文件安全共享方法、系统和终端的制作方法

文档序号:7980524阅读:219来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
文件安全共享方法、系统和终端的制作方法
【专利摘要】本发明公开了一种文件安全共享方法、系统和终端,涉及网络和信息安全【技术领域】。该方法包括:文件接收方获取加密文件副本,加密文件副本包括经由对称密钥加密后的原始文件、和经由文件接收方的公钥加密后的对称密钥;使用文件接收方的私钥对加密后的对称密钥进行解密获得对称密钥;使用对称密钥对加密后的原始文件进行解密获得原始文件。本公开的文件安全共享方法、系统和终端,不需要服务器执行文件的加解密和验证,实现了文件级的点对点安全共享,服务器端及服务提供商均无法获得该文件的解密权限,因此安全性更高;同时采用文件共享方的数据签名实现了文件来源的可信。
【专利说明】文件安全共享方法、系统和终端
【技术领域】
[0001]本发明涉及网络和信息安全【技术领域】,特别涉及一种文件安全共享方法、系统、文件接收方终端和文件发送方终端。
【背景技术】
[0002]随着互联网应用的快速发展,用户数据价值不断提升。用户对云存储等服务的安全性提出了更高的要求,在此背景下,各类加密技术、认证授权、访问控制等技术不断应用到云存储服务中,以保障用户的数据信息安全。
[0003]如何在保证用户数据信息安全性的基础上,最大程度上实现数据信息的安全共享成为当前云存储等信息服务面临的一个主要技术难题。
[0004]目前业界有提出基于共享文件夹或基于服务器端的安全共享实现方法,可以实现加密文件的安全共享,但其安全共享的设置与加解密处理都需要在服务器侧完成,需要系统管理员或服务提供商参与到其中,在云计算等多租户等典型应用环境下,存在一定的安全隐患。

【发明内容】

[0005]本发明的发明人发现上述现有技术中存在问题,并因此针对所述问题中的至少一个问题提出了一种新的技术方案。
[0006]本发明的一个目的是提供一种用于文件安全共享的技术方案。
[0007]根据本发明的第一方面,提供了一种文件安全共享方法,包括:文件接收方获取加密文件副本,所述加密文件副本包括经由对称密钥加密后的原始文件、和经由所述文件接收方的公钥加密后的所述对称密钥;使用所述文件接收方的私钥对加密后的所述对称密钥进行解密获得所述对称密钥;使用所述对称密钥对所述加密后的原始文件进行解密获得所述原始文件。
[0008]可选地,加密文件副本还包括经由文件共享方的私钥加密后的文件名;所述方法还包括:所述文件接收方使用所述文件共享方的公钥对加密后的文件名进行解密获得解密后的文件名;将所述解密后的文件名和所述原始文件中的文件名进行比对,以验证所述原始文件的可靠性。
[0009]可选地,该方法还包括:文件共享方使用所述对称密钥对所述原始文件进行加密获得加密后的原始文件;所述文件共享方使用所述文件接收方的公钥对所述对称密钥进行加密获得加密后的对称密钥;所述文件共享方根据所述加密后的原始文件和所述加密后的对称密钥生成所述加密文件副本。
[0010]可选地,在所述文件共享方对所述原始文件进行加密前还包括:所述文件共享方接收来自所述文件接收方的文件共享请求;在所述文件共享方生成所述加密文件副本后还包括:所述文件共享方将所述加密文件副本上传到网络存储系统;所述文件共享方将所述加密文件副本的链接地址发送给所述文件接收方。[0011]可选地,该方法还包括:文件共享方对来自文件接收方的文件共享请求进行审核。
[0012]根据本发明的另一方面,提供一种文件接收方终端,包括:文件副本接收模块,用于获取加密文件副本,所述加密文件副本包括经由对称密钥加密后的原始文件、和经由所述文件接收方的公钥加密后的所述对称密钥;密钥解密模块,用于使用所述文件接收方的私钥对加密后的所述对称密钥进行解密获得所述对称密钥;文件解密模块,用于使用所述对称密钥对所述加密后的原始文件进行解密获得所述原始文件。
[0013]可选地,所述加密文件副本还包括经由文件共享方的私钥加密后的文件名;所述文件接收方终端还包括:文件名解密模块,用于使用所述文件共享方的公钥对所述加密后的文件名进行解密获得解密后的文件名;文件名验证模块,用于将所述解密后的文件名和所述原始文件中的文件名进行比对,以验证所述原始文件的可靠性。
[0014]根据本发明的另一方面,提供一种文件共享方终端,包括:文件加密模块,用于使用对称密钥对原始文件进行加密获得加密后的原始文件;密钥加密模块,用于使用文件接收方的公钥对所述对称密钥进行加密获得加密后的对称密钥;副本生成模块,用于根据所述加密后的原始文件和所述加密后的对称密钥生成所述加密文件副本。
[0015]可选地,该终端还包括:共享请求审核模块,用于接收来自所述文件接收方的文件共享请求,对来自所述文件接收方的文件共享请求进行审核;副本链接发送模块,用于将所述加密文件副本上传到网络存储系统,将所述加密文件副本的链接地址发送给所述文件接收方,以便文件接收方终端根据所述加密文件副本的链接地址获取所述加密文件副本。
[0016]可选地,该终端还包括:文件名加密模块,用于使用所述文件共享方的私钥对所述文件名进行加密获得加密后的文件名;其中,所述副本生成模块根据所述加密后的原始文件、所述加密后的对称密钥和所述加密后的文件名生成所述加密文件副本。
[0017]根据本发明的又一方面,提供一种文件安全共享系统,包括上述的文件接收方终端和上述述的文件共享方终端。
[0018]可选地,该系统还包括:网络存储系统,用于接收并存储来自所述文件共享方的所述加密文件副本;基于所述文件接收方的请求将所述加密文件副本发送给所述文件接收方。
[0019]本发明的一个优点在于,采用接收方公钥来加密共享文件的对称加密密钥,从而实现了文件级的点对点安全共享,无需服务器端及服务提供商获得该文件的解密权限,因此安全性更高。
[0020]通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
【专利附图】

【附图说明】
[0021]构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解释本发明的原理。
[0022]参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
[0023]图1示出本发明的文件安全共享方法的一个实施例的流程图。
[0024]图2示出本发明的文件安全共享方法的另一个实施例的流程图。
[0025]图3示出本发明的文件安全共享方法的一个实施例中文件共享方的处理流程图。[0026]图4示出本发明的文件安全共享方法的一个实施例中文件接收方的处理流程图。
[0027]图5示出本发明的文件安全共享方法的又一个实施例的流程图。
[0028]图6示出本发明的文件安全共享系统的一个实施例的结构图。
[0029]图7示出本发明的文件安全共享系统的另一个实施例的结构图。
【具体实施方式】
[0030]现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0031]同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0032]以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
[0033]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
[0034]在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0035]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0036]图1示出本发明的文件安全共享方法的一个实施例的流程图。
[0037]如图1所示,步骤102,文件接收方获取加密文件副本,加密文件副本包括经由对称密钥加密后的原始文件、和经由文件接收方的公钥加密后的对称密钥。对称加密算法例如支持128比特分组的SCB2分组密码算法、128比特分组的AES (高级加密算法),用于密钥协商数据的加密保护和报文数据的加密保护。
[0038]步骤104,文件接收方使用文件接收方的私钥对加密后的对称密钥进行解密获得该对称密钥。
[0039]步骤106,文件接收方使用该对称密钥对加密后的原始文件进行解密获得原始文件。
[0040]用户客户端以加载的数字证书为用户唯一的身份标识,该数字证书所含的公钥、私钥可用来进行非对称加解密和数字签名,用于实体验证、数字签名等。该数字证书例如支持软证书或USB Key方式,证书格式例如支持X.509标准版本4、支持轻量目录访问协议(Lightweight Directory Access Protocol, LDAP)标准。
[0041]上述实施例中,采用接收方公钥来加密共享文件的对称加密密钥,从而实现了文件级的点对点安全共享,服务器端及服务提供商均无法获得该文件的解密权限,因此安全性更高。
[0042]图2示出本发明的文件安全共享方法的另一个实施例的流程图。在该实施例中,用户A和B是网络存储系统的2个用户,其中,A是文件共享方,B是文件接收方,要实现A、B间的文件安全共享,进行如图2所示的如下步骤:
[0043]步骤201,用户B向用户A发起文件共享请求。例如,文件接收方发起的文件共享请求支持但不限于电子邮件、系统消息等方式传递给文件共享方
[0044]步骤202,用户A对文件B的文件共享请求审核通过后,在本地生成会话密钥(加密密钥)k对该文件进行加密,并用用户B的公钥对会话密钥k进行加密,将加密后的文件和加密后的会话密钥合成为新的共享文件副本。可选地,用户A还可以用自己的私钥对文件名进行加密,将加密后的文件名也添加到共享文件副本中。
[0045]步骤203,用户A将共享文件副本上传到网络存储系统,网络存储系统例如是云存储等。
[0046]步骤204,用户A将共享文件副本的链接地址发送给用户B。文件共享方将共享文件副本的链接地址支持但不限于电子邮件、系统消息等方式传递给文件接收方。
[0047]步骤205,用户B收到链接地址后,从网络存储系统将共享文件副本下载到本地;
[0048]步骤206,用户B用自己的私钥对会话密钥k进行解密,然后用该会话密钥k对文件密文进行解密,获得原始文件。如果还包括加密后的文件名,则用户B使用用户A的公钥对文件名进行解密,如果解密结果和文件名相同则说明该文件来自于用户A,从而验证了文件的来源可信。
[0049]上述实施例中,采用文件共享方的数据签名实现了文件来源的可信性验证,共享文件副本通过网络存储系统转发,不需要网络存储系统进行文件的加解密处理。
[0050]图3示出本发明的文件安全共享方法的一个实施例中文件共享方的处理流程图。
[0051]如图3所示,步骤301,文件共享方使用会话密钥对源文件(原始文件)进行加密,获得加密后的文件,即文件密文。
[0052]步骤302,文件共享方使用文件接收方的公钥对会话密钥进行加密,获得加密的会话密钥,即会话密钥密文。
[0053]步骤303,文件共享方使用文件共享方私钥对文件名进行加密,获得加密的文件名,即文件名密文。
[0054]步骤304,文件共享方将文件密文、会话密钥密文和文件名密文合成为加密文件副本。在加密文件副本中,例如可以用开始或者最后的三个字节分别表示文件密文、会话密钥密文和文件名密文的长度;也可以会话密钥密文和文件名密文采用固定的长度。
[0055]图4示出本发明的文件安全共享方法的一个实施例中文件接收方的处理流程图。
[0056]如图4所示,步骤401,用户B下载文件副本到本地后,用自己的私钥(文件接收方私钥)对会话密钥密文进行解密,获得会话密钥k。
[0057]步骤402,用户B用该会话密钥k对文件密文进行解密,获得原始文件。
[0058]步骤403,用户B使用用户A的公钥对文件名密文进行解密,获得文件名。
[0059]步骤404,比较解密的文件名和原文件中的文件名是否相同,如果解密结果和文件名相同则说明该文件来自于用户A,从而验证了文件的来源可信,接受该文件,否则丢弃该文件。
[0060]图5示出本发明的文件安全共享方法的又一个实施例的流程图。
[0061]如图5所示,步骤502,文件接收方向文件共享方发起文件共享请求。
[0062]步骤504,文件共享方对文件共享请求进行审核。
[0063]步骤506,审核通过后,文件共享方用加密密钥对文件进行加密获得加密的原始文件,用文件接收方的公钥对加密密钥进行加密,获得加密的加密密钥,用文件共享方的私钥对文件名进行加密,获得加密的文件名,三者合成加密文件副本。
[0064]步骤508,文件共享方将加密文件副本上传到网络存储系统,将加密文件副本的链接地址发送给文件接收方。
[0065]步骤510,文件接收方根据链接地址从网络存储系统获取加密文件副本。
[0066]步骤512,文件接收方用自己的私钥对加密的加密密钥进行解密,获得加密密钥;用加密密钥对加密的文件进行解密获得原始文件,用文件共享方的公钥对文件名进行解密获得文件名。
[0067]步骤514,文件接收方比对解密获得文件名和原始文件的文件名以验证文件的来源的可靠性。
[0068]本领域的技术人员应当理解,除了对文件名进行签名来验证来源可靠性,还可以例如用原始文件的hash值等进行签名来验证来源的可靠性。
[0069]上述实施例中,文件共享权限的设置与分配、文件的加解密均在文件共享方或接收方的客户端完成,服务器端或服务提供商均不参与上述过程,无需将用户的公私钥等敏感信息透露给第三方,从而消除了中间环节的泄密风险,在多租户的云计算环境下更有利于消除用户的安全顾虑。
[0070]图6示出本发明的文件安全共享系统的一个实施例的结构图。如图6所示,该系统包括文件共享方终端61和文件接收方终端62。其中,文件共享方终端61包括:文件加密模块611,使用对称密钥对原始文件进行加密获得加密后的原始文件;密钥加密模块612,使用文件接收方的公钥对对称密钥进行加密获得加密后的对称密钥;副本生成模块613,用于根据加密后的原始文件和加密后的对称密钥生成加密文件副本。文件接收方终端62包括:文件副本接收模块621,用于获取加密文件副本,加密文件副本包括经由对称密钥加密后的原始文件、和经由文件接收方的公钥加密后的对称密钥;密钥解密模块622,使用文件接收方的私钥对加密后的对称密钥进行解密获得对称密钥;文件解密模块623,用于使用对称密钥对加密后的原始文件进行解密获得原始文件。
[0071]在一个实施例中,本生成模块613将加密文件副本的链接地址发送给文件副本接收模块621,文件副本接收模块621根据该链接地址获取加密文件副本。
[0072]图7示出本发明的文件安全共享系统的另一个实施例的结构图。在该实施例中,该系统包括:文件共享方终端71、文件接收方终端72和网络存储系统73。其中,文件共享方终端71包括共享请求审核模块711、文件加密模块712、密钥加密模块713、可选的文件名加密模块714、副本生成模块715、副本链接发送模块716。其中,共享请求审核模块711,用于接收来自文件接收方的文件共享请求,对来自文件接收方的文件共享请求进行审核;文件加密模块712,使用对称密钥对原始文件进行加密获得加密后的原始文件;密钥加密模块713,使用文件接收方的公钥对对称密钥进行加密获得加密后的对称密钥;文件名加密模块714,用于使用文件共享方的私钥对文件名进行加密获得加密后的文件名;副本生成模块715根据加密后的原始文件、加密后的对称密钥和加密后的文件名生成加密文件副本;副本链接发送模块716,用于将加密文件副本上传到网络存储系统,将加密文件副本的链接地址发送给文件接收方。
[0073]文件接收方终端72包括:文件副本接收模块721,根据加密文件副本的链接地址获取加密文件副本。密钥解密模块622,使用文件接收方的私钥对加密后的对称密钥进行解密获得对称密钥;文件解密模块623,用于使用对称密钥对加密后的原始文件进行解密获得原始文件。文件名解密模块724,用于使用文件共享方的公钥对加密后的文件名进行解密获得解密后的文件名;文件名验证模块725,用于将解密后的文件名和原始文件中的文件名进行比对,以验证原始文件的可靠性。
[0074]网络存储系统73,接收并存储来自文件共享方的加密文件副本;基于文件接收方的请求将加密文件副本发送给文件接收方。
[0075]参考前述本发明示例性的描述,本领域技术人员可以清楚的知晓本公开的实施例具有以下优点:
[0076]本公开提供的文件安全共享的方法,解决了现有文件共享系统存在的安全性问题。通过为每个用户分配一个数字证书,采用接收方公钥来加密共享文件的对称加密密钥,从而实现了文件级的点对点安全共享,服务器端及服务提供商均无法获得该文件的解密权限,因此安全性更高;同时采用文件共享方的数据签名实现了文件来源的可信。
[0077]本公开提供的文件安全共享的方法中,文件共享权限的设置与分配、文件的加解密均在文件共享方或接收方的客户端完成,服务器端或服务提供商均不参与上述过程,无需将用户的公私钥等敏感信息透露给第三方,从而消除了中间环节的泄密风险,在多租户的云计算环境下更有利于消除用户的安全顾虑。
[0078]至此,已经详细描述了根据本发明的文件安全共享方法、系统和终端。为了避免遮蔽本发明的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
[0079]可能以许多方式来实现本发明的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0080]虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发明的范围由所附权利要求来限定。
【权利要求】
1.一种文件安全共享方法,其特征在于,包括: 文件接收方获取加密文件副本,所述加密文件副本包括经由对称密钥加密后的原始文件、和经由所述文件接收方的公钥加密后的所述对称密钥; 使用所述文件接收方的私钥对加密后的所述对称密钥进行解密获得所述对称密钥; 使用所述对称密钥对所述加密后的原始文件进行解密获得所述原始文件。
2.根据权利要求1所述的方法,其特征在于,所述加密文件副本还包括经由文件共享方的私钥加密后的文件名; 所述方法还包括: 所述文件接收方使用所述文件共享方的公钥对加密后的文件名进行解密获得解密后的文件名; 将所述解密后的文件名和所述原始文件中的文件名进行比对,以验证所述原始文件的可靠性。
3.根据权利要求1所述的方法,其特征在于,还包括: 文件共享方使用所述对称密钥对所述原始文件进行加密获得加密后的原始文件;所述文件共享方使用所述文件接收方的公钥对所述对称密钥进行加密获得加密后的对称密钥; 所述文件共享方根据所述加密后的原始文件和所述加密后的对称密钥生成所述加密文件副本。
4.根据权利要求3所述的 方法,其特征在于,在所述文件共享方对所述原始文件进行加密前还包括: 所述文件共享方接收来自所述文件接收方的文件共享请求; 在所述文件共享方生成所述加密文件副本后还包括: 所述文件共享方将所述加密文件副本上传到网络存储系统; 所述文件共享方将所述加密文件副本的链接地址发送给所述文件接收方。
5.根据权利要求4所述的方法,其特征在于,还包括: 所述文件共享方对来自所述文件接收方的文件共享请求进行审核。
6.一种文件接收方终端,其特征在于,包括: 文件副本接收模块,用于获取加密文件副本,所述加密文件副本包括经由对称密钥加密后的原始文件、和经由所述文件接收方的公钥加密后的所述对称密钥; 密钥解密模块,用于使用所述文件接收方的私钥对加密后的所述对称密钥进行解密获得所述对称密钥; 文件解密模块,用于使用所述对称密钥对所述加密后的原始文件进行解密获得所述原始文件。
7.根据权利要求6所述的终端,其特征在于,所述加密文件副本还包括经由文件共享方的私钥加密后的文件名; 所述文件接收方终端还包括: 文件名解密模块,用于使用所述文件共享方的公钥对所述加密后的文件名进行解密获得解密后的文件名; 文件名验证模块,用于将所述解密后的文件名和所述原始文件中的文件名进行比对,以验证所述原始文件的可靠性。
8.一种文件共享方终端,其特征在于,包括: 文件加密模块,用于使用对称密钥对原始文件进行加密获得加密后的原始文件; 密钥加密模块,用于使用文件接收方的公钥对所述对称密钥进行加密获得加密后的对称密钥; 副本生成模块,用于根据所述加密后的原始文件和所述加密后的对称密钥生成所述加密文件副本。
9.根据权利要求8所述的终端,其特征在于,还包括: 共享请求审核模块,用于接收来自所述文件接收方的文件共享请求,对来自所述文件接收方的文件共享请求进行审核; 副本链接发送模块,用于将所述加密文件副本上传到网络存储系统,将所述加密文件副本的链接地址发送给所述文件接收方,以便文件接收方根据所述加密文件副本的链接地址获取所述加密文件副本。
10.根据权利要求8所述的终端,其特征在于,还包括: 文件名加密模块,用于使用所述文件共享方的私钥对所述文件名进行加密获得加密后的文件名; 其中,所述副本生成模块根据所述加密后的原始文件、所述加密后的对称密钥和所述加密后的文件名生成所述加密文件副本。
11.一种文件安全共享系统,其特征在于,包括如权利要求6或7所述的文件接收方终端和如权利要求8至10中任意一项所述的文件共享方终端。
12.根据权利要求11所述的系统,其特征在于,还包括: 网络存储系统,用于接收并存储来自所述文件共享方的所述加密文件副本;基于所述文件接收方的请求将所述加密文件副本发送给所述文件接收方。
【文档编号】H04L9/30GK103516516SQ201210224231
【公开日】2014年1月15日 申请日期:2012年6月28日 优先权日:2012年6月28日
【发明者】汪来富, 沈军, 金华敏, 冯明, 刘国荣, 罗志强 申请人:中国电信股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:汪来富;沈军;金华敏;冯明;刘国荣;罗志强
  • 技术所有人:中国电信股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
终端安全管理系统相关技术
360天擎终端安全系统相关技术
金山v8终端安全系统相关技术
360终端安全管理系统相关技术
天擎终端安全管理系统相关技术
终端安全准入系统相关技术
终端安全管理系统卸载相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2