CN105187456A - 一种云盘文件数据安全保护方法 - Google Patents
一种云盘文件数据安全保护方法 Download PDFInfo
- Publication number
- CN105187456A CN105187456A CN201510704616.1A CN201510704616A CN105187456A CN 105187456 A CN105187456 A CN 105187456A CN 201510704616 A CN201510704616 A CN 201510704616A CN 105187456 A CN105187456 A CN 105187456A
- Authority
- CN
- China
- Prior art keywords
- file
- user
- key
- cloud
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种云盘文件数据安全保护方法。该方法采用对称密钥算法产生文件密钥,对文件明文数据使用文件密钥加密保护;采用非对称算法产生用户公私钥,对文件密钥使用用户公钥加密保护。在计算性能和用户安全应用方面做了很好的均衡,将文件数据的最终访问权掌握在用户手中,避免了斯诺登事件。
Description
技术领域
本发明涉及一种云盘文件数据安全保护方法,特别是涉及一种适用于云盘文件数据安全保护方法。
背景技术
2015年7月6日,意大利著名黑客公司HackingTeam的服务器受到攻击,该公司约400GB的数据被窃取,包括HackingTeam一些产品的源代码、邮件、录音和客户详细信息。与此类似的有斯诺登事件、CSDN用户密码泄露、12306用户身份信息泄露等,无不警示着人们需要一个有效的数据安全防护机制来保证用户数据安全。
对称加密是最快速、最简单的一种加密方式,加密(Encryption)和解密(Decryption)使用同样的密钥(SecretKey)。对称加密通常使用的是相对较小的密钥,一般小于256bit,密钥越大,加密越强,但加密和解密的过程越慢。对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高;其缺点在于数据传送前,发送方和接收方必须商定好密钥,然后双方都能保存好密钥。
非对称加密为数据的加密和解密提供了一个非常安全的方法,它使用了一对密钥——公钥(PublicKey)和私钥(PrivateKey)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。虽然非对称加密很安全,但和对称加密比起来,计算速度非常慢。
发明内容
本发明要解决的技术问题是提供一种云盘文件数据安全保护方法
本发明采用的技术方案如下:一种云盘文件数据安全保护方法,具体方法为:采用对称密钥算法产生文件密钥,对文件明文数据使用文件密钥加密保护;采用非对称算法产生用户公私钥,对文件密钥使用用户公钥加密保护。
文件明文采用对称密钥加密,计算量小、加密速度快、加密效率高;文件明文数据采用文件密钥加密保护,文件密钥采用用户公钥加密保护,从而对文件明文数据形成一个递进式的保护链。递进式的保护链在计算性能和用户安全应用方面做了很好的均衡。采用层次密钥保护方式,将文件数据的最终访问权掌握在用户手中,避免了斯诺登事件。
所述方法还包括,采用用户私钥对创建的用户文件进行签名。
所述方法还包括,设置用户文件的文件安全区域,加密后的文件密钥及所述签名的签名值存储在该文件安全区域。
采用文件安全区域存储文件密钥,比起数据库方式,既节省了数据库容量,更去除关联查询文件密钥的损耗。
所述文件安全区域在文件前512字节区域。
当用户第一次创建文件并上传或下载数据时,直接使用生成的文件密钥句柄进行数据的加密或解密;当用户非第一次上传或下载数据时,需要将文件安全区域的文件密钥密文和签名取到本地,首先使用用户公钥验证签名确定文件属于用户,然后再使用用户私钥解密文件密钥密文得到文件密钥句柄,然后对文件数据进行加密或解密。上传到云盘***中的文件密文数据都按顺序放在文件区域的后面,只不过相对没加密前,对应的数据相对于文件开始位置多了一个512字节的偏移量。
所述方法还包括,云盘***为每个用户生成一对公私钥对,用户私钥掌握在用户手中,用户公钥保存在云盘***中。
所述方法还包括,用户每创建一个文件的同时也为该文件产生一个文件密钥。使用一文件一密钥方式,即使破解得到某个文件密钥也无法解密其它文件。
云盘***为每个用户产生公私钥对应的用户证书,用作用户登录云盘***进行认证。
根据权利要求5所述的云盘文件数据安全保护方法,所述方法还包括,用户采用USBKEY便携介质自身保存用户证书。用户每次都需要USBKEY才能登陆云盘***进行操作。
与现有技术相比,本发明的有益效果是:在计算性能和用户安全应用方面做了很好的均衡,将文件数据的最终访问权掌握在用户手中,避免了斯诺登事件。
附图说明
图1为本发明其中一实施例的原理示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
云盘***为每个用户产生一对公私钥对(公钥Userpub和私钥Userpri),并生成该对公私钥对应的用户证书Usercert,用户证书用作用户登录云盘***进行认证。云盘***为用户保存用户公钥Userpub,而用户自身需要保存用户证书和用户私钥,保存方式采用USBKEY便携介质,也意味着只有用户才拥有用户私钥。用户每次都需要USBKEY才能登陆云盘***进行操作。
如图1所示,用户在创建文件时,云盘***在用户客户端中为该文件生成文件密钥Filekey,文件密钥需要通过用户公钥Userpub保护,同时使用用户私钥Userpri)签名,然后将文件密钥密文及其签名值上传到云盘***。云盘***将文件的文件密钥密文及其签名值存储在每个文件前512字节区域,该区域称为文件安全区域。
当用户第一次创建文件并上传或下载数据时,直接使用生成的文件密钥句柄进行数据的加密或解密;当用户非第一次上传或下载数据时,需要将文件安全区域的文件密钥密文和签名取到本地,首先使用用户公钥验证签名确定文件属于用户,然后再使用用户私钥解密文件密钥密文得到文件密钥句柄,然后对文件数据进行加密或解密。上传到云盘***中的文件密文数据都按顺序放在文件区域的后面,只不过相对没加密前,对应的数据相对于文件开始位置多了一个512字节的偏移量。
Claims (9)
1.一种云盘文件数据安全保护方法,具体方法为:采用对称密钥算法产生文件密钥,对文件明文数据使用文件密钥加密保护;采用非对称算法产生用户公私钥,对文件密钥使用用户公钥加密保护。
2.根据权利要求1所述的云盘文件数据安全保护方法,所述方法还包括,采用用户私钥对创建的用户文件进行签名。
3.根据权利要求2所述的云盘文件数据安全保护方法,所述方法还包括,设置用户文件的文件安全区域,加密后的文件密钥及所述签名的签名值存储在该文件安全区域。
4.根据权利要求3所述的云盘文件数据安全保护方法,所述文件安全区域在文件前512字节区域。
5.根据权利要求3或4所述的云盘文件数据安全保护方法,当用户第一次创建文件并上传或下载数据时,直接使用生成的文件密钥句柄进行数据的加密或解密;当用户非第一次上传或下载数据时,需要将文件安全区域的文件密钥密文和签名取到本地,首先使用用户公钥验证签名确定文件属于用户,然后再使用用户私钥解密文件密钥密文得到文件密钥句柄,然后对文件数据进行加密或解密。
6.根据权利要求1所述的云盘文件数据安全保护方法,所述方法还包括,云盘***为每个用户生成一对公私钥对,用户私钥掌握在用户手中,用户公钥保存在云盘***中。
7.根据权利要求1所述的云盘文件数据安全保护方法,所述方法还包括,用户每创建一个文件的同时也为该文件产生一个文件密钥。
8.根据权利要求5所述的云盘文件数据安全保护方法,所述方法还包括,云盘***为每个用户产生公私钥对应的用户证书,用作用户登录云盘***进行认证。
9.根据权利要求5所述的云盘文件数据安全保护方法,所述方法还包括,用户采用USBKEY便携介质自身保存用户证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510704616.1A CN105187456A (zh) | 2015-10-27 | 2015-10-27 | 一种云盘文件数据安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510704616.1A CN105187456A (zh) | 2015-10-27 | 2015-10-27 | 一种云盘文件数据安全保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105187456A true CN105187456A (zh) | 2015-12-23 |
Family
ID=54909300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510704616.1A Pending CN105187456A (zh) | 2015-10-27 | 2015-10-27 | 一种云盘文件数据安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105187456A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254324A (zh) * | 2016-07-26 | 2016-12-21 | 杭州文签网络技术有限公司 | 一种存储文件的加密方法及装置 |
| CN107666479A (zh) * | 2017-08-02 | 2018-02-06 | 上海壹账通金融科技有限公司 | 信息加密解密方法、装置、计算机设备和存储介质 |
| CN109889518A (zh) * | 2019-02-18 | 2019-06-14 | 天固信息安全***(深圳)有限责任公司 | 一种加密存储方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103618607A (zh) * | 2013-11-29 | 2014-03-05 | 北京易国信科技发展有限公司 | 一种数据安全传输和密钥交换方法 |
| CN103731261A (zh) * | 2014-01-09 | 2014-04-16 | 西安电子科技大学 | 加密重复数据删除场景下的密钥分发方法 |
| CN103746993A (zh) * | 2014-01-07 | 2014-04-23 | 南京大学 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
| CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
| EP2893690A1 (en) * | 2012-09-10 | 2015-07-15 | Nwstor Limited | Data security management system |
-
2015
- 2015-10-27 CN CN201510704616.1A patent/CN105187456A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2893690A1 (en) * | 2012-09-10 | 2015-07-15 | Nwstor Limited | Data security management system |
| CN103618607A (zh) * | 2013-11-29 | 2014-03-05 | 北京易国信科技发展有限公司 | 一种数据安全传输和密钥交换方法 |
| CN103746993A (zh) * | 2014-01-07 | 2014-04-23 | 南京大学 | 客户控制解密私钥且服务器实施加解密云存储数据加密法 |
| CN103731261A (zh) * | 2014-01-09 | 2014-04-16 | 西安电子科技大学 | 加密重复数据删除场景下的密钥分发方法 |
| CN104378206A (zh) * | 2014-10-20 | 2015-02-25 | 中国科学院信息工程研究所 | 一种基于USB-Key的虚拟桌面安全认证方法及*** |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254324A (zh) * | 2016-07-26 | 2016-12-21 | 杭州文签网络技术有限公司 | 一种存储文件的加密方法及装置 |
| CN106254324B (zh) * | 2016-07-26 | 2019-05-17 | 杭州文签网络技术有限公司 | 一种存储文件的加密方法及装置 |
| CN107666479A (zh) * | 2017-08-02 | 2018-02-06 | 上海壹账通金融科技有限公司 | 信息加密解密方法、装置、计算机设备和存储介质 |
| WO2019024230A1 (zh) * | 2017-08-02 | 2019-02-07 | 上海壹账通金融科技有限公司 | 信息加密解密方法、装置、计算机设备和存储介质 |
| CN109889518A (zh) * | 2019-02-18 | 2019-06-14 | 天固信息安全***(深圳)有限责任公司 | 一种加密存储方法 |
| CN109889518B (zh) * | 2019-02-18 | 2022-02-15 | 天固信息安全***(深圳)有限责任公司 | 一种加密存储方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10616213B2 (en) | Password manipulation for secure account creation and verification through third-party servers | |
| US10785019B2 (en) | Data transmission method and apparatus | |
| KR101493212B1 (ko) | 아이디 기반 암호화, 복호화 방법 및 이를 수행하기 위한 장치 | |
| CN102546181B (zh) | 基于密钥池的云存储加解密方法 | |
| CN101340279B (zh) | 数据加密及解密方法、***及设备 | |
| SG11201903671WA (en) | Data transmission method, apparatus and system | |
| Pant et al. | Three step data security model for cloud computing based on RSA and steganography | |
| CN107070948A (zh) | 云存储中基于混合加密算法的签名与验证方法 | |
| WO2017097344A1 (en) | Method for re-keying an encrypted data file | |
| CN103957109A (zh) | 一种云数据隐私保护安全重加密方法 | |
| JP2016533048A5 (zh) | ||
| CN104868996A (zh) | 一种数据加密解密方法、装置以及终端 | |
| CN102624522A (zh) | 一种基于文件属性的密钥加密方法 | |
| CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及*** | |
| CN103684765B (zh) | 管理***中加密、解密数据的方法及装置 | |
| CN103036880A (zh) | 网络信息传输方法、设备及*** | |
| CN103607278A (zh) | 一种安全的数据云存储方法 | |
| CN102694650B (zh) | 一种基于身份加密的密钥生成方法 | |
| CN101808089A (zh) | 基于非对称加密算法同态性的秘密数据传输保护方法 | |
| CN103916248A (zh) | 一种全同态加密公钥空间压缩方法 | |
| CN103036684A (zh) | 降低主密钥破解和泄露危害的ibe数据加密***及方法 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| US11438156B2 (en) | Method and system for securing data | |
| CN105187456A (zh) | 一种云盘文件数据安全保护方法 | |
| CN103607273A (zh) | 一种基于时间期限控制的数据文件加解密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151223 |
|
| RJ01 | Rejection of invention patent application after publication |