[发明专利]基于群组密钥的文件安全共享方法和系统

说明书

本发明公开一种基于群组密钥的文件安全共享方法和系统。其中第一用户终端在共享原始文件时，利用工作密钥将原始文件进行加密以生成加密文件，利用群组密钥对工作密钥进行加密以生成密钥密文，将加密文件和密钥密文上传给共享存储服务器；第二用户终端从共享存储服务器下载指定的加密文件、与指定的加密文件相关联的密钥密文以及群组标识；第二用户终端在判断下载的群组标识为第二用户终端所在群组的群组标识时，利用群组密钥对密钥密文进行解密以得到工作密钥，利用工作密钥对加密文件进行解密以得到原始文件。通过采用群组密钥加密工作密钥，可实现灵活、用户可控、密钥易于管理的加密文件安全共享，降低用户文件在共享过程中发生泄密的风险。

技术领域

本发明涉及通信领域，特别涉及一种基于群组密钥的文件安全共享方法和系统。

背景技术

随着互联网应用的快速发展，用户数据价值不断提升，用户对云存储等信息服务的安全性提出了更高的要求，如何在提升用户数据安全性的同时，实现数据的安全共享成为当前云存储等服务面临的主要技术难题，目前业界主要的文件共享技术方案或系统存在以下一些问题：

1、明文结合授权访问的共享方案，

由于文件以明文存储，因此安全性低；

2、密文共享方案：

1）服务器端加解密，存在服务器侧密钥泄密风险，用户控制能力不足，尤其在云计算等多租户应用场景下，存在较大的安全隐患；

2）用户端加解密，存在密钥更新、管理方面的困难。

发明内容

本发明实施例提供一种基于群组密钥的文件安全共享方法和系统。针对现有安全存储方案存在用户自主控制能力不足、密钥和共享群组管理困难等问题，提出了在传统的文件加密基础上，采用群组密钥加密文件密钥、由群组管理员分级管理群组密钥的分发、更新的方法，在满足用户数据文件存储安全的基础上，可实现灵活、用户可控、密钥易于管理的加密文件安全共享，降低用户文件在共享过程中发生泄密的风险。

根据本发明的一个方面，提供一种基于群组密钥的文件安全共享方法，包括：

第一用户终端在共享原始文件时，利用工作密钥将原始文件进行加密以生成加密文件，利用预先配置的群组密钥对工作密钥进行加密以生成密钥密文；

第一用户终端将加密文件和密钥密文上传给共享存储服务器；

共享存储服务器存储加密文件和密钥密文，并将加密文件、密钥密文以及第一用户终端所在群组的群组标识进行关联；

第二用户终端在获取指定的加密文件时，从共享存储服务器下载指定的加密文件、与指定的加密文件相关联的密钥密文以及群组标识；

第二用户终端判断下载的群组标识是否为第二用户终端所在群组的群组标识；

若下载的群组标识为第二用户终端所在群组的群组标识，则第二用户终端利用预先配置的群组密钥对下载的密钥密文进行解密以得到工作密钥，利用得到的工作密钥对下载的加密文件进行解密以得到原始文件。

在一个实施例中，若下载的群组标识不是第二用户终端所在群组的群组标识，则第二用户终端将下载的密钥密文和群组标识发送给第二群组管理器，其中第二群组管理器为第二用户终端所在群组的管理器；

第二群组管理器向第一群组管理器发送密钥获取请求，其中第一群组管理器为第一群组的管理器，第一群组与所述下载的群组标识相关联；

第一群组管理器利用预先设置的上级群组密钥对第一群组的群组密钥进行加密，以得到群组密钥密文，并将群组密钥密文发送给第二群组管理器；