CN113346998A - 密钥更新及文件共享方法、装置、设备、计算机存储介质 - Google Patents

密钥更新及文件共享方法、装置、设备、计算机存储介质 Download PDF

Info

Publication number
CN113346998A
CN113346998A CN202110899392.XA CN202110899392A CN113346998A CN 113346998 A CN113346998 A CN 113346998A CN 202110899392 A CN202110899392 A CN 202110899392A CN 113346998 A CN113346998 A CN 113346998A
Authority
CN
China
Prior art keywords
target
key
timestamp
data
last
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110899392.XA
Other languages
English (en)
Other versions
CN113346998B (zh
Inventor
麻付强
徐峥
高国鲁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202110899392.XA priority Critical patent/CN113346998B/zh
Publication of CN113346998A publication Critical patent/CN113346998A/zh
Application granted granted Critical
Publication of CN113346998B publication Critical patent/CN113346998B/zh
Priority to US18/268,931 priority patent/US11824982B1/en
Priority to PCT/CN2021/134052 priority patent/WO2023010727A1/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种密钥更新及文件共享方法、装置、设备及计算机存储介质,获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对目标数据进行加密时的目标时间戳;获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于目标时间戳的上一时间戳的密钥生成参数、辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为辅助目标根密钥。本申请中,在生成目标私钥的过程中引入了身份信息及目标时间戳,而身份信息及目标时间戳属于变量信息,可以使得目标私钥难以被破解,提高了目标私钥的生成安全性。

Description

密钥更新及文件共享方法、装置、设备、计算机存储介质
技术领域
本申请涉及数据传输技术领域,更具体地说,涉及密钥更新及文件共享方法、装置、设备、计算机存储介质。
背景技术
随着云计算技术的快速发展,用户将越来越多的数据存储在云计算环境中。由于云计算环境是一个共享平台,存储在云计算环境中的数据不再受用户控制,因此被攻击者窃取的概率大大增加。为了加强云计算环境中的隐私保护和数据安全,密码技术的应用变得愈加广泛。
且在一个云加密数据系统中,用户可能会频繁的使用密钥进行加解密等操作,导致有一定概率出现密钥泄露风险。同时密钥的不安全信道传输、用户对密钥的本地化缓存或者存储、加解密过程中不合规操作、密钥管理系统遭到攻击等也会导致密钥存在泄露问题,进而导致用户数据存在被恶意窃取的风险。为了保护数据安全,可以对用户密钥进行更新,比如根据上一时刻的密钥直接生成当前时刻的密钥等。然而,此种密钥更新方法使得密钥间的联系较强,攻击者可能根据各个时刻生成的密钥推算出下一密钥,密钥安全性较低。
综上所述,如何提高密钥更新的安全性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种密钥更新方法,其能在一定程度上解决如何提高密钥更新的安全性的技术问题。本申请还提供了一种密钥更新装置及文件共享方法、装置、设备、计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种密钥更新方法,包括:
获取目标根密钥及辅助目标根密钥;
获取目标数据的数据拥有者的身份信息;
获取对所述目标数据进行加密时的目标时间戳;
获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;
基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:
对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;
对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;
基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
优选的,所述基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:
计算所述身份信息及所述目标时间戳的哈希值;
计算所述目标时间戳的辅助密钥与所述哈希值的乘积值;
将所述目标时间戳的密钥元数据的前半部分数据与所述乘积值的和值,作为所述数据拥有者的目标私钥。
优选的,所述目标私钥的类型包括目标对称密钥、目标非对称私钥;
其中,所述目标私钥为所述目标对称密钥时,所述目标根密钥为目标对称根密钥,所述辅助目标根密钥为辅助对称根密钥;所述目标私钥为所述目标非对称私钥时,所述目标根密钥为目标非对称根密钥,所述辅助目标根密钥为辅助非对称根密钥。
优选的,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥之后,还包括:
所述目标私钥为所述目标非对称私钥时,基于所述目标非对称私钥生成目标非对称公钥。
一种文件共享方法,应用于密钥管理系统,包括:
获取数据使用者在当前时间戳时的目标非对称公钥;
获取目标加密共享文件的目标时间戳;
基于密钥更新方法,确定所述目标时间戳时数据拥有者的目标非对称私钥,所述数据拥有者的目标非对称私钥对应的目标非对称公钥用于对所述数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,所述数据拥有者的目标对称密钥用于生成所述目标加密共享文件;
通过代理重加密方法,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成代理重加密密钥;
发送所述代理重加密密钥至云存储服务系统,以使所述云存储服务系统基于所述代理重加密密钥对所述加密目标对称密钥进行代理重加密,得到代理重加密数据,并将所述代理重加密数据及所述目标加密共享文件传输至所述数据使用者;
其中,所述密钥更新方法包括:获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对所述目标数据进行加密时的目标时间戳;获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
优选的,所述通过代理重加密方法,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成代理重加密密钥,包括:
通过代理重加密方法,基于代理重加密密钥生成公式,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成所述代理重加密密钥;
所述代理重加密密钥生成公式包括:
Figure 219902DEST_PATH_IMAGE001
其中,
Figure 57408DEST_PATH_IMAGE002
表示所述代理重加密密钥;
Figure 761534DEST_PATH_IMAGE003
表示所述目标时间戳,
Figure 266465DEST_PATH_IMAGE004
表示所述数据拥有者的所述目标非对称私钥;
Figure 33564DEST_PATH_IMAGE005
表示所述当前时间戳;
Figure 951841DEST_PATH_IMAGE006
表示所述数据使用者的目标非对称公钥,
Figure 56063DEST_PATH_IMAGE007
Figure 759708DEST_PATH_IMAGE008
表示所述数据使用者的目标非对称私钥,
Figure 963288DEST_PATH_IMAGE009
表示预先产生的椭圆曲线的基。
优选的,所述获取数据使用者在当前时间戳时的目标非对称公钥之前,还包括:
获取所述云存储服务系统发送的所述数据使用者的身份信息;
获取所述数据拥有者在非对称密钥的元数据上设置的授权用户信息;
判断所述数据使用者的身份信息是否在所述授权用户信息中;
若所述数据使用者的身份信息在所述授权用户信息中,则确定所述数据使用者拥有使用所述目标加密共享文件的权限,执行所述获取数据使用者在最新的目标时间戳时的目标非对称公钥的步骤。
一种密钥更新装置,包括:
第一获取模块,用于获取目标根密钥及辅助目标根密钥;
第二获取模块,用于获取目标数据的数据拥有者的身份信息;
第三获取模块,用于获取对所述目标数据进行加密时的目标时间戳;
第四获取模块,用于获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;
第一生成模块,用于基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述第一生成模块包括:
第一生成单元,用于对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;
第二生成单元,用于对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;
第三生成单元,用于基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
一种文件共享装置,应用于密钥管理系统,包括:
第五获取模块,用于获取数据使用者在当前时间戳时的目标非对称公钥;
第六获取模块,用于获取目标加密共享文件的目标时间戳;
第一确定模块,用于基于密钥更新方法,确定所述目标时间戳时数据拥有者的目标非对称私钥,所述数据拥有者的目标非对称私钥对应的目标非对称公钥用于对所述数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,所述数据拥有者的目标对称密钥用于生成所述目标加密共享文件;
第二生成模块,用于通过代理重加密方法,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成代理重加密密钥;
第一发送模块,用于发送所述代理重加密密钥至云存储服务系统,以使所述云存储服务系统基于所述代理重加密密钥对所述加密目标对称密钥进行代理重加密,得到代理重加密数据,并将所述代理重加密数据及所述目标加密共享文件传输至所述数据使用者;
其中,所述密钥更新方法包括:获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对所述目标数据进行加密时的目标时间戳;获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述方法的步骤。
本申请提供的一种密钥更新方法,获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对目标数据进行加密时的目标时间戳;获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为辅助目标根密钥。本申请中,在生成目标私钥的过程中引入了身份信息及目标时间戳,而身份信息及目标时间戳属于变量信息,可以使得基于目标时间戳的上一时间戳的密钥生成参数和辅助密钥生成目标时间戳的目标私钥的过程难以被破解,提高了目标私钥的生成安全性。本申请提供的一种密钥更新装置及文件共享方法、装置、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种密钥更新方法的第一流程图;
图2为本申请实施例提供的一种密钥更新方法的第二流程图;
图3为目标非对称私钥及目标非对称公钥的生成示意图;
图4为目标对称私钥及目标对称公钥的生成示意图;
图5为云环境的架构示意图;
图6为本申请实施例提供的一种文件共享方法的流程图;
图7为密钥管理系统的存储示意图;
图8为本申请实施例提供的一种密钥更新装置的结构示意图;
图9为本申请实施例提供的一种文件共享装置的结构示意图;
图10为本申请实施例提供的一种电子设备的结构示意图;
图11为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种密钥更新方法的第一流程图。
本申请实施例提供的一种密钥更新方法,可以包括以下步骤:
步骤S101:获取目标根密钥及辅助目标根密钥。
实际应用中,可以先获取用于生成目标私钥的目标根密钥及辅助目标根密钥,当然也可以直接生成目标根密钥及辅助目标根密钥,目标根密钥及辅助目标根密钥的生成方式可以根据实际需要确定。
具体应用场景中,为了保护目标根密钥及辅助目标根密钥的安全性,可以将目标根密钥、辅助目标根密钥保存在U盾等独立介质中,相应的,可以从U盾等独立介质中获取目标根密钥及辅助目标根密钥。
步骤S102:获取目标数据的数据拥有者的身份信息。
实际应用中,因为目标私钥一般用于对数据拥有者的数据进行加密,所以目标私钥一般属于数据拥有者自身,因此可以在目标私钥的生成过程中引入相应的数据拥有者的身份信息,也即在获取目标根密钥及辅助目标根密钥之后,可以获取目标数据的数据拥有者的身份信息。身份信息的类型可以根据实际需要确定,比如身份信息可以如用户的ID、身份证号等。
步骤S103:获取对目标数据进行加密时的目标时间戳。
实际应用中,在生成目标私钥的过程中,可以将目标私钥与时间相结合,使得生成的目标私钥是随着时间变化的,使得目标私钥更加难以被破解,也即本申请中还需获取对目标数据进行加密时的目标时间戳。
步骤S104:获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥。
实际应用中,在密钥的更新过程中,需要用到上一时间戳的私钥信息,所以在获取对目标数据进行加密时的目标时间戳之后,还需获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;且起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥,起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥。
步骤S105:基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥。
实际应用中,在获取目标时间戳的上一时间戳的密钥生成参数和辅助密钥之后,便可以基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥,以便后续应用目标私钥进行文件共享、文件加密等适应性操作。
具体应用场景中,在生成目标私钥之后,还可以基于目标私钥生成相应的目标公钥等,本申请在此不做具体限定。需要说明的是,本申请中的密钥更新方法可以以时间段为周期来运行,比如执行N次后便重新开始运行该方法,且每轮运行所用的目标根密钥及辅助目标根密钥均可以不同,本申请在此不做具体限定。
本申请提供的一种密钥更新方法,获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对目标数据进行加密时的目标时间戳;获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为辅助目标根密钥。本申请中,在生成目标私钥的过程中引入了身份信息及目标时间戳,而身份信息及目标时间戳属于变量信息,可以使得基于目标时间戳的上一时间戳的密钥生成参数和辅助密钥生成目标时间戳的目标私钥的过程难以被破解,提高了目标私钥的生成安全性。
请参阅图2,图2为本申请实施例提供的一种密钥更新方法的第二流程图。
本申请实施例提供的一种密钥更新方法,可以包括以下步骤:
步骤S201:获取目标根密钥及辅助目标根密钥。
步骤S202:获取目标数据的数据拥有者的身份信息。
步骤S203:获取对目标数据进行加密时的目标时间戳。
步骤S204:获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥。
步骤S205:对目标时间戳的上一时间戳时生成的密钥生成参数及目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成目标时间戳的密钥元数据。
实际应用中,在获取目标时间戳的上一时间戳时生成的密钥生成参数、获取目标时间戳的上一时间戳时生成的辅助密钥之后,在基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥的过程中,可以对目标时间戳的上一时间戳时生成的密钥生成参数及目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成目标时间戳的密钥元数据。
步骤S206:对目标时间戳的上一时间戳时生成的辅助密钥及目标时间戳进行哈希运算,生成目标时间戳的辅助密钥。
实际应用中,在生成目标时间戳的密钥元数据之后,便可以对目标时间戳的上一时间戳时生成的辅助密钥及目标时间戳进行哈希运算,生成目标时间戳的辅助密钥。
步骤S208:基于目标时间戳的密钥元数据的前半部分数据、目标时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥;其中,目标时间戳的上一时间戳时生成的密钥生成参数为目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
实际应用中,在生成目标时间戳的辅助密钥之后,便可以基于目标时间戳的密钥元数据的前半部分数据、目标时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥。
需要说明的是,目标时间戳的上一时间戳时生成的密钥生成参数为上一时间戳时生成的密钥元数据的后半部分数据;起始时间戳的上一时间戳时生成的密钥生成参数为目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为辅助根密钥。且本申请中的哈希算法可以为哈希消息认证码(Hash-based Message Authentication Code,HMAC)算法等。
具体应用场景中,在基于目标时间戳的密钥元数据的前半部分数据、目标时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥的过程中,可以计算身份信息及目标时间戳的哈希值;计算目标时间戳的辅助密钥与哈希值的乘积值;将目标时间戳的密钥元数据的前半部分数据与乘积值的和值,作为数据拥有者的目标私钥。
具体应用场景中,目标私钥的类型可以包括目标对称密钥、目标非对称私钥;其中,目标私钥为目标对称密钥时,目标根密钥为目标对称根密钥,辅助目标根密钥为辅助对称根密钥,辅助密钥为辅助对称密钥;目标私钥为目标非对称私钥时,目标根密钥为目标非对称根密钥,辅助目标根密钥为辅助非对称根密钥,辅助密钥为辅助非对称密钥。需要说明的是,在目标私钥为目标非对称私钥的情况下,还可以应用现有技术来根据目标非对称私钥生成相应的目标非对称公钥等,本申请在此不做具体限定。
为了便于理解,假设起始时间戳为0时刻,则目标非对称私钥及目标非对称公钥的生成过程可以如图3所示,其中,对目标非对称根密钥和辅助非对称根密钥进行HMAC运算,得到0时刻的密钥元数据,对辅助非对称根密钥及0时刻的时间戳进行哈希运算,生成0时刻的辅助密钥,也即辅助非对称密钥,计算身份信息及0时刻的时间戳的哈希值,计算0时刻的辅助密钥与哈希值的乘积值,将0时刻的密钥元数据的前半部分数据与乘积值的和值,作为数据拥有者在0时刻的目标非对称私钥,再基于目标非对称私钥确定0时刻的非对称公钥,并且将0时刻密钥元数据的后半部分数据作为0时刻的密钥生成参数;相应的,1时刻的密钥元数据可以由0时刻的密钥生成参数和0时刻的辅助非对称密钥进行HMAC得到,1时刻的辅助非对称密钥可以由0时刻辅助非对称密钥和时间信息得到,之后便可以据此确定1时刻的目标非对称私钥,依次类推,便可以得到每个时刻下的目标非对称私钥及公钥。
相应的,目标对称私钥及目标对称公钥的生成过程可以如图4所示,其中,对目标对称根密钥和辅助对称根密钥进行HMAC运算,得到0时刻的密钥元数据,对辅助对称根密钥及0时刻的时间戳进行哈希运算,生成0时刻的辅助密钥,也即辅助对称密钥,计算身份信息及0时刻的时间戳的哈希值,计算0时刻的辅助密钥与哈希值的乘积值,将0时刻的密钥元数据的前半部分数据与乘积值的和值,作为数据拥有者在0时刻的目标对称私钥,再基于目标对称私钥确定0时刻的对称公钥,并且将0时刻密钥元数据的后半部分数据作为0时刻的密钥生成参数;相应的,1时刻的密钥元数据可以由0时刻的密钥生成参数和0时刻的辅助非对称密钥进行HMAC得到,1时刻的辅助非对称密钥可以由0时刻辅助非对称密钥和时间信息得到,之后便可以据此确定1时刻的目标对称私钥,依次类推,便可以得到每个时刻下的目标非对称私钥及公钥。
在云计算环境中,云计算中用户存储的数据不仅仅是自己使用,有时需要分享给其他人使用。也即云环境中存在着大量数据共享的场景。由于数据拥有者对云服务提供商并不完全信任,不能将解密密文的密钥发送给云端,由云端来解密并分享出去。如何保证在不泄露自己私钥的前提下,安全高效地将文件分享给其他用户,成为云计算平台的研究热点。传统方案是数据拥有者自己下载密文解密后,再用数据接收方的公钥加密并分享,无疑给数据拥有者带来很大的麻烦,同时也失去了云端数据共享的意义。那么,如何保证文件能够被安全的共享是需要解决的技术问题。为了解决该技术问题,本申请实施例还提供了一种文件共享方法。
为了便于理解,现对云计算环境进行描述。请参阅图5,图5为云环境的架构示意图。在云计算环境中,密钥管理系统用于对称密钥的生成、更新、存储,非对称密钥的生成、更新、存储,代理重加密密钥的生成,对称根密钥的生成、存储,非对称根密钥的生成、存储,对称密钥的辅助密钥的生成、更新、存储,非对称密钥的辅助密钥的生成、更新、存储,对称密钥的辅助根密钥的生成、存储,非对称密钥的辅助根密钥的生成、存储。
数据拥有者负责共享文件的生成,利用密钥管理系统中产生的对称密钥对共享文件进行对称加密得到加密共享文件,利用密钥管理系统中产生的非对称密钥的公钥对对称密钥进行加密,之后将加密共享文件和加密的对称密钥上传到云存储服务系统中。需要说明的是,数据拥有者有权限下载自己上传的加密文件,解密并进行数据更新、删除等操作。在更新时,数据拥有者利用当前时间段内的更新对称密钥重新对更新文件进行加密,利用当前时间段内的更新非对称公钥重新对对称密钥进行加密,将加密的对称密钥和加密共享文件更新到云存储服务管理系统。当在云计算环境中检索共享文件时,数据拥有者可以利用公钥对文件的关键词进行加密,然后上传到云存储管理系统中,当数据拥有者搜索相应密文时,利用私钥对关键词进行加密,生成搜索陷门,上传到云存储服务器中,进行密文搜索,相应的,云存储服务系统将上传的搜索陷门和加密关键词进行密文测试,判断自身是否含有关键词所对应的文件。此外,数据拥有者在上传共享文件时,还可以在密钥管理系统中对应的非对称密钥的元数据上指定授权的共享用户,以此保证指定授权的数据使用者有权限使用共享文件,并拒绝无权限的数据使用者访问共享加密文件。
云存储服务系统用于加密数据的存储、代理重加密的执行。云存储服务系统存储数据拥有者上传的加密共享文件和相应加密的对称密钥。需要说明的是,云存储中一个大文件是由数个小文件组成,用户每次可能对某个小文件进行下载更新,因此一个大文件的每个小文件都分别记录自身最后的更新时间,用于识别对应的对称密钥和对应的非对称密钥。
请参阅图6,图6为本申请实施例提供的一种文件共享方法的流程图。
本申请实施例提供的一种文件共享方法,应用于密钥管理系统,可以包括以下步骤:
步骤S301:获取数据使用者在当前时间戳时的目标非对称公钥。
实际应用中,因为数据使用者要获取数据拥有者拥有的目标数据,且一般基于代理重加密方法进行文件共享,所以密钥管理系统需获取数据使用者在需要获取数据时,也即当前时间戳时的目标非对称公钥。
具体的,可以由云存储服务系统获取数据使用者的文件共享请求,并根据文件共享请求确定数据使用者的身份信息,将数据使用者的身份信息发送给密钥管理系统,密钥管理系统再根据数据使用者的身份信息获取数据使用者在最新的目标时间戳时的目标非对称公钥。
步骤S302:获取目标加密共享文件的目标时间戳。
实际应用中,因为数据使用者需要使用云存储服务系统中的共享文件,而共享文件是经过数据拥有者加密的,且加密所用的密钥是按照上述实施例描述的密钥更新方法进行更新的,所以密钥管理系统需获取目标加密共享文件的目标时间戳,也即获取目标加密共享文件加密时的时间戳。
步骤S303:基于密钥更新方法,确定目标时间戳时数据拥有者的目标非对称私钥,数据拥有者的目标非对称私钥对应的目标非对称公钥用于对数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,数据拥有者的目标对称密钥用于生成目标加密共享文件。
实际应用中,因为数据拥有者应用自身的对称密钥对共享文件进行加密得到加密共享文件,再应用自身的非对称公钥对对称密钥进行加密,且对称密钥、非对称公钥对应的非对称私钥均是按照密钥更新方法更新的,所以对共享文件进行加密的目标对称密钥是随着时间戳变化的,所以在获取目标加密共享文件最新的目标时间戳之后,需基于密钥更新方法,确定目标时间戳时数据拥有者的目标非对称私钥,且数据拥有者的目标非对称私钥对应的目标非对称公钥用于对数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,数据拥有者的目标对称密钥用于生成目标加密共享文件。
步骤S304:通过代理重加密方法,基于数据使用者的目标非对称公钥及数据拥有者的目标非对称私钥生成代理重加密密钥。
实际应用中,在确定目标非对称私钥之后,便可以通过代理重加密方法,基于数据使用者的目标非对称公钥及数据拥有者的目标非对称私钥生成代理重加密密钥,此过程可以参阅现有技术,本申请在此不做具体限定。比如代理重加密密钥的生成过程可以如下:
假设确定密钥所用的阶
Figure 103282DEST_PATH_IMAGE010
的椭圆曲线循环加法群为
Figure 680369DEST_PATH_IMAGE011
,其构成的双线性映射为
Figure 222209DEST_PATH_IMAGE012
;随机产生一个椭圆曲线的基
Figure 596690DEST_PATH_IMAGE013
Figure 223980DEST_PATH_IMAGE014
,双线性映射性质为
Figure 607688DEST_PATH_IMAGE015
,数据拥有者在
Figure 4034DEST_PATH_IMAGE016
时刻,也即目标时间戳时的非对称私钥为
Figure 814996DEST_PATH_IMAGE017
Figure 273790DEST_PATH_IMAGE018
,相应的非对称公钥为
Figure 930030DEST_PATH_IMAGE019
,对称密钥为
Figure 712042DEST_PATH_IMAGE020
,随机选取
Figure 428325DEST_PATH_IMAGE021
进行对称密钥加密,得到密文
Figure 233470DEST_PATH_IMAGE022
;假设数据使用者在
Figure 818035DEST_PATH_IMAGE023
Figure 61410DEST_PATH_IMAGE024
)时刻,也即当前时间戳时要获取对称密钥
Figure 338807DEST_PATH_IMAGE025
,利用对称密钥解密共享数据文件;假设数据使用者在时刻的非对称私钥为
Figure 37773DEST_PATH_IMAGE026
Figure 629292DEST_PATH_IMAGE027
,相应的非对称公钥为
Figure 854737DEST_PATH_IMAGE028
;则代理重加密密钥的生成过程可以如下:
Figure 178402DEST_PATH_IMAGE029
,其中,
Figure 754876DEST_PATH_IMAGE030
表示代理重加密密钥。
步骤S305:发送代理重加密密钥至云存储服务系统,以使云存储服务系统基于代理重加密密钥对加密目标对称密钥进行代理重加密,得到代理重加密数据,并将代理重加密数据及目标加密共享文件传输至数据使用者。
实际应用中,在生成代理重加密密钥之后,便可以发送代理重加密密钥至云存储服务系统,以使云存储服务系统基于代理重加密密钥对加密目标对称密钥进行代理重加密,得到代理重加密数据,并将代理重加密数据及目标加密共享文件传输至数据使用者。
也即,云存储服务系统在获取代理重加密密钥之后,可以应用代理重加密密钥对对加密目标对称密钥进行代理重加密,得到代理重加密数据,将代理重加密数据及目标加密共享文件传输给数据使用者;数据使用者再应用自身的目标非对称私钥对代理重加密数据进行解密,得到数据拥有者的目标对称密钥,再应用目标对称密钥对目标加密共享文件进行解密,得到相应的目标数据。
以上述代理重加密密钥的生成过程为例,云存储服务系统应用代理重加密密钥对对加密目标对称密钥进行代理重加密,其过程如下:
Figure 884506DEST_PATH_IMAGE031
,其中,
Figure 839824DEST_PATH_IMAGE032
表示代理重加密数据;
数据使用者通过公式
Figure 724604DEST_PATH_IMAGE033
来应用自身的目标非对称私钥对代理重加密数据进行解密,得到数据拥有者的目标对称密钥。
本申请实施例提供的一种文件共享方法,密钥管理系统在获取数据使用者在当前时间戳时的目标非对称公钥之前,还可以获取云存储服务系统发送的数据使用者的身份信息;获取数据拥有者在非对称密钥的元数据上设置的授权用户信息;判断数据使用者的身份信息是否在授权用户信息中;若数据使用者的身份信息在授权用户信息中,则确定数据使用者拥有使用目标加密共享文件的权限,执行获取数据使用者在最新的目标时间戳时的目标非对称公钥的步骤;若数据使用者的身份信息不在授权用户信息中,则可以确定数据使用者未拥有使用目标加密共享文件的权限,此时可以结束整个方法。
具体应用场景中,可以由密钥管理系统对整个方法中的相应参数进行保存,比如密钥管理系统可以生成根密钥及项目密钥,用根密钥对项目密钥进行加密,用项目密钥对相应参数进行加密,比如用项目密钥对非对称根密钥、对称根密钥、辅助非对称根密钥等进行加密,且为了避免保存的密钥信息过程,密钥管理系统可以只对当前时刻的前n个密钥进行保存等,其过程可以如图7所示。
请参阅图8,图8为本申请实施例提供的一种密钥更新装置的结构示意图。
本申请实施例提供的一种密钥更新装置,可以包括:
第一获取模块101,用于获取目标根密钥及辅助目标根密钥;
第二获取模块102,用于获取目标数据的数据拥有者的身份信息;
第三获取模块103,用于获取对目标数据进行加密时的目标时间戳;
第四获取模块104,用于获取目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;
第一生成模块105,用于基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥;
其中,起始时间戳的上一时间戳时生成的密钥生成参数为目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为辅助目标根密钥。
本申请实施例提供的一种密钥更新装置,第一生成模块可以包括:
第一生成单元,用于对目标时间戳的上一时间戳时生成的密钥生成参数及目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成目标时间戳的密钥元数据;
第二生成单元,用于对目标时间戳的上一时间戳时生成的辅助密钥及目标时间戳进行哈希运算,生成目标时间戳的辅助密钥;
第三生成单元,用于基于目标时间戳的密钥元数据的前半部分数据、目标时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥;
其中,目标时间戳的上一时间戳时生成的密钥生成参数为目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
本申请实施例提供的一种密钥更新装置,第三生成单元可以具体用于:
计算身份信息及目标时间戳的哈希值;
计算目标时间戳的辅助密钥与哈希值的乘积值;
将目标时间戳的密钥元数据的前半部分数据与乘积值的和值,作为数据拥有者的目标私钥。
本申请实施例提供的一种密钥更新装置,目标私钥的类型包括目标对称密钥、目标非对称私钥;
其中,目标私钥为目标对称密钥时,目标根密钥为目标对称根密钥,辅助目标根密钥为辅助对称根密钥;目标私钥为目标非对称私钥时,目标根密钥为目标非对称根密钥,辅助目标根密钥为辅助非对称根密钥。
本申请实施例提供的一种密钥更新装置,还可以包括:
公钥生成模块,用于第一生成模块基于目标时间戳的上一时间戳的密钥生成参数、目标时间戳的上一时间戳的辅助密钥、身份信息及目标时间戳生成数据拥有者的目标私钥之后,当目标私钥为目标非对称私钥时,基于目标非对称私钥生成目标非对称公钥。
请参阅图9,图9为本申请实施例提供的一种文件共享装置的结构示意图。
本申请实施例提供的一种文件共享装置,应用于密钥管理系统,可以包括:
第四获取模块201,用于获取数据使用者在当前时间戳时的目标非对称公钥;
第五获取模块202,用于获取目标加密共享文件的目标时间戳;
第一确定模块203,用于基于密钥更新方法,确定目标时间戳时数据拥有者的目标非对称私钥,数据拥有者的目标非对称私钥对应的目标非对称公钥用于对数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,数据拥有者的目标对称密钥用于生成目标加密共享文件;
第二生成模块204,用于通过代理重加密方法,基于数据使用者的目标非对称公钥及数据拥有者的目标非对称私钥生成代理重加密密钥;
第一发送模块205,用于发送代理重加密密钥至云存储服务系统,以使云存储服务系统基于代理重加密密钥对加密目标对称密钥进行代理重加密,得到代理重加密数据,并将代理重加密数据及目标加密共享文件传输至数据使用者。
本申请实施例提供的一种文件共享装置,应用于密钥管理系统,第二生成模块可以具体用于:
通过代理重加密方法,基于代理重加密密钥生成公式,基于数据使用者的目标非对称公钥及数据拥有者的目标非对称私钥生成代理重加密密钥;
代理重加密密钥生成公式包括:
Figure 398161DEST_PATH_IMAGE034
其中,
Figure 128220DEST_PATH_IMAGE035
表示所述代理重加密密钥;
Figure 610148DEST_PATH_IMAGE036
表示所述目标时间戳,
Figure 665829DEST_PATH_IMAGE037
表示所述数据拥有者的所述目标非对称私钥;
Figure 826683DEST_PATH_IMAGE038
表示所述当前时间戳;
Figure 94853DEST_PATH_IMAGE039
表示所述数据使用者的目标非对称公钥,
Figure 352659DEST_PATH_IMAGE040
Figure 186098DEST_PATH_IMAGE041
表示所述数据使用者的目标非对称私钥,
Figure 693303DEST_PATH_IMAGE042
表示预先产生的椭圆曲线的基。
本申请实施例提供的一种文件共享装置,应用于密钥管理系统,还可以包括:
第六获取模块,用于第四获取模块获取数据使用者在最新的目标时间戳时的目标非对称公钥之前,获取云存储服务系统发送的数据使用者的身份信息;
第七获取模块,用于获取数据拥有者在非对称密钥的元数据上设置的授权用户信息;
第一判断模块,用于判断数据使用者的身份信息是否在授权用户信息中;若数据使用者的身份信息在授权用户信息中,则确定数据使用者拥有使用目标加密共享文件的权限,提示第四获取模块执行获取数据使用者在最新的目标时间戳时的目标非对称公钥的步骤。
本申请还提供了一种电子设备及计算机可读存储介质,其均具有本申请实施例提供的一种密钥更新及文件共享方法具有的对应效果。请参阅图10,图10为本申请实施例提供的一种电子设备的结构示意图。
本申请实施例提供的一种电子设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行计算机程序时实现如上任一实施例所描述的步骤。
请参阅图11,本申请实施例提供的另一种电子设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现电子设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如上任一实施例所描述方法的步骤,
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的一种密钥更新及文件共享装置、电子设备、计算机可读存储介质中相关部分的说明请参见本申请实施例提供的一种密钥更新及文件共享方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (11)

1.一种密钥更新方法,其特征在于,包括:
获取目标根密钥及辅助目标根密钥;
获取目标数据的数据拥有者的身份信息;
获取对所述目标数据进行加密时的目标时间戳;
获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;
基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:
对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;
对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;
基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
2.根据权利要求1所述的方法,其特征在于,所述基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:
计算所述身份信息及所述目标时间戳的哈希值;
计算所述目标时间戳的辅助密钥与所述哈希值的乘积值;
将所述目标时间戳的密钥元数据的前半部分数据与所述乘积值的和值,作为所述数据拥有者的目标私钥。
3.根据权利要求2所述的方法,其特征在于,所述目标私钥的类型包括目标对称密钥、目标非对称私钥;
其中,所述目标私钥为所述目标对称密钥时,所述目标根密钥为目标对称根密钥,所述辅助目标根密钥为辅助对称根密钥;所述目标私钥为所述目标非对称私钥时,所述目标根密钥为目标非对称根密钥,所述辅助目标根密钥为辅助非对称根密钥。
4.根据权利要求3所述的方法,其特征在于,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥之后,还包括:
所述目标私钥为所述目标非对称私钥时,基于所述目标非对称私钥生成目标非对称公钥。
5.一种文件共享方法,其特征在于,应用于密钥管理系统,包括:
获取数据使用者在当前时间戳时的目标非对称公钥;
获取目标加密共享文件的目标时间戳;
基于密钥更新方法,确定所述目标时间戳时数据拥有者的目标非对称私钥,所述数据拥有者的目标非对称私钥对应的目标非对称公钥用于对所述数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,所述数据拥有者的目标对称密钥用于生成所述目标加密共享文件;
通过代理重加密方法,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成代理重加密密钥;
发送所述代理重加密密钥至云存储服务系统,以使所述云存储服务系统基于所述代理重加密密钥对所述加密目标对称密钥进行代理重加密,得到代理重加密数据,并将所述代理重加密数据及所述目标加密共享文件传输至所述数据使用者;
其中,所述密钥更新方法包括:获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对所述目标数据进行加密时的目标时间戳;获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
6.根据权利要求5所述的方法,其特征在于,所述通过代理重加密方法,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成代理重加密密钥,包括:
通过代理重加密方法,基于代理重加密密钥生成公式,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成所述代理重加密密钥;
所述代理重加密密钥生成公式包括:
Figure 307952DEST_PATH_IMAGE001
其中,
Figure 952560DEST_PATH_IMAGE002
表示所述代理重加密密钥;
Figure 284315DEST_PATH_IMAGE003
表示所述目标时间戳,
Figure 243044DEST_PATH_IMAGE004
表示所述数据拥有者的所述目标非对称私钥;
Figure 835699DEST_PATH_IMAGE005
表示所述当前时间戳;
Figure 526575DEST_PATH_IMAGE006
表示所述数据使用者的目标非对称公钥,
Figure 735839DEST_PATH_IMAGE007
Figure 170363DEST_PATH_IMAGE008
表示所述数据使用者的目标非对称私钥,
Figure 883104DEST_PATH_IMAGE009
表示预先产生的椭圆曲线的基。
7.根据权利要求5所述的方法,其特征在于,所述获取数据使用者当前时间戳时的目标非对称公钥之前,还包括:
获取所述云存储服务系统发送的所述数据使用者的身份信息;
获取所述数据拥有者在非对称密钥的元数据上设置的授权用户信息;
判断所述数据使用者的身份信息是否在所述授权用户信息中;
若所述数据使用者的身份信息在所述授权用户信息中,则确定所述数据使用者拥有使用所述目标加密共享文件的权限,执行所述获取数据使用者在最新的目标时间戳时的目标非对称公钥的步骤。
8.一种密钥更新装置,其特征在于,包括:
第一获取模块,用于获取目标根密钥及辅助目标根密钥;
第二获取模块,用于获取目标数据的数据拥有者的身份信息;
第三获取模块,用于获取对所述目标数据进行加密时的目标时间戳;
第四获取模块,用于获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;
第一生成模块,用于基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述第一生成模块包括:
第一生成单元,用于对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;
第二生成单元,用于对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;
第三生成单元,用于基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;
其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
9.一种文件共享装置,其特征在于,应用于密钥管理系统,包括:
第五获取模块,用于获取数据使用者在当前时间戳时的目标非对称公钥;
第六获取模块,用于获取目标加密共享文件的目标时间戳;
第一确定模块,用于基于密钥更新方法,确定所述目标时间戳时数据拥有者的目标非对称私钥,所述数据拥有者的目标非对称私钥对应的目标非对称公钥用于对所述数据拥有者的目标对称密钥进行加密得到加密目标对称密钥,所述数据拥有者的目标对称密钥用于生成所述目标加密共享文件;
第二生成模块,用于通过代理重加密方法,基于所述数据使用者的目标非对称公钥及所述数据拥有者的所述目标非对称私钥生成代理重加密密钥;
第一发送模块,用于发送所述代理重加密密钥至云存储服务系统,以使所述云存储服务系统基于所述代理重加密密钥对所述加密目标对称密钥进行代理重加密,得到代理重加密数据,并将所述代理重加密数据及所述目标加密共享文件传输至所述数据使用者;
其中,所述密钥更新方法包括:获取目标根密钥及辅助目标根密钥;获取目标数据的数据拥有者的身份信息;获取对所述目标数据进行加密时的目标时间戳;获取所述目标时间戳的上一时间戳时生成的密钥生成参数和辅助密钥;基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,起始时间戳的上一时间戳时生成的密钥生成参数为所述目标根密钥;起始时间戳的上一时间戳时生成的辅助密钥为所述辅助目标根密钥;
其中,所述基于所述目标时间戳的上一时间戳的密钥生成参数、所述目标时间戳的上一时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥,包括:对所述目标时间戳的上一时间戳时生成的密钥生成参数及所述目标时间戳的上一时间戳时生成的辅助密钥进行哈希运算,生成所述目标时间戳的密钥元数据;对所述目标时间戳的上一时间戳时生成的辅助密钥及所述目标时间戳进行哈希运算,生成所述目标时间戳的辅助密钥;基于所述目标时间戳的密钥元数据的前半部分数据、所述目标时间戳的辅助密钥、所述身份信息及所述目标时间戳生成所述数据拥有者的目标私钥;其中,所述目标时间戳的上一时间戳时生成的密钥生成参数为所述目标时间戳的上一时间戳时生成的密钥元数据的后半部分数据。
10.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。
CN202110899392.XA 2021-08-06 2021-08-06 密钥更新及文件共享方法、装置、设备、计算机存储介质 Active CN113346998B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202110899392.XA CN113346998B (zh) 2021-08-06 2021-08-06 密钥更新及文件共享方法、装置、设备、计算机存储介质
US18/268,931 US11824982B1 (en) 2021-08-06 2021-11-29 Key updating method and apparatus, file sharing method and apparatus, device, and computer storage medium
PCT/CN2021/134052 WO2023010727A1 (zh) 2021-08-06 2021-11-29 密钥更新及文件共享方法、装置、设备、计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110899392.XA CN113346998B (zh) 2021-08-06 2021-08-06 密钥更新及文件共享方法、装置、设备、计算机存储介质

Publications (2)

Publication Number Publication Date
CN113346998A true CN113346998A (zh) 2021-09-03
CN113346998B CN113346998B (zh) 2021-10-15

Family

ID=77481217

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110899392.XA Active CN113346998B (zh) 2021-08-06 2021-08-06 密钥更新及文件共享方法、装置、设备、计算机存储介质

Country Status (3)

Country Link
US (1) US11824982B1 (zh)
CN (1) CN113346998B (zh)
WO (1) WO2023010727A1 (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113890730A (zh) * 2021-09-23 2022-01-04 上海华兴数字科技有限公司 数据传输方法及系统
CN114553412A (zh) * 2022-02-28 2022-05-27 百果园技术(新加坡)有限公司 一种数据传输方法、装置、设备及存储介质
CN114697099A (zh) * 2022-03-24 2022-07-01 浪潮云信息技术股份公司 一种基于椭圆曲线加密算法的多方授权认证方案
CN115361130A (zh) * 2022-10-17 2022-11-18 北京安盟信息技术股份有限公司 云环境下租户托管密钥更新的方法、系统、介质及设备
WO2023010727A1 (zh) * 2021-08-06 2023-02-09 苏州浪潮智能科技有限公司 密钥更新及文件共享方法、装置、设备、计算机存储介质
CN115865533A (zh) * 2023-02-27 2023-03-28 蓝象智联(杭州)科技有限公司 高并发场景下代理重加密管理方法、装置及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117235682B (zh) * 2023-11-15 2024-05-28 张家港金典软件有限公司 一种基于智能企业管理平台的企业数据共享方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080154966A1 (en) * 2006-05-04 2008-06-26 Gerhard Geldenbott Extended efficient usage of emergency services keys
CN104009837A (zh) * 2014-04-28 2014-08-27 小米科技有限责任公司 密钥更新方法、装置及终端
CN104796260A (zh) * 2015-04-03 2015-07-22 北京航空航天大学 一种满足前向安全的短密文身份基加密方法
CN111526197A (zh) * 2020-04-24 2020-08-11 远光软件股份有限公司 一种云端数据安全共享方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8532266B2 (en) * 2006-05-04 2013-09-10 Telecommunication Systems, Inc. Efficient usage of emergency services keys
US20130124870A1 (en) * 2011-11-16 2013-05-16 Certicom Corp. Cryptographic document processing in a network
WO2015193945A1 (ja) * 2014-06-16 2015-12-23 富士通株式会社 更新プログラム及び方法、及び、管理プログラム及び方法
WO2016112290A1 (en) 2015-01-09 2016-07-14 Interdigital Technology Corporation Scalable policy based execution of multi-factor authentication
CN110958219B (zh) 2019-10-21 2021-01-26 武汉大学 一种面向医疗云共享数据的sm2代理重加密方法与装置
CN110719295B (zh) 2019-10-21 2020-12-29 武汉大学 一种基于身份的面向食品数据安全的代理重加密方法与装置
US11522684B2 (en) * 2020-09-24 2022-12-06 Capital One Services, Llc Key rotation service
US20220417028A1 (en) * 2021-06-28 2022-12-29 Synamedia Limited Methods, Systems, and Devices for Server Control of Client Authorization Proof of Possession
CN113346998B (zh) 2021-08-06 2021-10-15 苏州浪潮智能科技有限公司 密钥更新及文件共享方法、装置、设备、计算机存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080154966A1 (en) * 2006-05-04 2008-06-26 Gerhard Geldenbott Extended efficient usage of emergency services keys
CN104009837A (zh) * 2014-04-28 2014-08-27 小米科技有限责任公司 密钥更新方法、装置及终端
CN104796260A (zh) * 2015-04-03 2015-07-22 北京航空航天大学 一种满足前向安全的短密文身份基加密方法
CN111526197A (zh) * 2020-04-24 2020-08-11 远光软件股份有限公司 一种云端数据安全共享方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨珂: "云存储中的代理重加密技术研究", 《西南民族大学学报》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023010727A1 (zh) * 2021-08-06 2023-02-09 苏州浪潮智能科技有限公司 密钥更新及文件共享方法、装置、设备、计算机存储介质
US11824982B1 (en) 2021-08-06 2023-11-21 Inspur Suzhou Intelligent Technology Co., Ltd. Key updating method and apparatus, file sharing method and apparatus, device, and computer storage medium
CN113890730A (zh) * 2021-09-23 2022-01-04 上海华兴数字科技有限公司 数据传输方法及系统
CN114553412A (zh) * 2022-02-28 2022-05-27 百果园技术(新加坡)有限公司 一种数据传输方法、装置、设备及存储介质
CN114553412B (zh) * 2022-02-28 2024-02-23 百果园技术(新加坡)有限公司 一种数据传输方法、装置、设备及存储介质
CN114697099A (zh) * 2022-03-24 2022-07-01 浪潮云信息技术股份公司 一种基于椭圆曲线加密算法的多方授权认证方案
CN114697099B (zh) * 2022-03-24 2024-05-17 浪潮云信息技术股份公司 一种基于椭圆曲线加密算法的多方授权认证方法
CN115361130A (zh) * 2022-10-17 2022-11-18 北京安盟信息技术股份有限公司 云环境下租户托管密钥更新的方法、系统、介质及设备
CN115361130B (zh) * 2022-10-17 2023-01-10 北京安盟信息技术股份有限公司 云环境下租户托管密钥更新的方法、系统、介质及设备
CN115865533A (zh) * 2023-02-27 2023-03-28 蓝象智联(杭州)科技有限公司 高并发场景下代理重加密管理方法、装置及存储介质

Also Published As

Publication number Publication date
US11824982B1 (en) 2023-11-21
WO2023010727A1 (zh) 2023-02-09
CN113346998B (zh) 2021-10-15

Similar Documents

Publication Publication Date Title
CN113346998B (zh) 密钥更新及文件共享方法、装置、设备、计算机存储介质
CN107959567B (zh) 数据存储方法、数据获取方法、装置及系统
CN109583217B (zh) 一种互联网电商平台用户隐私数据加密及解密方法
CN113691502B (zh) 通信方法、装置、网关服务器、客户端及存储介质
CN105577379A (zh) 一种信息处理方法及装置
CN106790045B (zh) 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法
JP2010514000A (ja) 電子装置にプログラム状態データをセキュアに記憶するための方法
CN114157415A (zh) 数据处理方法、计算节点、系统、计算机设备和存储介质
CN113347143B (zh) 一种身份验证方法、装置、设备及存储介质
CN113190860B (zh) 一种基于环签名的区块链传感器数据认证方法及系统
CN108270574B (zh) 一种白名单库文件的安全加载方法及装置
CN114679340B (zh) 一种文件共享方法、系统、设备及可读存储介质
CN107026730B (zh) 数据处理方法、装置及系统
CN113301036A (zh) 通信加密方法和装置、设备及存储介质
CN107872315B (zh) 数据处理方法和智能终端
CN114173294A (zh) 一种非对等短信传输方法、系统、设备及计算机存储介质
CN116136911A (zh) 一种数据访问方法及装置
CN117041956A (zh) 通信认证方法、装置、计算机设备和存储介质
CN113824713B (zh) 一种密钥生成方法、系统及存储介质
JP6939313B2 (ja) 分散認証システム
US9135449B2 (en) Apparatus and method for managing USIM data using mobile trusted module
CN107872312B (zh) 对称密钥动态生成方法、装置、设备及系统
WO2018043466A1 (ja) データ抽出システム、データ抽出方法、登録装置及びプログラム
CN114553557A (zh) 密钥调用方法、装置、计算机设备和存储介质
CN111431846B (zh) 数据传输的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant