CN103746993A - 客户控制解密私钥且服务器实施加解密云存储数据加密法 - Google Patents
客户控制解密私钥且服务器实施加解密云存储数据加密法 Download PDFInfo
- Publication number
- CN103746993A CN103746993A CN201410005893.9A CN201410005893A CN103746993A CN 103746993 A CN103746993 A CN 103746993A CN 201410005893 A CN201410005893 A CN 201410005893A CN 103746993 A CN103746993 A CN 103746993A
- Authority
- CN
- China
- Prior art keywords
- encryption
- server
- decryption
- client
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims abstract description 29
- 230000007423 decrease Effects 0.000 claims description 2
- 238000005192 partition Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 abstract description 2
- 238000013500 data storage Methods 0.000 abstract description 2
- 230000007774 longterm Effects 0.000 abstract 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明是客户控制解密私钥且由服务器实施加解密的云存储数据加密方法,包括上载加密过程、密文存储过程、下载解密过程。在上载加密和下载解密短暂的过程中服务器上只有加解密进程可以接触到加密文件的一次性会话密钥,通过安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。在长期的密文存储过程中,服务器上没有任何能力可以解密客户的加密了的文件密文数据。优点:用户完全控制加解密的密钥,在文件数据存储期间服务端的任何用户都无法解密存储在云端的密文数据,服务端需要保证的唯一的安全服务功能是隔离数据加解密进程与其它进程,减少了服务端的安全管理的难度。
Description
技术领域
本发明涉及的是一种既能够保护客户数据隐私不被服务器端泄露又能免除客户端加解密繁重计算的客户控制解密私钥且服务器实施加解密云存储数据的加密方法,属于计算机应用技术领域。
技术背景
云存储为用户程序提供了既方便又廉价的数据存储服务,深受用户的喜欢。但是由于用户将自己的数据存储在了云端,用户数据的保密性成了云存储的关键因素。云服务的客户需要考虑的是自己的数据的保密性是否可以保证,云服务企业需要考虑是是否可以通过管理手段保证客户数据不会被非授权的访问。
发明内容
本发明提出的是一种给出了客户控制解密私钥且服务器实施加解密云存储数据的加密方法,服其目的是在一个客户与务器的交互协议,可使得云服务端提供文件存储服务具有以下安全特性:
1)数据的加解密计算服务由云服务端提供,客户上载的数据由服务器进行加密后存储,客户下载的数据由服务器解密后发送给用户;
2)客户的密文数据在服务器上的存储期间,服务端的没有任何能力可以获取客户数据的明文;
3)客户的解密的关键密钥由客户自己生成、自己保存控制;
4)客户端与服务端可以安全地传送一次性会话密钥;
5)没有客户的加密私钥的情况下无法解密存储在云端的密文数据。
本发明的技术解决方案:客户控制解密私钥且服务器实施加解密的云存储数据加密方法,包括如下步骤:
(1)上载加密
1)客户自己生成用于加解密的公私钥对:加密公钥和加密私钥;
2)客户在开始上载文件时上传自己的加密公钥;
3)服务器收到客户上载的文件时生成一次性会话密钥加密客户上载的文件数据;
4)服务器用客户的加密公钥加密自己生成的用以加密客户文件数据的一次性会话密钥;
5)服务器用一次性会话密钥加密客户上载的文件数据;
(2)密文存储
1)服务器将加密了的一次性会话密钥和加密了的文件数据合成一个文件存入存储文件的存储介质;
2)服务器丢弃一次性会话密钥;
(3)下载解密
1)客户向服务器提出在文件的请求;
2)服务器将要下载的文件中保存的加密了的一次性会话密钥发送个客户;
3)客户用自己的加密私钥解密加密了的一次性会话密钥得到一次性会话密钥的明文;
4)客户利用保密通道将一次性会话密钥发送给服务器;
5)服务器收到一次性会话密钥后,解密加密存储的文件,发送个客户。
本发明的优点:用户完全控制加解密的密钥,在文件数据存储期间服务端没有任何能力解密存储在云端的密文数据,服务端需要保证的唯一的安全服务功能是隔离数据加解密进程与其它进程,减少了服务端的安全管理的难度。
附图说明
附图1是上载加密与存贮流程示意图。
附图2是下载解密流程示意图。
具体实施方式
客户控制解密私钥且服务器实施加解密的云存储数据加密方法,包括如下步骤:
(1)上载加密(见附图1)
1)客户自己生成用于加解密的公私钥对:加密公钥和加密私钥;
2)客户在开始上载文件时上传自己的加密公钥;
3)服务器收到客户上载的文件时生成一次性会话密钥加密客户上载的文件数据;
4)服务器用客户的加密公钥加密自己生成的用以加密客户文件数据的一次性会话密钥;
5)服务器用一次性会话密钥加密客户上载的文件数据;
(2)密文存储
1)服务器将加密了的一次性会话密钥和加密了的文件数据合成一个文件存入存储文件的存储介质;
2)服务器丢弃一次性会话密钥;
(3)下载解密(见附图2)
1)客户向服务器提出在文件的请求;
2)服务器将要下载的文件中保存的加密了的一次性会话密钥发送个客户;
3)客户用自己的加密私钥解密加密了的一次性会话密钥得到一次性会话密钥的明文;
4)客户利用保密通道将一次性会话密钥发送给服务器;
5)服务器收到一次性会话密钥后,解密加密存储的文件,发送个客户。
所述的存储在服务器中的加密文件,包括加密了的一次性会话密钥和用一次性会话密钥加密了的密文文件数据;在文件存储期间服务器没有任何办法解密加密存储的文件。
所述的服务器中的文件加解密进程在文件加密或解密的瞬间能获得一次性会话密钥;利用安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。
所述的加密数据、解密数据的工作在服务器上进行,解决在移动终端上加密数据、解密数据造成性能下降的问题,同时服务器在文件存储期间没有任何办法解密加密存储的文件。
实施例
1)由客户端来生成用于加解密的公私钥对,加密公钥和加密私钥。用户自己可以将解密用加密私钥保存在最安全的地方,任何其他人无法获得。
2)客户在开始上载文件时可以明文上传自己的加密公钥,具有安全的密钥分发机制。
3)服务器收到客户上载的文件和加密公钥后,生成一次性会话密钥用以加密客户上载的文件数据;利用客户端上载的加密公钥加密会话密钥;将两部分密文数据保存在存储介质上;服务端处理加密的过程与其它进程完全隔离。
4)服务端在加密计算完成后及时丢弃一次性会话密钥,保证了在文件存储期间没有客户的加密私钥任何人无法解密存储在云端的密文数据。
5)在客户端提出下载文件时,服务器向客户端提交一次性会话密钥的密文,客户端收到后利用用户提供的加密私钥解密一次性会话密钥的密文,通过安全信道提交给服务端。
6)服务端控制处理解密的过程与其它进程完全隔离。
Claims (4)
1.客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是该方法包括如下步骤:
(1)上载加密
1)客户自己生成用于加解密的公私钥对:加密公钥和加密私钥;
2)客户在开始上载文件时上传自己的加密公钥;
3)服务器收到客户上载的文件时生成一次性会话密钥加密客户上载的文件数据;
4)服务器用客户的加密公钥加密自己生成的用以加密客户文件数据的一次性会话密钥;
5)服务器用一次性会话密钥加密客户上载的文件数据;
(2)密文存储
1)服务器将加密了的一次性会话密钥和加密了的文件数据合成一个文件存入存储文件的存储介质;
2)服务器丢弃一次性会话密钥;
(3)下载解密
1)客户向服务器提出在文件的请求;
2)服务器将客户要下载的文件中保存的加密了的一次性会话密钥发送个客户;
3)客户用自己的加密私钥解密加密了的一次性会话密钥得到一次性会话密钥的明文;
4)客户利用保密通道将一次性会话密钥发送给服务器;
5)服务器收到一次性会话密钥后,解密加密存储的文件,发送给客户。
2.根据权利要求1所述的客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是所述的存储在服务器中的加密文件,包括加密了的一次性会话密钥和用一次性会话密钥加密了的密文文件数据;在文件存储期间服务器没有任何办法解密加密存储的文件。
3.根据权利要求1所述的客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是所述的服务器中的文件加解密进程在文件加密或解密的瞬间能获得一次性会话密钥;利用安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。
4.根据权利要求1所述的客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是所述的加密数据、解密数据的工作在服务器上进行,解决了在移动终端上加密数据、解密数据造成性能下降的问题,同时服务器在文件存储期间没有任何办法解密加密存储的文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410005893.9A CN103746993A (zh) | 2014-01-07 | 2014-01-07 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410005893.9A CN103746993A (zh) | 2014-01-07 | 2014-01-07 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103746993A true CN103746993A (zh) | 2014-04-23 |
Family
ID=50503980
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410005893.9A Pending CN103746993A (zh) | 2014-01-07 | 2014-01-07 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103746993A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486083A (zh) * | 2014-12-19 | 2015-04-01 | 小米科技有限责任公司 | 监控录像处理方法及装置 |
| CN105187456A (zh) * | 2015-10-27 | 2015-12-23 | 成都卫士通信息产业股份有限公司 | 一种云盘文件数据安全保护方法 |
| CN105354500A (zh) * | 2015-10-13 | 2016-02-24 | 深圳市九鼎安华科技有限公司 | 文件加密方法及装置 |
| CN105592102A (zh) * | 2016-01-29 | 2016-05-18 | 华南理工大学 | 一种基于客户端公私钥加解密的云安全存储方法 |
| CN113411345A (zh) * | 2021-06-29 | 2021-09-17 | 中国农业银行股份有限公司 | 一种安全会话的方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101984626A (zh) * | 2010-11-11 | 2011-03-09 | 北京海泰方圆科技有限公司 | 文件安全交换方法及系统 |
| CN102098295A (zh) * | 2010-12-28 | 2011-06-15 | 上海华御信息技术有限公司 | SaaS应用下提高数据安全性的方法 |
| CN103457932A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种云计算环境数据安全存储方法和系统 |
-
2014
- 2014-01-07 CN CN201410005893.9A patent/CN103746993A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101984626A (zh) * | 2010-11-11 | 2011-03-09 | 北京海泰方圆科技有限公司 | 文件安全交换方法及系统 |
| CN102098295A (zh) * | 2010-12-28 | 2011-06-15 | 上海华御信息技术有限公司 | SaaS应用下提高数据安全性的方法 |
| CN103457932A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种云计算环境数据安全存储方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| ZHONGHAN CHENG等: "Design and Implementation of Data Encryptionin Cloud based on HDFS", 《INTERNATIONAL WORKSHOP ON CLOUD COMPUTING AND INFORMATION SECURITY》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486083A (zh) * | 2014-12-19 | 2015-04-01 | 小米科技有限责任公司 | 监控录像处理方法及装置 |
| US10193875B2 (en) | 2014-12-19 | 2019-01-29 | Xiaomi Inc. | Method and apparatus for controlling access to surveillance video |
| CN105354500A (zh) * | 2015-10-13 | 2016-02-24 | 深圳市九鼎安华科技有限公司 | 文件加密方法及装置 |
| CN105354500B (zh) * | 2015-10-13 | 2018-05-04 | 成都汇研科技有限公司 | 文件加密方法及装置 |
| CN105187456A (zh) * | 2015-10-27 | 2015-12-23 | 成都卫士通信息产业股份有限公司 | 一种云盘文件数据安全保护方法 |
| CN105592102A (zh) * | 2016-01-29 | 2016-05-18 | 华南理工大学 | 一种基于客户端公私钥加解密的云安全存储方法 |
| CN105592102B (zh) * | 2016-01-29 | 2018-07-20 | 华南理工大学 | 一种基于客户端公私钥加解密的云安全存储方法 |
| CN113411345A (zh) * | 2021-06-29 | 2021-09-17 | 中国农业银行股份有限公司 | 一种安全会话的方法和装置 |
| CN113411345B (zh) * | 2021-06-29 | 2023-10-10 | 中国农业银行股份有限公司 | 一种安全会话的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109151053B (zh) | 基于公共非对称密钥池的抗量子计算云存储方法和系统 | |
| CN109150519B (zh) | 基于公共密钥池的抗量子计算云存储安全控制方法和系统 | |
| IL261137A (en) | System and method for secure communication | |
| CN107749865B (zh) | 一种基于同态加密的位置隐私查询方法 | |
| CN103237040B (zh) | 一种存储方法、服务器和客户端 | |
| CN108989033B (zh) | 一种基于公共密钥池的云存储安全控制方法和系统 | |
| CN108985099B (zh) | 一种基于公共密钥池的代理云存储安全控制方法和系统 | |
| CN104253694B (zh) | 一种用于网络数据传输的保密方法 | |
| US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
| CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
| CN106790037B (zh) | 一种用户态加密的即时通讯方法与系统 | |
| CN103957109A (zh) | 一种云数据隐私保护安全重加密方法 | |
| CN102624522A (zh) | 一种基于文件属性的密钥加密方法 | |
| CN104270242B (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN105610789B (zh) | 一种适用于多人群聊即时通信的数据加密方法 | |
| CN104202158A (zh) | 一种基于云计算的数据对称和非对称混合加解密方法 | |
| CN105227566A (zh) | 密钥处理方法、密钥处理装置及密钥处理系统 | |
| CN103746993A (zh) | 客户控制解密私钥且服务器实施加解密云存储数据加密法 | |
| CN103607278A (zh) | 一种安全的数据云存储方法 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN104917723A (zh) | 用于实现加密文件安全共享的方法、装置和系统 | |
| CN103236934A (zh) | 一种云存储安全控制的方法 | |
| CN103634266A (zh) | 一种对服务器、终端双向认证的方法 | |
| CN104270380A (zh) | 基于移动网络和通信客户端的端到端加密方法和加密系统 | |
| CN109787747B (zh) | 基于多个非对称密钥池的抗量子计算多重加密云存储方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140423 |