一種云盤文件數(shù)據(jù)安全保護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種云盤文件數(shù)據(jù)安全保護(hù)方法��,特別是涉及一種適用于云盤文件數(shù)據(jù)安全保護(hù)方法��。
【背景技術(shù)】
[0002]2015年7月6日����,意大利著名黑客公司Hacking Team的服務(wù)器受到攻擊,該公司約400GB的數(shù)據(jù)被竊取��,包括Hacking Team—些產(chǎn)品的源代碼�、郵件、錄音和客戶詳細(xì)信息�����。與此類似的有斯諾登事件�、CSDN用戶密碼泄露��、12306用戶身份信息泄露等�,無不警示著人們需要一個(gè)有效的數(shù)據(jù)安全防護(hù)機(jī)制來保證用戶數(shù)據(jù)安全。
[0003]對(duì)稱加密是最快速�����、最簡(jiǎn)單的一種加密方式,加密(Encrypt1n)和解密(Decrypt1n)使用同樣的密鑰(Secret Key)����。對(duì)稱加密通常使用的是相對(duì)較小的密鑰,一般小于256bit���,密鑰越大�,加密越強(qiáng)�,但加密和解密的過程越慢。對(duì)稱加密算法的優(yōu)點(diǎn)是算法公開��、計(jì)算量小����、加密速度快、加密效率高�����;其缺點(diǎn)在于數(shù)據(jù)傳送前����,發(fā)送方和接收方必須商定好密鑰�,然后雙方都能保存好密鑰�����。
[0004]非對(duì)稱加密為數(shù)據(jù)的加密和解密提供了一個(gè)非常安全的方法��,它使用了一對(duì)密鑰一一公鑰(Public Key)和私鑰(Private Key)�。私鑰只能由一方安全保管,不能外泄����,而公鑰則可以發(fā)給任何請(qǐng)求它的人。非對(duì)稱加密使用這對(duì)密鑰中的一個(gè)進(jìn)行加密����,而解密則需要另一個(gè)密鑰。雖然非對(duì)稱加密很安全�����,但和對(duì)稱加密比起來���,計(jì)算速度非常慢。
【發(fā)明內(nèi)容】
[0005]本發(fā)明要解決的技術(shù)問題是提供一種云盤文件數(shù)據(jù)安全保護(hù)方法
本發(fā)明采用的技術(shù)方案如下:一種云盤文件數(shù)據(jù)安全保護(hù)方法�,具體方法為:采用對(duì)稱密鑰算法產(chǎn)生文件密鑰���,對(duì)文件明文數(shù)據(jù)使用文件密鑰加密保護(hù);采用非對(duì)稱算法產(chǎn)生用戶公私鑰�����,對(duì)文件密鑰使用用戶公鑰加密保護(hù)����。
[0006]文件明文采用對(duì)稱密鑰加密,計(jì)算量小�、加密速度快、加密效率高�����;文件明文數(shù)據(jù)采用文件密鑰加密保護(hù)����,文件密鑰采用用戶公鑰加密保護(hù),從而對(duì)文件明文數(shù)據(jù)形成一個(gè)遞進(jìn)式的保護(hù)鏈�����。遞進(jìn)式的保護(hù)鏈在計(jì)算性能和用戶安全應(yīng)用方面做了很好的均衡�����。采用層次密鑰保護(hù)方式,將文件數(shù)據(jù)的最終訪問權(quán)掌握在用戶手中��,避免了斯諾登事件�����。
[0007]所述方法還包括����,采用用戶私鑰對(duì)創(chuàng)建的用戶文件進(jìn)行簽名。
[0008]所述方法還包括��,設(shè)置用戶文件的文件安全區(qū)域���,加密后的文件密鑰及所述簽名的簽名值存儲(chǔ)在該文件安全區(qū)域���。
[0009]采用文件安全區(qū)域存儲(chǔ)文件密鑰,比起數(shù)據(jù)庫方式�,既節(jié)省了數(shù)據(jù)庫容量,更去除關(guān)聯(lián)查詢文件密鑰的損耗���。
[0010]所述文件安全區(qū)域在文件前512字節(jié)區(qū)域����。
[0011]當(dāng)用戶第一次創(chuàng)建文件并上傳或下載數(shù)據(jù)時(shí)�����,直接使用生成的文件密鑰句柄進(jìn)行數(shù)據(jù)的加密或解密��;當(dāng)用戶非第一次上傳或下載數(shù)據(jù)時(shí)��,需要將文件安全區(qū)域的文件密鑰密文和簽名取到本地��,首先使用用戶公鑰驗(yàn)證簽名確定文件屬于用戶����,然后再使用用戶私鑰解密文件密鑰密文得到文件密鑰句柄,然后對(duì)文件數(shù)據(jù)進(jìn)行加密或解密�����。上傳到云盤系統(tǒng)中的文件密文數(shù)據(jù)都按順序放在文件區(qū)域的后面����,只不過相對(duì)沒加密前,對(duì)應(yīng)的數(shù)據(jù)相對(duì)于文件開始位置多了一個(gè)512字節(jié)的偏移量。
[0012]所述方法還包括����,云盤系統(tǒng)為每個(gè)用戶生成一對(duì)公私鑰對(duì),用戶私鑰掌握在用戶手中����,用戶公鑰保存在云盤系統(tǒng)中。
[0013]所述方法還包括��,用戶每創(chuàng)建一個(gè)文件的同時(shí)也為該文件產(chǎn)生一個(gè)文件密鑰����。使用一文件一密鑰方式,即使破解得到某個(gè)文件密鑰也無法解密其它文件�����。
[0014]云盤系統(tǒng)為每個(gè)用戶產(chǎn)生公私鑰對(duì)應(yīng)的用戶證書���,用作用戶登錄云盤系統(tǒng)進(jìn)行認(rèn)證�����。
[0015]根據(jù)權(quán)利要求5所述的云盤文件數(shù)據(jù)安全保護(hù)方法��,所述方法還包括�,用戶采用USBKEY便攜介質(zhì)自身保存用戶證書。用戶每次都需要USBKEY才能登陸云盤系統(tǒng)進(jìn)行操作�。
[0016]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:在計(jì)算性能和用戶安全應(yīng)用方面做了很好的均衡�,將文件數(shù)據(jù)的最終訪問權(quán)掌握在用戶手中��,避免了斯諾登事件��。
【附圖說明】
[0017]圖1為本發(fā)明其中一實(shí)施例的原理示意圖����。
【具體實(shí)施方式】
[0018]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下結(jié)合附圖及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明��。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明��,并不用于限定本發(fā)明。
[0019]本說明書(包括摘要和附圖)中公開的任一特征��,除非特別敘述��,均可被其他等效或者具有類似目的的替代特征加以替換����。S卩,除非特別敘述��,每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已����。
[0020]云盤系統(tǒng)為每個(gè)用戶產(chǎn)生一對(duì)公私鑰對(duì)(公鑰Userpub和私鑰User Ρη),并生成該對(duì)公私鑰對(duì)應(yīng)的用戶證書User_t�,用戶證書用作用戶登錄云盤系統(tǒng)進(jìn)行認(rèn)證。云盤系統(tǒng)為用戶保存用戶公鑰Userpub�����,而用戶自身需要保存用戶證書和用戶私鑰�����,保存方式采用USBKEY便攜介質(zhì)���,也意味著只有用戶才擁有用戶私鑰��。用戶每次都需要USBKEY才能登陸云盤系統(tǒng)進(jìn)行操作��。
[0021]如圖1所示����,用戶在創(chuàng)建文件時(shí),云盤系統(tǒng)在用戶客戶端中為該文件生成文件密鑰Filekey��,文件密鑰需要通過用戶公鑰Userpub保護(hù)�,同時(shí)使用用戶私鑰User pri)簽名�,然后將文件密鑰密文及其簽名值上傳到云盤系統(tǒng)。云盤系統(tǒng)將文件的文件密鑰密文及其簽名值存儲(chǔ)在每個(gè)文件前512字節(jié)區(qū)域��,該區(qū)域稱為文件安全區(qū)域�����。
[0022]當(dāng)用戶第一次創(chuàng)建文件并上傳或下載數(shù)據(jù)時(shí)����,直接使用生成的文件密鑰句柄進(jìn)行數(shù)據(jù)的加密或解密;當(dāng)用戶非第一次上傳或下載數(shù)據(jù)時(shí)���,需要將文件安全區(qū)域的文件密鑰密文和簽名取到本地�����,首先使用用戶公鑰驗(yàn)證簽名確定文件屬于用戶�,然后再使用用戶私鑰解密文件密鑰密文得到文件密鑰句柄,然后對(duì)文件數(shù)據(jù)進(jìn)行加密或解密���。上傳到云盤系統(tǒng)中的文件密文數(shù)據(jù)都按順序放在文件區(qū)域的后面�����,只不過相對(duì)沒加密前�,對(duì)應(yīng)的數(shù)據(jù)相對(duì)于文件開始位置多了一個(gè)512字節(jié)的偏移量���。
【主權(quán)項(xiàng)】
1.一種云盤文件數(shù)據(jù)安全保護(hù)方法�,具體方法為:采用對(duì)稱密鑰算法產(chǎn)生文件密鑰�����,對(duì)文件明文數(shù)據(jù)使用文件密鑰加密保護(hù)����;采用非對(duì)稱算法產(chǎn)生用戶公私鑰��,對(duì)文件密鑰使用用戶公鑰加密保護(hù)�。2.根據(jù)權(quán)利要求1所述的云盤文件數(shù)據(jù)安全保護(hù)方法��,所述方法還包括�,采用用戶私鑰對(duì)創(chuàng)建的用戶文件進(jìn)行簽名。3.根據(jù)權(quán)利要求2所述的云盤文件數(shù)據(jù)安全保護(hù)方法��,所述方法還包括�����,設(shè)置用戶文件的文件安全區(qū)域����,加密后的文件密鑰及所述簽名的簽名值存儲(chǔ)在該文件安全區(qū)域�����。4.根據(jù)權(quán)利要求3所述的云盤文件數(shù)據(jù)安全保護(hù)方法��,所述文件安全區(qū)域在文件前512字節(jié)區(qū)域�。5.根據(jù)權(quán)利要求3或4所述的云盤文件數(shù)據(jù)安全保護(hù)方法,當(dāng)用戶第一次創(chuàng)建文件并上傳或下載數(shù)據(jù)時(shí)����,直接使用生成的文件密鑰句柄進(jìn)行數(shù)據(jù)的加密或解密����;當(dāng)用戶非第一次上傳或下載數(shù)據(jù)時(shí)����,需要將文件安全區(qū)域的文件密鑰密文和簽名取到本地,首先使用用戶公鑰驗(yàn)證簽名確定文件屬于用戶�����,然后再使用用戶私鑰解密文件密鑰密文得到文件密鑰句柄�,然后對(duì)文件數(shù)據(jù)進(jìn)行加密或解密。6.根據(jù)權(quán)利要求1所述的云盤文件數(shù)據(jù)安全保護(hù)方法�����,所述方法還包括���,云盤系統(tǒng)為每個(gè)用戶生成一對(duì)公私鑰對(duì)���,用戶私鑰掌握在用戶手中,用戶公鑰保存在云盤系統(tǒng)中����。7.根據(jù)權(quán)利要求1所述的云盤文件數(shù)據(jù)安全保護(hù)方法�,所述方法還包括����,用戶每創(chuàng)建一個(gè)文件的同時(shí)也為該文件產(chǎn)生一個(gè)文件密鑰。8.根據(jù)權(quán)利要求5所述的云盤文件數(shù)據(jù)安全保護(hù)方法�����,所述方法還包括����,云盤系統(tǒng)為每個(gè)用戶產(chǎn)生公私鑰對(duì)應(yīng)的用戶證書,用作用戶登錄云盤系統(tǒng)進(jìn)行認(rèn)證����。9.根據(jù)權(quán)利要求5所述的云盤文件數(shù)據(jù)安全保護(hù)方法,所述方法還包括��,用戶采用USBKEY便攜介質(zhì)自身保存用戶證書�。
【專利摘要】本發(fā)明提供了一種云盤文件數(shù)據(jù)安全保護(hù)方法�����。該方法采用對(duì)稱密鑰算法產(chǎn)生文件密鑰,對(duì)文件明文數(shù)據(jù)使用文件密鑰加密保護(hù)�;采用非對(duì)稱算法產(chǎn)生用戶公私鑰,對(duì)文件密鑰使用用戶公鑰加密保護(hù)���。在計(jì)算性能和用戶安全應(yīng)用方面做了很好的均衡�����,將文件數(shù)據(jù)的最終訪問權(quán)掌握在用戶手中���,避免了斯諾登事件。
【IPC分類】H04L29/06, H04L9/32
【公開號(hào)】CN105187456
【申請(qǐng)?zhí)枴緾N201510704616
【發(fā)明人】何文森, 李雪兵, 李凱
【申請(qǐng)人】成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司
【公開日】2015年12月23日
【申請(qǐng)日】2015年10月27日