CN114826696A - 文件内容分级共享方法、装置、设备及介质 - Google Patents

文件内容分级共享方法、装置、设备及介质 Download PDF

Info

Publication number
CN114826696A
CN114826696A CN202210364008.0A CN202210364008A CN114826696A CN 114826696 A CN114826696 A CN 114826696A CN 202210364008 A CN202210364008 A CN 202210364008A CN 114826696 A CN114826696 A CN 114826696A
Authority
CN
China
Prior art keywords
key
data block
file
level
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210364008.0A
Other languages
English (en)
Other versions
CN114826696B (zh
Inventor
陈宇翔
吴开均
郝尧
易仲强
过小宇
彭海洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202210364008.0A priority Critical patent/CN114826696B/zh
Publication of CN114826696A publication Critical patent/CN114826696A/zh
Application granted granted Critical
Publication of CN114826696B publication Critical patent/CN114826696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了文件内容分级共享方法、装置、设备及介质,该方法包括:对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块;判断数据块类型,对待加密数据块进行分级加密,得到分级加密的文件,其中,对待加密数据块进行分级加密的密钥通过对应等级的授权密钥和数据块标识派生,文件高等级权限加密所保护的数据块信息包含了文件低等级权限加密所保护的数据块信息;存储根密钥和最高等级授权密钥,并在需要共享文件时将分级加密后的文件、被授权级别的授权密钥和相应权限级别的数据块密钥传输至接收方。本发明仅需通过安全信道给出相应级别的授权密钥和数据块密钥,即可实现基于密钥的数据权限划分。

Description

文件内容分级共享方法、装置、设备及介质
技术领域
本发明属于文件安全共享技术领域,尤其涉及文件内容分级共享方法、装置、设备及介质。
背景技术
文件管理在政务、企业办公中应用广泛。然而,从信息安全的角度出发,目前文件、数据的管控仍面临一系列挑战。在一个文档中,对不同群体不同人员存在不同授权级别的信息,在文件加密后,文件内容会脱离文件所有者的控制而存在,同一文件内不同授权级别的数据块,在数据加密、交换、存储、使用等过程中具有分级管控需求,若对数据授权范围判断不准确,存在保护强度不够的情况,将导致数据泄露风险。
目前存储系统的加密存储大多建立在目录级和文件级基础上,元数据缺乏对文件内数据块的记录,同一文件往往只能进行整体加密操作,不能对文件的部分内容进行加密,这种统一粗粒度加密方式使同一文件不同授权类别的数据全部加密,浪费了CPU计算资源,也不满足数据分级管控需求,文件管理的简单存储加密粒度过粗,在数据流转中存在过度授权问题,增加了数据泄露风险。如果需要对文件的不同区域进行密文权限划分,现有方法通常使用不同算法或不同密钥对文件多次加密,从而生成多个文件,不利于用户和程序设计者管理这些文件,也浪费了大量存储空间。
发明内容
本发明的目的在于,为克服现有技术缺陷,提供了文件内容分级共享方法、装置、设备及介质,在授权其他用户具体文件的指定数据内容的权限时,仅需通过安全信道给出相应级别的数据块密钥和授权密钥,即可实现基于密钥的数据权限划分。
本发明目的通过下述技术方案来实现:
一种文件内容分级共享方法,每一位用户注册后持有根秘钥和对应等级的授权密钥,每一位用户的根秘钥不同,相同等级的授权密钥相同,所述根密钥用于派生文件密钥,所述方法包括:
对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块;
对待加密数据块进行分级加密,得到不同等级加密的文件,其中,对所述待加密数据块进行分级加密的密钥通过对应等级的授权密钥、文件密钥和数据块等级标识派生;
将相应权限级别的数据块密钥传输至相应等级的用户。
进一步的,最高级别授权密钥通过密钥管理中心获取,低级别的授权密钥通过高一级的授权密钥派生,具体包括:
LKn=Hash(LKn-1||n-1);
其中,LKn表示第n级授权密钥,当n=1时LKn=LK表示最高级别授权密钥,HASH()为哈希函数,A||B表示A与B的字符串。
进一步的,所述根密钥用于派生文件密钥具体包括:
FK=Hash(RK||filename);
其中,FK为文件密钥,RK为根密钥,filename为文件名。
进一步的,所述文件密钥用于与数据块标识配合对数据块进行加密具体包括:
FKn=Hash(FKn-1||LKn||DataLable_n);
其中,FKn表示第n级数据块密钥,当n=1时FKn-1=FK,LKn表示第n级授权密钥,DataLable_n表示第n级数据块密钥所要加密的数据块的安全等级标识。
进一步的,所述授权密钥和数据块密钥的传递方式包括以安全信道方式传递。
进一步的,所述分级加密的文件的元数据信息分层组织在树形结构中独立存储,用户解密文件信息时通过元数据信息中的元数据找到相应权限的数据块进行解密。
进一步的,所述接收方在解密时,根据接收到的相应权限级别的数据块密钥结合持有的授权密钥恢复对应等级的文件数据块。
另一方面,本发明还提供了一种文件内容分级共享装置,应用于包含根密钥的管理系统,所述根密钥用于派生文件密钥,所述文件密钥用于与数据块标识配合对数据块进行加密,所述装置包括:
拆分模块,用于对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块;
加密模块,用于对待加密数据块进行分级加密,得到不同等级加密的文件,其中,对所述待加密数据块进行分级加密的密钥通过对应等级的授权密钥、文件密钥和数据块等级标识派生;
共享模块,用于将相应权限级别的数据块密钥传输至相应等级的用户。
可选地,所述装置还包括授权密钥派生模块,用于通过密钥管理中心获取最高级别授权密钥,通过高一级的授权密钥派生低级别的授权密钥,具体包括:
LKn=Hash(LKn-1||n-1);
其中,LKn表示第n级授权密钥,当n=1时LKn=LK表示最高级别授权密钥,HASH()为哈希函数,A||B表示A与B的字符串。
可选地,所述装置还包括文件密钥派生模块,用于通过根密钥派生文件密钥,具体包括:
FK=Hash(RK||filename);
其中,FK为文件密钥,RK为根密钥,filename为文件名。
可选地,所述加密模块通过文件密钥与数据块标识配合对数据块进行加密具体包括:
FKn=Hash(FKn-1||LKn||DataLable_n);
其中,FKn表示第n级数据块密钥,当n=1时FKn-1=FK,LKn表示第n级授权密钥,DataLable_n表示第n级数据块密钥所要加密的数据块的安全等级标识。
可选地,所述装置还包括密钥传递模块,用于传递授权密钥和数据块密钥,所述授权密钥和数据块密钥的传递方式包括以安全信道方式传递。
可选地,所述加密模块加密得到的分级加密文件的元数据信息分层组织在树形结构中独立存储,用户解密文件信息时通过元数据信息中的元数据找到相应权限的数据块进行解密。
可选地,所述装置还包括解密模块,所述接收方通过解密模块对文件进行解密,所述解密模块用于根据接收到的相应权限级别的数据块密钥结合持有的授权密钥恢复对应等级的文件数据块。
另一方面,本发明还提供了一种计算机设备,计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现上述的任意一种文件内容分级共享方法。
另一方面,本发明还提供了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现上述的任意一种文件内容分级共享方法。
本发明的有益效果在于:
本方法提供了基于密钥划分权限的数据块级安全管控机制,降低了敏感数据泄露风险;密管中心只需为用户分配根密钥,用户可自行派生加密密钥,减小了密钥管理的成本,实现了数据块级灵活、安全密钥和用户权限管理。为明确文件、数据权属、认定安全责任、监督文件、数据使用提供了技术保障手段,解除文件提供方、文件需求方和管理方的后顾之忧。
附图说明
图1是本发明实施例提供的文件内容分级共享方法流程示意图;
图2是本发明实施例提供的密钥管理关系示意图;
图3是本发明实施例提供的数据块分级加密示意图;
图4是本发明实施例提供的元数据组织管理结构示意图;
图5是本发明实施例提供的文件分级解密示意图;
图6是本发明实施例提供的文件内容分级共享装置结构框图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前存储系统的加密存储大多建立在目录级和文件级基础上,元数据缺乏对文件内数据块的记录,同一文件往往只能进行整体加密操作,不能对文件的部分内容进行加密,这种统一粗粒度加密方式使同一文件不同授权类别的数据全部加密,浪费了CPU计算资源,也不满足数据分级管控需求,文件管理的简单存储加密粒度过粗,在数据流转中存在过度授权问题,增加了数据泄露风险。如果需要对文件的不同区域进行密文权限划分,现有方法通常使用不同算法或不同密钥对文件多次加密,从而生成多个文件,不利于用户和程序设计者管理这些文件,也浪费了大量存储空间。
为了解决上述技术问题了,提出了本发明文件内容分级共享方法、装置、设备及介质的下述各个实施例。
实施例1
本实施例提供的文件内容分级共享方法中每一位用户注册后持有根秘钥和对应等级的授权密钥,每一位用户的根秘钥不同,相同等级的授权密钥相同,根密钥用于派生文件密钥。
参照图2,如图2所示是本实施例提供的密钥管理关系示意图。每个用户拥有自行注册的根密钥RK(可自行生成后注册授权或由权威机构签发,是使用随机数生成函数产生的随机密钥),可用于派生发布文件的文件密钥FK(FK=Hash(RK||filename)),用户从权威中心(如密管中心)获取相应等级的授权密钥LKn(n=1,2,…n),n表示用户权限等级,n=1表示权限最高,n的值越大权限越低。密钥以安全信道的方式传递,比如数字信封、HTTPS等。用户只需存储个人根密钥和被授权的最高等级密钥,而无需存储其他密钥,次级授权密钥、文件密钥及授权数据块密钥均可通过派生计算产生。
其中,最高级别授权密钥通过密钥管理中心获取,低级别的授权密钥通过高一级的授权密钥派生,具体包括:
LKn=Hash(LKn-1||n-1);
其中,LKn表示第n级授权密钥,当n=1时LKn=LK表示最高级别授权密钥,HASH()为哈希函数,A||B表示A与B的字符串。
参照图1,如图1所示是本实施例提供的文件内容分级共享方法流程示意图。该方法具体包括以下步骤:
步骤S100:对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块。
步骤S200:对待加密数据块进行分级加密,得到不同等级加密的文件,其中,对待加密数据块进行分级加密的密钥通过对应等级的授权密钥、文件密钥和数据块等级标识派生。
作为一种实施方式,本实施例以将待共享文件拆分为4个数据块为例进行说明。参照图3,如图3所示是实施例提供的数据块分级加密示意图。
用户需要共享一个文件,该文件被划分为4个数据块,其中,包含1个公共数据块和3个待加密数据块。用户首先利用前述加密密钥派生中的步骤计算每个文件的文件密钥,假设三个不同级别文件分别为一级文件FileA、二级文件FileB和三级文件FileC,分别对应文件密钥FKA(一级),FKB(二级),FKC(三级),一级文件内可包含一级、二级、三级及公共四类内容数据块,二级文件可包含二级、三级和公共内容数据块,三级文件仅能包含三级和公共数据块。
作为一种实施方式,本实施例中数据块密钥的派生方式为FKn=Hash(FKn-1||LKn||DataLable_n),其中LKn为当前授权密钥,FKn-1为上一级数据块密钥,DataLable_n为第n级数据块密钥所要加密的数据块的安全等级标识。由此可见,当用户具有根密钥和被授权密钥LKn时,仅能计算同级别或较低安全级别的数据块密钥对数据进行处理,无法计算更高安全级数据的密钥,在授权其他用户具体文件的指定数据内容的权限时,仅需通过安全信道给出相应级别的数据块密钥,即可实现基于密钥的数据权限划分。
对一个一级文件FileA,由文件密钥FKA=Hash(RK||Filename)产生各个文件的分级加密密钥,最多可存在四个等级的数据块,一级、二级、三级及公开信息,分别计算三个数据块等级的分级密钥FKA1=Hash(FKA||LK1||Datalable_1);FKA2=Hash(FKA1||LK2||Datalable_2);FKA3=Hash(FKA2||LK3||Datalable_3)。然后对FileA文件内容加密AC=(CA1,CA2,CA3)=(Enc(FileA1,FKA1),Enc(FileA2,FKA2),Enc(FileA3,FKA3)),其中A1,A2,A3代表文件中3类安全级别的数据块。
需要说明的是,AC表示该文件FileA被加密后的结果,该文件密文Ac由密文块CA1,CA2,CA3组成,CA1,CA2,CA3分别对应文件A中不同安全级的数据块A1,A2,A3被加密的结果。Enc代表加密函数,CA1=Enc(FileA1,FKA1)表示用数据块密钥FKA1加密FileA的数据块FileA1得到密文数据块CA1,CA2=Enc(FileA2,FKA2)和CA3=Enc(FileA3,FKA3)同理以此类推。
对二级文件FileB最多可存在三类安全级的数据块,二级、三级与公开。分别计算两个数据块等级的分级密钥,FKB2=Hash(FKB||LK2||Datalable_2),FKB3=Hash(FKB2||LK3||Datalable_3)。然后对FileB文件内容加密Bc=(CB2,CB3)=(Enc(FileB2,FKB2),Enc(FileB3,FKB3))。
对三级文件FileC,仅允许存在两类安全级的数据块,即三级和公开数据块,则计算相应三级级分级密钥FKC3=Hash(FKC||LK3||Datalable_3),然后对FileC文件内容加密CC=Enc(FileC3,FKC3)。
在上述计算中,不对第四类公开数据块做任何处理,仍以明文形式保留,在共享文件时,仅需通过安全信道给出授权最高权限的数据块密钥即可。
步骤S300:将相应权限级别的数据块密钥传输至相应等级的用户。
作为一种实施方式,本实施例中文件被创建者分块加密处理后,由于每个文件数据块的大小不定,为了便于恢复,整个文件的元数据信息被分层组织在一个树形结构中,独立存储(比如元数据管理服务器、文件头部独立区域等)以供查询,当用户解密文件信息时,通过元数据(包括数据标签、授权范围、偏移地址、加密算法等信息)找到相应权限的数据块并解密。参照图4,如图4所示是本实施例提供的元数据组织管理结构示意图。
当被分享用户需要解密时,根据自己被授权级别的密钥LKi和被共享的数据块密钥FKi恢复出文件内所有更低等级数据块加密密钥FKi+1,FKi+2,…FKn。最终可利用元数据管理结构将所有授权的密文块提取出来,并使用恢复出的各数据块密钥FKi解密出权限范围内的文件数据块File=Dec(Ci,FKi)。其中,Dec表示解密算法,是Enc加密算法的逆操作,输入密文Ci,和该密文块的密钥FKi,输出解密结果File。
参照图5,如图5所示是本实施例中文件分级解密示意图。一个文件内数据块授权重组权限如图5所示,即用户可读权限不高于文件数据块的被授权权限。
本实施例提供的文件内容分级共享方法利用基于密钥划分权限的数据块级安全管控机制,降低了敏感数据泄露风险;密管中心只需为用户分配根密钥,用户可自行派生加密密钥,减小了密钥管理的成本,实现了数据块级灵活、安全密钥和用户权限管理。为明确文件、数据权属、认定安全责任、监督文件、数据使用提供了技术保障手段,解除文件提供方、文件需求方和管理方的后顾之忧。
实施例2
参照图6,如图6所示是本实施例提供的文件内容分级共享装置结构框图。该装置具体包括:
拆分模块,用于对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块;
加密模块,用于判断数据块类型,对待加密数据块进行分级加密,得到分级加密的文件,其中,对待加密数据块进行分级加密的密钥通过对应等级的授权密钥和数据块标识派生,文件高等级权限加密所保护的数据块信息包含了文件低等级权限加密所保护的数据块信息;
共享模块,用于存储根密钥和最高等级授权密钥,并在需要共享文件时将分级加密后的文件及相应权限级别的数据块密钥传输至接收方。
作为一种实施方式,装置还包括授权密钥派生模块,用于通过密钥管理中心获取最高级别授权密钥,通过高一级的授权密钥派生低级别的授权密钥,具体包括:
LKn=Hash(LKn-1||n-1);
其中,LKn表示第n级授权密钥,当n=1时LKn=LK表示最高级别授权密钥,HASH()为哈希函数,A||B表示A与B的字符串。
作为一种实施方式,装置还包括文件密钥派生模块,用于通过根密钥派生文件密钥,具体包括:
FK=Hash(RK||filename);
其中,FK为文件密钥,RK为根密钥,filename为文件名。
作为一种实施方式,加密模块通过文件密钥与数据块标识配合对数据块进行加密具体包括:
FKn=Hash(FKn-1||LKn||DataLable_n);
其中,FKn表示第n级数据块密钥,当n=1时FKn-1=FK,LKn表示第n级授权密钥,DataLable_n表示第n级数据块密钥所要加密的数据块的安全等级标识。
作为一种实施方式,装置还包括密钥传递模块,用于传递授权密钥和数据块密钥,授权密钥和数据块密钥的传递方式包括以安全信道方式传递。
作为一种实施方式,加密模块加密得到的分级加密文件的元数据信息分层组织在树形结构中独立存储,用户解密文件信息时通过元数据信息中的元数据找到相应权限的数据块进行解密。
作为一种实施方式,装置还包括解密模块,接收方通过解密模块对文件进行解密,解密模块用于根据接收到的相应权限级别的数据块密钥结合持有的授权密钥恢复对应等级的文件数据块。
本实施例提供的文件内容分级共享装置利用基于密钥划分权限的数据块级安全管控机制,降低了敏感数据泄露风险;密管中心只需为用户分配根密钥,用户可自行派生加密密钥,减小了密钥管理的成本,实现了数据块级灵活、安全密钥和用户权限管理。为明确文件、数据权属、认定安全责任、监督文件、数据使用提供了技术保障手段,解除文件提供方、文件需求方和管理方的后顾之忧。
实施例3
本优选实施例提供了一种计算机设备,该计算机设备可以实现本申请实施例所提供的文件内容分级共享方法任一实施例中的步骤,因此,可以实现本申请实施例所提供的文件内容分级共享方法的有益效果,详见前面的实施例,在此不再赘述。
实施例4
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的文件内容分级共享方法中任一实施例的步骤。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一文件内容分级共享方法实施例中的步骤,因此,可以实现本发明实施例所提供的任一文件内容分级共享方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种文件内容分级共享方法,其特征在于,每一位用户注册后持有根秘钥和对应等级的授权密钥,每一位用户的根秘钥不同,相同等级的授权密钥相同,所述根密钥用于派生文件密钥,所述方法包括:
对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块;
对待加密数据块进行分级加密,得到不同等级加密的文件,其中,对所述待加密数据块进行分级加密的密钥通过对应等级的授权密钥、文件密钥和数据块等级标识派生;
将相应权限级别的数据块密钥传输至相应等级的用户。
2.如权利要求1所述的文件内容分级共享方法,其特征在于,最高级别授权密钥通过密钥管理中心获取,低级别的授权密钥通过高一级的授权密钥派生,具体包括:
LKn=Hash(LKn-1||n-1);
其中,LKn表示第n级授权密钥,当n=1时LKn=LK表示最高级别授权密钥,HASH()为哈希函数,A||B表示A与B的字符串。
3.如权利要求2所述的文件内容分级共享方法,其特征在于,所述根密钥用于派生文件密钥具体包括:
FK=Hash(RK||filename);
其中,FK为文件密钥,RK为根密钥,filename为文件名。
4.如权利要求3所述的文件内容分级共享方法,其特征在于,所述文件密钥用于与数据块标识配合对数据块进行加密具体包括:
FKn=Hash(FKn-1||LKn||DataLable_n);
其中,FKn表示第n级数据块密钥,当n=1时FKn-1=FK,LKn表示第n级授权密钥,DataLable_n表示第n级数据块密钥所要加密的数据块的安全等级标识。
5.如权利要求2所述的文件内容分级共享方法,其特征在于,所述授权密钥和数据块密钥的传递方式包括以安全信道方式传递。
6.如权利要求1所述的文件内容分级共享方法,其特征在于,所述分级加密的文件的元数据信息分层组织在树形结构中独立存储,用户解密文件信息时通过元数据信息中的元数据找到相应权限的数据块进行解密。
7.如权利要求1所述的文件内容分级共享方法,其特征在于,所述接收方在解密时,根据接收到的相应权限级别的数据块密钥结合持有的授权密钥恢复对应等级的文件数据块。
8.一种文件内容分级共享装置,其特征在于,应用于包含根密钥的管理系统,所述根密钥用于派生文件密钥,所述文件密钥用于与数据块标识配合对数据块进行加密,所述装置包括:
拆分模块,用于对待共享文件进行数据块拆分,获得若干数据块,其中,包括一个公共数据块和至少一个待加密数据块;
加密模块,用于对待加密数据块进行分级加密,得到不同等级加密的文件,其中,对所述待加密数据块进行分级加密的密钥通过对应等级的授权密钥、文件密钥和数据块等级标识派生;
共享模块,用于将相应权限级别的数据块密钥传输至相应等级的用户。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1-7任一项所述的文件内容分级共享方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1-7任一项所述的文件内容分级共享方法。
CN202210364008.0A 2022-04-08 2022-04-08 文件内容分级共享方法、装置、设备及介质 Active CN114826696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210364008.0A CN114826696B (zh) 2022-04-08 2022-04-08 文件内容分级共享方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210364008.0A CN114826696B (zh) 2022-04-08 2022-04-08 文件内容分级共享方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114826696A true CN114826696A (zh) 2022-07-29
CN114826696B CN114826696B (zh) 2023-05-09

Family

ID=82535581

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210364008.0A Active CN114826696B (zh) 2022-04-08 2022-04-08 文件内容分级共享方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114826696B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113032345A (zh) * 2021-03-26 2021-06-25 北京字节跳动网络技术有限公司 文件处理的方法、装置、终端及非暂时性存储介质
US20230090453A1 (en) * 2020-10-30 2023-03-23 KnowBe4, Inc. Systems and methods for determination of level of security to apply to a group before display of user data
CN115906155A (zh) * 2022-11-04 2023-04-04 浙江联运知慧科技有限公司 一种分拣中心的数据管理系统
CN117112499A (zh) * 2023-10-25 2023-11-24 数研院(福建)信息产业发展有限公司 一种数据目录分级的方法、介质及设备
CN117390646A (zh) * 2023-10-23 2024-01-12 上海合见工业软件集团有限公司 一种集成电路源文件加密方法、电子设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104601579A (zh) * 2015-01-20 2015-05-06 成都市酷岳科技有限公司 一种保障信息安全的计算机系统及其方法
CN108959982A (zh) * 2018-07-06 2018-12-07 江苏北弓智能科技有限公司 一种基于硬件加密tf卡的移动终端文件加解密系统及方法
CN109614792A (zh) * 2018-11-29 2019-04-12 中国电子科技集团公司第三十研究所 一种分级文件密钥管理方法
US20190158281A1 (en) * 2017-11-20 2019-05-23 Rubrik, Inc. Managing key encryption keys using a key wrapping tree
CN110166458A (zh) * 2019-05-23 2019-08-23 王怀尊 一种三级秘钥加密系统
CN110879880A (zh) * 2019-10-24 2020-03-13 南京东科优信网络安全技术研究院有限公司 一种用户自主控制数据安全等级保护的密码装置
CN112270001A (zh) * 2020-10-22 2021-01-26 苏州浪潮智能科技有限公司 一种密钥管理方法、装置、服务器、介质和系统
CN113094718A (zh) * 2019-12-23 2021-07-09 华为数字技术(苏州)有限公司 一种文件加密方法及相关装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104601579A (zh) * 2015-01-20 2015-05-06 成都市酷岳科技有限公司 一种保障信息安全的计算机系统及其方法
US20190158281A1 (en) * 2017-11-20 2019-05-23 Rubrik, Inc. Managing key encryption keys using a key wrapping tree
CN108959982A (zh) * 2018-07-06 2018-12-07 江苏北弓智能科技有限公司 一种基于硬件加密tf卡的移动终端文件加解密系统及方法
CN109614792A (zh) * 2018-11-29 2019-04-12 中国电子科技集团公司第三十研究所 一种分级文件密钥管理方法
CN110166458A (zh) * 2019-05-23 2019-08-23 王怀尊 一种三级秘钥加密系统
CN110879880A (zh) * 2019-10-24 2020-03-13 南京东科优信网络安全技术研究院有限公司 一种用户自主控制数据安全等级保护的密码装置
CN113094718A (zh) * 2019-12-23 2021-07-09 华为数字技术(苏州)有限公司 一种文件加密方法及相关装置
CN112270001A (zh) * 2020-10-22 2021-01-26 苏州浪潮智能科技有限公司 一种密钥管理方法、装置、服务器、介质和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李松渊: "一种多级密钥机制在互联网电视终端的研究与实现", 《广播电视信息》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230090453A1 (en) * 2020-10-30 2023-03-23 KnowBe4, Inc. Systems and methods for determination of level of security to apply to a group before display of user data
US11943253B2 (en) * 2020-10-30 2024-03-26 KnowBe4, Inc. Systems and methods for determination of level of security to apply to a group before display of user data
CN113032345A (zh) * 2021-03-26 2021-06-25 北京字节跳动网络技术有限公司 文件处理的方法、装置、终端及非暂时性存储介质
CN115906155A (zh) * 2022-11-04 2023-04-04 浙江联运知慧科技有限公司 一种分拣中心的数据管理系统
CN117390646A (zh) * 2023-10-23 2024-01-12 上海合见工业软件集团有限公司 一种集成电路源文件加密方法、电子设备及存储介质
CN117112499A (zh) * 2023-10-25 2023-11-24 数研院(福建)信息产业发展有限公司 一种数据目录分级的方法、介质及设备
CN117112499B (zh) * 2023-10-25 2024-01-02 数研院(福建)信息产业发展有限公司 一种数据目录分级的方法、介质及设备

Also Published As

Publication number Publication date
CN114826696B (zh) 2023-05-09

Similar Documents

Publication Publication Date Title
CN114826696B (zh) 文件内容分级共享方法、装置、设备及介质
Khanezaei et al. A framework based on RSA and AES encryption algorithms for cloud computing services
CN108768951B (zh) 一种云环境下保护文件隐私的数据加密和检索方法
US7010689B1 (en) Secure data storage and retrieval in a client-server environment
CN104021157B (zh) 云存储中基于双线性对的关键词可搜索加密方法
US5604801A (en) Public key data communications system under control of a portable security device
US20100005318A1 (en) Process for securing data in a storage unit
CN110602063A (zh) 一种多授权中心访问控制方法、系统及云存储系统
CN112187798B (zh) 一种应用于云边数据共享的双向访问控制方法及系统
US20080098227A1 (en) Method of enabling secure transfer of a package of information
CN108632385B (zh) 基于时间序列的多叉树数据索引结构云存储隐私保护方法
CN112364376A (zh) 一种属性代理重加密医疗数据共享方法
CN116668072A (zh) 一种基于多权限属性基加密的数据安全共享方法及系统
KR20210058313A (ko) 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템
Suveetha et al. Ensuring confidentiality of cloud data using homomorphic encryption
CN108494552B (zh) 支持高效收敛密钥管理的云存储数据去重方法
CN112187456B (zh) 一种密钥分层管理与协同恢复系统及方法
CN110474873B (zh) 一种基于知悉范围加密的电子文件访问控制方法和系统
Anitha et al. Security Aware High Scalable paradigm for Data Deduplication in Big Data cloud computing Environments
Venkatesh et al. Secure authorised deduplication by using hybrid cloud approach
CN113347189B (zh) 可更新及数据所有权可转移的消息自锁加密系统及方法
Karani et al. Secure File Storage Using Hybrid Cryptography
Motegaonkar et al. To develop secure deduplication of data using hybrid cloud methodology
CN110650152B (zh) 一种支持动态密钥更新的云端数据完整性验证方法
Park et al. PRE-based Privacy-Sensitive Healthcare Data Management for Secure Sharing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant