[发明专利]基于数据属性授权的数据安全保护方法、存储介质及终端

权利要求书

1.一种基于数据属性授权的数据安全保护方法，其特征在于，所述基于数据属性授权的数据安全保护方法包括：

在TEE中产生公私钥对、并将公钥和数字信封密钥上传给可信密钥管理系统；所述可信密钥管理系统利用数字信封保护密钥进行保护所述执行可信应用程序的区域上传的信息，并返回个人化属性；

所述TEE产生随机密钥作为工作密钥，基于所述随机密钥采用国密算法对数据块进行加密；

使用方根据自己的属性和标识密钥还原出随机密钥，并解密数据块；使用方根据解密后的数据块判断是否有管理权限，如果使用方存在管理权限，则使用方再次授权给授权方。

2.如权利要求1所述的基于数据属性授权的数据安全保护方法，其特征在于，所述采用国密算法对数据块进行加密，包括：

使用国密算法保护随机密钥R；

使用国密算法还原随机密钥R；

定义共享数据结构。

3.如权利要求2所述的基于数据属性授权的数据安全保护方法，其特征在于，所述国密算法采用使用方属性作为个性化参数，利用使用方公钥对授权列表进行反向签名并保护分散因子；

所述国密算法将用户标识作为一种属性，把被撤销用户标识的“非”与密文关联起来，使撤销的用户无法解密密文；设：

W＝U\R；

其中，U为系统中用户的标识集；R为用户撤销列表，包含被撤销用户的ID密文与W相关；

授权方只有满足ID∈W且属性与策略匹配时，才能解密密文；直接撤销模式下，未撤销用户无需周期性更新密钥；TEE加密时规定一个系统属性撤销列表实现系统属性的撤销。

4.如权利要求2所述的基于数据属性授权的数据安全保护方法，其特征在于，所述使用国密算法保护随机密钥，包括：

1)对使用方属性进行SM3摘要后获得使用方属性摘要信息；

2)在TEE中生成一次性分散因子IV，用其对受保护的随机密钥R进行解密操作获得R分散结果；

3)对获取的使用方权限列表逐一进行摘要并用使用方公钥进行反向签名，再使用一次性分散因子分别加密后按顺序加入权限原文构造授权摘要结果；

4)以步骤2)产生的R分散结果作为数据，以步骤3)产生的结果授权摘要结果作为密钥进行SM4运算获取中间参数；

5)以步骤1)产生的使用方属性摘要信息和步骤4)产生的中间参数进行异或运算获得保密参数；

6)由用户ID、保密参数、授权摘要结果及采用使用方公钥保护的一次性分散因子共四部分组成该使用方授权信息；根授权的用户数量，重复1)到5)步骤构建授权列表CT，作为全新定义的数字信封结构的一部分。

5.如权利要求2所述的基于数据属性授权的数据安全保护方法，其特征在于，所述使用国密算法还原随机密钥R，包括：

1)验证授权信息：通过授权列表中读取的该用户的授权摘要信息与计算摘要进行对比，如果有权限则进行下一步操作；

2)对使用方属性进行SM3摘要后获得使用方属性摘要信息；

3)从数字信封的授权列表中读取该使用方的保密参数；

4)使用步骤2)产生的使用方属性摘要信息和步骤3)产生的保密参数进行异或运算获得中间参数；

5)以步骤1)中读取的用户授权摘要做密钥，步骤4)中计算获得的中间参数做数据进行SM4运算获得还原获得R分散结果；

6)利用使用方私钥解密该用户公钥保护的分散因子得到的结果做密钥，以步骤5)获得的R分散结果做数据，进行加密操作从而还原获得随机密钥R。

6.如权利要求2所述的基于数据属性授权的数据安全保护方法，其特征在于，所述数据结构包括数据的版本、数据的摘要信息、时间戳、数据块数据、版权、所有者标识、授权列表CT、日志。

7.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行权利要求1～6任意一项所述的基于数据属性授权的数据安全保护方法。