CN107453880B - 一种云数据安全存储方法和系统 - Google Patents
一种云数据安全存储方法和系统 Download PDFInfo
- Publication number
- CN107453880B CN107453880B CN201710751006.6A CN201710751006A CN107453880B CN 107453880 B CN107453880 B CN 107453880B CN 201710751006 A CN201710751006 A CN 201710751006A CN 107453880 B CN107453880 B CN 107453880B
- Authority
- CN
- China
- Prior art keywords
- user
- key
- data
- stored
- pin code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本发明提供了一种新的云数据安全存储方法和系统,不仅能够防止数据信息的恶意泄露,更能够提供用户个人的数据安全保护,防止服务器端或服务提供商对个人数据信息的非授权访问。本发明根据用户输入的身份认证的口令以及系统存储的校验信息,共同生成加解密用的对称密钥,用于保护系统存储的数据。用户的身份认证口令以及个人数据均以密文方式保存在云端,有效地保护了个人隐私和信息安全。
Description
技术领域
本发明涉及云数据安全存储方法和系统。
背景技术
随着云服务技术的发展,越来越多的用户选择将自己的数据存储在云端服务器上,虽然已有的各种私有云、公有云或混合云的数据隔离技术能够将不同用户的数据隔离开来,但就单个用户而言,如何保证自己的数据安全甚至个人隐私需要一个完整的安全解决方案。很多数据信息涉及个人隐私和安全,虽然商家通常承诺保证用户信息的安全,对单独用户来说,信息的存储和查阅主动权都在服务端,若个人信息被浏览、下载、以致公开都完全不由个人所控制,因此,存在一定的隐患。本申请通过对用户数据的加密存储、用户设置安全码认证实现了对个人数据信息的完全保护,使得服务器端无法获取个人信息的真实内容,极大提高了信息的安全度。
一般用户的口令的存储会用SHA256或SM3等杂凑算法处理后,存储相关的杂凑值,为了防止攻击者撞库或系统操作人员查看,还会进一步的采用加盐等方式保证口令数据的存储及使用安全。
另一方面,传统的SM4、DES、AES等对称数据加密算法以及SM2、RSA等非对称加密算法在工作时都需要密钥。将用户口令加盐后杂凑得到的值作为杂凑值,结合用户口令一起形成密钥,用于用户云端数据的安全存储,可以有效保护用户的数据及隐私安全。
基于国家提倡的安全自主可控理念,我们采用国产化算法,包括公钥算法SM2、杂凑算法SM3及对称加密算法SM4。在实际应用中,为了与已有系统对接,或密码服务资源限制,可以适当的对等采用RSA或ECC公钥算法、SHA256或SHA3杂凑算法以及DES、AES等对称算法。
发明内容
为解决上述技术问题,本发明提供了一种新的云数据安全保护方案,不仅能够防止数据信息的恶意泄露,更能够提供用户个人的数据安全保护,防止服务器端或服务提供商对个人数据信息的非授权访问。本发明根据用户输入的身份认证的口令以及系统存储的校验信息,共同生成加解密用的对称密钥,用于保护系统存储的数据。用户的身份认证口令以及个人数据均以密文方式保存在云端,有效地保护了个人隐私和信息安全。
一种云数据安全存储方法,其特征在于包括以下步骤:
用户在注册时,设置特定的用户登录口令PIN码作为登录密码,服务器端在保存用户信息时,将该PIN码通过加密方式保存为PIN码的密文,服务器采用杂凑算法对PIN码进行加密,在保存用户信息时,只记录PIN码的杂凑值:
SerPIN=HASH(PIN||ID||TIME)
其中ID为用户ID,具有唯一标识性,TIME为用户的注册时间,
用户注册完成后,在登录过程中,需输入用户设置的PIN码,服务器端将根据存储的已加密的SerPIN码和用户输入的PIN码生成加解密密钥KEY;KEY=HASH(PIN||SerPIN),
用户在登录服务器后,产生数据E需保存、或将本地的数据E上传至系统中时,在上传的过程中,服务器将以KEY为密钥对数据E进行加密,实际以密文C进行存储:C=ENC(E),C只有以KEY为密钥才能解密。
当用户需要使用系统中的数据、或从系统中下载数据时,需要首先输入PIN码进行身份验证,服务器将首先验证PIN码的合法性,确认是否与存储的SerPIN一致,如果一致,则身份验证成功,进一步计算解密密钥KEY,如果不一致,身份验证失败。
当用户身份验证通过后,服务器根据存储的SerPIN码和用户的PIN码生成加解密密钥KEY=HASH(PIN||SerPIN),用户读取数据时,系统在读取相应的密文C的同时做解密操作:E=DEC(C),并将解密后的明文E发送给用户,用户得到真正的数据信息。
当用户更新PIN1码时,系统需要用户输入原PIN,系统计算SerPIN1=HASH(PIN1||ID||TIME)以及KEY1=HASH(PIN1||SerPIN1),系统将数据用KEY=KEY=HASH(PIN||SerPIN)解密C后,用KEY1重新加密,得到密文C1。
基于密钥管理和计算复杂度,上述加密算法均可采用对称加密算法。
一种云数据安全存储系统,其特征在于该系统包括:
客户端:用户在注册时,设置特定的用户登录口令PIN码作为登录密码,
服务器端:在保存用户信息时,将该PIN码通过加密方式保存为PIN码的密文,服务器采用杂凑算法对PIN码进行加密,在保存用户信息时,只记录PIN码的杂凑值:
SerPIN=HASH(PIN||ID||TIME)
其中ID为用户ID,具有唯一标识性,TIME为用户的注册时间,
用户注册完成后,在登录过程中,需输入用户设置的PIN码,服务器端将根据存储的已加密的SerPIN码和用户输入的PIN码生成加解密密钥KEY;KEY=HASH(PIN||SerPIN),
用户在登录服务器后,产生数据E需保存、或将本地的数据E上传至系统中时,在上传的过程中,服务器将以KEY为密钥对数据E进行加密,实际以密文C进行存储:C=ENC(E),C只有以KEY为密钥才能解密。
所述服务器端进一步包括验证模块:当用户需要使用系统中的数据、或从系统中下载数据时,需要首先输入PIN码进行身份验证,验证模块将首先验证PIN码的合法性,确认是否与存储的SerPIN一致,如果一致,则身份验证成功,进一步计算解密密钥KEY,如果不一致,身份验证失败。
所述服务器端进一步包括解密模块:当收到验证模块发送的用户身份验证成功消息后,服务器的解密模块根据存储的SerPIN码和用户的PIN码生成加解密密钥:KEY=HASH(PIN||SerPIN),用户读取数据时,服务器的解密模块在读取相应的密文C的同时做解密操作:E=DEC(C),并将解密后的明文E发送给用户,用户得到真正的数据明文信息。
服务器端进一步包括密钥更新模块:当收到用户需更新PIN1码的信息时,服务器需要用户输入原PIN,密钥更新模块计算SerPIN1=HASH(PIN1||ID||TIME)以及KEY1=HASH(PIN1||SerPIN1),服务器将数据用KEY=KEY=HASH(PIN||SerPIN)解密C后,用KEY1重新加密,得到密文C1。
基于密钥管理和计算复杂度,上述加密算法均可采用对称加密算法。
附图说明
图1:用户注册及服务器数据存储流程图
图2:用户访问数据时的身份认证流程图
具体实施方式
为了便于表述,首先对一下技术数据做统一说明:
如图1所示,密钥生成阶段:
步骤S1:用户注册,输入PIN码
用户在注册时,设置特定的用户登录口令PIN码作为登录密码。该PIN码的设定规则可依据需要的计算复杂度进行设定。
步骤S2:服务器对PIN码加密,生成SerPIN,并以SerPIN进行存储
服务器端在保存用户信息时,将该PIN码通过加密方式保存为PIN码的密文,服务器采用杂凑算法对PIN码进行加密,在保存用户信息时,只记录PIN码的杂凑值:
SerPIN=HASH(PIN||ID||TIME)
其中ID为用户ID,具有唯一标识性,TIME为用户的注册时间,这些要素可以替换。为了防止撞库,服务器需要避免只保存HASH(PIN)的情况。
由于PIN码具有User独占属性,那么服务器端的SerPIN码对服务器来说具有独占属性,为了保护数据的安全性,只有用户登录系统时才能产解密密钥,密钥设计为:
KEY=HASH(PIN||SerPIN)
基于密钥管理和计算复杂度,上述加密算法均可采用对称加密算法。
S3:根据PIN和SerPIN产生加解密密钥KEY,对数据进行加密存储。
用户注册完成后,在登录过程中,需输入用户设置的PIN码,服务器端将根据存储的已加密的SerPIN码和用户输入的PIN码生成加解密密钥KEY。
用户在登录服务器后,产生数据E需保存、或将本地的数据E上传至系统中时,在上传的过程中,服务器将以KEY为密钥对数据E进行加密,实际以密文C进行存储:C=ENC(E)
C只有以KEY为密钥才能解密,所以,在用户没有输入PIN的情况下,系统中的数据一直是密文的形式,在这种情况下,即使发生数据泄露的情况,也能保证用户数据和敏感信息的安全。
如图2所示,当服务器端的数据被访问时,将执行以下步骤:
S5:服务器验证PIN码合法性,确认与存储的SerPIN是否一致
当用户需要使用系统中的数据、或从系统中下载数据时,需要首先输入PIN码进行身份验证,服务器将首先验证PIN码的合法性,确认是否与存储的SerPIN一致,如果一致,则身份验证成功,进一步计算解密密钥KEY,如果不一致,身份验证失败。若身份验证失败,可设定失败次数的阈值,当超过阈值时,禁止该用户对数据的访问,或者根据附加的验证方式对用户身份进行核实。
S6:服务器生成加解密密钥KEY
当用户身份验证通过后,服务器根据存储的SerPIN码和用户的PIN码生成加解密密钥KEY=HASH(PIN||SerPIN)。
S7:解密操作,用户读取明文
用户读取数据时,系统在读取相应的密文C的同时做解密操作:E=DEC(C),并将解密后的明文E发送给用户,用户得到真正的数据信息。
为达到更好的安全性能,用户需要定期进行密钥的更新,以提供更为安全的信息保护,密钥的更新执行以下操作:
当用户更新PIN1码时,系统需要用户输入原PIN,系统计算SerPIN1=HASH(PIN1||ID||TIME)以及KEY1=HASH(PIN1||SerPIN1),系统将数据用KEY=KEY=HASH(PIN||SerPIN)解密C后,用KEY1重新加密,得到密文C1。
在实际应用过程中,每次更新PIN都重新加密数据会增加很多工作量,因此,为简化计算复杂度,系统可随机生成一个密钥SerKEY,并用SerKEY作为对数据真正的加密密钥。同时,之前的KEY用于保护SerKEY,即用KEY加密SerKEY并存储相应的密文。每次更新PIN时,只需更新SerKEY的密文即可,无需重新加密所有数据。
Claims (2)
1.一种云数据安全存储方法,其特征在于包括以下步骤:
用户在注册时,设置特定的用户登录口令PIN码作为登录密码,服务器端在保存用户信息时,将该PIN码通过加密方式保存为PIN码的密文,服务器采用杂凑算法对PIN码进行加密,在保存用户信息时,只记录PIN码的杂凑值:
SerPIN=HASH(PIN||ID||TIME)
其中ID为用户ID,具有唯一标识性,TIME为用户的注册时间,
用户注册完成后,在登录过程中,需输入用户设置的PIN码,服务器端将根据存储的SerPIN码和用户输入的PIN码生成加解密密钥KEY;KEY=HASH(PIN||SerPIN),
用户在登录服务器后,产生数据E需保存、或将本地的数据E上传至系统中时,在上传的过程中,服务器将以KEY为密钥对数据E进行加密,实际以密文C进行存储:C=ENC(E),C只有以KEY为密钥才能解密,其中ENC为数据加密运算。
2.一种云数据安全存储系统,其特征在于该系统包括:
客户端:用户在注册时,设置特定的用户登录口令PIN码作为登录密码,
服务器端:在保存用户信息时,将该PIN码通过加密方式保存为PIN码的密文,服务器采用杂凑算法对PIN码进行加密,在保存用户信息时,只记录PIN码的杂凑值:
SerPIN=HASH(PIN||ID||TIME)
其中ID为用户ID,具有唯一标识性,TIME为用户的注册时间,
用户注册完成后,在登录过程中,需输入用户设置的PIN码,服务器端将根据存储的SerPIN码和用户输入的PIN码生成加解密密钥KEY;KEY=HASH(PIN||SerPIN),
用户在登录服务器后,产生数据E需保存、或将本地的数据E上传至系统中时,在上传的过程中,服务器将以KEY为密钥对数据E进行加密,实际以密文C进行存储:C=ENC(E),C只有以KEY为密钥才能解密,其中ENC为数据加密运算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710751006.6A CN107453880B (zh) | 2017-08-28 | 2017-08-28 | 一种云数据安全存储方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710751006.6A CN107453880B (zh) | 2017-08-28 | 2017-08-28 | 一种云数据安全存储方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107453880A CN107453880A (zh) | 2017-12-08 |
| CN107453880B true CN107453880B (zh) | 2020-02-28 |
Family
ID=60494149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710751006.6A Active CN107453880B (zh) | 2017-08-28 | 2017-08-28 | 一种云数据安全存储方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107453880B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107453880B (zh) * | 2017-08-28 | 2020-02-28 | 国家康复辅具研究中心 | 一种云数据安全存储方法和系统 |
| CN109711185A (zh) * | 2019-01-04 | 2019-05-03 | 杭州卓凯科技有限公司 | 基于MongoDB的网约货运汽车平台数据存储系统及方法 |
| CN111953631A (zh) * | 2019-05-14 | 2020-11-17 | 苏州会信捷信息科技有限公司 | 一种移动互联网通讯即时消息安全加密的方法及系统 |
| CN110493272B (zh) * | 2019-09-25 | 2020-10-02 | 北京风信科技有限公司 | 使用多重密钥的通信方法和通信系统 |
| CN110826083A (zh) * | 2019-10-08 | 2020-02-21 | 云深互联(北京)科技有限公司 | 一种浏览器数据加密方法、装置、系统及存储介质 |
| CN113347157B (zh) * | 2021-05-13 | 2022-10-14 | 浪潮软件股份有限公司 | 一种基于SM系列加密算法的Web应用加密系统及方法 |
| CN116886953B (zh) * | 2023-09-06 | 2023-11-24 | 湖南马栏山视频先进技术研究院有限公司 | 一种云存储视频数据的保护系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639332A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种固态硬盘加密密钥的保护方法 |
| CN105359159A (zh) * | 2013-03-13 | 2016-02-24 | 詹普托媒体公司 | 加密的网络存储空间 |
| CN107453880A (zh) * | 2017-08-28 | 2017-12-08 | 国家康复辅具研究中心 | 一种云数据安全存储方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI372340B (en) * | 2008-08-29 | 2012-09-11 | Phison Electronics Corp | Storage system, controller and data protecting method thereof |
-
2017
- 2017-08-28 CN CN201710751006.6A patent/CN107453880B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105359159A (zh) * | 2013-03-13 | 2016-02-24 | 詹普托媒体公司 | 加密的网络存储空间 |
| CN104639332A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种固态硬盘加密密钥的保护方法 |
| CN107453880A (zh) * | 2017-08-28 | 2017-12-08 | 国家康复辅具研究中心 | 一种云数据安全存储方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| An Efficient and Secure Data Storage in Mobile Cloud Computing through RSA and Hash Function;Preeti Garg;《2014 international conference on issue and challenges in intelligent computing techniques (ICTCT)》;20140403;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107453880A (zh) | 2017-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和系统 | |
| US8462955B2 (en) | Key protectors based on online keys | |
| US9330245B2 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
| US9703965B1 (en) | Secure containers for flexible credential protection in devices | |
| US8509449B2 (en) | Key protector for a storage volume using multiple keys | |
| CN110059458B (zh) | 一种用户口令加密认证方法、装置及系统 | |
| CN102571329B (zh) | 密码密钥管理 | |
| CN106452770B (zh) | 一种数据加密方法、解密方法、装置和系统 | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN102567688B (zh) | 一种安卓操作系统上的文件保密系统及其保密方法 | |
| CN110889696A (zh) | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| US20220014367A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| CN104866784A (zh) | 一种基于bios加密的安全硬盘、数据加密及解密方法 | |
| US11783091B2 (en) | Executing entity-specific cryptographic code in a cryptographic coprocessor | |
| JP2024511236A (ja) | コンピュータファイルのセキュリティ暗号化方法、復号化方法および読み取り可能な記憶媒体 | |
| CN112257121A (zh) | 加密方法、解密方法、电子设备和存储介质 | |
| CN111191217B (zh) | 一种密码管理方法及相关装置 | |
| US20190044721A1 (en) | Device authorization using symmetric key systems and methods | |
| EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
| CA2891610A1 (en) | Agent for providing security cloud service and security token device for security cloud service | |
| CN114175574A (zh) | 无线安全协议 | |
| US20170374041A1 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
| JP2008048166A (ja) | 認証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |