CN113810430B - 一种用于保护云端数据隐私的接入认证方法和系统 - Google Patents
一种用于保护云端数据隐私的接入认证方法和系统 Download PDFInfo
- Publication number
- CN113810430B CN113810430B CN202111372529.2A CN202111372529A CN113810430B CN 113810430 B CN113810430 B CN 113810430B CN 202111372529 A CN202111372529 A CN 202111372529A CN 113810430 B CN113810430 B CN 113810430B
- Authority
- CN
- China
- Prior art keywords
- key
- user
- cloud
- firewall
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种用于保护云端数据隐私的接入认证方法和系统。本发明将一个密钥分成4个密钥进行保存,当使用密钥时再将这4个密钥合成一个密钥,保证任何一方想通过上帝手都无法获取最终的密钥。密钥的算法生成,密钥的拆分和合并,加上防火墙的有效认证过程,有效的防止上帝之手。
Description
技术领域
本申请涉及数据安全技术领域,具体涉及一种用于保护云端数据隐私的接入认证方法和系统。
背景技术
数据隐私性是指我的数据只有我自己可以看到,别人看不到。云端数据库就是把数据库放到了云端。现在有很多小型公司或个人会选择将自己的信息放到第三方运营商的云端数据库进行存储。方便,快捷,省心,省钱的同时衍生出了上帝之手。
云运营商的“上帝之手”,云端数据库的租户对数据库的可控性是很低的,而云运营商却具有对数据库的所有权限,这就对了云端数据库数据的隐私性提出了要求。为了确保云端数据库数据的隐私性,现有技术中采用了如下两种方式:
(1)云端运营商提供的访问数据的权限,如用户密码或者其它认证方式;
(2)与云端运营商无任何关系的第三方认证方式访问数据库。
然而,无论是云端运营商还是第三方认证都存在着“上帝之手”的问题,这也成为了亟需解决的技术问题。
发明内容
为了解决上述技术问题,本申请提供了一种用于保护云端数据隐私的接入认证方法和系统。在本发明的技术方案中,用户访问云端数据库需要进行防火墙的认证,打开防火墙认证这所大门的钥匙称为密钥。密钥的生成必须保证安全和唯一,生成密钥的基本原理是将一个密钥分成4个密钥进行保存,当使用密钥时再将这4个密钥合成一个密钥,保证任何一方想通过上帝手都无法获取最终的密钥,第一个密钥可通过随机数或用户指定的任何字符串通过算法生成一个唯密钥,除第一个密钥其它生成密钥的过程是有顺序的,且必须拿上一个密钥生成下一个密钥,为了确保数据的完整性和安全性,将生成的每个密钥放入区块链。
本申请所采用的技术方案如下:
一种用于保护云端数据隐私的接入认证方法,该认证接入方法包括如下步骤:
用户通过用户终端向防火墙发送访问云端数据库的接入请求,所述访问云端数据库的接入请求中包含有用户密钥;
防火墙从就收到的所述访问云端数据库的接入请求中提取出用户密钥,并将所述用户密钥转发至区块链中的云端认证中以获取云端认证密钥;
防火墙将所述用户密钥和所述云端认证密钥转发至区块链中的第三方认证以获取第三方认证密钥;
防火墙将所述用户密钥、所述云端认证密钥和所述第三方认证密钥转发至区块链中的组织系统,以获取组织系统密钥;
防火墙将所述用户密钥、所述云端认证密钥、所述第三方认证密钥以及所述组织系统密钥这4个密钥通过算法以生成唯一密钥;防火墙将唯一密钥返回给用户终端,由用户终端使用唯一密钥重新生成接入请求,访问云端数据库。
进一步的,所述用户密钥的生成方式如下:通过随机数据生成随机密钥,并将该随机密钥作为用户密钥放入区块链中。
进一步的,所述云端认证密钥的生成方式如下:使用用户密钥生成云端认证密钥,并将该云端认证密钥放入区块链中。
进一步的,所述第三方认证密钥的生成方式如下:使用用户密钥和云端认证密钥生成第三方认证密钥,并放入区块链中。
进一步的,所述组织系统密钥的生成方式如下:使用用户密钥和云端认证密钥和第三方认证密钥生成组织系统密钥,并放入区块链中。
进一步的,所述生成随机密钥,具体包括:使用伪随机数生成器生成出质数,通过RSA算法生成密钥。
进一步的,用户密钥、云端认证密钥、第三方认证密钥、组织系统密钥,这4种密钥长度为2048个字符,将密钥拆分,分成a、b、c、d这4个片段,每个片段的长度为512个字符。
进一步的,密钥拆分后,拆分后的密钥由标识、顺序、所述拆分后的密钥的片段这3个部分组成。
进一步的,根据用户提供的唯一标识通过base64加密,将加密后的字符串进行篡改以生成所述标识;将密钥拆分为4个片段后,生成顺序码,用于将拆分后的密钥进行整合;拆分后的a、b、c、d四个片段的标识是相同的。
一种用于实现上述方法的认证系统,该系统包括用户终端、防火墙、云端数据库,用户终端与防火墙相连接以接入区块链网络并访问云端数据库,用户通过用户终端并使用用户秘钥与防火墙进行数据交互,防火墙分别使用云端认证秘钥、第三方认证秘钥、组织系统秘钥接入云端数据库。
通过本申请实施例,可以获得如下技术效果:密钥的算法生成,密钥的拆分和合并,加上防火墙的有效认证过程,有效的防止上帝之手。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的应用场景示意图;
图2为密钥的生成流程示意图;
图3为认证过程的流程示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
图1为本发明的应用场景示意图。在该应用场景中包括有用户终端(该图中示为用户)、防火墙、云端数据库,用户终端访问防火墙,防火墙访问区块链,用户终端访问云端数据库,用户通过用户终端并使用用户秘钥与防火墙进行数据交互,防火墙使用多个秘钥(云端认证秘钥、第三方认证秘钥、组织系统秘钥)接入云端数据库。
图2为密钥的生成流程示意图,密钥的生成的方法包括如下步骤:
步骤101、通过随机数据加算法生成随机密钥,并将该随机秘钥作为用户密钥放入区块链中;
其中,所述生成随机密钥,具体包括:使用伪随机数生成器生成出质数,通过RSA算法生成密钥;
步骤102、使用用户密钥加算法生成云端认证密钥,并将该云端认证密钥放入区块链中;
步骤103、使用用户密钥和云端认证密钥加算法生成第三方认证密钥,并放入区块链中;
步骤104、使用用户密钥和云端认证密钥和第三方认证密钥生成组织系统密钥,并放入区块链中。
用户密钥、云端认证密钥、第三方认证密钥、组织系统密钥,这四种密钥长度为2048个字符,将密钥拆分,分成a、b、c、d四个片段,每个片段的长度为512个字符;
a:标识+顺序1+拆分后的密钥1;
b:标识+顺序2+拆分后的密钥2;
c:标识+顺序3+拆分后的密钥3;
d:标识+顺序4+拆分后的密钥4;
密钥拆分后,拆分后的密钥由标识、顺序、所述拆分后的密钥的片段这3个部分组成;
其中,根据用户提供的唯一标识通过base64加密,将加密后的字符串进行篡改以生成所述标识;将密钥拆分为4个片段后,生成顺序码,用于将拆分后的密钥进行整合;拆分后的a、b、c、d四个片段的标识是相同的。
云端认证秘钥、第三方认证秘钥、组织系统秘钥分别保存在3个不同种类的私有云中,例如云端认证、阿里云、百度云以及组织私有云,用户自己也可以保留一份以备后续使用。
拆分成4份并不是固定的,用户可选择拆分成更多或更少份,拆分的份数越多,保密性就越高;拆分的越多,分开保存在不同的私有云上,安全性就越高。
在进行密钥使用时,将获取的拆分后的密钥合并成原始密钥,这个过程。在此是举例将其保存在防火墙上面,用户将自己保留的那份密钥传给防火墙,防火墙从各私有云中获取剩余的密钥,然后将这些密钥还原成原始密钥。在其他应用场景中保存密钥的可能是其他的网络设备,例如云端认证、阿里云、百度云以及组织私有云。
图3为认证过程的流程示意图,认证过程的方法包括如下步骤:
注:A代表用户,B代表云端认证,C代表第三方认证,D代表组织系统
步骤201、用户通过用户终端向防火墙发送访问云端数据库的接入请求,所述访问云端数据库的接入请求中包含有用户密钥;
步骤202、防火墙从就收到的所述访问云端数据库的接入请求中提取出用户密钥,并将所述用户密钥转发至区块链中的云端认证中以获取云端认证密钥;
步骤203、防火墙将所述用户密钥和所述云端认证密钥转发至区块链中的第三方认证以获取第三方认证密钥;
步骤204、防火墙将所述用户密钥、所述云端认证密钥和所述第三方认证密钥转发至区块链中的组织系统,以获取组织系统密钥;
步骤205、防火墙将所述用户密钥、所述云端认证密钥、所述第三方认证密钥以及所述组织系统密钥这4个密钥通过算法以生成唯一密钥;
步骤206、通过唯一密钥去访问云端数据库,用户获取云端数据库明文数据需要密钥,防火墙负责获取最终密钥,即防火墙将唯一密钥返回给用户终端,由用户终端使用唯一密钥重新生成接入请求,访问云端数据库;
以上详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。
Claims (6)
1.一种用于保护云端数据隐私的接入认证方法,其特征在于,该认证接入方法包括如下步骤:用户通过用户终端向防火墙发送访问云端数据库的接入请求,所述访问云端数据库的接入请求中包含有用户密钥;防火墙从就收到的所述访问云端数据库的接入请求中提取出用户密钥,并将所述用户密钥转发至区块链中的云端认证中以获取云端认证密钥;防火墙将所述用户密钥和所述云端认证密钥转发至区块链中的第三方认证以获取第三方认证密钥;防火墙将所述用户密钥、所述云端认证密钥和所述第三方认证密钥转发至区块链中的组织系统,以获取组织系统密钥;防火墙将所述用户密钥、所述云端认证密钥、所述第三方认证密钥以及所述组织系统密钥这4个密钥通过算法以生成唯一密钥;防火墙将唯一密钥返回给用户终端,由用户终端使用唯一密钥重新生成接入请求,访问云端数据库;
所述用户密钥的生成方式如下:通过随机数据生成随机密钥,并将该随机密钥作为用户密钥放入区块链中;
所述第三方认证密钥的生成方式如下:使用用户密钥和云端认证密钥生成第三方认证密钥,并放入区块链中;
所述组织系统密钥的生成方式如下:使用用户密钥和云端认证密钥和第三方认证密钥生成组织系统密钥,并放入区块链中;
所述生成随机密钥,具体包括:使用伪随机数生成器生成出质数,通过RSA算法生成密钥。
2.根据权利要求1所述的方法,其特征在于,所述云端认证密钥的生成方式如下:使用用户密钥生成云端认证密钥,并将该云端认证密钥放入区块链中。
3.根据权利要求1所述的方法,其特征在于,用户密钥、云端认证密钥、第三方认证密钥、组织系统密钥,这4种密钥长度为2048个字符,将密钥拆分,分成a、b、c、d这4个片段,每个片段的长度为512个字符。
4.根据权利要求3所述的方法,其特征在于,密钥拆分后,拆分后的密钥由标识、顺序、所述拆分后的密钥的片段这3个部分组成,其中,片段a:标识+顺序1+拆分后的密钥1;片段b:标识+顺序2+拆分后的密钥2;片段c:标识+顺序3+拆分后的密钥3;片段d:标识+顺序4+拆分后的密钥4。
5.根据权利要求3或4所述的方法,其特征在于,根据用户提供的唯一标识通过base64加密,将加密后的字符串进行篡改以生成所述标识;将密钥拆分为4个片段后,生成顺序码,用于将拆分后的密钥进行整合;拆分后的a、b、c、d四个片段的标识是相同的。
6.一种用于实现如权利要求1至5中任一项所述方法的认证系统,其特征在于,该系统包括用户终端、防火墙、云端数据库,用户终端与防火墙相连接以接入区块链网络并访问云端数据库,用户通过用户终端并使用用户秘钥与防火墙进行数据交互,防火墙分别使用云端认证秘钥、第三方认证秘钥、组织系统秘钥接入云端数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111372529.2A CN113810430B (zh) | 2021-11-19 | 2021-11-19 | 一种用于保护云端数据隐私的接入认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111372529.2A CN113810430B (zh) | 2021-11-19 | 2021-11-19 | 一种用于保护云端数据隐私的接入认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113810430A CN113810430A (zh) | 2021-12-17 |
| CN113810430B true CN113810430B (zh) | 2022-02-11 |
Family
ID=78938394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111372529.2A Active CN113810430B (zh) | 2021-11-19 | 2021-11-19 | 一种用于保护云端数据隐私的接入认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810430B (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3063919B1 (en) * | 2013-10-28 | 2017-08-09 | SEPIOR ApS | A system and a method for management of confidential data |
| US9967088B2 (en) * | 2016-05-23 | 2018-05-08 | Accenture Global Solutions Limited | Rewritable blockchain |
| CN112199649B (zh) * | 2020-09-28 | 2021-06-18 | 扬州大学 | 基于区块链的移动边缘计算下的匿名身份验证方法 |
-
2021
- 2021-11-19 CN CN202111372529.2A patent/CN113810430B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113810430A (zh) | 2021-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106548345B (zh) | 基于密钥分割实现区块链私钥保护的方法及系统 | |
| CN109902494A (zh) | 数据加密存储方法、装置,以及文件存储系统 | |
| CN110932851B (zh) | 一种基于pki的多方协同运算的密钥保护方法 | |
| CN109151053A (zh) | 基于公共非对称密钥池的抗量子计算云存储方法和系统 | |
| US8959357B2 (en) | Biometric encryption and key generation | |
| CN109150519A (zh) | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 | |
| CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
| CN105262843A (zh) | 一种针对云存储环境的数据防泄漏保护方法 | |
| CN109286490A (zh) | 支持密态数据去重和完整性验证方法及系统 | |
| CN104184743A (zh) | 面向云计算平台的三层认证系统及认证方法 | |
| KR20070086656A (ko) | 생체측정 데이터 및 비밀 추출 코드를 사용하는 키생성 | |
| CN107171796A (zh) | 一种多kmc密钥恢复方法 | |
| KR102011043B1 (ko) | 양자 키 분배 기반 디지털 서명 방법 및 이를 수행하는 시스템 | |
| CN105024812B (zh) | 云存储中基于身份的指定测试者的可搜索的加密方法 | |
| CN114157415A (zh) | 数据处理方法、计算节点、系统、计算机设备和存储介质 | |
| CN106789032A (zh) | 服务器与移动设备间秘密共享的单一口令三方认证方法 | |
| KR102298266B1 (ko) | 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템 | |
| CN115603907A (zh) | 加密存储数据的方法、装置、设备和存储介质 | |
| US10699021B2 (en) | Method and a device for secure storage of at least one element of digital information, and system comprising such device | |
| Reddy et al. | Enhanced key establishment technique for secure data access in cloud | |
| CN108737383A (zh) | 一种可混淆的匿名认证方法 | |
| Rukavitsyn et al. | The method of ensuring confidentiality and integrity data in cloud computing | |
| CN113810430B (zh) | 一种用于保护云端数据隐私的接入认证方法和系统 | |
| CN109687960A (zh) | 基于多个公共非对称密钥池的抗量子计算代理云存储方法和系统 | |
| CN115442037A (zh) | 一种账号管理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |