本發明提供一種用于實現加密文件安全共享的方法及系統。該方法包括：上傳加密文件過程：第一客戶端獲取屬性公鑰和第一用戶ID信息后，生成第一密鑰并使用對稱密碼算法對待分享文件加密生成文件密文；第一客戶端通過屬性公鑰和第一用戶ID信息使用屬性加密算法對第一密鑰加密生成密鑰密文I后，將文件密文和密鑰密文I上傳至業務服務器；動態共享加密文件過程：第一客戶端通過獲取的屬性私鑰對密鑰密文I解密獲得第一密鑰，再通過屬性公鑰和共享用戶ID加密第一密鑰生成密鑰密文II，并由業務服務器寫入安全頭文件中；第二客戶端通過屬性私鑰使用屬性解密算法對密鑰密文II解密獲得第一密鑰后，再使用對稱密碼算法對文件密文進行解密后獲得待分享文件。

技術領域

本發明涉及通信技術領域，尤其涉及一種用于實現加密文件安全共享的方法及系統。

背景技術

企業內隱私文件的安全，通常需要采用密碼技術進行敏感文件的保護，但一次一密的加密分發又不便于文件在企業內高效的流轉，如果采用相同的密鑰又缺乏足夠的安全性；目前，通常采用ABE（Attribute-Based Encryption，基于屬性的加密）技術能實現高效密鑰分發的特點，將ABE技術應用到企業內部的加密文件分享中，實現一套適用于企業內加密文件的高效分發的共享訪問控制系統。

ABE是一種將屬性、策略與密碼算法相結合的公鑰密碼技術；使用ABE技術多應用在互聯環境下的加密文件高效分發，通過只對原文使用屬性策略結合的加密方式，只需要進行一次加密，與之相對的具有相關屬性的用戶都能解密出加密對象。

然而，ABE技術在實際應用中，相關密鑰在傳輸過程中的安全性較低；此外，還缺少對屬性私鑰的過期保護；從而導致敏感文件在共享時存在安全隱患。

因此如何設計一種用于實現加密文件安全共享的方法，能夠保證相關密鑰（包括屬性私鑰）的安全有效和安全傳輸，且提升文件共享時的安全性是目前急需解決的問題。

發明內容

為了部分地解決傳統加密文件共享方法中存在的密鑰在傳輸過程中安全性較低或缺少屬性私鑰的過期保護的問題，本發明提供一種用于實現加密文件安全共享的方法及系統。

一方面，本發明提供一種用于實現加密文件安全共享的方法，包括：上傳加密文件過程和共享加密文件過程；

所述上傳加密文件過程包括：

第一客戶端通過業務服務器從密鑰管理服務器中獲取屬性公鑰，再通過業務服務器從用戶中心獲取第一用戶ID信息，所述第一用戶ID信息指上傳待分享文件的用戶的用戶自身ID；

第一客戶端生成第一密鑰并使用對稱密碼算法對待分享文件加密后生成文件密文；

第一客戶端通過屬性公鑰和第一用戶ID信息使用屬性加密算法對第一密鑰加密后生成密鑰密文I；

第一客戶端將所述文件密文和所述密鑰密文I上傳至業務服務器，以供業務服務器將密鑰密文I保存為安全頭文件；

所述共享加密文件過程包括：

第一客戶端通過業務服務器從密鑰管理服務器中獲取屬性私鑰，從業務服務器中獲取第二用戶ID信息，并對密鑰密文I解密后獲得第一密鑰；所述第二用戶ID信息是指為被分享文件的用戶分配的用戶ID；

第一客戶端通過屬性公鑰和第二用戶ID信息使用屬性加密算法加密第一密鑰后生成密鑰密文II，并通過業務服務器將所述密鑰密文II寫入安全頭文件中；

第二客戶端從業務服務器獲取第二用戶ID信息、文件密文、安全頭文件和屬性私鑰，通過屬性私鑰使用屬性解密算法對安全頭文件中的密鑰密文II解密獲得第一密鑰；

第二客戶端通過第一密鑰使用對稱密碼算法對文件密文進行解密后獲得待分享文件；