[发明专利]基于云环境的数据安全共享方法和装置

说明书

本发明提供了一种基于云环境的数据安全共享方法和装置，方法包括：执行预设密码学组件中的初始化算法，确定相应的公私钥；初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布系统主公钥和接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。通过本发明的技术方案，数据共享不依赖于同一私钥的共享，具备灵活的访问控制和基于关键词的密文检索功能，实现了可控共享和检索的目的，同时降低了本地计算量以及本地存储量。

技术领域

本发明涉及数据安全技术领域，具体而言，涉及一种基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置。

背景技术

虽然密文检索技术为保护云端数据的隐私提供了一种“高效”的途径，但其仅仅属于单用户密文检索的情况，而如今比比皆是的云计算数据外包存储的应用场景对密文检索的要求复杂得多。在当前的应用场景下，用户之间可以依据访问策略，基于关键词从云服务器检索得到所共享的数据，这是一种松散、灵活、大众化的数据外包应用场景。为适应当前云计算数据外包存储的应用场景，相关技术中，是让所有具有合法访问权限的用户都拥有该数据属主的密钥以访问该属主分享的文件，但该方法存在一系列缺陷：

（1）加大了密钥潜在的泄漏和滥用的风险，若某个用户遗失了密朗，捡到密钥的攻击者即可获得访问该用户属主分享的所有文件的能力。

（2）导致用户密钥数量巨大，如果用户具有针对多个属主的共享文件的访问权限，那么他会被分配多个密钥，这些密钥的数量与他所能够合法访问的共享文件的来源数目（即数据属主的数目）成正比，而如何妥善保管这些数量巨大的密钥，是一个棘手的问题。

（3）不利于制定灵活可控的访问策略，对于用户来说，同一属主的所有分享文件都具有相同的访问属性，即可访问或不可访问，若需分类设定灵活的访问属性，则更会成倍增大密钥的数量。

（4）不利于用户访问权限的撤销，如欲撤销用户的查询权限，须更新该用户所拥有的所有数据属主的密钥，同时为其他相关且未撤销的用户重新发布更新后的密钥，计算量巨大。

发明内容

本发明的目的在于提供一种安全可靠、计算量更低、运行更稳定可靠的基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置。

为了实现上述目的，本发明的技术方案提供了一种基于云环境的数据安全共享方法，适用于公有云服务器，包括：执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥；初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布系统主公钥和接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。

本方案中，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥，之后初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储，之后公布系统主公钥和接收者公钥，实现了密钥的配置，有利于实现可控共享和检索的目的，同时降低了本地计算量，通过接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端，实现了文件的共享，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡。