CN110430192A - 一种文件加解密的方法、***、控制器及存储介质 - Google Patents

一种文件加解密的方法、***、控制器及存储介质 Download PDF

Info

Publication number
CN110430192A
CN110430192A CN201910722518.9A CN201910722518A CN110430192A CN 110430192 A CN110430192 A CN 110430192A CN 201910722518 A CN201910722518 A CN 201910722518A CN 110430192 A CN110430192 A CN 110430192A
Authority
CN
China
Prior art keywords
authorization access
authorization
user
key
original
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910722518.9A
Other languages
English (en)
Inventor
马娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Watchdata Ltd By Share Ltd
Original Assignee
Beijing Watchdata Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Watchdata Ltd By Share Ltd filed Critical Beijing Watchdata Ltd By Share Ltd
Priority to CN201910722518.9A priority Critical patent/CN110430192A/zh
Publication of CN110430192A publication Critical patent/CN110430192A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种文件加解密的方法、***、控制器及存储介质。其中所述文件加密的方法包括,步骤1,对原文件进行对称加密或者非对称加密,以得到密文;步骤2,设定对所述原文件具有访问权限的用户,将其作为授权访问用户;步骤3,获取所述授权访问用户的公钥;步骤4,使用所述授权访问用户的公钥对解密密钥进行加密运算,得到所述授权访问用户的第二授权访问信息;步骤5,根据所述授权访问用户的第二授权访问信息,生成授权访问列表;步骤6,将所述密文与所述授权访问列表对应后,保存在文档管理中心。根据本申请的技术方案,克服了无法保护密码的缺陷和安全隐患;通过授权访问列表设定访问用户的权限,实现文件的机密性和安全性。

Description

一种文件加解密的方法、***、控制器及存储介质
技术领域
本发明总体涉及多方间传输文件领域,更具体地,涉及一种文件加解密技术。
背景技术
一般的文件安全传输方式为通过文件编辑软件或压缩软件使用密码对文件进行加密保护,如Microsoft Office、WinRAR等,这种方式需要妥善保存文件密码,任何人获知密码都可以解密文件,如果密码丢失或者遗忘,存在永远无法解密文件的风险;同时该方法无法设定对文件的访问权限。
发明内容
本发明的目的在于克服现有技术中使用密码对文件进行保护的缺陷,以及无法对文件进行访问权限设定的缺陷,提供一种文件加解密的方法、***、控制器及存储介质。
根据本发明的第一方面,提供一种文件加密的方法,包括以下步骤,步骤1,对原文件进行对称加密或者非对称加密,以得到密文;步骤2,设定对所述原文件具有访问权限的用户,将其作为授权访问用户;步骤3,获取所述授权访问用户的公钥;步骤4,使用所述授权访问用户的公钥对解密密钥进行加密运算,得到所述授权访问用户的第二授权访问信息,所述解密密钥用于对所述密文进行解密;步骤5,根据所述授权访问用户的第二授权访问信息,生成授权访问列表;步骤6,将所述密文与所述授权访问列表对应后,保存在文档管理中心;访问用户访问文档管理中心,下载所述密文时,由所述授权访问列表获取所述第二授权访问信息,对所述第二授权访问信息解密获得所述解密密钥,以对所述密文进行解密,获得所述原文件。
可选地,所述步骤1中,使用所述原文件的哈希值作为加密密钥,采用对称算法对所述原文件进行加密。
可选地,所述步骤3中,对所述授权访问用户的公钥进行哈希运算,得到所述授权访问用户的第一授权访问信息;所述步骤5中,所述第一授权访问信息与所述第二授权访问信息对应,生成所述授权访问列表。
可选地,所述步骤1中还进行,对所述原文件进行数字签名,得到签名值,附于所述密文后,上传所述文档管理中心。
根据本发明的第二方面,提供一种文件解密的方法,包括以下步骤,步骤10,获取密文和授权访问列表;步骤20,所述授权访问列表中的授权访问用户获得第二授权访问信息;步骤30,利用所述授权访问用户的私钥对所述第二授权访问信息进行解密,得到解密密钥;步骤40,基于所述解密密钥,所述授权访问用户解密所述密文,获得原文件。
可选地,所述步骤10中,所述授权访问列表包括授权访问用户的第一授权访问信息和第二授权访问信息;所述步骤20中,根据所述授权访问用户的公钥的哈希值,查找所述第一授权访问信息;根据所述第一授权访问信息,获取相对应的所述第二授权访问信息。
可选地,所述步骤30或步骤40中,获取附于所述密文后的签名值,并进行验证;所述验证包括:基于所述签名值、文件所有者的公钥,计算得到信息摘要;以及以下验证方式中的至少一种:第一种验证方式包括,将所述信息摘要与所述解密密钥进行对比,相同则验证成功,不同则验证失败;第二种验证方式包括,将所述信息摘要与所述原文件的哈希值进行对比,相同则验证成功,不同则验证失败。
根据本发明的第三方面,提供一种文件加密的***,包括,加密模块,用于对原文件进行对称加密或者非对称加密,以得到密文;所述密钥管理中心配置为,用于密钥的生成和分发,包括,生成所述授权访问用户的私钥和公钥;生成加密密钥和解密密钥;所述加密密钥用于对所述原文件进行加密,所述解密密钥用于对所述密文进行解密;授权访问列表生成模块,用于获取所述授权访问用户的公钥;使用所述授权访问用户的公钥对所述解密密钥进行加密运算,得到所述授权访问用户的第二授权访问信息;根据所述授权访问用户的第二授权访问信息,生成授权访问列表;文档管理中心,用于接收并保存所述密文和所述授权访问列表。
可选地,所述密钥管理中心还配置为,接收所述原文件,并对所述原文件进行哈希运算,生成的哈希值作为加密密钥;所述加密模块配置为,获取所述加密密钥,并使用所述加密密钥采用对称算法对所述原文件进行加密。
可选地,所述授权访问列表生成模块还配置为,对所述授权访问用户的公钥进行哈希运算,得到所述授权访问用户的第一授权访问信息;将所述第一授权访问信息与所述第二授权访问信息对应,生成所述授权访问列表。
可选地,还包括数字签名模块,所述数字签名模块,用于对所述原文件进行数字签名,得到签名值,附于所述密文后,并上传至所述文档管理中心。
根据本发明的第四方面,提供一种文件解密的***,包括,文档管理中心,用于保存密文和授权访问列表;解密密钥获取模块,用于获取所述密文和所述授权访问列表;获取所述授权访问列表中的授权访问用户的第二授权访问信息;利用所述授权访问用户的私钥对所述第二授权访问信息进行解密,得到解密密钥;解密模块,用于接收所述解密密钥,并基于所述解密密钥,解密所述密文,获得原文件;密钥管理中心,用于密钥的生成和分发。
可选地,所述授权访问列表包括授权访问用户的第一授权访问信息和第二授权访问信息;所述解密密钥获取模块还配置为,根据所述授权访问用户的公钥的哈希值,查找所述第一授权访问信息;根据所述第一授权访问信息,获取相对应的所述第二授权访问信息。
可选地,所述文档管理中心还配置为,保存所述原文件的签名值,所述***还包括,签名验证模块,用于获取所述签名值,并进行验证;所述签名验证模块还配置为,基于所述签名值、文件所有者的公钥,计算得到信息摘要;并执行以下验证方式中的至少一种:第一种验证方式包括,将所述信息摘要与所述解密密钥进行对比,相同则验证成功,不同则验证失败;第二种验证方式包括,将所述信息摘要与所述原文件的哈希值进行对比,相同则验证成功,不同则验证失败。
根据本发明的第五方面,提供一种用于文件加解密的控制器,包括,存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如本发明的第一方面和第二方面中任一项所述的方法。
根据本发明的第六方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或者多个处理器执行实现如本发明的第一方面和第二方面中任意一项所述的方法的操作。
本发明的优点在于:
1)根据本发明的技术方案,无需使用密码就可以对文件进行保护,克服了无法保护密码的缺陷和安全隐患;
2)根据本发明的技术方案,可以通过授权访问列表,设定有权或无权访问文件的用户,以实现文件传输中的机密性和安全性;
3)根据本发明的技术方案,通过数字签名的使用,保证了文件的完整性,防止文件被篡改。
附图说明
图1示出了根据本发明的文件加密的方法的一种实施方式流程图。
图2示出了根据本发明的文件加密的方法的第二种实施方式流程图。
图3示出了根据本发明的文件加密的方法的第三种实施方式流程图。
图4示出了根据本发明的文件解密的方法的一种实施方式流程图。
图5示出了根据本发明的文件解密的方法的第二种实施方式流程图。
图6示出了根据本发明的文件解密的方法的第三种实施方式流程图。
图7示出了根据本发明的文件解密的方法的第四种实施方式流程图。
图8示出了根据本发明的一种文件加密的***的一种实施方式示意图。
图9示出了根据本发明的一种文件加密的***的另一种实施方式示意图。
图10示出了根据本发明的一种文件解密的***的一种实施方式示意图。
图11示出了根据本发明的一种文件解密的***的另一种实施方式示意图。
图12示出了根据本发明的一种用于文件加解密的控制器的示意图。
图13示出了根据本发明的实施方式的一种程序产品。
具体实施方式
下面结合附图对本发明的较佳实施例进行详细阐述,参考标号是指本发明中的组件、技术,以便本发明的优点和特征在适合的环境下实现能更易于被理解。下面的描述是对本发明权利要求的具体化,并且与权利要求相关的其它没有明确说明的具体实现也属于权利要求的范围。
图1示出了根据本发明的文件加密的方法的一种实施方式流程图。
如图1所示,根据文件加密的方法的一种实施方式,如步骤S1所示,用户A上传原文件M。原文件M可以是用户A本人的文件,也可以是他人的文件,本实施方式中,用户A为文件所有者。
如步骤S2所示,用户A对原文件M设定具有访问权限的用户,用户可以是一个或多个,本实施方式中,设定用户B、用户D有权访问原文件M,同时为保证用户A自己也能访问原文件M,设定用户A、用户B、用户D为授权访问用户。
以下,加密***对原文件M和授权访问用户信息进行处理,以实现文件加密的目的。
如步骤S3所示,首先,加密***对原文件M进行哈希运算,以计算得到原文件M的哈希值H(M)。
如步骤S4所示,将计算得到的原文件M的哈希值H(M)用作加密密钥SK,即SK=H(M),其中,SK表示加密密钥,H表示哈希值,M表示原文件。使用原文件的哈希值作为加密密钥,具有以下效果:一方面,可以保证加密密钥的随机性、唯一性;另一方面,加密密钥是通过原文件直接计算出来的,无需单独进行保存,不会因为文件密码泄露而导致文件被解密,同时,也不会因为密码丢失、遗忘或损坏等原因而导致永远无法解密文件,例如解密***遭到破坏,无法获取密钥时,不是通过原文件直接计算出来的密钥就会永远丢失,但是根据本实施方式的通过哈希运算获得加密密钥,避免了永远无法解密文件的风险。
如步骤S5所示,加密***用加密密钥SK对原文件进行加密,以得到密文C,即C=ESK(M),其中,C表示密文,E表示加密算法,SK表示加密密钥,M表示原文件。所述加密采用对称算法进行加密。所述对称算法中加密密钥和解密密钥是相同的,或加密密钥能够从解密密钥中推算出来,反过来也成立。在本实施方式中,解密密钥与加密密钥SK相同。
如步骤S6所示,加密***对各个访问用户A、B、D分别生成授权访问用户的公钥KX,并对授权访问用户的公钥KX计算哈希值H(KX),作为第一授权访问信息。KX表示用户X的公钥。因此,用户A的公钥为KA,用户B的公钥为KB,用户D的公钥为KD;用户A的第一授权访问信息为H(KA),用户B的第一授权访问信息为H(KB),用户D的第一授权访问信息为H(KD)。
如步骤S7所示,用授权访问用户的公钥KX对加密密钥SK进行非对称加密,得到的加密结果为作为第二授权访问信息。用户A的第二授权访问信息为用户B的第二授权访问信息为用户D的第二授权访问信息为
如步骤S8所示,将同一授权访问用户的第一授权访问信息H(KX)和第二授权访问信息对应,以得到授权访问用户的授权访问信息,为其中,AuthX表示授权访问用户X的授权访问信息,H表示哈希值,KX表示授权访问用户X的公钥,E表示加密算法,SK表示加密密钥。
如步骤S9所示,根据各个授权访问用户的所述授权访问信息,生成授权访问列表,为L=(AuthA‖AuthB‖AuthD),其中,L表示授权访问列表,AuthA表示授权访问用户A的授权访问信息,AuthB表示授权访问用户B的授权访问信息,AuthD表示授权访问用户D的授权访问信息。所述授权访问列表中不包括非授权访问用户的信息,因此非授权访问用户无法在所述授权访问列表中查找到自己的相关信息,也无法获取授权访问用户的相关信息。
所述授权访问列表中的同一授权访问用户的第一授权访问信息H(KX)和第二授权访问信息对应,通过所述第一授权访问信息可以很快找到相对应的所述第二授权访问信息。所述第一授权访问信息采用所述授权访问用户的公钥的哈希值,相比于公钥较短,便于查找和对比。还可以通过删除所述第一授权访问信息,快速删除所述授权访问列表中对应授权访问用户的包括第二授权访问信息在内的相关信息,从而实现快速删除已有授权用户的功能。通过第一授权访问信息和第二授权访问信息的设置可以在所述授权访问列表中快速增加新的授权访问用户的相关信息。根据本实施方式,通过所述第二授权访问信息将加密密钥SK与授权访问用户的公钥进行联系,又通过所述第一授权访问信息与其进行匹配,既保证了加密密钥的安全性和机密性,又实现了方便查找以及新增和删除授权用户的功能。
如步骤S10所示,将密文C和授权访问列表L相对应,并上传至云平台(文档管理中心)进行保存。
所述密文以及对应的所述授权访问列表可以打包上传并保存在所述云平台130中,以保证对应关系和安全性,以及减少云平台130的匹配工作,减少运算,减少设备损耗。
所述文档管理中心可以是云平台、服务器、终端、个人电脑等可以存储文档的地方,在本实施方式中是云平台。
当验证了访问用户是所述授权访问列表中的授权访问用户时,可以通过获取授权访问用户的第二授权访问信息,获得用于解密密文的解密密钥,从而对相应的密文进行解密以获得原文件。
使用所述授权访问用户的公钥的哈希值,即所述第一授权访问信息,既可以验证授权访问用户的身份,还可以实现在整个文档管理中心查找与所述授权访问用户关联的所有密文,用户可以根据自己需要对指定密文进行解密。
变形例
根据本实施方式的一个变形例1,用步骤S2*取代图1中的步骤S2,所述步骤S2*为:设定授权访问用户(B、D)。即,根据需要不将文件所有者A设为授权访问用户。
根据本实施方式的一个变形例2,省略步骤S3,用步骤S4*取代图1中的步骤S4,所述步骤S4*为:获取加密密钥SK。即,通过其他算法计算的结果作为加密密钥SK,也可以选取随机数或其他任何可以作为对称算法的密钥的数据,作为加密密钥SK。
根据本实施方式的一个变形例3,用步骤S1*取代图1中的步骤S1。所述步骤S1*为:上传部分原文件M1。步骤S1*中,将一个原文件M分解成多部分M1、M2、M3…Mn,将原文件的每部分M1、M2、M3…Mn分别按照步骤S2~步骤S10执行,对其中的每部分原文件分别进行加密以形成多个不同的密文,每个密文对应一个授权访问列表,这样一个原文件就和多个密文(C1、C2、C3…Cn)以及多个授权访问列表(L1、L2、L3…Ln)分别对应。从而进一步限制了不同授权访问列表中的授权访问用户的访问权限,对于原文件对应的多个密文,各个授权访问列表中的授权访问用户只能解密相对应的密文,因此只有获得所有密文解密后的文件才是原文件的全部内容,否则只能看到所述原文件中的部分内容。因此,可以通过设置多个授权访问列表,使每个授权访问用户只能看到文件所有者(设定者)想让其看到的文件内容。
根据本实施方式的一个变形例4,用步骤S1**取代图1中的步骤S1,所述步骤S1**为:上传原文件M,并设定原文件M分为几部分M1、M2、M3…Mn组成;用步骤S2**取代图1中的步骤S2,所述步骤S2**为:设定授权访问用户(A、B、D),并设定其中每个用户对每部分原文件M1、M2、M3…Mn的访问权限;将原文件的每部分M1、M2、M3…Mn分别按照步骤S3~步骤S7执行;用步骤S8**取代图1中的步骤S8,所述步骤S8**为:将每个授权访问用户的H(KX)和该用户的所有对应,得到 即,一个授权访问用户的第一授权访问信息可以对应该用户的多个第二授权访问信息;继续执行步骤S9~S10。
根据变形例4,一个原文件对应一个授权访问列表,但是可以实现授权访问用户的不同访问权限。例如,步骤S1**中,将原文件分为M1、M2、M3三个部分;步骤S2**中设定授权访问用户为用户A、用户B、用户D,其中设定用户A可以访问M1~M3三个部分,用户B可以访问M1和M2,用户D可以访问M3;将M1、M2、M3执行步骤S3~S7,其中,步骤S3得到H(M1)、H(M2)、H(M3),步骤S4得到:SK1=H(M1)、SK2=H(M2)、SK3=H(M3),步骤S5得到C1=ESK1(M1)、C2=ESK2(M2)、C3=ESK3(M3),步骤S6得到用户A的第一授权访问信息为H(KA)、用户B的第一授权访问信息为H(KB)、用户D的第一授权访问信息为H(KD),步骤S7得到其中 以及是用户A的第二授权访问信息,是用户B的第二授权访问信息,是用户D的第二授权访问信息;步骤S8**得到 继续执行步骤S9~S10。
所述授权访问列表的设置可以限制文件访问用户,从而实现对文件的分组授权访问,保证了文件的机密性和安全性。本发明不需要对原文件设置密码来保护,克服了无法保护密码的缺陷和安全隐患。
图2示出了根据本发明的文件加密的方法的第二种实施方式流程图。
如图2所示,与图1的区别在于:在步骤S5与步骤S6之间增加了步骤S51,对原文件进行数字签名,得到签名值S;以及用步骤S10*取代图1中的步骤S10,所述步骤S10*为:密文、签名值以及授权访问列表对应,上传保存至云平台。
如步骤S51所示,当加密密钥SK为原文件的哈希值时,所述签名值S可以是用文件所有者A的私钥对加密密钥SK进行加密的结果,即其中,S表示签名值,Sign表示签名算法,kA表示文件所有者A的私钥,SK表示加密密钥。
所述签名值可以附于所述密文后(即将签名值与密文关联,以下相同),与所述密文一同上传或者下载。附有签名值的密文的公式为:C’=(C‖S),其中,C’表示密文信息,C表示密文,S表示签名值。
如步骤S10*所示,所述密文、签名值、授权访问列表可以组成密文及相关信息一同上传至云平台,所述密文及相关信息为C”=(C‖S‖L),其中,C”表示密文及相关信息,C表示密文,S表示签名值,L表示授权访问列表。
根据本实施方式的一个变形例,如果加密密钥SK不是原文件的哈希值时,则所述签名值S是用文件所有者A的私钥对原文件的哈希值进行加密的结果。
图3示出了根据本发明的文件加密的方法的第三种实施方式流程图。
根据本发明的一种实施方式,可以对原文件进行非对称加密,例如如图3所示,如步骤S1所示,用户A上传原文件M。本实施方式中,用户A为文件所有者。
如步骤S2所示,用户A设定一个或多个用户具有访问权限,例如设定用户B、用户D有权访问,同时为保证用户A自己也有权,因此设定用户A、用户B、用户D为授权访问用户。
如步骤S31所示,使用文件所有者的公钥KA采用非对称算法对所述原文件M进行加密,得到密文
如步骤S41所示,对授权访问用户的公钥KX进行哈希运算,得到哈希值H(KX),作为所述授权访问用户的第一授权访问信息。其中,X=A、B、D。
如步骤S52所示,使用所述授权访问用户的公钥KX对所述文件所有者A的私钥kA进行非对称加密运算,得到作为所述授权访问用户的第二授权访问信息。所述文件所有者A的私钥kA是用于密文的解密密钥。
如步骤S61所示,将所述第一授权访问信息H(KX)与所述第二授权访问信息对应,得到其中,AuthX表示授权访问用户X的授权访问信息,H表示哈希值,KX表示授权访问用户X的公钥,E表示加密算法,kA表示文件所有者A的私钥kA
如步骤S71所示,根据授权访问用户的授权访问信息,生成授权访问列表,为L=(AuthA‖AuthB‖AuthD),其中,L表示授权访问列表,AuthA表示授权访问用户A的授权访问信息,AuthB表示授权访问用户B的授权访问信息,AuthD表示授权访问用户D的授权访问信息。
如步骤S81所示,将密文C和授权访问列表L相对应,并上传至云平台进行保存。
根据本实施方式的一个变形例1,可以将步骤S2改为:设定授权访问用户(B、D)。即,可以根据需要不将文件所有者A设为授权访问用户。
根据本实施方式的一个变形例2,可以在本实施方式的基础上增加对原文件进行数字签名的步骤,例如结合图2中所述实施方式的变形例。
图4示出了根据本发明的文件解密的方法的一种实施方式流程图。
如图4所示,根据文件解密的方法的一种实施方式,如步骤S100所示,首先,先下载密文C和相对应的授权访问列表L。
如步骤S200所示,对访问用户X的公钥KX进行哈希运算,得到哈希值H(KX)。
如步骤S300所示,在所述授权访问列表L中查找与H(KX)相同的第一授权访问信息,如果没有找到,说明访问用户X是非授权访问用户,没有访问权限,因此结束用户X的访问;如果找到了与H(KX)相同的第一授权访问信息,表示访问用户X是授权访问用户,继续下一步骤。
如步骤S400所示,继续在所述授权访问列表L中获取与H(KX)相对应的用户X的第二授权访问信息,即其中,E表示加密算法,KX表示授权访问用户X的公钥,SK表示对原文件M进行对称加密的加密密钥。当对原文件进行对称算法加密时,解密密钥与所述加密密钥相同或者可以从加密密钥中解出来。
如步骤S500所示,用授权访问用户X的私钥kX对所述第二授权访问信息进行解密,获得对原文件进行对称加密的加密密钥SK。
如步骤S600所示,用所述加密密钥SK作为解密密钥对密文C进行解密,或者用所述加密密钥SK解出解密密钥再对密文C进行解密。例如可以通过以下公式进行解密,M=DSK(C),其中,M表示原文件,D表示解密算法,SK表示加密密钥,C表示密文。
如步骤S700所示,根据步骤S600的计算,获得原文件M。
根据本实施方式中的一个变形例,用步骤S400*取代步骤S400,所述步骤S400*为:获取与H(KX)相对应的所有对每一个执行步骤S500~S700。例如,与授权访问用户B的H(KB)相对应的第二授权访问信息包括步骤S500中,用授权访问用户B的私钥kB进行解密,获得SK1、SK2;步骤S600中,用SK1对相应的密文C1进行解密,用SK2对相应的密文C2进行解密;步骤S700中,获得部分原文件M1和部分原文件M2,M1和M2一起组成用户B被授权访问的原文件内容。
图5示出了根据本发明的文件解密的方法的第二种实施方式流程图。
如图5所示,与图4的区别在于,将步骤S110取代步骤S100,所述步骤S110为:下载密文、签名值和相应的授权访问列表;以及在步骤S700之后增加了验证签名的步骤;该方法用于密文附有签名的情况的解密。
如步骤S110所示,下载密文C、附于密文后的签名值S以及相应的授权访问列表L。
如步骤S800所示,基于文件所有者A的公钥KA和签名值S,计算得到消息摘要SK’。
如步骤S900所示,根据步骤S700获得的原文件M,计算其哈希值,得到H’(M)。
如步骤S1000所示,将步骤S800计算得到的SK’与步骤S900计算得到的H’(M)进行比较,如果二者相等,则表示验证成功,继续进行下一步骤;如果二者不相等,则表示验证失败,获得的原文件已经被篡改。
如步骤S1100所示,验证成功,进入下一步骤。
如步骤S1200所示,验证成功后,输出原文件M。
本发明通过数字签名的使用,在保证文件的机密性和安全性的同时,还能保证文件的完整性,防止文件被篡改;还由于验证签名过程中所需文件所有者的公钥,从而可以验证文件所有者的身份。
图6示出了根据本发明的文件解密的方法的第三种实施方式流程图。
如图6所示,与图4的区别在于,将步骤S110取代步骤S100,所述步骤S110为:下载密文、签名值和相应的授权访问列表;在步骤S500和步骤S600之间增加步骤S800、步骤S1300和步骤S1400;该方法适用于密文附有签名,且SK是由原文件的哈希值作为加密密钥使用时的情况的解密。
如步骤S110所示,下载密文C、附于密文后的签名值S以及相应的授权访问列表L。
如步骤S800所示,基于文件所有者A的公钥KA和签名值S,计算得到消息摘要SK’。
如步骤S1300所示,将步骤S800计算得到的SK’与步骤S500计算得到的SK进行比较,如果二者相等,则表示验证成功,继续进行下一步骤;如果二者不相等,则表示验证失败。
如步骤S1400所示,验证成功,进入下一步骤。
如步骤S600所示,用所述加密密钥SK作为解密密钥对密文C进行解密,或者用所述加密密钥SK解出解密密钥再对密文C进行解密。
如步骤S700所示,根据步骤S600的计算,获得原文件M。
根据本实施方式的一个变形例,可以将图5和图6的两种验证方法都进行,如果两次验证均验证成功才算验证成功,否则任何一个或者全部验证失败都表示验证失败。例如,在图6中,在步骤S700之后可以继续执行图5中的步骤S900~S1200。
图7示出了根据本发明的文件解密的方法的第四种实施方式流程图。
如图7所示,用于对非对称加密的密文进行解密,例如对图3所示的文件加密的方法得到的密文进行解密的一种实施方式。图7与图4的区别仅在于,将步骤S410取代步骤S400,所述步骤S410为:获取与H(KX)相对应的将步骤S510取代步骤S500,所述步骤S510为:用授权访问用户的私钥kA进行解密,得到kA;将步骤S610取代步骤S600,所述步骤S610为:用kA对密文进行解密。
如步骤S410所示,在所述授权访问列表L中获取与H(KX)相对应的用户X的第二授权访问信息,即其中,E表示加密算法,KX表示授权访问用户X的公钥,kA表示文件所有者A的私钥。
如步骤S510所示,用授权访问用户X的私钥kX对所述第二授权访问信息进行解密,可以获得文件所有者A的私钥kA
如步骤S610所示,用文件所有者A的私钥kA作为解密密钥对密文C进行解密。可以通过以下公式进行解密,其中,M表示原文件,D表示解密算法,kA表示文件所有者A的私钥,C表示密文。
因此,当授权访问用户下载相关信息后,利用自己的私钥解密所述第二授权访问信息后,可以获得密文的解密密钥,再利用所述解密密钥解密密文,获得原文件。
根据本实施方式的一个变形例,对于附有签名值的密文的解密,可以在本实施方式的基础上结合图5的签名验证方式进行验证。
图8示出了根据本发明的一种文件加密的***的一种实施方式示意图。
如图8所示,提供一种文件加密的***,包括,加密模块110,用于对原文件进行加密,以得到密文;授权访问列表生成模块120,用于根据授权访问用户的信息,生成授权访问列表;云平台130,用于接收并保存所述密文和所述授权访问列表;密钥管理中心140,用于密钥的生成和分发,所述密钥包括对称密钥和非对称密钥等。
文件所有者将原文件上传到所述文件加密的***,以进行加密,并可以规定一个或者多个指定用户具有访问权限,输入到所述***中。所述文件所有者登录所述***时可以进行身份验证,以保证自己的访问权限以及所述密钥管理中心140生成和分发密钥的操作等。
所述加密模块110对所述原文件进行加密运算,可以包括对称加密运算、非对称加密运算等。所述授权访问列表生成模块120根据文件所有者确定的授权访问用户,生成授权访问列表,所述授权访问用户是对所述原文件具有访问权限的用户。所述授权访问列表与所述密文具有对应关系。即只有授权访问用户才能破解对应密文从而读取原文件的内容。授权访问用户的信息可以包括授权访问用户的身份信息、密钥信息、标识信息等相关信息。
所述密钥管理中心140可以根据用户的需求生成相应的对称密钥或非对称密钥。对称密钥中的私钥仅发送给私钥用户本身,公钥可以分发也可以存储在所述密钥管理中心140等待指令进行分发。所述私钥用户既包括文件所有者,也包括授权访问用户等。每个用户的公钥和私钥是一对密钥,可以互相加解密,公钥可以分发给其他人。
根据本发明的一种实施方式,所述密钥管理中心140可以生成对称密钥,用于所述加密模块110对原文件进行对称加密。所述密钥管理中心140生成对称密钥的一种实施方式为,接收文件所有者上传的原文件,并对所述原文件进行哈希运算,生成原文件的哈希值作为加密密钥;所述加密模块110配置为,获取所述加密密钥,并使用所述加密密钥采用对称算法对所述原文件进行加密。
根据本发明的生成授权访问列表的一种实施方式,所述密钥管理中心140配置为,生成所述授权访问用户的私钥和公钥,并将所述授权访问用户的私钥仅发送给所述授权访问用户;所述授权访问列表生成模块120配置为,从所述密钥管理中心140获取所述授权访问用户的公钥;对所述授权访问用户的公钥进行哈希运算,得到所述授权访问用户的第一授权访问信息;从所述密钥管理中心140获取密文的解密密钥,并使用所述授权访问用户的公钥对所述解密密钥进行加密运算,得到所述授权访问用户的第二授权访问信息;将所述第一授权访问信息与所述第二授权访问信息对应,生成所述授权访问列表。其中,当所述加密模块110对原文件进行对称加密时,所述解密密钥可以与加密密钥相同或者可以从加密密钥中推算出来;当所述加密模块110对原文件进行非对称加密时,所述解密密钥可以为文件所有者的私钥。
图9示出了根据本发明的一种文件加密的***的另一种实施方式示意图。
根据本发明的一种实施方式,还包括数字签名模块310,所述数字签名模块310,用于对所述原文件进行数字签名,得到签名值,附于所述密文后,并上传至所述云平台130。
所述数字签名模块310对所述原文件进行数字签名可以包括,对原文件进行哈希运算,得到原文件的哈希值作为信息摘要,从所述文件所有者获取文件所有者的私钥kA,利用所述文件所有者的私钥kA对所述信息摘要进行签名运算,得到所述签名值。
仅当所述加密模块110采用对称加密算法对原文件进行加密,且加密密钥为原文件的哈希值时,所述信息摘要与所述加密密钥相同。例如,如图9所示的***,可以包括,所述密钥管理中心140配置为,接收原文件,并计算原文件的哈希值,作为加密密钥SK,发送给所述数字签名模块310用于数字签名,发送给所述加密模块110用于对原文件进行对称加密,发送给所述授权访问列表生成模块120用于作为解密密钥计算第二授权访问信息。最后,所述数字签名模块310计算的签名值附于所述加密模块110得到的密文后,并与所述授权访问列表生成模块120生成的授权访问列表相对应,上传保存至所述云平台130。
图10示出了根据本发明的一种文件解密的***的一种实施方式示意图。
如图10所示,提供一种文件解密的***,包括,云平台130,用于保存密文和授权访问列表;解密密钥获取模块410,用于获取所述密文和所述授权访问列表,并根据所述授权访问列表,使授权访问用户获取所述密文的解密密钥,非授权访问用户无法获取所述解密密钥;解密模块420,用于接收所述解密密钥和所述密文,并基于所述解密密钥,解密所述密文,获得原文件;密钥管理中心140,用于密钥的生成和分发,所述密钥包括对称密钥、非对称密钥。所述非对称密钥包括公钥和私钥。
由于所述授权访问列表中只有授权访问用户的相关信息,可以通过对所述授权访问用户的身份验证,使其获得相关信息的下载权限;也可以不进行身份验证,不限制下载权限,但是由于授权访问用户的相关信息是经过加密的,只有经过解密后才能获得所述解密密钥,因此非授权访问用户无法下载或者无法解密相关信息,从而无法获得所述解密密钥。
根据本发明的一种实施方式,所述授权访问列表包括授权访问用户的第一授权访问信息和第二授权访问信息;所述解密密钥获取模块410配置为,从所述密钥管理中心140获取所述授权访问用户的公钥,以及从所述授权访问用户获取私钥;根据所述授权访问用户的公钥的哈希值,查找所述第一授权访问信息;根据所述第一授权访问信息,获取相对应的所述第二授权访问信息;基于所述授权访问用户的私钥,对所述第二授权访问信息进行解密运算,获得所述解密密钥。
所述第一授权访问信息可以起到所述授权访问列表的索引的作用,可以包括所述授权访问用户的公钥的哈希值,所述第二授权访问信息包括基于授权访问用户的公钥对所述解密密钥进行加密得到的加密结果。所述解密密钥获取模块410通过对授权访问用户的公钥进行哈希运算,并将该结果在授权访问列表中的所有第一授权访问信息中进行检索,找到相同的所述第一授权访问信息时,获取对应的第二授权访问信息。
图11示出了根据本发明的一种文件解密的***的另一种实施方式示意图。
如图11所示,所述云平台130还配置为,保存所述原文件的签名值,所述***还包括,签名验证模块510,用于获取所述签名值,并进行验证;所述签名验证模块510还配置为,基于所述签名值、文件所有者的公钥,计算得到信息摘要;并执行以下验证方式中的至少一种:第一种验证方式包括,将所述信息摘要与所述解密密钥进行对比,相同则验证成功,不同则验证失败;第二种验证方式包括,将所述信息摘要与所述原文件的哈希值进行对比,相同则验证成功,不同则验证失败。
原文件的签名值附于原文件的密文后,并与授权访问列表一同保存在所述云平台130上。当从所述云平台130下载密文及相关信息时,所述解密密钥获取模块410接收所述密文和所述授权访问列表;所述签名验证模块510接收所述签名值。所述签名验证模块510从所述密钥管理中心140获取文件所有者的公钥,并基于所述文件所有者的公钥对所述签名值进行解密运算,获得信息摘要。
所述签名验证模块510可以只进行所述第一种验证方式,也可以只进行所述第二种验证方式,还可以两种验证方式均进行,以多重验证文件的完整性。所述第一种验证方式包括,从所述解密密钥获取模块410获取所述解密密钥,并将所述解密密钥与所述信息摘要进行验证,二者相同则表示验证成功,否则验证失败。所述第一种验证方式适用于原文件是用对称算法进行加密,且加密密钥为原文件的哈希值的情况。所述第二种验证方式包括,将所述信息摘要与从所述解密模块420获取的所述原文件的哈希值进行对比,二者相同则表示验证成功,否则验证失败。验证成功表示原文件没有被篡改,验证失败表示解密后的原文件是已经被篡改的文件。所述第二种验证方式验证范围较广,适用于大多数的加密情况。如果所述第一种验证方式和所述第二种验证方式都进行的情况,则需要两种验证方式均验证成功才算验证成功,否则任何一个或者全部验证失败都表示验证失败。
无论进行上述哪种验证方式,所述签名验证模块510对所述签名值验证成功后,可以将从所述解密模块420获取的原文件直接发送给授权访问用户;也可以将验证成功的指令返回所述解密模块420,由所述解密模块420将解密得到的所述原文件发送给所述授权访问用户,如图5中所示。
图12示出了根据本发明的一种用于文件加解密的控制器的示意图。
图12显示的控制器1仅仅是一个示例,这不应对本发明实施例的功能和使用范围带来任何限制。
如图12所示,控制器1可以以通用计算设备的形式表现,例如手机、电脑以及其他阅读设备,包括但不限于:至少一个处理器10、至少一个存储器20、连接不同***组件的总线60。
总线60表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、***总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器20可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)21和/或高速缓存存储器22,还可以进一步包括只读存储器(ROM)23。
存储器20还可以包括程序模块24,这样的程序模块24包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
控制器1还可以与一个或多个外部设备2通信,也可与一个或者多个其他设备进行通信。这种通信可以通过输入/输出(I/O)接口40进行,并在显示单元30上进行显示。并且控制器1还可以通过网络适配器50与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器50通过总线60与控制器1中的其它模块通信。应当明白,尽管图中未示出,但可以结合控制器1使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序代码在被处理器执行时,所述程序代码用于使所述处理器执行上面描述的方法。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
如图13所示,示出了根据本发明的实施方式的一种程序产品3,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明的优点在于:
1)根据本发明的采用原文件的哈希值作为加密密钥的技术方案,不会因为密码丢失或遗忘而导致无法解密文件,且无需保存密码,因此不会因为文件密码泄露而导致文件被解密,克服了无法保护密码的缺陷和安全隐患;
2)根据本发明的技术方案,可以通过授权访问列表,设定有权或无权访问文件的用户,以实现文件传输中的机密性和安全性,以及通过设定每个用户对原文件的各部分的访问权限,实现分组访问权限授权的效果;通过将解密密钥与授权访问用户信息进行关联,对不同用户授予不同访问权限,避免了解密密钥泄漏的情况出现;
3)根据本发明的技术方案,通过数字签名的使用,保证了文件的完整性,防止文件被篡改,同时验证了文件所有者的身份。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。

Claims (16)

1.一种文件加密的方法,包括以下步骤,
步骤1(S5、S31),对原文件进行对称加密或者非对称加密,以得到密文;
步骤2(S2),设定对所述原文件具有访问权限的用户,将其作为授权访问用户;
步骤3(S6、S41),获取所述授权访问用户的公钥;
步骤4(S7、S52),使用所述授权访问用户的公钥对解密密钥进行加密运算,得到所述授权访问用户的第二授权访问信息,所述解密密钥用于对所述密文进行解密;
步骤5(S9、S71),根据所述授权访问用户的第二授权访问信息,生成授权访问列表;
步骤6(S10、S81),将所述密文与所述授权访问列表对应后,保存在文档管理中心;
访问用户访问文档管理中心,下载所述密文时,由所述授权访问列表获取所述第二授权访问信息,对所述第二授权访问信息解密获得所述解密密钥,以对所述密文进行解密,获得所述原文件。
2.根据权利要求1所述的方法,所述步骤1(S3、S4、S5)中,使用所述原文件的哈希值作为加密密钥,采用对称算法对所述原文件进行加密。
3.根据权利要求1所述的方法,所述步骤3(S6)中,对所述授权访问用户的公钥进行哈希运算,得到所述授权访问用户的第一授权访问信息;
所述步骤5(S8)中,所述第一授权访问信息与所述第二授权访问信息对应,生成所述授权访问列表。
4.根据权利要求1所述的方法,所述步骤1(S51)中还进行,对所述原文件进行数字签名,得到签名值,附于所述密文后,上传所述文档管理中心。
5.一种文件解密的方法,包括以下步骤,
步骤10(S100、S110),获取密文和授权访问列表;
步骤20(S400、S410),所述授权访问列表中的授权访问用户获得第二授权访问信息;
步骤30(S500、S510),利用所述授权访问用户的私钥对所述第二授权访问信息进行解密,得到解密密钥;
步骤40(S600、S610、S700),基于所述解密密钥,所述授权访问用户解密所述密文,获得原文件。
6.根据权利要求5所述的方法,所述步骤10中,所述授权访问列表包括授权访问用户的第一授权访问信息和第二授权访问信息;
所述步骤20中,根据所述授权访问用户的公钥的哈希值,查找所述第一授权访问信息;
根据所述第一授权访问信息,获取相对应的所述第二授权访问信息。
7.根据权利要求5所述的方法,所述步骤30或步骤40中,获取附于所述密文后的签名值,并进行验证;
所述验证包括:
基于所述签名值、文件所有者的公钥,计算得到信息摘要;以及以下验证方式中的至少一种:
第一种验证方式包括,将所述信息摘要与所述解密密钥进行对比,相同则验证成功,不同则验证失败;
第二种验证方式包括,将所述信息摘要与所述原文件的哈希值进行对比,相同则验证成功,不同则验证失败。
8.一种文件加密的***,包括,
加密模块,用于对原文件进行对称加密或者非对称加密,以得到密文;
所述密钥管理中心配置为,用于密钥的生成和分发,包括,
生成所述授权访问用户的私钥和公钥;
生成加密密钥和解密密钥;
所述加密密钥用于对所述原文件进行加密,
所述解密密钥用于对所述密文进行解密;
授权访问列表生成模块,用于获取所述授权访问用户的公钥;使用所述授权访问用户的公钥对所述解密密钥进行加密运算,得到所述授权访问用户的第二授权访问信息;根据所述授权访问用户的第二授权访问信息,生成授权访问列表;
文档管理中心,用于接收并保存所述密文和所述授权访问列表。
9.根据权利要求8所述的***,其中,所述密钥管理中心还配置为,
接收所述原文件,并对所述原文件进行哈希运算,生成的哈希值作为加密密钥;
所述加密模块配置为,获取所述加密密钥,并使用所述加密密钥采用对称算法对所述原文件进行加密。
10.根据权利要求8所述的***,其中,所述授权访问列表生成模块还配置为,
对所述授权访问用户的公钥进行哈希运算,得到所述授权访问用户的第一授权访问信息;
将所述第一授权访问信息与所述第二授权访问信息对应,生成所述授权访问列表。
11.根据权利要求8所述的***,还包括数字签名模块,
所述数字签名模块,用于对所述原文件进行数字签名,得到签名值,附于所述密文后,并上传至所述文档管理中心。
12.一种文件解密的***,包括,
文档管理中心,用于保存密文和授权访问列表;
解密密钥获取模块,用于获取所述密文和所述授权访问列表;获取所述授权访问列表中的授权访问用户的第二授权访问信息;利用所述授权访问用户的私钥对所述第二授权访问信息进行解密,得到解密密钥;
解密模块,用于接收所述解密密钥,并基于所述解密密钥,解密所述密文,获得原文件;
密钥管理中心,用于密钥的生成和分发。
13.根据权利要求12所述的***,其中,所述授权访问列表包括授权访问用户的第一授权访问信息和第二授权访问信息;
所述解密密钥获取模块还配置为,
根据所述授权访问用户的公钥的哈希值,查找所述第一授权访问信息;
根据所述第一授权访问信息,获取相对应的所述第二授权访问信息。
14.根据权利要求12所述的***,其中,所述文档管理中心还配置为,保存所述原文件的签名值,
所述***还包括,
签名验证模块,用于获取所述签名值,并进行验证;
所述签名验证模块还配置为,
基于所述签名值、文件所有者的公钥,计算得到信息摘要;并执行以下验证方式中的至少一种:
第一种验证方式包括,将所述信息摘要与所述解密密钥进行对比,相同则验证成功,不同则验证失败;
第二种验证方式包括,将所述信息摘要与所述原文件的哈希值进行对比,相同则验证成功,不同则验证失败。
15.一种用于文件加解密的控制器,包括,
存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至7中任一项所述的方法。
16.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被一个或者多个处理器执行实现权利要求1至7中任意一项所述的方法的操作。
CN201910722518.9A 2019-08-06 2019-08-06 一种文件加解密的方法、***、控制器及存储介质 Pending CN110430192A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910722518.9A CN110430192A (zh) 2019-08-06 2019-08-06 一种文件加解密的方法、***、控制器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910722518.9A CN110430192A (zh) 2019-08-06 2019-08-06 一种文件加解密的方法、***、控制器及存储介质

Publications (1)

Publication Number Publication Date
CN110430192A true CN110430192A (zh) 2019-11-08

Family

ID=68413072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910722518.9A Pending CN110430192A (zh) 2019-08-06 2019-08-06 一种文件加解密的方法、***、控制器及存储介质

Country Status (1)

Country Link
CN (1) CN110430192A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110941861A (zh) * 2019-12-16 2020-03-31 中国南方电网有限责任公司 文件防护方法、装置、计算机设备及介质
CN111177784A (zh) * 2019-12-31 2020-05-19 上海摩勤智能技术有限公司 一种文件***的安全保护方法、装置及存储介质
CN111447061A (zh) * 2020-04-21 2020-07-24 南京珥仁科技有限公司 用于档案数据摆渡的数据防泄密和数据可信验证方法
CN111523140A (zh) * 2020-04-23 2020-08-11 周婷 签名文档的加密方法、装置、训练方法、存储介质及设备
CN111586065A (zh) * 2020-05-12 2020-08-25 山东浪潮商用***有限公司 一种基于区块链的数据授权方法
CN112597523A (zh) * 2021-03-02 2021-04-02 冷杉云(北京)科技股份有限公司 文件处理方法、文件转换加密机、终端、服务器及介质
CN113468545A (zh) * 2020-03-31 2021-10-01 北京梆梆安全科技有限公司 文件加解密方法、装置及***
CN115913560A (zh) * 2022-09-08 2023-04-04 北京中宏立达科技发展有限公司 一种密件授权和使用的***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685162A (zh) * 2012-09-05 2014-03-26 ***通信集团公司 文件存储和共享方法
CN104796411A (zh) * 2015-04-01 2015-07-22 朱威 一种数据在云端和移动端安全传输存储及使用的方法
CN105164692A (zh) * 2013-07-30 2015-12-16 惠普发展公司,有限责任合伙企业 数据管理
CN106254324A (zh) * 2016-07-26 2016-12-21 杭州文签网络技术有限公司 一种存储文件的加密方法及装置
CN106682069A (zh) * 2016-11-14 2017-05-17 湖南工业大学 用户可控的数据检索方法及数据存储方法、终端、***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685162A (zh) * 2012-09-05 2014-03-26 ***通信集团公司 文件存储和共享方法
CN105164692A (zh) * 2013-07-30 2015-12-16 惠普发展公司,有限责任合伙企业 数据管理
CN104796411A (zh) * 2015-04-01 2015-07-22 朱威 一种数据在云端和移动端安全传输存储及使用的方法
CN106254324A (zh) * 2016-07-26 2016-12-21 杭州文签网络技术有限公司 一种存储文件的加密方法及装置
CN106682069A (zh) * 2016-11-14 2017-05-17 湖南工业大学 用户可控的数据检索方法及数据存储方法、终端、***

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110941861A (zh) * 2019-12-16 2020-03-31 中国南方电网有限责任公司 文件防护方法、装置、计算机设备及介质
CN111177784A (zh) * 2019-12-31 2020-05-19 上海摩勤智能技术有限公司 一种文件***的安全保护方法、装置及存储介质
CN113468545A (zh) * 2020-03-31 2021-10-01 北京梆梆安全科技有限公司 文件加解密方法、装置及***
CN111447061A (zh) * 2020-04-21 2020-07-24 南京珥仁科技有限公司 用于档案数据摆渡的数据防泄密和数据可信验证方法
CN111523140A (zh) * 2020-04-23 2020-08-11 周婷 签名文档的加密方法、装置、训练方法、存储介质及设备
CN111523140B (zh) * 2020-04-23 2024-02-23 国网浙江省电力有限公司物资分公司 签名文档的加密方法、装置、训练方法、存储介质及设备
CN111586065A (zh) * 2020-05-12 2020-08-25 山东浪潮商用***有限公司 一种基于区块链的数据授权方法
CN112597523A (zh) * 2021-03-02 2021-04-02 冷杉云(北京)科技股份有限公司 文件处理方法、文件转换加密机、终端、服务器及介质
CN112597523B (zh) * 2021-03-02 2021-06-18 冷杉云(北京)科技股份有限公司 文件处理方法、文件转换加密机、终端、服务器及介质
CN115913560A (zh) * 2022-09-08 2023-04-04 北京中宏立达科技发展有限公司 一种密件授权和使用的***
CN115913560B (zh) * 2022-09-08 2023-06-16 北京中宏立达科技发展有限公司 一种密件授权和使用的***

Similar Documents

Publication Publication Date Title
CN110430192A (zh) 一种文件加解密的方法、***、控制器及存储介质
CN106534092B (zh) 基于消息依赖于密钥的隐私数据加密方法
CN103563278B (zh) 保护加密的虚拟硬盘
US7802112B2 (en) Information processing apparatus with security module
US8625802B2 (en) Methods, devices, and media for secure key management in a non-secured, distributed, virtualized environment with applications to cloud-computing security and management
CN102271037B (zh) 基于在线密钥的密钥保护装置
CN103366102B (zh) 用于内容传输和分配的数字版权管理***
CN109948322B (zh) 本地化加密防护的个人云存储数据保险箱装置及方法
CN104618096B (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
US20100095118A1 (en) Cryptographic key management system facilitating secure access of data portions to corresponding groups of users
US20140089203A1 (en) Format-preserving cryptographic systems
US20070168292A1 (en) Memory system with versatile content control
CN105103488A (zh) 借助相关联的数据的策略施行
CN101515319B (zh) 密钥处理方法、密钥密码学服务***和密钥协商方法
JP4876616B2 (ja) データ保護装置
US20220006621A1 (en) Multi-factor-protected private key distribution
CN108632385B (zh) 基于时间序列的多叉树数据索引结构云存储隐私保护方法
CN109922027A (zh) 一种可信身份认证方法、终端及存储介质
CN105468940A (zh) 软件保护方法及装置
KR20220039779A (ko) 강화된 보안 암호화 및 복호화 시스템
CN111586065A (zh) 一种基于区块链的数据授权方法
GB2598296A (en) Digital storage and data transport system
EP1836642A2 (en) Control structure for versatile content control and method using structure
CN105072134A (zh) 一种基于三级密钥的云盘***文件安全传输方法
Rao et al. R-PEKS: RBAC enabled PEKS for secure access of cloud data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191108