本發(fā)明屬于云環(huán)境下數(shù)據(jù)安全技術(shù)領(lǐng)域���,具體涉及一種云環(huán)境下數(shù)據(jù)加密方法。
背景技術(shù):
云環(huán)境下數(shù)據(jù)集中后的安全問(wèn)題顯現(xiàn)����。一是傳統(tǒng)的網(wǎng)絡(luò)中各種應(yīng)用服務(wù)的標(biāo)準(zhǔn)流量和突發(fā)流量有跡可循,流量模型設(shè)計(jì)相對(duì)較為規(guī)范�����、簡(jiǎn)單���,對(duì)安全設(shè)備的處理能力沒(méi)有太高的要求。而在云計(jì)算環(huán)境下,同類型存儲(chǔ)或者應(yīng)用服務(wù)器的規(guī)模增長(zhǎng)迅猛��,動(dòng)輒以萬(wàn)為單位進(jìn)行擴(kuò)展�,并且不能分而治之,必須依托統(tǒng)一架構(gòu)的基礎(chǔ)網(wǎng)絡(luò)來(lái)承載�����。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比���,這就對(duì)安全設(shè)備本身的性能指標(biāo)提出了更高的要求�����。二是用戶的數(shù)據(jù)存儲(chǔ)����、處理���、網(wǎng)絡(luò)傳輸?shù)榷寂c云計(jì)算系統(tǒng)有關(guān)�����。如何避免多用戶共存帶來(lái)的潛在風(fēng)險(xiǎn)��;如何保證云服務(wù)的身份鑒別���、認(rèn)證管理和訪問(wèn)控制等數(shù)據(jù)或控制命令下發(fā)的安全需求成為云計(jì)算環(huán)境所面臨的安全挑戰(zhàn)之一��。云環(huán)境下安全設(shè)備進(jìn)行數(shù)據(jù)上報(bào)����、策略下發(fā)����、配置/日志存儲(chǔ)越來(lái)越多,在網(wǎng)絡(luò)環(huán)境中很容易出現(xiàn)數(shù)據(jù)篡改��、泄漏等數(shù)據(jù)存儲(chǔ)安全問(wèn)題���,此方法可以解決上述數(shù)據(jù)泄漏問(wèn)題�。
技術(shù)實(shí)現(xiàn)要素:
有鑒于此���,本發(fā)明的主要目的在于提供一種云環(huán)境下數(shù)據(jù)加密方法��。
為達(dá)到上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
本發(fā)明實(shí)施例提供一種云環(huán)境下數(shù)據(jù)加密方法����,該方法為發(fā)送端根據(jù)加密算法對(duì)預(yù)先生成的動(dòng)態(tài)令牌進(jìn)行加密��,加密的結(jié)果作為數(shù)據(jù)傳輸前加密的密鑰���,根據(jù)所述密鑰對(duì)數(shù)據(jù)進(jìn)行AES對(duì)稱加密形成加密數(shù)據(jù)部分,對(duì)所述動(dòng)態(tài)令牌進(jìn)行異或��、置換�、代換和移位與加密數(shù)據(jù)部分進(jìn)行拼接,根據(jù)拼接后的數(shù)據(jù)計(jì)算校驗(yàn)碼和加密數(shù)據(jù)部分拼接后進(jìn)行傳輸��;
具有與接收端相同動(dòng)態(tài)令牌和密鑰的接收端對(duì)數(shù)據(jù)接收后進(jìn)行拆包獲得待驗(yàn)證的校驗(yàn)碼和加密數(shù)據(jù)部分����,對(duì)加密數(shù)據(jù)部分計(jì)算獲得校驗(yàn)碼,將該校驗(yàn)碼與待驗(yàn)證的校驗(yàn)碼進(jìn)行對(duì)比�����,如果相同則為正確的數(shù)據(jù)�,對(duì)所述加密數(shù)據(jù)部分進(jìn)行存儲(chǔ)或其他加工處理,反之����,則為不正確����,視為數(shù)據(jù)被篡改丟棄該數(shù)據(jù)��。
上述方案中���,該方法還包括:對(duì)正確的數(shù)據(jù)進(jìn)行數(shù)據(jù)分離�����,根據(jù)分離出來(lái)的動(dòng)態(tài)令牌進(jìn)行移位�、代換���、置換和異或反解出令牌信息����,再對(duì)動(dòng)態(tài)令牌信息進(jìn)行AES加密使用解密后的令牌信息對(duì)數(shù)據(jù)段里面的數(shù)據(jù)使用AES進(jìn)行解密����,解密后的數(shù)據(jù)與令牌信息分別進(jìn)行存儲(chǔ)。
上述方案中���,該方法還包括:對(duì)數(shù)據(jù)進(jìn)行檢索瀏覽時(shí)�,檢索到的數(shù)據(jù)使用令牌信息進(jìn)行加密,令牌信息進(jìn)行AES加密加密后結(jié)果作為密鑰����,根據(jù)密鑰再對(duì)數(shù)據(jù)部分進(jìn)行加密,加密后數(shù)據(jù)做一下移位��、代換�、置換和異或整理后的數(shù)據(jù)作為發(fā)送數(shù)據(jù)發(fā)送到設(shè)備端��;所述設(shè)備端對(duì)數(shù)據(jù)進(jìn)行異或����、置換、代換和移位反解����,根據(jù)自己的設(shè)備令牌信息對(duì)解密數(shù)據(jù)進(jìn)行解密,如果解密失敗說(shuō)明數(shù)據(jù)傳輸中被篡改直接丟棄���,解密成功后對(duì)數(shù)據(jù)進(jìn)行展現(xiàn)�����。
上述方案中�����,所述對(duì)加密數(shù)據(jù)部分計(jì)算獲得校驗(yàn)碼,具體為:對(duì)數(shù)據(jù)做校驗(yàn)和時(shí)抽取數(shù)據(jù)長(zhǎng)度開(kāi)始位置8字節(jié)�,1/3位置、1/5位置�、1/7位置、1/9位置偏移8個(gè)字節(jié)�,結(jié)束位置向前偏移8個(gè)字節(jié),對(duì)取到的6處48字節(jié)數(shù)據(jù)進(jìn)行或運(yùn)算得到的和作為校驗(yàn)碼����;其中若偏移不夠8字節(jié)的用0填充。
上述方案中����,該方法中加密過(guò)程為:當(dāng)前加密模塊首先從操作系統(tǒng)底層接口獲取硬件令牌信息,對(duì)獲取的令牌信息使用常規(guī)的AES算法進(jìn)行加密��,加密形成的令牌數(shù)據(jù)作為后續(xù)數(shù)據(jù)加密的密鑰�����,使用此密鑰對(duì)業(yè)務(wù)數(shù)據(jù)使用進(jìn)行加密�,加密的結(jié)果數(shù)據(jù)與密鑰數(shù)據(jù)進(jìn)行組合即數(shù)據(jù)內(nèi)容進(jìn)行偏移移位����、移位后的數(shù)據(jù)前128字節(jié)和后128字節(jié)進(jìn)行基于可見(jiàn)字符特征的數(shù)據(jù)字典替換��、置換�����、異或��;將加密數(shù)據(jù)與校驗(yàn)和按次序組裝起來(lái)�,進(jìn)行傳輸����。
上述方案中,該方法中解密過(guò)程為:對(duì)接收數(shù)據(jù)進(jìn)行校驗(yàn)和�、密鑰分離,分離出的數(shù)據(jù)計(jì)算出校驗(yàn)與傳輸數(shù)據(jù)中的校驗(yàn)和進(jìn)行比較��,不一致認(rèn)為已篡改或泄漏直接丟棄�����,校驗(yàn)和正確后對(duì)數(shù)據(jù)做解密���,根據(jù)分離出來(lái)的密鑰數(shù)據(jù)對(duì)數(shù)據(jù)部分進(jìn)行反異或����、反置換和替換最后進(jìn)行移位得出原始數(shù)據(jù)進(jìn)行后續(xù)處理。
與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果:
本發(fā)明能夠增強(qiáng)和避免數(shù)據(jù)傳輸��、存儲(chǔ)時(shí)的數(shù)據(jù)安全��,防泄漏����、防篡改���,性能消耗小��。
具體實(shí)施方式
為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例���,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明��。應(yīng)當(dāng)理解����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明����。
本發(fā)明實(shí)施例提供一種云環(huán)境下數(shù)據(jù)加密方法,該方法為發(fā)送端根據(jù)加密算法對(duì)預(yù)先生成的動(dòng)態(tài)令牌進(jìn)行加密�,加密的結(jié)果作為數(shù)據(jù)傳輸前加密的密鑰,根據(jù)所述密鑰對(duì)數(shù)據(jù)進(jìn)行AES對(duì)稱加密形成加密數(shù)據(jù)部分����,對(duì)所述動(dòng)態(tài)令牌進(jìn)行異或、置換�����、代換��、移位與加密數(shù)據(jù)部分進(jìn)行拼接�,根據(jù)拼接后的數(shù)據(jù)計(jì)算校驗(yàn)碼和加密數(shù)據(jù)部分拼接后進(jìn)行傳輸�����;
具有與接收端相同動(dòng)態(tài)令牌和密鑰的接收端對(duì)數(shù)據(jù)接收后進(jìn)行拆包獲得待驗(yàn)證的校驗(yàn)碼和加密數(shù)據(jù)部分,對(duì)加密數(shù)據(jù)部分計(jì)算獲得校驗(yàn)碼����,將該校驗(yàn)碼與待驗(yàn)證的校驗(yàn)碼進(jìn)行對(duì)比,如果相同則為正確的數(shù)據(jù)�����,對(duì)所述加密數(shù)據(jù)部分進(jìn)行存儲(chǔ)或其他加工處理��,反之���,則為不正確�,視為數(shù)據(jù)被篡改丟棄該數(shù)據(jù)��。
該方法還包括:對(duì)正確的數(shù)據(jù)進(jìn)行數(shù)據(jù)分離���,根據(jù)分離出來(lái)的動(dòng)態(tài)令牌進(jìn)行移位����、代換�����、置換、異或反解出令牌信息��,再對(duì)動(dòng)態(tài)令牌信息進(jìn)行AES加密使用解密后的令牌信息對(duì)數(shù)據(jù)段里面的數(shù)據(jù)使用AES進(jìn)行解密�,解密后的數(shù)據(jù)與令牌信息分別進(jìn)行存儲(chǔ)。
該方法還包括:對(duì)數(shù)據(jù)進(jìn)行檢索瀏覽時(shí)�,檢索到的數(shù)據(jù)使用令牌信息進(jìn)行加密,令牌信息進(jìn)行AES加密加密后結(jié)果作為密鑰���,根據(jù)密鑰再對(duì)數(shù)據(jù)部分進(jìn)行加密�����,加密后數(shù)據(jù)做一下移位�����、代換�、置換���、異或整理后的數(shù)據(jù)作為發(fā)送數(shù)據(jù)發(fā)送到設(shè)備端;所述設(shè)備端對(duì)數(shù)據(jù)進(jìn)行異或�、置換、代換、移位反解���,根據(jù)自己的設(shè)備令牌信息對(duì)解密數(shù)據(jù)進(jìn)行解密�,如果解密失敗說(shuō)明數(shù)據(jù)傳輸中被篡改直接丟棄��,解密成功后對(duì)數(shù)據(jù)進(jìn)行展現(xiàn)����。
加密過(guò)程為:從操作系統(tǒng)底層接口獲取硬件令牌信息(此信息每設(shè)備唯一),對(duì)獲取的令牌信息使用常規(guī)的AES算法進(jìn)行加密�����,加密形成的令牌數(shù)據(jù)作為后續(xù)數(shù)據(jù)加密的密鑰�。使用此密鑰對(duì)程序中的業(yè)務(wù)數(shù)據(jù)使用進(jìn)行加密,加密的結(jié)果數(shù)據(jù)與密鑰數(shù)據(jù)進(jìn)行組合(數(shù)據(jù)內(nèi)容進(jìn)行偏移移位�、移位后的數(shù)據(jù)前128字節(jié)和后128字節(jié)進(jìn)行基于可見(jiàn)字符特征的數(shù)據(jù)字典(相當(dāng)一個(gè)密碼本)替換、置換��、異或)���。對(duì)加密好的數(shù)據(jù)計(jì)算出校驗(yàn)�,為提升算法效率對(duì)數(shù)據(jù)做校驗(yàn)和時(shí)抽取數(shù)據(jù)長(zhǎng)度開(kāi)始位置8字節(jié)����,1/3位置��、1/5位置��、1/7位置�、1/9位置偏移8個(gè)字節(jié)���,結(jié)束位置向前偏移8個(gè)字節(jié)6段數(shù)據(jù)�,對(duì)取到的6端共48字節(jié)數(shù)據(jù)進(jìn)行或運(yùn)算得到的和作為校驗(yàn)碼���。(偏移不夠8字節(jié)的用0填充)�。將加密數(shù)據(jù)與校驗(yàn)和按次序組裝起來(lái)���,進(jìn)行傳輸����。
解密過(guò)程為:首先對(duì)接收數(shù)據(jù)進(jìn)行校驗(yàn)和���、密鑰分離��,分離出的數(shù)據(jù)計(jì)算出校驗(yàn)和(計(jì)算過(guò)程與加密時(shí)處理一致)與傳輸數(shù)據(jù)中的校驗(yàn)和進(jìn)行比較�,不一致認(rèn)為已篡改或泄漏直接丟棄�,校驗(yàn)和正確后對(duì)數(shù)據(jù)做解密,解密過(guò)程是加密過(guò)程的逆過(guò)程���,需要用分離出來(lái)的密鑰數(shù)據(jù)對(duì)數(shù)據(jù)部分進(jìn)行反異或�����、反置換和替換最后進(jìn)行移位得出原始數(shù)據(jù)進(jìn)行后續(xù)處理���。
所述對(duì)加密數(shù)據(jù)部分計(jì)算獲得校驗(yàn)碼,具體為對(duì)數(shù)據(jù)做校驗(yàn)和時(shí)抽取數(shù)據(jù)長(zhǎng)度開(kāi)始位置8字節(jié),1/3位置�、1/5位置、1/7位置�、1/9位置偏移8個(gè)字節(jié),結(jié)束位置向前偏移8個(gè)字節(jié)���,對(duì)取到的6處48字節(jié)數(shù)據(jù)進(jìn)行或運(yùn)算得到的和作為校驗(yàn)碼���。(偏移不夠8字節(jié)的用0填充)。
本發(fā)明能夠有效防止數(shù)據(jù)傳輸時(shí)篡改和存儲(chǔ)數(shù)據(jù)的泄露�����。
本發(fā)明的主要思路是在設(shè)備到存儲(chǔ)之前將設(shè)備上的硬件令牌信息與密鑰結(jié)合進(jìn)行一定的加密,對(duì)端或數(shù)據(jù)存儲(chǔ)端收到數(shù)據(jù)后進(jìn)行相應(yīng)的解密��;從設(shè)備上請(qǐng)求時(shí)存儲(chǔ)端要將數(shù)據(jù)按令牌信息密鑰進(jìn)行加密���,設(shè)備收到數(shù)據(jù)后用自己的硬件令牌信息進(jìn)行解密��。
以上所述�����,僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍�����。