CN113360886A - 一种加密数据共享的方法、装置、设备及可读介质 - Google Patents
一种加密数据共享的方法、装置、设备及可读介质 Download PDFInfo
- Publication number
- CN113360886A CN113360886A CN202110442814.0A CN202110442814A CN113360886A CN 113360886 A CN113360886 A CN 113360886A CN 202110442814 A CN202110442814 A CN 202110442814A CN 113360886 A CN113360886 A CN 113360886A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- owner
- user
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000005540 biological transmission Effects 0.000 claims description 20
- 238000005516 engineering process Methods 0.000 claims description 17
- 238000013475 authorization Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 7
- 238000007726 management method Methods 0.000 description 82
- 239000003795 chemical substances by application Substances 0.000 description 34
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 230000002457 bidirectional effect Effects 0.000 description 9
- 238000013500 data storage Methods 0.000 description 5
- 239000011159 matrix material Substances 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000011217 control strategy Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种加密数据共享的方法、装置、设备及可读介质,包括:接收数据拥有者发送的共享数据请求,并根据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;根据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥;基于数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心;以及响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,基于代理重加密密钥对加密数据进行重加密以得到重加密数据;获取数据使用者的数据使用者私钥,并基于数据使用者私钥对重加密数据进行解密以得到共享数据。
Description
技术领域
本发明涉及数据共享技术领域,尤其涉及一种加密数据共享的方法、装置、设备及可读介质。
背景技术
随着云计算的发展,用户不再直接控制云平台的硬件资源,而是直接使用云计算环境中的服务,即用户的数据和程序运行在云计算环境中。用户失去了对云计算平台的直接控制,导致云平台中数据的管理权属于服务提供商所有。因此在云计算环境中,用户数据和程序的安全性越来越重要。
由于云服务提供商提供的数据存储和数据处理服务并不能完全值得信任,云服务提供商可能会在未经用户允许的情况下,擅自窃取用户的隐私数据。为了保障云计算环境中数据传输、数据存储、用户访问、业务操作等安全,密码技术作为保证云计算平台安全的核心技术在云计算环境中发挥越来越重要的作用。与密码技术相关的密钥管理系统KMS是保证云计算平台安全的基础,提供密钥的安全托管及密码运算等服务。用户可以通过密钥管理系统,更加专注于云计算环境中的数据加解密、数据传输、电子签名等业务功能,而无需花费大量成本保证自身密钥的安全性。
因此云计算平台中数据存储常常采用密钥管理系统的密钥进行加密存储。但是云计算中用户存储的数据不仅仅是自己使用,有时候需要分享给其他人使用。如何保证不泄露自己私钥的前提下,安全高效地将文件分享给其他用户,成为云计算平台的研究热点。
现有代理重加密系统中,代理服务器不具有密钥存储、更新、销毁等功能。现在云计算系统中基于代理重加密的加密数据共享方案,都是居于可信第三方密钥生成中心,其自身只具有密钥的产生功能,不具有密钥的安全存储、更新、销毁、执行等功能,导致密钥在使用过程中存在泄露风险。
现有的云计算系统中,不同服务之间密钥传输仅仅采用SSL传输加密,无法保证密钥传输的安全性。密钥一旦离开密钥管理系统就处于不安全状态,密钥在使用过程中泄露,不仅导致密钥所保护的的数据处于不安全状态,同时还可能导致密钥管理系统处于被攻击的状态。
现有云计算平台包括身份认证与访问控制服务、计算服务、存储服务、网络服务、密钥管理系统服务等。目前密钥管理系统仅支持密钥的生成、存储、更新、销毁、简单加解密运算等,不具有对代理重加密功能的支持。
发明内容
有鉴于此,本发明实施例的目的在于提出一种加密数据共享的方法、装置、设备及可读介质,通过代理重加密技术实现对加密数据的共享问题,用户密钥、代理重加密密钥都存储在密钥管理系统中,密钥在不同服务之间采用SGX技术进行数据传输,能够极大提高云计算环境中用户数据的安全保护能力。
基于上述目的,本发明实施例的一方面提供了一种加密数据共享的方法,包括以下步骤:接收数据拥有者发送的共享数据请求,并根据共享数据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;根据共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥;基于数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储;以及响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,基于代理重加密密钥对加密数据进行重加密以得到重加密数据;获取数据使用者的数据使用者私钥,并基于数据使用者私钥对重加密数据进行解密以得到共享数据。
在一些实施方式中,还包括在密钥管理系统执行以下步骤:基于项目密钥加密或解密至少一个用户密钥,用户密钥包括数据拥有者密钥和/或数据使用者密钥;基于共享项目密钥加密或解密至少一个代理重加密密钥;基于参数密钥加密或解密至少一个代理主密钥和对应的至少一个代理公开参数;基于系统主密钥加密或解密全部项目密钥、全部共享项目密钥和全部参数密钥。
在一些实施方式中,接收数据拥有者发送的共享数据请求包括:由云计算系统接收数据拥有者的登录请求,并基于登录请求对数据拥有者进行身份认证;响应于数据拥有者身份验证通过,向数据拥有者分配授权令牌;由密钥管理系统接收数据拥有者的数据共享请求。
在一些实施方式中,根据共享数据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥包括:判断数据拥有者是否创建对应的项目密钥,若是数据拥有者未创建对应的项目密钥,创建对应的项目密钥;判断数据拥有者是否创建对应的参数密钥,若是数据拥有者未创建对应的参数密钥,创建对应的参数密钥;判断数据拥有者是否创建对应的代理主密钥和对应的代理公开参数,若是数据拥有者未创建对应的代理主密钥和对应的代理公开参数,创建对应的代理主密钥和对应代理公开参数;基于数据拥有者的身份标识创建数据拥有者公钥,并基于数据拥有者公钥、对应的代理主密钥和对应的代理公开参数生成数据拥有者私钥;基于项目密钥对数据拥有者公钥和数据拥有者私钥进行加密,并存储在密钥管理系统中;基于参数密钥对对应的代理主密钥和对应的代理公开参数进行加密,并存储在密钥管理系统中,由密钥管理系统存储系统主密钥,并基于系统主密钥对项目密钥、共享项目密钥和参数密钥进行加密,并存储在密钥管理系统中。
在一些实施方式中,根据共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥包括:获取数据拥有者对应的代理主密钥和对应的代理公开参数;基于数据使用者公钥、数据拥有者私钥、对应的代理主密钥和对应的代理公开参数生成代理重加密密钥。
在一些实施方式中,响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据包括:响应于接收到用户获取共享数据请求,由数据处理中心基于获取共享数据请求,获取对应的加密数据,并从密钥管理系统获取对应的代理重加密密钥;由密钥管理系统判断用户是否为共享数据的数据拥有者规定的数据使用者;若是用户为共享数据的数据拥有者规定的数据使用者,将对应的代理重加密密钥发送给数据处理中心。
在一些实施方式中,数据拥有者的客户端、数据使用者的客户端、密钥管理系统和数据处理中心中任意两者之间通过各自的安全接口进行双向认证,并基于SGX技术进行数据传输。
在一些实施方式中,还包括:数据使用者对共享数据进行更新,并将更新后的数据作为新的共享数据以新的数据拥有者进行数据共享。
本发明实施例的另一方面,还提供了一种加密数据共享的装置,包括:第一模块,配置用于接收数据拥有者发送的共享数据请求,并根据共享数据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;第二模块,配置用于根据共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥;第三模块,配置用于基于数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储;以及第四模块,配置用于响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,基于代理重加密密钥对加密数据进行重加密以得到重加密数据;第五模块,配置用于获取数据使用者的数据使用者私钥,并基于数据使用者私钥对重加密数据进行解密以得到共享数据。
本发明实施例的再一方面,还提供了一种计算机设备,包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述方法的步骤。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有被处理器执行时实现如上方法步骤的计算机程序。
本发明具有以下有益技术效果:通过代理重加密技术实现对加密数据的共享问题,用户密钥、代理重加密密钥都存储在密钥管理系统中,密钥在不同服务之间采用SGX技术进行数据传输,能够极大提高云计算环境中用户数据的安全保护能力。
采用密钥管理系统作为密钥的产生与存储中心,将密钥存储在密钥管理系统中,用户自己不需要保存私钥,保证了密钥的安全性。同时系统中有身份认证与访问控制组件,保证系统的安全性。
在密钥传输两端采用SGX技术建立安全传输接口,保证密钥在不可信网络环境中实现安全传输。
采用密钥管理系统作为密钥的产生与存储中心,将密钥存储在密钥管理系统中,用户自己不需要保存私钥,保证了密钥的安全性。同时系统中存在身份认证与访问控制组件,保证系统的安全性。
将代理重加密的密钥功能集成到密钥管理系统中,丰富其使用范围。
对加密数据的签名验证采用Hash值和HMAC值相结合的方式,防止数据被非法篡改。
重新构造密钥管理系统的存储方式,添加了共享项目密钥和参数密钥,使得密钥管理系统更加灵活方便。
采用基于身份ID的密钥构造方法,不需要采用公钥证书,不需要单独生成用户公钥。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明提供的加密数据共享的方法的实施例的示意图;
图2为本发明提供的加密数据共享的方法的实施例的系统示意图;
图3为本发明提供的加密数据共享的装置的实施例的示意图;
图4为本发明提供的计算机设备的实施例的示意图;
图5为本发明提供的计算机可读存储介质的实施例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了加密数据共享的方法的实施例。图1示出的是本发明提供的加密数据共享的方法的实施例的示意图。如图1所示,本发明实施例包括如下步骤:
S01、接收数据拥有者发送的共享数据请求,并根据共享数据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;
S02、根据共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥;
S03、基于数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储;以及
S04、响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,基于代理重加密密钥对加密数据进行重加密以得到重加密数据;
S05、获取数据使用者的数据使用者私钥,并基于数据使用者私钥对重加密数据进行解密以得到共享数据。
在本实施例中,图2示出的是本发明提供的加密数据共享的方法的实施例的系统示意图。如图2所示,包括数据拥有者客户端100、数据使用者客户端200、密钥管理系统300、数据处理中心400、数据存储中心500、身份认证与访问控制系统600。密钥管理系统中密钥包括对称密钥、非对称密钥、短秘密、证书等秘密。密钥管理系统包括密钥的生成、存储、更新、销毁以及实现用户的代理重加密密钥产生等功能。密钥管理系统具有根据用户身份标识(身份ID)的密钥生成功能。密钥管理系统还包括基于SGX的安全数据传输通道功能。密钥管理系统还包括基于身份的代理重加密密钥生成模块,代理重加密密钥的临时存储模块,代理重加密密钥销毁模块。
在本发明的一些实施例中,还包括在密钥管理系统执行以下步骤:基于项目密钥加密或解密至少一个用户密钥,用户密钥包括数据拥有者密钥和/或数据使用者密钥;基于共享项目密钥加密或解密至少一个代理重加密密钥;基于参数密钥加密或解密至少一个代理主密钥和对应的至少一个代理公开参数;基于系统主密钥加密或解密全部项目密钥、全部共享项目密钥和全部参数密钥。
在本实施例中,根据密钥管理系统的分级管理规则,系统主密钥加密项目密钥、共享项目密钥、参数密钥。项目密钥加密用户密钥,其中项目密钥根据访问策略只允许有访问权限的用户访问。共享项目密钥加密代理重加密密钥,其中项目密钥允许有访问密钥管理系统的所有用户访问,所以代理重加密密钥为密钥管理系统中共享部分。参数密钥加密代理主密钥和代理公开密钥,参数密钥根据访问策略只允许有访问权限的用户访问。其中由于用户ID在授权令牌中绑定,因此每个用户只能创建属于自己的私钥。密钥管理系统中根据策略不同,可以加密多个项目密钥,多个共享密钥,多个参数密钥。每个项目密钥下可以加密多个用户密钥。每个共享密钥项目可以创建多个代理重加密密钥。每个参数密钥下可以加密多个代理主密钥,多个代理公开参数。为了保证数据的安全性,每个用户可以根据数据的不同创建多个代理主密钥和多个代理公开参数,这样保证用户拥有一个公开的公钥,多个不同的用户私钥,可以为不同数据加密,实现不同数据间的安全隔离。同时针对同一个加密数据,数据拥有者和数据使用者之间使用相同的代理主密钥和代理公开参数,保证代理重加密的正常执行。数据拥有者和数据使用者的用户密钥可以在同一个项目下,用同一个项目密钥加密;也可以在不同的项目密钥下面,用不同的项目密钥加密。
在本发明的一些实施例中,接收数据拥有者发送的共享数据请求包括:由云计算系统接收数据拥有者的登录请求,并基于登录请求对数据拥有者进行身份认证;响应于数据拥有者身份验证通过,向数据拥有者分配授权令牌;由密钥管理系统接收数据拥有者的数据共享请求。
在本实施例中,数据拥有者在登录云计算系统时,首先通过身份认证与访问控制服务的身份验证,获得访问云计算系统中其他服务的授权令牌。数据拥有者访问密钥管理系统,数据拥有者的客户端和密钥管理系统之间利用安全接口实现双向安全认证,确保双方平台的可信性,确定会话密钥,建立安全传输通道。两者之间利用安全接口实现双向认证方法包括,利用双方互相已知的公钥证书建立可信的传输通道,或者intel的软件防护扩展SGX技术实现双向安全认证,并建立安全的会话密钥。数据拥有者利用会话密钥将访问请求发送到密钥管理系统,密钥管理系统通过访问控制策略验证数据拥有者的授权令牌中的访问权限。
在本发明的一些实施例中,根据共享数据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥包括:判断数据拥有者是否创建对应的项目密钥,若是数据拥有者未创建对应的项目密钥,创建对应的项目密钥;判断数据拥有者是否创建对应的参数密钥,若是数据拥有者未创建对应的参数密钥,创建对应的参数密钥;判断数据拥有者是否创建对应的代理主密钥和对应的代理公开参数,若是数据拥有者未创建对应的代理主密钥和对应的代理公开参数,创建对应的代理主密钥和对应代理公开参数;基于数据拥有者的身份标识创建数据拥有者公钥,并基于数据拥有者公钥、对应的代理主密钥和对应的代理公开参数生成数据拥有者私钥;基于项目密钥对数据拥有者公钥和数据拥有者私钥进行加密,并存储在密钥管理系统中;基于参数密钥对对应的代理主密钥和对应的代理公开参数进行加密,并存储在密钥管理系统中,由密钥管理系统存储系统主密钥,并基于系统主密钥对项目密钥、共享项目密钥和参数密钥进行加密,并存储在密钥管理系统中心。
在本实施例中,密钥管理系统提取数据拥有者的访问请求中创建数据加密密钥命令。如图2所示,首先确认数据拥有者所在项目组是否已经创建项目密钥。如果项目密钥不存在,则密钥管理系统创建项目密钥。若存在,在确认是否已经创建参数密钥。如不存在,则创建参数密钥。然后确认是否创建相应的代理主密钥和对应的代理公开参数。如果不存在,创建相应的代理主密钥和对应的代理公开参数。然后密钥管理系统根据数据拥有者的身份ID和代理主密钥和代理公开参数创建数据拥有者的私钥。其中公钥为数据拥有者ID。将数据拥有者的公钥和私钥作为一对密钥利用项目密钥加密,存储在密钥管理系统中。数据拥有者的ID和私钥和代理主密钥和代理公开参数存在对应关系。
在本发明的一些实施例中,根据共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥包括:获取数据拥有者对应的代理主密钥和对应的代理公开参数;基于数据使用者公钥、数据拥有者私钥、对应的代理主密钥和对应的代理公开参数生成代理重加密密钥。
在本实施例中,数据拥有者需要将加密数据进行分享,密钥管理系统提取数据拥有者请求中包含的数据使用者的集合ID。密钥管理系统根据数据使用的ID(公钥)、数据拥有者的私钥、代理主密钥、代理公开参数创建代理重加密密钥。此时,数据拥有者的密钥和数据使用者的集合ID存在对应关系,使用者的ID集合作为数据拥有者的密钥的元数据的一部分存储在密钥管理系统中。
在本发明的一些实施例中,基于数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储包括:基于数据拥有者公钥对共享数据进行加密,其中加密数据的签名验证采用Hash值和HMAC值相结合的方式,防止数据被非法篡改。
在本实施例中,密钥管理系统利用会话密钥加密数据拥有者的密钥,通过安全接口发送到数据拥有者客户端的安全接口上。数据拥有者通过安全接口接收密钥管理系统发送来的密钥。数据拥有者使用公钥(身份ID)和密钥中的公开参数对数据进行加密。数据拥有者将数据所有者信息附加到加密数据上。数据拥有者计算数据的Hash值附加到加密数据上。数据拥有者利用私钥作为消息认证码的密钥加密数据的Hash值,作为HMAC值附加到加密数据上。存储数据格式为身份ID+加密数据+Hash值+HMAC值。数据拥有者将存储数据上传到数据处理中心。数据处理中心将存储数据发送到存储中心进行数据存储。数据存储中心返回给数据处理中心存储成功消息。数据处理中心返回给客户端存储成功消息。
在本发明的一些实施例中,响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据包括:响应于接收到用户获取共享数据请求,由数据处理中心基于获取共享数据请求,获取对应的加密数据,并从密钥管理系统获取对应的代理重加密密钥;由密钥管理系统判断用户是否为共享数据的数据拥有者规定的数据使用者;若是用户为共享数据的数据拥有者规定的数据使用者,将对应的代理重加密密钥发送给数据处理中心。
在本实施例中,数据使用者在登录云计算系统时,首先通过身份认证与访问控制服务的身份验证,获得访问云计算系统中其他服务的授权令牌。数据使用者向数据处理中心请求共享加密数据。数据处理中心验证数据使用者的授权令牌,确认数据使用者具有访问数据处理中心的权限。数据处理中心向密钥管理中心发起获取代理重加密密钥的访问请求。数据处理中心和密钥管理系统之间利用安全接口实现双向安全认证,确保双方平台的可信性,确定会话密钥,建立安全传输通道。两者之间利用安全接口实现双向认证方法包括,利用双方互相已知的公钥证书建立可信的传输通道,或者利用intel的软件防护扩展SGX技术实现双向安全认证,并建立安全的会话密钥。
数据处理中心利用会话密钥将访问请求发送到密钥管理系统,密钥管理系统通过访问控制策略验证数据处理中心的授权令牌中的访问权限,确认数据处理中心具有访问密钥管理系统的权限。密钥管理系统读取数据处理中心的访问请求中请求获取代理重加密密钥命令。密钥管理系统利用系统主密钥解密共享项目密钥,共享项目密钥查看其加密的密钥下面是否有数据拥有者分享给数据使用者的代理重加密密钥。如果不存在,报错并返回数据使用者没有权限使用共享数据的消息给数据处理中心。如果存在代理重加密密钥,则查看密钥管理系统下数据使用者是否具有密钥,此密钥与代理重加密密钥具有相同代理主密钥和代理公开参数。如果不存在相应的密钥,则根据代理重加密密钥对应的代理主密钥和代理公开参数以及数据使用者的公钥(身份ID)创建数据使用者对应的私钥。并将公钥和私钥作为一对密钥分别用项目密钥加密进行存储。通过会话密钥加密代理重加密密钥,通过安全接口返回给数据处理中心。
数据处理中心从数据存储中心获取加密数据。数据存储中心将加密数据返回给数据处理中心。数据处理中心根据代理重加密密钥和加密数据重新加密数据,生成数据使用者公钥加密的数据。数据处理中心将重加密数据发送给数据使用者客户端。重加密数据包括数据使用者身份ID、数据拥有者身份ID、加密数据、数据的Hash值。
数据使用者向密钥管理系统请求解密共享加密数据的密钥。数据使用者通过客户端访问密钥管理系统,数据使用者的客户端和密钥管理系统之间利用安全接口实现双向安全认证,确保双方平台的可信性,确定会话密钥,建立安全传输通道。两者之间利用安全接口实现双向认证方法包括,利用双方互相已知的公钥证书建立可信的传输通道,或者intel的软件防护扩展SGX技术实现双向安全认证,并建立安全的会话密钥。数据使用者利用会话密钥将访问请求发送到密钥管理系统,密钥管理系统通过访问控制策略验证数据使用者的授权令牌中的访问权限,确认用户具有访问密钥管理系统的权限。密钥管理系统读取数据使用者的访问请求中请求使用加密密钥命令。密钥管理系统的系统主密钥解密项目密钥,项目密钥解密数据使用者相应的密钥。密钥管理系统通过会话密钥加密数据使用者相应的密钥,通过安全接口返回给数据使用者客户端。
在本发明的一些实施例中,数据使用者通过安全接口接收密钥管理系统发送来的密钥。数据使用者使用密钥中的私钥和公开参数对加密数据进行解密。数据使用者获得数据拥有者分享数据的明文。
在本发明的一些实施例中,数据拥有者的客户端、数据使用者的客户端、密钥管理系统和数据处理中心中任意两者之间通过各自的安全接口进行双向认证,并基于SGX技术进行数据传输。
在本实施例中,在密钥管理系统、数据存储服务、客户端之间的通信一般认为是不可靠的,密钥在任意两者之间传输存在威胁。为此英特尔公司开发了一项集成于CPU的软件扩展防护指令集(SGX技术)。SGX(Software Guard Extensions,软件防护扩展)技术用来保护用户的程序和数据的安全。软件开发者可以在支持SGX的硬件系统中,使用特殊指令和软件将应用程序代码放入一个可信计算环境enclave中执行。Enclave可以提供一个隔离的可信执行环境保护应用程序的数据不被窥探和篡改。
在本发明的一些实施例中,还包括:数据使用者对共享数据进行更新,并将更新后的数据作为新的共享数据以新的数据拥有者进行数据共享。
在本实施例中,数据使用者可以更改数据的内容,重新计算Hash值,使用数据使用者的私钥生成HMAC值,拼接成存储数据。将存储数据上传到数据处理中心,数据处理中心存储到数据存储中心。此时,数据使用者上传的加密数据和原始数据拥有者的加密数据为不同数据。
在本发明的一些实施例中,为了扩大保护范围和实用范围可以将根据密钥管理系统中创建分享者身份ID集合也可以改成基于身份属性的策略矩阵。将策略矩阵作为代理重加密的访问权限,同时将策略矩阵作为代理重加密密钥的元数据的组成部分。只要数据使用者通过基于身份数据的策略矩阵,那么密钥管理系统就为其创建代理重加密密钥和相应的公私钥对,保存在密钥管理系统中。
在本发明的一些实施例中,为了方便整个系统的使用,有时候数据使用者和数据拥有者属于同一个项目组,具有相同的访问权限。因此在密钥管理系统中,可以直接创建基于身份的密钥,供数据使用者和数据拥有者共同使用。
在本发明的一些实施例中,对于分享的数据过大的情况,将分享数据采用对称加密,将对称密钥采用非对称加密。对对称密钥进行代理重加密操作。本文中的HAMC加密采用的是使用拥有者的私钥进行加密的。因此在数据处理中心进行数据更新、删除等操作需要验证原始数据与HAMC值一致才能进行操作。但是由于HMAC的密钥只有数据拥有者拥有,因此云上的数据也只有数据拥有者才能进行更新、删除操作。
需要特别指出的是,上述加密数据共享的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于加密数据共享的方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种加密数据共享的装置。图3示出的是本发明提供的加密数据共享的装置的实施例的示意图。如图3所示,本发明实施例包括如下模块:第一模块S11,配置用于接收数据拥有者发送的共享数据请求,并根据共享数据请求中数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;第二模块S12,配置用于根据共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于数据使用者公钥和数据拥有者私钥生成代理重加密密钥;第三模块S13,配置用于基于数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储;以及第四模块S14,配置用于响应于接收到数据使用者获取共享数据请求,基于获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,基于代理重加密密钥对加密数据进行重加密以得到重加密数据;第五模块S15,配置用于获取数据使用者的数据使用者私钥,并基于数据使用者私钥对重加密数据进行解密以得到共享数据。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图4示出的是本发明提供的计算机设备的实施例的示意图。如图4所示,本发明实施例包括如下装置:至少一个处理器S21;以及存储器S22,存储器S22存储有可在处理器上运行的计算机指令S23,指令由处理器执行时实现以上方法的步骤。
本发明还提供了一种计算机可读存储介质。图5示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图5所示,计算机可读存储介质存储S31有被处理器执行时执行如上方法的计算机程序S32。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,加密数据共享的方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种加密数据共享的方法,其特征在于,包括以下步骤:
接收数据拥有者发送的共享数据请求,并根据所述共享数据请求中所述数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;
根据所述共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于所述数据使用者公钥和所述数据拥有者私钥生成代理重加密密钥;
基于所述数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储;以及
响应于接收到数据使用者获取共享数据请求,基于所述获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,并基于所述代理重加密密钥对所述加密数据进行重加密以得到重加密数据;
获取所述数据使用者的数据使用者私钥,并基于所述数据使用者私钥对所述重加密数据进行解密以得到共享数据。
2.根据权利要求1所述的加密数据共享的方法,其特征在于,还包括在密钥管理系统执行以下步骤:
基于项目密钥加密或解密至少一个用户密钥,所述用户密钥包括数据拥有者密钥和/或数据使用者密钥;
基于共享项目密钥加密或解密至少一个代理重加密密钥;
基于参数密钥加密或解密至少一个代理主密钥和对应的至少一个代理公开参数;
基于系统主密钥加密或解密全部所述项目密钥、全部所述共享项目密钥和全部所述参数密钥。
3.根据权利要求1所述的加密数据共享的方法,其特征在于,接收数据拥有者发送的共享数据请求包括:
由云计算系统接收数据拥有者的登录请求,并基于所述登录请求对所述数据拥有者进行身份认证;
响应于所述数据拥有者身份验证通过,向所述数据拥有者分配授权令牌;
由所述密钥管理系统接收所述数据拥有者的数据共享请求。
4.根据权利要求2所述的加密数据共享的方法,其特征在于,根据所述共享数据请求中所述数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥包括:
判断所述数据拥有者是否创建对应的项目密钥,若是所述数据拥有者未创建对应的项目密钥,创建对应的项目密钥;
判断所述数据拥有者是否创建对应的参数密钥,若是所述数据拥有者未创建对应的参数密钥,创建对应的参数密钥;
判断所述数据拥有者是否创建对应的代理主密钥和对应的代理公开参数,若是所述数据拥有者未创建对应的代理主密钥和对应的代理公开参数,创建对应的代理主密钥和对应代理公开参数;
基于所述数据拥有者的身份标识创建数据拥有者公钥,并基于所述数据拥有者公钥、所述对应的代理主密钥和所述对应的代理公开参数生成数据拥有者私钥;
基于所述项目密钥对所述数据拥有者公钥和所述数据拥有者私钥进行加密,并存储在密钥管理系统中;
基于所述参数密钥对所述对应的代理主密钥和所述对应的代理公开参数进行加密,并存储在所述密钥管理系统中;
由密钥管理系统存储所述系统主密钥,并基于所述系统主密钥对所述项目密钥、所述共享项目密钥和所述参数密钥进行加密,并存储在所述密钥管理系统中。
5.根据权利要求4所述的加密数据共享的方法,其特征在于,根据所述共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于所述数据使用者公钥和所述数据拥有者私钥生成代理重加密密钥包括:
获取所述数据拥有者对应的代理主密钥和对应的代理公开参数;
基于所述数据使用者公钥、所述数据拥有者私钥、所述对应的代理主密钥和所述对应的代理公开参数生成代理重加密密钥。
6.根据权利要求1所述的加密数据共享的方法,其特征在于,响应于接收到数据使用者获取共享数据请求,基于所述获取共享数据请求获取对应的代理重加密密钥和对应的加密数据包括:
响应于接收到用户获取共享数据请求,由数据处理中心基于所述获取共享数据请求,获取对应的加密数据,并从密钥管理系统获取对应的代理重加密密钥;
由所述密钥管理系统判断所述用户是否为所述共享数据的数据拥有者规定的数据使用者;
若是所述用户为所述共享数据的数据拥有者规定的数据使用者,将所述对应的代理重加密密钥发送给所述数据处理中心。
7.根据权利要求1-6任意一项所述的加密数据共享的方法,其特征在于,所述数据拥有者的客户端、所述数据使用者的客户端、所述密钥管理系统和所述数据处理中心中任意两者之间通过各自的安全接口进行双向认证,并基于SGX技术进行数据传输。
8.一种加密数据共享的装置,其特征在于,包括:
第一模块,配置用于接收数据拥有者发送的共享数据请求,并根据所述共享数据请求中所述数据拥有者的身份标识生成数据拥有者公钥和数据拥有者私钥;
第二模块,配置用于根据所述共享数据请求中数据使用者的身份标识生成数据使用者公钥,并基于所述数据使用者公钥和所述数据拥有者私钥生成代理重加密密钥;
第三模块,配置用于基于所述数据拥有者公钥对共享数据进行加密,并将加密数据上传到数据处理中心进行存储;以及
第四模块,配置用于响应于接收到数据使用者获取共享数据请求,基于所述获取共享数据请求获取对应的代理重加密密钥和对应的加密数据,基于所述代理重加密密钥对所述加密数据进行重加密以得到重加密数据;
第五模块,配置用于获取所述数据使用者的数据使用者私钥,并基于所述数据使用者私钥对所述重加密数据进行解密以得到共享数据。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110442814.0A CN113360886B (zh) | 2021-04-23 | 2021-04-23 | 一种加密数据共享的方法、装置、设备及可读介质 |
US18/265,329 US20240039709A1 (en) | 2021-04-23 | 2022-04-22 | Method and apparatus for sharing encrypted data, and device and readable medium |
PCT/CN2022/088569 WO2022223036A1 (zh) | 2021-04-23 | 2022-04-22 | 一种加密数据共享的方法、装置、设备及可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110442814.0A CN113360886B (zh) | 2021-04-23 | 2021-04-23 | 一种加密数据共享的方法、装置、设备及可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113360886A true CN113360886A (zh) | 2021-09-07 |
CN113360886B CN113360886B (zh) | 2023-02-28 |
Family
ID=77525393
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110442814.0A Active CN113360886B (zh) | 2021-04-23 | 2021-04-23 | 一种加密数据共享的方法、装置、设备及可读介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20240039709A1 (zh) |
CN (1) | CN113360886B (zh) |
WO (1) | WO2022223036A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114679340A (zh) * | 2022-05-27 | 2022-06-28 | 苏州浪潮智能科技有限公司 | 一种文件共享方法、系统、设备及可读存储介质 |
WO2022223036A1 (zh) * | 2021-04-23 | 2022-10-27 | 山东英信计算机技术有限公司 | 一种加密数据共享的方法、装置、设备及可读介质 |
CN115952552A (zh) * | 2023-03-15 | 2023-04-11 | 北京和升达信息安全技术有限公司 | 远程数据销毁方法、系统及设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103647642A (zh) * | 2013-11-15 | 2014-03-19 | 河海大学 | 一种基于证书代理重加密方法及系统 |
CN104539610A (zh) * | 2014-12-25 | 2015-04-22 | 华中科技大学 | 一种提高外包加密数据共享功能的代理重加密方法 |
CN105978689A (zh) * | 2016-06-28 | 2016-09-28 | 电子科技大学 | 一种抗密钥泄漏的云数据安全共享方法 |
CN107302524A (zh) * | 2017-06-02 | 2017-10-27 | 西安电子科技大学 | 一种云计算环境下的密文数据共享系统 |
CN107637015A (zh) * | 2015-02-13 | 2018-01-26 | 优替控股有限公司 | 数字身份系统 |
CN109039614A (zh) * | 2018-09-17 | 2018-12-18 | 杭州弗兰科信息安全科技有限公司 | 一种基于optimal ate的代理重加密方法 |
CN110958219A (zh) * | 2019-10-21 | 2020-04-03 | 武汉大学 | 一种面向医疗云共享数据的sm2代理重加密方法与装置 |
CN112532580A (zh) * | 2020-10-23 | 2021-03-19 | 暨南大学 | 一种基于区块链及代理重加密的数据传输方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106850656B (zh) * | 2017-02-27 | 2019-06-07 | 淮阴工学院 | 一种云环境下多用户文件共享控制方法 |
KR102025989B1 (ko) * | 2017-11-21 | 2019-09-26 | 순천향대학교 산학협력단 | IoT 경량단말 환경에서 프록시 재암호화 기반의 데이터 관리 방법 및 시스템 |
CN109347832A (zh) * | 2018-10-24 | 2019-02-15 | 中国银行股份有限公司 | 一种动态数据共享方法、终端设备及代理服务器 |
CN112364376A (zh) * | 2020-11-11 | 2021-02-12 | 贵州大学 | 一种属性代理重加密医疗数据共享方法 |
CN113360886B (zh) * | 2021-04-23 | 2023-02-28 | 山东英信计算机技术有限公司 | 一种加密数据共享的方法、装置、设备及可读介质 |
-
2021
- 2021-04-23 CN CN202110442814.0A patent/CN113360886B/zh active Active
-
2022
- 2022-04-22 US US18/265,329 patent/US20240039709A1/en active Pending
- 2022-04-22 WO PCT/CN2022/088569 patent/WO2022223036A1/zh active Application Filing
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103647642A (zh) * | 2013-11-15 | 2014-03-19 | 河海大学 | 一种基于证书代理重加密方法及系统 |
CN104539610A (zh) * | 2014-12-25 | 2015-04-22 | 华中科技大学 | 一种提高外包加密数据共享功能的代理重加密方法 |
CN107637015A (zh) * | 2015-02-13 | 2018-01-26 | 优替控股有限公司 | 数字身份系统 |
CN105978689A (zh) * | 2016-06-28 | 2016-09-28 | 电子科技大学 | 一种抗密钥泄漏的云数据安全共享方法 |
CN107302524A (zh) * | 2017-06-02 | 2017-10-27 | 西安电子科技大学 | 一种云计算环境下的密文数据共享系统 |
CN109039614A (zh) * | 2018-09-17 | 2018-12-18 | 杭州弗兰科信息安全科技有限公司 | 一种基于optimal ate的代理重加密方法 |
CN110958219A (zh) * | 2019-10-21 | 2020-04-03 | 武汉大学 | 一种面向医疗云共享数据的sm2代理重加密方法与装置 |
CN112532580A (zh) * | 2020-10-23 | 2021-03-19 | 暨南大学 | 一种基于区块链及代理重加密的数据传输方法及系统 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022223036A1 (zh) * | 2021-04-23 | 2022-10-27 | 山东英信计算机技术有限公司 | 一种加密数据共享的方法、装置、设备及可读介质 |
CN114679340A (zh) * | 2022-05-27 | 2022-06-28 | 苏州浪潮智能科技有限公司 | 一种文件共享方法、系统、设备及可读存储介质 |
CN114679340B (zh) * | 2022-05-27 | 2022-08-16 | 苏州浪潮智能科技有限公司 | 一种文件共享方法、系统、设备及可读存储介质 |
CN115952552A (zh) * | 2023-03-15 | 2023-04-11 | 北京和升达信息安全技术有限公司 | 远程数据销毁方法、系统及设备 |
CN115952552B (zh) * | 2023-03-15 | 2023-05-12 | 北京和升达信息安全技术有限公司 | 远程数据销毁方法、系统及设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2022223036A1 (zh) | 2022-10-27 |
CN113360886B (zh) | 2023-02-28 |
US20240039709A1 (en) | 2024-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9935772B1 (en) | Methods and systems for operating secure digital management aware applications | |
US10546141B2 (en) | Network system, and methods of encrypting data, decrypting encrypted data in the same | |
US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
US8625802B2 (en) | Methods, devices, and media for secure key management in a non-secured, distributed, virtualized environment with applications to cloud-computing security and management | |
US9465947B2 (en) | System and method for encryption and key management in cloud storage | |
CN113360886B (zh) | 一种加密数据共享的方法、装置、设备及可读介质 | |
US9209972B2 (en) | Mediator device monitoring and controlling access to electronic content | |
US9332002B1 (en) | Authenticating and authorizing a user by way of a digital certificate | |
KR102318637B1 (ko) | 데이터 전송 방법, 데이터의 사용 제어 방법 및 암호 장치 | |
US20100017599A1 (en) | Secure digital content management using mutating identifiers | |
US10819709B1 (en) | Authorizing delegated capabilities to applications in a secure end-to-end communications system | |
KR20230041971A (ko) | 분산적 컴퓨터 네트워크 상에서 안전한 데이터 전송을 위한 방법, 장치 및 컴퓨터 판독가능 매체 | |
CN113992702B (zh) | 一种ceph分布式文件系统存储国密加固方法及系统 | |
JP2015033068A (ja) | ファイル共有システム、情報提供装置、情報取得装置、及びその方法、プログラム | |
WO2022135399A1 (zh) | 身份鉴别方法、鉴别接入控制器和请求设备、存储介质、程序、及程序产品 | |
CN114091058A (zh) | 在第一区域和第二区域间数据安全共享的方法和系统 | |
JP2021141524A (ja) | 復号システム | |
KR20140033573A (ko) | 퍼블릭 클라우드 스토리지 서비스를 위한 데이터 위임 및 엑세스 방법 | |
Xuan | An End-to-End Encryption Solution for Enterprise Content Applications | |
Krishna et al. | SSH-DAuth: secret sharing based decentralized OAuth using decentralized identifier | |
JP2023163173A (ja) | 秘密鍵の安全な回復 | |
Kowalski | CRYPTOBOX V2. | |
JP2016038845A (ja) | 利用者認証システム、認証サーバ、利用者認証方法、プログラム | |
Fernando et al. | Information Security | |
WO2023043793A1 (en) | System and method of creating symmetric keys using elliptic curve cryptography |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |