CN113821823A - 一种数据可信交换共享方法、存储器和处理器 - Google Patents
一种数据可信交换共享方法、存储器和处理器 Download PDFInfo
- Publication number
- CN113821823A CN113821823A CN202110912012.1A CN202110912012A CN113821823A CN 113821823 A CN113821823 A CN 113821823A CN 202110912012 A CN202110912012 A CN 202110912012A CN 113821823 A CN113821823 A CN 113821823A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- information
- trapdoor
- sharing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000004044 response Effects 0.000 claims abstract description 10
- 238000013475 authorization Methods 0.000 claims description 13
- 230000006399 behavior Effects 0.000 claims description 7
- 230000003993 interaction Effects 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000013500 data storage Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种数据可信交换共享方法、存储器和处理器,该方法包括接收第一指令,所述第一指令用于指示待处理的数据为机密数据与否;响应于第一指令所指示的数据为机密数据,采用自主授权的可搜索加密技术对机密数据进行共享;响应于第一指令所指示的数据为非机密数据,采用基于信任的可搜索加密技术对非机密数据进行共享。利用上述方法解决了现有技术中用户无法对不同密级的数据采用不同的共享策略的技术问题。
Description
技术领域
本申请涉及到数据安全领域,具体涉及一种数据可信交换共享方法。
背景技术
工业互联网数据安全是保障工业互联网发挥关键基础设施作用的关键要素,也是决定工业互联网未来发展走向的决定性因素之一。在工业互联网平台中,云端的数据存储交换是基本行为,保证工业大数据在云端的可信存储交换是工业互联网安全研究的重要组成部分。
可搜索加密技术的提出是用来解决不可信赖服务器的存储问题,其支持对密文数据的查询与检索,也适合于外包敏感数据加密。可搜索加密技术为不可信服务器的密文检索提供了解决办法,已在云存储密文检索环境中得到了广泛应用。
基于信任的访问控制技术是能够实现动态授权、权限自动化授予以及细粒度控制等特点的访问控制机制。由于云计算环境具有实时动态性、用户和数据规模庞大且复杂多样等特点,对访问控制系统在授予用户权限、管理用户的权限和保持访问控制的细粒度等方面带来了新的挑战,从而不能有效地保护数据的安全性,因此基于信任的访问控制技术应运而生。
不同的数据的密级不同,理应能灵活地根据客体需求选择不同的数据可信存储交换,然而现有技术中,大多数云端存储交换技术只提供了一种基于信任的访问控制技术服务,这样的服务使得用户的机密数据的控制权不在自己手中,因此,不能满足资源不足的小企业想要存储机密数据的需求。
发明内容
本申请实施例提供了一种数据可信交换共享方法、存储器和处理器,用于解决现有技术中用户无法对不同密级的数据采用不同的共享策略的技术问题。
根据本申请的一个方面,提供了一种数据可信交换共享方法,
接收第一指令,所述第一指令用于指示待处理的数据为机密数据与否;
响应于第一指令所指示的数据为机密数据,采用自主授权的可搜索加密技术对机密数据进行共享;
响应于第一指令所指示的数据为非机密数据,采用基于信任的可搜索加密技术对非机密数据进行共享。
进一步的,在本发明中,所述采用自主授权的可搜索加密技术对机密数据进行共享包括:
设置数据拥有者的代理服务器作为用户和云端交互的中继,所述代理服务器根据数据访问者陷门中的身份是否合法判断是否允许访问云端。
进一步的,在本发明中,所述基于信任的可搜索加密技术对非机密数据进行共享包括:
设置授权中心根据数据访问者的用户信任值判断是否允许访问云端,所述授权中心还根据云端反馈的用户行为奖惩信息更新用户信任值。
本申请的另一个方面,提供一种数据可信交换共享方法,应用于代理服务器,
接收来自用户的查询请求,所述查询请求为一初始陷门信息,所述初始陷门信息包括用户的身份认证码和密文信息,其中,所述后用户的身份认证码是用户通过私密会话密钥加密自己的身份识别符生成的,所述密文信息是用户通过私密会话密钥加密查询词集合和自己的身份识别符生成的,其中,所述私密会话密钥和身份识别符均为预先由数据拥有者根据安全参数生成的,所述查询词集合为预先由数据拥有者自选得到;
根据初始陷门信息中的身份认证码验证用户信息是否在身份信息表中,若在,则解密密文信息得到查询词集合和解密后身份识别符;所述身份信息表预先由数据拥有者将私密会话密钥和身份信息构建并发送的;
利用私密会话密钥加密解密后身份识别符得到加密后身份认证码,若身份认证码与加密后身份认证码相同,利用陷门密钥加密查询关键词构成最终陷门信息并发送给云端,使得云端在接收到最终陷门信息后在相关文件中搜索包含最终陷门信息的第一加密文件;所述陷门密钥为为预先由数据拥有者在接收到用户认证时根据数据访问者的属性和系统密钥所生成并发送的;所述查询关键词为预先由数据拥有者自选的;
接收云端发来的查询到的包含最终陷门信息的第一加密文件,利用私密会话密钥对上述第一加密文件进行加密获得第二加密文件并发送给用户,以便用户利用私密会话密钥解密得到密文并进一步利用陷门密钥恢复成明文。
进一步的,在本申请中,所述云端的相关文件中包括第一加密文件和相应索引,所述第一加密文件和相应索引是由数据拥有者根据自选的访问策略和安全参数分别加密明文数据和查询关键词后得到的。
进一步的,在本申请中,所述系统密钥预先由数据拥有者根据安全参数生成。
进一步的,在本申请中,所述身份识别符和私密会话密钥是数据拥有者在接收到用户提出认证时同意该用户访问时分配的。
进一步的,在本申请中,所述身份信息表为哈希表。
本申请的第三个方面,在于提供一种存储器,用于存储软件,其中,所述软件用于执行上述任一项所述的方法。
本申请的第四个方面,在于提供一种处理器,用于执行软件,其中,所述软件用于执行上述任一项所述的方法。
本发明通过提供一种数据可信交换共享方法,接收第一指令,所述第一指令用于指示待处理的数据为机密数据与否;响应于第一指令所指示的数据为机密数据,采用自主授权的可搜索加密技术对机密数据进行共享;响应于第一指令所指示的数据为非机密数据,采用基于信任的可搜索加密技术对非机密数据进行共享。利用上述方法解决了现有技术中用户无法对不同密级的数据采用不同的共享策略的技术问题。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本发明实施例的一种数据可信交换共享方法的流程示意图;
图2是本发明实施例的机密数据的交换共享模型示意图;
图3是本发明实施例的非机密数据的交换共享模型示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在现有技术中,可搜索加密过程通常具有如下步骤:
加密过程、用户使用密钥在本地对明文文件进行加密,并将其上传至服务器;
陷门生成过程、具备检索能力的用户,使用密钥生成待查询关键词的陷门,要求陷门不能泄露关键词的任何信息;
检索过程、服务器以关键词陷门为输入,执行检索算法,返回所有包含该陷门对应关键词的密文文件,要求服务器除了能知道密文文件是否包含某个特定关键词外,无法获得更多信息;
解密过程、用户使用密钥解密服务器返回的密文文件,获得查询结果。
本发明的实施例结合上述可搜索加密技术,根据用户对不同数据密级采用不同的安全共享方式。具体的,如图1所示为本发明实施例的一种数据可信交换共享方法的流程示意图,包括:
接收第一指令,所述第一指令用于指示待处理的数据为机密数据与否;
响应于第一指令所指示的数据为机密数据,采用自主授权的可搜索加密技术对机密数据进行共享;
响应于第一指令所指示的数据为非机密数据,采用基于信任的可搜索加密技术对非机密数据进行共享。
上述方案提出了一种面向工业大数据的数据可信存储交换技术,实现用户可以根据需求选择不同的存储交换技术,其中机密数据存储交换技术实现自主授权管理,非机密数据存储交换技术实现基于信任值的动态授权管理,并都利用可搜索加密技术保证数据的存储交换安全。
上述机密数据存储交换模式,主要考虑到客体可能由于企业资源限制具有存储机密数据的需求,此时该模式应该保证数据的安全存储和自主授权,从而不需要可信第三方的参与,保证用户的管理和授权直接由数据拥有者负责,满足数据拥有者将机密数据控制权掌握在自己手中的需求。为了满足机密数据可信存储交换的需求,提出自主授权的可搜索加密技术,在满足自主授权的条件下,采用可搜索加密技术,实现允许用户对存储在云服务器上的密文进行检索,并且不泄漏用户的询问信息和检索结果,从而保证了用户的隐私和客体的数据安全。
作为优选的实施例,为了缓解数据拥有者的请求压力,所述采用自主授权的可搜索加密技术对机密数据进行共享包括,设置数据拥有者的代理服务器作为用户和云端交互的中继,所述代理服务器根据数据访问者陷门中的身份是否合法判断是否允许访问云端。上述代理服务器为数据拥有者的私有集群服务器,该实体被认为是完全可信的。
如图2所示,为本发明实施例的机密数据的交换共享模型示意图,上述机密数据的共享方法具有如下:
系统初始化:数据拥有者根据安全参数α生成系统密钥SK、身份识别符UID与代理服务器的私密会话密钥CK。
数据拥有者与云服务器交互:如图2中①所示,数据拥有者根据自选的访问策略P和安全参数α加密明文数据M和数据拥有者自选的查询词集合Q,分别生成第一加密文件和相应索引,将加密后的第一加密文件和索引上传至云服务器。
Cipher_encryption(P,α,M)→CT
Indexes(P,α,Q)→CT_K
数据拥有者与用户交互:如图2中②所示,用户提出认证的时候,数据拥有者根据自己的需求选择是否同意该用户i访问自己的机密数据,如果同意则分配给用户相应的用户身份识别符uidi、与代理服务器的私密会话密钥cki、以及根据数据访问者的属性集合和系统密钥SK来生成的陷门密钥SK_K。
KeyGen(SK,α,Up)→SK_K
数据拥有者与代理服务器交互:如图2中③所示,数据拥有者并将陷门密钥SK_K、合法用户的私密会话密钥cki和身份信息构建哈希表AH发送给代理服务器。
用户与代理服务器交互:如图2中④所示,用户提出查询请求时,利用与代理服务器的私密会话密钥cki加密自己的身份识别符uidi生成身份认证码ID,然后利用私密会话密钥cki加密查询词集合Q、身份识别码uidi生成需要传输的密文信息MSG,然后身份认证码 ID和密文信息MSG合并成初始陷门TQ'发给代理服务器。代理服务器根据陷门中的身份认证码,得到哈希表AH对应的值,如果是NULL,则说明该用户不具备检索权限。否则解密MSG得到查询关键词集合Q和用户uidi',代理服务器采用相同的散列函数在私密会话密钥cki作用下加密uidi',若得到的身份认证码ID'与身份认证码ID相同,则认证通过;否则发送认证失败给用户。
H1(cki,uidi)→ID
AES(cki,uidi,Q)→MSG
{ID,MSG}→TQ'
H1(cki,uidi′)→ID'
代理服务器与云端交互:如图2中⑤所示,若用户认证通过,代理服务器会利用数据拥有者的陷门密钥SK_K加密用户的查询关键词W,并发送到云端。云端接收到陷门TQ 之后,在相关文件中搜索包含查询陷门的文件,若是搜索到,则根据优先级排序标准进行排序,找到最相关的前L个密文文件发送给代理服务器,否则发送搜索失败给代理服务器。
Query_trapdoor(SK_K,W)→TQ
代理服务器与用户交互:如图2中⑥所示,若检索成功,代理服务器利用私密会话密钥cki作用对属于第一加密文件的搜索结果文件集CQ进行加密生成第二加密文件CQ',并返回给用户。用户接收到之后,首先利用私密会话密钥cki解密得到密文文件,再利用陷门密钥SK_K恢复出对应的明文。若检索失败,代理服务器则返回搜索失败结果;
AES(cki,CQ)→CQ'
Decrypt(SK_K,CQ)→M
针对机密数据的上述共享方法,应用于代理服务器,具体包括如下步骤:
步骤S102、接收来自用户的查询请求,所述查询请求为一初始陷门信息,所述初始陷门信息包括用户的身份认证码和密文信息,其中,所述用户的身份认证码是用户通过私密会话密钥加密自己的身份识别符生成的,所述密文信息是用户通过私密会话密钥加密查询词集合和自己的身份识别符生成的,其中,所述私密会话密钥和身份识别符均为预先由数据拥有者根据安全参数生成的,所述查询词集合为预先由数据拥有者自选得到;
步骤S104、根据初始陷门信息中的身份认证码验证用户信息是否在身份信息表中,若在,则解密密文信息得到查询词集合和解密后身份识别符;所述身份信息表预先由数据拥有者将私密会话密钥和身份信息构建并发送的;
步骤S106、利用私密会话密钥加密解密后身份识别符得到加密后身份认证码,若身份认证码与加密后身份认证码相同,利用陷门密钥加密查询关键词构成最终陷门信息并发送给云端,使得云端在接收到最终陷门信息后在相关文件中搜索包含最终陷门信息的第一加密文件;所述陷门密钥为为预先由数据拥有者在接收到用户认证时根据数据访问者的属性和系统密钥所生成并发送的;所述查询关键词为预先由数据拥有者自选的;
步骤S108、接收云端发来的查询到的包含最终陷门信息的第一加密文件,利用私密会话密钥对上述第一加密文件进行加密获得第二加密文件并发送给用户,以便用户利用私密会话密钥解密得到密文并进一步利用陷门密钥恢复成明文。
作为优选的,在上述步骤S106中,所述云端的相关文件中包括第一加密文件和相应索引,所述第一加密文件和相应索引是由数据拥有者根据自选的访问策略和安全参数分别加密明文数据和查询关键词后得到的。
作为优选的,在上述步骤S106中,所述系统密钥预先由数据拥有者根据安全参数生成。
作为优选的,在上述步骤S102中,所述身份识别符和私密会话密钥是数据拥有者在接收到用户提出认证时同意该用户访问时分配的。
本发明实施例中提及的针对非机密数据的共享方法,为了兼顾数据拥有者的数据安全、用户隐私和用户可能存在的非法访问问题,所述基于信任的可搜索加密技术对非机密数据进行共享包括:设置授权中心根据数据访问者的用户信任值判断是否允许访问云端,所述授权中心还根据云端反馈的用户行为奖惩信息更新用户信任值。通过上述方式,保证数据安全加密的同时,保证用户隐私,动态监视用户的访问行为,并根据用户的立式数据修改用户的访问权限。
如图3所示,为本发明实施例的非机密数据的交换共享模型示意图,上述非机密数据的共享方法具有如下:
系统初始化:授权中心根据输入的安全参数α和属性全集U,生成公共参数PPK和主密钥MSK。
Setup(a,U)→(PPK,MSK)
数据拥有者与授权中心交互:如图3中①所示,数据拥有者向授权中心提出上传数据请求,授权中心将公共参数PPK发给数据拥有者。
数据拥有者与云端交互:如图3中②所示,数据拥有者根据自选的属性访问策略P和公共参数PPK,运行加密函数来加密明文数据M,生成密文CT。数据拥有者根据自选的属性访问策略P和公共参数PPK,运行索引加密函数来加密自选的搜索关键词集合Q,生成数据索引CT_K。然后将密文和索引存储到云存储服务器。
Cipher_encryption(P,PPK,M)→CT
Indexes(P,PPK,Q)→CT_K
数据访问者与授权中心交互:如图3中③所示,数据访问者向授权中心提出访问请求,授权中心根据信任值计算策略计算该用户的信任值。当用户的信任值大于权限预设的阈值时候,授权中心根据数据访问者的属性集Up生成解密密钥Skey,并将密钥发给数据访问者;否则会拒绝用户的访问请求。
KeyGen(MSK,PPK,Up)→Skey
云端与数据访问者交互:如图3中④所示,数据访问者根据自己需要检索的关键词W生成查询陷门TQ,并发送包含查询陷门的查询请求给云服务器从而进行密文检索。云端根据数据访问者提供的查询陷门TQ搜索与其匹配的索引CK_K,并将所对应的密文 CQ发送给数据访问者。若找不到匹配的索引,则向数据访问者发送搜索失败信息。数据访问者根据授权中心发送的解密密钥Skey对接收到的密文CQ进行解密。若数据访问者的属性集合Up符合数据拥有者制定的访问策略P,则可以成功解密密文得到明文M。
Query_trapdoor(Skey,W)→TQ
Decrypt(Skey,CQ)→M
云端与授权中心交互:如图3中⑤所示,云端根据博弈论设置一个信任值奖惩措施,对用户的行为给予一定的奖励或者惩罚,并将结果反馈给授权中心的信任值计算模块,动态更新用户的信任值,并记录相应数据。
上述方法属于基于信任的可搜索属性基加密方案,实现更加安全、灵活以及细粒度的动态访问授权机制。云平台采用信任值的方式,评估用户是否具有访问权限,并根据博弈论设置一个奖惩措施,动态更新用户信任值,使得用户规范自己的访问行为。数据拥有者采用可搜索属性基加密,保证数据安全加密的同时,保证用户的隐私安全,且便于数据拥有者及数据访问者在云端对数据进行搜索。
根据本申请的第二个方面,提供一种存储器,用于存储软件,其中,所述软件用于执行上述的方法。
根据本申请的第三个方面,提供一种处理器,用于执行软件,其中,所述软件用于执行上述方法。
需要说明的是,上述软件执行的数据安全共享方法与前面介绍的一种数据可信交换共享方法相同,在此不再赘述。
在本实施例中,提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行以上实施例中的方法。
这些计算机程序也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤,对应与不同的步骤可以通过不同的模块来实现。
上述程序可以运行在处理器中,或者也可以存储在存储器中(或称为计算机可读介质),计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种数据可信交换共享方法,其特征在于:
接收第一指令,所述第一指令用于指示待处理的数据为机密数据与否;
响应于第一指令所指示的数据为机密数据,采用自主授权的可搜索加密技术对机密数据进行共享;
响应于第一指令所指示的数据为非机密数据,采用基于信任的可搜索加密技术对非机密数据进行共享。
2.根据权利要求1所述的一种数据可信交换共享方法,其特征在于:所述采用自主授权的可搜索加密技术对机密数据进行共享包括:
设置数据拥有者的代理服务器作为用户和云端交互的中继,所述代理服务器根据数据访问者陷门中的身份是否合法判断是否允许访问云端。
3.根据权利要求1所述的一种数据可信交换共享方法,其特征在于:所述基于信任的可搜索加密技术对非机密数据进行共享包括:
设置授权中心根据数据访问者的用户信任值判断是否允许访问云端,所述授权中心还根据云端反馈的用户行为奖惩信息更新用户信任值。
4.一种数据可信交换共享方法,应用于代理服务器,其特征在于:
接收来自用户的查询请求,所述查询请求为一初始陷门信息,所述初始陷门信息包括用户的身份认证码和密文信息,其中,所述后用户的身份认证码是用户通过私密会话密钥加密自己的身份识别符生成的,所述密文信息是用户通过私密会话密钥加密查询词集合和自己的身份识别符生成的,其中,所述私密会话密钥和身份识别符均为预先由数据拥有者根据安全参数生成的,所述查询词集合为预先由数据拥有者自选得到;
根据初始陷门信息中的身份认证码验证用户信息是否在身份信息表中,若在,则解密密文信息得到查询词集合和解密后身份识别符;所述身份信息表预先由数据拥有者将私密会话密钥和身份信息构建并发送的;
利用私密会话密钥加密解密后身份识别符得到加密后身份认证码,若身份认证码与加密后身份认证码相同,利用陷门密钥加密查询关键词构成最终陷门信息并发送给云端,使得云端在接收到最终陷门信息后在相关文件中搜索包含最终陷门信息的第一加密文件;所述陷门密钥为为预先由数据拥有者在接收到用户认证时根据数据访问者的属性和系统密钥所生成并发送的;所述查询关键词为预先由数据拥有者自选的;
接收云端发来的查询到的包含最终陷门信息的第一加密文件,利用私密会话密钥对上述第一加密文件进行加密获得第二加密文件并发送给用户,以便用户利用私密会话密钥解密得到密文并进一步利用陷门密钥恢复成明文。
5.根据权利要求4所述的一种数据可信交换共享方法,其特征在于:所述云端的相关文件中包括第一加密文件和相应索引,所述第一加密文件和相应索引是由数据拥有者根据自选的访问策略和安全参数分别加密明文数据和查询关键词后得到的。
6.根据权利要求4所述的一种数据可信交换共享方法,其特征在于:所述系统密钥预先由数据拥有者根据安全参数生成。
7.根据权利要求4所述的一种数据可信交换共享方法,其特征在于:所述身份识别符和私密会话密钥是数据拥有者在接收到用户提出认证时同意该用户访问时分配的。
8.根据权利要求4所述的一种数据可信交换共享方法,其特征在于:所述身份信息表为哈希表。
9.一种存储器,其特征在于,用于存储软件,其中,所述软件用于执行权利要求1至8中任一项所述的方法。
10.一种处理器,其特征在于,用于执行软件,其中,所述软件用于执行权利要求1至8中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110912012.1A CN113821823A (zh) | 2021-08-10 | 2021-08-10 | 一种数据可信交换共享方法、存储器和处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110912012.1A CN113821823A (zh) | 2021-08-10 | 2021-08-10 | 一种数据可信交换共享方法、存储器和处理器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113821823A true CN113821823A (zh) | 2021-12-21 |
Family
ID=78913036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110912012.1A Pending CN113821823A (zh) | 2021-08-10 | 2021-08-10 | 一种数据可信交换共享方法、存储器和处理器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113821823A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655508A (zh) * | 2012-04-19 | 2012-09-05 | 华中科技大学 | 云环境下的用户隐私数据保护方法 |
CN108881195A (zh) * | 2018-06-07 | 2018-11-23 | 蒋云 | 基于云环境的数据安全共享方法和装置 |
-
2021
- 2021-08-10 CN CN202110912012.1A patent/CN113821823A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102655508A (zh) * | 2012-04-19 | 2012-09-05 | 华中科技大学 | 云环境下的用户隐私数据保护方法 |
CN108881195A (zh) * | 2018-06-07 | 2018-11-23 | 蒋云 | 基于云环境的数据安全共享方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109144961B (zh) | 授权文件共享方法及装置 | |
CN107959567B (zh) | 数据存储方法、数据获取方法、装置及系统 | |
EP2890084B1 (en) | A data securing system and method | |
JP5361894B2 (ja) | マルチファクタコンテンツの保護 | |
US7877604B2 (en) | Proof of execution using random function | |
EP3704621A1 (en) | Secure identity and profiling system | |
WO2014207554A2 (en) | Method and apparatus for providing database access authorization | |
CN111274599A (zh) | 一种基于区块链的数据共享方法及相关装置 | |
CN114239046A (zh) | 数据共享方法 | |
CN117396869A (zh) | 用于使用分布式账本技术进行安全密钥管理的系统和方法 | |
US20140052985A1 (en) | Methods for providing requested data from a storage device to a data consumer and storage devices | |
CN111917711B (zh) | 数据访问方法、装置、计算机设备和存储介质 | |
CN114500069A (zh) | 一种电子合同的存储及共享的方法与系统 | |
CN110717190A (zh) | 一种分布式数据存储方法、装置及数据存储设备 | |
CN118260264A (zh) | 一种用于分布式文件系统的用户友好型加密存储系统及方法 | |
KR20220092811A (ko) | 암호화 데이터를 저장하는 방법 및 장치 | |
CN111079157A (zh) | 一种基于区块链的秘密碎片化托管平台及设备、介质 | |
CN108494724B (zh) | 基于多授权机构属性加密算法的云存储加密系统 | |
CN114615040A (zh) | 一种知识图谱本体数据分级分类安全访问控制方法及应用 | |
CN114398623A (zh) | 一种安全策略的确定方法 | |
Mahalakshmi et al. | Effectuation of secure authorized deduplication in hybrid cloud | |
US9754118B2 (en) | Performing an operation on a data storage | |
Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
CN116522356A (zh) | 数据查询方法及装置 | |
CN113821823A (zh) | 一种数据可信交换共享方法、存储器和处理器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |