TWI590069B - Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods - Google Patents

Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods Download PDF

Info

Publication number
TWI590069B
TWI590069B TW101123690A TW101123690A TWI590069B TW I590069 B TWI590069 B TW I590069B TW 101123690 A TW101123690 A TW 101123690A TW 101123690 A TW101123690 A TW 101123690A TW I590069 B TWI590069 B TW I590069B
Authority
TW
Taiwan
Prior art keywords
encrypted
person
control server
key
file
Prior art date
Application number
TW101123690A
Other languages
English (en)
Other versions
TW201403342A (zh
Inventor
jia-dong Zhang
Han-Jie Sun
Dun-Lin Huang
dong-xiang Liu
Zi-Chun Lian
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW101123690A priority Critical patent/TWI590069B/zh
Publication of TW201403342A publication Critical patent/TW201403342A/zh
Application granted granted Critical
Publication of TWI590069B publication Critical patent/TWI590069B/zh

Links

Landscapes

  • Storage Device Security (AREA)

Description

應用在雲端運算環境的資料加解密之分享機制與權限管理方法
本發明係關於一種加密檔案之分享機制,尤其是關於一種應用在雲端運算環境的資料加解密之分享機制與權限管理方法。
雲端儲存服務為現今網路使用者大部分皆會使用到之熱門服務,然而使用者存放在雲端的資料不是以明文的方式儲存在雲端,就是在雲端伺服器加密後再存放,此兩種方式對使用者的存放資料沒有完全的隱私保障;明文的存放方式很容易就被盜取觀看,而在遠端加密存放的方式,由於加密金鑰存放在遠端,使用者並無法自行保管,很難確保資料的安全無虞。
由此可見,上述習用技術仍有諸多缺失,實非一良善之設計者,而亟待加以改良。
本發明人有鑑於上述習用技術所衍生的各項缺點,乃亟思加以改良創新,並經苦心孤詣潛心研究後,終於成功研發完成本發明之應用在雲端運算環境的資料加解密之分享機制與權限管理方法。
本發明之目的即在提供一種應用在雲端運算環境的資料加解密之分享機制與權限管理方法,乃在改善使用者資料存放在雲端伺服器的機密與安全性和使用之彈性與便利性,利用雲端儲存機制,結合加密資料復原與分享功能,可以達到企業體和團體對雲端資料隱私安全的保障,且能提供人員在雲端儲存上進行加密檔案的分享,並具有依人員階層來管理存取權限 的能力有效避免非相關人員檢視、編輯雲端上的檔案資訊。
