一种用于实现云环境中加密文件共享的方法、系统、设备及介质技术方案

一种用于实现云环境中加密文件共享的方法、系统、设备及介质，方法包括：上传加密非结构化数据，共享加密非结构化数据，构建支持用户属性可撤销和恢复的属性密码算法模型；系统、设备及介质，用于实现一种用于实现云环境中加密文件共享的方法；本发明专利技术通过数据属主加密上传待分享文件到云服务器，针对指定用户和群体用户分享加密文件，构建可撤销与恢复的属性密码算法，通过国密算法SM4将文件加密后，利用属性加密算法对文件加密密钥加密，并将密文拼接存储至云服务器，能够实现高效密钥分发与加密文件的共享，具有较好的兼容性、安全性高、保证数据高效流转、操作简单、节约资源的特点。节约资源的特点。节约资源的特点。

【技术实现步骤摘要】
一种用于实现云环境中加密文件共享的方法、系统、设备及介质


[0001]本专利技术涉及云环境中数据安全共享和隐私保护
，尤其涉及一种用于实现云环境中加密文件共享的方法、系统、设备及介质。

技术介绍

[0002]目前，在互联网高速发展的时代背景下，企业内部办公所需文件数据正在向“无纸化”快速过度，许多企业都引入了电子文档管理系统来提升工作效率，其原理是将文档、图片、视频和音频等非结构化数据以电子数据的形式存储在云服务器上，每一个工作人员都是电子文档管理系统的一个用户，他们可以在系统上进行一系列对数据的操作，包括但不限于上传、下载、分享等。这种对数据的管理办法为日常工作带来便利的同时，数据安全问题也成为一个不可忽视的难题。
[0003]由于云服务器并不完全可信，当用户在云服务器上存储涉密数据时，数据会受到各种安全威胁，涉及数据的隐私、完整性和数据的认证。为了防止数据泄露，在用户上传数据前需对共享数据进行加密。但又会出现新的问题，数据加密之后，一次一密的加密分发又不便于数据在企业内高效的流转，如果采用相同的密钥又缺乏足够的安全性。
[0004]通过上述分析，现有技术存在的问题及缺陷为：
[0005](1)由于云服务器并不完全可信，当用户在云服务器上存储涉密数据时，数据会受到各种安全威胁，包括数据的隐私、完整性和数据的认证。
[0006](2)在用户上传数据前对共享数据进行加密，一次一密的加密分发不便于数据在企业内高效的流转，如果采用相同的密钥又缺乏安全性。
[0007](3)当共享对象发生改变时系统需要重新加密数据会造成的资源消耗问题。
[0008]公开号为「CN111310222A」，名称为“文件加密方法”的专利申请公开了一种文件加密方法，包括以下步骤：读取待加密的文件，确定待加密的文件的大小；以所述大小为参数生成加密秘钥；将待加密的文件分为多个文件分块；读取一文件分块，使用所述加密秘钥对文件分块进行加密，生成加密分块，直至将所有文件分块加密完毕；将加密分块合并，生成加密文件，并将所述加密秘钥发送给文件加密方法调用者；由于采用了传统非对称密码算法加密加密密钥，因此当共享对象发送改变时，需要重新加密文件并再次发送，这样的处理会造成系统资源的浪费。
[0009]公开号为「CN114520747A」，名称为“一种以数据为中心的数据安全共享系统和方法”的专利申请公开了一种以数据为中心的数据安全共享系统和方法，采用多子链分层并行方式部署；包括：数据存储层，其被配置为：实现对数据的组织管理和加密存储；数据发布层，其被配置为：数据拥有端根据数据使用端的属性，设置数据访问控制策略，结合数据访问控制策略对数据进行加密，并在区块链中发布数据资源；数据控制层，其被配置为：在联盟链上设置用户身份子链、访问控制赋权子链、数据交易子链、数据检索子链、机器学习子链以及数据更新子链；以实现用户身份管理、访问控制、数据共享交易以及对密文数据的全
文检索；由于采用了属性密码算法，因此当数据访问者的属性发生改变时，无法高效的做出应对，只能通过重新加密来应对此类问题，操作复杂、效率低下。

技术实现思路

[0010]为了克服上述现有技术的缺点，本专利技术的目的在于提供一种用于实现云环境中加密文件共享的方法、系统、设备及介质，通过数据属主加密上传待分享文件到云服务器，针对指定用户和群体用户分享加密文件，构建可撤销与恢复的属性密码算法，通过国密算法SM4将文件加密后，利用属性加密算法对文件加密密钥加密，并将密文拼接存储至云服务器，能够实现高效密钥分发与加密文件的共享，具有较好的兼容性、安全性高、保证数据高效流转、操作简单、节约资源的特点。
[0011]一种用于实现云环境中加密文件共享的方法，包括以下步骤：
[0012]步骤1：上传加密非结构化数据；
[0013]步骤2：共享加密非结构化数据；
[0014]步骤3：构建支持用户属性可撤销和恢复的属性密码算法模型。
[0015]所述步骤1中的上传加密非结构化数据过程包括：
[0016]步骤1.1：数据属主向密钥管理服务器申请获取属性公钥，再从云服务器获取自身信息；
[0017]步骤1.2：数据属主本地随机生成一个比特序列，作为文件加密密钥k，通过国密算法SM4对文件进行加密处理，生成文件密文fc；
[0018]步骤1.3：数据属主将通过步骤1.1获得的属性公钥和自身信息，构建访问控制策略，构建的访问控制策略使用属性加密算法对文件加密密钥k加密，生成密钥密文kc1；
[0019]步骤1.4：数据属主将文件密文fc和密钥密文kc1上传到云服务器的个人目录下，业务服务区将文件密文fc和密钥密文kc1拼接生成密文c1，数据属主将密文c1储存在云服务器中，kc1作为安全文件头。
[0020]步骤2中的共享加密非结构化数据过程包括：
[0021]当共享对象为指定用户时的共享加密文件过程包括：
[0022]步骤2.1.1：客户端A通过云服务器从密钥管理服务器中获取属性私钥，从云服务器中获取用户B
‑‑
数据访问者以及通过步骤1得到的密文c1，用属性私钥解密通过步骤1得到的密文c1的安全文件头kc1，获得文件加密密钥k；
[0023]步骤2.1.2：客户端A通过用户B的信息构建访问控制树，通过访问控住树和属性公钥使用属性加密算法，加密经步骤2.1.1得到的密钥k后，生成密钥密文kc2，云服务器将kc2与文件密文fc拼接，生成密文c2后储存在云服务器中，kc2作为安全文件头；
[0024]步骤2.1.3：客户端B从云服务器获取到用户B的信息和经过步骤2.1.2得到的密文c2，从密钥管理服务器中获取属性私钥，从密文c2中提取安全文件头kc2，通过属性私钥使用属性解密算法对安全文件头kc2解密，得到文件加密密钥k；
[0025]步骤2.1.4：客户端B将通过步骤2.2.3得到的文件加密密钥k，使用对称密码算法对文件密文fc解密，得到分享文件明文；
[0026]当共享对象为一个群体(同一单位或同一部门)时，共享加密文件过程为：
[0027]步骤2.2.1：客户端A从云服务器中获取群体的公共属性；
[0028]步骤2.2.2：客户端A通过云服务器从密钥管理服务器中获取属性私钥，从云服务器中获取通过步骤1得到的密文c1，用属性私钥解密通过步骤1得到的密文c1的安全文件头kc1获得文件加密密钥k；
[0029]步骤2.2.3：客户端A通过步骤2.2.1得到的群体公共属性信息构建访问控制树，通过访问控住树和属性公钥使用属性加密算法，加密经步骤2.2.2得到的密钥k后，生成密钥密文kc3，通过云服务器将密钥密文kc3与文件密文fc拼接，生成密文c3后储存在云服务器中，kc2作为安全文件头；
[0030]步骤2.2.4：客户端B从云服务器获取到用户B的信息、经过步骤2.2.3得到的密文c3，从密钥管理服务器中获取属性私钥；若用户B的属性值达本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于实现云环境中加密文件共享的方法，其特征在于，包括以下步骤：步骤1：上传加密非结构化数据；步骤2：共享加密非结构化数据；步骤3：构建支持用户属性可撤销和恢复的属性密码算法模型。2.根据权利要求1所述的一种用于实现云环境中加密文件共享的方法，其特征在于，所述步骤1中的上传加密非结构化数据过程包括：步骤1.1：数据属主向密钥管理服务器申请获取属性公钥，再从云服务器获取自身信息；步骤1.2：数据属主本地随机生成一个比特序列，作为文件加密密钥k，通过国密算法SM4对文件进行加密处理，生成文件密文fc；步骤1.3：数据属主将通过步骤1.1获得的属性公钥和自身信息，构建访问控制策略，构建的访问控制策略使用属性加密算法对文件加密密钥k加密，生成密钥密文kc1；步骤1.4：数据属主将文件密文fc和密钥密文kc1上传到云服务器的个人目录下，业务服务区将文件密文fc和密钥密文kc1拼接生成密文c1，数据属主将密文c1储存在云服务器中，kc1作为安全文件头。3.根据权利要求1所述的一种用于实现云环境中加密文件共享的方法，其特征在于，步骤2中的共享加密非结构化数据过程包括：当共享对象为指定用户时的共享加密文件过程包括：步骤2.1.1：客户端A通过云服务器从密钥管理服务器中获取属性私钥，从云服务器中获取用户B
‑‑
数据访问者以及通过步骤1得到的密文c1，用属性私钥解密通过步骤1得到的密文c1的安全文件头kc1，获得文件加密密钥k；步骤2.1.2：客户端A通过用户B的信息构建访问控制树，通过访问控住树和属性公钥使用属性加密算法，加密经步骤2.1.1得到的密钥k后，生成密钥密文kc2，云服务器将kc2与文件密文fc拼接，生成密文c2后储存在云服务器中，kc2作为安全文件头；步骤2.1.3：客户端B从云服务器获取到用户B的信息和经过步骤2.1.2得到的密文c2，从密钥管理服务器中获取属性私钥，从密文c2中提取安全文件头kc2，通过属性私钥使用属性解密算法对安全文件头kc2解密，得到文件加密密钥k；步骤2.1.4：客户端B将通过步骤2.2.3得到的文件加密密钥k，使用对称密码算法对文件密文fc解密，得到分享文件明文；当共享对象为一个群体(同一单位或同一部门)时，共享加密文件过程为：步骤2.2.1：客户端A从云服务器中获取群体的公共属性；步骤2.2.2：客户端A通过云服务器从密钥管理服务器中获取属性私钥，从云服务器中获取通过步骤1得到的密文c1，用属性私钥解密通过步骤1得到的密文c1的安全文件头
‑1获得文件加密密钥k；步骤2.2.3：客户端A通过步骤2.2.1得到的群体公共属性信息构建访问控制树，通过访问控住树和属性公钥使用属性加密算法，加密经步骤2.2.2得到的密钥k后，生成密钥密文
‑3，通过云服务器将密钥密文kc3与文件密文fc拼接，生成密文c3后储存在云服务器中，kc2作为安全文件头；步骤2.2.4：客户端B从云服务器获取到用户B的信息、经过步骤2.2.3得到的密文c3，从
密钥管理服务器中获取属性私钥；若用户B的属性值达到用户A设置的阀值，则从密文c3中提取安全文件头kc2，通过属性私钥使用属性解密算法对安全文件头kc2解密，得到文件加密密钥k，通过文件加密密钥k使用对称密码算法对文件密文fc解密，得到分享文件明文；若用户B的属性值没有达到用户A设置的阀值，则云服务器提示用户B无权限查看文件的内容；所述客户端A指上传待分享文件的用户所使用客户端，客户端B指接受待分享文件的用户所使用客户端，存在多个客户端B。4.根据权利要求1所述的一种用于实现云环境中加密文件共享的方法，其特征在于，所述步骤3中的构建支持用户属性可撤销和恢复的属性密码算法模型的过程为：步骤3.1初始化SetUp：初始化算法为随机算法，初始化生成系统公钥PK、系统主密钥MK；步骤3.2撤销机构初始化：输入经过步骤3.1得到的系统公钥PK，作为输入参数，撤销机构会生成一个素数域P，以及为每个属性att计算tag，即map<att,tag>，tag是一个大素数，用于记录是否被撤销；步骤3.3秘钥生成KeyGen：密钥管理服务器根据通过步骤3.1得到的系统公钥PK、系统主密钥MK和数据访问者提交的属性集合S
u
，为数据访问者生成与属性集合关联的用户秘钥UK，在素数域P中为用户申请一个素数p...

【专利技术属性】
技术研发人员：苏锐丹，魏赫男，崔凯迪，韩星星，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：