CN109614792A - 一种分级文件密钥管理方法 - Google Patents
一种分级文件密钥管理方法 Download PDFInfo
- Publication number
- CN109614792A CN109614792A CN201811440495.4A CN201811440495A CN109614792A CN 109614792 A CN109614792 A CN 109614792A CN 201811440495 A CN201811440495 A CN 201811440495A CN 109614792 A CN109614792 A CN 109614792A
- Authority
- CN
- China
- Prior art keywords
- file
- key
- user
- grade
- grades
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种分级文件密钥管理方法,文件加密时用户对文件FID中的内容按照文件内容进行分级,用户使用相应等级的文件密钥对文件内容进行加密;文件共享查看时,用户根据密文文件标注获得相应的内容等级的密文,并使用相应的密钥进行解密。本发明的积极效果是:使用分级密钥管理,可以根据用户的身份安全等级及文件内容的安全等级对文件进行细粒度的访问控制;文件在进行共享时,只需要安全共享文件密文及该文件的密钥FK(并不是真正的文件加密密钥),用户便可以根据自己的等级获得相应等级的文件内容,方便快捷;用户只需要掌握对应自己安全等级的密钥便可以对所有的文件实现一文一密及按内容等级加密,管理成本较低。
Description
技术领域
本发明涉及一种分级文件密钥管理方法。
背景技术
现有文件密钥一般均是使用随机数直接作为文件的加密密钥,在用户之间需要共享时,通过公钥或者彼此之间的通信对称密钥对文件加密密钥进行共享,被共享用户在获取到文件加密密钥之后便可以解密相应的密文文件。
在现实文件的管理应用中,存在一种应用场景:(1)公司按照职位高低将人员安全等级分为1、2、3级;(2)文件之中的内容也根据实际情况分为1、2、3级;(3)1级人员可阅读的文件内容级别为1、2、3级,2级人员可阅读的文件内容级别为2、3级,3级人员可阅读的文件内容级别为3级;(4)文件需要按照领域(例如:公司内的各个部门)进行划分,1级人员只能查看他有权查看的文件内容级别为1、2、3级的文件。
如果按现有的文件密钥管理方案,则无法满足这种应用场景对于文件访问控制的需求,本发明便是要解决在上述场景中的分级文件密钥管理问题。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种分级文件密钥管理方法。
本发明解决其技术问题所采用的技术方案是:一种分级文件密钥管理方法,包括如下内容:
一、文件加密过程:
(1)用户选取要加密的文件FID;
(2)用户使用随机数生成函数Rand产生文件随机密钥FK;
(3)用户对文件FID中的内容按照文件内容进行分级;
(4)用户派生相应等级文件密钥;
(5)使用相应等级的文件密钥对文件内容进行加密;
(6)将加密文件打包成密文文件并进行等级标注,然后进行存储,同时对应存储FID及FK;
二、文件共享查看过程:
(1)用户A将密文文件及对应存储的FID及FK通过安全渠道发送给用户B;
(2)用户B根据自己的等级密钥派生产生该文件的内容加密密钥;
(3)用户B根据密文文件标注获得相应的内容等级的密文,并使用相应的密钥进行解密。
与现有技术相比,本发明的积极效果是:
(1)使用分级密钥管理,可以根据用户的身份安全等级及文件内容的安全等级对文件进行细粒度的访问控制;
(2)文件在进行共享时,只需要安全共享文件密文及该文件的密钥FK(并不是真正的文件加密密钥),用户便可以根据自己的等级获得相应等级的文件内容,方便快捷;
(3)用户只需要掌握对应自己安全等级的密钥便可以对所有的文件实现一文一密及按内容等级加密,管理成本较低。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明中相应密钥的关系图。
具体实施方式
本发明中所提到的哈希算法可采用国际标准SHA-3[released by NIST onAugust 5,2015]或者国家商密标准SM3[GM/T 0004-2012:SM3密码杂凑算法],文件的加密算法可采用国际标准AES[established by the U.S.National Institute of Standardsand Technology(NIST)in 2001]或者国家商密标准SM4[GM/T 0002-2012:SM4分组密码算法]。
本方法公共符号描述如下:
(1)方法中使用统一的哈希算法,简记为h=H(m),h为哈希结果,H代表哈希函数,m代表输入的消息;
(2)方法中所涉及的文件系统中的文件应具有唯一标识符,以便对文件进行区分,简记为FID;
(3)方法中使用统一的文件加密算法,简记为cf=Ekey(pf),其中cf代表加密结果,E代表加密函数,key代表加密所使用的密钥,pf代表输入的文件明文;
(4)方法中使用统一的文件解密算法并与(3)中的加密算法相对应,简记为pf=Dkey(cf),其中pf代表解密结果,D代表解密函数,key代表解密所使用的密钥,cf代表输入的文件密文;
(5)方法中使用统一的随机数生成函数,简记为r=Rand(seed),其中r代表产生的随机数,Rand代表随机数生成算法,seed代表随机数生成种子,该随机数生成算法应该满足国家商用密码随机数检测标准[GM/T 0005-2012:随机性检测规范]。
本方法初始化描述如下:
(1)方法中产生用户的1级密钥为TK,2级密钥为CK,3级密钥为SK(1级表示低级、2级表示中级、3级表示高级),其中TK使用随机数生成函数Rand产生随机数,CK=Hash(TK||2),其中||表示字符串串接,SK=Hash(CK||3);
(2)方法中通过一种途径(硬件密码KEY,口令加密保护等)将TK、CK、SK分别发放给相应等级用户。
本方法文件加密过程描述如下:
(1)用户选取要加密的文件FID;
(2)用户使用随机数生成函数Rand产生文件随机密钥FK;
(3)用户对文件FID中的内容按照文件内容分为1、2、3级f1,f2,f3(1级文件f1表示低级、2级文件f2表示中级、3级文件f3表示高级);
(4)用户派生相应等级文件密钥:
1级文件密钥:TFK=Hash(TK||FID||FK);
2级文件密钥:CFK=Hash(CK||FID||FK);
3级文件密钥:SFK=Hash(SK||FID||FK);
(5)使用相应等级的文件密钥对文件内容进行加密,即cf1=ETFK(pf1),cf2=ECFK(pf2),cf3=ESFK(pf3);
(6)将cf1,cf2,cf3打包成密文文件并在相应内容等级位置标注,继而进行存储,同时对应存储FID及FK(此处可将文件密文交由第三方的云存储负责,同时FID及FK交由系统独立的密钥管理中心负责管理)。
注:用户等级为3级可加密产生1、2、3级文件,用户等级为2级可加密产生1、2级文件,用户等级为1级只能加密产生1级文件。
本方法的文件共享查看过程如下:
(1)用户A将密文文件及对应存储的FID及FK通过安全渠道发送给用户B(此处安全渠道可以是VPN,如果是交由第三方的云存储及密钥管理中心,便可以通过第三方的共享渠道对密文文件、FID、FK进行共享);
(2)用户B根据自己的等级密钥CK,派生产生该文件的内容加密密钥:TFK=Hash(TK||FID||FK),CFK=Hash(CK||FID||FK);
(3)用户B根据密文文件标注获得相应的内容等级的密文cf1,cf2,cf3,并使用相应的密钥进行解密pf1=DTFK(cf1),pf2=DCFK(cf2),由于用户无法获得密文cf3所对应的密钥SFK,因此用户也无法对其进行解密。
注:此处假设用户A为3级,用户B为2级,用户A产生了文件FID的密文文件,并需要将该文件共享给用户B使用,在其他的应用场景中,例如A为3级,B为1级;A为2级,B为3级;A为2级,B为1级等等可以根据类似的共享查看流程进行推导。
Claims (5)
1.一种分级文件密钥管理方法,其特征在于:包括如下内容:
一、文件加密过程:
(1)用户选取要加密的文件FID;
(2)用户使用随机数生成函数Rand产生文件随机密钥FK;
(3)用户对文件FID中的内容按照文件内容进行分级;
(4)用户派生相应等级文件密钥;
(5)使用相应等级的文件密钥对文件内容进行加密;
(6)将加密文件打包成密文文件并进行等级标注,然后进行存储,同时对应存储FID及FK;
二、文件共享查看过程:
(1)用户A将密文文件及对应存储的FID及FK通过安全渠道发送给用户B;
(2)用户B根据自己的等级密钥派生产生该文件的内容加密密钥;
(3)用户B根据密文文件标注获得相应的内容等级的密文,并使用相应的密钥进行解密。
2.根据权利要求1所述的一种分级文件密钥管理方法,其特征在于:文件按内容分为1、2、3级文件f1,f2,f3,用户按等级分为1、2、3级用户,其中:1级用户掌握1级密钥TK、有权加密产生并共享查看1级文件;2级用户掌握2级密钥CK、有权加密产生并共享查看1、2级文件;3级用户掌握3级密钥SK、有权加密产生并共享查看1、2、3级文件,其中:TK为使用随机数生成函数Rand产生的随机数,CK=Hash(TK||2),SK=Hash(CK||3)。
3.根据权利要求2所述的一种分级文件密钥管理方法,其特征在于:3级用户加密产生1、2、3级文件的方法为:
(1)3级用户派生1、2、3级文件密钥:
1)1级文件密钥:TFK=Hash(TK||FID||FK);
2)2级文件密钥:CFK=Hash(CK||FID||FK);
3)3级文件密钥:SFK=Hash(SK||FID||FK);
(2)使用相应等级的文件密钥对文件内容进行加密:
1)使用1级文件密钥对1级文件进行加密:
cf1=ETFK(pf1);
2)使用2级文件密钥对2级文件进行加密:
cf2=ECFK(pf2);
3)使用3级文件密钥对3级文件进行加密:
Cf3=ESFK(pf3)。
4.根据权利要求3所述的一种分级文件密钥管理方法,其特征在于:3级用户使用相应的密钥对文件进行解密的方法为:3级用户利用自己掌握的3级密钥SF派生产生1、2、3级文件密钥TFK、CFK和SFK,然后使用相应的密钥对获得的密文cf1,cf2,cf3进行解密得到pf1=DTFK(cf1),pf2=DCFK(cf2),pf3=DSFK(cf3)。
5.根据权利要求1所述的一种分级文件密钥管理方法,其特征在于:所述密文文件交由第三方的云存储负责,所述FID和FK交由密钥管理中心负责管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811440495.4A CN109614792B (zh) | 2018-11-29 | 2018-11-29 | 一种分级文件密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811440495.4A CN109614792B (zh) | 2018-11-29 | 2018-11-29 | 一种分级文件密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109614792A true CN109614792A (zh) | 2019-04-12 |
| CN109614792B CN109614792B (zh) | 2022-02-08 |
Family
ID=66005823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811440495.4A Active CN109614792B (zh) | 2018-11-29 | 2018-11-29 | 一种分级文件密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109614792B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110502918A (zh) * | 2019-07-09 | 2019-11-26 | 杭州电子科技大学 | 一种基于分级安全加密的电子文件访问控制方法和系统 |
| CN111953676A (zh) * | 2020-08-10 | 2020-11-17 | 四川阵风科技有限公司 | 一种基于硬件设备等级的文件加密方法 |
| CN112417502A (zh) * | 2020-11-18 | 2021-02-26 | 中国电子科技集团公司第三十研究所 | 基于区块链、去中心化部署的分布式即时通讯系统及方法 |
| WO2021139075A1 (zh) * | 2020-01-09 | 2021-07-15 | 平安科技(深圳)有限公司 | 合同的加密和解密方法、装置、设备及存储介质 |
| CN114826696A (zh) * | 2022-04-08 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 文件内容分级共享方法、装置、设备及介质 |
| CN117390646A (zh) * | 2023-10-23 | 2024-01-12 | 上海合见工业软件集团有限公司 | 一种集成电路源文件加密方法、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938497A (zh) * | 2010-09-26 | 2011-01-05 | 深圳大学 | 多级保密文档组结构及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
| US20120072723A1 (en) * | 2010-09-20 | 2012-03-22 | Security First Corp. | Systems and methods for secure data sharing |
| CN104917787A (zh) * | 2014-03-11 | 2015-09-16 | 中国电信股份有限公司 | 基于群组密钥的文件安全共享方法和系统 |
| CN106027246A (zh) * | 2016-07-27 | 2016-10-12 | 浪潮(苏州)金融技术服务有限公司 | 一种私钥、公钥及一种解密方法 |
| CN106452733A (zh) * | 2016-11-24 | 2017-02-22 | 中国电子科技集团公司第三十研究所 | 一种基于密文分析的分组密码识别方法 |
| CN108390886A (zh) * | 2018-03-05 | 2018-08-10 | 商丘师范学院 | 教育大数据安全访问控制系统 |
| CN108882030A (zh) * | 2018-06-12 | 2018-11-23 | 成都三零凯天通信实业有限公司 | 一种基于时域信息的监控视频分级加解密方法和系统 |
-
2018
- 2018-11-29 CN CN201811440495.4A patent/CN109614792B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120072723A1 (en) * | 2010-09-20 | 2012-03-22 | Security First Corp. | Systems and methods for secure data sharing |
| CN101938497A (zh) * | 2010-09-26 | 2011-01-05 | 深圳大学 | 多级保密文档组结构及其文件访问控制和密钥管理用户终端、服务终端、系统和方法 |
| CN104917787A (zh) * | 2014-03-11 | 2015-09-16 | 中国电信股份有限公司 | 基于群组密钥的文件安全共享方法和系统 |
| CN106027246A (zh) * | 2016-07-27 | 2016-10-12 | 浪潮(苏州)金融技术服务有限公司 | 一种私钥、公钥及一种解密方法 |
| CN106452733A (zh) * | 2016-11-24 | 2017-02-22 | 中国电子科技集团公司第三十研究所 | 一种基于密文分析的分组密码识别方法 |
| CN108390886A (zh) * | 2018-03-05 | 2018-08-10 | 商丘师范学院 | 教育大数据安全访问控制系统 |
| CN108882030A (zh) * | 2018-06-12 | 2018-11-23 | 成都三零凯天通信实业有限公司 | 一种基于时域信息的监控视频分级加解密方法和系统 |
Non-Patent Citations (4)
| Title |
|---|
| XUEFENG LIU等: "One-tag Checker: Message-locked Integrity Auditing on Encrypted Cloud Deduplication Storage", 《网页在线公开:HTTPS://IEEEXPLORE.IEEE.ORG/STAMP/STAMP.JSP?TP=&ARNUMBER=8056999》 * |
| 李莉等: "共享文件加密存储分级访问控制方案的实现", 《网络与信息安全学报》 * |
| 林海南等: "基于eCryptfs 的分级加密文件系统", 《计算机工程与设计》 * |
| 胡前伟等: "等级访问控制下密文数据库密钥管理方案研究", 《计算机科学与探索》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110502918A (zh) * | 2019-07-09 | 2019-11-26 | 杭州电子科技大学 | 一种基于分级安全加密的电子文件访问控制方法和系统 |
| WO2021139075A1 (zh) * | 2020-01-09 | 2021-07-15 | 平安科技(深圳)有限公司 | 合同的加密和解密方法、装置、设备及存储介质 |
| CN111953676A (zh) * | 2020-08-10 | 2020-11-17 | 四川阵风科技有限公司 | 一种基于硬件设备等级的文件加密方法 |
| CN111953676B (zh) * | 2020-08-10 | 2022-07-15 | 四川阵风科技有限公司 | 一种基于硬件设备等级的文件加密方法 |
| CN112417502A (zh) * | 2020-11-18 | 2021-02-26 | 中国电子科技集团公司第三十研究所 | 基于区块链、去中心化部署的分布式即时通讯系统及方法 |
| CN114826696A (zh) * | 2022-04-08 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 文件内容分级共享方法、装置、设备及介质 |
| CN114826696B (zh) * | 2022-04-08 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 文件内容分级共享方法、装置、设备及介质 |
| CN117390646A (zh) * | 2023-10-23 | 2024-01-12 | 上海合见工业软件集团有限公司 | 一种集成电路源文件加密方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109614792B (zh) | 2022-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109614792A (zh) | 一种分级文件密钥管理方法 | |
| JP5361920B2 (ja) | ファイルサーバシステム | |
| CN105323070B (zh) | 一种基于数字信封的安全电子邮件实现方法 | |
| US20140192976A1 (en) | Method and system for id-based encryption and decryption | |
| CN102624522A (zh) | 一种基于文件属性的密钥加密方法 | |
| US9130744B1 (en) | Sending an encrypted key pair and a secret shared by two devices to a trusted intermediary | |
| CN104735070B (zh) | 一种通用的异构加密云间的数据共享方法 | |
| US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
| CN105227566A (zh) | 密钥处理方法、密钥处理装置及密钥处理系统 | |
| CN105933345B (zh) | 一种基于线性秘密共享的可验证外包属性基加密方法 | |
| WO2014083784A1 (ja) | 暗号システム、データ保存システム、それに用いる装置および方法 | |
| CN107135062A (zh) | 一种改进的大文件的加密方法 | |
| JP2023101776A (ja) | データの高度なセキュリティ、高速暗号化および、伝送のためのコンピュータ実装システムおよび方法 | |
| CN103634266A (zh) | 一种对服务器、终端双向认证的方法 | |
| CN104486756A (zh) | 一种密笺短信的加解密方法及系统 | |
| CN113078992B (zh) | 一种基于完全同态加密的高性能数据多级加解密方法和系统 | |
| Kuppuswamy et al. | New Innovation of Arabic language Encryption Technique using New symmetric key algorithm | |
| CN114398688A (zh) | 一种基于量子加密盒子的通信系统 | |
| Mahmoud et al. | Encryption based on multilevel security for relational database EBMSR | |
| Pushpa | Enhancing Data Security by Adapting Network Security and Cryptographic Paradigms | |
| KR101793528B1 (ko) | 무인증서 공개키 암호 시스템 | |
| Zhang et al. | Research on the Secure Communication Model of Instant Messaging | |
| Sharma et al. | A performance test on symmetric encryption algorithms-RC2 Vs rijndael | |
| CN106027553A (zh) | 一种基于动态密码的加密、解密方法 | |
| Al-Attab et al. | Hybrid data encryption technique for data security in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |