行加密,得到终端设备D对应的授权密钥密文。
S202、第一终端设备通过服务器向每个第二终端设备发送该每个第二终端设备对应的授权密钥密文。
第一终端设备可直接向每个第二终端设备发送该每个第二终端设备对应的授权密钥密文,也可通过其它中间设备,如服务器,向每个第二终端设备发送该每个第二终端设备对应的授权密钥密文。
示例地,该第一终端设备可先向服务器发送该每个第二终端设备对应的授权密钥密文,并由该服务器向每个第二终端设备发送该每个第二终端设备对应的授权密钥密文。
第一终端设备可将得到的至少一个第二终端设备对应的授权密钥密文均发送至服务器,由该服务器进行授权密钥密文的分发,即将该每个第二终端设备对应的授权密钥密文发送至该每个第二终端设备。其中,服务器可在该每个第二终端设备上线时,将该每个第二终端设备对应的授权密钥密文转发至该每个第二终端设备。
由于该每个第二终端设备对应的授权密钥密文,是由该每个第二终端设备的公钥加密的,仅可采用该每个第二终端设备的私钥进行解密,服务器或其它设备不具有该每个第二终端设备的私钥,即便接收到该每个第二终端设备对应的授权密钥密文,也无法解密,无法获得该当前版本的授权密钥。
S203、每个第二终端设备接收来自第一终端设备的该每个第二终端设备对应的授权密钥密文。
S204、每个第二终端设备根据该每个第二终端设备的私钥,对该每个第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥。
由于该每个第二终端设备对应的授权密钥密文,是由该每个第二终端设备的公钥加密的,仅可采用该每个第二终端设备的私钥进行解密,而该每个第二终端设备的私钥对于其它设备均是未知的,只有该每个第二终端设备本身可知,因此,该每个第二终端设备可根据该每个第二终端设备的私钥,对该每个第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥。
该至少一个第二终端设备所在群组之外的设备,无法接收到第一终端设备发送的其对应的授权密钥密文,即便其可获取到第二终端设备对应的授权密钥密文,由于不具有第二终端设备的私钥,也无法解密,无法获得该当前版本的授权密钥。
S205、每个第二终端设备根据该当前版本的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密。
该每个第二终端设备可根据该当前版本的授权密钥对该第一终端设备预先存储在服务器上的待分析的文件进行解密,实现与第一终端设备间的文件分享。
本申请实施例提供的信息处理方法,可通过第一终端设备根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥进行加密,得到该每个第二终端设备对应的授权密钥密文,并通过服务器向该每个第二终端设备发送该每个第二终端设备对应的授权密钥密文,使得该每个第二终端设备根据该每个第二终端设备的私钥对该每个第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥,继而根据该当前版本的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密。该信息处理方法中,授权密钥密文是根据每个第二终端设备的公钥加密的,仅可由每个第二终端设备的私钥进行解密,因此传输或存储授权密钥密文的设备,如服务器其也无法解密该授权密钥密文,即便黑客可利用漏洞获取授权密钥密文,也无法解密,有效避免各种数据安全问题,避免了安全隐患,保证云端存储的用户文件的数据安全,使得用户隐私得到保障。
可选的,本申请实施例还可提供一种信息处理方法。图3为本申请实施例提供的一种信息处理方法的流程图二。如图3所示,该方法还可包括:
S301、第一终端设备根据该当前版本的授权密钥,对至少一个加密文件的密钥进行加密,得到该至少一个加密文件的密钥密文。
该第一终端设备可在需要分享文件时,可通知服务器创建共享文件夹,将待分享的至少一个文件放入该共享文件夹中,并设置共享群组。
对于该共享文件夹中的每个文件,可由第一终端设备分别选择该每个文件的密钥,继而根据该每个文件的密钥,对该每个文件进行加密,并将加密后的每个文件传输并存储在服务器上。该每个文件的密钥可以为第一终端设备随机选择的密钥,还可称为每个文件的FEK。该加密后的每个文件可称为一个加密文件。
对于该群组内的成员终端设备,其也可上传待分享的文件。
对于该成员终端设备U1,可根据当前版本的授权密钥,对待分享的文件F1进行加密,并将该加密后的待分享文件F1发送给服务器。该服务器可将该加密后的待分享的文件F1添加到该群组对应的文件夹中,并对该待分享的文件F1标注版本号,如该当前版本的授权密钥的版本号。
而对于该至少一个加密文件的密钥,该第一终端设备可将该至少一个加密文件的密钥作为一个整体,根据当前版本的授权密钥进行加密,得到该至少一个加密文件的密钥密文,实现加密文件的密钥打包加密。
S302、第一终端设备向服务器发送该至少一个加密文件的密钥密文。
该第一终端设备可将打包加密后的该至少一个加密文件的密钥密文发送至服务器。
该第一终端设备可在向服务器发送该至少一个加密文件的情况下,向服务器发送该至少一个加密文件的密钥密文。该第一终端设备也可在其它情况下,向服务器发送该至少一个加密文件的密钥密文。
S303、服务器接收来自第一终端设备的该至少一个加密文件的密钥密文。
S304、每个第二终端设备从所述服务器获取该至少一个加密文件的密钥密文。
S305、每个第二终端设备根据该当前版本的授权密钥对该至少一个加密文件的密钥密文进行解密,得到该至少一个加密文件的密钥。
在通过执行上述信息处理方法的基础上,每个第二终端设备可根据该每个第二终端设备各自的私钥对该每个第二终端设备对应的授权密钥密文进行解密,得到当前版本的授权密钥。在此情况下,当前版本的授权密钥,对于每个第二终端设备是已知的。
因而,该每个第二终端设备可该服务器获取该服务器存储的该至少一个加密文件的密钥密文,并根据该当前版本的授权密钥,进行解密得到该至少一个加密文件的密钥。
即便服务器或其它设备可获知至少一个加密文件的密钥密文,由于其无法获知该当前版本的授权密钥,则无法解密得到该至少一个加密文件的密钥,继而无法实现文件解密,有效保证了数据安全。
S306、每个第二终端设备根据每个加密文件的密钥解密该服务器存储的该每个加密文件。
该每个第二终端设备在得到该至少一个加密文件的密钥的情况下,便可根据其中每个加密文件的密钥解密该服务器存储的该每个加密文件。
对于其它无法获知加密文件的密钥的设备如不属于该至少一个第二终端设备所在群组的设备,由于无法获知当前版本的授权密钥,无法解密得到加密文件的密钥,从而无法访问该第一终端设备存储在服务器上的文件。
例如,图4为本申请实施例提供的一种信息处理方法的应用场景一的示意图。如图4所示,终端设备A为群主终端设备,终端设备A期望将文件分享至终端设备B、终端设备C和终端设备D。
终端设备A可针对待分享的每个文件,随机选择一个FEK,并根据每个文件的FEK对该每个文件进行加密。对于至少一个文件的FEK,终端设备A可根据当前版本的授权密钥AK1进行加密,得到FEK密文。同时,终端设备可根据终端设备B的公钥PKB对当前版本的授权密钥AK1进行加密,得到终端设备B对应的授权密钥密文;根据终端设备C的公钥PKC对当前版本的授权密钥AK1进行加密,得到终端设备C对应的授权密钥密文;根据终端设备D的公钥PKD对当前版本的授权密钥AK1进行加密,得到终端设备D对应的授权密钥密文。
终端设备A将至少一个加密文件,以及该至少一个加密文件的FEK密文发送至服务器,由服务器进行存储。
该终端设备A还将终端设备B对应的授权密钥密文、终端设备C对应的授权密钥密文以及终端设备D对应的授权密钥密文,发送至服务器。服务器可在终端设备B上线时向终端设备B发送终端设备B对应的授权密钥密文,在终端设备C上线时向终端设备C发送终端设备C对应的授权密钥密文,在终端设备D上线时向终端设备D发送终端设备D对应的授权密钥密文。
终端设备B可根据终端设备B的私钥SKB,对该终端设备B对应的授权密钥密文进行解密,得到该当前版本的授权密钥AK1
终端设备C可根据终端设备C的私钥SKC,对该终端设备C对应的授权密钥密文进行解密,得到该当前版本的授权密钥AK1
终端设备D可根据终端设备D的私钥SKD,对该终端设备D对应的授权密钥密文进行解密,得到该当前版本的授权密钥AK1
无论终端设备B、终端设备C还是终端设备D,只要其可得到当前版本的授权密钥AK1,便可根据该当前版本的授权密钥AK1,对服务器上的FEK密文进行解密,得到至少一个加密文件的FEK,继而根据可根据每个加密文件的FEK访问服务器上存储的该每个加密文件。
对于终端设备B、终端设备C和终端设备D之外的设备,由于无法获知当前版本的授权密钥,无法解密得到加密文件的密钥,从而无法访问终端设备A存储在服务器上的文件。
该信息传输方法中,可根据当前版本的授权密钥,对至少一个加密文件的密钥进行加密后,传输至服务器,使得每个第二终端设备可根据得到的当前版本的授权密钥,对其进行解密,得到该至少一个加密文件的密钥,从而根据每个加密文件的密钥对该每个加密文件进行解密,避免了加密文件的密钥的泄露,保证了密钥的安全性,从而保证用户数据安全。
