【技术实现步骤摘要】
【国外来华专利技术】用于建立安全分层引用系统的方法
技术实现思路
本专利技术的目的是提供一种性能优化的安全分层引用系统,例如以实现加密文件系统(CFS),在该加密文件系统中,文件或其他数据被存储在不信任的环境上的加密树结构中。这通过使用自适应密码访问控制(ACAC)来操作,其中使用密钥来加密在客户端(用户)侧的数据。所有所述密钥(除了条目密钥之外)不应被存储而应被计算,并且用于引用系统中的每个元素(例如,文件、记载、注释)以确保读/写权限的专用对称密钥可以以元素级别被分发给所选定的第三方并且在需要时主动撤销(共享/撤销)。由此,该参考系统替代了传统的访问控制和认证方法,并且由于在单独元素基础上的对称密钥,不仅能够实现有效的、容错的访问,而且特别地,还能够实现主动移除单独元素的可能性。出于效率的原因,懒惰撤销方法被用于加密,即,不是在用户被撤销之后立即生成新密钥,而是仅在存储数据时生成新密钥。
技术介绍
在当前的现有技术中没有能够满足上述目的方法。已知的方法涵盖了需求的一些单独的方面,但是不可在当前的现有技术中进行组合。由于使用的所有密钥是...
【技术保护点】
1.一种用于存储和读取不信任的环境中的存储设备上的数据的方法,其中所述数据被分配给树结构的数据节点,/n并且其中每个数据节点具有数据节点标识,所述数据节点标识相对于所述数据节点的兄弟数据节点清楚地识别所述数据节点,/n并且其中每个数据节点具有一个当前数据节点密钥,/n并且其中存在根数据节点,对于所述根数据节点,手动指定至少一个数据节点密钥,优选地通过根据访问数据的计算来手动指定所述至少一个数据节点密钥,/n并且其中所有子数据节点基于包括当前父数据节点密钥的所述根数据节点,来递归地计算所有所述子数据节点的当前数据节点密钥,/n并且其中在将数据存储在所述存储设备上之前,利用与所...
【技术特征摘要】
【国外来华专利技术】1.一种用于存储和读取不信任的环境中的存储设备上的数据的方法,其中所述数据被分配给树结构的数据节点,
并且其中每个数据节点具有数据节点标识,所述数据节点标识相对于所述数据节点的兄弟数据节点清楚地识别所述数据节点,
并且其中每个数据节点具有一个当前数据节点密钥,
并且其中存在根数据节点,对于所述根数据节点,手动指定至少一个数据节点密钥,优选地通过根据访问数据的计算来手动指定所述至少一个数据节点密钥,
并且其中所有子数据节点基于包括当前父数据节点密钥的所述根数据节点,来递归地计算所有所述子数据节点的当前数据节点密钥,
并且其中在将数据存储在所述存储设备上之前,利用与所述数据相关的数据节点的当前数据节点密钥来对所述数据进行加密,
并且其中在所述存储设备上读取所述数据之后利用所述当前数据节点密钥来加密所述数据,
其特征在于,
限定数据节点密钥生成步骤,所述数据节点密钥生成步骤能够任意次数地、时间独立地应用于每个数据节点,并且其中当所述数据节点密钥生成步骤应用于数据节点时,
针对所述数据节点生成新数据节点密钥索引,
通过将所述新数据节点密钥索引匹配于安全哈希函数的结果来计算数据节点密钥并将所述数据节点密钥设置为所述当前数据节点密钥,所述安全哈希函数至少应用于所述数据节点的所述数据节点标识、所述新数据节点密钥索引和所述父数据节点的所述当前数据节点密钥,
并且创建/扩展易失性数据节点密钥列表,所述易失性数据节点密钥列表包含数据节点密钥索引列和数据节点密钥列,其中,将所述新数据节点密钥索引和先前计算的数据节点密钥插入在所述易失性列表的末尾处,并且所述先前计算的数据节点密钥成为所述当前数据节点密钥,
并且针对所述数据节点创建/扩展非易失性数据节点密钥参数列表,所述非易失性数据节点密钥参数列表包含数据节点索引列和父数据节点索引列,其中在所述非易失性列表的所述末尾处,将所述数据节点的所述新数据节点密钥索引插入到所述数据节点索引列中,且将来自所述父数据节点的所述数据节点密钥参数列表的最后一个数据节点密钥索引插入到所述父数据节点索引列中,使得仅永久存储公共索引而非秘密密钥,所述公共索引作为用于密钥的代理,
在存储数据节点的数据前,
识别从所述根数据节点到所述数据节点的、所述树结构中的路径,并且从所述根数据节点的第一子开始,逐个数据节点地跟踪识别的所述路径,
并且比较数据节点和所述数据节点的父数据节点的非易失性数据节点密钥参数列表中的最后一个条目,
并且只要来自数据节点的所述父数据节点索引列的所述最后一个条目不与来自所述数据节点的父数据节点的数据节点密钥参数列表的、在所述数据节点处的以及在所述路径上的后继数据节点处的数据节点索引列中的最后一个条目相同时,<...
【专利技术属性】
技术研发人员:K·雷内特,
申请(专利权)人:塞克罗斯股份有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。