[发明专利]数据共享方法及系统

说明书

本发明提供一种数据共享方法及系统，方法包括：向第一用户终端提交数据访问申请表单，以供第一用户终端根据预先设定的审批流程决定是否同意分享目标数据；若确定第一用户终端同意分享目标数据，则向云存储代理提供数据索引信息和第一自身身份信息和新访问策略的重加密秘钥，以获取重加密密文；根据重加密密文包含的新访问策略和第一属性密钥对重加密密文进行解密，以获取目标数据。所述系统用于执行上述方法。本发明在数据分享过程中，采用云存储代理以多授权中心属性基代理重加密的方式对数据进行重加密，拓展了数据授权方式，同时将重加密密文存储在云存储代理，无需在本地存储数据原文，减少了本地计算负担，增加数据如隐私数据的分享能力。

技术领域

本发明涉及计算机技术领域，尤其涉及一种数据共享方法及系统。

背景技术

属性基加密是一类用户私钥和密文都基于“属性”的公钥加密方式(例如：居住地、职业、学历等)。在属性基加密系统中，当且仅当在密文所需属性集和用户提供属性集匹配时才能顺利解密。属性来自于属性授权机构，每种属性包括公钥和私钥，授权机构通过发布公钥并向每个授权用户签发唯一的对应属性私钥来实现属性的发布并赋予属性含义，属性可以和现实属性对应，也可表明数字世界的属性例如订阅身份、购买凭证等。

授权机构分为现实中有信用的机构如高校、企业、机关等发布强可信属性；以及任意主体或个人，发布弱可信属性。

在数据加密时属性基加密通常结合已有的成熟对称加密算法，对称加密原数据后对对称密钥进行属性基加密。被加密的数据类型可以是任意格式，其本质上都是计算机二进制编码串。

属性基代理重加密指拥有某加密数据合法解密属性集的用户1，可依赖已有的属性密钥生成含有新访问策略的重加密密钥。重加密密钥不暴露原数据内容以及属性密钥信息，并且可用于转换(重加密)原始密文得到重加密密文。用户2若拥有用户1指定新访问策略对应的属性集，即可使用对应属性密钥解密重加密密文且无需满足原始密文所需属性集合。

首先，属性基加密须借助代理重加密才可拓展数据访问权限，而由于属性授权机构难以分布式化，目前代理重加密的应用还不太成熟，从而限制了大规模跨领域的部署，仅限于局部使用。

其次，基于属性基代理重加密的数据分享尚未有最优的模式，业务模型处于摸索阶段。更多时候属性基加密作为一对多加密的拓展替换现有加密算法，用户仍须在本地加密运算分享数据，计算量较大，未有效利用代理重加密对本地计算的节省能力。

发明内容

本发明提供的数据共享方法及系统，用于解决现有技术中存在的上述问题，能够在数据分享过程中，通过采用云存储代理以多授权中心属性基代理重加密的方式对数据进行重加密，拓展了数据授权方式，同时将重加密密文存储在云存储代理，无需在本地存储数据原文，减少了本地计算负担，增加数据如隐私数据的分享能力。

本发明提供的一种数据共享方法，包括：

向第一用户终端提交数据访问申请表单，以供所述第一用户终端根据预先设定的审批流程决定是否同意分享目标数据；

若确定所述第一用户终端同意分享目标数据，则向云存储代理提供数据索引信息和第一自身身份信息，以获取重加密密文；

根据所述重加密密文包含的新访问策略和第一属性密钥对所述重加密密文进行解密，以获取所述目标数据；

其中，所述重加密密文是由所述云存储代理根据所述第一用户终端提供的所述数据索引信息、第二自身身份信息和重加密密钥对所述云存储代理上存储的密文数据进行重加密运算后生成的。

根据本发明提供的一种数据共享方法，所述根据所述重加密密文包含的新访问策略和第一属性密钥对所述重加密密文进行解密，以获取所述目标数据，包括：

将所述新访问策略与所述第一属性密钥进行匹配，并判断所述第一属性密钥所包含的属性集是否为所述新访问策略的第二属性密钥对应的合法解密属性集的子集；