可选的,如上任一所述的信息处理方法中,该第一终端设备可根据预设比特数的随机数,得到该第一终端设备的公钥、私钥和模数。同时,该第一终端设备还向每个第二终端设备发送该预设比特数的随机数。该第一终端设备可通过服务器向每个第二终端设备发送该预设比特数的随机数,也就是说,该第一终端设备可向服务器发送该预设比特数的随机数,以将该预设比特数的随机数发布在服务器上,使得服务器向每个第二终端设备发送该预设比特数的随机数。
该每个第二终端设备在获取到该预设比特数的随机数的情况下,便可根据该预设比特数的随机数,得到该每个第二终端设备的公钥、私钥和模数。
其中,该第一终端设备的模数,和每个第二终端设备的模数中,其前预设比特相同,即为该预设比特数的随机数。若为K比特的随机数,则该第一终端设备的模数,和每个第二终端设备的模数中,其前K个比特位相同,均为该K比特的随机数。
本申请实施例提供的信息处理方法,为有效保证数据安全,在一些情况下,需对授权密钥进行更新,以更新至下一阶段的授权密钥。例如,第一终端设备可在需撤销分享用户,或者增加分享用户,也可在待分享文件发生变化的情况下,进行授权密钥的更新。
例如,图5为本申请实施例提供的一种信息处理方法中更新授权密钥的示意图。如图5所示,群主终端设备如第一终端设备可在需撤销分享用户或者待分享文件发生变化的情况下,根据第1阶段的授权密钥AK1,进行授权密钥的更新,得到第2阶段的授权密钥AK2。同理,群主终端设备如第一终端设备也可在撤销分享用户、增加分享用户或者待分享文件发生变化的情况下,根据第2阶段的授权密钥AK1,进行授权密钥的更新,得到第3阶段的授权密钥AK3;根据第3阶段的授权密钥AK1,进行授权密钥的更新,得到第4阶段的授权密钥AK4。当群主终端设备发生更换后,可由更换后的终端设备进行授权密钥的更新。
在该信息处理方法,授权密钥的更新仅可由群主终端设备,如第一终端设备进行,其成员终端设备,无法进行授权密钥的更新。假设,在第4阶段,新增加了分享用户,对于该新增加的分享用户的终端设备,其可获知该第4阶段的授权密钥AK4,继而根据该第4阶段的授权密钥AK4,自行派生第3阶段的授权密钥AK3,继而根据该第3阶段的授权密钥AK3,自行派生第4阶段的授权密钥AK2;根据该第2阶段的授权密钥AK2,自行派生第1阶段的授权密钥AK1。对于该新增加的终端设备,群主终端设备,如第一终端设备无法告之前阶段的授权密钥,可由其根据当前的授权密钥,派生得到之前阶段的授权密钥。假设,在第2阶段,终端设备被撤销,那么该被撤销的终端设备便无法通过派生得到第3阶段的授权密钥AK3以及第4阶段的授权密钥AK4,因而无法继续访问第2阶段之后的文件。
在一种可实现方式中,作为群主终端设备的第一终端设备,可根据该第一终端设备的私钥以及该当前阶段的授权密钥,进行密钥更新,得到更新后的授权密钥即为下一阶段的授权密钥。
如下结合示例说明。图6为本申请实施例提供的一种信息处理方法的流程图三。如图6所示,该方法还可包括:
S601、第一终端设备根据该第一终端设备的私钥或秘密陷门参数对该当前版本的授权密钥进行加密,得到下一版本的授权密钥。
该下一版本的授权密钥可以为该当前版本的授权密钥对应的下一阶段的授权密钥。
该第一终端设备可根据该第一终端设备的私钥,采用单向陷门函数对该当前版本的授权密钥进行加密,得到该下一版本的授权密钥。该单向陷门函数例如可以为确定性单向陷门函数,如RSA函数,或者Rabin函数。
该第一终端设备还可根据该第一终端设备的秘密陷门参数。采用该单向陷门函数,对该当前版本的授权密钥进行加密,得到该下一版本的授权密钥。该第一终端设备的秘密陷门参数例如可包括:该第一终端设备的私钥,以及该第一终端设备的模数。
假设,若该第一终端设备为终端设备A,以RSA函数为例,终端设备A可根据终端设备A的私钥SKA、终端设备A的模数nA,通过采用下述公式(1)所示的RSA函数对该当前版本的授权密钥进行加密,得到该下一版本的授权密钥。
Figure GPA0000301339870000141
其中,AKi+1为该下一版本的授权密钥,即该当前版本的授权密钥对应的下一阶段的授权密钥。mod为求余函数。AKi为当前版本的授权密钥。
S602、第一终端设备根据至少一个第三终端设备中每个第三终端设备的公钥,对该更新后的授权密钥进行加密,得到该每个第三终端设备对应的授权密钥密文。
若该第一终端设备在撤销分享用户的情况下,进行授权密钥的更新,则该至少一个第三终端设备可以为该第一终端设备进行撤销终端设备之后,用于文件分享的目的终端设备。假设,终端设备A为群主终端设备,在第1阶段,终端设备A期望将文件分享至终端设备B、终端设备C和终端设备D,即该至少一个第二终端设备可包括:终端设备B、终端设备C和终端设备D,在第2阶段,终端设备A撤销终端设备D的权限,则该至少一个第三终端设备可包括:终端设备B、终端设备C。
若该第一终端设备在待分析的文件发生变化的情况下,进行授权密钥的更新,则该至少一个第三终端设备即为上述至少一个第二终端设备。
S603、第一终端设备通过服务器向每个第三终端设备发送该每个第三终端设备对应的授权密钥密文。
第一终端设备可直接向每个第三终端设备发送该每个第三终端设备对应的授权密钥密文,也可通过其它中间设备,如服务器,向每个第三终端设备发送该每个第三终端设备对应的授权密钥密文。
示例地,该第一终端设备可先向服务器发送该每个第三终端设备对应的授权密钥密文,并由该服务器向每个第三终端设备发送该每个第三终端设备对应的授权密钥密文。
第一终端设备可将得到的至少一个第三终端设备对应的授权密钥密文均发送至服务器,由该服务器进行授权密钥密文的分发,即将该每个第三终端设备对应的授权密钥密文发送至该每个第三终端设备。其中,服务器可在该每个第三终端设备上线时,将该每个第三终端设备对应的授权密钥密文转发至该每个第三终端设备。
由于该每个第三终端设备对应的授权密钥密文,是由该每个第三终端设备的公钥加密的,仅可采用该每个第三终端设备的私钥进行解密,服务器或其它设备不具有该每个第三终端设备的私钥,即便接收到该每个第三终端设备对应的授权密钥密文,也无法解密,无法获得该下一版本的授权密钥。被撤销的用户设备即便接收到每个第三终端设备对应的授权密钥密文,也无法解密,继而得到该下一版本的授权密钥,因而无法访问文件。
S604、每个第三终端设备接收来自第一终端设备的该每个第三终端设备对应的授权密钥密文。
S605、每个第三终端设备根据该每个第三终端设备的私钥对该每个第三终端设备对应的授权密钥密文进行解密,得到该下一版本的授权密钥。
由于该每个第三终端设备对应的授权密钥密文,是由该每个第三终端设备的公钥加密的,仅可采用该每个第三终端设备的私钥进行解密,而该每个第三终端设备的私钥对于其它设备均是未知的,只有该每个第三终端设备本身可知,因此,该每个第三终端设备可根据该每个第三终端设备的私钥,对该每个第三终端设备对应的授权密钥密文进行解密,得到该下一版本授权密钥。
该至少一个第三终端设备所在群组之外的设备例如被撤销的终端设备,无法接收到第一终端设备发送的其对应的授权密钥密文,即便其可获取到第三终端设备对应的授权密钥密文,由于不具有第三终端设备的私钥,也无法解密,无法获得该下一版本的授权密钥。
S606、每个第三终端设备根据该下一版本的授权密钥,从服务器上获取文件密钥,并根据该文件密钥进行文件解密。
该第三终端设备可根据该下一版本的授权密钥对该第一终端设备,从服务器上获取文件密钥,并根据该文件密钥对预先存储在服务器上的待分享的文件进行解密,实现第一终端设备与该第三终端设备间的文件分享。
该信息处理方法,可由第一终端设备根据自身的私钥对授权密钥进行更新,并将更新后的授权密钥分别根据至少一个第三终端设备的公钥进行加密,得到至少一个第三终端设备对应的授权密钥密文,并传输至每个第三终端设备,使得每个第三终端设备可根据其对应的私钥进行解密,得到该更新后的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密,可在第一终端设备撤销终端设备的情况下,使得被撤销的终端设备无法获知更新后的授权密钥,无法进行文件解密,实现被撤销终端设备的解密权限的撤销,有效保证数据安全。
例如,图7为本申请实施例提供的一种信息处理方法的应用场景二的示意图。如图7所示,终端设备A为群主终端设备,在第1阶段,终端设备A期望将文件分享至终端设备B、终端设备C和终端设备D。该第1阶段的授权密钥可以为AK1。在第2阶段,终端设备A撤销终端设备D的权限,终端设备A可根据该终端设备A的SKA、终端设备A的模数nA,通过采用下述公式(2)所示的RSA函数对该第1阶段的授权密钥AK1进行加密,得到第2阶段的授权密钥AK2
Figure GPA0000301339870000161
终端设备A可在得到第2阶段的授权密钥AK2的情况下,可根据终端设备B的公钥PKB对第2阶段的授权密钥AK2进行加密,得到终端设备B对应的第2阶段的授权密钥密文;根据终端设备C的公钥PKC对第2阶段的授权密钥AK2进行加密,得到终端设备C对应的第2阶段的授权密钥密文。
该终端设备A还将终端设备B对应的第2阶段的授权密钥密文、终端设备C对应的第2阶段的授权密钥密文发送至服务器。服务器可在终端设备B上线时向终端设备B发送终端设备B对应的第2阶段的授权密钥密文,在终端设备C上线时向终端设备C发送终端设备C对应的第2阶段的授权密钥密文。
终端设备B可根据终端设备B的私钥SKB,对该终端设备B对应的第2阶段的授权密钥密文进行解密,得到该第2阶段的授权密钥AK2
