CN111163036B - 一种数据共享方法、装置、客户端、存储介质及*** - Google Patents
一种数据共享方法、装置、客户端、存储介质及*** Download PDFInfo
- Publication number
- CN111163036B CN111163036B CN201811318532.4A CN201811318532A CN111163036B CN 111163036 B CN111163036 B CN 111163036B CN 201811318532 A CN201811318532 A CN 201811318532A CN 111163036 B CN111163036 B CN 111163036B
- Authority
- CN
- China
- Prior art keywords
- attribute
- user
- client
- target
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据共享方法、装置、客户端、存储介质及***,所述***包括:至少两个CA、客户端、至少两个AA和云服务器;客户端,用于向至少两个CA中的任意一个目标CA发送注册请求,其中注册请求中包含客户端的用户的属性集合;目标CA,用于根据属性集合及预设的随机算法,生成所述用户的用户公钥;客户端,还用于向至少两个AA发送用户公钥和属性集合;至少两个AA,用于根据属性集合中包含的每个属性对应的私钥、用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;客户端,还用于根据属性私钥,对云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。用以提高数据共享的安全性和实用性。
Description
技术领域
本发明涉及云计算安全领域,尤其涉及一种数据共享方法、装置、客户端、存储介质及***。
背景技术
云存储是一种从云计算衍生和发展起来的数据外包存储服务技术,能够使用户远程存储并按需随时随地访问云存储中的数据。云存储依靠其成本低、易于使用的接口和高扩展性的商业优势得到了广泛关注。伴随着计算机、互联网以及无线网络的快速发展,每天都会产生海量数据,云存储则为海量数据的存储和处理提供了一个有效的解决方案。但是用于存储数据的云服务器并不是完全可信的,并且通常情况下,数据的持有者只允许其授权的访问者访问其存储在云服务器的数据,因此在云服务器中存储的数据的安全性和隐私性面临着极大的挑战,通过云服务器实现数据共享需要满足对数据的安全性和隐私性的需求。
基于密文策略属性加密方案(ciphertext-policy Attribute-BasedEncryption,CP-ABE)机制的数据共享方法可以满足对共享数据的安全性和隐私性的需求,在CP-ABE机制中,密文与访问结构相关联,用户私钥与属性结合相关联,满足属性访问结构的属性集合的用户都能够对密文进行解密,非常适用于解密方不确定的数据共享。然而现有CP-ABE机制中通常采用有中心的多属性机构的数据共享***和无中心的多属性机构数据共享***,在有中心的多属性机构数据共享***中包含一个证书授权中心(CertificateAuthority,CA)和多个属性机构(Attribute Authority,AA),多个AA管理互不交叉的一类属性,各自为其权限内的属性分发私钥,并根据CA生成的用户公钥为用户分配属性私钥,然而这需要CA完全可信,一旦CA不可信,如被攻破,整个数据共享***就会瘫痪,并且攻击者会获得所有用户的用户公钥,造成用户信息的泄露;在无中心的多属性机构数据共享***中,不设置CA,多个AA在生成用户属性私钥时,无需考虑用户的用户公钥,会出现多个用户合谋攻击的情况,即多个均不具有解密权限的用户的属性私钥,可以组合使用对加密后的数据进行解密,影响了数据共享的安全性。
发明内容
本发明提供一种数据共享方法、装置、电子设备、存储介质及***,用以提高数据共享的安全性和实用性。
第一方面,本发明公开了一种数据共享***,包括至少两个证书授权中心CA、客户端、至少两个属性机构AA和云服务器;
所述客户端,用于向所述至少两个CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合;
所述目标CA,用于接收所述客户端发送的注册请求,根据所述属性集合及预设的随机算法,生成所述用户的用户公钥,并将所述用户公钥发送给所述客户端;
所述客户端,还用于接收所述目标CA发送的用户公钥,向所述至少两个AA发送所述用户公钥和属性集合;
所述至少两个AA,用于接收所述客户端发送的所述用户公钥和属性集合,根据所述属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥,并将所述属性私钥发送给所述客户端;
所述客户端,还用于根据所述属性私钥,对所述云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
可选的,所述目标CA,具体用于接收所述客户端发送的注册请求,为所述用户分配全局身份标识GID,根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
可选的,所述云服务器中保存的加密的共享文件,是根据与所述预先生成的属性机构私钥对应的公开参数、对所述共享文件设置的属性访问结构中每个属性对应的公钥及预设的加密算法,对为所述共享文件加密生成的。
可选的,所述***还包括:属性控制服务器;
所述属性控制服务器,还用于接收添加第一属性的第一更新请求;根据预先保存的属性与类别对照表,确定所述第一属性对应的第一目标类别,并识别所述至少两个AA中是否存在管理所述第一目标类别对应的属性的第一目标AA;如果是,将所述第一属性添加至所述第一目标AA;如果否,创建管理所述第一目标类别对应的属性的第一目标AA,并将所述第一属性添加至所述第一目标AA。
可选的,所述属性控制服务器,还用于接收删除第二属性的第二更新请求,根据预先保存的属性与类别对照表,确定所述第二属性对应的第二目标类别,将所述第二属性在管理所述第二目标类别对应属性的第二目标AA中删除。
第二方面,本发明公开了一种数据共享方法,应用于客户端,所述方法包括:
向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;
向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;
根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
可选的,所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥包括:
所述目标CA为所述用户分配全局身份标识GID,根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
可选的,所述云服务器中保存的加密的共享文件,是根据与所述预先生成的属性机构私钥对应的公开参数、对所述共享文件设置的属性访问结构中每个属性对应的公钥及预设的加密算法,对为所述共享文件加密生成的。
第三方面,本发明公开了一种数据共享装置,应用于客户端,所述装置包括:
第一发送模块,用于向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;
第二发送模块,用于向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;
解密模块,用于根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
第四方面,本发明公开了一种客户端,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。
第五方面,本发明公开了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述任一项所述方法的步骤。
本发明公开了一种数据共享方法、装置、客户端、存储介质及***,所述***包括:至少两个证书授权中心CA、客户端、至少两个属性机构AA和云服务器;所述客户端,用于向所述至少两个CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合;所述目标CA,用于接收所述客户端发送的注册请求,根据所述属性集合及预设的随机算法,生成所述用户的用户公钥,并将所述用户公钥发送给所述客户端;所述客户端,还用于接收所述目标CA发送的用户公钥,向所述至少两个AA发送所述用户公钥和属性集合;所述至少两个AA,用于接收所述客户端发送的所述用户公钥和属性集合,根据所述属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥,并将所述属性私钥发送给所述客户端;所述客户端,还用于根据所述属性私钥,对所述云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。由于在本发明实施例中,通过至少两个CA为用户生成用户公钥,不需要CA完全可信,用户可以选择自己信任的CA进行注册,同时避免了某一CA不可信时,造成整个数据共享***的崩溃和用户信息全部泄露,并且通过至少两个CA为用户生成用户公钥,使得AA根据用户属性集合中包含的每个属性对应的私钥和不同CA分配的用户公钥,为用户分配属性私钥,进一步提高了数据共享的安全性,同时避免了仅通过用户属性集合中包含的每个属性对应的私钥为用户分配属性私钥,造成不同用户的属性私钥可以组合使用的情况,避免了合谋攻击,提高了数据共享的安全性和实用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种数据共享***结构示意图之一;
图2为本发明实施例提供的一种数据共享***实现数据共享的步骤示意图;
图3为本发明实施例提供的一种解密机制示意图;
图4为本发明实施例提供的一种数据共享***结构示意图之二;
图5为本申请实施例提供的一种数据共享步骤示意图;
图6为本申请实施例提供的一种数据共享装置结构示意图;
图7为本发明实施例提供的一种客户端的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序,本申请中所涉及的多个,是指两个或两个以上。
实施例1:
图1为本发明实施例提供的一种数据共享***结构示意图,包括至少两个CA11、客户端12、至少两个AA13和云服务器14:
所述客户端12,用于向所述至少两个CA11中的任意一个目标CA11发送注册请求,其中所述注册请求中包含所述客户端12的用户的属性集合;
所述目标CA11,用于接收所述客户端12发送的注册请求,根据所述属性集合及预设的随机算法,生成所述用户的用户公钥,并将所述用户公钥发送给所述客户端12;
所述客户端12,还用于接收所述目标CA11发送的用户公钥,向所述至少两个AA13发送所述用户公钥和属性集合;
所述至少两个AA13,用于接收所述客户端12发送的所述用户公钥和属性集合,根据所述属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥,并将所述属性私钥发送给所述客户端12;
所述客户端12,还用于根据所述属性私钥,对所述云服务器14中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
在本发明实施例中,至少两个AA13管理互不交叉的一个类别的属性,例如:AA1管理主体类别的属性,如:用户姓名、用户ID、部门、职务和入职时间等;…AAk管理资源类别的属性,如:名称、主题、资源大小、创建者和创建日期等。
另外,在本发明实施例中涉及以下算法,(1)初始化算法,用于在数据共享***初始化时,根据输入的安全参数(K),运行初始化算法,生成数据共享***的公开参数(GPK)和属性机构私钥(SK);(2)密钥生成算法,用于根据用户公钥(PK)和用户的属性集合(L)生成用户的属性私钥(FK);(3)加密算法,用于根据公开参数(GPK)、需要加密的共享文件、属性访问结构(T),生成加密后的共享文件;(4)解密算法,用于使用用户的属性私钥(FK)对加密后的共享文件进行解密,得到明文的共享文件。
如图2所示,现结合数据共享***实现数据共享的步骤,进行具体说明:
S201:***初始化,根据输入的安全参数,生成数据共享***的公开参数和属性机构私钥,并生成每个属性的公/私钥对。
具体的,可以由至少两个CA11中的任意一个根据输入的安全参数,运行初始化算法,生成共享***的公开参数和属性机构私钥,并且每个AA13为其管理的每个属性生成公/私钥对。
S202:客户端向至少两个CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合;目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥,并将所述用户公钥发送给所述客户端。
具体的,客户端12的用户可以通过客户端12向其信任的任意一个目标CA11发送包含自身的属性集合的注册请求,目标CA11接收到注册请求后,可以将属性集合输入到预设的随机算法中,生成用户的用户公钥,也可以是运行预设的随机算法,生成一个随机数,与属性集合组合,生成用户公钥,不进行具体限定。
较佳的,目标CA11接收客户端12发送的包含用户的属性集合的注册请求后,为所述用户分配全局身份标识(GID),根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
S203:至少两个AA,根据所述用户的属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥,并将所述属性私钥发送给所述客户端。
S204:上传加密后的共享文件至云服务器。
具体的,共享文件的数据持有者,获取预先生成的公开参数,和至少两个AA13为每个属性生成的公钥,根据公开参数、对共享文件设置的属性访问结构,及属性访问结构中每个属性对应的公钥,对共享文件加密。例如:数据持有者首先通过对称密码加密算法(ENC)加密共享文件,并得到对称加密密钥(KEY),然后根据对共享文件设置的属性访问结构、属性访问结构中每个属性对应的公钥、公开参数,运行预设的加密算法,加密KEY,得到加密后的对称加密密钥KEYcp-abe,将包含加密后的对称加密密钥KEYcp-abe的加密后的共享文件上传至云服务器14。
S205:客户端根据属性私钥,对云服务器中保存的所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
具体的,客户端12的用户可以通过客户端12向服务器发送文件请求,请求加密后的共享文件,云服务器14根据客户端12发送的文件请求,向客户端12发送加密后的共享文件,较佳的,云服务器14向客户端12发送加密后的共享文件之前,还可以验证客户端12的用户的用户公钥的唯一性,如验证该用户公钥是否在云服务器14中保存的允许访问的用户公钥的列表中等,如果该用户公钥满足唯一性,再向客户端12发送加密后的共享文件。
客户端12接收到加密后的共享文件后,通过属性私钥,运行解密算法对加密后的共享文件进行解密,如果属性私钥所关联的属性集合满足该加密后的共享文件对应的属性访问结构,能够对该加密后的共享文件解密。例如:如果用户的属性私钥所关联的属性集合满足的加密后的共享文件对应的属性访问结构,客户端12能够对加密后的对称加密密钥KEYcp-abe进行解密,得到对称加密密钥KEY,通过对称加密密钥KEY对加密后的共享文件进行解密,得到共享文件明文。
如图3所示,用户1的属性私钥所关联的属性集合{ECNU、CS、Professor}中的属性包括{ECNU、CS、Female}中的2个属性{ECNU、CS},满足加密后的共享文件对应的属性访问结构,能够对加密后的共享文件解密;用户2的属性私钥所关联的属性集合{CS,Male、Professor}不满足加密后的共享文件对应的属性访问结构,不能够对加密后的共享文件解密。
由于在本发明实施例中,通过至少两个CA为用户生成用户公钥,不需要CA完全可信,用户可以选择自己信任的CA进行注册,同时避免了某一CA不可信时,造成整个数据共享***的崩溃和用户信息全部泄露,并且通过至少两个CA为用户生成用户公钥,使得AA根据用户属性集合中包含的每个属性对应的私钥和不同CA分配的用户公钥,为用户分配属性私钥,进一步提高了数据共享的安全性,同时避免了仅通过用户属性集合中包含的每个属性对应的私钥为用户分配属性私钥,造成不同用户的属性私钥可以组合使用的情况,避免了合谋攻击,提高了数据共享的安全性和实用性。
实施例2:
为了便于对属性的动态添加和删除,增强数据共享***的实用性,如图4所示,所述***还包括:属性控制服务器15;
所述属性控制服务器15,还用于接收添加第一属性的第一更新请求;根据预先保存的属性与类别对照表,确定所述第一属性对应的第一目标类别,并识别所述至少两个AA13中是否存在管理所述第一目标类别对应的属性的第一目标AA13;如果是,将所述第一属性添加至所述第一目标AA13;如果否,创建管理所述第一目标类别对应的属性的第一目标AA13,并将所述第一属性添加至所述第一目标AA13。
所述属性控制服务器15,还用于接收删除第二属性的第二更新请求,根据预先保存的属性与类别对照表,确定所述第二属性对应的第二目标类别,将所述第二属性在管理所述第二目标类别对应属性的第二目标AA13中删除。
具体的,在本发明实施例中,在数据共享***中还设置有属性控制服务器15,并在属性控制服务器15中预先保存有属性与类别对照表,该属性与类别对照表中保存有所有可能出现的类别,及与每个类别对应的可能出现的所有属性的信息。
如果需要添加属性,还可以向属性控制服务器15发送或下达添加第一属性的第一更新请求,属性控制服务器15接收到第一更新请求后,根据预先保存的属性与类别对照表,确定第一属性对应的第一目标类别,并识别至少两个AA13中是否存在管理所述第一目标类别对应的属性的第一目标AA13;如果是,直接将所述第一属性添加至所述第一目标AA13;如果否,创建管理所述第一目标类别对应的属性的第一目标AA13,将所述第一属性添加至所述第一目标AA13。
例如:数据共享***中存在AA1管理主体类别的属性,如:用户姓名、部门、职务和入职时间等;…AAk管理资源类别的属性,如:名称、主题、资源大小、创建者和创建日期等,如果需要添加的第一属性为用户ID,属性控制服务器15根据预先保存的属性与类别对照表,确定用户ID属于AA1管理的主体类别,属性控制服务器15通过安全信道发送用户ID给AA1,AA1将用户ID保存至自身管理的属性集合AU中,并刷新该属性集合AU,较佳的AA1还生成用户ID对应的公/私钥对。如果需要添加的第一属性为资源属性,资源属性对应的目标类别为环境属性类别,现有至两个AA13中不存在管理环境属性类别对应的属性的AA13,创建管理环境属性类别对应的属性的AAk+1,通过安全信道发送资源属性给AAk+1,AAk+1将资源属性保存至自身管理的属性集合AU中,并刷新该属性集合AU,较佳的,AAk+1还生成资源属性对应的公/私钥对。
如果需要删除属性,还可以向属性控制服务器15发送或下达删除第二属性的第二更新请求,属性控制服务器15接收到第二更新请求后,根据预先保存的属性与类别对照表,确定所述第二属性对应的第二目标类别,将所述第二属性在管理所述第二目标类别对应属性的第二目标AA13中删除。
较佳的,当需要撤销用户属性时,属性控制服务器15创建一个属性撤销列表(AL),然后将AL写入到属性数据库(DB)中,更新DB到至少两个AA13中,用于属性撤销。较佳的,还可以设置一个定时器(T),用于周期性的更新DB到至少两个AA13中。
实施例3:
基于上述实施例,如图5所示,本申请实施例提供一种数据共享方法,具体步骤包括:
S501:向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥。
S502:向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥。
S503:根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
较佳的,所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥包括:
所述目标CA为所述用户分配全局身份标识GID,根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
较佳的,所述云服务器中保存的加密的共享文件,是根据与所述预先生成的属性机构私钥对应的公开参数、对所述共享文件设置的属性访问结构中每个属性对应的公钥及预设的加密算法,对为所述共享文件加密生成的。
实施例4:
基于上述实施例,如图6所示,本申请实施例提供一种数据共享装置结构示意图,应用于客户端,所述装置包括:
第一发送模块61,用于向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;
第二发送模块62,用于向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;
解密模块63,用于根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
较佳的,所述目标CA为所述用户分配全局身份标识GID,根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
所述云服务器中保存的加密的共享文件,是根据与所述预先生成的属性机构私钥对应的公开参数、对所述共享文件设置的属性访问结构中每个属性对应的公钥及预设的加密算法,对为所述共享文件加密生成的。
实施例5:
基于同一发明构思,本发明实施例中还提供了一种客户端,由于上述客户端解决问题的原理与数据分享方法相似,因此上述客户端的实施可以参见方法的实施,重复之处不再赘述。
如图7所示,其为本发明实施例提供的客户端的结构示意图,其中在图7中,总线架构可以包括任意数量的互联的总线和桥,具体有处理器71代表的一个或多个处理器71和存储器73代表的存储器73的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机72可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器71负责管理总线架构和通常的处理,存储器73可以存储处理器71在执行操作时所使用的数据。
在本发明实施例提供的客户端中:
所述处理器71,用于读取存储器73中的程序,执行下列过程:通过收发机72向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
实施例6:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;
向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;
根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
对于***/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种数据共享***,其特征在于,包括至少两个证书授权中心CA、客户端、至少两个属性机构AA和云服务器;
所述客户端,用于向所述至少两个CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合;
所述目标CA,用于接收所述客户端发送的注册请求,根据所述属性集合及预设的随机算法,生成所述用户的用户公钥,并将所述用户公钥发送给所述客户端;
所述客户端,还用于接收所述目标CA发送的用户公钥,向所述至少两个AA发送所述用户公钥和属性集合;
所述至少两个AA,用于接收所述客户端发送的所述用户公钥和属性集合,根据所述属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥,并将所述属性私钥发送给所述客户端;
所述客户端,还用于根据所述属性私钥,对所述云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
2.如权利要求1所述的***,其特征在于,所述目标CA,具体用于接收所述客户端发送的注册请求,为所述用户分配全局身份标识GID,根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
3.如权利要求2所述的***,其特征在于,所述云服务器中保存的加密的共享文件,是根据与所述预先生成的属性机构私钥对应的公开参数、对所述共享文件设置的属性访问结构中每个属性对应的公钥及预设的加密算法,对为所述共享文件加密生成的。
4.如权利要求1-3任一项所述的***,其特征在于,所述***还包括:属性控制服务器;
所述属性控制服务器,还用于接收添加第一属性的第一更新请求;根据预先保存的属性与类别对照表,确定所述第一属性对应的第一目标类别,并识别所述至少两个AA中是否存在管理所述第一目标类别对应的属性的第一目标AA;如果是,将所述第一属性添加至所述第一目标AA;如果否,创建管理所述第一目标类别对应的属性的第一目标AA,并将所述第一属性添加至所述第一目标AA。
5.如权利要求4所述的***,其特征在于,所述属性控制服务器,还用于接收删除第二属性的第二更新请求,根据预先保存的属性与类别对照表,确定所述第二属性对应的第二目标类别,将所述第二属性在管理所述第二目标类别对应属性的第二目标AA中删除。
6.一种数据共享方法,其特征在于,应用于客户端,所述方法包括:
向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;
向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;
根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
7.如权利要求6所述的数据共享方法,其特征在于,所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥包括:
所述目标CA为所述用户分配全局身份标识GID,根据所述属性集合、所述GID、预先生成的属性机构私钥及预设的随机算法,生成所述用户的用户公钥。
8.如权利要求7所述的数据共享方法,其特征在于,所述云服务器中保存的加密的共享文件,是根据与所述预先生成的属性机构私钥对应的公开参数、对所述共享文件设置的属性访问结构中每个属性对应的公钥及预设的加密算法,对为所述共享文件加密生成的。
9.一种数据共享装置,其特征在于,应用于客户端,所述装置包括:
第一发送模块,用于向数据共享***的至少两个证书授权中心CA中的任意一个目标CA发送注册请求,其中所述注册请求中包含所述客户端的用户的属性集合,使所述目标CA根据所述属性集合及预设的随机算法,生成所述用户的用户公钥;
第二发送模块,用于向所述数据共享***的至少两个属性机构AA发送所述用户公钥和属性集合,使所述至少两个AA根据所述用户属性集合中包含的每个属性对应的私钥、所述用户公钥及预设的密钥生成算法,生成所述用户的属性私钥;
解密模块,用于根据所述属性私钥,对所述数据共享***的云服务器中保存的采用所述用户的属性集合满足的属性访问结构加密的共享文件进行解密。
10.一种客户端,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求6-8任一项所述方法的步骤。
11.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求6-8任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811318532.4A CN111163036B (zh) | 2018-11-07 | 2018-11-07 | 一种数据共享方法、装置、客户端、存储介质及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811318532.4A CN111163036B (zh) | 2018-11-07 | 2018-11-07 | 一种数据共享方法、装置、客户端、存储介质及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111163036A CN111163036A (zh) | 2020-05-15 |
CN111163036B true CN111163036B (zh) | 2022-03-29 |
Family
ID=70554486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811318532.4A Active CN111163036B (zh) | 2018-11-07 | 2018-11-07 | 一种数据共享方法、装置、客户端、存储介质及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111163036B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112351023A (zh) * | 2020-10-30 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种数据共享和传输的方法及*** |
CN112699392A (zh) * | 2020-12-31 | 2021-04-23 | 青岛海尔科技有限公司 | 目标数据的处理方法及装置、存储介质、电子装置 |
CN113392427A (zh) * | 2021-05-07 | 2021-09-14 | 卓尔智联(武汉)研究院有限公司 | 数据存储方法、装置、电子设备和存储介质 |
CN113641985B (zh) * | 2021-10-12 | 2022-02-11 | 江苏荣泽信息科技股份有限公司 | 一种分布式可信组织身份访问控制***及方法 |
CN114239065A (zh) * | 2021-12-20 | 2022-03-25 | 北京深思数盾科技股份有限公司 | 基于密钥的数据处理方法、电子设备及存储介质 |
CN114513370B (zh) * | 2022-04-19 | 2022-07-15 | 中国信息通信研究院 | 通用的标识数据转换方法和装置、存储介质、电子设备 |
CN115695035B (zh) * | 2022-11-10 | 2024-04-19 | 山东云科汉威软件有限公司 | 基于云存储的油气田业务数据授权方法、装置、电子设备及可读介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6370249B1 (en) * | 1997-07-25 | 2002-04-09 | Entrust Technologies, Ltd. | Method and apparatus for public key management |
US8327424B2 (en) * | 2009-12-22 | 2012-12-04 | Motorola Solutions, Inc. | Method and apparatus for selecting a certificate authority |
SG11201802931XA (en) * | 2015-03-25 | 2018-05-30 | Sixscape Communications Pte Ltd | Apparatus and method for managing digital certificates |
CN104917772B (zh) * | 2015-06-12 | 2017-12-08 | 深圳大学 | 一种云存储服务平台的访问控制***的访问控制方法 |
CN105208007A (zh) * | 2015-08-26 | 2015-12-30 | 中标软件有限公司 | 一种数据共享*** |
CN106487506B (zh) * | 2016-10-08 | 2020-07-28 | 西安电子科技大学 | 一种支持预加密和外包解密的多机构kp-abe方法 |
CN107508667B (zh) * | 2017-07-10 | 2019-09-17 | 中国人民解放军信息工程大学 | 可公开定责无密钥托管的密文策略属性基加密方法及其装置 |
-
2018
- 2018-11-07 CN CN201811318532.4A patent/CN111163036B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111163036A (zh) | 2020-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111163036B (zh) | 一种数据共享方法、装置、客户端、存储介质及*** | |
CN109033855B (zh) | 一种基于区块链的数据传输方法、装置及存储介质 | |
CN108390876B (zh) | 支持撤销外包可验证多授权中心访问控制方法、云服务器 | |
CN109559124B (zh) | 一种基于区块链的云数据安全共享方法 | |
CN108600217B (zh) | 一种云端基于代理重加密的数据授权确定性更新方法 | |
US7454021B2 (en) | Off-loading data re-encryption in encrypted data management systems | |
US20190294811A1 (en) | System and a method for management of confidential data | |
CN112131316B (zh) | 应用于区块链***的数据处理方法及装置 | |
AU2015278722B2 (en) | Methods and devices for key management in an as-a-service context | |
KR101615137B1 (ko) | 속성 기반의 데이터 접근 방법 | |
CN105122265A (zh) | 数据安全服务*** | |
CN104158827A (zh) | 密文数据共享方法、装置、查询服务器和上传数据客户端 | |
WO2017061950A1 (en) | Data security system and method for operation thereof | |
CN104901968A (zh) | 一种安全云存储***中的密钥管理分发方法 | |
CN111181719A (zh) | 云环境下基于属性加密的分层访问控制方法及*** | |
CN107302524A (zh) | 一种云计算环境下的密文数据共享*** | |
KR102298266B1 (ko) | 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템 | |
CN114500069A (zh) | 一种电子合同的存储及共享的方法与*** | |
CN110012024A (zh) | 一种数据共享方法、***、设备及计算机可读存储介质 | |
Chennam et al. | Cloud security in crypt database server using fine grained access control | |
Swetha et al. | Security on mobile cloud computing using cipher text policy and attribute based encryption scheme | |
CN113641985A (zh) | 一种分布式可信组织身份访问控制***及方法 | |
Silambarasan et al. | Attribute-based convergent encryption key management for secure deduplication in cloud | |
Rajarao et al. | Hierarchal attribute based cryptographic model to handle security services in cloud environment: a new model | |
CN112865968B (zh) | 数据密文托管方法、***、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |