基于群组密钥的文件安全共享方法和系统的制作方法
【技术领域】
[0001]本发明涉及通信领域,特别涉及一种基于群组密钥的文件安全共享方法和系统。
【背景技术】
[0002]随着互联网应用的快速发展,用户数据价值不断提升,用户对云存储等信息服务的安全性提出了更高的要求,如何在提升用户数据安全性的同时,实现数据的安全共享成为当前云存储等服务面临的主要技术难题,目前业界主要的文件共享技术方案或系统存在以下一些问题:
[0003]1、明文结合授权访问的共享方案,
[0004]由于文件以明文存储,因此安全性低;
[0005]2、密文共享方案:
[0006]I)服务器端加解密,存在服务器侧密钥泄密风险,用户控制能力不足,尤其在云计算等多租户应用场景下,存在较大的安全隐患;
[0007]2 )用户端加解密,存在密钥更新、管理方面的困难。
【发明内容】
[0008]本发明实施例提供一种基于群组密钥的文件安全共享方法和系统。针对现有安全存储方案存在用户自主控制能力不足、密钥和共享群组管理困难等问题,提出了在传统的文件加密基础上,采用群组密钥加密文件密钥、由群组管理员分级管理群组密钥的分发、更新的方法,在满足用户数据文件存储安全的基础上,可实现灵活、用户可控、密钥易于管理的加密文件安全共享,降低用户文件在共享过程中发生泄密的风险。
[0009]根据本发明的一个方面,提供一种基于群组密钥的文件安全共享方法,包括:
[0010]第一用户终端在共享原始文件时,利用工作密钥将原始文件进行加密以生成加密文件,利用预先配置的群组密钥对工作密钥进行加密以生成密钥密文;
[0011]第一用户终端将加密文件和密钥密文上传给共享存储服务器;
[0012]共享存储服务器存储加密文件和密钥密文,并将加密文件、密钥密文以及第一用户终端所在群组的群组标识进行关联;
[0013]第二用户终端在获取指定的加密文件时,从共享存储服务器下载指定的加密文件、与指定的加密文件相关联的密钥密文以及群组标识;
[0014]第二用户终端判断下载的群组标识是否为第二用户终端所在群组的群组标识;
[0015]若下载的群组标识为第二用户终端所在群组的群组标识,则第二用户终端利用预先配置的群组密钥对下载的密钥密文进行解密以得到工作密钥,利用得到的工作密钥对下载的加密文件进行解密以得到原始文件。
[0016]在一个实施例中,若下载的群组标识不是第二用户终端所在群组的群组标识,则第二用户终端将下载的密钥密文和群组标识发送给第二群组管理器,其中第二群组管理器为第二用户终端所在群组的管理器;
[0017]第二群组管理器向第一群组管理器发送密钥获取请求,其中第一群组管理器为第一群组的管理器,第一群组与所述下载的群组标识相关联;
[0018]第一群组管理器利用预先设置的上级群组密钥对第一群组的群组密钥进行加密,以得到群组密钥密文,并将群组密钥密文发送给第二群组管理器;
[0019]第二群组管理器利用预先设置的上级群组密钥对群组密钥密文进行解密,以得到第一群组的群组密钥,利用第一群组的群组密钥对下载的密钥密文进行解密以得到工作密钥,将得到的工作密钥发送给第二用户终端;
[0020]第二用户终端利用接收到的工作密钥对下载的加密文件进行解密以得到原始文件。
[0021]在一个实施例中,若下载的群组标识不是第二用户终端所在群组的群组标识,则第二用户终端将下载的密钥密文和群组标识发送给第二群组管理器,其中第二群组管理器为第二用户终端所在群组的管理器;
[0022]第二群组管理器向第一群组管理器发送密钥获取请求,其中密钥获取请求中包括下载的密钥密文,第一群组管理器为第一群组的管理器,第一群组与所述下载的群组标识相关联;
[0023]第一群组管理器利用第一群组的群组密钥对密钥密文进行解密以得到工作密钥,利用预先设置的上级群组密钥对得到的工作密钥进行加密,以得到工作密钥密文,并将工作密钥密文发送给第二群组管理器;
[0024]第二群组管理器利用预先设置的上级群组密钥对工作密钥密文进行解密以得到工作密钥,将得到的工作密钥发送给第二用户终端;
[0025]第二用户终端利用接收到的工作密钥对下载的加密文件进行解密以得到原始文件。
[0026]在一个实施例中,第一用户终端利用工作密钥将原始文件进行加密以生成加密文件的步骤包括:
[0027]第一用户终端随机生成工作密钥;
[0028]第一用户终端利用随机生成的工作密钥将原始文件进行加密以生成加密文件。
[0029]在一个实施例中,指定群组中的群组管理器在更新所述指定群组中的群组密钥时,将存储在共享存储服务器中的与指定群组标识相关联的全部密钥密文进行更新,以便所述全部密钥密文仅能使用更新后的群组密钥进行解密;
[0030]所述指定群组中的群组管理器将所述更新后的群组密钥发送给所述指定群组中的每个用户终端。
[0031]在一个实施例中,指定群组中的群组管理器在更新所述指定群组中的群组密钥时,将存储在共享存储服务器中的与指定群组标识相关联的全部密钥密文进行更新的步骤包括:
[0032]指定群组中的群组管理器在更新所述指定群组中的群组密钥时,从共享存储服务器下载与指定群组标识相关联的全部密钥密文;
[0033]利用当前的群组密钥分别对下载的密钥密文Kie进行解密,以得到相对应的工作密钥Ki,其中I彡i彡N,N为所述全部密钥密文的数量;
[0034]利用更新后的群组密钥分别对工作密钥Ki进行加密,以分别得到更新后的密钥密文V ;
[0035]将更新后的密钥密文Kie'发送给共享存储服务器,以便共享存储服务器利用更新后的密钥密文Kie,对密钥密文Kie进行更新。
[0036]根据本发明的另一方面,提供一种基于群组密钥的文件安全共享系统,包括第一用户终端、第二用户终端和共享存储服务器,其中:
[0037]第一用户终端,用于在共享原始文件时,利用工作密钥将原始文件进行加密以生成加密文件,利用预先配置的群组密钥对工作密钥进行加密以生成密钥密文,将加密文件和密钥密文上传给共享存储服务器;
[0038]共享存储服务器,用于在接收到第一用户终端上传的加密文件和密钥密文后,存储加密文件和密钥密文,并将加密文件、密钥密文以及第一用户终端所在群组的群组标识进行关联;
[0039]第二用户终端,用于在获取指定的加密文件时,从共享存储服务器下载指定的加密文件、与指定的加密文件相关联的密钥密文以及群组标识;判断下载的群组标识是否为第二用户终端所在群组的群组标识,在下载的群组标识为第二用户终端所在群组的群组标识时,利用预先配置的群组密钥对下载的密钥密文进行解密以得到工作密钥,利用得到的工作密钥对下载的加密文件进行解密以得到原始文件。
[0040]在一个实施例中,每个群组具有一个群组管理器,其中:
[0041]第二用户终端还用于在下载的群组标识不是第二用户终端所在群组的群组标识时,将下载的密钥密文和群组标识发送给第二群组管理器,其中第二群组管理器为第二用户终端所在群组的管理器;在接收到第二群组管理器发送的工作密钥时,利用接收到的工作密钥对下载的加密文件进行解密以得到原始文件;
[0042]第二群组管理器,用于向第一群组管理器发送密钥获取请求,其中第一群组管理器为第一群组的管理器,第一群组与所述下载的群组标识相关联;在接收到第一群组管理器发送的群组密钥密文时,利用预先设置的上级群组密钥对群组密钥密文进行解密,以得到第一群组的群组密钥,利用第一群组的群组密钥对下载的密钥密文进行解密以得到工作密钥,将得到的工作密钥发送给第二用户终端;
[0043]第一群组管理器,用于利用预先设置的上级群组密钥对第一群组的群组密钥进行加密,以得到群组密钥密文,并将群组密钥密文发送给第二群组管理器。
[0044]在一个实施例中,第二用户终端还用于在下载的群组标识不是第二用户终端所在群组的群组标识时,将下载的密钥密文和群组标识发送给第二群组管理器,其中第二群组管理器为第二用户终端所在群组的管理器;在接收到第二群组管理器发送的工作密钥时,利用接收到的工作密钥对下载的加密文件进行解密以得到原始文件;
[0045]第二群组管理器,用于向第一群组管理器发送密钥获取请求,其中密钥获取请求中包括下载的密钥密文,第