终端设备C可根据终端设备C的私钥SKC,对该终端设备C对应的第2阶段的授权密钥密文进行解密,得到该第2阶段的授权密钥AK2
由于终端设备D已被终端设备A撤销,只具有第1阶段的授权密钥,没有得到终端设备A通过终端设备D发送的第2阶段的授权密钥,并且,也不具有终端设备A的私钥,因而无法自己派生得到第2阶段的授权密钥,从而使得终端设备D的解密权限被撤销,保证了数据安全。
在上述信息处理方法的基础上,本申请实施例还可提供一种信息处理方法。图8为本申请实施例提供的一种信息处理方法的流程图四。如图8所示,该信息处理方法还可包括:
S801、第一终端设备向每个第三终端设备发送该第一终端设备的公钥。
第一终端设备可直接向每个第三终端设备发送该第一终端设备的公钥,也可通过其它中间设备,如服务器,向每个第三终端设备发送该第一终端设备的公钥。
示例地,该第一终端设备可先向服务器发送该第一终端设备的公钥,并由该服务器将该第一终端设备的公钥进行存储,并向每个第三终端设备发送该第一终端设备的公钥。
服务器可存储有每个阶段的群主终端设备的公钥。
S802、每个第三终端设备接收来自第一终端设备的第一终端设备的公钥。
每个第三终端设备可接收服务器发送的来自于该第一终端设备的第一终端设备的公钥。
S803、每个第三终端设备根据该第一终端设备的公钥对该下一版本的授权密钥进行解密,得到该当前版本的授权密钥。
S804、根据该当前版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密。
该每个第三终端设备可根据该第一终端设备的公钥,采用单向陷门函数对该下一版本的授权密钥进行解密,得到该当前版本的授权密钥。该单向陷门函数例如可以为确定性单向陷门函数,如RSA函数,或者Rabin函数。
或者,该每个第三终端设备可根据该第一终端设备的公开陷门参数,采用单向陷门函数对该下一版本的授权密钥进行解密,得到该当前版本的授权密钥。该第一终端设备的公开陷门参数可包括:该第一终端设备的公钥和模数。
假设,若第四终端设备为终端设备E,以RSA函数为例,第四终端设备可根据终端设备A的公钥PKA、终端设备A的模数nA,通过采用下述公式(3)所示的RSA函数对该下一版本的授权密钥进行解密,得到该当前版本的授权密钥。
Figure GPA0000301339870000171
其中,AKi+1为该下一版本的授权密钥,即该当前版本的授权密钥对应的下一阶段的授权密钥。mod为求余函数。AKi为当前版本的授权密钥。
特别是对于新增加的终端设备,采用该信息处理方法,第一终端设备可仅向每个第三终端设备发送该每个第三终端设备对应的授权密钥密文,使得每个第三终端设备采用各自的私钥解密,得到该下一版本的授权密钥,该第一终端设备无需向每个第三终端设备发送之前阶段的授权密钥,该每个第三终端设备可根据其获知的该第一终端设备的公钥对该下一版本的授权密钥进行解密,从而派生得到该之前版本的授权密钥。如此,该信息处理方法可减少了通信量及密钥管理存储,提高密钥分发及管理的效率。
在上述信息处理方法的基础上,本申请实施例还可提供一种信息处理方法。图9为本申请实施例提供的一种信息处理方法的流程图五。如图9所示,该信息处理方法还可包括:
S901、第一终端设备通过服务器向目标终端设备发送群主更换信息。
该第一终端设备可以为当前的群主终端设备。该目标终端设备可以为目的群主终端设备。群主终端设备还可称为群组管理者(Group Manager,GM)。则该第一终端设备可表示为GM1,目标终端设备可表示为GM2。
该第一终端设备可通过服务器向目标终端设备发送群主更换信息,即该第一终端设备可向服务器发送群主更换信息,该群主更换信息包括该目标终端设备的信息,使得该服务器将该群主更换信息转发至该目标终端设备。服务器还记录群主更换记录,该群主更换记录至少可包括:每个阶段的群主终端设备的标识、该每个阶段的群主终端设备的公钥及模数等信息。
该第一终端设备将该群主更换信息发送至目标终端设备,用于使得目标终端设备进行确认。
S902、目标终端设备接收来自第一终端设备的该群主更换信息。
S903、目标终端设备根据该目标终端设备的私钥,对当前版本的授权密钥进行加密,得到下一版本的授权密钥。
当该目标终端设备接收来自第一终端设备的群主更换信息后,可确定接受第一终端设备。当第一终端设备将其群主身份更换至目标终端设备,进入下一阶段,则该目标终端设备作为更换后的群主终端设备,需进行授权密钥的更新,可根据该目标终端设备的私钥,对该当前的授权密钥进行加密,得到该下一版本的授权密钥。
该当前版本的授权密钥可以为第一终端设备生成或更新得到的授权密钥。
或者,目标终端设备也可根据该目标终端设备的秘密陷门参数,采用单向陷门函数对当前的授权密钥进行加密,得到下一版本的授权密钥。该目标终端设备的秘密陷门参数可包括:该目标终端设备的私钥和模数。
因而,该目标终端设备在作为更换后的群主终端设备的情况下,无需将之前阶段的授权密钥全部重新计算,只需记录每个阶段的群主终端设备的公钥和模数,便可避免所有阶段的授权密钥更新,影响其加密的文件的密钥密文也需要重新加密,大幅节省了通信量及计算量。
例如,图10为本申请实施例提供的一种信息处理方法的应用场景三的示意图。如图10所示,终端设备A为群主终端设备,在第3阶段,终端设备A期望将群主终端设备更换至终端设备B。终端设备A可向服务器发送群主更新信息,由服务器将该群主更换信息转发至终端设备B。终端数设备B在接收到群主更新信息后,可确定其作为群主终端设备,便可根据该终端设备B的SKB、终端设备B的模数nB,通过采用下述公式(4)所示的RSA函数对该第2阶段的授权密钥AK2进行加密,得到第3阶段的授权密钥AK3
Figure GPA0000301339870000181
终端设备B可在得到第3阶段的授权密钥AK3的情况下,可根据终端设备A的公钥PKA对第3阶段的授权密钥AK3进行加密,得到终端设备A对应的第3阶段的授权密钥密文;根据终端设备C的公钥PKC对第3阶段的授权密钥AK3进行加密,得到终端设备C对应的第3阶段的授权密钥密文。
终端设备B还将终端设备A对应的第3阶段的授权密钥密文、终端设备C对应的第3阶段的授权密钥密文发送至服务器。服务器可在终端设备A上线时向终端设备A发送终端设备B对应的第3阶段的授权密钥密文,在终端设备C上线时向终端设备C发送终端设备C对应的第3阶段的授权密钥密文。
终端设备A可根据终端设备A的私钥SKA,对该终端设备A对应的第3阶段的授权密钥密文进行解密,得到该第3阶段的授权密钥AK3
终端设备C可根据终端设备C的私钥SKC,对该终端设备C对应的第3阶段的授权密钥密文进行解密,得到该第3阶段的授权密钥AK3
终端设备B在更换为群主终端设备之后,便根据自身的私钥进行授权密钥的更新,可有效保证更新群主后文件的访问安全,保证数据安全。
图11为本申请实施例提供的一种信息处理方法的应用场景四的示意图。如图11所示,终端设备B作为群主终端设备,在第3阶段,终端设备B期望将终端设备E加入用户文件分享的群组中,终端设备B可采用该终端设备E的公钥对第3阶段的授权密钥进行解密,得到终端设备E对应的授权密钥密文。
终端设备E在接收到该终端设备E对应的授权密钥密文的情况下,便可根据该终端设备E的私钥,对该终端设备E对应的授权密钥密文进行解密的,得到该第3阶段的授权密钥。
终端设备E可从服务器获取终端设备B的公钥PKB和模数nB,以及终端设备A的公钥PKA和模数nA
终端设备E可根据终端设备B的公钥PKB和模数nB,采用下述公式(5)对该第3阶段的密钥AK3进行解密,得到第2阶段的密钥AK2
Figure GPA0000301339870000191
终端设备E可根据终端设备A的公钥PKA和模数nA,采用下述公式(6)对该第2阶段的密钥AK2进行解密,得到第1阶段的密钥AK1
Figure GPA0000301339870000192
对于新增加的终端设备,群主终端设备,即该终端设备B可仅向终端设备E发送终端设备E的授权密钥密文,使得终端设备E采用终端设备E的私钥解密,得到该第3阶段的授权密钥,终端设备B无需向终端设备E发送之前阶段的授权密钥,终端设备E也可根据其获知的之前阶段的群主终端设备的公钥进行授权密钥的解密,从而派生得到该之前阶段的授权密钥,如第2阶段的授权以及第1阶段的授权密钥。如此,该信息处理方法可减少了通信量及密钥管理存储,提高密钥分发及管理的效率。
在另一种实现方式中,作为群主终端设备的第一终端设备,可从预设的第一数据库中,确定下一版本的授权密钥为下一阶段的授权密钥。
如下结合示例说明。图12为本申请实施例提供的一种信息处理方法的流程图六。如图12所示,该方法还可包括:
S1201、第一终端设备从预设的第一数据库中,确定该当前版本的授权密钥的下一版本的授权密钥;该第一数据库包括该第一终端设备的多个版本的授权密钥。
该第一数据库可以为该第一终端设备的授权密钥的数据库,其包括有多个版本的授权密钥,该多个版本的授权密钥可以为均为该第一终端设备得到的。
在该实现方式中,第一终端设备即群主终端设备无需通过计算,进行授权密钥的更新,而是从该第一数据库中确定下一版本的授权密钥,进行授权密钥的更新。
可选的,在该信息处理方法中S1201中第一终端设备从预设的第一数据库中,确定该当前版本的授权密钥的下一版本的授权密钥之前,该方法还可包括:
第一终端设备根据预设的第一随机数,采用预设的第一单向陷门函数,得到该第一数据库中的多个版本的授权密钥。
该第一随机数可以为该第一终端设备自己随机选取的,因而,该第一随机数也可称为该第一终端设备的私钥,第一终端设备具有更新版本授权密钥的“陷门”,其它设备无法获知该第一随机数,则无法计算下一版本的授权密钥。
该预设的第一单向陷门函数可以为哈希链(Hash-Chain)函数,也称哈希函数,例如可以为消息摘要算法5(Message Digest Algorithm,MD5)函数、安全散列算法(SecureHash Algorithm,SHA)函数等任一。
可选的,第一终端设备可将该第一随机数作为该第一终端设备的第n个版本的授权密钥;其中,n为大于或等于2的整数;并根据该第n个版本的授权密钥,采用该第一单向陷门函数,得到该第一终端设备的第n-1个版本的授权密钥,直至得到该第一终端设备的第1个版本的授权密钥。如此,可使得第一终端设备得到该第一终端备的n个版本的授权密钥,即第一数据库中的授权密钥。
若该第一终端设备为终端设备A,则该第一随机数可表示为SKA,则终端设备A可将该第一随机数SKA作为该终端设备A的第n个版本的授权密钥AKnA,通过下述公式(7)所示的SHA函数得到该终端设备A的第n-1个版本的授权密钥AK(i-1)A。i可以为大于或等于2,而小于n的任一整数。
AK(i-1)A=SHA(AKiA) 公式(7)
也就是说,该第一数据库中,该终端设备A的第i-1版本的授权密钥可通过该终端设备A的第i版本的授权密钥的哈希值得到。
当该第一终端设备的第一数据库中的多个版本的授权密钥均被使用过后,则第一终端设备可重新选择一个随机数,采用预设的第一单向陷门函数,得到该第一终端设备的多个版本的授权密钥,对该第一数据库进行更新。该第一终端设备例如可以通过执行群主终端设备更换的流程,重新设置该第一终端设备为新的群主终端设备,由重新设置之后的该第一终端设备重新选择一个随机数,采用预设的第一单向陷门函数,得到该第一终端设备的多个版本的授权密钥。
S1202、第一终端设备根据至少一个第四终端设备中每个第四终端设备的公钥,对该下一版本的授权密钥进行加密,得到该每个第四终端设备对应的授权密钥密文。
该至少一个第四终端设备为该第一终端设备进行撤销终端设备之后,文件分享的目的终端设备。
S1203、第一终端设备通过服务器向每个第四终端设备发送该每个第四终端设备对应的授权密钥密文。
该S1203的具体描述参见上述S603,在此不再赘述。
S1204、每个第四终端设备接收第一终端设备发送的该每个第四终端设备对应的授权密钥密文。
该S1204的具体描述参见上述S604,在此不再赘述。
S1205、每个第四终端设备根据该每个第四终端设备的私钥对该每个第四终端设备对应的授权密钥密文进行解密,得到该下一版本的授权密钥。
该S1205的具体描述参见上述S605,在此不再赘述。
S1206、每个第四终端设备根据该下一版本的授权密钥,从服务器获取文件密钥,并根据该文件密钥进行文件解密。
该S1206的具体描述参见上述S606,在此不再赘述。
可选的,该每个第四终端设备在得到该下一版本的授权密钥的情况下,还可根据该下一版本的授权密钥,采用该预设的第一单向陷门函数,得到该当前版本的授权密钥;并根据该当前版本的授权密钥进行文件解密。
第一数据库中的第n-1版本的授权密钥为根据第n版本的授权授权,采用预设的第一单向陷门函数得到的,则该每个第四终端设备根据该下一版本的授权密钥,采用该预设的第一单向陷门函数,得到该当前版本的授权密钥。例如,该每个第三终端设备可根据下一版本的授权密钥的哈希值,得到该当前版本的授权密钥。
该信息处理方法,可由第一终端设备从预设的第一数据库中确定该当前版本的授权密钥的下一版本的授权密钥,实现授权密钥的更新,并将下一版本的授权密钥分别根据至少一个第四终端设备的公钥进行加密,得到至少一个第四终端设备对应的授权密钥密文,并传输至每个第四终端设备,使得每个第四终端设备可根据其对应的私钥进行解密,得到该更新后的授权密钥,继而进行文件解密,可在第一终端设备撤销终端设备的情况下,使得被撤销的终端设备无法获知更新后的授权密钥,无法进行文件解密,实现被撤销终端设备的解密权限的撤销,有效保证数据安全。
例如,终端设备A为群主终端设备,在第1阶段,终端设备A期望将文件分享至终端设备B、终端设备C和终端设备D。该第1阶段的授权密钥可以为AK1。在第2阶段,终端设备A撤销终端设备D的权限,终端设备A可根据AK1,从终端设备A的数据库中选择该AK1的下一版本的授权密钥作为第2阶段的授权密钥AK2
终端设备A可在得到第2阶段的授权密钥AK2的情况下,可根据终端设备B的公钥PKB对第2阶段的授权密钥AK2进行加密,得到终端设备B对应的第2阶段的授权密钥密文;根据终端设备C的公钥PKC对第2阶段的授权密钥AK2进行加密,得到终端设备C对应的第2阶段的授权密钥密文。
该终端设备A还将终端设备B对应的第2阶段的授权密钥密文、终端设备C对应的第2阶段的授权密钥密文发送至服务器。服务器可在终端设备B上线时向终端设备B发送终端设备B对应的第2阶段的授权密钥密文,在终端设备C上线时向终端设备C发送终端设备C对应的第2阶段的授权密钥密文。
终端设备B可根据终端设备B的私钥SKB,对该终端设备B对应的第2阶段的授权密钥密文进行解密,得到该第2阶段的授权密钥AK2
终端设备C可根据终端设备C的私钥SKC,对该终端设备C对应的第2阶段的授权密钥密文进行解密,得到该第2阶段的授权密钥AK2
由于终端设备D已被终端设备A撤销,只具有第1阶段的授权密钥,没有得到终端设备A通过终端设备D发送的第2阶段的授权密钥,并且,也不具有终端设备A的私钥,因而无法自己派生得到第2阶段的授权密钥,从而使得终端设备D的解密权限被撤销,保证了数据安全。
在上述信息处理方法的基础上,本申请实施例还可提供一种信息处理方法。图13为本申请实施例提供的一种信息处理方法的流程图七。如图13所示,该信息处理方法还可包括:
S1301、第一终端设备通过服务器向目标终端设备发送群主更换信息。
S1301的具体描述参见上述S901,在此不再赘述。
S1302、目标终端设备接收来自第一终端设备的该群主更换信息。
S1302的具体描述参见上述S902,在此不再赘述。
S1303、目标终端设备根据预设的第二随机数,采用预设的第二单向陷门函数,得到第二数据库,该第二数据库包括:该第二终端设备的多个版本的授权密钥。
该第二随机数可以为该目标终端设备自己随机选取的,因而,该第二随机数也可称为该第二终端设备的私钥,第二终端设备具有更新版本授权密钥的“陷门”,其它设备无法获知该第二随机数,则无法计算下一版本的授权密钥。
该预设的第二单向陷门函数可以为哈希链函数,也称哈希函数,例如可以为MD5函数、SHA函数等任一。
可选的,目标终端设备可将该第二随机数作为该目标终端设备的第n个版本的授权密钥;其中,n为大于或等于2的整数;并根据该第n个版本的授权密钥,采用该第二单向陷门函数,得到该目标终端设备的第n-1个版本的授权密钥,直至得到该目标终端设备的第1个版本的授权密钥。如此,可使得目标终端设备得到该目标终端备的n个版本的授权密钥,即第二数据库中的授权密钥。
若该目标终端设备为终端设备B,则该第二随机数可表示为SKB,则终端设备B可将该第二随机数SKB作为该终端设备B的第n个版本的授权密钥AKnB,通过下述公式(8)所示的SHA函数得到该终端设备B的第n-1个版本的授权密钥AK(i-1)B。i可以为大于或等于2,而小于n的任一整数。
AK(i-1)B=SHA(AKiB) 公式(8)
也就是说,该第一数据库中,该终端设备B的第i-1版本的授权密钥可通过该终端设备B的第i版本的授权密钥的哈希值得到。
若终端设备A是在第2阶段将群主更换为终端设备B,则当前的授权密钥可以为AK2A。终端设备B还采用可将第二数据库中的第1版本的授权密钥,即终端设备B的第一版本的授权密钥AK1B对该当前的授权密钥AK2A加密后发送给服务器,使得服务器将该加密后的当前的授权密钥AK2A记录到授权密钥的版本更换历史中。
因而,该目标终端设备在作为更换后的群主终端设备的情况下,无需将之前阶段的授权密钥全部重新计算,便可根据更新后的授权密钥,结合服务器中的版本更换历史,得到之前阶段的授权密钥,避免所有阶段的授权密钥更新,影响其加密的文件的密钥密文也需要重新加密,大幅节省了通信量及计算量。
例如,终端设备A为群主终端设备,在第3阶段,终端设备A期望将群主终端设备更换至终端设备B。终端设备A可向服务器发送群主更新信息,由服务器将该群主更换信息转发至终端设备B。终端数设备B在接收到群主更新信息后,可确定其作为群主终端设备,便可根据该终端设备B的随机数如SKB,通过采用上述公式(8)所示的SHA函数,得到终端设备B的n个授权密钥,并将终端设备B的第1版本的授权密钥AK1B作为第3阶段的授权密钥AK3
终端设备B可在得到第3阶段的授权密钥AK3的情况下,可根据终端设备A的公钥PKA对第3阶段的授权密钥AK3进行加密,得到终端设备A对应的第3阶段的授权密钥密文;根据终端设备C的公钥PKC对第3阶段的授权密钥AK3进行加密,得到终端设备C对应的第3阶段的授权密钥密文。
终端设备B还将终端设备A对应的第3阶段的授权密钥密文、终端设备C对应的第3阶段的授权密钥密文发送至服务器。服务器可在终端设备A上线时向终端设备A发送终端设备B对应的第3阶段的授权密钥密文,在终端设备C上线时向终端设备C发送终端设备C对应的第3阶段的授权密钥密文。
终端设备A可根据终端设备A的私钥SKA,对该终端设备A对应的第3阶段的授权密钥密文进行解密,得到该第3阶段的授权密钥AK3
终端设备C可根据终端设备C的私钥SKC,对该终端设备C对应的第3阶段的授权密钥密文进行解密,得到该第3阶段的授权密钥AK3
终端设备B在更换为群主终端设备之后,便根据自身的私钥进行授权密钥的更新,可有效保证更新群主后文件的访问安全,保证数据安全。
终端设备B作为群主终端设备,在第3阶段,若终端设备B期望将终端设备E加入用户文件分享的群组中,终端设备B可采用该终端设备E的公钥对第3阶段的授权密钥进行解密,得到终端设备E对应的授权密钥密文。
终端设备E在接收到该终端设备E对应的授权密钥密文的情况下,便可根据该终端设备E的私钥,对该终端设备E对应的授权密钥密文进行解密的,得到该第3阶段的授权密钥。
若新的终端设备,如该终端设备E想要查看历史版本的文件时,便需要根据该第3版本的授权密钥,计算历史版本的授权密钥,继而进行文件解密。终端设备E需确定待解密版本的授权密钥,与当前阶段的授权密钥如该第3阶段的授权密钥,之间是否存在加密的版本授权密钥记录在服务器。若否,则终端设备E可根据该当前阶段的授权密钥如该第3阶段的授权密钥,通过哈希函数计算得到待解密版本的授权密钥。若是,则终端设备E从服务器中找到加密的版本授权密钥,终端设备E可通过哈希函数,得到当前群主终端设备的第一版本的授权密钥,然后根据该当前群主终端设备的第一版本的授权密钥解密历史记录中的该加密的版本授权密钥,继而根据该加密的版本授权密钥为基点,通过哈希函数,得到当前群主终端设备的各版本的授权密钥,直至得到该待解密版本的授权密钥。
在又一种可实现方式中,作为群主终端设备的第一终端设备,可根据该第一终端设备的秘密陷门参数以及该当前阶段的授权密钥,进行密钥更新,得到更新后的授权密钥即为下一阶段的授权密钥。
图14为本申请实施例提供的一种信息处理方法的流程图八。该图14所示的信息处理方法以撤销终端设备的场景进行授权密钥更新为例进行说明。如图14所示,该方法可包括:
S1401、第一终端设备根据该第一终端设备的秘密陷门参数,采用单向陷门函数,得到下一版本的授权密钥。
该第一终端设备的秘密陷门参数可以表示为CGM1,该下一版本的授权密钥例如可以为_AKV+1
S1402、第一终端设备根据至少一个第三终端设备中每个第三终端设备的公钥,对该下一版本的授权密钥进行加密,得到每个第三终端设备对应的下一版本的授权密钥密文。
该至少一个第三终端设备可以为该成员终端设备中待撤销终端设备之外的,终端设备。
该第一终端设备可从群组的元数据中获取该所有成员终端设备的公钥。该群组的元数据可保存在第一终端设备,也可保存服务器上。若在服务器上,则第一终端设备还需从服务器获取该群组的元数据。
若该被撤销的终端设备为成员终端设备U2,则该至少一个第二终端设备可以为成员终端设备U2之外的终端设备,即不包括成员终端设备U2。
S1403、第一终端设备通过服务器向每个第三终端设备发送该下一版本的版本号以及该每个第三终端设备对应的下一版本的授权密钥密文。
该第一终端设备可向服务器发送该每个第三终端设备对应的下一版本的授权密钥密文。服务器接收第一终端设备发送的该每个第三终端设备对应的下一版本的授权密钥密文。
该服务器还可将版本号由V更新至V+1,将第一终端设备的公开陷门参数PGM1添加至版本历史中。
S1404、每个第三终端设备接收来自第一终端设备的送该下一版本的版本号以及该每个第三终端设备对应的下一版本的授权密钥密文。
S1405、每个第三终端设备根据该每个第三终端设备的私钥,对该每个第三终端设备对应的下一版本的授权密钥密文进行解密,得到该下一版本的授权密钥。
S1406、每个第三终端设备根据接收到的该下一版本的版本号以及该下一版本的授权密钥,从服务器获取文件密钥,并根据该文件密钥进行文件解密。
服务器还可向第一终端设备发送更新成功信息,并更新该群组的元数据,该群组的元数据还包括:成员终端设备的信息,以及版本信息。
第一终端设备还可更新自身存储的该群组的元数据,并在更新该群组的元数据之后,将其发送至服务器,由对其进行保存。
该信息处理方法,也可由第一终端设备根据自身的秘密陷门参数对授权密钥进行更新,并将更新后的授权密钥分别根据至少一个第三终端设备的公钥进行加密,得到至少一个第三终端设备对应的授权密钥密文,并传输至每个第三终端设备,使得每个第三终端设备可根据其对应的私钥进行解密,得到该更新后的授权密钥,继而进行文件解密,可在第一终端设备撤销终端设备的情况下,使得被撤销的终端设备无法获知更新后的授权密钥,无法进行文件解密,实现被撤销终端设备的解密权限的撤销,有效保证数据安全。
图15为本申请实施例提供的一种信息处理方法的流程图九。该图15所示的信息处理方法以更换群主终端设备的场景进行授权密钥更新为例进行说明。如图15所示,该方法还可包括:
S1501、第一终端设备通过服务器向目标终端设备发送群主更换信息。
第一终端设备可向发送群主更换请求,由服务器在接收到该群主更换请求后,可先将群主的身份由第一终端设备切换至目标终端设备,并向目标终端设备发送群主更换信息,使得目标终端设备对群主身份进行确认。该群主更换请求可包括:群主更换信息,如目标终端设备的信息。
S1502、目标终端设备接收服务器发送的群主更换信息。
S1503、目标终端设备生成该目标终端设备的秘密陷门参数以及公开陷门参数,并获取当前版本的授权密钥,根据该目标终端设备的秘密陷门参数,采用单向陷门函数,得到下一版本的授权密钥。
该目标终端设备可以为GM2。该目标终端设备的秘密陷门参数可以为CGM2,该目标终端设备的公开陷门参数可以为PGM2。该下一版本的授权密钥可以为AKV+1
目标终端设备还向服务器发送该下一版本的版本号、该目标终端设备的公开陷门参数。
服务器接收目标终端设备发送的该下一版本的版本号、该目标终端设备的公开陷门参数。
服务器可根据接收到的该下一版本的版本号V+1、该目标终端设备的公开陷门参数PGM2,添加到版本历史中。
目标终端设备还获取该群主内的成员终端设备的公钥,并目标终端设备根据该群主内的每个成员终端设备的公钥,对该下一版本的授权密钥进行加密,得到该每个成员终端设备对应的下一版本的授权密钥密文。
目标终端设备可从群组的元数据中获取该所有成员终端设备的公钥。目标终端设备可从服务器上获取该群组的元数据。
目标终端设备还向服务器发送该每个成员终端设备对应的下一版本的授权密钥密文,由服务器将该下一版本的版本号以及该每个成员终端设备对应的下一版本的授权密钥密文,发送至该每个成员终端设备。
服务器还更新该群组的元数据,该群组的元数据还可包括:更换后的群主终端设备的信息,以及该更换后的群主终端设备的公开陷门参数,版本信息等。
每个成员终端设备根据接收到的该下一版本的版本号以及该每个成员终端设备对应的下一版本的授权密钥密文,进行文件解密。
该第一终端设备和该目标终端设备还分别更新各自存储的群组的元数据。
该信息处理方法可在更换群主终端设备的情况下,由更换后的群主终端设备进行授权密钥的更新,保证了文件安全。并且,当更换群主终端设备后,更换后的群主终端设备无需重新计算授权密钥,各成员终端设备也可参照版本历史中的各版本对应的群主终端设备的公开陷门参数进行密钥派生,便可得到各历史版本的授权密钥。如此,该信息处理方法可减少了通信量及密钥管理存储,提高密钥分发及管理的效率。
基于上述图14或图15所示的信息处理方法,本申请实施例还可提供一种成员终端设备查询文件的示例。成员终端设备U1若需查询分享文件夹中的文件F2,则成员终端设备U1可从服务器下载文件F2,并获得该文件F2的版本号VF2。该成员终端设备U1还需获取当前版本的授权密钥的版本号Vcurrent
若VF2=Vcurrent,则成员终端设备U1可根据当前版本的授权密钥AKcurrent,对文件F2进行解密。
若VF2<Vcurrent,则成员终端设备U1可从服务器获取版本历史。该版本历史可包括有各版本对应的群主终端设备的公开陷门参数,如{(v1,PGM1),...,(vn,PGMn)}。成员终端设备U1可根据当前版本的授权密钥AKcurrent,该当前版本对应的群主终端设备的公开陷门参数PGMX,采用单向陷门函数,得到该当前版本的前一版本的授权密钥,重复执行,直至得到的授权密钥的版本号与文件F2的版本号VF2相同,便可根据该相同版本号的授权密钥,对文件F2进行解密。
本申请实施例还可提供一种终端设备,该终端设备可作为第一终端设备,具有上述图2-图15中任一方法所涉及的第一终端设备的任意功能。图16为本申请实施例提供的一种终端设备的结构示意图一。如图16所示,该终端设备1600可包括:
处理模块1601,用于根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥进行加密,得到该每个第二终端设备对应的授权密钥密文。
发送模块1602,用于通过服务器向该每个第二终端设备发送该每个第二终端设备对应的授权密钥密文;该每个第二终端设备对应的授权密钥密文,用于使得该每个第二终端设备根据该每个第二终端设备的私钥对该每个第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥,并根据该当前版本的授权密钥,从该服务器上获取文件密钥,并根据该文件密钥进行文件解密。
应理解,该终端设备1600具有上述图2-图15任一所述的方法中的第一终端设备的任意功能,所述任意功能可参考上述图2-图15任一所述的方法,此处不再赘述。
上述的本申请实施例提供的终端设备,可以有多种产品形态来实现,例如,所述终端设备可配置成通用处理系统;例如,所述终端设备可以由一般性的总线体系结构来实现;例如,所述终端设备可以由ASIC(专用集成电路)来实现等等。以下提供本申请实施例终端设备可能的几种产品形态,应当理解的是,以下仅为举例,不限制本申请实施例可能的产品形态仅限于此。
图17为本申请实施例所述的终端设备可能的产品形态的结构图一。
作为一种可能的产品形态,终端设备可以由设备实现,所述终端设备包括处理器1702和收发器1704;可选地,所述终端设备还可以包括存储介质1703。
作为另一种可能的产品形态,终端设备也由通用处理器来实现,即俗称的芯片来实现。该通用处理器包括:处理器1702和收发接口1705/收发管脚1706;可选地,该通用处理器还可以包括存储介质1703。
作为另一种可能的产品形态,终端设备也可以使用下述来实现:一个或多个现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑器件(ProgrammableLogic Device,PLD)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合。
可选的,本申请实施例还提供一种计算机可读存储介质。该计算机可读存储介质可包括:指令,当其在计算机上运行时,使得计算机执行上述实施例中图2-图5中任一第一终端设备执行的信息处理方法。
可选的,本申请实施例还提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中图2-图5中任一第一终端设备执行的信息处理方法。
该计算机程序产品的各功能可以通过硬件或软件来实现,当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读存储介质上的一个或多个指令或代码进行传输。
本申请实施例的终端设备、计算机可读存储介质及计算机程序产品,可执行上述图2-图15中任一第一终端设备执行的信息传输方法,其具体的实现过程及有益效果参见上述,在此不再赘述。
本申请实施例还可提供一种终端设备,该终端设备可作为第二终端设备,具有上述图2-图15中任一方法所涉及的第二终端设备的任意功能。图18为本申请实施例提供的一种终端设备的结构示意图二。如图18所示,该终端设备1800可包括:
接收模块1801,用于接收第一终端设备通过服务器发送的该第二终端设备对应的授权密钥密文;该第二终端设备对应的授权密钥密文为该第一终端设备根据该第二终端设备的公钥,对当前版本的授权密钥进行加密,所得到的密文。
处理模块1802,用于根据该第二终端设备的私钥,对该第二终端设备对应的授权密钥密文进行解密,得到该当前版本的授权密钥,根据该当前版本的授权密钥,从该服务器获取文件密钥,并根据该文件密钥进行文件解密。
应理解,该终端设备1800具有上述图2-图15任一所述的方法中的第二终端设备的任意功能,所述任意功能可参考上述图2-图15任一所述的方法,此处不再赘述。
上述的本申请实施例提供的终端设备,可以有多种产品形态来实现,例如,所述终端设备可配置成通用处理系统;例如,所述终端设备可以由一般性的总线体系结构来实现;例如,所述终端设备可以由ASIC(专用集成电路)来实现等等。以下提供本申请实施例终端设备可能的几种产品形态,应当理解的是,以下仅为举例,不限制本申请实施例可能的产品形态仅限于此。
图19为本申请实施例所述的终端设备可能的产品形态的结构图二。
作为一种可能的产品形态,终端设备可以由设备实现,所述终端设备包括处理器1902和收发器1904;可选地,所述终端设备还可以包括存储介质1903。
作为另一种可能的产品形态,终端设备也由通用处理器来实现,即俗称的芯片来实现。该通用处理器包括:处理器1902和收发接口1905/收发管脚1906;可选地,该通用处理器还可以包括存储介质1903。
作为另一种可能的产品形态,终端设备也可以使用下述来实现:一个或多个现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑器件(ProgrammableLogic Device,PLD)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合。
可选的,本申请实施例还提供一种计算机可读存储介质。该计算机可读存储介质可包括:指令,当其在计算机上运行时,使得计算机执行上述实施例中图2-图5中任一第二终端设备执行的信息处理方法。
可选的,本申请实施例还提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中图2-图5中任一第二终端设备执行的信息处理方法。
该计算机程序产品的各功能可以通过硬件或软件来实现,当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读存储介质上的一个或多个指令或代码进行传输。
本申请实施例的终端设备、计算机可读存储介质及计算机程序产品,可执行上述图2-图15中任一第二终端设备执行的信息传输方法,其具体的实现过程及有益效果参见上述,在此不再赘述。
本申请实施例还可提供一种网络系统,该网络系统可包括第一终端设备、服务器以及至少一个第二终端设备。第一终端设备与服务器连接,服务器还与每个第二终端设备连接;第一终端设备可以为上述图16或17任一所述的终端设备,每个第二终端设备可以为上述图18或19任一所述的终端设备。
该网络系统可以为云存储系统,该系统可实现上述任一实施例所述的信息处理方法,其具体的实现过程及有益效果参见上述,在此不再赘述。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本申请实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本申请所使用的,盘(Disk)和碟(disc)包括压缩光碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
以上所述,仅为本申请实施例的具体实现方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (25)

1.一种信息处理方法,其特征在于,包括:
第一终端设备根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥进行加密,得到所述每个第二终端设备对应的授权密钥密文;
所述第一终端设备通过服务器向所述每个第二终端设备发送所述每个第二终端设备对应的授权密钥密文;所述每个第二终端设备对应的授权密钥密文,用于使得所述每个第二终端设备根据所述每个第二终端设备的私钥对所述每个第二终端设备对应的授权密钥密文进行解密,得到所述当前版本的授权密钥,并根据所述当前版本的授权密钥,从所述服务器上获取文件密钥,并根据所述文件密钥进行文件解密;
所述方法还包括:
所述第一终端设备根据所述当前版本的授权密钥,对至少一个加密文件的密钥进行加密,得到所述至少一个加密文件的密钥密文;
所述第一终端设备向所述服务器发送至少一个加密文件的密钥密文;
所述至少一个加密文件的密钥密文,用于使得所述每个第二终端设备从所述服务器获取所述至少一个加密文件的密钥密文,并根据所述当前版本的授权密钥对所述至少一个加密文件的密钥密文进行解密,得到所述至少一个加密文件的密钥,继而根据每个加密文件的密钥解密所述服务器存储的所述每个加密文件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一终端设备确定预设比特数的随机数;
所述第一终端设备通过所述服务器向所述每个第二终端设备发送所述预设比特数的随机数;所述预设比特数的随机数用于使得所述每个第二终端设备确定所述每个第二终端设备的公钥和私钥。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一终端设备根据所述第一终端设备的私钥或秘密陷门参数对所述当前版本的授权密钥进行加密,得到下一版本的授权密钥;
所述第一终端设备根据至少一个第三终端设备中每个第三终端设备的公钥,对所述下一版本的授权密钥进行加密,得到所述每个第三终端设备对应的授权密钥密文;
所述第一终端设备通过所述服务器向所述每个第三终端设备发送所述每个第三终端设备对应的授权密钥密文;所述每个第三终端设备对应的授权密钥密文,用于使得所述每个第三终端设备根据所述每个第三终端设备的私钥对所述每个第三终端设备对应的授权密钥密文进行解密,得到所述下一版本的授权密钥,并根据所述下一版本的授权密钥,从所述服务器上获取文件密钥,并根据所述文件密钥进行文件解密。
4.根据权利要求3所述的方法,其特征在于,所述至少一个第三终端设备为所述第一终端设备进行撤销终端设备之后,用于文件分享的目的终端设备。
5.根据权利要求3所述的方法,其特征在于,所述下一版本的授权密钥,用于使得所述每个第三终端设备根据所述第一终端设备的公钥或公开陷门参数对所述下一版本的授权密钥进行解密,得到所述当前版本的授权密钥,继而根据所述当前版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密。
6.根据权利要求3-5中任一项所述的方法,其特征在于,所述方法还包括:
所述第一终端设备通过所述服务器向目标终端设备发送群主更换信息,所述群主更换信息用于使得所述目标终端设备根据所述目标终端设备的私钥或秘密陷门参数,对所述当前版本的授权密钥进行加密,得到下一版本的授权密钥。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一终端设备从预设的第一数据库中,确定所述当前版本的授权密钥的下一版本的授权密钥;所述第一数据库包括所述第一终端设备的多个版本的授权密钥;
所述第一终端设备根据至少一个第四终端设备中每个第四终端设备的公钥,对所述下一版本的授权密钥进行加密,得到所述每个第四终端设备对应的授权密钥密文;
所述第一终端设备通过所述服务器向所述每个第四终端设备发送所述每个第四终端设备对应的授权密钥密文;所述每个第四终端设备对应的授权密钥密文,用于使得所述每个第四终端设备根据所述每个第四终端设备的私钥对所述每个第四终端设备对应的授权密钥密文进行解密,得到所述下一版本的授权密钥,并根据所述下一版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密。
8.根据权利要求7所述的方法,其特征在于,所述至少一个第四终端设备为所述第一终端设备进行撤销终端设备之后,文件分享的目的终端设备。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述第一终端设备根据预设的第一随机数,采用预设的第一单向陷门函数,得到所述第一数据库中的多个版本的授权密钥。
10.根据权利要求9所述的方法,其特征在于,所述第一终端设备根据预设的第一随机数,采用预设的第一单向陷门函数,得到所述第一数据库中的多个版本的授权密钥,包括:
所述第一终端设备将所述第一随机数作为第n个版本的授权密钥;其中,n为大于或等于2的整数;
所述第一终端设备根据所述第n个版本的授权密钥,采用预设的第一单向陷门函数,得到第n-1个版本的授权密钥,直至得到第1个版本的授权密钥。
11.根据权利要求9所述的方法,其特征在于,所述下一版本的授权密钥用于使得所述每个第四终端设备根据所述下一版本的授权密钥,采用所述预设的第一单向陷门函数,得到所述当前版本的授权密钥;并根据所述当前版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密。
12.根据权利要求7-11中任一项所述的方法,其特征在于,所述方法还包括:
所述第一终端设备通过所述服务器向目标终端设备发送群主更换信息,所述群主更换信息用于使得所述目标终端设备根据预设的第二随机数,采用预设的第二单向陷门函数,得到第二数据库,所述第二数据库包括:所述第二终端设备的多个版本的授权密钥。
13.一种信息处理方法,其特征在于,包括:
第二终端设备接收第一终端设备通过服务器发送的所述第二终端设备对应的授权密钥密文;所述第二终端设备对应的授权密钥密文为所述第一终端设备根据所述第二终端设备的公钥,对当前版本的授权密钥进行加密,所得到的密文;
所述第二终端设备根据所述第二终端设备的私钥,对所述第二终端设备对应的授权密钥密文进行解密,得到所述当前版本的授权密钥;
所述第二终端设备根据所述当前版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密;
所述第二终端设备根据所述当前版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密包括:
所述第二终端设备从所述服务器获取至少一个加密文件的密钥密文;所述至少一个加密文件的密钥密文为所述第一终端设备根据所述当前版本的授权密钥,对所述至少一个加密文件的密钥进行加密,并传输至所述服务器的密文;
所述第二终端设备根据所述当前版本的授权密钥,对所述至少一个加密文件的密钥密文进行解密,得到所述至少一个加密文件的密钥;
所述第二终端设备根据每个加密文件的密钥解密所述服务器上存储的所述每个加密文件。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述第二终端设备接收所述第一终端设备通过所述服务器发送的预设比特数的随机数;
所述第二终端设备根据所述预设比特数的随机数,确定所述第二终端设备的公钥和私钥。
15.一种终端设备,所述终端设备为第一终端设备,其特征在于,包括:处理器和发送器;所述处理器与所述发送器连接;
所述处理器,用于根据至少一个第二终端设备中每个第二终端设备的公钥,对当前版本的授权密钥进行加密,得到所述每个第二终端设备对应的授权密钥密文;
所述发送器,用于通过服务器向所述每个第二终端设备发送所述每个第二终端设备对应的授权密钥密文;所述每个第二终端设备对应的授权密钥密文,用于使得所述每个第二终端设备根据所述每个第二终端设备的私钥对所述每个第二终端设备对应的授权密钥密文进行解密,得到所述当前版本的授权密钥,并根据所述当前版本的授权密钥,从所述服务器上获取文件密钥,并根据所述文件密钥进行文件解密;
所述终端设备还包括:
所述处理器,还用于根据所述当前版本的授权密钥,对至少一个加密文件的密钥进行加密,得到所述至少一个加密文件的密钥密文;
所述发送器,用于向所述服务器发送至少一个加密文件的密钥密文;
所述至少一个加密文件的密钥密文,用于使得所述每个第二终端设备从所述服务器获取所述至少一个加密文件的密钥密文,并根据所述当前版本的授权密钥对所述至少一个加密文件的密钥密文进行解密,得到所述至少一个加密文件的密钥,继而根据每个加密文件的密钥解密所述服务器存储的所述每个加密文件。
16.根据权利要求15所述的终端设备,其特征在于,
所述处理器,还用于根据所述第一终端设备的私钥或秘密陷门参数对所述当前版本的授权密钥进行加密,得到下一版本的授权密钥;根据至少一个第三终端设备中每个第三终端设备的公钥,对所述下一版本的授权密钥进行加密,得到所述每个第三终端设备对应的授权密钥密文;
所述发送器,还用于通过所述服务器向所述每个第三终端设备发送所述每个第三终端设备对应的授权密钥密文;所述每个第三终端设备对应的授权密钥密文,用于使得所述每个第三终端设备根据所述每个第三终端设备的私钥对所述每个第三终端设备对应的授权密钥密文进行解密,得到所述下一版本的授权密钥,并根据所述下一版本的授权密钥,从所述服务器上获取文件密钥,并根据所述文件密钥进行文件解密。
17.根据权利要求16所述的终端设备,其特征在于,
所述发送器,还用于通过所述服务器向目标终端设备发送群主更换信息,所述群主更换信息用于使得所述目标终端设备根据所述目标终端设备的私钥或秘密陷门参数,对所述当前版本的授权密钥进行加密,得到下一版本的授权密钥。
18.根据权利要求15所述的终端设备,其特征在于,
所述处理器,还用于从预设的第一数据库中,确定所述当前版本的授权密钥的下一版本的授权密钥;所述第一数据库包括所述第一终端设备的多个版本的授权密钥;根据至少一个第四终端设备中每个第四终端设备的公钥,对所述下一版本的授权密钥进行加密,得到所述每个第四终端设备对应的授权密钥密文;
所述发送器,还用于通过所述服务器向所述每个第四终端设备发送所述每个第四终端设备对应的授权密钥密文;所述每个第四终端设备对应的授权密钥密文,用于使得所述每个第四终端设备根据所述每个第四终端设备的私钥对所述每个第四终端设备对应的授权密钥密文进行解密,得到所述下一版本的授权密钥,并根据所述下一版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密。
19.根据权利要求18所述的终端设备,其特征在于,
所述处理器,还用于根据预设的第一随机数,采用预设的第一单向陷门函数,得到所述第一数据库中的多个版本的授权密钥。
20.根据权利要求19所述的终端设备,其特征在于,
所述处理器,具体用于将所述第一随机数作为第n个版本的授权密钥;其中,n为大于或等于2的整数;根据所述第n个版本的授权密钥,采用预设的第一单向陷门函数,得到第n-1个版本的授权密钥,直至得到第1个版本的授权密钥。
21.根据权利要求18-20中任一项所述的终端设备,其特征在于,
所述发送器,还用于通过所述服务器向目标终端设备发送群主更换信息,所述群主更换信息用于使得所述目标终端设备根据预设的第二随机数,采用预设的第二单向陷门函数,得到第二数据库,所述第二数据库包括:所述第二终端设备的多个版本的授权密钥。
22.一种终端设备,所述终端设备为第二终端设备,其特征在于,包括:接收器和处理器;所述接收器与所述处理器连接;
所述接收器,用于接收第一终端设备通过服务器发送的所述第二终端设备对应的授权密钥密文;所述第二终端设备对应的授权密钥密文为所述第一终端设备根据所述第二终端设备的公钥,对当前版本的授权密钥进行加密,所得到的密文;
所述处理器,用于根据所述第二终端设备的私钥,对所述第二终端设备对应的授权密钥密文进行解密,得到所述当前版本的授权密钥;根据所述当前版本的授权密钥,从所述服务器获取文件密钥,并根据所述文件密钥进行文件解密;
所述接收器,还用于从服务器获取至少一个加密文件的密钥密文;所述至少一个加密文件的密钥密文为所述第一终端设备根据所述当前版本的授权密钥,对所述至少一个加密文件的密钥进行加密,并传输至所述服务器的密文;
所述处理器,具体用于根据所述当前版本的授权密钥,对所述至少一个加密文件的密钥密文进行解密,得到所述至少一个加密文件的密钥;根据每个加密文件的密钥解密所述服务器上存储的所述每个加密文件。
23.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-12中任一项所述的信息处理方法。
24.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求13-14中任一项所述的信息处理方法。
25.一种网络系统,其特征在于,包括:第一终端设备、服务器以及至少一个第二终端设备;所述服务器与所述第一终端设备连接,所述服务器 还与每个第二终端设备连接;所述第一终端设备为上述权利要求15-21中任一项所述的终端设备,所述每个第二终端设备为上述权利要求22所述的终端设备。
CN201880097100.7A 2018-09-13 2018-09-13 信息处理方法、终端设备及网络系统 Active CN113169862B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2018/105487 WO2020051833A1 (zh) 2018-09-13 2018-09-13 信息处理方法、终端设备及网络系统

Publications (2)

Publication Number Publication Date
CN113169862A CN113169862A (zh) 2021-07-23
CN113169862B true CN113169862B (zh) 2022-09-23

Family

ID=69777245

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880097100.7A Active CN113169862B (zh) 2018-09-13 2018-09-13 信息处理方法、终端设备及网络系统

Country Status (3)

Country Link
US (1) US20210135858A1 (zh)
CN (1) CN113169862B (zh)
WO (1) WO2020051833A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113507468A (zh) * 2021-07-08 2021-10-15 上海欧冶金融信息服务股份有限公司 一种基于区块链技术的加密方法、解密方法及授权方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104519013A (zh) * 2013-09-27 2015-04-15 华为技术有限公司 保证媒体流安全性的方法、设备和系统
CN104917787A (zh) * 2014-03-11 2015-09-16 中国电信股份有限公司 基于群组密钥的文件安全共享方法和系统
CN105099693A (zh) * 2014-05-23 2015-11-25 华为技术有限公司 一种传输方法及传输装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4614377B2 (ja) * 2000-03-01 2011-01-19 キヤノン株式会社 暗号化データ管理システム及び方法、記憶媒体
DE60223603T2 (de) * 2002-09-13 2008-10-23 Telefonaktiebolaget Lm Ericsson (Publ) Sicherer broadcast-/multicast-dienst
CN100337423C (zh) * 2004-01-14 2007-09-12 哈尔滨工业大学 一种电子文档的保密、认证、权限管理与扩散控制的处理方法
CN103516516B (zh) * 2012-06-28 2017-06-16 中国电信股份有限公司 文件安全共享方法、系统
US9985782B2 (en) * 2015-11-24 2018-05-29 Red Hat, Inc. Network bound decryption with offline encryption
CN107181754A (zh) * 2017-06-06 2017-09-19 江苏信源久安信息科技有限公司 一种对网络文件加解密授权多人分享的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104519013A (zh) * 2013-09-27 2015-04-15 华为技术有限公司 保证媒体流安全性的方法、设备和系统
CN104917787A (zh) * 2014-03-11 2015-09-16 中国电信股份有限公司 基于群组密钥的文件安全共享方法和系统
CN105099693A (zh) * 2014-05-23 2015-11-25 华为技术有限公司 一种传输方法及传输装置

Also Published As

Publication number Publication date
US20210135858A1 (en) 2021-05-06
CN113169862A (zh) 2021-07-23
WO2020051833A1 (zh) 2020-03-19

Similar Documents

Publication Publication Date Title
EP3453135B1 (en) System and method for encryption and decryption based on quantum key distribution
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
US20140143541A1 (en) Method and Apparatus for Managing Encrypted Files in Network System
US20060204003A1 (en) Cryptographic communication system and method
US20130251154A1 (en) Key generating device and key generating method
US20070172069A1 (en) Domain management method and apparatus
US20160285635A1 (en) Secure communication of data between devices
US10148430B1 (en) Revocable stream ciphers for upgrading encryption in a shared resource environment
US10116442B2 (en) Data storage apparatus, data updating system, data processing method, and computer readable medium
JP6049914B2 (ja) 暗号システム、鍵生成装置及び再暗号化装置
KR101648364B1 (ko) 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법
CN111181944B (zh) 通信系统及信息发布方法、装置、介质、设备
KR101839048B1 (ko) 사물 인터넷 환경의 종단간 보안 플랫폼
CN114338005A (zh) 一种数据传输加密方法、装置、电子设备及存储介质
CN113169862B (zh) 信息处理方法、终端设备及网络系统
CN111010283B (zh) 用于生成信息的方法和装置
KR101790948B1 (ko) Drm 서비스 제공 장치 및 방법, drm 서비스를 이용한 콘텐츠 재생 장치 및 방법
JPWO2017187552A1 (ja) 属性連携装置、転送システム、属性連携方法及び属性連携プログラム
KR101701625B1 (ko) 암호화된 컨텐츠의 복호화 키를 안전하게 획득하여 컨텐츠를 재생하기 위한 방법 및 시스템
JP2018157246A (ja) 管理装置、および管理方法
WO2015107561A1 (ja) 検索システム、検索方法および検索プログラム
CN110875820A (zh) 多媒体内容保护密钥的管理方法及系统、密钥代理装置
CN111480313B (zh) 通信终端、服务器装置、记录介质
KR101597243B1 (ko) 사용자 단말 장치, 개인 정보 관리 서버,및 이들에 의한 개인 정보 관리 방법
CN117555946A (zh) 一种数据查询方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant