CN102523201B - 云安全环境下的用户隐私保护方法 - Google Patents
云安全环境下的用户隐私保护方法 Download PDFInfo
- Publication number
- CN102523201B CN102523201B CN201110392536.9A CN201110392536A CN102523201B CN 102523201 B CN102523201 B CN 102523201B CN 201110392536 A CN201110392536 A CN 201110392536A CN 102523201 B CN102523201 B CN 102523201B
- Authority
- CN
- China
- Prior art keywords
- program file
- file
- characteristic value
- distributed hashtable
- privacy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种云安全环境下的用户隐私保护方法,包括:客户端拦截进程创建,以获取进程的程序文件路径,根据程序文件路径计算程序文件的特征值,判断程序文件的特征值是否存在于本地数据库中,若程序文件的特征值不是存在于本地数据库中,则将程序文件的特征值发送至云端,判断程序文件的特征值是否存在于云端的数据库中,若存在于云端的数据库中,则判断程序文件是否为办公类型文件,若程序文件不是办公类型文件,则对程序文件执行加密分片处理,以生成分布式哈希表网络索引信息和密钥,将分布式哈希表网络索引信息和密钥发送到云端,从分布式哈希表网络中获取分片文件,使用密钥将分片文件解密,以得到解密后的程序文件。
Description
技术领域
本发明属于计算机安全领域,更具体地说,本发明涉及一种云安全环境下的用户隐私保护方法。
背景技术
云安全通过云计算环境,为用户提供更为安全可靠的安全服务。它通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到云端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全以其强大的网络处理能力服务于大量客户端,然而,由于大量客户端的数据文件存放于云端,由此产生了严重的用户隐私泄露的隐患。
当前的云安全环境中有以下几种用户隐私保护办法:
1)金山云安全:金山毒霸的私有数据保护功能可以设定隐私保护的内容,当发送邮件时,程序会自动监测,发现邮件中包含了所设定保护的内容后,会有弹出窗口提示用户进行选择。这可以阻止病毒、木马、间谍软件或者其他恶意程序未经认证而使用电子邮件来盗取、收集用户的隐私数据。它能帮助用户加密保存密码、电话号码、银行帐号及***等一系列重要的数据,以保障数据的安全性。
2)瑞星、熊猫等云安全:只会上传病毒库相关的可移植的执行体数据文件,最多只有IP地址,其隐私声明中明确表示不会将“上报信息”与个人身份相关联。这样,能保证既能扫描所上传的文件,又不会与用户身份有关联而泄露用户的隐私数据。
然而,以上的保护方法存在以下几个问题:
(1)对用户数据的隐私保护的覆盖面太小,仅监控发送邮件内容而忽视了上传云端的数据文件;
(2)影响云安全服务体验,只上传可移植的执行体文件将会漏过很多潜在的可疑文件,造成安全隐患;
(3)本地客户端太过庞大,影响客户端执行效率。
发明内容
本发明的目的在于提供一种云安全环境下的用户隐私保护方法,其不仅能让用户充分享受云安全带来的服务,而且可以最大限度的保护用户隐私信息不被泄露。
本发明是通过以下技术方案实现的:
一种云安全环境下的用户隐私保护方法,包括以下步骤:客户端拦截进程创建,以获取进程的程序文件路径,根据程序文件路径计算程序文件的特征值,判断程序文件的特征值是否存在于本地数据库中,若程序文件的特征值不是存在于本地数据库中,则将程序文件的特征值发送至云端,判断程序文件的特征值是否存在于云端的数据库中,若程序文件的特征值不是存在于云端的数据库中,则判断程序文件是否为办公类型文件,若程序文件不是办公类型文件,则对程序文件执行加密分片处理,以生成分布式哈希表网络索引信息和密钥,将分布式哈希表网络索引信息和密钥发送到云端,根据分布式哈希表网络索引信息从分布式哈希表网络中获取分片文件,使用密钥将分片文件解密,以得到解密后的程序文件,将解密后的程序文件提交到杀毒引擎处理,并删除解密后的程序文件,将杀毒引擎处理的结果返回给客户端。
本发明的方法还包括步骤:在使用密钥将分片文件解密,以得到解密后的程序文件的步骤之后,删除分布式哈希表网络索引信息。
本发明的方法还包括步骤:若程序文件的特征值存在于本地数据库中,则将本地数据库中程序文件的特征值对应的杀毒引擎扫描结果返回给客户端,若程序文件的特征值存在于云端的数据库中,则将云端的数据库中程序文件的特征值对应的杀毒引擎扫描结果返回给客户端。
本发明的方法还包括步骤:若程序文件是办公类型文件,则对程序文件进行隐私处理,将隐私处理后的程序文件传送到云端,并进入将解密后的程序文件提交到杀毒引擎处理,并删除解密后的程序文件的步骤。
对程序文件进行隐私处理的步骤包括:采用二进制格式解析办公类型文件,以获取办公类型文件的主数据流、摘要信息流和数据流,从办公类型文件的摘要信息流中获取主数据流和数据流的大小和存放地址,根据主数据流和数据流的大小和存放地址将主数据流和数据流的内容置零,以生成隐私处理后的程序文件。
对程序文件执行加密分片处理,以生成分布式哈希表网络索引信息和密钥的步骤包括:随机生成256位RC4密钥和64位数据加密标准密钥,使用RC4密钥对程序文件进行加密,以生成初始密文,对初始密文按照1024KB的大小进行分片,以生成多个1024KB的分片文件和一个小于1024KB的分片文件,取出分片文件的前后16比特数据,对其采用数据加密标准加密,并将加密后的分片文件存储于原分片文件中,初始化分布式哈希表网络,以获取分布式哈希表网络结点信息,并将其加入分布式哈希表网络,根据分布式哈希表网络结点信息将加密后的分片文件分发到分布式哈希表网络中,并记录存放分片文件的分布式哈希表网络结点信息,根据分布式哈希表网络结点信息生成分布式哈希表网络索引信息。
本发明具有以下优点:
(1)用户隐私保护的覆盖面广
本发明采用独特的处理技术,在上传文件时,通过分析文件类型,对文档类文件,去除其中的文本内容后上传至云端,云端所得文件中将不存在隐私问题;而对其他类文件,本发明提出将密钥和文件加密分片后存储于分布式哈希表网络中,这样,即使云端获得了加密数据,也无法即时解密,由于分布式哈希表网络的特性,密钥具有时效性,时效过后,云端只能采用暴力破解这种最耗资源的方式才能获取密钥解密数据,这大大增强了对用户数据的保护。这样,几乎所有文件都可以得到用户隐私保护;
(2)不影响正常的云服务体验
本发明对两种类型文件的处理都不会影响云端对文件的扫描和判断,文件上传至云端后依然能够扫描出病毒并反馈给用户,上传的文件也足够全面,不会影响用户的云安全服务;
(3)执行过程的高效性
当访问或者执行某个文件之前,先对其进行消息摘要算法第五版校验,根据其校验值来判断该文件是否被检测过。如果已经检测,那么由客户端或者云端直接反馈判断结果;如果没有检测,则上传至云端进行检测。也就是说,对所有用户而言,只有在没有命中时才上传,也只有在未命中时才进行隐私处理。当大量用户同时运行***时,命中率可以高达95%以上,因此整个隐私保护过程具有极高的效率;
(4)密钥管理的安全性
本发明通过分布式哈希表网络保存临时密钥,密钥索引由用户保存,只会将密钥索引授权给特定的用户,密钥的保存依托于分布式哈希表网络这样一个不稳定的环境中,可以保证在一定时效之后密钥将消亡,即使获得密钥索引,也无法还原出密钥本身,保证了密钥的安全性。
附图说明
图1为本发明云安全环境下的用户隐私保护方法的流程图。
图2为本发明方法中步骤(7)的细化流程图。
图3为本发明方法中步骤(15)的细化流程图。
具体实施方式
如图1所示,本发明云安全环境下的用户隐私保护方法包括以下步骤:
(1)客户端拦截进程创建,获取该进程的程序文件路径;
(2)根据程序文件路径,使用消息摘要算法第五版(Message-DigestAlgorithm 5,简称MDA-5)计算程序文件的特征值;
(3)判断程序文件的特征值是否存在于本地数据库中,若不存在于本地数据库中,则转入步骤(4),否则转入步骤(14);
(4)将程序文件的特征值发送至云端;
(5)判断程序文件的特征值是否存在于云端的数据库中,若不存在于云端的数据库中,则转入步骤(6),否则转入步骤(13);
(6)判断程序文件是否为办公类型文件,若不是办公类型文件,则转入步骤(7),否则转入步骤(15)。
(7)对程序文件执行加密分片处理,以生成分布式哈希表(DistributedHash Table,简称DHT)网络索引信息和密钥;
(8)将分布式哈希表网络索引信息和密钥发送到云端;
(9)根据分布式哈希表网络索引信息从分布式哈希表网络中获取分片文件;
(10)使用密钥将分片文件解密,以得到解密后的程序文件;
(11)删除分布式哈希表网络索引信息。
(12)将解密后的程序文件提交到杀毒引擎处理,并删除解密后的程序文件;
(13)将杀毒引擎处理的结果返回给客户端;
(14)将本地数据库中程序文件的特征值对应的杀毒引擎扫描结果返回给客户端;
(15)对程序文件进行隐私处理;
(16)将隐私处理后的程序文件传送到云端,并返回步骤(12)。
如图2所示,本发明方法的步骤(7)包括以下子步骤:
(7-1)随机生成256位RC4密钥和64位数据加密标准密钥;
(7-2)使用RC4密钥对程序文件进行加密,以生成初始密文;
(7-3)对初始密文按照1024KB的大小进行分片,以生成多个1024KB的分片文件和一个小于1024KB的分片文件;
(7-4)取出分片文件的前后16比特数据,对其采用数据加密标准加密,并将加密后的分片文件存储于原分片文件中;
(7-5)初始化分布式哈希表网络,以获取分布式哈希表网络结点信息,并将其加入分布式哈希表网络;
(7-6)根据分布式哈希表网络结点信息将加密后的分片文件分发到分布式哈希表网络中,并记录存放分片文件的分布式哈希表网络结点信息;
(7-7)根据分布式哈希表网络结点信息生成分布式哈希表网络索引信息。
如图3所示,本发明方法的步骤(15)包括以下子步骤:
(15-1)采用二进制格式解析办公类型文件,以获取办公类型文件的主数据流、摘要信息流和数据流;
(15-2)从办公类型文件的摘要信息流中获取主数据流和数据流的大小和存放地址;
(15-3)根据主数据流和数据流的大小和存放地址将主数据流和数据流的内容置零,以生成隐私处理后的程序文件。
Claims (6)
1.一种云安全环境下的用户隐私保护方法,包括以下步骤:
客户端拦截进程创建,以获取进程的程序文件路径;
根据所述程序文件路径计算程序文件的特征值;
判断所述程序文件的特征值是否存在于本地数据库中;
若所述程序文件的特征值不是存在于所述本地数据库中,则将所述程序文件的特征值发送至云端;
判断所述程序文件的特征值是否存在于所述云端的数据库中;
若所述程序文件的特征值不是存在于所述云端的数据库中,则判断所述程序文件是否为办公类型文件;
若所述程序文件不是所述办公类型文件,则对所述程序文件执行加密分片处理,以生成分布式哈希表网络索引信息和密钥;
将所述分布式哈希表网络索引信息和所述密钥发送到所述云端;
根据所述分布式哈希表网络索引信息从分布式哈希表网络中获取分片文件;
使用所述密钥将所述分片文件解密,以得到解密后的程序文件;
将所述解密后的程序文件提交到杀毒引擎处理,并删除所述解密后的程序文件;
将杀毒引擎处理的结果返回给所述客户端。
2.根据权利要求1所述的用户隐私保护方法,其特征在于,还包括步骤:在所述使用所述密钥将所述分片文件解密,以得到解密后的程序文件的步骤之后,删除所述分布式哈希表网络索引信息。
3.根据权利要求1所述的用户隐私保护方法,其特征在于,还包括步骤:
若所述程序文件的特征值存在于所述本地数据库中,则将所述本地数据库中所述程序文件的特征值对应的杀毒引擎扫描结果返回给所述客户端;
若所述程序文件的特征值存在于所述云端的数据库中,则将所述云端的数据库中所述程序文件的特征值对应的杀毒引擎扫描结果返回给所述客户端。
4.根据权利要求1所述的用户隐私保护方法,其特征在于,还包括步骤:
若所述程序文件是所述办公类型文件,则对所述程序文件进行隐私处理;
将隐私处理后的所述程序文件传送到所述云端,并进入所述将所述解密后的程序文件提交到杀毒引擎处理,并删除所述解密后的程序文件的步骤。
5.根据权利要求4所述的用户隐私保护方法,其特征在于,所述对所述程序文件进行隐私处理的步骤包括:
采用二进制格式解析所述办公类型文件,以获取所述办公类型文件的主数据流、摘要信息流和数据流;
从所述办公类型文件的摘要信息流中获取所述主数据流和所述数据流的大小和存放地址;
根据所述主数据流和所述数据流的大小和存放地址将所述主数据流和所述数据流的内容置零,以生成隐私处理后的程序文件。
6.根据权利要求1所述的用户隐私保护方法,其特征在于,所述对所述程序文件执行加密分片处理,以生成分布式哈希表网络索引信息和密钥的步骤包括:
随机生成256位RC4密钥和64位数据加密标准密钥;
使用所述RC4密钥对所述程序文件进行加密,以生成初始密文;
对所述初始密文按照1024KB的大小进行分片,以生成多个1024KB的分片文件和一个小于1024KB的分片文件;
取出所述分片文件的前后16比特数据,对其采用数据加密标准加密,并将加密后的分片文件存储于原分片文件中;
初始化所述分布式哈希表网络,以获取分布式哈希表网络结点信息,并将其加入所述分布式哈希表网络;
根据所述分布式哈希表网络结点信息将所述加密后的分片文件分发到所述分布式哈希表网络中,并记录存放所述分片文件的分布式哈希表网络结点信息;
根据记录的存放所述分片文件的分布式哈希表网络结点信息生成分布式哈希表网络索引信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110392536.9A CN102523201B (zh) | 2011-12-01 | 2011-12-01 | 云安全环境下的用户隐私保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110392536.9A CN102523201B (zh) | 2011-12-01 | 2011-12-01 | 云安全环境下的用户隐私保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102523201A CN102523201A (zh) | 2012-06-27 |
| CN102523201B true CN102523201B (zh) | 2014-06-18 |
Family
ID=46293993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110392536.9A Expired - Fee Related CN102523201B (zh) | 2011-12-01 | 2011-12-01 | 云安全环境下的用户隐私保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102523201B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414682B (zh) * | 2013-04-07 | 2016-08-17 | 深圳大学 | 一种数据的云端存储方法及*** |
| CN104102358A (zh) * | 2014-07-18 | 2014-10-15 | 北京奇虎科技有限公司 | 隐私信息保护的方法及隐私信息保护装置 |
| CN104954890B (zh) * | 2015-06-24 | 2019-03-26 | 深圳市世文通文化传播有限公司 | 一种云存储图像粉碎均发方法 |
| WO2017070599A1 (en) * | 2015-10-23 | 2017-04-27 | Oracle International Corporation | Automatic operation detection on protected field with support for federated search |
| CN107821284A (zh) * | 2017-11-07 | 2018-03-23 | 河北工业大学 | 一种基于云数据库的智能鱼类饲养*** |
-
2011
- 2011-12-01 CN CN201110392536.9A patent/CN102523201B/zh not_active Expired - Fee Related
Non-Patent Citations (4)
| Title |
|---|
| 云计算中的数据隐私性保护与自我销毁;张逢喆等;《计算机研究与发展》;20110731;第48卷(第7期);1155-1167 * |
| 余智欣等.网格环境下的隐私保护计算研究.《华中科技大学学报(自然科学版)》.2008,第36卷(第1期),52-54. * |
| 张逢喆等.云计算中的数据隐私性保护与自我销毁.《计算机研究与发展》.2011,第48卷(第7期),1155-1167. |
| 毛剑等.云计算环境下隐私保护方案.《清华大学学报(自然科学版)》.2011,第51卷(第10期),1357-1362. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102523201A (zh) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10607016B2 (en) | Decrypting files for data leakage protection in an enterprise network | |
| US8447970B2 (en) | Securing out-of-band messages | |
| CN104660605B (zh) | 一种多因子身份验证方法及其*** | |
| US11714914B2 (en) | Secure storage of passwords | |
| CN109472130A (zh) | Linux密码管理方法、中控机、可读存储介质 | |
| CN102523201B (zh) | 云安全环境下的用户隐私保护方法 | |
| CN106506453B (zh) | 基于快速匹配和完整性检测的电力大数据传输方法及*** | |
| US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
| CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
| CN102024123A (zh) | 一种云计算中虚拟机镜像导入方法及装置 | |
| CN103200009A (zh) | 一种指纹加解密***及方法 | |
| CN105812366A (zh) | 服务器、反爬虫***和反爬虫验证方法 | |
| CN106936579A (zh) | 基于可信第三方代理的云存储数据存储及读取方法 | |
| CN109347923B (zh) | 基于非对称密钥池的抗量子计算云存储方法和*** | |
| CN113515766A (zh) | 文件传输方法及装置 | |
| US20140237239A1 (en) | Techniques for validating cryptographic applications | |
| CN116743470A (zh) | 业务数据加密处理方法及装置 | |
| CN111224958A (zh) | 一种数据传输方法和*** | |
| CN101197822B (zh) | 防止信息泄漏的***和基于该***的防止信息泄漏的方法 | |
| CN106790145A (zh) | 一种云端数据托管***及云端数据托管方法 | |
| CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
| CN109302283B (zh) | 基于公共非对称密钥池的抗量子计算代理云存储方法和*** | |
| CN102088692A (zh) | 锁卡的方法和设备 | |
| CN115150076A (zh) | 一种基于量子随机数的加密***及方法 | |
| CN102025743A (zh) | 一种云计算中虚拟机镜像导出方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140618 Termination date: 20201201 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |