CN114615087B - 数据共享方法、装置、设备及介质 - Google Patents

数据共享方法、装置、设备及介质 Download PDF

Info

Publication number
CN114615087B
CN114615087B CN202210424295.XA CN202210424295A CN114615087B CN 114615087 B CN114615087 B CN 114615087B CN 202210424295 A CN202210424295 A CN 202210424295A CN 114615087 B CN114615087 B CN 114615087B
Authority
CN
China
Prior art keywords
data
access
attribute information
target key
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210424295.XA
Other languages
English (en)
Other versions
CN114615087A (zh
Inventor
罗瑞
姚远志
李卫海
俞能海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Science and Technology of China USTC
Original Assignee
University of Science and Technology of China USTC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Science and Technology of China USTC filed Critical University of Science and Technology of China USTC
Priority to CN202210424295.XA priority Critical patent/CN114615087B/zh
Publication of CN114615087A publication Critical patent/CN114615087A/zh
Application granted granted Critical
Publication of CN114615087B publication Critical patent/CN114615087B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本公开提供了一种数据共享方法,可以应用于云计算技术领域、信息安全技术领域。该数据共享方法包括:获取目标密钥密文数据,目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,访问策略树基于数据使用端的属性信息生成,属性信息包括经过加密后得到的秘密属性信息;获取来自数据使用端的访问令牌,访问令牌根据数据使用端的属性信息生成;利用访问令牌对目标密钥密文数据进行预解密,生成预解密数据;以及向数据使用端发送预解密数据。本公开还提供了一种数据共享装置、设备和存储介质。

Description

数据共享方法、装置、设备及介质
技术领域
本公开涉及云计算技术领域、信息安全技术领域,具体地涉及一种数据共享方法、装置、设备、介质和程序产品。
背景技术
随着云计算技术的飞速发展,人们对数据外包云存储的需求越来越强。但数据拥有方将数据托管于第三方运营的云存储服务器时,失去了对数据的物理控制。为了实现云存储数据细粒度的访问控制功能,可以对数据加密后再上传至云存储服务器,以避免云存储服务器泄漏所存储的数据中的重要信息。数据使用方可以从云存储服务器获取加密后的数据,对加密后的数据进行解密,以便于获取数据中的信息。
在实现本公开的发明构思过程中,发明人发现数据使用方在对加密后的数据进行解密的过程中会耗费大量计算资源,即用于解密的运算开销过大,且存储于云存储端的数据仍存在泄露数据使用方的隐私信息的安全风险。
发明内容
鉴于上述问题,本公开提供了数据共享方法、装置、设备、介质和程序产品。
根据本公开的第一个方面,提供了一种数据共享方法,包括:
获取目标密钥密文数据,其中,上述目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,上述访问策略树基于数据使用端的属性信息生成,上述属性信息包括经过加密后得到的秘密属性信息;
获取来自数据使用端的访问令牌,上述访问令牌根据上述数据使用端的属性信息生成;
利用上述访问令牌对上述目标密钥密文数据进行预解密,生成预解密数据;以及
向上述数据使用端发送上述预解密数据。
本公开的第二方面提供了一种数据共享装置,包括:
第一获取模块,用于获取目标密钥密文数据,其中,上述目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,上述访问策略树基于数据使用端的属性信息生成,上述属性信息包括经过加密后得到的秘密属性信息;
第二获取模块,用于获取来自数据使用端的访问令牌,上述访问令牌根据上述数据使用端的属性信息生成;
预解密模块,用于利用上述访问令牌对上述目标密钥密文数据进行预解密,生成预解密数据;以及
发送模块,用于向上述数据使用端发送上述预解密数据。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述数据共享方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述数据共享方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述数据共享方法。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的数据共享方法、装置的应用场景图;
图2示意性示出了根据本公开实施例的数据共享方法的流程图;
图3示意性示出了根据本公开实施例的数据共享方法的流程图;
图4A示意性示出了根据本公开实施例的数据共享方法的应用场景图;
图4B示意性示出了根据本公开实施例的数据共享方法的属性私钥生成所需时长的示意图;
图4C示意性示出了根据本公开实施例的数据共享方法的基于属性基加密算法加密目标密钥所需的平均时长的示意图;
图4D示意性示出了根据本公开实施例的数据共享方法的数据使用端对预解密数据进行解密所需的时长的示意图;
图5示意性示出了根据本公开实施例的数据共享装置的结构框图;以及
图6示意性示出了根据本公开实施例的适于实现数据共享方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
数据拥有端可以使用属性基加密技术对需要共享的文件进行加密后上传到云服务端,但是在相关技术中,基于属性基加密算法形成的数据分享方案并没有对数据使用端的用户的隐私属性信息进行相应处理,存在用户隐私属性信息泄露的技术问题。因此,构建高效云存储数据管理及分享架构的的同时,迫切需要研究能够进行隐私保护的安全数据分享方法,以保护数据使用端用户的隐私信息。
本公开的实施例提供了一种数据共享方法,包括:
获取目标密钥密文数据,其中,目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,访问策略树基于数据使用端的属性信息生成,属性信息包括经过加密后得到的秘密属性信息;获取来自数据使用端的防问令牌,访问令牌根据数据使用端的属性信息生成;利用防问令牌对目标密钥密文数据进行预解密,生成预解密数据;以及向数据使用端发送预解密数据。
根据本公开的实施例,可以对隐私属性信息进行加密后得到隐私属性信息的属性信息密文,即得到秘密属性信息。数据拥有端可以根据秘密属性信息与公开属性信息,构建分别用于存储秘密属性信息与公开属性信息的双重访问结构树,从而使服务端,例如云服务器,无法获取到隐私属性信息的明文,从而避免数据使用端的隐私属性信息被泄露,保证数据安全。
同时,由于预解密数据已经验证过了数据使用端的访问权限,数据使用端在接收到预解密数据后,可以根据属性私钥对预解密数据进行解密,得到目标密钥,从而可以利用目标密钥对共享密文数据进行解密,得到共享明文数据,同时节省了根据访问策略树验证访问权限的计算开销,提升数据使用端获取共享明文数据的计算效率。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
图1示意性示出了根据本公开实施例的数据共享方法、装置的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括数据拥有端101、网络102、103、服务端104和数据使用端105。网络102用以在数据拥有端101和服务端104之间提供通信链路的介质,网络103用以在服务端104和数据使用端105之间提供通信链路的介质。网络102、103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
数据拥有者可以使用数据拥有端101通过网络102与服务端104交互,以接收或发送消息等,相应地,数据使用者可以使用数据使用端105与服务端104交互。数据拥有端101、数据使用端105上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
数据拥有端101、数据使用端105可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务端104可以是提供各种服务的服务器,例如用于接收数据拥有者利用数据拥有端101发送的目标密钥密文数据的云服务器(仅为示例)。云服务器可以对接收到的目标密钥密文数据等数据进行分析等处理,并将处理结果(例如利用访问令牌对目标密钥密文数据进行预解密,生成预解密数据等)反馈给数据使用端105。
需要说明的是,本公开实施例所提供的数据共享方法一般可以由服务端104执行。相应地,本公开实施例所提供的数据共享装置一般可以设置于服务端104中。本公开实施例所提供的数据共享方法也可以由不同于服务端104且能够与服务端104通信的服务器或服务器集群执行。相应地,本公开实施例所提供的数据共享装置也可以设置于不同于服务端104且能够与服务端104通信的服务器或服务器集群中。
应该理解,图1中的数据拥有端、网络、服务端和数据使用端的数目仅仅是示意性的。根据实现需要,可以具有任意数目的数据拥有端、网络、服务端和数据使用端。
以下将基于图1描述的场景,通过图2~图4D对公开实施例的数据共享方法进行详细描述。
图2示意性示出了根据本公开实施例的数据共享方法的流程图。
如图2所示,数据共享方法包括操作S210~操作S240。
在操作S210,获取目标密钥密文数据,其中,目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,访问策略树基于数据使用端的属性信息生成,属性信息包括经过加密后得到的秘密属性信息。
根据本公开的实施例,目标密钥可以包括用于加密共享明文数据的对称密钥,共享明文数据可以包括数据拥有端需要向数据使用端共享的图片、文档等明文数据,可以利用目标密钥对共享明文数据进行加密,得到共享密文数据。相应地,目标密钥还可以对共享密文数据进行解密,得到共享明文数据。
需要说明的是,目标密钥密文数据可以与相对应的共享密文数据关联存储至服务端,或者还可以将目标密钥密文数据和相对应的共享密文数据作为一个目标密文数据包存储,从而便于向数据使用端可以得到共享明文数据。访问策略树可以存储于目标密钥密文数据中。
根据本公开的实施例,预设加密算法可以包括属性基加密算法。
例如可以利用属性基加密算法,根据访问策略树中的属性信息对目标密钥进行加密,得到目标密钥密文数据。
根据本公开的实施例,访问策略树可以包括基于访问策略构建的树状结构数据,数据拥有端可以根据数据使用端的属性信息制定访问策略,并根据访问策略构建访问策略树。
根据本公开的实施例,属性信息可以用于表征数据使用端的属性特征,属性信息例如可以包括数据使用端的姓名、用户名等公开属性信息,还可以包括数据使用端的年龄、住址、证件号码(例如身份证号码)等隐私属性信息。
根据本公开的实施例,可以对隐私属性信息进行加密后得到隐私属性信息的属性信息密文,即得到秘密属性信息。数据拥有端可以根据秘密属性信息与公开属性信息,构建分别用于存储秘密属性信息与公开属性信息的双重访问结构树,从而使服务端,例如云服务器,无法获取到隐私属性信息的明文,从而避免数据使用端的隐私属性信息被泄露,保证数据安全。
在操作S220,获取来自数据使用端的访问令牌,访问令牌根据数据使用端的属性信息生成。
在操作S230,利用访问令牌对目标密钥密文数据进行预解密,生成预解密数据。
根据本公开的实施例,数据使用端可以根据访问权限对应的属性信息生成访问令牌(Access Token),例如可以利用分发的属性私钥和访问权限对应的属性信息,生成访问令牌。服务端在接收端访问令牌后,可以利用访问策略树验证访问令牌中数据使用端的访问权限,并在验证通过的情况下生成预解密数据。
在操作S240,向数据使用端发送预解密数据。
根据本公开的实施例,由于预解密数据已经验证过了数据使用端的访问权限,数据使用端在接收到预解密数据后,可以根据属性私钥对预解密数据进行解密,得到目标密钥,从而可以利用目标密钥对共享密文数据进行解密,得到共享明文数据,同时节省了根据访问策略树验证访问权限的计算开销,提升数据使用端获取共享明文数据的计算效率。
根据本公开的实施例,属性基加密算法包括密文策略属性加密算法。
根据本公开的实施例,访问策略树可以包括策略结构信息。
图3示意性示出了根据本公开实施例的数据共享方法的流程图。
如图3所示,操作S230,利用访问令牌对目标密钥密文数据进行预解密,生成预解密数据可以包括操作S310~操作S340。
在操作S310,提取访问令牌中的数据使用端的属性信息。
在操作S320,提取目标密钥密文数据中访问策略树中的策略结构信息。
在操作S330,对访问令牌中的数据使用端的属性信息和策略结构信息进行匹配验证,输出验证结果。
在操作S340,在验证结果表征数据使用端具有访问权限的情况下,生成预解密数据。
根据本公开的实施例,策略结构信息可以包括用于结构化存储数据使用端的属性信息的数据信息,通过对策略结构信息和数据使用端的属性信息进行匹配验证,从而可以在服务端确定数据使用者具有与目标密钥密文数据对应的访问权限,节省了数据使用端验证访问权限的计算开销。
根据本公开的实施例,在操作S240,向数据使用端发送预解密数据之前,数据共享方法还可以包括如下操作。
获取时间令牌,其中,时间令牌包括预设访问权限释放时刻信息。
根据本公开的实施例,可以从可信权威端获取时间令牌,预设访问权限释放时刻信息可以包括用于表征目标密钥密文数据可以被解密的时刻,即表征在预设访问权限释放时刻信息之前,目标密钥密文数据不可以被解密。
根据本公开的实施例,预设访问权限释放时刻信息可以是由数据拥有端确定的。
根据本公开的实施例,访问策略树包括时间陷门,时间陷门根据预设访问权限释放时刻信息生成。
数据共享方法还可以包括如下操作。
根据时间令牌中的预设访问权限释放时刻信息释放访问策略树中的时间陷门。
根据本公开的实施例,数据拥有端需要根据预设访问权限释放时刻信息生成时间陷门,并利用时间陷门修改访问策略树,从而可以确定访问策略树的预设释放时刻,即确定目标密钥密文数据可以被解密的时刻。
根据本公开的实施例,时间令牌可以用于释放访问策略树中的时间陷门,使目标密钥密文数据在预设访问权限释放时刻可以被解密,从而使数据拥有端可以根据时间陷门来控制目标密钥密文数据的解密时刻,避免目标密钥密文数据被提前解密,造成共享明文数据泄露。
图4A示意性示出了根据本公开实施例的数据共享方法的应用场景图。
如图4A所示,该实施例的应用场景可以包括数据拥有端410、云服务端420、数据使用端430和可信权威方440。
可信权威方440可以进行初始化操作,将属性公钥441发送至数据拥有端410,并根据数据使用端430的属性信息生成属性私钥442,将属性私钥442发送给数据使用端430。
具体可以通过如下操作完成。
可信权威方440执行系统初始化操作,生成安全参数等相关系统参数。可信权威方440根据相关系统参数生成属性公钥441并发送至数据拥有端410。
可信权威方440根据数据使用端430的属性信息生成属性私钥442,并将属性私钥442发送至数据使用端430。
数据拥有端410根据实际需求将数据使用端430的属性信息分为公开属性信息与隐私属性信息,并根据指定的访问策略中数据使用端的属性信息构建访问策略树,该访问策略树可以是双重访问策略树。在构建访问策略树的过程中,可以对数据使用端的隐私属性信息进行加密,例如利用哈希函数处理隐私属性信息,得到秘密属性信息,并根据公开属性信息与秘密属性信息构建双重访问策略树。
需要说明的是,双重访问策略树可以将公开属性信息与秘密属性信息分隔存储,同时秘密属性信息为经过加密后的属性信息,因此双重访问策略树上传至云服务端420后不会泄露数据使用端的隐私属性信息。
进一步地,数据拥有端410可以制定预设访问权限释放时刻信息,并根据预设访问权限释放时刻信息生成时间陷门,利用时间陷门机制修改上述访问策略树,进而使访问策略树可以包含有预设访问权限释放时刻信息。
数据拥有端410利用目标密钥对共享明文数据进行加密,得到共享密文数据,并根据访问策略树和属性基加密算法加密目标密钥,得到目标密钥密文数据。然后将目标密钥密文数据和共享密文数据构建为密文数据包411,并将密文数据包411发送至云服务端420。
可信权威方440可以根据数据拥有端410制定的预设访问权限释放时刻信息生成时间令牌443,并在预设发送时刻,将时间令牌443发送给云服务端420用于释放访问策略树中的时间陷门。
在本实施例中,可以将预设访问权限释放时刻作为预设发送时刻,并在预设访问权限释放时刻向云服务端420发送时间令牌443。
数据使用端430可以根据获取到的属性私钥442,以及数据使用端430的访问权限对应的属性信息生成访问令牌431,并将访问令牌431发送给云服务端420,从而使数据使用端可以根据访问令牌431向云服务端420请求获取密文数据包411中的共享明文数据。
云服务端420根据数据使用端430发送的访问令牌431和密文数据包411中的访问策略树验证数据使用端430是否拥有获取与解密密文数据包411中的目标密钥密文数据的访问权限。
云服务端420在获取到可信权威方440发送的时间令牌443后,可以利用时间令牌443释放密文数据包411中访问策略树中的时间陷门,并提取访问令牌431中数据使用端的属性信息,以及提取目标密钥密文数据中访问策略树中的策略结构信息。对访问令牌431中的数据使用端的属性信息和策略结构信息进行匹配验证,输出验证结果。在验证结果表征数据使用端430具有访问权限的情况下,且时间陷门已经释放的情况下,对目标密钥密文数据进行预解密,生成预解密数据。预解密数据与共享密文数据作为预解密数据包421,并由云服务端420将预解密数据包421发送至数据使用端430。
数据使用端430在接收到预解密数据包421后,可以利用属性私钥442对预解密数据包421中的预解密数据进行解密,得到目标密钥,并可以利用目标密钥对共享密文数据进行解密,得到共享明文数据,从而完成数据安全共享。
根据本公开的实施例,在云服务端应用本公开实施例提供的数据分享方法可以有效避免了传统属性基加密方案中存在的用户属性泄露问题,在不引入过多额外开销的情况下,可以基于预设访问权限释放时刻信息对目标密钥密文数据进行权限释放,从而为数据拥有端利用云服务端对共享明文数据的细粒度管理提供便捷条件。
在本公开的实施例中,根据如图4A所示的应用场景构建数据共享系统,该数据共享系统在64位Ubuntu 16操作系统,主频3.00GHz的双核CPU和内存2GB的电脑上运行。
在本公开的实施例中,选取5MB大小的文件作为要传输至云服务端的共享明文数据。选取属性信息的数量分别为10个至100个,每间隔10个属性信息的数量作为一个实验组,共做10组实验。
图4B示意性示出了根据本公开实施例的数据共享方法的属性私钥生成所需时长的示意图。
如图4B所示,可信权威方为数据使用端生成属性私钥的时长与数据使用端的属性信息的数量成正相关,数据使用端本身涉及的属性信息数量越多,生成属性私钥的时长就越长。
图4C示意性示出了根据本公开实施例的数据共享方法的基于属性基加密算法加密目标密钥所需的平均时长的示意图。
如图4C所示,数据拥有端加密目标密钥的时长与数据使用端涉及的属性信息数量成正相关,数据使用端本身涉及的属性信息数量越多,所需的加密时间就越长。
图4D示意性示出了根据本公开实施例的数据共享方法的数据使用端对预解密数据进行解密所需的时长的示意图。
如图4D所示,数据使用端解密云服务端发送的预解密数据的时长与数据使用端自身的属性信息数量无关,这是因为在访问权限验证的计算开销由云服务端承担,即云服务端承担了数据使用端用于解密的部分计算开销,减轻了数据使用端的算力负担,提高了数据使用端的解密效率。所以在数据使用端对预解密数据进行解密时,所需计算时长与数据使用端自身的属性信息数量无关。测试说明,根据本公开的实施例提供的数据共享方法构建的数据共享系统在属性私钥生成,加解密算法执行速度方面满足数据分享双方的要求。
需要说明的是,图4B、图4C和图4D中,横坐标表示属性信息的数量,单位为个;纵坐标为计算所需平均时长,时间为毫秒。
基于上述数据共享方法,本公开还提供了一种数据共享装置。以下将结合图5对该装置进行详细描述。
图5示意性示出了根据本公开实施例的数据共享装置的结构框图。
如图5所示,该实施例的数据共享装置500包括第一获取模块510、第二获取模块520、预解密模块530和发送模块540。
第一获取模块510用于获取目标密钥密文数据,其中,目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,访问策略树基于数据使用端的属性信息生成,属性信息包括经过加密后得到的秘密属性信息。
第二获取模块520用于获取来自数据使用端的访问令牌,访问令牌根据数据使用端的属性信息生成。
预解密模块530用于利用访问令牌对目标密钥密文数据进行预解密,生成预解密数据。
发送模块540用于向数据使用端发送预解密数据。
根据本公开的实施例,向数据使用端发送预解密数据之前,数据共享装置还可以包括第三获取模块。
第三获取模块用于获取时间令牌,其中,时间令牌包括预设访问权限释放时刻信息。
根据本公开的实施例,访问策略树包括时间陷门,时间陷门根据预设访问权限释放时刻信息生成。
数据共享装置还可以包括:释放模块。
释放模块用于根据时间令牌中的预设访问权限释放时刻信息释放访问策略树中的时间陷门。
根据本公开的实施例,访问策略树包括策略结构信息。
预解密模块包括:第一提取单元、第二提取单元、匹配单元和预解密单元。
第一提取单元用于提取访问令牌中的数据使用端的属性信息。
第二提取单元用于提取目标密钥密文数据中访问策略树中的策略结构信息。
匹配单元用于对访问令牌中的数据使用端的属性信息和策略结构信息进行匹配验证,输出验证结果。
预解密单元用于在验证结果表征数据使用端具有访问权限的情况下,生成预解密数据。
根据本公开的实施例,预设加密算法包括属性基加密算法。
根据本公开的实施例,属性基加密算法包括密文策略属性加密算法。
根据本公开的实施例,第一获取模块510、第二获取模块520、预解密模块530和发送模块540中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块510、第二获取模块520、预解密模块530和发送模块540中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块510、第二获取模块520、预解密模块530和发送模块540中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图6示意性示出了根据本公开实施例的适于实现数据共享方法的电子设备的方框图。
如图6所示,根据本公开实施例的电子设备600包括处理器601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 603中,存储有电子设备600操作所需的各种程序和数据。处理器601、ROM602以及RAM 603通过总线604彼此相连。处理器601通过执行ROM 602和/或RAM 603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 602和RAM 603以外的一个或多个存储器中。处理器601也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备600还可以包括输入/输出(I/O)接口605,输入/输出(I/O)接口605也连接至总线604。电子设备600还可以包括连接至I/O接口605的以下部件中的一项或多项:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 602和/或RAM 603和/或ROM 602和RAM 603以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的数据共享方法。
在该计算机程序被处理器601执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分609被下载和安装,和/或从可拆卸介质611被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (8)

1.一种数据共享方法,包括:
获取目标密钥密文数据,其中,所述目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,所述访问策略树基于数据使用端的属性信息生成,所述属性信息包括经过加密后得到的秘密属性信息;
获取来自数据使用端的访问令牌,所述访问令牌根据所述数据使用端的属性信息生成;
利用所述访问令牌对所述目标密钥密文数据进行预解密,生成预解密数据;以及
向所述数据使用端发送所述预解密数据;
其中,所述访问策略树包括策略结构信息;
所述利用所述访问令牌对所述目标密钥密文数据进行预解密,生成预解密数据包括:
提取所述访问令牌中的所述数据使用端的属性信息;
提取所述目标密钥密文数据中所述访问策略树中的策略结构信息;
对所述访问令牌中的所述数据使用端的属性信息和所述策略结构信息进行匹配验证,输出验证结果;
在所述验证结果表征所述数据使用端具有访问权限的情况下,生成所述预解密数据。
2.根据权利要求1所述的数据共享方法,其中,所述向所述数据使用端发送所述预解密数据之前,所述数据共享方法还包括:
获取时间令牌,其中,所述时间令牌包括预设访问权限释放时刻信息。
3.根据权利要求2所述的数据共享方法,其中,所述访问策略树包括时间陷门,所述时间陷门根据所述预设访问权限释放时刻信息生成;
所述数据共享方法还包括:
根据所述时间令牌中的预设访问权限释放时刻信息释放所述访问策略树中的时间陷门。
4.根据权利要求1所述的数据共享方法,其中,
所述预设加密算法包括属性基加密算法。
5.根据权利要求4所述的数据共享方法,其中,所述属性基加密算法包括密文策略属性加密算法。
6.一种数据共享装置,包括:
第一获取模块,用于获取目标密钥密文数据,其中,所述目标密钥密文数据根据访问策略树和预设加密算法对目标密钥进行加密后生成,所述访问策略树基于数据使用端的属性信息生成,所述属性信息包括经过加密后得到的秘密属性信息;
第二获取模块,用于获取来自数据使用端的访问令牌,所述访问令牌根据所述数据使用端的属性信息生成;
预解密模块,用于利用所述访问令牌对所述目标密钥密文数据进行预解密,生成预解密数据;以及
发送模块,用于向所述数据使用端发送所述预解密数据;
其中,所述访问策略树包括策略结构信息;
所述利用所述访问令牌对所述目标密钥密文数据进行预解密,生成预解密数据包括:
提取所述访问令牌中的所述数据使用端的属性信息;
提取所述目标密钥密文数据中所述访问策略树中的策略结构信息;
对所述访问令牌中的所述数据使用端的属性信息和所述策略结构信息进行匹配验证,输出验证结果;
在所述验证结果表征所述数据使用端具有访问权限的情况下,生成所述预解密数据。
7.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~5中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~5中任一项所述的方法。
CN202210424295.XA 2022-04-21 2022-04-21 数据共享方法、装置、设备及介质 Active CN114615087B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210424295.XA CN114615087B (zh) 2022-04-21 2022-04-21 数据共享方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210424295.XA CN114615087B (zh) 2022-04-21 2022-04-21 数据共享方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114615087A CN114615087A (zh) 2022-06-10
CN114615087B true CN114615087B (zh) 2022-12-30

Family

ID=81868405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210424295.XA Active CN114615087B (zh) 2022-04-21 2022-04-21 数据共享方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114615087B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117278271B (zh) * 2023-09-19 2024-05-10 淮北师范大学 一种属性基加密的数据传输方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111902809A (zh) * 2020-05-18 2020-11-06 深圳技术大学 雾计算下基于cp-abe的密文搜索方法、装置、设备及存储介质
WO2022025822A1 (en) * 2020-07-27 2022-02-03 Singapore Management University Cloud data sharing systems and methods for sharing data using the systems
CN114239062A (zh) * 2021-12-16 2022-03-25 中国科学技术大学 一种融合时间和位置属性的细粒度云数据访问控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111902809A (zh) * 2020-05-18 2020-11-06 深圳技术大学 雾计算下基于cp-abe的密文搜索方法、装置、设备及存储介质
WO2022025822A1 (en) * 2020-07-27 2022-02-03 Singapore Management University Cloud data sharing systems and methods for sharing data using the systems
CN114239062A (zh) * 2021-12-16 2022-03-25 中国科学技术大学 一种融合时间和位置属性的细粒度云数据访问控制方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
D. Chen et al ; .A Multi-authority Attribute-Based Encryption Scheme with Pre-decryption.《IEEE》.2015,第223-228页. *
云计算访问控制技术研究综述;王于丁等;《软件学报》;20150515(第05期);第157-178页 *
半可信云中基于属性加密扩展的访问控制研究;洪佳楠;《中国博士学位论文全文数据库信息科技辑(月刊)》;20181015;第I138-6页 *

Also Published As

Publication number Publication date
CN114615087A (zh) 2022-06-10

Similar Documents

Publication Publication Date Title
CN111181720B (zh) 基于可信执行环境的业务处理方法及装置
Awan et al. Secure framework enhancing AES algorithm in cloud computing
US11283778B2 (en) Data exchange system, method and device
CN110580412B (zh) 基于链代码的权限查询配置方法及装置
CN108880812B (zh) 数据加密的方法和系统
CN114826733B (zh) 文件传输方法、装置、系统、设备、介质以及程序产品
CN102821098A (zh) 云环境下即时通讯消息自溶解系统及方法
CN115529130B (zh) 数据处理方法、终端、服务器、系统、设备、介质和产品
CN107920060B (zh) 基于账号的数据访问方法和装置
CN110636067A (zh) 数据加密方法、数据解密方法和装置
CN106549757B (zh) Web服务的数据真伪识别方法、服务端和客户端
CN114124364A (zh) 密钥安全处理方法、装置、设备及计算机可读存储介质
CN114615087B (zh) 数据共享方法、装置、设备及介质
CN109711178B (zh) 一种键值对的存储方法、装置、设备及存储介质
CN111125788B (zh) 一种加密计算方法、计算机设备及存储介质
CN114640524B (zh) 用于处理交易重放攻击的方法、装置、设备及介质
CN115001828A (zh) 交易数据的安全访问方法、系统、电子设备及介质
CN113591098B (zh) 一种基于sgx的远程安全异构计算方法和系统
CN115599959A (zh) 数据共享方法、装置、设备及存储介质
CN114584299A (zh) 数据处理方法、装置、电子设备和存储介质
CN115277225A (zh) 一种数据加密方法、解密方法及相关设备
CN114584378A (zh) 数据处理方法、装置、电子设备和介质
CN114491489A (zh) 请求响应方法、装置、电子设备及存储介质
CN105426771A (zh) 一种实现大数据安全的方法
CN114826616B (zh) 数据处理方法、装置、电子设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant