本發(fā)明屬于跨網(wǎng)分布式平臺的數(shù)據(jù)安全，尤其涉及一種跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享方法。

背景技術(shù)：

1、針對跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享，若網(wǎng)絡(luò)只是邏輯隔離目前存在多種有效方式，但對物理隔離網(wǎng)絡(luò)主要有兩種方式：

2、1)人工審查人工擺渡的方式，該方式存在人為誤差、數(shù)據(jù)管控粗放等問題，易造成重要數(shù)據(jù)泄露問題。

3、2)內(nèi)網(wǎng)存儲和跨網(wǎng)同步采用兩套加密算法，該方式在數(shù)據(jù)跨網(wǎng)同步時需要先解密存儲加密算法再加密跨網(wǎng)共享加密算法，存在時間資源和物理資源消耗大的問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于：為了克服現(xiàn)有技術(shù)問題，公開了一種跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享方法，通過存儲安全和共享安全用同一套密碼、跨網(wǎng)數(shù)據(jù)采用密文傳輸、跨網(wǎng)數(shù)據(jù)的數(shù)據(jù)訪問策略即參與加密也作為審查依據(jù)的方式，解決了兩套加密機制資源開銷大、跨網(wǎng)明文不安全及需要權(quán)威機構(gòu)投入大量人力審查、跨網(wǎng)加密數(shù)據(jù)共享監(jiān)管審查難的問題。

2、本發(fā)明目的通過下述技術(shù)方案來實現(xiàn)：

3、一種跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享方法，所述跨網(wǎng)分布式平臺的架構(gòu)在縱向上網(wǎng)絡(luò)環(huán)境為跨越物理域隔離的內(nèi)網(wǎng)和外網(wǎng)，在橫向上分為應(yīng)用層、平臺層和數(shù)據(jù)層；所述數(shù)據(jù)安全存儲與共享方法包括：

4、權(quán)威機構(gòu)sm9初始化步驟，權(quán)威機構(gòu)作為密鑰生成中心kgc，先初始化sm9setup()算法，以安全參數(shù)λ作為輸入，輸出系統(tǒng)公共參數(shù)pp和主密鑰msk，pp通過內(nèi)外網(wǎng)權(quán)威機構(gòu)進行對外發(fā)布，msk僅在內(nèi)外網(wǎng)權(quán)威機構(gòu)同步；

5、內(nèi)網(wǎng)微服務(wù)數(shù)據(jù)存儲請求步驟，當業(yè)務(wù)微服務(wù)有數(shù)據(jù)存儲請求時，先判斷其是否是跨網(wǎng)數(shù)據(jù)，若是，則根據(jù)數(shù)據(jù)訪問策略對跨網(wǎng)數(shù)據(jù)進行相應(yīng)處理，并在處理后生成處置策略標識記id，由對稱加密方式處理后記為mid；調(diào)用加密算法encrypt()進行mid的sm9密文策略屬性基加密，輸出密文ct,待同步消息由密態(tài)處置策略標記與密文組合ct||mid；若否，則對數(shù)據(jù)及數(shù)據(jù)訪問策略進行數(shù)據(jù)存儲操作，并對其進行sm9密文策略屬性基加密，最終以密文存儲待后續(xù)使用；

6、內(nèi)外網(wǎng)權(quán)威機構(gòu)數(shù)據(jù)同步步驟，將ct||mid傳送至內(nèi)網(wǎng)權(quán)威機構(gòu)后，內(nèi)網(wǎng)權(quán)威機構(gòu)用對稱密鑰解密mid檢查數(shù)據(jù)訪問策略處置標識是否符合跨網(wǎng)處置要求，不符合則結(jié)束；符合則將密文ct通過數(shù)據(jù)發(fā)送接口通過可信交換區(qū)域同步到外網(wǎng)權(quán)威機構(gòu)，外網(wǎng)權(quán)威機構(gòu)再發(fā)送到外網(wǎng)基礎(chǔ)的同步服務(wù)，然后存儲；

7、解密密鑰生成步驟，外網(wǎng)業(yè)務(wù)微服務(wù)對跨網(wǎng)數(shù)據(jù)發(fā)起獲取請求時，外網(wǎng)權(quán)威機構(gòu)調(diào)用密鑰生成算法keygen()為用戶生成用戶私鑰，輸出用戶私鑰usku；

8、密文解密步驟，用業(yè)務(wù)微服務(wù)的屬性集su與密文ct中的訪問結(jié)構(gòu)進行匹配，匹配成功則調(diào)用解密算法decrypt()，decrypt(pp,ct,su,usk)以系統(tǒng)公共參數(shù)pp、密文ct、數(shù)據(jù)使用者屬性集su和數(shù)據(jù)集使用者usk為輸入，輸出密文ct的解密結(jié)果m，至此解密完成，返回明文給外網(wǎng)業(yè)務(wù)微服務(wù)。

9、根據(jù)一個優(yōu)選的實施方式，所述內(nèi)網(wǎng)微服務(wù)數(shù)據(jù)存儲請求步驟中，對對跨網(wǎng)數(shù)據(jù)進行相應(yīng)處理包括惡意文件檢測、數(shù)據(jù)脫敏、人工審批。

10、根據(jù)一個優(yōu)選的實施方式，所述內(nèi)網(wǎng)微服務(wù)數(shù)據(jù)存儲請求步驟中，進行sm9密文策略屬性基加密的加密過程是以待加密消息m、系統(tǒng)公共參數(shù)pp、訪問結(jié)構(gòu)作為輸入，輸出密文ct。

11、根據(jù)一個優(yōu)選的實施方式，所述解密密鑰生成步驟中，生成用戶私鑰過程包括：密鑰生成算法keygen()用外網(wǎng)業(yè)務(wù)微服務(wù)請求中的屬性集su、系統(tǒng)公共參數(shù)pp、系統(tǒng)主私鑰msk作為輸入，輸出用戶私鑰usku。

12、根據(jù)一個優(yōu)選的實施方式，所述應(yīng)用層包括業(yè)務(wù)微服務(wù)，依賴下層提供業(yè)務(wù)處理邏輯；

13、平臺層為上層提供統(tǒng)一的基礎(chǔ)服務(wù)，包括數(shù)據(jù)同步服務(wù)、數(shù)據(jù)存儲服務(wù)、數(shù)據(jù)加解密服務(wù)、可信交換服務(wù)等；

14、數(shù)據(jù)層為上層數(shù)據(jù)存儲服務(wù)提供密態(tài)數(shù)據(jù)的存儲。

15、根據(jù)一個優(yōu)選的實施方式，所述數(shù)據(jù)訪問策略由數(shù)據(jù)擁有者定義，既需參與sm9密文策略屬性集加密也需作為權(quán)威機構(gòu)跨網(wǎng)同步采取安全措施的依據(jù)。

16、根據(jù)一個優(yōu)選的實施方式，所述數(shù)據(jù)訪問策略在內(nèi)網(wǎng)中作為數(shù)據(jù)的屬性同數(shù)據(jù)一同存入數(shù)據(jù)庫中，在跨網(wǎng)傳輸中其嵌入到密文中，從而實現(xiàn)精細化訪問控制。

17、根據(jù)一個優(yōu)選的實施方式，所述數(shù)據(jù)訪問策略是訪問結(jié)構(gòu)樹，由根節(jié)點、非葉子節(jié)點、葉子節(jié)點構(gòu)成；

18、根節(jié)點作為最終的源數(shù)據(jù)的秘密密鑰，訪問者滿足最低閾值則獲取；

19、非葉子節(jié)點也稱門限節(jié)點，訪問者在滿足門限的閾值，則解出此節(jié)點的秘密值；

20、葉子結(jié)點是數(shù)據(jù)擁有者所設(shè)定的屬性和屬性值，以及父節(jié)點傳遞過來的秘密值。

21、根據(jù)一個優(yōu)選的實施方式，當接收到內(nèi)網(wǎng)跨網(wǎng)數(shù)據(jù)及數(shù)據(jù)訪問策略后，對數(shù)據(jù)按數(shù)據(jù)訪問策略樹策略進行處置，并生成處置標識，處置標識在傳輸中采用密態(tài)的形式防止篡改。

22、根據(jù)一個優(yōu)選的實施方式，所述數(shù)據(jù)訪問策略樹的葉子節(jié)點有若干個與非邏輯，所以生成有一個相應(yīng)位數(shù)的處置標識，當各處置標識全為1時代表數(shù)據(jù)同步服務(wù)做了相應(yīng)處置；權(quán)威機構(gòu)收到密文及對應(yīng)策略處置標識時，檢查處置標識是否符合跨網(wǎng)導(dǎo)出策略要求，符合則同步數(shù)據(jù)，反之則結(jié)束。

23、前述本發(fā)明主方案及其各進一步選擇方案可以自由組合以形成多個方案，均為本發(fā)明可采用并要求保護的方案。本領(lǐng)域技術(shù)人員在了解本發(fā)明方案后根據(jù)現(xiàn)有技術(shù)和公知常識可明了有多種組合，均為本發(fā)明所要保護的技術(shù)方案，在此不做窮舉。

24、本發(fā)明的有益效果：

25、本發(fā)明跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享方法，采用sm9密文策略屬性基加密進行加密，kgc由權(quán)威機構(gòu)擔當，既可以進行加密初始化工作，也可以作為審查機構(gòu)對跨網(wǎng)數(shù)據(jù)的策略標識進行檢查。當業(yè)務(wù)微服務(wù)有跨網(wǎng)數(shù)據(jù)請求時，將數(shù)據(jù)及對應(yīng)數(shù)據(jù)訪問策略一同發(fā)送給數(shù)據(jù)同步服務(wù)，數(shù)據(jù)同步服務(wù)根據(jù)數(shù)據(jù)訪問策略進行對應(yīng)處置并生成處置標識，而處置后的數(shù)據(jù)進行sm9密文策略屬性集加密。當權(quán)威機構(gòu)收到密文數(shù)據(jù)及策略處置標識后進行審查，符合審查隨即進行同步。

26、本發(fā)明實現(xiàn)了存儲安全和共享安全用同一套密碼保證安全；跨網(wǎng)傳輸時必須要解密成明文再檢查的問題；跨網(wǎng)數(shù)據(jù)的數(shù)據(jù)訪問策略即參與sm9密文策略屬性基加密，也作為權(quán)威機構(gòu)審查的依據(jù)。

技術(shù)特征：

1.一種跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享方法，所述跨網(wǎng)分布式平臺的架構(gòu)在縱向上網(wǎng)絡(luò)環(huán)境為跨越物理域隔離的內(nèi)網(wǎng)和外網(wǎng)，在橫向上分為應(yīng)用層、平臺層和數(shù)據(jù)層；其特征在于，所述數(shù)據(jù)安全存儲與共享方法包括：

2.如權(quán)利要求1所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述內(nèi)網(wǎng)微服務(wù)數(shù)據(jù)存儲請求步驟中，對對跨網(wǎng)數(shù)據(jù)進行相應(yīng)處理包括惡意文件檢測、數(shù)據(jù)脫敏、人工審批。

3.如權(quán)利要求1所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述內(nèi)網(wǎng)微服務(wù)數(shù)據(jù)存儲請求步驟中，進行sm9密文策略屬性基加密的加密過程是以待加密消息m、系統(tǒng)公共參數(shù)pp、訪問結(jié)構(gòu)作為輸入，輸出密文ct。

4.如權(quán)利要求1所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述解密密鑰生成步驟中，生成用戶私鑰過程包括：密鑰生成算法keygen()用外網(wǎng)業(yè)務(wù)微服務(wù)請求中的屬性集su、系統(tǒng)公共參數(shù)pp、系統(tǒng)主私鑰msk作為輸入，輸出用戶私鑰usku。

5.如權(quán)利要求1所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述應(yīng)用層包括業(yè)務(wù)微服務(wù)，依賴下層提供業(yè)務(wù)處理邏輯；

6.如權(quán)利要求1所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述數(shù)據(jù)訪問策略由數(shù)據(jù)擁有者定義，既需參與sm9密文策略屬性集加密也需作為權(quán)威機構(gòu)跨網(wǎng)同步采取安全措施的依據(jù)。

7.如權(quán)利要求6所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述數(shù)據(jù)訪問策略在內(nèi)網(wǎng)中作為數(shù)據(jù)的屬性同數(shù)據(jù)一同存入數(shù)據(jù)庫中，在跨網(wǎng)傳輸中其嵌入到密文中，從而實現(xiàn)精細化訪問控制。

8.如權(quán)利要求7所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述數(shù)據(jù)訪問策略是訪問結(jié)構(gòu)樹，由根節(jié)點、非葉子節(jié)點、葉子節(jié)點構(gòu)成；

9.如權(quán)利要求8所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，當接收到內(nèi)網(wǎng)跨網(wǎng)數(shù)據(jù)及數(shù)據(jù)訪問策略后，對數(shù)據(jù)按數(shù)據(jù)訪問策略樹策略進行處置，并生成處置標識，處置標識在傳輸中采用密態(tài)的形式防止篡改。

10.如權(quán)利要求9所述的數(shù)據(jù)安全存儲與共享方法，其特征在于，所述數(shù)據(jù)訪問策略樹的葉子節(jié)點有若干個與非邏輯，所以生成有一個相應(yīng)位數(shù)的處置標識，當各處置標識全為1時代表數(shù)據(jù)同步服務(wù)做了相應(yīng)處置；

技術(shù)總結(jié)
本發(fā)明公開了一種跨網(wǎng)分布式平臺的數(shù)據(jù)安全存儲與共享方法，選用SM9密文策略屬性基加密作為數(shù)據(jù)存儲及共享的加密方式。主要步驟為權(quán)威機構(gòu)SM9初始化、內(nèi)網(wǎng)微服務(wù)數(shù)據(jù)存儲請求、內(nèi)外網(wǎng)權(quán)威機構(gòu)數(shù)據(jù)同步、解密密鑰生成、密文解密。通過存儲安全和共享安全用同一套密碼、跨網(wǎng)數(shù)據(jù)采用密文傳輸、跨網(wǎng)數(shù)據(jù)的數(shù)據(jù)訪問策略即參與加密也作為審查依據(jù)的方式，解決了兩套加密機制資源開銷大、跨網(wǎng)明文不安全及需要權(quán)威機構(gòu)投入大量人力審查、跨網(wǎng)加密數(shù)據(jù)共享監(jiān)管審查難的問題。

技術(shù)研發(fā)人員：王瑤,張位,張淑文,馮毓,周陽,張玲,毛得明
受保護的技術(shù)使用者：中國電子科技集團公司第三十研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2024/11/14