客戶控制解密私鑰且服務(wù)器實施加解密云存儲數(shù)據(jù)加密法
【專利摘要】本發(fā)明是客戶控制解密私鑰且由服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法�,包括上載加密過程、密文存儲過程���、下載解密過程。在上載加密和下載解密短暫的過程中服務(wù)器上只有加解密進程可以接觸到加密文件的一次性會話密鑰�����,通過安全域隔離方法隔離服務(wù)器的加解密進程與其它進程�����,保護加解密進程在加解密過程中使用的一次性會話密鑰的安全��。在長期的密文存儲過程中,服務(wù)器上沒有任何能力可以解密客戶的加密了的文件密文數(shù)據(jù)����。優(yōu)點:用戶完全控制加解密的密鑰,在文件數(shù)據(jù)存儲期間服務(wù)端的任何用戶都無法解密存儲在云端的密文數(shù)據(jù)�,服務(wù)端需要保證的唯一的安全服務(wù)功能是隔離數(shù)據(jù)加解密進程與其它進程,減少了服務(wù)端的安全管理的難度�����。
【專利說明】客戶控制解密私鑰且服務(wù)器實施加解密云存儲數(shù)據(jù)加密法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及的是一種既能夠保護客戶數(shù)據(jù)隱私不被服務(wù)器端泄露又能免除客戶端加解密繁重計算的客戶控制解密私鑰且服務(wù)器實施加解密云存儲數(shù)據(jù)的加密方法�����,屬于計算機應(yīng)用【技術(shù)領(lǐng)域】����。
技術(shù)背景
[0002]云存儲為用戶程序提供了既方便又廉價的數(shù)據(jù)存儲服務(wù),深受用戶的喜歡����。但是由于用戶將自己的數(shù)據(jù)存儲在了云端,用戶數(shù)據(jù)的保密性成了云存儲的關(guān)鍵因素���。云服務(wù)的客戶需要考慮的是自己的數(shù)據(jù)的保密性是否可以保證����,云服務(wù)企業(yè)需要考慮是是否可以通過管理手段保證客戶數(shù)據(jù)不會被非授權(quán)的訪問。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提出的是一種給出了客戶控制解密私鑰且服務(wù)器實施加解密云存儲數(shù)據(jù)的加密方法�,服其目的是在一個客戶與務(wù)器的交互協(xié)議,可使得云服務(wù)端提供文件存儲服務(wù)具有以下安全特性:
1)數(shù)據(jù)的加解密計算服務(wù)由云服務(wù)端提供����,客戶上載的數(shù)據(jù)由服務(wù)器進行加密后存儲,客戶下載的數(shù)據(jù)由服務(wù)器解密后發(fā)送給用戶����;
2)客戶的密文數(shù)據(jù)在服務(wù)器上的存儲期間,服務(wù)端的沒有任何能力可以獲取客戶數(shù)據(jù)的明文��;
3)客戶的解密的關(guān)鍵密鑰由客戶自己生成�����、自己保存控制����;
4)客戶端與服務(wù)端可以安全地傳送一次性會話密鑰��;
5)沒有客戶的加密私鑰的情況下無法解密存儲在云端的密文數(shù)據(jù)。
[0004]本發(fā)明的技術(shù)解決方案:客戶控制解密私鑰且服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法���,包括如下步驟:
(1)上載加密
1)客戶自己生成用于加解密的公私鑰對:加密公鑰和加密私鑰���;
2)客戶在開始上載文件時上傳自己的加密公鑰;
3)服務(wù)器收到客戶上載的文件時生成一次性會話密鑰加密客戶上載的文件數(shù)據(jù)���;
4)服務(wù)器用客戶的加密公鑰加密自己生成的用以加密客戶文件數(shù)據(jù)的一次性會話密
鑰��;
5)服務(wù)器用一次性會話密鑰加密客戶上載的文件數(shù)據(jù)�;
(2)密文存儲
1)服務(wù)器將加密了的一次性會話密鑰和加密了的文件數(shù)據(jù)合成一個文件存入存儲文件的存儲介質(zhì)���;
2)服務(wù)器丟棄一次性會話密鑰��;
(3)下載解密 1)客戶向服務(wù)器提出在文件的請求�����;
2)服務(wù)器將要下載的文件中保存的加密了的一次性會話密鑰發(fā)送個客戶��;
3)客戶用自己的加密私鑰解密加密了的一次性會話密鑰得到一次性會話密鑰的明
文�����;
4)客戶利用保密通道將一次性會話密鑰發(fā)送給服務(wù)器���;
5)服務(wù)器收到一次性會話密鑰后����,解密加密存儲的文件�,發(fā)送個客戶。
[0005]本發(fā)明的優(yōu)點:用戶完全控制加解密的密鑰����,在文件數(shù)據(jù)存儲期間服務(wù)端沒有任何能力解密存儲在云端的密文數(shù)據(jù),服務(wù)端需要保證的唯一的安全服務(wù)功能是隔離數(shù)據(jù)加解密進程與其它進程�����,減少了服務(wù)端的安全管理的難度���。
【專利附圖】
【附圖說明】
[0006]附圖1是上載加密與存貯流程示意圖����。
[0007]附圖2是下載解密流程示意圖��。
【具體實施方式】
[0008]客戶控制解密私鑰且服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法�,包括如下步驟:
(1)上載加密(見附圖1)
1)客戶自己生成用于加解密的公私鑰對:加密公鑰和加密私鑰;
2)客戶在開始上載文件時上傳自己的加密公鑰�����;
3)服務(wù)器收到客戶上載的文件時生成一次性會話密鑰加密客戶上載的文件數(shù)據(jù)����;
4)服務(wù)器用客戶的加密公鑰加密自己生成的用以加密客戶文件數(shù)據(jù)的一次性會話密
鑰;
5)服務(wù)器用一次性會話密鑰加密客戶上載的文件數(shù)據(jù)��;
(2)密文存儲
1)服務(wù)器將加密了的一次性會話密鑰和加密了的文件數(shù)據(jù)合成一個文件存入存儲文件的存儲介質(zhì)����;
2)服務(wù)器丟棄一次性會話密鑰;
(3)下載解密(見附圖2)
1)客戶向服務(wù)器提出在文件的請求�;
2)服務(wù)器將要下載的文件中保存的加密了的一次性會話密鑰發(fā)送個客戶;
3)客戶用自己的加密私鑰解密加密了的一次性會話密鑰得到一次性會話密鑰的明
文���;
4)客戶利用保密通道將一次性會話密鑰發(fā)送給服務(wù)器����;
5)服務(wù)器收到一次性會話密鑰后����,解密加密存儲的文件���,發(fā)送個客戶。
[0009]所述的存儲在服務(wù)器中的加密文件�����,包括加密了的一次性會話密鑰和用一次性會話密鑰加密了的密文文件數(shù)據(jù)��;在文件存儲期間服務(wù)器沒有任何辦法解密加密存儲的文件����。
[0010]所述的服務(wù)器中的文件加解密進程在文件加密或解密的瞬間能獲得一次性會話密鑰;利用安全域隔離方法隔離服務(wù)器的加解密進程與其它進程���,保護加解密進程在加解密過程中使用的一次性會話密鑰的安全�����。
[0011]所述的加密數(shù)據(jù)����、解密數(shù)據(jù)的工作在服務(wù)器上進行����,解決在移動終端上加密數(shù)據(jù)�、解密數(shù)據(jù)造成性能下降的問題��,同時服務(wù)器在文件存儲期間沒有任何辦法解密加密存儲的文件�����。
實施例
[0012]I)由客戶端來生成用于加解密的公私鑰對����,加密公鑰和加密私鑰�����。用戶自己可以將解密用加密私鑰保存在最安全的地方��,任何其他人無法獲得��。
[0013]2)客戶在開始上載文件時可以明文上傳自己的加密公鑰��,具有安全的密鑰分發(fā)機制����。
[0014]3)服務(wù)器收到客戶上載的文件和加密公鑰后,生成一次性會話密鑰用以加密客戶上載的文件數(shù)據(jù)����;利用客戶端上載的加密公鑰加密會話密鑰�;將兩部分密文數(shù)據(jù)保存在存儲介質(zhì)上����;服務(wù)端處理加密的過程與其它進程完全隔離。
[0015]4)服務(wù)端在加密計算完成后及時丟棄一次性會話密鑰��,保證了在文件存儲期間沒有客戶的加密私鑰任何人無法解密存儲在云端的密文數(shù)據(jù)���。
[0016]5)在客戶端提出下載文件時��,服務(wù)器向客戶端提交一次性會話密鑰的密文����,客戶端收到后利用用戶提供的加密私鑰解密一次性會話密鑰的密文�����,通過安全信道提交給服務(wù)端�����。
[0017]6)服務(wù)端控制處理解密的過程與其它進程完全隔離。
【權(quán)利要求】
1.客戶控制解密私鑰且服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法�����,其特征是該方法包括如下步驟: (1)上載加密 1)客戶自己生成用于加解密的公私鑰對:加密公鑰和加密私鑰�����; 2)客戶在開始上載文件時上傳自己的加密公鑰�; 3)服務(wù)器收到客戶上載的文件時生成一次性會話密鑰加密客戶上載的文件數(shù)據(jù)�; 4)服務(wù)器用客戶的加密公鑰加密自己生成的用以加密客戶文件數(shù)據(jù)的一次性會話密鑰; 5)服務(wù)器用一次性會話密鑰加密客戶上載的文件數(shù)據(jù)��; (2)密文存儲 1)服務(wù)器將加密了的一次性會話密鑰和加密了的文件數(shù)據(jù)合成一個文件存入存儲文件的存儲介質(zhì)�����; 2)服務(wù)器丟棄一次性會話密鑰��; (3)下載解密 1)客戶向服務(wù)器提出在文件的請求����; 2)服務(wù)器將客戶要下載的文件中保存的加密了的一次性會話密鑰發(fā)送個客戶; 3)客戶用自己的加密私鑰解密加密了的一次性會話密鑰得到一次性會話密鑰的明文�; 4)客戶利用保密通道將一次性會話密鑰發(fā)送給服務(wù)器; 5)服務(wù)器收到一次性會話密鑰后�����,解密加密存儲的文件,發(fā)送給客戶�。
2.根據(jù)權(quán)利要求1所述的客戶控制解密私鑰且服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法,其特征是所述的存儲在服務(wù)器中的加密文件�,包括加密了的一次性會話密鑰和用一次性會話密鑰加密了的密文文件數(shù)據(jù);在文件存儲期間服務(wù)器沒有任何辦法解密加密存儲的文件���。
3.根據(jù)權(quán)利要求1所述的客戶控制解密私鑰且服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法�����,其特征是所述的服務(wù)器中的文件加解密進程在文件加密或解密的瞬間能獲得一次性會話密鑰���;利用安全域隔離方法隔離服務(wù)器的加解密進程與其它進程,保護加解密進程在加解密過程中使用的一次性會話密鑰的安全�。
4.根據(jù)權(quán)利要求1所述的客戶控制解密私鑰且服務(wù)器實施加解密的云存儲數(shù)據(jù)加密方法,其特征是所述的加密數(shù)據(jù)����、解密數(shù)據(jù)的工作在服務(wù)器上進行,解決了在移動終端上加密數(shù)據(jù)��、解密數(shù)據(jù)造成性能下降的問題,同時服務(wù)器在文件存儲期間沒有任何辦法解密加密存儲的文件��。
【文檔編號】H04L29/06GK103746993SQ201410005893
【公開日】2014年4月23日 申請日期:2014年1月7日 優(yōu)先權(quán)日:2014年1月7日
【發(fā)明者】黃皓 申請人:南京大學(xué)