申请/专利权人：北京安御道合科技有限公司

申请日：2020-11-12

公开（公告）日：2024-03-19

公开（公告）号：CN112383391B

主分类号：H04L9/08

分类号：H04L9/08;H04L9/00;H04L9/30;H04L9/32

优先权：

专利状态码：有效-授权

法律状态：2024.03.19#授权;2021.03.09#实质审查的生效;2021.02.19#公开

摘要：本发明属于属性授权、数据及文件保护、金融安全、数据安全及物联网安全技术领域，公开了一种基于数据属性授权的数据安全保护方法、存储介质及终端，由TEE产生签名公私钥，并上送公钥和数字信封密钥给可信密钥管理系统；产生随机密钥作为工作密钥，基于随机密钥采用国密算法对数据块进行加密；根据属性和标识密钥还原出随机密钥，解密数据块；根据解密后的数据块判断是否有管理权限，如果存在管理权限，则再次授权给授权方。本发明能够满足多方或多级数据共享、细粒度授权与数据保护，可用于物联网终端与实体间数据共享、细粒度权限控制和数据保护、云环境下文件的细粒度授权、二次分发及数据安全保护工作场景。

主权项：1.一种基于数据属性授权的数据安全保护方法，其特征在于，所述基于数据属性授权的数据安全保护方法包括：在TEE中产生公私钥对、并将公钥和数字信封密钥上传给可信密钥管理系统；所述可信密钥管理系统利用数字信封保护密钥进行保护可信应用程序的区域上传的信息，并返回个人化属性；所述TEE产生随机密钥作为工作密钥，基于所述随机密钥采用国密算法对数据块进行加密；使用方根据自己的属性和标识还原出随机密钥，并解密数据块；使用方根据解密后的数据块判断是否有管理权限，如果使用方存在管理权限，则使用方再次授权给授权方；所述采用国密算法对数据块进行加密，包括：使用国密算法保护随机密钥R；使用国密算法还原随机密钥R；定义共享数据结构；所述国密算法采用使用方属性作为个性化参数，利用使用方公钥对授权列表进行反向签名并保护分散因子；所述国密算法将用户标识作为一种属性，把被撤销用户标识的“非”与密文关联起来，使撤销的用户无法解密密文；设：W＝U\R；其中，U为系统中用户的标识集；R为用户撤销列表，包含被撤销用户的ID密文；授权方只有满足ID∈W且属性与策略匹配时，才能解密密文；直接撤销模式下，未撤销用户无需周期性更新密钥；TEE加密时规定一个系统属性撤销列表实现系统属性的撤销；所述使用国密算法保护随机密钥，包括：1对使用方属性进行SM3摘要后获得使用方属性摘要信息；2在TEE中生成一次性分散因子IV，用其对受保护的随机密钥R进行解密操作获得R分散结果；3对获取的授权列表逐一进行摘要并用使用方公钥进行反向签名，再使用一次性分散因子分别加密后按顺序加入权限原文构造授权摘要结果；4以步骤2产生的R分散结果作为数据，以步骤3产生的结果授权摘要结果作为密钥进行SM4运算获取中间参数；5以步骤1产生的使用方属性摘要信息和步骤4产生的中间参数进行异或运算获得保密参数；6由用户ID、保密参数、授权摘要结果及采用使用方公钥保护的一次性分散因子共四部分组成该使用方授权信息；根授权的用户数量，重复1到5步骤构建授权列表CT，作为全新定义的数字信封结构的一部分；所述使用国密算法还原随机密钥R，包括：1验证授权信息：通过授权列表中读取的用户的授权摘要信息与计算摘要进行对比，如果有权限则进行下一步操作；2对使用方属性进行SM3摘要后获得使用方属性摘要信息；3从数字信封的授权列表中读取该使用方的保密参数；4使用步骤2产生的使用方属性摘要信息和步骤3产生的保密参数进行异或运算获得中间参数；5以步骤1中读取的用户授权摘要做密钥，步骤4中计算获得的中间参数做数据进行SM4运算获得还原获得R分散结果；6利用使用方私钥解密该用户公钥保护的分散因子得到的结果做密钥，以步骤5获得的R分散结果做数据，进行加密操作从而还原获得随机密钥R；所述共享数据结构包括数据的版本、数据的摘要信息、时间戳、数据块数据、版权、所有者标识、授权列表CT、日志。

全文数据：

权利要求：

百度查询： 北京安御道合科技有限公司 基于数据属性授权的数据安全保护方法、存储介质及终端

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD