CN104283868A - 面向物联网和云计算安全存储分布式文件系统的加密方法 - Google Patents
面向物联网和云计算安全存储分布式文件系统的加密方法 Download PDFInfo
- Publication number
- CN104283868A CN104283868A CN201410457739.5A CN201410457739A CN104283868A CN 104283868 A CN104283868 A CN 104283868A CN 201410457739 A CN201410457739 A CN 201410457739A CN 104283868 A CN104283868 A CN 104283868A
- Authority
- CN
- China
- Prior art keywords
- key
- file
- user
- distributed
- internet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
一种面向物联网和云计算安全存储分布式文件系统的加密方法,首先在面向物联网和云计算安全存储分布式文件系统中设置分布式加密文件系统,所述的分布式加密文件系统中带有两种类型的密钥,所述的两种类型的密钥分别为文件密钥和用户密钥,所述的文件密钥用来对文件数据进行加密,而用户密钥用来进行认证以及对文件密钥加密,分布式加密文件系统为每个文件随机生成不同的文件密钥,并通过用户密钥对文件密钥进行加密,并且每一个数据块根据其所在位置使用各自独立而有差别的初始向量。这样就有效地避免了现有技术的没有一种通用的密钥管理机制可以适合分布式文件系统的各类应用环境因此扩展性非常差的缺陷。
Description
技术领域
本发明属于分布式文件系统技术领域,具体涉及一种面向物联网和云计算安全存储分布式文件系统的加密方法。
背景技术
现在目前没有一种通用的密钥管理机制可以适合分布式文件系统的各类应用环境,因此扩展性非常差。
发明内容
本发明的目的提供一种面向物联网和云计算安全存储分布式文件系统的加密方法,首先在面向物联网和云计算安全存储分布式文件系统中设置分布式加密文件系统,所述的分布式加密文件系统中带有两种类型的密钥,所述的两种类型的密钥分别为文件密钥和用户密钥,所述的文件密钥用来对文件数据进行加密,而用户密钥用来进行认证以及对文件密钥加密,分布式加密文件系统为每个文件随机生成不同的文件密钥,并通过用户密钥对文件密钥进行加密,并且每一个数据块根据其所在位置使用各自独立而有差别的初始向量。这样就有效地避免了现有技术的没有一种通用的密钥管理机制可以适合分布式文件系统的各类应用环境因此扩展性非常差的缺陷。
为了克服现有技术中的不足,本发明提供了一种面向物联网和云计算安全存储分布式文件系统的加密方法的解决方案,具体如下:
一种面向物联网和云计算安全存储分布式文件系统的加密方法,首先在面向物联网和云计算安全存储分布式文件系统中设置分布式加密文件系统,所述的分布式加密文件系统中带有两种类型的密钥,所述的两种类型的密钥分别为文件密钥和用户密钥,所述的文件密钥用来对文件数据进行加密,而用户密钥用来进行认证以及对文件密钥加密,分布式加密文件系统为每个文件随机生成不同的文件密钥,并通过用户密钥对文件密钥进行加密,并且每一个数据块根据其所在位置使用各自独立而有差别的初始向量。
所述的分布式加密文件系统能够支持包括口令、密钥文件、公私钥对文件或者智能卡这样的用户密钥。
所述的分布式加密文件系统代理给一个用户密钥管理模块,该密钥管理模块模块的作用是维护用户的各类密钥,并提供文件密钥的加解密接口,当用户打开一个加密文件时,密钥管理模块首先得到加密后的文件密钥,然后与用户的密钥管理模块通讯,获得解密后的文件密钥。
所述的密钥管理模块为每个用户维护一个密钥环,密钥环中包含一个用户各种类型的密钥,用户能够在密钥环存放若干个若干形式的密钥。
所述的密钥管理模块为每个用户维护一个活动密钥,当该用户新建一个加密文件时,分布式加密文件系统就使用该密钥对文件密钥进行加密。
当用户打开一个加密文件时,所述的分布式加密文件系统还将请求该模块选择合适的用户密钥对文件密钥进行解密,若没有密钥能成功解密则返回验证失败信息。
所述的分布式加密文件系统通过保存数据的HMA来提供完整性检查,并且只有密钥的持有者才能够计算和验证HMAC,通过计算文件数据的HMAC,若文件被非法修改,文件创建者重新计算HMAC就能够发现完整性被破坏。
所述的完整性检查能够在两个阶段进行,所述的两个阶段分别为文件打开阶段和数据读取阶段。
所述的分布式加密文件系统同时支持在打开阶段和读取阶段进行完整性检查,其中在打开阶段的检查是能够选择的,用户能够自己决定是否开启完整性检查。
分布式加密文件系统中的每个文件对应如下元数据:
加密算法类型、加密后的文件密钥、各个数据块的HMAC、版本号和其它标志信息。
所述的分布式加密文件系统采用的格式如下:在文件数据块之间插入专门的块来存放后面块对应的HMAC。
本发明提出的分布式加密文件系统最终实现的方法将具有以下优点:
(1)提供多种加密算法及加密强度的选择。能根据数据安全级的许用户在一组加密算法中选择,甚至可以对同一加密算法的不同进行选择;
(2)加密策略应该能抵御高强度的攻击;
(3)提供文件的完整性检查;
(4)提供灵活安全的密钥管理机制;
(5)支持加密文件共享;
(6)兼顾系统的性能以及易用性。
具体实施方式
本发明的面向物联网和云计算安全存储分布式文件系统的加密方法,首先在面向物联网和云计算安全存储分布式文件系统中设置分布式加密文件系统,所述的分布式加密文件系统中带有两种类型的密钥,所述的两种类型的密钥分别为文件密钥和用户密钥,所述的文件密钥用来对文件数据进行加密,而用户密钥用来进行认证以及对文件密钥加密,为了增强安全性,分布式加密文件系统不直接使用用户密钥对文件数据进行加密,而是分布式加密文件系统为每个文件随机生成不同的文件密钥,并通过用户密钥对文件密钥进行加密,并且每一个数据块根据其所在位置使用各自独立而有差别的初始向量,这样内容相同而位置不同的数据块,在加密之后也将不再相同。
所述的分布式加密文件系统能够支持包括口令、密钥文件、公私钥对文件或者智能卡这样的用户密钥。
为了降低系统耦合度并增强可扩展性,分布式加密文件系统不直接管理用户密钥,而是分布式加密文件系统代理给一个用户密钥管理模块,该密钥管理模块模块的作用是维护用户的各类密钥,并提供文件密钥的加解密接口,当用户打开一个加密文件时,密钥管理模块首先得到加密后的文件密钥,然后与用户的密钥管理模块通讯,获得解密后的文件密钥。通过这种方式,不同用户密钥类型的差异被隐藏了,分布式加密文件系统不需要关心每种类型的文件密钥加解密过程的具体实现,而且不需要修改分布式加密文件系统就可以增加对用户密钥新类型的支持。
目前没有一种通用的密钥管理机制可以适合分布式文件系统的各类应用环境。分布式加密文件系统不强制用户使用一种特定的密钥类型,而是通过用户的密钥管理模块提供可扩展性,该模块的主要功能如下:
所述的密钥管理模块为每个用户维护一个密钥环,密钥环中包含一个用户各种类型的密钥,用户能够在密钥环存放若干个若干形式的密钥,这增强了系统的易用性,用户不再需要频繁切换密钥来访问不同的文件。
所述的密钥管理模块为每个用户维护一个活动密钥,当该用户新建一个加密文件时,分布式加密文件系统就使用该密钥对文件密钥进行加密。
当用户打开一个加密文件时,所述的分布式加密文件系统还将请求该模块选择合适的用户密钥对文件密钥进行解密,若没有密钥能成功解密则返回验证失败信息。
通过实现该模块定义的接口规范,即可以加入新的用户密钥类型支持,具体来说需要:设计加密文件元数据中文件密钥区的格式;实现用户密钥对文件密钥区的加解密(包括判断用户是否有授权)。
在分布式文件系统中,存放在服务器上的文件可能会被攻击者破坏,或者在传输过程中被篡改。为解决此问题,所述的分布式加密文件系统通过保存数据的HMAC,HMAC是由一个安全的hash函数结合一个密钥计算出的消息验证码,来提供完整性检查,并且只有密钥的持有者才能够计算和验证HMAC,通过计算文件数据的HMAC,若文件被非法修改,由于攻击者不可能计算出修改后文件正确的HMAC,文件创建者重新计算HMAC就能够发现完整性被破坏。
所述的完整性检查能够在两个阶段进行,所述的两个阶段分别为文件打开阶段和数据读取阶段。
为了帮助用户在易用性和安全性之间找到平衡点,所述的分布式加密文件系统同时支持在打开阶段和读取阶段进行完整性检查,其中在打开阶段的检查是能够选择的,用户能够自己决定是否开启完整性检查。由于每个数据块的HMAC都会被记录,所有没有必要再维护文件整体的HMAC,在文件打开时做完整性检查只需要检查所有数据块的HMAC。
分布式加密文件系统中的每个文件对应如下元数据:
加密算法类型、加密后的文件密钥、各个数据块的HMAC、版本号和其它标志信息。
所述的分布式加密文件系统采用的格式如下:在文件数据块之间插入专门的块来存放后面块对应的HMAC。如果块大小为4KB(大部分32位系统的页大小),采用128位的HMAC,那么一个块可以存放256条HMAC,假设一个文件有512个数据块,则它需要2个数据块来存放HMAC,第一数据块为文件头,第二数据块中存放块2到块257的HMAC,而块258中则存放了之后256个块的HMAC。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容做出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质,在本发明的精神和原则之内,对以上实施例所作的任何简单的修改、等同替换与改进等,均仍属于本发明技术方案的保护范围之内。
Claims (8)
1.一种面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于首先在面向物联网和云计算安全存储分布式文件系统中设置分布式加密文件系统,所述的分布式加密文件系统中带有两种类型的密钥,所述的两种类型的密钥分别为文件密钥和用户密钥,所述的文件密钥用来对文件数据进行加密,而用户密钥用来进行认证以及对文件密钥加密,分布式加密文件系统为每个文件随机生成不同的文件密钥,并通过用户密钥对文件密钥进行加密,并且每一个数据块根据其所在位置使用各自独立而有差别的初始向量。
2.根据权利要求1所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于所述的分布式加密文件系统能够支持包括口令、密钥文件、公私钥对文件或者智能卡这样的用户密钥。
3.根据权利要求1所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于所述的分布式加密文件系统代理给一个用户密钥管理模块,该密钥管理模块模块的作用是维护用户的各类密钥,并提供文件密钥的加解密接口,当用户打开一个加密文件时,密钥管理模块首先得到加密后的文件密钥,然后与用户的密钥管理模块通讯,获得解密后的文件密钥。
4.根据权利要求3所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于所述的密钥管理模块为每个用户维护一个密钥环,密钥环中包含一个用户各种类型的密钥,用户能够在密钥环存放若干个若干形式的密钥。
5.根据权利要求3所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于所述的密钥管理模块为每个用户维护一个活动密钥,当该用户新建一个加密文件时,分布式加密文件系统就使用该密钥对文件密钥进行加密。
6.根据权利要求1所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于当用户打开一个加密文件时,所述的分布式加密文件系统还将请求该模块选择合适的用户密钥对文件密钥进行解密,若没有密钥能成功解密则返回验证失败信息。
7.根据权利要求1所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于所述的分布式加密文件系统通过保存数据的HMA来提供完整性检查,并且只有密钥的持有者才能够计算和验证HMAC,通过计算文件数据的HMAC,若文件被非法修改,文件创建者重新计算HMAC就能够发现完整性被破坏。
8.根据权利要求7所述的面向物联网和云计算安全存储分布式文件系统的加密方法,其特征在于完整性检查能够在两个阶段进行,所述的两个阶段分别为文件打开阶段和数据读取阶段;所述的分布式加密文件系统同时支持在打开阶段和读取阶段进行完整性检查,其中在打开阶段的检查是能够选择的,用户能够自己决定是否开启完整性检查;分布式加密文件系统中的每个文件对应如下元数据:加密算法类型、加密后的文件密钥、各个数据块的HMAC、版本号和其它标志信息;所述的分布式加密文件系统采用的格式如下:在文件数据块之间插入专门的块来存放后面块对应的HMAC。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410457739.5A CN104283868A (zh) | 2014-09-11 | 2014-09-11 | 面向物联网和云计算安全存储分布式文件系统的加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410457739.5A CN104283868A (zh) | 2014-09-11 | 2014-09-11 | 面向物联网和云计算安全存储分布式文件系统的加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104283868A true CN104283868A (zh) | 2015-01-14 |
Family
ID=52258352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410457739.5A Pending CN104283868A (zh) | 2014-09-11 | 2014-09-11 | 面向物联网和云计算安全存储分布式文件系统的加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104283868A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107426223A (zh) * | 2017-08-01 | 2017-12-01 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理系统 |
| CN108900869A (zh) * | 2018-05-04 | 2018-11-27 | 烽火通信科技股份有限公司 | 一种通信组信息加解密方法及系统 |
| CN111132150A (zh) * | 2019-12-31 | 2020-05-08 | 中科曙光国际信息产业有限公司 | 一种保护数据的方法、装置、存储介质和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170440A (zh) * | 2011-03-24 | 2011-08-31 | 北京大学 | 适用于存储云间数据安全迁移的方法 |
| CN102739689A (zh) * | 2012-07-16 | 2012-10-17 | 四川师范大学 | 一种用于云存储系统的文件数据传输装置和方法 |
| CN103209202A (zh) * | 2012-01-16 | 2013-07-17 | 联想(北京)有限公司 | 用于传输数据的方法和设备 |
-
2014
- 2014-09-11 CN CN201410457739.5A patent/CN104283868A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170440A (zh) * | 2011-03-24 | 2011-08-31 | 北京大学 | 适用于存储云间数据安全迁移的方法 |
| CN103209202A (zh) * | 2012-01-16 | 2013-07-17 | 联想(北京)有限公司 | 用于传输数据的方法和设备 |
| CN102739689A (zh) * | 2012-07-16 | 2012-10-17 | 四川师范大学 | 一种用于云存储系统的文件数据传输装置和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张子鹏: "分布式安全文件系统关键技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107426223A (zh) * | 2017-08-01 | 2017-12-01 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理系统 |
| CN107426223B (zh) * | 2017-08-01 | 2020-06-05 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理系统 |
| CN108900869A (zh) * | 2018-05-04 | 2018-11-27 | 烽火通信科技股份有限公司 | 一种通信组信息加解密方法及系统 |
| CN108900869B (zh) * | 2018-05-04 | 2021-02-02 | 烽火通信科技股份有限公司 | 一种通信组信息加解密方法及系统 |
| CN111132150A (zh) * | 2019-12-31 | 2020-05-08 | 中科曙光国际信息产业有限公司 | 一种保护数据的方法、装置、存储介质和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111130757B (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
| CN100561916C (zh) | 一种更新认证密钥的方法和系统 | |
| CN105681031B (zh) | 一种存储加密网关密钥管理系统及方法 | |
| CN111095256A (zh) | 在可信执行环境中安全地执行智能合约操作 | |
| CN111245597A (zh) | 密钥管理方法、系统及设备 | |
| CN105100076A (zh) | 一种基于USB Key的云数据安全系统 | |
| Yan et al. | A scheme to manage encrypted data storage with deduplication in cloud | |
| WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
| CN106254342A (zh) | Android平台下支持文件加密的安全云存储方法 | |
| KR101285281B1 (ko) | 자가조직 저장매체의 보안 시스템 및 그 방법 | |
| CA3065767C (en) | Cryptographic key generation for logically sharded data stores | |
| US20120213370A1 (en) | Secure management and personalization of unique code signing keys | |
| CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
| BE1024812A1 (nl) | Een beveilingingsbenadering voor de opslag van credentials voor offline gebruik en tegen kopiëren beveiligde kluisinhoud in apparaten | |
| CN103607273A (zh) | 一种基于时间期限控制的数据文件加解密方法 | |
| CN104283868A (zh) | 面向物联网和云计算安全存储分布式文件系统的加密方法 | |
| CN105871858A (zh) | 一种保证数据安全的方法及系统 | |
| CN116210199A (zh) | 分布式计算系统中的数据管理和加密 | |
| Hussien et al. | Scheme for ensuring data security on cloud data storage in a semi-trusted third party auditor | |
| CN113722749A (zh) | 基于加密算法的区块链baas服务的数据处理方法及装置 | |
| CN108494552B (zh) | 支持高效收敛密钥管理的云存储数据去重方法 | |
| Jabbar et al. | Design and implementation of hybrid EC-RSA security algorithm based on TPA for cloud storage | |
| CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 | |
| TWI430643B (zh) | Secure key recovery system and method | |
| KR102475434B1 (ko) | 암호화폐 보안 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150114 |
|
| WD01 | Invention patent application deemed withdrawn after publication |