CN110099048B - 一种云存储方法及设备 - Google Patents

一种云存储方法及设备 Download PDF

Info

Publication number
CN110099048B
CN110099048B CN201910317018.7A CN201910317018A CN110099048B CN 110099048 B CN110099048 B CN 110099048B CN 201910317018 A CN201910317018 A CN 201910317018A CN 110099048 B CN110099048 B CN 110099048B
Authority
CN
China
Prior art keywords
data
information
storage
security level
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910317018.7A
Other languages
English (en)
Other versions
CN110099048A (zh
Inventor
谢绒娜
刘霄
史国振
成文文
董秀则
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
School Of Electronic Technology Central Office Of Communist Party Of China (beijing Institute Of Electronic Technology)
Original Assignee
School Of Electronic Technology Central Office Of Communist Party Of China (beijing Institute Of Electronic Technology)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by School Of Electronic Technology Central Office Of Communist Party Of China (beijing Institute Of Electronic Technology) filed Critical School Of Electronic Technology Central Office Of Communist Party Of China (beijing Institute Of Electronic Technology)
Priority to CN201910317018.7A priority Critical patent/CN110099048B/zh
Publication of CN110099048A publication Critical patent/CN110099048A/zh
Application granted granted Critical
Publication of CN110099048B publication Critical patent/CN110099048B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Abstract

本发明实施例提供一种云存储方法及设备,该方法包括:接收第一加密密文、云端种子密钥和数据凭证信息;根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;根据数据存储安全等级和数据加密密钥对第一加密密文进行加密,得到第二加密密文;根据数据凭证信息、数据存储安全等级和地址生成算法得到存储地址信息,以根据存储地址信息对第二加密密文进行云存储。本发明实施例通过用户终端和服务器双端加密的方法,且二次加密过程中会根据不同安全需求采用不同加密的方式,有效提升了云数据存储的安全性。

Description

一种云存储方法及设备
技术领域
本发明实施例涉及云存储技术领域,尤其涉及一种云存储方法及设备。
背景技术
当前,随着互联网技术和云计算技术的快速发展,云存储技术被人们广泛应用。云存储为用户提供方便快捷服务的同时,安全问题也引起了众多关注。
目前,在云存储平台的实际运营中,为提高云存储系统的效率,降低云存储计算资源和存储资源开销,大部分云存储系统将用户数据以明态的形式存储在云端,不同用户之间通过简单的隔离方法或者访问控制技术来保证不同用户之间不能访问对方数据。还有一部分云存储采用简单的安全保护措施或者加密算法,这种类型的技术没有对数据进行真正的加密,对于没有使用密文存储的数据,云存储平台的管理员可以通过服务端来进行查看。
因此,用户在云存储平台中存储的数据难以得到安全保障,随着云存储平台进一步推广和应用,云存储平台的安全问题日益凸显。
发明内容
本发明实施例提供一种云存储方法及设备,用以解决上述背景技术中提出的技术问题,或至少部分解决上述背景技术中提出的技术问题。
第一方面,本发明实施例提供一种云存储方法,包括:
接收第一加密密文、云端种子密钥和数据凭证信息;
根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;
根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文,
根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
第二方面,本发明实施例提供一种云存储装置,包括:
接收模块,用于接收第一加密密文、云端种子密钥和数据凭证信息;
生成模块,用于根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;
加密模块,用于根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;
存储模块,用于根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
第三方面,本发明一实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述云存储方法。
第四方面,本发明一实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如第一方面所述云存储方法。
第五方面,本发明另一实施例提供一种云存储方法,包括:
获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;
对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;
将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
第六方面,本发明另一实施例提供一种云存储装置,包括:
获取模块,用于获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;
密钥生成模块,用于对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;
云存储模块,用于将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
第七方面,本发明另一实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第五方面所述云存储方法。
第八方面,本发明另一实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如第五方面所述云存储方法。
本发明实施例提供的一种云存储方法及设备,通过在用户终端即对存储数据进行加密得到第一加密密文,即数据在用户终端已经进行了加密,此时上传到服务器中的数据已经是加密数据;避免了云存储平台管理员对于云端数据违规操作的可能性;于此同时,不同的数据存储时会生成不同的云端种子密钥,然后再将第一加密数据和云端种子密钥发送到服务器,而后服务器根据数据凭证信息和云端种子密钥对第一加密密文进行二次加密,得到第二加密密文,而用户终端可以根据不同的存储数据生成不同的云端种子密钥,从而保证在服务器进行二次加密的过程中,不同的数据会采用不同的模式进行加密,本发明实施例通过用户终端和服务器双端加密的方法,且二次加密过程中会根据不同数据采用不同模式加密的方式,有效提升了云数据存储的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例所描述的云存储方法流程图;
图2为本发明一实施例所描述的云存储装置结构示意图;
图3为本发明一实施例所描述的电子设备结构示意图;
图4为本发明另一实施例所描述的云存储方法流程图;
图5为本发明另一实施例所描述的云存储装置结构示意图;
图6为本发明另一实施例所描述的电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例所描述的云存储方法流程图,如图1所示,包括:
步骤S1,接收第一加密密文、云端种子密钥和数据凭证信息;
步骤S2,根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;
步骤S3,根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;
步骤S4,根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
具体的,本发明实施例中所描述的第一加密密文是指用户终端根据第一预设密码算法对存储数据进行加密生成的,此处所描述的第一预设密码加密算法可以包括但不限于以下一个或多个任意组合:分组密码算法、序列密码算法、公钥密码算法,如SM4、AES、ZUC、SM2、SM9、ECC和RSA。
本发明实施例中所描述的云端种子密钥,是指每次对存储数据进行一次存储,则生成一个云端种子密钥,且对于不同的存储数据,所生成的云端种子密钥不同,同一存储数据不同时刻不同环境生成的云端种子密钥可以相同也可以不同,具体的生成云端种子密钥可以是用户终端数据输入或是调用密钥生成算法生成的,此处所描述的密钥生成算法根据数据凭证信息生成数据加密密钥,所述的密钥生成算法包括但不限于:噪声芯片、伪随机发生器、分组密码算法、序列密码算法。
本发明实施例中所描述的数据凭证信息包括数据属性信息和服务凭证信息。
本发明实施例中所描述的数据存储安全等级可以预先设定为多个级别,例如设定为六个级别,一级表示最低安全等级,六级表示最高安全等级。
服务器接收用户终端上传的第一加密密文、云端种子密钥和数据凭证信息;
服务器根据数据凭证信息和数据存储安全等级算法生成数据存储安全等级的具体步骤可以是指,直接将服务凭证中账户信息的安全等级确定为数据存储安全等级;直接将数据属性中的数据安全需求确定为数据存储安全等级;将服务凭证中账户信息的安全等级和数据属性中的数据安全需求两者中最高安全需求作为数据存储安全等级;将服务凭证中账户信息的安全等级和数据属性中的数据安全需求进行加权得到数据存储安全等级。
服务器根据数据存储安全等级、数据凭证信息和云端种子密钥调用密钥生成算法生成数据加密密钥,不同数据存储安全等级采用安全强度不同的密钥生成算法。
本发明实施中不同数据存储安全等级密钥生成算法安全强度不同,在数据存储安全等级越高时,在密钥生成过程中,其调用的密钥生成算法的安全强度高,其调用的参数越复杂。
在根据数据存储安全等级和数据加密密钥对第一加密密文进行加密,得到第二加密密文时,不同数据存储安全等级采用不同安全强度的密码算法,对于数据安全等级越高的存储数据,通常采用安全强度更高的密码算法对其进行加密,从而得到第二加密密文。
例如,对于数据存储安全等级最高的调用SM2和SM4这种数据加密方式进行加密,对于数据存储安全等级较低的直接采用SM4算法这种数据加密方式进行加密,本发明实施例中具体算法不做限制。
本发明实施例中所描述的地址生成算法用于根据账户信息、数据属性和数据存储安全等级三者的任意组合计算存储地址,所述存储地址可以为一级或多级地址,可以为网络地址或物理地址。地址生成算法可以采用如下方式:将数据存储安全等级映射为一级地址,账户信息映射为二级地址、数据属性映射为三级地址;或者将账户信息中的安全等级映射为一级地址,其它账户信息通过HASH函数映射为二级地址、数据属性信息根据HASH计算映射为三级地址。
本发明实施例通过在用户终端即对存储数据进行加密得到第一加密密文,即数据在用户终端已经进行了加密,此时上传到服务器中的数据已经是加密数据;避免了云存储平台管理员对于云端数据违规操作的可能性;于此同时,不同的数据存储时会生成不同的云端种子密钥,然后再将第一加密密文和云端种子密钥发送到服务器,而后服务器根据数据凭证信息和云端种子密钥对第一加密密文进行二次加密,得到第二加密密文,而用户终端可以根据不同的存储数据生成不同的云端种子密钥,且服务器进行二次加密的过程中,根据不同的存储安全等级数据采用不同的模式进行加密,本发明实施例通过用户终端和服务器双端加密的方法,且二次加密过程中会根据不同数据存储安全等级采用不同的密钥生成算法,不同加密算法,算法不同应用模式对数据进行加密,有效提升了云数据存储的安全性,实现了按需存储需求,进行安全存储。
在上述实施例的基础上,所述数据凭证信息包括:数据属性信息和服务凭证信息。
具体的,本发明实施例中所描述的数据属性信息用于描述数据的基本属性和安全属性,可以包括以下一个或多个的任意组合:数据生成者、数据发送者、数据生成时间、数据生成的环境、数据上传的时间、数据安全需求;
其中,数据安全需求包括但不限于包括以下方式生成:数据生成者或数据发送者或者第三方设定;数据生成者或数据发送者根据数据应用场景调用数据安全需求生成算法生成数据安全需求。
数据安全需求可以采用自然语言或形式化语言方式进行描述:比如:采用数据安全等级的方式进行描述,根据具体需求,数据安全等级可以设置为多个级别。
本发明实施例中所描述的服务凭证信息为用户终端的合法账户在有效期内访问服务器的权限服务凭证,其包括但不限于包括以下一种或多种的任意组合:凭证号、账户信息、有效期、认证模块签名。
本发明实施例中所描述的数据属性信息和服务凭证信息有利于后续云存储步骤的进行。
在上述实施例的基础上,所述根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文的步骤,具体包括:
根据所述数据存储安全等级确定数据加密生成方式;
通过所述数据存储安全等级和数据加密密钥调用所述数据加密生成方式对所述第一加密密文进行加密,得到第二加密密文。
具体的,本发明实施例中所描述的根据数据存储安全等级确定数据加密生成方式的步骤是指不同数据存储安全等级采用不同安全强度的密码算法,当数据存储安全等级较高时,调用安全强度较高的加密算法组合,当数据存储安全等级较低时,调用安全强度较低的加密组合算法,预先可以设定多种数据安全等级,并设定与不同数据安全等级对应的算法组合。
例如,对于数据存储安全等级最高的调用SM2和SM4这种数据加密方式进行加密,对于数据存储安全等级较低的直接采用SM4算法这种数据加密方式进行加密,本发明实施例中具体算法不做限制。
然后通过数据存储安全等级和数据加密密钥调用所述数据加密生成方式对所述第一加密密文进行加密,得到第二加密密文。
本发明实施例通过数据存储安全等级确定安全强度不同的算法组合,来对第一加密密文进行加密,由于安全强度较高的算法通常会比较复杂,因此安全强度较高的算法通常也会占用较高的云存储资源,所以根据数据存储安全等级可以实现按需对云存储资源进行分配。
在上述实施例的基础上,在所述接收第一加密密文、云端种子密钥和数据凭证信息的步骤之前,所述方法还包括:
获取账户信息;
根据第一验证算法对所述账户信息进行账户验证,
若账户验证通过,则根据所述账户信息生成服务凭证信息,并将所述服务凭证信息发送给用户终端。
本发明实施例中所描述的账户信息用于对账户身份的验证、服务凭证信息的生成、并参与该账户存储数据位置的计算,账户信息包括但不限于包括以下一种或多种的任意组合:账户名、口令、身份标识和安全等级。
本发明实施例中所描述的第一验证算法可以为:Kerberos身份认证算法,基于OTP的身份认证算法。
若账户验证通过,则说明此处账户信息处于合法账户,且该账号信息处于有效期间内,则根据账号信息生成相应的服务凭证信息,该服务凭证信息可以包括以下一种或多种的组合:凭证号、账户信息、有效期和认证签名信息。
本发明实施例中所描述的账户验证过程可以有效保障只有合法的用户终端账号才能进行云存储的后续操作,有效提高云存储的安全性,且服务凭证信息会多次参与后续云存储的过程,有利于后续步骤的进行。
在上述实施例的基础上,在所述根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级的步骤之前,所述方法还包括:
根据第二验证算法对所述数据凭证信息进行凭证验证;
若凭证验证失败,则将所述凭证验证失败信息发送给用户终端,并停止数据存储。
具体的,本发明实施例中所描述的第二验证算法可以是指Kerberos身份认证算法或基于OTP的身份认证算法。
本发明实施例中所描述的凭证验证失败信息可以是指告知用户终端验证失败的指令信息。
该方法还包括:若凭证验证成功,则继续根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级。
本发明实施例通过凭证验证步骤,进一步加强云存储的安全性。
图2为本发明一实施例所描述的云存储装置结构示意图,如图2所示,包括;接收模块210、生成模块220、加密模块230和存储模块240;其中,接收模块210用于接收第一加密密文、云端种子密钥和数据凭证信息;其中,生成模块220用于根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;其中,加密模块230用于根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;其中,存储模块240用于根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
本发明实施例所描述的装置是用于描述上述实施例所述方法的装置,具体过程请参照上述实施例,此处不再赘述。
本发明实施例通过在用户终端即对存储数据进行加密得到第一加密密文,即数据在用户终端已经进行了加密,此时上传到服务器中的数据已经是加密数据;避免了云存储平台管理员对于云端数据违规操作的可能性;于此同时,不同的数据存储时会生成不同的云端种子密钥,然后再将第一加密密文和云端种子密钥发送到服务器,而后服务器根据数据凭证信息和云端种子密钥对第一加密密文进行二次加密,得到第二加密密文,而用户终端可以根据不同的存储数据生成不同的云端种子密钥,且服务器进行二次加密的过程中,不同的存储安全等级数据采用不同的模式进行加密,本发明实施例通过用户终端和服务器双端加密的方法,且二次加密过程中会根据不同数据存储安全等级采用不同的密钥生成算法,不同加密算法,算法不同应用模式对数据采用不同模式加密的方式,有效提升了云数据存储的安全性,实现了按需存储需求,进行安全存储。
图3为本发明一实施例所描述的电子设备结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行如下方法:接收第一加密密文、云端种子密钥和数据凭证信息;根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:接收第一加密密文、云端种子密钥和数据凭证信息;根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储服务器指令,该计算机指令使计算机执行上述实施例所提供的一种云存储方法,例如包括:接收第一加密密文、云端种子密钥和数据凭证信息;根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥生成数据加密密钥;根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
图4为本发明另一实施例所描述的云存储方法流程图,如图4所示,包括:
步骤S5,获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;
步骤S6,对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;
步骤S7,将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
具体的,本发明实施例中所描述的存储数据是指,需要进行云存储的数据。
本发明实施例中所描述的云端种子密钥是指每对存储数据进行一次存储,则生成一个云端种子密钥,且对于不同的存储数据,所生成的云端种子密钥不同,同一存储数据不同时刻不同环境生成的云端种子密钥可以相同也可以不同,具体的生成云端种子密钥可以是用户终端数据输入或是调用密钥生成算法生成的,此处所描述的密钥生成算法根据数据凭证信息生成数据加密密钥,所述的密钥生成算法包括但不限于:噪声芯片、伪随机发生器、分组密码算法、序列密码算法。
用户终端获取数据凭证信息,其中数据凭证信息包括用户终端的服务凭证信息,和用户终端将要存储数据的数据属性信息,其中数据属性信息用于描述数据的基本属性和安全属性,包括但不限于包括以下一个或多个的任意组合:数据生成者、数据发送者、数据生成时间、数据生成的环境、数据上传的时间、数据安全需求。
具体的,本发明实施例中所描述的存储数据是指,需要进行云存储的数据。
用户终端对存储数据进行加密,得到第一加密密文,且对不同的数据存储进行加密时,即准备该存储数据进行云存储,此时根据用户终端数据输入或是调用密钥生成算法生成云端种子密钥,对于不同的存储数据,会生成不同的云端种子密钥,同一存储数据不同时刻不同环境生成的云端种子密钥可以相同也可以不同。
用户终端将第一加密密文、数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据数据凭证信息和云端种子密钥对第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
本发明实施例提供的一种云存储方法及设备,通过在用户终端即对存储数据进行加密得到第一加密密文,即数据在用户终端已经进行了加密,此时上传到服务器中的数据已经是加密数据;避免了云存储平台管理员对于云端数据违规操作的可能性;于此同时,不同的数据存储时会生成不同的云端种子密钥,然后再将第一加密数据和云端种子密钥发送到服务器,而后服务器根据数据凭证信息和云端种子密钥对第一加密密文进行二次加密,得到第二加密密文,而用户终端可以根据不同的存储数据生成不同的云端种子密钥,从而保证在服务器进行二次加密的过程中,不同的存储安全等级数据采用不同的模式进行加密,本发明实施例通过用户终端和服务器双端加密的方法,且二次加密过程中会根据不同数据采用不同模式加密的方式,有效提升了云数据存储的安全性。
在上述实施例的基础上,在所述获取数据凭证信息之前,所述方法还包括:
生成注册信息;
将所述注册信息发给所述服务器,以供所述服务器根据注册信息生成所述注册信息所对应的账户信息。
具体的,本发明实施例所描述的注册信息是用户终端用于生成账户信息是必须的信息,用户终端将注册信息发送给服务器,服务器根据注册信息进行注册,并给用户终端分配一个账户,生成对应的账户信息,与此同时,一个用户终端可以注册一个或多个账户信息。
本发明实施例通过注册信息,有效提升用户终端进行云存储行为安全性,也有利于后续步骤的进行。
图5为本发明另一实施例所描述的云存储装置结构示意图,如图5所示,包括:获取模块510、密钥生成模块520和云存储模块530;其中,获取模块510用于获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;其中,密钥生成模块520用于对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;其中,云存储模块530用于将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
本发明实施例所描述的装置是用于描述上述实施例所述方法的装置,具体过程请参照上述实施例,此处不再赘述。
本发明实施例提供的一种云存储方法及设备,通过在用户终端对存储数据进行加密得到第一加密密文,即数据在用户终端已经进行了加密,此时上传到服务器中的数据已经是加密数据;避免了云存储平台管理员对于云端数据违规操作的可能性;于此同时,不同的数据存储时会生成不同的云端种子密钥,然后再将第一加密数据和云端种子密钥发送到服务器,而后服务器根据数据凭证信息和云端种子密钥对第一加密密文进行二次加密,得到第二加密密文,而用户终端可以根据不同的存储数据生成不同的云端种子密钥,从而保证在服务器进行二次加密的过程中,不同的存储安全等级数据采用不同的模式进行加密,本发明实施例通过用户终端和服务器双端加密的方法,且二次加密过程中会根据不同数据采用不同模式加密的方式,有效提升了云数据存储的安全性。
图6为本发明另一实施例所描述的电子设备结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)4620、存储器(memory630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储服务器指令,该计算机指令使计算机执行上述实施例所提供的另一种云存储方法,例如包括:获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (12)

1.一种云存储方法,其特征在于,包括:
接收第一加密密文、云端种子密钥和数据凭证信息;
根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥调用密钥生成算法生成数据加密密钥;
其中,不同所述数据存储安全等级对应有安全强度不同的密钥生成算法;
所述数据凭证信息包括数据属性信息和服务凭证信息;
所述根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,包括:
将所述服务凭证信息中账户信息的安全等级确定为所述数据存储安全等级;
或将所述数据属性信息中的数据安全需求确定为所述数据存储安全等级;
或将所述服务凭证信息中账户信息的安全等级和所述数据属性信息中的数据安全需求两者中的最高安全需求作为所述数据存储安全等级;
或将所述服务凭证信息中账户信息的安全等级和所述数据属性信息中的数据安全需求进行加权得到所述数据存储安全等级;
根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;
根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储;
其中,所述根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,包括:
基于哈希算法,将所述数据存储安全等级映射为一级存储地址,将所述服务凭证信息中账户信息的安全等级映射为二级存储地址,将所述数据属性信息映射为三级存储地址。
2.根据权利要求1所述方法,其特征在于,所述根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文的步骤,具体包括:
根据所述数据存储安全等级确定数据加密生成方式;
通过所述数据存储安全等级和数据加密密钥调用所述数据加密生成方式对所述第一加密密文进行加密,得到第二加密密文。
3.根据权利要求1所述方法,其特征在于,在所述接收第一加密密文、云端种子密钥和数据凭证信息的步骤之前,所述方法还包括:
获取账户信息;
根据第一验证算法对所述账户信息进行账户验证,
若账户验证通过,则根据所述账户信息生成服务凭证信息,并将所述服务凭证信息发送给用户终端。
4.根据权利要求1所述方法,其特征在于,在所述根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级的步骤之前,所述方法还包括:
根据第二验证算法对所述数据凭证信息进行凭证验证;
若凭证验证失败,则将所述凭证验证失败信息发送给用户终端,并停止数据存储。
5.一种云存储装置,其特征在于,包括:
接收模块,用于接收第一加密密文、云端种子密钥和数据凭证信息;
生成模块,用于根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,并根据所述数据存储安全等级、数据凭证信息和云端种子密钥调用密钥生成算法生成数据加密密钥;
其中,不同所述数据存储安全等级对应有安全强度不同的密钥生成算法;
所述数据凭证信息包括数据属性信息和服务凭证信息;
所述根据数据凭证信息和数据存储安全等级生成算法生成数据存储安全等级,包括:
将所述服务凭证信息中账户信息的安全等级确定为所述数据存储安全等级;
或将所述数据属性信息中的数据安全需求确定为所述数据存储安全等级;
或将所述服务凭证信息中账户信息的安全等级和所述数据属性信息中的数据安全需求两者中的最高安全需求作为所述数据存储安全等级;
或将所述服务凭证信息中账户信息的安全等级和所述数据属性信息中的数据安全需求进行加权得到所述数据存储安全等级;
加密模块,用于根据所述数据存储安全等级和数据加密密钥对所述第一加密密文进行加密,得到第二加密密文;
存储模块,用于根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储;
其中,所述根据所述数据凭证信息、所述数据存储安全等级和地址生成算法得到存储地址信息,包括:
基于哈希算法,将所述数据存储安全等级映射为一级存储地址,将所述服务凭证信息中账户信息的安全等级映射为二级存储地址,将所述数据属性信息映射为三级存储地址。
6.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述云存储方法。
7.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至4任一项所述云存储方法。
8.一种云存储方法,其特征在于,包括:
获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;
对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;
将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储;
其中,所述根据数据凭证信息得到存储地址信息,包括:
基于哈希算法,将所述服务凭证信息中账户信息的安全等级映射为一级存储地址,将除所述服务凭证信息中账户信息以外的其他账户信息映射为二级存储地址,将所述数据属性信息映射为三级存储地址。
9.根据权利要求8所述方法,其特征在于,在所述获取数据凭证信息之前,所述方法还包括:
生成注册信息;
将所述注册信息发给所述服务器,以供所述服务器根据注册信息生成所述注册信息对应的账户信息。
10.一种云存储装置,其特征在于,包括:
获取模块,用于获取数据凭证信息,其中所述数据凭证信息包括数据属性信息和服务凭证信息;
密钥生成模块,用于对存储数据进行加密,得到第一加密密文,并生成云端种子密钥;
云存储模块,用于将所述第一加密密文、所述数据凭证信息和云端种子密钥发送到服务器,以供所述服务器根据所述数据凭证信息和云端种子密钥对所述第一加密密文进行加密,得到第二加密密文,并根据数据凭证信息得到存储地址信息,以根据所述存储地址信息对所述第二加密密文进行云存储;
其中,所述根据数据凭证信息得到存储地址信息,包括:
基于哈希算法,将所述服务凭证信息中账户信息的安全等级映射为一级存储地址,将除所述服务凭证信息中账户信息以外的其他账户信息映射为二级存储地址,将所述数据属性信息映射为三级存储地址。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求8至9任一项所述云存储方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求8至9任一项所述云存储方法。
CN201910317018.7A 2019-04-19 2019-04-19 一种云存储方法及设备 Active CN110099048B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910317018.7A CN110099048B (zh) 2019-04-19 2019-04-19 一种云存储方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910317018.7A CN110099048B (zh) 2019-04-19 2019-04-19 一种云存储方法及设备

Publications (2)

Publication Number Publication Date
CN110099048A CN110099048A (zh) 2019-08-06
CN110099048B true CN110099048B (zh) 2021-08-24

Family

ID=67445237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910317018.7A Active CN110099048B (zh) 2019-04-19 2019-04-19 一种云存储方法及设备

Country Status (1)

Country Link
CN (1) CN110099048B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111832042B (zh) * 2020-06-23 2024-02-13 武汉菲奥达物联科技有限公司 一种公寓学生数据安全管理方法及装置
CN112671533B (zh) * 2020-12-11 2022-09-20 苏州浪潮智能科技有限公司 一种电子数据的存储系统、方法及介质
CN112887087B (zh) * 2021-01-20 2023-04-18 成都质数斯达克科技有限公司 数据管理方法、装置、电子设备及可读存储介质
CN113114621B (zh) * 2021-03-04 2023-01-03 海信集团控股股份有限公司 一种用于公交调度系统的通信方法及公交调度系统
CN114697116A (zh) * 2022-01-27 2022-07-01 深圳市中悦科技有限公司 一种学生隐私数据的权限访问控制系统
CN115001813B (zh) * 2022-05-31 2023-11-10 山西西电信息技术研究院有限公司 一种信息安全保密方法、系统、设备及介质
CN115065566A (zh) * 2022-08-18 2022-09-16 广州万协通信息技术有限公司 多通道数据加密处理的安全芯片加密方法及装置
CN117728962A (zh) * 2024-02-18 2024-03-19 深圳码隆智能科技有限公司 一种确保多级视频数据存储一致性的签名传输方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106250453A (zh) * 2016-07-27 2016-12-21 北京电子科技学院 基于云存储的数值型数据的密文检索方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10043029B2 (en) * 2014-04-04 2018-08-07 Zettaset, Inc. Cloud storage encryption
CN105025041B (zh) * 2015-08-25 2019-03-12 北京百度网讯科技有限公司 文件上传的方法、装置和系统
CN106911639B (zh) * 2015-12-23 2020-03-20 中国电信股份有限公司 加密方法和装置、解密方法和装置及终端
JP2018148493A (ja) * 2017-03-08 2018-09-20 日本放送協会 鍵生成装置、中間暗号化装置、委託暗号化装置、データ検索装置、復号装置およびそれらのプログラム
CN107124271B (zh) * 2017-04-28 2020-12-04 成都梆梆信息技术咨询服务有限公司 一种数据加密、解密方法和设备
CN107315968B (zh) * 2017-06-29 2019-08-23 国信优易数据有限公司 一种数据处理方法及设备
CN109120639B (zh) * 2018-09-26 2021-03-16 众安信息技术服务有限公司 一种基于区块链的数据云存储加密方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106250453A (zh) * 2016-07-27 2016-12-21 北京电子科技学院 基于云存储的数值型数据的密文检索方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Confidentiality Technique to Encrypt and Obfuscate Non-Numerical and Numerical Data to Enhance Security in Public Cloud Storage";S. Arul Oli、L. Arockiam;《2017 World Congress on Computing and Communication Technologies (WCCCT)》;20171019;全文 *
"面向云存储的多副本文件完整性验证方案";付艳艳、张敏、陈开渠、冯登国;《计算机研究与发展》;20140715;第51卷(第07期);第1410-1416页 *

Also Published As

Publication number Publication date
CN110099048A (zh) 2019-08-06

Similar Documents

Publication Publication Date Title
CN110099048B (zh) 一种云存储方法及设备
CN108092776B (zh) 一种基于身份认证服务器和身份认证令牌的系统
US10263969B2 (en) Method and apparatus for authenticated key exchange using password and identity-based signature
US10601801B2 (en) Identity authentication method and apparatus
US10574648B2 (en) Methods and systems for user authentication
CN107295011B (zh) 网页的安全认证方法及装置
CN110401615B (zh) 一种身份认证方法、装置、设备、系统及可读存储介质
CN113067823B (zh) 邮件用户身份认证和密钥分发方法、系统、设备及介质
CN105391734A (zh) 一种安全登录系统及方法、登录服务器和认证服务器
CN108199847B (zh) 数字安全处理方法、计算机设备及存储介质
CN108111497A (zh) 摄像机与服务器相互认证方法和装置
CN114900338A (zh) 一种加密解密方法、装置、设备和介质
CN114143108B (zh) 一种会话加密方法、装置、设备及存储介质
CN111130798A (zh) 一种请求鉴权方法及相关设备
CN104994095A (zh) 一种设备认证方法、客户端、服务器及系统
CN113709115A (zh) 认证方法及装置
CN114244530A (zh) 资源访问方法及装置、电子设备、计算机可读存储介质
CN110110551B (zh) 一种数据存储方法及装置
CN109614789A (zh) 一种终端设备的验证方法及设备
CN110493177B (zh) 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
CN103166969A (zh) 一种基于云计算平台的安全云控制器访问方法
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN115442037A (zh) 一种账号管理方法、装置、设备及存储介质
CN111404680B (zh) 口令管理方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant