档案共享系统与方法技术方案

为了排他性存取权利的需求，本发明专利技术提出一种档案共享系统与方法，包含：密钥管理者单元接受第一用户的注册请求，而获取第一用户识别代号与第一公钥的对应关系，产生第一密钥素材，用来将第一档案加密而形成第一加密档案，接受第一用户对第一档案的存取权声明请求，进而根据第一用户识别代号

【技术实现步骤摘要】
档案共享系统与方法


[0001]本专利技术涉及一种档案共享系统与方法，尤指具有存取权限管理的档案共享系统与方法
。

技术介绍

[0002]用户将数位资料档案存放在云端储存空间中，藉此来达成档案共享的作法已经是相当普遍
。
因此，对于存取此数位资料档案的用户而言，最具体保证具备有排他性
(exclusive access)
存取权利的保护方法，就是将该数位资料档案通过仅限存取者知悉的密钥
(key)
来进行加密保护
。
此种保护方法将要求用户取得当初加密该档案的密钥来进行解密作业，始能正确存取该档案的原始资料
。
[0003]但此传统方法实施的关键在于如何能确保用户相对应拥有唯一的密钥
。
如果每个用户拥有的密钥不具备共通性
(
内容皆独立无关联
)
，将导致每个档案须依每个用户所拥有的唯一密钥进行加密，因此针对每个
(
档案，用户
)
配对关联，将有一个内容不同的加密结果，如此将使此种实施方式浪费储存空间而显得不切实际
。
[0004]另外，档案存取所常采用的传统方式，乃为设置一个存取控制清单
(Access Control List)。
但对于一个档案系统
(File system)
而言，面对众多的使用者以及难以计数的档案，若想要对存取权进行精确的控制，将使存取控制清单的清册数量庞大，甚至会多到要有<br/>N
×
F(N
个使用者，
F
个档案
)
个
。
庞大的存取控制清单将使档案存取管理变得不切实际且毫无效率
。
因此一般作业系统大多将用户依权限分群
(group)
，并以
(
用户，群，档案
/
目录
)
来进行控制
。
分群与分目录的管理将使得存取控制清单的机制变得可行，但随即会带来身份冒用与非法提高权限的安全问题
。
[0005]又因为一般档案分享的顺序，是“档案拥有者”先将档案上传至“档案被分享对象”知悉的远端伺服器或储存媒体，然后“档案被分享对象”再进行档案存取使用
。
档案拥有者如果想要保护档案不被非授权的档案存取者取用，就必须限定专属于档案存取者的存取权利，或者采行加密的方式，并且保证该加密的密钥仅会提给“档案被分享对象”而不被盗取
。
但这样的方式在多个档案拥有者要把各自拥有档案上传分享与多个档案存取者时，每个存取者必须区分每个拥有者传送过来的不同加密密钥予以区分管理，并且确定档案拥有者皆正确设定档案的存取权利，故此类传统管理方法复杂且不容易落实
。

技术实现思路

[0006]因此，为克服现有技术的缺陷和不足，本专利技术实施例提出了一种档案共享系统与方法，方便于档案共享且具备有排他性存取权利的需求
。
[0007]一方面，本专利技术实施例提出的一种档案共享系统应用于至少第一档案与第一用户之间，所述第一档案对应至第一档案识别代号，所述第一用户具有第一非对称式密钥对，所述第一非对称式密钥对中至少包含有第一用户识别代号
、
第一公钥与第一私钥，所述系统包含：密钥管理者单元，用于接受所述第一用户的注册请求，而获取所述第一用户识别代号
与所述第一公钥的对应关系，所述密钥管理者单元还用于产生第一密钥素材，用来将所述第一档案加密而形成第一加密档案，所述密钥管理者单元还用于接受所述第一用户对所述第一档案的存取权声明请求，进而根据所述第一用户识别代号
、
所述第一档案识别代号
、
所述第一公钥以及所述第一密钥素材来产生第一专属秘密；以及档案储存单元，信号连接至所述密钥管理者单元，所述档案存储单元用于储存所述第一加密档案以及相对应的所述第一专属秘密，使得当所述第一用户存取所述第一档案时，所述第一用户可使用所述第一用户识别代号
、
所述第一档案识别代号以及所述第一私钥来从所述第一专属秘密中提取出所述第一密钥素材，然后使用所述第一密钥素材将所述第一加密档案解密后还原出所述第一档案
。
[0008]在一些实施例中，所述密钥管理者单元用于根据所述第一档案的一部份内容，通过杂凑演算法来产生所述第一档案识别代号，所述密钥管理者单元用于产生一随机数来做为所述第一密钥素材
。
[0009]在一些实施例中，所述第一专属秘密是储存为所述第一加密档案的延伸资料
。
[0010]在一些实施例中，所述第一专属秘密与其他专属秘密集中管理储存于特定资料储存区，使所述特定资料存储区可接受所述第一用户识别代号与所述第一档案识别代号为基础的查询，提供所述第一用户存取所述第一加密档案前使用
。
[0011]在一些实施例中，所述档案共享系统还包括身份验证单元，信号连接至所述第一用户与所述密钥管理者单元，用于对所述第一用户进行身份验证，若所述身份验证通过则再通知所述密钥管理者单元可接受所述第一用户对所述第一档案的所述存取权声明请求
。
[0012]在一些实施例中，所述档案共享系统应用于第二用户上，所述第二用户具有第二非对称式密钥对，所述第二非对称式密钥对中至少包含有第二用户识别代号
、
第二公钥与第二私钥，所述密钥管理者单元还用于接受所述第二用户的注册请求，进而获取所述第二用户识别代号与第二公钥的对应关系，所述密钥管理者单元还用于接受所述第二用户对所述第一档案的存取权声明请求，进而根据所述第二用户识别代号
、
所述第一档案识别代号
、
所述第二公钥以及所述第一密钥素材来产生第二专属秘密，并将所述第二专属秘密储存至所述档案储存单元中并对应至所述第一加密档案，使得当所述第二用户存取所述第一档案时，所述第二用户可使用所述第二用户识别代号
、
所述第一档案识别代号以及所述第二私钥来从所述第二专属秘密中提取出所述第一密钥素材，然后使用所述第一密钥素材将所述第一加密档案解密后还原出所述第一档案
。
[0013]本专利技术实施例提供一种档案共享方法，应用于密钥管理者单元
、
第一档案与第一用户之间，所述第一档案对应至第一档案识别代号，所述第一用户具有第一非对称式密钥对，所述第一非对称式密钥对中至少包含有第一用户识别代号
、
第一公钥与第一私钥，所述方法包含下列步骤：所述密钥管理者单元接受所述第一用户的注册请求，进而获取所述第一用户识别代号与所述第一公钥的对应关系；所述密钥管理者单元产生第一密钥素材，用来将所述第一档案加密而形成第一加密档案；所述密钥管理者单元接受所述第一用户对所述第一档案的存取权声明请求，进而根据所述第一用户识别代号
、
所述第一档案识别代号
、...

【技术保护点】

【技术特征摘要】
1.
一种档案共享系统，其特征在于，应用于至少第一档案与第一用户之间，所述第一档案对应至第一档案识别代号，所述第一用户具有第一非对称式密钥对，所述第一非对称式密钥对中至少包含有第一用户识别代号
、
第一公钥与第一私钥，所述系统包含：密钥管理者单元，用于接受所述第一用户的注册请求，而获取所述第一用户识别代号与所述第一公钥的对应关系，所述密钥管理者单元还用于产生第一密钥素材，用来将所述第一档案加密而形成第一加密档案，所述密钥管理者单元还用于接受所述第一用户对所述第一档案的存取权声明请求，进而根据所述第一用户识别代号
、
所述第一档案识别代号
、
所述第一公钥以及所述第一密钥素材来产生第一专属秘密；以及档案储存单元，信号连接至所述密钥管理者单元，所述档案存储单元用于储存所述第一加密档案以及相对应的所述第一专属秘密，使得当所述第一用户存取所述第一档案时，所述第一用户可使用所述第一用户识别代号
、
所述第一档案识别代号以及所述第一私钥来从所述第一专属秘密中提取出所述第一密钥素材，然后使用所述第一密钥素材将所述第一加密档案解密后还原出所述第一档案
。2.
如权利要求1所述的档案共享系统，其特征在于，所述密钥管理者单元用于根据所述第一档案的一部份内容，通过杂凑演算法来产生所述第一档案识别代号，所述密钥管理者单元用于产生一随机数来做为所述第一密钥素材
。3.
如权利要求1所述的档案共享系统，其特征在于，所述第一专属秘密是储存为所述第一加密档案的延伸资料
。4.
如权利要求1所述的档案共享系统，其特征在于，所述第一专属秘密与其他专属秘密集中管理储存于特定资料储存区，使所述特定资料存储区可接受所述第一用户识别代号与所述第一档案识别代号为基础的查询，提供所述第一用户存取所述第一加密档案前使用
。5.
如权利要求1所述的档案共享系统，其特征在于，还包括身份验证单元，信号连接至所述第一用户与所述密钥管理者单元，用于对所述第一用户进行身份验证，若所述身份验证通过则再通知所述密钥管理者单元可接受所述第一用户对所述第一档案的所述存取权声明请求
。6.
如权利要求1所述的档案共享系统，其特征在于，应用于第二用户上，所述第二用户具有第二非对称式密钥对，所述第二非对称式密钥对中至少包含有第二用户识别代号
、
第二公钥与第二私钥，所述密钥管理者单元还用于接受所述第二用户的注册请求，进而获取所述第二用户识别代号与第二公钥的对应关系，所述密钥管理者单元还用于接受所述第二用户对所述第一档案的存取权声明请求，进而根据所述第二用户识别代号
、
所述第一档案识别代号
、
所述第二公钥以及所述第一密钥素材来产生第二专属秘密，并将所述第二专属秘密储存至所述档案储存单元中并对应至所述第一加密档案，使得当所述第二用户存取所述第一档案时，所述第二用户可使用所述第二用户识别代号
、
所述第一档案识别代号以及所述第二私钥来从所述第二专属秘密中提取出所述第一密钥素材，然后使用所述第一密钥素材将所述第一加密档案解密后还原出所述第一档案
。7.
一种档案共享方法，其特征在于，应用于密钥管理者单元
、
第一档案与第一用户之间，所述第一档案对应至第一档案识别代号，所述第一用户具有第一非对称式密钥对，所述第一非对称式密钥对中至少包含有第一用户识别代号
、
第一公钥与第一私钥，所述方法包含下列步骤：
所述密钥管理者单元接受所述第一用户的注册请求，进而获取所述第一用户识别代号与所述第一公钥的对应关系；所述密钥管理者单元产生第一密钥素材，用来将所述第一档案加密而形成第一加密档案；所述密钥管理者单元接受所述第一用户对所述第一档案的存取权声明请求，进而根据所述第一用户识别代号
、
所述第一档案识别代号
、
所述第一公钥以及所述第一密钥素材来产生第一专属秘密；以及储存所述第一加密档案以及相对应的所述第一专属秘密，当所述第一用户存取所述第一档案时，使用所述第一用户识别代号
、
所述第一档案识别代号以及所述第一私钥来从所述第一专属秘密中提取出所述第一密钥素材，然后使用所述第一密钥素材将所述第一加密档案解密后还原出所述第一档案
。8.
如权利要求7所述的档案共享方法，其特征在于，还应用一第二用户上，所述第二用户具有第二非对称式密钥对，所述第二非对称式密钥对中至少包含有第二用户识别代号
、
第二公钥与第二私钥，所述密钥管理者单元还接受所述第二用户的注册请求，进而获取所述第二用户识别代号与第二公钥的对应关系，所述密钥管理者单元还接受所述第二用户对所述第一档案的存取权声明请求，进而根据所述第二用户识别代号
、
所述第一档案识别代号
...

【专利技术属性】
技术研发人员：梁家荣，林志宏，萧志平，苏昱洁，郑嘉信，王敦厚，蔡孟钊，林岳瑾，
申请(专利权)人：铨安智慧科技股份有限公司，
类型：发明
国别省市：