為達成上述之目的,於企業體或團體中,安裝具有人員階層資料權限管理以及加密資料復原功能之存取控管伺服器來提供上述之功能。本發明之系統架構中包含一存取控管伺服器、一雲端儲存空間及各人員所使用之行動運算設備。在企業體中,任一上傳至雲端儲存空間的加密檔案,皆被設計為可由上傳者本人以及存取控管伺服器解密;若人員間需要在雲端儲存空間上進行加密檔案分享,則由存取控管伺服器將此加密檔案複製一份,並將此複製之加密檔案變更為可由被分享對象及存取控管伺服器解密之檔案,再通知被分享對象可至雲端儲存空間下載。若一上級單位或主管需要讀取其下層人員儲存在雲端空間之檔案,則需向存取控管伺服器進行請求檔案,存取控管伺服器透過其人員階層資料來判斷此要求是否合法,若合法,則存取控管伺服器至雲端儲存空間將此加密檔案下載,再將此加密檔案解密後傳遞給發出請求的上級單位或主管。
綜上所述,本發明之歸納如下:一種應用於雲端運算環境的資料加解密之分享機制,其至少包含下列步驟:首先,於雲端環境存放一加密檔案,該加密檔案允許被一人員A即一控管伺服器所解密與讀取;該人員A將該加密檔案欲分享於一人員B時,該人員A發出一通知至該控管伺服器;該控管伺服器收到該通知後,將該雲端儲存環境上之該加密檔案複製一份後,執行一金鑰置換,將該加密檔案之一檔案標頭置換,成為只可被該人員B及該控管伺服器解密之該加密檔案;以及該控管伺服器通知該人員B至該雲端儲存環境下載該加密檔案。
在本發明中,更包含下列步驟:該控管伺服器取出該加密金鑰密文之 該檔案標頭;該控管伺服器利用一私密金鑰解密部分該檔案標頭,以取得該加密檔案之一加密金鑰;以及將該加密金鑰密文取代,此取代之該加密金鑰密文內容為,以該人員B及該控管伺服器之一公開金鑰各別對該加密檔案之加密金鑰進行加密,以此二件密文取代該加密檔案之原始檔頭。
在本發明中,其至少包含下列步驟:一上級人員欲讀取一加密檔案而對一控管伺服器發出一通知;該控管伺服器接收該通知,並依一人員階層資料來判斷該上級人員是否為該加密檔案之一擁有者人員之一上級主管;若是,則該控管伺服器將該加密檔案從一雲端儲存環境下載至該控管伺服器;以及該控管伺服器將該加密檔案解密,並將該加密檔案之一密文資料傳送至該上級人員。
綜上所述,本發明具有以下下列優勢:
1.採用雲端儲存可節省企業營運成本,節能省碳。
2.提供加密資料功能,可確保資料的完整性與安全性。
3.具企業分享機制,員工可於任何時間任何地點進行加密資料分享。
4.提供高安全的加密資料之復原與存取管制方法,任何加密資料經過 嚴謹之認證授權機制後,企業管理層可逕自解密。
為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,但並不用於限定本發明。以下,結合附圖對本發明進一步說明:
請參閱圖1,所示為本發明之應用在雲端運算環境的資料加解密之分享機制與權限管理方法架構圖。如圖所示,各裝置設備與控管伺服器113、雲端儲存環境106之連結方式皆是以網際網路之通訊協定進行溝通,以方便與各雲端服務進行介接;存放在雲端儲存環境106上之加密檔案107,其中加密檔案107的加密金鑰分別是以上傳人員101以及控管伺服器113之公開金鑰加密,再將此兩份加密金鑰之密文放置於加密檔案107之檔案標頭,並將此加密檔案107存放雲端儲存環境106,如此便可由上傳人員101及控管伺服器113進行檔案解密。上傳人員101欲上傳、下載加密檔案107時,可直接對雲端儲存環境106進行傳送、接收加密檔案;控管伺服器113欲下載雲端儲存環境106之加密檔案107時,可直接與雲端儲存環境106進行介接;控管伺服器113提供管理模組,管理人員103可藉由透過網路界面進行金鑰管理與人員階層關係之設定。
請參閱圖2,係為本發明之應用在雲端運算環境的資料加解密之分享機制示意圖。如圖所示,首先於雲端儲存環境106接收到由人員A 221利用行動運算設備211進行加密的加密檔案231,此加密檔案231的標頭檔包含有加密檔案231的兩份加密金鑰密文,此兩份加密金鑰密文分別為利用人員A 221以及控管伺服器113之公開金鑰加密,因此可由人員A 221及控管伺服器113進行解密;控管伺服器113收到由人員A 221發出之要求,欲將加密檔案231分享給人員B 222;控管伺服器113即將雲端儲存環境106之加密檔案231複製出一份資料內容相同之加密檔案232,取出加密金鑰密文之檔案標頭,控管伺服器113利用本身私密金鑰解密部分檔案標頭,取得加密金鑰密文,再透過金鑰置換動作,將放置於加密檔案232檔頭之加密 金鑰密文取代,此取代的加密金鑰密文內容為由人員B 222及控管伺服器113之公開金鑰各別對加密金鑰密文進行加密;複製完成並進行金鑰置換後,控管伺服器113通知人員B 222可透過電腦主機213至雲端儲存環境106下載人員A 221欲分享之加密檔案,完成整個雲端儲存上之加密檔案分享之流程。
請參閱圖3,係為本發明之應用在雲端運算環境的資料加解密之分享機制流程圖。如圖所示,為讓上述圖2部分之說明更為清楚明白,以下將藉由該流程加以詳述:首先,請參閱步驟S11,人員A透過行動運算設備製作加密檔案;接著,請參閱步驟S12,人員A透過行動運算設備將加密檔案上傳至雲端儲存環境;接著,請參閱步驟S13,人員A通知控管伺服器欲分享加密檔案給人員B;接著,請參閱步驟S14,控管伺服器於雲端儲存環境中製作一份可供人員B解密,且內容與加密檔案相同之另一加密檔案;接著,請參閱步驟S15,控管伺服器通知人員B於雲端儲存環境尚有另一加密檔案可供下載;接著,請參閱步驟S16,人員B透過電腦主機將另一加密檔案從雲端儲存環境中下載至電腦主機;最後,請參閱步驟S17,人員B透過電腦主機將另一加密檔案解密,已取得明文,並結束流程。
請參閱圖4,係為本發明之應用在雲端運算環境的資料加解密之權限管 理方法示意圖。如圖所示,控管伺服器113收到人員A 221之上級主管322發出欲取得由人員A 221上傳之加密資料231之要求;控管伺服器113透過本身之人員階層資料來判斷上級主管322是否為此加密檔案231之擁有人員A 221之上層人員,若是,控管伺服器113利用本身之私密金鑰將此加密檔案231進行解密,再將解密後的資料傳送給上級主管322之電腦主機311,完成整個階層式管理雲端加密檔案存取之流程。
請參閱圖5,係為本發明之應用在雲端運算環境的資料加解密之權限管理方法流程圖。如圖所示,為讓上述圖4部分之說明更為清楚明白,以下將藉由該流程加以詳述: 首先,請參閱步驟S21,上級主管通知控管伺服器欲存取由人員A上傳至原端儲存環境之加密檔案
接著,請參閱步驟S22,控管伺服器檢查上級主管是否為人員A之上層主管
接著,請參閱步驟S23,若是,允許此存取要求;接著,請參閱步驟S24,若否,不允許此存取要求;接著,請參閱步驟S25,控管伺服器從雲端儲存環境下載加密檔案;接著,請參閱步驟S26,控管伺服器將加密檔案解密取得明文;接著,請參閱步驟S27,控管伺服器將此明文傳送至上級主管的電腦主機;接著,請參閱步驟S28,上級主管取得加密檔案之明文,並結束流程。
以上該僅為本發明之較佳實施例,並非用來限定本發明之實施範圍。如果不脫離本發明之精神和範圍,對本發明進行修改或者等同替換,均應 涵蓋在本發明申請專利範圍的保護範圍當中。
綜上所述,本案不但在技術思想上確屬創新,並能較習知方法增進上述多項功效,應已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
101‧‧‧上傳人員
103‧‧‧伺服器管理員
106‧‧‧雲端儲存環境
107‧‧‧加密資料
113‧‧‧控管伺服器
211‧‧‧行動運算設備
213‧‧‧電腦主機
221‧‧‧人員A
222‧‧‧人員B
231‧‧‧加密檔案
232‧‧‧加密檔案
311‧‧‧電腦主機
322‧‧‧上級主管
圖1係為本發明之應用在雲端運算環境的資料加解密之分享機制與權限管理方法架構圖;圖2係為本發明之應用在雲端運算環境的資料加解密之分享機制示意圖;圖3係為本發明之應用在雲端運算環境的資料加解密之分享機制流程圖;圖4係為本發明之應用在雲端運算環境的資料加解密之權限管理方法示意圖;以及圖5係為本發明之應用在雲端運算環境的資料加解密之權限管理方法流程圖。
106‧‧‧雲端儲存環境
113‧‧‧控管伺服器
211‧‧‧行動運算設備
213‧‧‧電腦主機
221‧‧‧人員A
222‧‧‧人員B
231‧‧‧加密檔案
232‧‧‧加密檔案

Claims (4)

  1. 一種應用於雲端運算環境的資料加解密之分享方法,其至少包含下列步驟:a.於雲端環境上存放一被加密金鑰保護之加密檔案,該加密檔案允許被一人員A及一控管伺服器所解密與讀取,該加密檔案內包含二份被加密的加密金鑰密文,該兩份密文一份係由該人員A加密的該加密金鑰密文,另一份係由該控管伺服器加密的該加密金鑰密文;以及b.該人員A將該加密檔案欲分享於一人員B時,該人員A發出一通知至該控管伺服器;該控管伺服器收到該通知後,即執行一金鑰置換,該金鑰置換係解密由該控管伺服器加密的該加密金鑰密文,並利用該人員B公開金鑰加密此加密金鑰,產生一份由該人員B加密的加密金鑰密文,將該人員B加密的該加密金鑰密文與原本該人員A加密的該加密金鑰密文進行置換,置換後之該加密檔案成為只可被該人員B及該控管伺服器解密之該加密檔案,該加密檔案係需由該人員B或該控管伺服本身所持有之私密金鑰進行解密。
  2. 如請求項1所述之方法,更包含下列步驟:該控管伺服器通知該人員B至該雲端儲存環境下載該加密檔案。
  3. 如請求項1所述之方法,更包含下列步驟:a.該控管伺服器取出該二加密金鑰密文對應之檔案標頭;b.該控管伺服器利用該私密金鑰解密對應部分之該檔案標頭,以取得該 加密檔案之一加密金鑰;以及c.將該加密金鑰密文由該置換加密金鑰密文取代,該置換加密金鑰密文內容為,以該人員B及該控管伺服器之該公開金鑰各別對該加密檔案之加密金鑰進行加密,以此二件密文取代該加密檔案之原始檔頭。
  4. 一種應用於雲端運算環境的資料加解密之權限管理方法,其至少包含下列步驟:a.一上級人員欲讀取一加密檔案而對一控管伺服器發出一通知,該加密檔案包含二加密金鑰密文,該二加密金鑰密文係分別由一人員以及該控管伺服器持有金鑰配置而成,該加密檔案允許該人員或該控管伺服器所持有之私密金鑰進行解密;b.該控管伺服器接收該通知,並依一人員階層資料來判斷該上級人員是否為該加密檔案之一擁有者人員之一上級主管;c.若是,則該控管伺服器將該加密檔案從一雲端儲存環境下載至該控管伺服器;以及d.該控管伺服器將該加密檔案解密,並將該加密檔案之一解密資料傳送至該上級人員。
TW101123690A 2012-07-02 2012-07-02 Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods TWI590069B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW101123690A TWI590069B (zh) 2012-07-02 2012-07-02 Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101123690A TWI590069B (zh) 2012-07-02 2012-07-02 Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods

Publications (2)

Publication Number Publication Date
TW201403342A TW201403342A (zh) 2014-01-16
TWI590069B true TWI590069B (zh) 2017-07-01

Family

ID=50345543

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101123690A TWI590069B (zh) 2012-07-02 2012-07-02 Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods

Country Status (1)

Country Link
TW (1) TWI590069B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201917594A (zh) * 2017-10-18 2019-05-01 華東科技股份有限公司 一種資料交換之導引裝置及方法

Also Published As

Publication number Publication date
TW201403342A (zh) 2014-01-16

Similar Documents

Publication Publication Date Title
CN108259169B (zh) 一种基于区块链云存储的文件安全分享方法及系统
JP6383019B2 (ja) 複数許可データセキュリティ及びアクセス
US9070112B2 (en) Method and system for securing documents on a remote shared storage resource
US7751570B2 (en) Method and apparatus for managing cryptographic keys
US9424400B1 (en) Digital rights management system transfer of content and distribution
KR100423797B1 (ko) 디지털 정보 보안 방법 및 그 시스템
US11461489B2 (en) Method and system for securing data
CN105122265B (zh) 数据安全服务系统
CN109948322B (zh) 本地化加密防护的个人云存储数据保险箱装置及方法
US20060010323A1 (en) Method for a repository to provide access to a document, and a repository arranged in accordance with the same method
CN103561034A (zh) 一种安全文件共享系统
KR20140093716A (ko) 컴퓨팅 장치를 보안화하는 방법
US20120303967A1 (en) Digital rights management system and method for protecting digital content
KR101220160B1 (ko) 모바일 클라우드 환경에서 안전한 프록시 재암호화 기반의 데이터 관리 방법
CN104125069A (zh) 一种面向共享的安全文件目录文件加密系统
US20240039709A1 (en) Method and apparatus for sharing encrypted data, and device and readable medium
WO2019083379A1 (en) DATA TRANSMISSION
CN102138145B (zh) 以密码控制对文档的访问
TWI611302B (zh) 安全地共享內容方法及系統
KR101315482B1 (ko) 작성자 인증을 통한 기밀정보 열람 서비스 시스템 및 그 제어방법
Pereira et al. Storekeeper: A security-enhanced cloud storage aggregation service
JP5494171B2 (ja) ファイル管理システム、ストレージサーバ、クライアント、ファイル管理方法およびプログラム
TWI590069B (zh) Application of data encryption and decryption in the cloud computing environment to share mechanisms and rights management methods
WO2013166751A1 (zh) 一种云存储安全控制的方法
KR20210143846A (ko) 암호화 시스템들

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees