CN109525388B - 一种密钥分离的组合加密方法及*** - Google Patents
一种密钥分离的组合加密方法及*** Download PDFInfo
- Publication number
- CN109525388B CN109525388B CN201710848067.4A CN201710848067A CN109525388B CN 109525388 B CN109525388 B CN 109525388B CN 201710848067 A CN201710848067 A CN 201710848067A CN 109525388 B CN109525388 B CN 109525388B
- Authority
- CN
- China
- Prior art keywords
- data
- key
- ciphertext
- user terminal
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密钥分离的组合加密方法及***,涉及数据安全和计算机网络技术领域,其方法包括:用户终端将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密,得到数据第一部分密文;所述用户终端将所述数据第一部分密文和所述数据第二部分发送给服务器端,以便服务器端利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
Description
技术领域
本发明涉及数据安全和计算机网络技术领域,特别涉及一种密钥分离的组合加密方法及***。
背景技术
随着移动互联网和无线网络技术的快速发展,每天都会产生大量数字化的数据,人们对数据的隐私安全越来越关注,数据加密是保护隐私的主要手段之一。一方面,为了保证数据安全,加密使用的加密算法和密钥越来越复杂,尤其当设备计算能力有限时,例如手机,机顶盒等,加解密耗时会很长,影响体验;另一方面,目前加密通常是一方设置一个密钥然后对文件进行加密,然后把加密后的数据和密钥存储到服务器端或者机顶盒上,但是当密钥被黑客获取时,用户的敏感信息将会泄露,另外对加密方的计算性能要求很高。因此,为了保护隐私和提升加解密效率,多方参与密钥生成和数据加解密将成为趋势。
随着移动互联网的发展,手机越来越普及,人们可以通过手机进行拍照、购物等。但是当人们想要在服务器端上(例如网络机顶盒或者云服务器端等)保存生活点滴或者照片时,为了保护隐私,目前已有的方法分为两类,1、在手机上进行加密,然后上传到服务器端上存储,2、把数据传输到服务器端上,服务器端进行加密存储。但是上述两种方法都是一方参与文件的加解密,尤其第一种,对手机性能要求很高,而且当这一方密钥丢了,那么隐私信息将会被泄露,第二种则需要服务器端计算性能很强,但是在移动互联网环境中,用户终端和服务器端(不限于机顶盒)的计算性能都不是很高。此外,当用户想与其他用户分享加密数据时,一种方法就是把密钥发给其他用户,但是会增加泄露风险,另一种方法就是使用新的密钥重新加密文档,但是就会增加存储空间。
发明内容
根据本发明实施例提供的方案解决的技术问题是计算和存储能力有限的服务器端存在数据安全隐私泄露风险和存储有限。
根据本发明实施例提供的一种密钥分离的组合加密方法,包括:
用户终端将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC(Key Distribution Center,密钥分发中心)获取的终端密钥对数据第一部分进行加密,得到数据第一部分密文;
所述用户终端将所述数据第一部分密文和所述数据第二部分发送给服务器端,以便服务器端利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
优选地,在利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密之前,还包括:
所述用户终端通过向KDC发送包含服务器端信息的注册请求,接收所述KDC根据所述注册请求返回的终端密钥。
优选地,所述用户终端将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取终端密钥对数据第一部分进行加密,得到数据第一部分密文包括:
所述用户终端通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息;
所述用户终端利用所述终端密钥对数据第一部分进行加密,得到数据第一部分密文。
优选地,还包括:
在查看所述数据时,通过分别利用所述终端密钥和所述服务端密钥对数据第一部分密文和数据第二部分进行解密,并利用所述数据分割信息将解密后的明文进行拼接,恢复出所述数据。
优选地,在所述用户终端查看所述数据时,通过分别利用所述终端密钥和所述服务端密钥对数据第一部分密文和数据第二部分进行解密,并利用所述数据分割信息将解密后的明文进行拼接,恢复出所述数据包括:
所述用户终端接收所述服务器端利用所述服务端密钥对所述数据第二部分密文进行解密所得到明文第二部分;
所述用户终端接收到所述明文第二部分后,利用所述终端密钥对所述数据第一部分密文进行解密,得到明文第一部分;
所述用户终端利用所述数据分割信息对所得到的明文第二部分和明文第一部分进行拼接,恢复出所述数据。
根据本发明实施例提供的一种密钥分离的组合加密方法,包括:
服务器端接收用户终端发送的数据第一部分密文、数据第二部分以及数据分割信息,并利用从所述KDC获取的服务器端密钥对所述密文组件中的数据第二部分进行加密,得到数据第二部分密文;
服务器端将所接收的数据第一部分密文、数据分割信息以及所得到的数据第二部分密文进行保存。
根据本发明实施例提供的一种密钥分离的组合加密***,包括:
用户终端,用于将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取终端密钥对数据第一部分进行加密,得到数据第一部分密文后,将所述数据第一部分密文和所述数据第二部分发送给服务器端;
服务器端,用于利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
优选地,所述用户终端包括:
分割单元,用于通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息;
加密单元,用于所述用户终端利用通过向KDC发送包含服务器端信息的注册请求而返回的终端密钥对数据第一部分进行加密,得到数据第一部分密文。
根据本发明实施例提供的一种密钥分离的组合加密设备,所述设备包括:处理器,以及与所述处理器耦接的存储器;所述存储器上存储有可在所述处理器上运行的密钥分离的组合加密的程序,所述密钥分离的组合加密的程序被所述处理器执行时实现包括:
将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密,得到数据第一部分密文;
将所述数据第一部分密文和所述数据第二部分发送给服务器端,以便服务器端利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
根据本发明实施例提供的一种计算机存储介质,存储有密钥分离的组合加密的程序,所述密钥分离的组合加密的程序被处理器执行时实现包括:
接收用户终端发送的数据第一部分密文、数据第二部分以及数据分割信息,并利用从所述KDC获取的服务器端密钥对所述密文组件中的数据第二部分进行加密,得到数据第二部分密文;
将所接收的数据第一部分密文、数据分割信息以及所得到的数据第二部分密文进行保存。
根据本发明实施例提供的方案,在数据加密时,由用户终端和服务器同时参与数据加密,可以有效提高加解密效率。通过在密文组件中增加访问控制策略,在不需要共享密钥的前提下,允许多个用户访问同一个加密数据,这样可以减轻服务器的存储能力。
附图说明
图1是本发明实施例提供的一种密钥分离的组合加密方法流程图;
图2是本发明实施例提供的一种密钥分离的组合加密***示意图;
图3是本发明实施例提供的密钥分离的加密流程模型图;
图4是本发明实施例提供的密钥分离的解密流程模型图;
图5是本发明实施例提供的密钥分离的方法流程图;
图6是本发明实施例提供的密钥分离的数据加密方法流程图;
图7是本发明实施例提供的密钥分离的用户密钥生成方法流程图;
图8是本发明实施例提供的密钥分离的访问数据方法流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图1是本发明实施例提供的一种密钥分离的组合加密方法流程图,如图1所示,包括:
步骤S101:用户终端将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密,得到数据第一部分密文;
步骤S102:所述用户终端将所述数据第一部分密文和所述数据第二部分发送给服务器端,以便服务器端利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
其中,在利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密之前,还包括:所述用户终端通过向KDC发送包含服务器端信息的注册请求,接收所述KDC根据所述注册请求返回的终端密钥。
其中,所述用户终端将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取终端密钥对数据第一部分进行加密,得到数据第一部分密文包括:所述用户终端通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息;所述用户终端利用所述终端密钥对数据第一部分进行加密,得到数据第一部分密文。
本发明实施例还包括:在查看所述数据时,通过分别利用所述终端密钥和所述服务端密钥对数据第一部分密文和数据第二部分进行解密,并利用所述数据分割信息将解密后的明文进行拼接,恢复出所述数据。
其中,在所述用户终端查看所述数据时,通过分别利用所述终端密钥和所述服务端密钥对数据第一部分密文和数据第二部分进行解密,并利用所述数据分割信息将解密后的明文进行拼接,恢复出所述数据包括:所述用户终端接收所述服务器端利用所述服务端密钥对所述数据第二部分密文进行解密所得到明文第二部分;所述用户终端接收到所述明文第二部分后,利用所述终端密钥对所述数据第一部分密文进行解密,得到明文第一部分;所述用户终端利用所述数据分割信息对所得到的明文第二部分和明文第一部分进行拼接,恢复出所述数据。
根据本发明实施例提供的一种密钥分离的组合加密方法,包括:
服务器端接收用户终端发送的数据第一部分密文、数据第二部分以及数据分割信息,并利用从所述KDC获取的服务器端密钥对所述密文组件中的数据第二部分进行加密,得到数据第二部分密文;
服务器端将所接收的数据第一部分密文、数据分割信息以及所得到的数据第二部分密文进行保存。
图2是本发明实施例提供的一种密钥分离的组合加密***示意图,如图2所示,包括:用户终端201,用于将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取终端密钥对数据第一部分进行加密,得到数据第一部分密文后,将数据第一部分密文和所述数据第二部分发送给服务器端;服务器端202,用于利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
其中,所述用户终端201包括:分割单元,用于通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息;加密单元,用于所述用户终端利用通过向KDC发送包含服务器端信息的注册请求而返回的终端密钥对数据第一部分进行加密,得到数据第一部分密文。
根据本发明实施例提供的一种密钥分离的组合加密设备,所述设备包括:处理器,以及与所述处理器耦接的存储器;所述存储器上存储有可在所述处理器上运行的密钥分离的组合加密的程序,所述密钥分离的组合加密的程序被所述处理器执行时实现包括:
将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密,得到数据第一部分密文;
将所述数据第一部分密文和所述数据第二部分发送给服务器端,以便服务器端利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文。
根据本发明实施例提供的一种计算机存储介质,存储有密钥分离的组合加密的程序,所述密钥分离的组合加密的程序被处理器执行时实现包括:
接收用户终端发送的数据第一部分密文、数据第二部分以及数据分割信息,并利用从所述KDC获取的服务器端密钥对所述密文组件中的数据第二部分进行加密,得到数据第二部分密文;
将所接收的数据第一部分密文、数据分割信息以及所得到的数据第二部分密文进行保存。
图3是本发明实施例提供的密钥分离的加密流程模型图,如图3所示,包括:(1)用户终端注册KDC并请求密钥;(2)KDC分发密钥;(3)上传部分加密后的密文组件;(4)服务器请求密钥;(5)KDC分发密钥。
图4是本发明实施例提供的密钥分离的解密流程模型图,如图3所示,包括:(1)用户终端(密文所有者)请求密文访问;(2)服务器返回部分解密后的密文组件;(3)终端授权用户请求密钥;(4)KDC分发密钥;(5)终端授权用户(密文访问者)请求密文访问;(6)服务器发送密文访问策略;(7)KDC返回密文所有者密钥生成中间值;(8)服务器返回明文数据给终端授权用户。
本发明提出的***包含组件:用户终端、授权终端、服务器端以及KDC。其中,用户终端包括加解密模块、访问策略生成模块;授权终端,用户终端不参与加密和访问策略生成过程时,只参与解密过程时,则被称为授权终端;服务器端包括加解密模块、访问策略管理模块;KDC包括密钥管理模块以及访问策略管理模块。
图5是本发明实施例提供的密钥分离的方法流程图,如图5所示,包括:
S1:***初始化,用户终端生成密文访问策略,并向KDC发送密文访问策略和申请密钥;
S2:KDC首先生成用户终端密钥,并发送给用户终端,然后利用用户终端发送的密文访问策略生成用户密钥生成中间值,KDC只保存用户密钥生成中间值;
S3:用户终端把明文数据进行拆分,使用KDC分发的密钥对部分明文进行加密生成密文,然后用户把数据分割信息、访问策略、密文部分以及明文部分一起发送给服务器端,用户需要保存密钥;
S4:服务器端收到用户发送的密文组件,然后向KDC申请密钥;
S5:KDC收到服务器端请求的密钥申请,然后给服务器端生成密钥并发送给服务器端;
S6:服务器端收到KDC分发的密钥,对密文组件中的明文部分进行加密,然后把包含数据分割信息、密文以及访问策略的密文组件存储到服务器端上,另外服务器端需要保存其密钥;
S7:当用户终端发送解密请求时,服务器端首先判断该用户是否为密文所有者,若是,则走S8,若访问用户不是密文所有者,则走S9-S11;
S8:服务器端使用其拥有的密钥解密其加密的密文部分,然后把密文组件发送给用户终端,然后用户终端使用其拥有的密钥对其加密的部分进行解密,然后按照数据分割信息对数据进行合并复原;
S9:授权用户首先向KDC申请密钥,当授权用户发送解密请求时,服务器端首先确认授权用户是否满足密文的访问策略,若不满足,则拒接访问,若满足密文的访问策略,则授权用户把其密钥发送给服务器端;
S10:服务器端收到授权用户的密钥,则把授权用户密钥和密文访问策略发送给KDC,KDC根据密文访问策略找到该授权用户对应的密文所有者密钥生成中间值,然后把该值发送给服务器端;
S11:服务器端收到该中间值,则利用其拥有的密钥、授权用户密钥以及密文所有者密钥生成中间件解密密文,然后根据数据分割信息合并复原明文数据,然后发送给授权用户。
图6是本发明实施例提供的密钥分离的数据加密方法流程图,如图6所示,在加密时,用户终端(不限于手机)和性能不高的服务器端(不限于机顶盒)都参与加密,由一个KDC进行密钥分发。KDC给用户终端和服务器端分别发送一个密钥,用户终端对数据进行分割,然后使用其拥有的密钥进行加密,然后把密文以及明文部分发给服务器端,服务器端再使用其拥有的密钥对明文部分进行加密,然后存储,解密时需要两方同时参与才能正确解密。这样加解密由两方参与,不仅提高了效率,还防止密钥由一方存储会导致出现***安全弱点,提高了安全性。此外,用户在进行数据加密时,可以对数据设置访问控制策略,访问控制机制交由服务器端和KDC管理,用户向KDC申请密钥时提交其所设置的访问控制策略,密钥分发模块根据该访问策略生成对应的密钥生成中间值,当授权用户需要访问加密文件时,服务器端根据访问策略向KDC申请对应的密钥生成中间值和授权用户的密钥进行密文解密,并把明文数据发送给授权用户,这样就可以保证服务器端只存储一个密文。
下面结合图6至图8对本发明实施例的技术内容进行详细的说明:应用场景:网络机顶盒照片(文件)安全分享。
密钥生成,如图7所示:
首先***初始化,用户终端(包括机顶盒、手机等)向密钥分发中心KDC进行注册,并请求密钥。
加密,如图6所示:
用户A准备使用手机上传照片到机顶盒上进行加密存储,用户从KDC获取密钥Ka,并从密钥分发中心获取该机顶盒上已经注册的用户(包括机顶盒)列表,用户A依据用户列表制定照片的访问策略(在访问策略中的用户才能访问用户A加密的照片,称为授权用户),接着用户A把访问策略发送给KDC,让其为访问策略中的每个用户生成一个Ka生成中间值,由KDC保存。然后用户对图片文件随机分割生成2部分分别为PT1和PT2,并保留分割信息,利用Ka和加密算法(不限于AES,DES等)对其中一部分明文数据PT1进行加密生成密文CT1,然后用户A把密文组件(包括密文CT1、明文PT2、分割和加密信息、加密算法、访问策略、用户A标志)发送给机顶盒。机顶盒收到用户A发送的密文组件,根据分割信息,对明文PT2进行加密生成密文CT2,最终机顶盒端存储用户A的照片的密文组件包括密文CT1、密文CT2、分割和加密信息、加密算法、访问策略、用户A标志。
访问数据,如图8所示:
1、用户A在自己的手机上查看机顶盒上存储的加密照片CT:
用户A向机顶盒发送照片访问请求,机顶盒首先判断用户A的身份标志是否与密文中的所有者标志相同,如果相同,则证明是用户A,接着机顶盒首先根据分割和加密信息解密其加密的部分,然后机顶盒把部分解密后的密文组件发送给用户A,然后用户A根据分割和加密信息对剩余的密文进行解密并拼接两个明文组件,最终恢复出照片并在手机客户端上显示。
2、查看用户A在机顶盒上存储的加密照片CT
如果密文组件中的访问策略中包含机顶盒,则只要在机顶盒上输入对应的密钥就可以查看图片,流程如下:机顶盒首先解密其加密的密文部分,然后其把密钥和访问策略发送给KDC,KDC根据访问策略和机顶盒的密钥生成用户A的密钥,然后发送给机顶盒,机顶盒使用用户A的密钥解密剩余密文组件,最终获取用户A上传的照片并在机顶盒上显示出来。
3、用户B查看用户A在机顶盒上存储的加密照片CT
用户B向机顶盒发送请求去访问用户A的加密照片CT,机顶盒首先判断用户B是否在CT中的访问策略中,如果不在,则机顶盒拒绝用户B的访问,如果用户B在访问策略中,用户B把密钥发送给机顶盒,机顶盒把用户B的密钥和访问策略同时发送给KDC,接着KDC根据中间值生成用户A的密钥发送给机顶盒,机顶盒利用其拥有的密钥、用户A的密钥以及分割和加密信息解密获得到明文照片,并发送给用户B,最终用户B可以在终端上查看照片。
在解密2,3情况中,机顶盒上生成的用户A的密钥都是临时的,不进行存储,当是授权用户要访问用户A的加密照片时,选择让机顶盒完全承担解密任务,是为了保证用户A的密钥不与授权用户共享,较好地保证用户A的隐私性,而在解密1的情况中,选择由机顶盒与用户A同时参与解密,是为了在保证安全性的情况下,提高解密效率,减轻双方负担。
根据本发明实施例提供的方案,通过密钥分离用户终端和服务器端协同进行加密,并使用密文组件和访问策略的方式,可以保证一份密文在不共享密钥的情况下实现给不同用户进行访问,并在保证安全性的前提下,降低了机顶盒的存储开销以及双方的计算负担。
尽管上文对本发明进行了详细说明,但是本发明不限于此,本技术领域技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。
Claims (8)
1.一种密钥分离的组合加解密方法,包括:
用户终端通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息,并利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密,得到数据第一部分密文;
所述用户终端将所述数据第一部分密文、所述数据第二部分以及所述数据分割信息发送给服务器端,以便服务器端利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文;
当所述用户终端需要查看所述数据时,接收所述服务器端利用所述服务器端密钥对所述数据第二部分密文进行解密所得到明文第二部分;
所述用户终端接收到所述明文第二部分后,利用所述终端密钥对所述数据第一部分密文进行解密,得到明文第一部分;并且,
利用所述数据分割信息对所得到的明文第二部分和明文第一部分进行拼接,恢复出所述数据。
2.根据权利要求1所述的方法,在利用从密钥分发中心KDC获取的终端密钥对数据第一部分进行加密之前,还包括:
所述用户终端通过向KDC发送包含服务器端信息的注册请求,接收所述KDC根据所述注册请求返回的终端密钥。
3.根据权利要求2所述的方法,所述用户终端将数据分割成数据第一部分和数据第二部分,并利用从密钥分发中心KDC获取终端密钥对数据第一部分进行加密,得到数据第一部分密文包括:
所述用户终端通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息;
所述用户终端利用所述终端密钥对数据第一部分进行加密,得到数据第一部分密文。
4.一种密钥分离的组合加解密方法,包括:
服务器端接收用户终端发送的数据第一部分密文、数据第二部分以及数据分割信息,并利用从KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文;
服务器端将所接收的数据第一部分密文、数据分割信息以及所得到的数据第二部分密文进行保存;
当服务器端接收到所述用户终端查看所述数据请求时,利用所述服务器端密钥对数据第二部分密文进行解密,并将解密后的数据第二部分明文、数据第一部分密文以及数据分割信息发送给用户终端,以便所述用户终端在利用终端密钥对数据第一部分密文解密后得到明文第一部分,并且利用所述数据分割信息将解密后的明文第二部分和明文第一部分进行拼接,恢复出所述数据。
5.一种密钥分离的组合加解密***,包括:
用户终端,用于通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息,并利用从密钥分发中心KDC获取终端密钥对数据第一部分进行加密,得到数据第一部分密文后,将所述数据第一部分密文、所述数据第二部分以及所述数据分割信息发送给服务器端,以及在用户终端需要查看所述数据时接收所述服务器端利用所述服务器端密钥对所述数据第二部分密文进行解密所得到明文第二部分,并在接收到所述明文第二部分后,利用所述终端密钥对所述数据第一部分密文进行解密,得到明文第一部分,再利用所述数据分割信息对所得到的明文第二部分和明文第一部分进行拼接,恢复出所述数据;
服务器端,用于利用从所述KDC获取的服务器端密钥对所述数据第二部分进行加密,得到数据第二部分密文,以及利用所述服务器端密钥对数据第二部分密文进行解密,并将解密后的数据第二部分明文发送给用户终端。
6.根据权利要求5所述的***,所述用户终端包括:
分割单元,用于通过对数据进行随机分割,得到数据第一部分、数据第二部分以及数据分割信息;
加密单元,用于所述用户终端利用通过向KDC发送包含服务器端信息的注册请求而返回的终端密钥对数据第一部分进行加密,得到数据第一部分密文。
7.一种密钥分离的组合加解密设备,所述设备包括:处理器,以及与所述处理器耦接的存储器;所述存储器上存储有可在所述处理器上运行的密钥分离的组合加解密的程序,所述密钥分离的组合加解密的程序被所述处理器执行时实现如权利要求1至3中任一项所述的密钥分离的组合加解密方法。
8.一种计算机存储介质,存储有密钥分离的组合加解密的程序,所述密钥分离的组合加解密的程序被处理器执行时实现如权利要求1至3中任一项所述的密钥分离的组合加解密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710848067.4A CN109525388B (zh) | 2017-09-19 | 2017-09-19 | 一种密钥分离的组合加密方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710848067.4A CN109525388B (zh) | 2017-09-19 | 2017-09-19 | 一种密钥分离的组合加密方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109525388A CN109525388A (zh) | 2019-03-26 |
| CN109525388B true CN109525388B (zh) | 2022-07-15 |
Family
ID=65769397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710848067.4A Active CN109525388B (zh) | 2017-09-19 | 2017-09-19 | 一种密钥分离的组合加密方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109525388B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109977919B (zh) * | 2019-04-10 | 2022-03-04 | 厦门一通灵信息科技有限公司 | 基于人脸识别的数据处理方法、介质、设备及装置 |
| CN112187757A (zh) * | 2020-09-21 | 2021-01-05 | 上海同态信息科技有限责任公司 | 多链路隐私数据流转***及方法 |
| CN112866288B (zh) * | 2021-03-01 | 2022-09-06 | 上海海事大学 | 一种双明文传输的数据对称加密方法 |
| CN114285609B (zh) * | 2021-12-10 | 2024-02-13 | 中国联合网络通信集团有限公司 | 加密方法、装置、设备及存储介质 |
| CN116599768B (zh) * | 2023-07-13 | 2023-09-26 | 北京奇立软件技术有限公司 | 一种用于隐私数据的数据加密方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471942A (zh) * | 2007-12-26 | 2009-07-01 | 冲电气工业株式会社 | 加密装置及程序、解密装置及程序、数据提供装置、数据接收装置 |
| CN102611711A (zh) * | 2012-04-09 | 2012-07-25 | 中山爱科数字科技股份有限公司 | 一种云数据安全存储方法 |
| CN102664928A (zh) * | 2012-04-01 | 2012-09-12 | 南京邮电大学 | 一种用于云存储的数据安全存取方法及用户端*** |
| EP2165284A4 (en) * | 2007-05-25 | 2012-12-19 | Splitstreem Oy | METHOD AND APPARATUS FOR SECURING DATA IN A MEMORY DEVICE |
| CN104182697A (zh) * | 2014-08-15 | 2014-12-03 | 小米科技有限责任公司 | 文件加密方法和装置 |
| CN104901942A (zh) * | 2015-03-10 | 2015-09-09 | 重庆邮电大学 | 一种基于属性加密的分布式访问控制方法 |
| CN106713508A (zh) * | 2017-02-24 | 2017-05-24 | 重庆第二师范学院 | 一种基于云服务器的数据存取方法及*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685162A (zh) * | 2012-09-05 | 2014-03-26 | ***通信集团公司 | 文件存储和共享方法 |
| CN103595793B (zh) * | 2013-11-13 | 2017-01-25 | 华中科技大学 | 一种无需可信第三方支持的云端数据安全删除***与方法 |
-
2017
- 2017-09-19 CN CN201710848067.4A patent/CN109525388B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2165284A4 (en) * | 2007-05-25 | 2012-12-19 | Splitstreem Oy | METHOD AND APPARATUS FOR SECURING DATA IN A MEMORY DEVICE |
| CN101471942A (zh) * | 2007-12-26 | 2009-07-01 | 冲电气工业株式会社 | 加密装置及程序、解密装置及程序、数据提供装置、数据接收装置 |
| CN102664928A (zh) * | 2012-04-01 | 2012-09-12 | 南京邮电大学 | 一种用于云存储的数据安全存取方法及用户端*** |
| CN102611711A (zh) * | 2012-04-09 | 2012-07-25 | 中山爱科数字科技股份有限公司 | 一种云数据安全存储方法 |
| CN104182697A (zh) * | 2014-08-15 | 2014-12-03 | 小米科技有限责任公司 | 文件加密方法和装置 |
| CN104901942A (zh) * | 2015-03-10 | 2015-09-09 | 重庆邮电大学 | 一种基于属性加密的分布式访问控制方法 |
| CN106713508A (zh) * | 2017-02-24 | 2017-05-24 | 重庆第二师范学院 | 一种基于云服务器的数据存取方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109525388A (zh) | 2019-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11146391B2 (en) | Orthogonal access control for groups via multi-hop transform encryption | |
| CN109525388B (zh) | 一种密钥分离的组合加密方法及*** | |
| CN106664202B (zh) | 提供多个设备上的加密的方法、***和计算机可读介质 | |
| US9703965B1 (en) | Secure containers for flexible credential protection in devices | |
| CN105245328B (zh) | 一种基于第三方的用户及文件的密钥产生管理方法 | |
| CN108768951B (zh) | 一种云环境下保护文件隐私的数据加密和检索方法 | |
| US20210119781A1 (en) | Systems and methods for re-using cold storage keys | |
| US9461821B1 (en) | System and method for key material protection on devices using a secret sharing scheme | |
| US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
| CN111448779A (zh) | 用于混合秘密共享的***、设备和方法 | |
| CN103763319A (zh) | 一种移动云存储轻量级数据安全共享方法 | |
| CN103237040A (zh) | 一种存储方法、服务器和客户端 | |
| CN104917759A (zh) | 基于第三方的安全文件存储和共享***及方法 | |
| US10887085B2 (en) | System and method for controlling usage of cryptographic keys | |
| CN107113314B (zh) | 用于云计算中的异构数据存储管理的方法和装置 | |
| CN104065680A (zh) | 信息处理方法、检索方法、装置、用户终端及服务器 | |
| US20220014367A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| CN103812927A (zh) | 一种存储方法 | |
| CN110032874A (zh) | 一种数据存储方法、装置及设备 | |
| CN111970114A (zh) | 文件加密方法、***、服务器和存储介质 | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| CN113761594B (zh) | 一种基于身份的三方可认证密钥协商和数据共享方法 | |
| KR20210058313A (ko) | 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템 | |
| CN114117406A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| KR102269753B1 (ko) | 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |