CN109933995B

CN109933995B - 一种基于云服务及区块链的用户敏感数据保护及系统

Info

Publication number: CN109933995B
Application number: CN201910100233.1A
Authority: CN
Inventors: 李引; 陈胜俭; 王含; 何川
Original assignee: Guangzhou Institute of Software Application Technology Guangzhou GZIS
Current assignee: Guangzhou Institute of Software Application Technology Guangzhou GZIS
Priority date: 2019-01-31
Filing date: 2019-01-31
Publication date: 2023-04-07
Anticipated expiration: 2039-01-31
Also published as: CN109933995A

Abstract

本发明公开一种基于云服务及区块链的用户敏感数据保护方法及系统，涉及数据处理技术领域，加密时对敏感数据明文进行二次不同加密处理，获得第一秘钥、第二秘钥和密文；创建区块链账户，将第一秘钥和第二秘钥使用该账户的私钥加密后，通过两次交易广播至区块链网络中进行永久保存；将密文保存至云服务器中，删除本地密文副本，并返回密文保存路径；解密时根据保存路径从云服务器中下载密文，通过区块链网络获取第一秘钥和第二秘钥对密文进行解密处理，获取原始敏感数据明文；该系统对数据的加密粒度能够接近哈希函数的加密等级，同时又可通过足够安全的一组秘钥对密文进行解密；即使攻击者截获了某个秘钥，攻击者仍无法对密文进行解析，从而达到有效保护隐私的目的。

Description

一种基于云服务及区块链的用户敏感数据保护及系统

技术领域

本发明涉及数据处理技术领域，尤其涉及一种基于云服务及区块链的用户敏感数据保护方法及系统。

背景技术

云服务为广大普通用户提供了一种集中处理和存储数据的高效、便捷的新方式，减少了数据处理和存储的社会成本。一般情况下，用户只需将所需的计算任务或数据存储请求发往云服务器，云服务器对请求做进一步的处理，并将结果返回给用户即可。这种方式对计算密集型的任务尤其有效，但同时也带来了一定的安全隐患。一旦用户将数据发往云服务器，云服务供应商将完全掌握了用户的所有相关信息。如果用户的数据处理请求，涉及大量的敏感信息，该信息将有可能被网络攻击者以及云服务商非法窃取。

自互联网普及以来，用户数据被非法窃取的事件便时有发生，给广大用户甚至国家带来了较大的经济损失和安全隐患。尽管政府为互联网建设投入了大量的人力、物力，仍然无法完全杜绝数据泄密问题。每当科研工作人员提出一种保密方案，网络攻击者也几乎总能找到相应的破解算法，来破环网络的安全防护机制。目前，所有的信息几乎都是通过公开的互联网信道传输的，网络攻击者很容易监听并窃取网络上的通信内容。因此，当前的主流技术方案主要集中在如何对用户数据进行有效加密，而不是防止数据被网络攻击者非法窃取上。这样做的主要目的是，即使攻击者截取了用户的隐私数据，其也无法获知该数据所表达的意思，从而达到安全防御的目的。

目前国际上的主流加密方案有两种。

方案一：

通过哈希函数对原始数据进行加密处理。这类方案主要是利用哈希函数具有的“扩第一原象性”和“扩第二原象性”，对数据进行“数字摘要”处理，即单向加密。这类方案的特点是，哈希函数没有秘钥，对于任意给定的一个哈希输出值，攻击者无法通过有限计算找到其原始输入值。也就是说，这类方案是强加密型的方案，攻击者几乎无法利用目前的电子计算机对哈希输出值进行解密。但也正是由于哈希函数的这个特性，即使用户本身也无法对加密后的数据进行解密，用户只能通过该摘要与原始数据的“一一对应”关系，来确定原始数据没有被恶意修改过。

方案二：

使用密码编码学对原始数据进行加密处理。这类方案的基本原理是，使用一种称作“秘钥”的字符串或数据结构对原始数据(一般称为“明文”)进行额外的数据处理，并将秘钥和明文作为加密算法的输入，通过运算得到称为“密文”的输出。这类方案一般对外公开加密所采用的算法，但不公开秘钥。这类算法一般利用了数论中一些难题的不可计算性，来防止攻击者进行逆向解密。通常情况下，即使攻击者截取了用户的“密文”数据，攻击者也很难对密文进行解密。用户需要妥善地保管相应的秘钥，就可放心地将加密后的数据存储在云服务器。

对于采用哈希函数进行加密的算法，其只能对明文进行单向加密，因其不存在秘钥，无法通过秘钥对密文反向解密，一旦存储在用户本地的明文副本丢失，用户将永远无法通过对存储在云服务器上的密文进行解密的方式获取明文；

对于采用密码编码学的算法，其虽然避免了使用哈希函数进行加密的缺点，即可以通过秘钥对存储在云服务器上的密文进行解密，但是秘钥只有一个，一旦秘钥被攻击者窃取，攻击者同样可以使用该秘钥对用户数据进行解密，从而窃取用户的隐私数据。

发明内容

本发明针对背景技术的问题提供一种基于云服务及区块链的用户敏感数据保护方法及系统，确保用户上传到云平台的数据的保密性。

为了实现上述目的，本发明提出一种基于云服务及区块链的用户敏感数据保护方法，包括如下步骤：

加密时：

对敏感数据明文进行二次不同加密处理，获得第一秘钥、第二秘钥和密文；

创建区块链账户，将第一秘钥和第二秘钥使用该账户的私钥加密后，通过两次交易广播至区块链网络中进行永久保存；

将密文保存至云服务器中，删除本地密文副本，并返回密文保存路径；

解密时：

根据保存路径从云服务器中下载密文，通过区块链网络获取第一秘钥和第二秘钥对密文进行解密处理，获取原始敏感数据明文。

优选地，所述的对敏感数据明文进行二次加密处理，获得第一秘钥、第二秘钥和密文步骤，具体包括：

生成随机数，通过哈希函数获得第一秘钥；

实时监测区块链网络运作数据，将该数据序列化后通过哈希函数获得第二秘钥；

选取一种加密算法，根据第一秘钥对敏感数据明文进行第一次加密处理，获得初始密文；

选取另一种加密算法，根据第二秘钥对初始密文进行第二次加密处理，获得最终密文。

优选地，所述的生成随机数，通过真随机数生成器生成。

优选地，所述的选取一种加密算法，具体选取DES算法。

优选地，所述的选取另一种加密算法，具体选取AES算法。

本发明还提出一种基于云服务及区块链的用户敏感数据保护系统，包括：加密单元、解密单元和输出单元；所述的加密单元与解密单元集成到同一个程序中；

所述的加密单元，用于对敏感数据明文进行二次不同加密处理，获得第一秘钥、第二秘钥和密文；

所述的输出单元，用于创建区块链账户，将第一秘钥和第二秘钥使用该账户的私钥加密后，通过两次交易广播至区块链网络中进行永久保存；将密文保存至云服务器中，删除本地密文副本，并返回密文保存路径；

所述的解密单元，用于根据保存路径从云服务器中下载密文，通过区块链网络获取第一秘钥和第二秘钥对密文进行解密处理，获取原始敏感数据明文。

优选地，所述的加密单元，包括：第一秘钥生成模块、第二秘钥生成模块及算法存储模块；

所述的第一秘钥生成模块，用于通过真随机数生成器生成随机数，再通过哈希函数获得第一秘钥；

所述的第二秘钥生成模块，用于实时监测区块链网络运作数据，将该数据序列化后通过哈希函数获得第二秘钥；

所述的算法存储模块，用于存储加密算法，以供用户选择。

优选地，所述的存储加密算法，至少包括：DES算法、3DES算法、AES算法。

本发明还提出一种基于云服务及区块链的用户敏感数据保护装置，包括：

处理器；

存储器，耦合至所述的处理器并存储有指令，所述的指令在由所述处理器执行实现基于云服务及区块链的用户敏感数据保护方法的步骤。

本发明还提出一种计算机可读取存储介质，所述计算机可读取存储介质存储有基于云服务及区块链的用户敏感数据保护方法的应用程序，所述应用程序实现基于云服务及区块链的用户敏感数据保护方法的步骤。

本发明提出一种基于云服务及区块链的用户敏感数据保护方法及系统，对用户存储在云服务器的数据进行有效加密保护；该系统对数据的加密粒度能够接近哈希函数的加密等级，同时又可通过足够安全的一组秘钥对密文进行解密；即使攻击者截获了某个秘钥，攻击者仍无法对密文进行解析，从而达到有效保护隐私的目的；具体有益效果如下：

(1)对数据多重加密，极大提高云上数据的加密等级，保护用户隐私；

(2)一键式完成加密、解密过程，方便普通用户使用；

(3)使用足够随机的字符串做秘钥，几乎杜绝攻击者猜中秘钥的可能性；

(4)秘钥永不丢失和不可篡改，确保用户能够解密数据，同时防止攻击者盗用数据；

(5)解密秘钥有两个，即使其中一个被攻击者窃取，仍能保障存储在云上的数据的安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。

图1为本发明第一优选实施例中基于云服务及区块链的用户敏感数据保护方法流程图；

图2为本发明第一优选实施例中加密过程示意图；

图3为本发明第一优选实施例中步骤S10具体流程图；

图4为本发明第一优选实施例中秘钥K1生成算法过程示意图；

图5为本发明第一优选实施例中秘钥K2生成算法过程示意图；

图6为本发明第一优选实施例中秘钥保存过程示意图

图7为本发明第一优选实施例中密文保存过程示意图；

图8为本发明第一优选实施例中解密处理过程示意图；

图9为本发明第一优选实施例中基于云服务及区块链的用户敏感数据保护系统结构示意图；

图10为本发明第一优选实施例中加密单元结构示意图；

图11为本发明第一优选实施例中基于云服务及区块链的用户敏感数据保护装置结构示意图；

图12为本发明第一优选实施例中计算机存储介质示意图；

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明，若本发明实施例中有涉及方向性指示(诸如上、下、左、右、前、后……)，则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。

另外，若本发明实施例中有涉及“第一”、“第二”等的描述，则该“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

本发明提出一种基于云服务及区块链的用户敏感数据保护方法；

本发明第一优选实施例中，如图1所示，包括如下步骤：

加密时：

S10、对敏感数据明文进行二次不同加密处理，获得第一秘钥K1、第二秘钥K2和密文；

本发明实施例中，加密算法与常用的技术有比较大的区别，我们的加密算法总共需要经过两次加密过程，才最终生成所需的密文，而一般的加密算法只加密一次；如图2和图3所示；加密流程主要包括加密算法A1和加密算法A2，整个加密系统先通过加密算法A1，将用户输入的明文进行加密，并获得初始的密文；对于一般的加密用途，只要相应的加密算法A1选取恰当，即可将该密文作为最终的输出。在本系统中，为了让攻击者破解密文的难度增大，将经过初次加密的密文再进行一次加密算法A2，并将最终的密文作为输出；

具体如下：

S101、生成随机数，通过哈希函数获得第一秘钥K1；

加密算法的选取很重要，但用于加密和解密的秘钥的选取更加重要；如果K1的位数不够多或者K1是比较常见的秘钥，很容易就让攻击者猜测出来的话，我们的算法就很容易被攻击者攻破。因此，我们的基本出发点是，秘钥的选取没有任何规律可言，哪怕在同一台机器上，只要是不同时刻生成的秘钥都不可能相同；

本发明实施例中，如图4所示，系统首先通过随机数生成器生成一个全局唯一的字符串。常用的随机数生成器包括真随机数生成器和伪随机数生成器。伪随机数生成器的原理比较简单，仅仅通过软件的方法即可实现。但其运行需要首先设定一个初始值(随机种子)，一旦随机种子确定后，随机序列就完全确定了。也就是说，不同设备或者同一个设备多次生成的随机数很可能是一样的。这就为攻击者提供了攻破秘钥的一种途径。因此，本发明使用真随机数生成器生成随机数。真随机数生成器的原理是基于物理过程的，比如监测某段时间内的计算机的电子噪声。我们的系统通过电阻和振荡器来生成热噪声作为信息熵资源，再将信息熵转换为随机数。一般情况下，该随机数已经可以充当加密算法的秘钥。但考虑到该随机数的位数(长度)不一定够大，有被攻击者猜到的风险。于是，我们将该随机数送入哈希函数，生成定长的随机字符串。至于哈希函数的选取，我们使用SHA-1函数(SecureHash Algorithm安全哈希函数)。由于SHA-1算法生成的哈希值的长度为160位，而DES算法和AES算法的输入值的长度分别为56位和128位，系统将根据用户最终选择的加密算法，将SHA-1算法生成的秘钥截取为56位或128位；

S102、实时监测区块链网络运作数据，将该数据序列化后通过哈希函数获得第二秘钥K2；

仅仅使用一个秘钥的坏处是，一旦该秘钥被攻击者窃取，我们的加密信息就很容易被其解密；因此，本发明实施例中，如图5所示，设计了另一个秘钥生成算法来生成第二个秘钥。考虑到区块链网络是一个大型的分布式网络，大量节点可以动态加入和退出，并且任意两个节点间都可以互相通信，这为秘钥的生成提供了足够的随机性。我们的系统实时监测区块链网络的运作情况，收集网络实时的交易数、区块数、交易内容等，并将其序列化后，送入哈希函数，生成另一个足够随机的秘钥；

S103、选取一种加密算法，根据第一秘钥对敏感数据明文进行第一次加密处理，获得初始密文；

本发明实施例中，由秘钥生成算法G1生成全局唯一的秘钥K1，并将该秘钥和用户的明文信息作为整体的输入传入加密算法A1中，然后生成临时的强度足够大的密文。这里需要重点关注的是加密算法的选取。目前常用的加密算法主要有DES算法(DataEncryption Standard数据加密标准)、其衍生的3DES算法(Triple DES)以及最新的AES算法(Advanced Encryption Standard高级加密标准)。DES系列算法的加密强度比AES的稍弱，但其最大的优点是速度快，适用于大量数据进行加密的场景。3DES算法利用三次DES算法对明文进行加密，能够比较有效地抵御攻击者使用当前的技术进行蛮力攻击。而AES算法的加密等级非常高，但运算速度稍慢，适用于加密少量关键数据。在本系统的用户界面中，我们预留了一个按钮供用户选择需要的加密算法，方便不同的需求。考虑到后续还有一次加密过程，我们选取DES算法作为我们的加密算法A1，以便快速生成初始的密文。

S104、选取另一种加密算法，根据第二秘钥对初始密文进行第二次加密处理，获得最终密文；

本发明实施例中，通过秘钥生成算法G2生成秘钥K2，并使用加密强度更大的AES算法作为加密算法A2，并生成最终的密文；

S20、创建区块链账户，将第一秘钥和第二秘钥使用该账户的私钥加密后，通过两次交易广播至区块链网络中进行永久保存；

本发明实施例中，经过两次加密后，系统最终获得了密文、秘钥K1和秘钥K2。通常情况下，秘钥保存在用户的计算机或者上传到个人云盘，但此时容易丢失或被盗用。考虑到保存在区块链网络的数据具有不可篡改、永不丢失的特性，如图6所示，我们将两个秘钥分别通过两个“交易”的形式发送到区块链网络。具体过程是：系统会为每一个用户生成一个区块链账户，然后该账户分别加密秘钥K1和K2，获取初始的交易T1和T2，再对T1和T2进行一次数字签名，并将经过签名的交易S1和S2广播到区块链网络，并获取交易凭证R1和R2，如果该凭证均不为空，那么我们的秘钥就被永久地保存在区块链网络上；

S30、将密文保存至云服务器中，删除本地密文副本，并返回密文保存路径；

本发明实施例中，如图7所示，由于经过加密的密文一般比较大，如果将其存储到区块链上，成本会比较高，因此系统将其存储到用户的个人云盘上；

解密时：

S40、根据保存路径从云服务器中下载密文，通过区块链网络获取第一秘钥和第二秘钥对密文进行解密处理，获取原始敏感数据明文。

本发明实施例中，当用户需要获取原始的未加密数据时，其需要从云服务器上下载相应的密文，并通过区块链获取秘钥，对密文数据进行解密，其基本流程如图8所示；解密过程和加密过程类似，不过解密过程刚好反过来。系统先通过用户个人的区块链账户将秘钥从区块链网络下载下来，并将其解密成秘钥K2和K1，同时将密文从用户的个人云盘下载下来。接着，将密文和秘钥K2、K1依次通过解密算法A2和A1，验证秘钥的有效性后，将密文解密成明文；最后，系统将明文输出到用户设备上；

本发明还提出一种基于云服务及区块链的用户敏感数据保护系统；

本发明第二优选实施例中，如图9所示，包括：加密单元、解密单元和输出单元；所述的加密单元与解密单元集成到同一个程序中，没有过多分开的组件，用户只需按照手册进行操作即可；

本发明实施例中，加密单元是整个系统的关键部分，保证网络攻击者无法轻易对数据进行解密；解密单元也是系统中的一个重要部分，该单元的主要功能是方便用户对数据进行解密，保证原始数据能够被正确地复原；

所述的加密单元，用于对敏感数据明文进行二次加密处理，获得第一秘钥、第二秘钥和密文；

本发明实施例中，当用户启动本系统时，首先通过软件界面指定需要上传的文件或文本，并按下“加密”按钮，启动系统的加密算法；

本发明实施例中，当加密过程结束后，软件界面提示用户，密文和对应的一组秘钥被存储在计算机上的位置；用户将生成的一组秘钥加密，并上传到区块链上，同时将密文上传到云服务器，并删除本地的密文副本，以及加密前的原始数据；

所述的解密单元，用于根据保存路径从云服务器中下载密文，通过区块链网络获取第一秘钥和第二秘钥对密文进行解密处理，获取原始敏感数据明文；

本发明实施例中，当用户需要获取加密前的原始数据时，其首先将密文从云服务器下载到本地，并启动本系统，在软件界面的指引下，导入区块链上的秘钥，并按下“解密”按钮，将加密数据还原，得到原始信息；

进一步地，如图10所示，本发明实施例中所述的加密单元，包括：第一秘钥生成模块、第二秘钥生成模块及算法存储模块；

系统首先通过随机数生成器生成一个全局唯一的字符串。常用的随机数生成器包括真随机数生成器和伪随机数生成器。伪随机数生成器的原理比较简单，仅仅通过软件的方法即可实现。但其运行需要首先设定一个初始值(随机种子)，一旦随机种子确定后，随机序列就完全确定了。也就是说，不同设备或者同一个设备多次生成的随机数很可能是一样的。这就为攻击者提供了攻破秘钥的一种途径。

因此，第一秘钥生成模块使用真随机数生成器生成随机数；真随机数生成器的原理是基于物理过程的，比如监测某段时间内的计算机的电子噪声；我们的系统通过电阻和振荡器来生成热噪声作为信息熵资源，再将信息熵转换为随机数；一般情况下，该随机数已经可以充当加密算法的秘钥；但考虑到该随机数的位数(长度)不一定够大，有被攻击者猜到的风险。于是，我们将该随机数送入哈希函数，生成定长的随机字符串。至于哈希函数的选取，我们使用SHA-1函数(Secure Hash Algorithm安全哈希函数)。由于SHA-1算法生成的哈希值的长度为160位，而DES算法和AES算法的输入值的长度分别为56位和128位，系统将根据用户最终选择的加密算法，将SHA-1算法生成的秘钥截取为56位或128位；

仅仅使用一个秘钥的坏处是，一旦该秘钥被攻击者窃取，我们的加密信息就很容易被其解密；

因此，本发明实施例中，第二秘钥生成模块设计了另一个秘钥生成算法来生成第二个秘钥。考虑到区块链网络是一个大型的分布式网络，大量节点可以动态加入和退出，并且任意两个节点间都可以互相通信，这为秘钥的生成提供了足够的随机性。我们的系统实时监测区块链网络的运作情况，收集网络实时的交易数、区块数、交易内容等，并将其序列化后，送入哈希函数，生成另一个足够随机的秘钥；

所述的算法存储模块，用于存储加密算法，以供用户选择；

本发明实施例中，算法存储模块的加密算法主要包括但不限于：DES算法(DataEncryption Standard数据加密标准)、其衍生的3DES算法(Triple DES)以及最新的AES算法(Advanced Encryption Standard高级加密标准)。DES系列算法的加密强度比AES的稍弱，但其最大的优点是速度快，适用于大量数据进行加密的场景。3DES算法利用三次DES算法对明文进行加密，能够比较有效地抵御攻击者使用当前的技术进行蛮力攻击。而AES算法的加密等级非常高，但运算速度稍慢，适用于加密少量关键数据。在本系统的用户界面中，我们预留了一个按钮供用户选择需要的加密算法，方便不同的需求。考虑到后续还有一次加密过程，我们选取DES算法作为我们的加密算法A1，以便快速生成初始的密文。通过秘钥生成算法G2生成秘钥K2，并使用加密强度更大的AES算法作为加密算法A2，并生成最终的密文；

本发明还提出一种基于云服务及区块链的用户敏感数据保护装置；

本发明第三优选实施例中，如图11所示，包括：

处理器；

存储器，耦合至所述的处理器并存储有指令，所述的指令在由所述处理器执行实现基于云服务及区块链的用户敏感数据保护方法的步骤，例如：

S101、生成随机数，通过哈希函数获得第一秘钥K1；

本发明实施例中各步骤的具体细节已在第一优选实施例中详细阐述，此处不再复述；

本发明实施例中，所述的基于云服务及区块链的用户敏感数据保护装置内置处理器，可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(CentralProcessing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器利用各种接口和线路连接取各个部件，通过运行或执行存储在存储器内的程序或者单元，以及调用存储在存储器内的数据，以执行基于云服务及区块链的用户敏感数据保护的各种功能和处理数据；

存储器用于存储程序代码和各种数据，安装在基于云服务及区块链的用户敏感数据保护装置中，并在运行过程中实现高速、自动地完成程序或数据的存取。所述存储器包括只读存储器(Read-Only Memory，ROM)、随机存储器(Random Access Memory，RAM)、可编程只读存储器(Programmable Read-Only Memory，PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory，OTPROM)、电子擦除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(CompactDisc Read-Only Memory，CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。

本发明还提出一种计算机可读取存储介质；

本发明第四优选实施例中，如图12所示，所述计算机可读取存储介质存储有基于云服务及区块链的用户敏感数据保护方法的应用程序，所述应用程序实现基于云服务及区块链的用户敏感数据保护方法的步骤，例如：

S101、生成随机数，通过哈希函数获得第一秘钥K1；

S102、实时监测区块链网络运作数据，通过序列化后通过哈希函数获得第二秘钥K2；

本发明可以有效保护普通用户存储在云服务器上的数据的安全，防止攻击者对其进行解密并窃取用户信息的行为。本发明的关键技术点，如下：

(1)与常用的加密策略不同的是，本发明的加密采用双重加密算法，采用两种不同的加密方案，而常用的策略仅仅使用单一的加密方法；

(2)本发明的“秘钥”生成算法使用“真随机数生成器”生成，以及使用区块链的网络动态参数生成，保证秘钥的唯一性和不可预知性，而常用的秘钥生成算法存在猜中的可能性；

(3)采用区块链存储秘钥K1和K2，确保秘钥不可篡改和永不丢失；

(4)解密过程需要对秘钥进行两次匹配，只有两个秘钥都完全一致的情况下，才能得到明文，而一般的解密算法只需匹配一次，安全性不足。

在本发明的实施方式的描述中，需要说明的是，流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理模块的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读取介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读取介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是在本发明的发明构思下，利用本发明说明书及附图内容所作的等效结构变换，或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

Claims

1.一种基于云服务及区块链的用户敏感数据保护方法，其特征在于，包括如下步骤：

加密时：

解密时：

根据保存路径从云服务器中下载密文，通过区块链网络获取第一秘钥和第二秘钥对密文进行解密处理，获取原始敏感数据明文；

所述的对敏感数据明文进行二次加密处理，获得第一秘钥、第二秘钥和密文步骤，具体包括：

生成随机数，通过哈希函数获得第一秘钥；

2.根据权利要求1所述的基于云服务及区块链的用户敏感数据保护方法，其特征在于，所述的生成随机数，通过真随机数生成器生成。

3.根据权利要求1所述的基于云服务及区块链的用户敏感数据保护方法，其特征在于，所述的选取一种加密算法，具体选取DES算法。

4.根据权利要求1所述的基于云服务及区块链的用户敏感数据保护方法，其特征在于，所述的选取另一种加密算法，具体选取AES算法。

5.一种基于云服务及区块链的用户敏感数据保护系统，其特征在于，包括：加密单元、解密单元和输出单元；所述的加密单元与解密单元集成到同一个程序中；

所述的加密单元，包括：第一秘钥生成模块、第二秘钥生成模块及算法存储模块；

所述的算法存储模块，用于存储加密算法，以供用户选择。

6.根据权利要求5所述的基于云服务及区块链的用户敏感数据保护系统，其特征在于，所述的存储加密算法，至少包括：DES算法、3DES算法、AES算法。

7.一种基于云服务及区块链的用户敏感数据保护装置，其特征在于，包括：

处理器；

存储器，耦合至所述的处理器并存储有指令，所述的指令在由所述处理器执行实现权利要求1至4中任一项所述的基于云服务及区块链的用户敏感数据保护方法的步骤。

8.一种计算机可读取存储介质，其特征在于，所述计算机可读取存储介质存储有基于云服务及区块链的用户敏感数据保护方法的应用程序，所述应用程序实现如权利要求1至4中任一项所述的基于云服务及区块链的用户敏感数据保护方法的步骤。