在组织中对数据授权的方法及装置制造方法及图纸

本发明专利技术实施例公开了一种在组织中对数据授权的方法及装置，包括：向服务端发起数据传输请求；服务端根据第一账号的数据传输请求验证第二账号与第一账号属同一账号组织后提供第二账号的组织公钥；基于第二账号的组织公钥对传输数据加密；将传输数据密文发送给第二账号；第二账号向服务端发起传输数据密文解密申请；服务端根据第二账号的传输数据密文解密申请验证第二账号的组织私钥许可有效性，验证通过后允许使用第二账号的组织私钥对传输数据密文解密。本发明专利技术实施例采用第一账号所属账号组织内的第二账号的组织公钥和组织私钥对传输数据加解密，加解密所用的组织公钥和组织私钥由组织管理，提高了数据传输的安全性。

Approaches and devices for data authorization in Organizations

【技术实现步骤摘要】
在组织中对数据授权的方法及装置
本专利技术属于信息加密传输
，特别涉及一种在组织中对数据授权的方法及装置。
技术介绍
在当今互联网高速发展下，人们越来越多的在互联网中交换、共享数据、协同办公。与传统单机模式所不同的是，数据一旦在互联网上分享，则很难控制其扩散的范围。为此，人们专利技术了通过对数据加密授权来控制数据访问的方法，通过对数据加密，再对数据密钥进行授权，只有拥有授权的用户能够使用密钥解密数据。然而实际应用场景下，往往需要授权用户可以对数据进行转发，这样使得人们为了控制数据授权范围需要不断的调整个别用户的数据使用权限，需要管理员频繁操作，现有技术为了实现数据转发对象能够使用数据通常是对用户进行权限变更结合身份权限验证，权限验证操作往往是用户进行身份验证通过后可直接获取对应权限的数据，这样存在伪造组织身份证明轻松破解权限设置的情况。因此提供一种更加安全、方便的数据加密传输方法成为了现有技术急需解决的技术问题。
技术实现思路
对于现有技术存在的不足，本专利技术方法提出较为安全的在组织中对数据授权的方法及装置。第一方面，本专利技术实施例提供了一种在组织中对数据授权的方法，其特征在于，应用于服务端，包括：存储隶属于同一账号组织的各个账号在所属账号组织的组织私钥许可和组织公钥；根据第一账号的数据传输请求，当作为接收方的第二账号与第一账号属于同一账号组织时为第一账号提供第二账号的组织公钥，第二账号的组织公钥在对传输数据加密过程中使用；根据第二账号的对从第一账号获取的传输数据密文进行解密的请求，验证第二账号在第一账号所属账号组织的组织私钥许可的有效性，在组织私钥许可验证有效后允许使用第二账号的组织私钥对传输数据密文解密。第二方面，本专利技术实施例还提供了一种在组织中对数据授权的方法，其特征在于，应用于作为发送方的第一账号端，包括：向服务端发起数据传输请求，使服务端从第一账号所隶属的账号组织中查找作为接收方的第二账号的组织公钥，其中，服务端存储有第一账号所隶属账号组织中的各个账号的组织私钥许可和组织公钥；基于第二账号的组织公钥对传输数据加密生成传输数据密文；将传输数据密文发送给第二账号。第三方面，本专利技术实施例提供了一种在组织中对数据授权的方法，其特征在于，应用于作为接收方的第二账号端，包括：向服务端发起对从第一账号获取的传输数据密文进行解密的请求，以使服务端验证第二账号在第一账号所属账号组织的组织私钥许可的有效性；在服务端验证第二账号在第一账号所属账号组织的组织私钥许可有效后，使用第二账号的组织私钥对传输数据密文解密或者通过服务端使用第二账号的组织私钥对所述传输数据密文解密。第四方面，本专利技术实施例提供了一种在组织中对数据授权的装置，其特征在于，所述装置应用于服务端，包括：存储模块，用于存储隶属于同一账号组织的各个账号在所属账号组织的组织私钥许可和组织公钥；加密管理模块，用于根据第一账号的数据传输请求，当作为接收方的第二账号与第一账号属于同一账号组织时为第一账号提供第二账号的组织公钥，所述第二账号的组织公钥在对传输数据加密过程中使用；解密管理模块，用于根据第二账号的对从第一账号获取的传输数据密文进行解密的请求，验证第二账号在所属账号组织的组织私钥许可的有效性，在组织私钥许可验证有效后允许使用第二账号的组织私钥对传输数据密文解密。第五方面，本专利技术实施例提供了一种在组织中对数据授权的装置，其特征在于，应用于作为发送方的第一账号端，包括；请求模块，用于向服务端发起数据传输请求，使服务端从第一账号所隶属的账号组织中查找作为接收方的第二账号的组织公钥，其中，服务端存储有第一账号所隶属账号组织中的各个账号的组织私钥许可和组织公钥；加密模块，用于基于第二账号的组织公钥对传输数据加密生成传输数据密文；发送模块，用于将传输数据密文发送给第二账号。第六方面，本专利技术实施例提供了一种在组织中对数据授权的装置，其特征在于，应用于作为接收方的第二账号端，包括；请求模块，用于向服务端发起对从第一账号获取的传输数据密文进行解密的请求，以使服务端验证第二账号在第一账号所属账号组织的组织私钥许可的有效性；解密模块，用于在服务端验证第二账号在第一账号所属账号组织的组织私钥许可有效后，使用第二账号的组织私钥对传输数据密文解密或者通过服务端使用第二账号的组织私钥对所传输数据密文解密。相对于现有技术，本专利技术实施例中提供了一种在组织中对数据授权方法：作为发送方的第一账号向服务端发送数据传输请求；服务端根据第一账号的数据传输请求，当作为接收方的第二账号与第一账号属于同一账号组织时为第一账号提供第二账号的组织公钥，所述第二账号的组织公钥在对传输数据加密过程中使用；作为接收方的第二账号向服务端发送传输数据密文解密请求；服务端根据第二账号的对从第一账号获取的传输数据密文进行解密的请求，验证第二账号在第一账号所属账号组织的组织私钥许可的有效性，在所述组织私钥许可验证有效后允许使用第二账号的组织私钥对传输数据密文解密。本专利技术中的用户账号的组织公钥和组织私钥由服务端管理，加密数据传输过程中被破解和解密的情况基本不可能发生，数据安全有较高的保障。另外，当作为接收方的第二账号和作为发送方的第一账号属同一账号组织内的用户账号时，第一账号才能够使用对应的第二账号的组织公钥进行加密，增加了数据定向发送的安全性，即使第一账号伪造第二账号的组织公钥后将数据发送给第一账号所属的账号组织外的用户账号，账号组织外的用户账号因在第一账号所属的账号组织内不具有对应的第二账号的组织私钥，第二账号不能使用对应的第二账号的组织私钥来进行解密，因此本专利技术实施例采用的在组织中对数据授权方法安全度较高。附图说明图1为本专利技术实施例一提供的在组织中对数据授权的方法流程图，应用于服务端；图2为本专利技术实施例二提供的在组织中对数据授权的方法流程图，应用于服务端；图3为本专利技术实施例三提供的在组织中对数据授权的方法流程图，应用于发送方；图4为本专利技术实施例四提供的在组织中对数据授权的方法流程图，应用于接收方；图5为本专利技术实施例五提供的在组织中对数据授权的方法流程图；图6为本专利技术实施例六提供的在组织中对数据授权的装置600的结构示意图，设置在服务端；图7为本专利技术实施例六提供的在组织中对数据授权的装置700的结构示意图，设置在发送端；图8为本专利技术实施例八提供的在组织中对数据授权的装置800的结构示意图，设置在接收端；图9为本专利技术实施例九提供的一种服务器的结构示意图。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本专利技术的技术方案进行进一步详细说明。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。除非另有定义，本文所使用的所有的技术和科学术语与属于本专利技术的
的技术人员通常理解的含义相同。本文中在本专利技术的说明书中使用的术语只是为了描述具体的实施方式的目的，不是旨在于限制本专利技术。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。此外，术语“第一”、“第二”等可在本文中用于描述各种方向、动作、步骤或元件等，但这些方向、动作、步骤或元件不受这些术语本文档来自技高网...

【技术保护点】
1.一种在组织中对数据授权的方法，其特征在于，所述方法应用于服务端，包括：存储隶属于同一账号组织的各个账号在所属账号组织的组织私钥许可和组织公钥；根据第一账号的数据传输请求，当作为接收方的第二账号与所述第一账号属于同一账号组织时为所述第一账号提供所述第二账号的组织公钥，所述第二账号的组织公钥在对传输数据加密过程中使用；根据所述第二账号的对从所述第一账号获取的传输数据密文进行解密的请求，验证所述第二账号在第一账号所属账号组织的组织私钥许可的有效性，在所述组织私钥许可验证有效后允许使用所述第二账号的组织私钥对所述传输数据密文解密。

【技术特征摘要】
1.一种在组织中对数据授权的方法，其特征在于，所述方法应用于服务端，包括：存储隶属于同一账号组织的各个账号在所属账号组织的组织私钥许可和组织公钥；根据第一账号的数据传输请求，当作为接收方的第二账号与所述第一账号属于同一账号组织时为所述第一账号提供所述第二账号的组织公钥，所述第二账号的组织公钥在对传输数据加密过程中使用；根据所述第二账号的对从所述第一账号获取的传输数据密文进行解密的请求，验证所述第二账号在第一账号所属账号组织的组织私钥许可的有效性，在所述组织私钥许可验证有效后允许使用所述第二账号的组织私钥对所述传输数据密文解密。2.根据权利要求1所述的方法，其特征在于，还包括：根据所述第一账号的数据传输请求，为所述第一账号分配第一密钥以及存储所述第一账号为所述第二账号签发的所述第一密钥的使用许可，所述第一密钥在对传输数据加密的过程中使用；根据所述第二账号的对从所述第一账号获取的传输数据密文进行解密的请求，验证所述第一账号为所述第二账号颁发的所述第一密钥的使用许可的有效性，在验证有效后提供所述第一密钥以用于对所述传输数据密文解密。3.根据权利要求1所述的方法，其特征在于，所述存储隶属于同一账号组织的各个账号的组织公钥包括：存储隶属于同一账号组织的各个账号的公钥证书，所述公钥证书中包含对应账号的用户信息和组织公钥，以及使用所属账号组织的组织管理密钥对所述组织公钥和所述用户信息的签名。4.根据权利要求1所述的方法，其特征在于，所述隶属于同一账号组织的各个账号的组织私钥许可由账号所属账号组织的管理员账号签发并且包含组织管理密钥签名。5.根据权利要求3所述的方法，其特征在于，所述组织管理密钥由所述账号组织的管理员账号维护。6.根据权利要求1所述的方法，其特征在于，隶属于同一账号组织的各个账号的组织公钥和组织私钥为各个账号申请加入账号组织时由所属账号组织的管理员账号生成或者根据所属账号组织的管理员账号的指示由服务端生成。7.根据权利要求1所述的方法，其特征在于，还包括：接收由第三账号或者由第三账号所属账号组织的管理员账号发送的第三账号吊销请求，根据所述第三账号吊销请求删除所述第三账号在所属账号组织的组织私钥许可和组织公钥。8.一种在组织中对数据授权的方法，其特征在于，所述方法应用于作为发送方的第一账号端，包括：向服务端发起数据传输请求，使服务端从第一账号所隶属的账号组织中查找作为接收方的第二账号的组织公钥，其中，所述服务端存储有所述第一账号所隶属账号组织中的各个账号的组织私钥许可和组织公钥；基于所述第二账号的组织公钥对传输数据加密生成传输数据密文；将所述传输数据密文发送给所述第二账号。9.根据权利要求8所述的方法，其特征在于，还包括：从所述服务端接收为所述第一账号分配第一密钥的反馈信息，所述第一密钥在生成传输数据密文过程中使用；基于所述反馈信息向所述第二账号签发所述第一密钥的使用许可。10.根据权利要求8所述的方法，其特征在于：所述第二账号的组织公钥包含于与所述第二账号关联的公钥证书中，所述公钥证书中还包含所述第二账号的用户信息、以及使用第二账号所属...

【专利技术属性】
技术研发人员：孙吉平，刘跃峰，
申请(专利权)人：北京深思数盾科技股份有限公司，
类型：发明
国别省市：北京,11