客戶控制解密私鑰且服務器實施加解密云存儲數據加密法
【專利摘要】本發明是客戶控制解密私鑰且由服務器實施加解密的云存儲數據加密方法,包括上載加密過程、密文存儲過程、下載解密過程。在上載加密和下載解密短暫的過程中服務器上只有加解密進程可以接觸到加密文件的一次性會話密鑰,通過安全域隔離方法隔離服務器的加解密進程與其它進程,保護加解密進程在加解密過程中使用的一次性會話密鑰的安全。在長期的密文存儲過程中,服務器上沒有任何能力可以解密客戶的加密了的文件密文數據。優點:用戶完全控制加解密的密鑰,在文件數據存儲期間服務端的任何用戶都無法解密存儲在云端的密文數據,服務端需要保證的唯一的安全服務功能是隔離數據加解密進程與其它進程,減少了服務端的安全管理的難度。
【專利說明】客戶控制解密私鑰且服務器實施加解密云存儲數據加密法
【技術領域】
[0001]本發明涉及的是一種既能夠保護客戶數據隱私不被服務器端泄露又能免除客戶端加解密繁重計算的客戶控制解密私鑰且服務器實施加解密云存儲數據的加密方法,屬于計算機應用【技術領域】。
技術背景
[0002]云存儲為用戶程序提供了既方便又廉價的數據存儲服務,深受用戶的喜歡。但是由于用戶將自己的數據存儲在了云端,用戶數據的保密性成了云存儲的關鍵因素。云服務的客戶需要考慮的是自己的數據的保密性是否可以保證,云服務企業需要考慮是是否可以通過管理手段保證客戶數據不會被非授權的訪問。
【發明內容】
[0003]本發明提出的是一種給出了客戶控制解密私鑰且服務器實施加解密云存儲數據的加密方法,服其目的是在一個客戶與務器的交互協議,可使得云服務端提供文件存儲服務具有以下安全特性:
1)數據的加解密計算服務由云服務端提供,客戶上載的數據由服務器進行加密后存儲,客戶下載的數據由服務器解密后發送給用戶;
2)客戶的密文數據在服務器上的存儲期間,服務端的沒有任何能力可以獲取客戶數據的明文;
3)客戶的解密的關鍵密鑰由客戶自己生成、自己保存控制;
4)客戶端與服務端可以安全地傳送一次性會話密鑰;
5)沒有客戶的加密私鑰的情況下無法解密存儲在云端的密文數據。
[0004]本發明的技術解決方案:客戶控制解密私鑰且服務器實施加解密的云存儲數據加密方法,包括如下步驟:
(1)上載加密
1)客戶自己生成用于加解密的公私鑰對:加密公鑰和加密私鑰;
2)客戶在開始上載文件時上傳自己的加密公鑰;
3)服務器收到客戶上載的文件時生成一次性會話密鑰加密客戶上載的文件數據;
4)服務器用客戶的加密公鑰加密自己生成的用以加密客戶文件數據的一次性會話密
鑰;
5)服務器用一次性會話密鑰加密客戶上載的文件數據;
(2)密文存儲
1)服務器將加密了的一次性會話密鑰和加密了的文件數據合成一個文件存入存儲文件的存儲介質;
2)服務器丟棄一次性會話密鑰;
(3)下載解密 1)客戶向服務器提出在文件的請求;
2)服務器將要下載的文件中保存的加密了的一次性會話密鑰發送個客戶;
3)客戶用自己的加密私鑰解密加密了的一次性會話密鑰得到一次性會話密鑰的明
文;
4)客戶利用保密通道將一次性會話密鑰發送給服務器;
5)服務器收到一次性會話密鑰后,解密加密存儲的文件,發送個客戶。
[0005]本發明的優點:用戶完全控制加解密的密鑰,在文件數據存儲期間服務端沒有任何能力解密存儲在云端的密文數據,服務端需要保證的唯一的安全服務功能是隔離數據加解密進程與其它進程,減少了服務端的安全管理的難度。
【專利附圖】
【附圖說明】
[0006]附圖1是上載加密與存貯流程示意圖。
[0007]附圖2是下載解密流程示意圖。
【具體實施方式】
[0008]客戶控制解密私鑰且服務器實施加解密的云存儲數據加密方法,包括如下步驟:
(1)上載加密(見附圖1)
1)客戶自己生成用于加解密的公私鑰對:加密公鑰和加密私鑰;
2)客戶在開始上載文件時上傳自己的加密公鑰;
3)服務器收到客戶上載的文件時生成一次性會話密鑰加密客戶上載的文件數據;
4)服務器用客戶的加密公鑰加密自己生成的用以加密客戶文件數據的一次性會話密
鑰;
5)服務器用一次性會話密鑰加密客戶上載的文件數據;
(2)密文存儲
1)服務器將加密了的一次性會話密鑰和加密了的文件數據合成一個文件存入存儲文件的存儲介質;
2)服務器丟棄一次性會話密鑰;
(3)下載解密(見附圖2)
1)客戶向服務器提出在文件的請求;
2)服務器將要下載的文件中保存的加密了的一次性會話密鑰發送個客戶;
3)客戶用自己的加密私鑰解密加密了的一次性會話密鑰得到一次性會話密鑰的明
文;
4)客戶利用保密通道將一次性會話密鑰發送給服務器;
5)服務器收到一次性會話密鑰后,解密加密存儲的文件,發送個客戶。
[0009]所述的存儲在服務器中的加密文件,包括加密了的一次性會話密鑰和用一次性會話密鑰加密了的密文文件數據;在文件存儲期間服務器沒有任何辦法解密加密存儲的文件。
[0010]所述的服務器中的文件加解密進程在文件加密或解密的瞬間能獲得一次性會話密鑰;利用安全域隔離方法隔離服務器的加解密進程與其它進程,保護加解密進程在加解密過程中使用的一次性會話密鑰的安全。
[0011]所述的加密數據、解密數據的工作在服務器上進行,解決在移動終端上加密數據、解密數據造成性能下降的問題,同時服務器在文件存儲期間沒有任何辦法解密加密存儲的文件。
實施例
[0012]I)由客戶端來生成用于加解密的公私鑰對,加密公鑰和加密私鑰。用戶自己可以將解密用加密私鑰保存在最安全的地方,任何其他人無法獲得。
[0013]2)客戶在開始上載文件時可以明文上傳自己的加密公鑰,具有安全的密鑰分發機制。
[0014]3)服務器收到客戶上載的文件和加密公鑰后,生成一次性會話密鑰用以加密客戶上載的文件數據;利用客戶端上載的加密公鑰加密會話密鑰;將兩部分密文數據保存在存儲介質上;服務端處理加密的過程與其它進程完全隔離。
[0015]4)服務端在加密計算完成后及時丟棄一次性會話密鑰,保證了在文件存儲期間沒有客戶的加密私鑰任何人無法解密存儲在云端的密文數據。
[0016]5)在客戶端提出下載文件時,服務器向客戶端提交一次性會話密鑰的密文,客戶端收到后利用用戶提供的加密私鑰解密一次性會話密鑰的密文,通過安全信道提交給服務端。
[0017]6)服務端控制處理解密的過程與其它進程完全隔離。
【權利要求】
1.客戶控制解密私鑰且服務器實施加解密的云存儲數據加密方法,其特征是該方法包括如下步驟: (1)上載加密 1)客戶自己生成用于加解密的公私鑰對:加密公鑰和加密私鑰; 2)客戶在開始上載文件時上傳自己的加密公鑰; 3)服務器收到客戶上載的文件時生成一次性會話密鑰加密客戶上載的文件數據; 4)服務器用客戶的加密公鑰加密自己生成的用以加密客戶文件數據的一次性會話密鑰; 5)服務器用一次性會話密鑰加密客戶上載的文件數據; (2)密文存儲 1)服務器將加密了的一次性會話密鑰和加密了的文件數據合成一個文件存入存儲文件的存儲介質; 2)服務器丟棄一次性會話密鑰; (3)下載解密 1)客戶向服務器提出在文件的請求; 2)服務器將客戶要下載的文件中保存的加密了的一次性會話密鑰發送個客戶; 3)客戶用自己的加密私鑰解密加密了的一次性會話密鑰得到一次性會話密鑰的明文; 4)客戶利用保密通道將一次性會話密鑰發送給服務器; 5)服務器收到一次性會話密鑰后,解密加密存儲的文件,發送給客戶。
2.根據權利要求1所述的客戶控制解密私鑰且服務器實施加解密的云存儲數據加密方法,其特征是所述的存儲在服務器中的加密文件,包括加密了的一次性會話密鑰和用一次性會話密鑰加密了的密文文件數據;在文件存儲期間服務器沒有任何辦法解密加密存儲的文件。
3.根據權利要求1所述的客戶控制解密私鑰且服務器實施加解密的云存儲數據加密方法,其特征是所述的服務器中的文件加解密進程在文件加密或解密的瞬間能獲得一次性會話密鑰;利用安全域隔離方法隔離服務器的加解密進程與其它進程,保護加解密進程在加解密過程中使用的一次性會話密鑰的安全。
4.根據權利要求1所述的客戶控制解密私鑰且服務器實施加解密的云存儲數據加密方法,其特征是所述的加密數據、解密數據的工作在服務器上進行,解決了在移動終端上加密數據、解密數據造成性能下降的問題,同時服務器在文件存儲期間沒有任何辦法解密加密存儲的文件。
【文檔編號】H04L29/06GK103746993SQ201410005893
【公開日】2014年4月23日 申請日期:2014年1月7日 優先權日:2014年1月7日
【發明者】黃皓 申請人:南京大學