CN106936771A - 一种基于分级加密的安全云存储方法和*** - Google Patents
一种基于分级加密的安全云存储方法和*** Download PDFInfo
- Publication number
- CN106936771A CN106936771A CN201511016176.7A CN201511016176A CN106936771A CN 106936771 A CN106936771 A CN 106936771A CN 201511016176 A CN201511016176 A CN 201511016176A CN 106936771 A CN106936771 A CN 106936771A
- Authority
- CN
- China
- Prior art keywords
- data
- data storage
- security
- level
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种基于分级加密的安全云存储方法和***。通过对海量的云存储数据进行安全等级评定,并且引入SM2和SM4对不同安全级别的数据采用不同的混合加密算法。在不降低用户使用云存储便捷性的前提下,有效地提高了云存储中数据的安全性,达到有效保护用户数据隐私的目的。所述方法包括:接收用户输入的数据存储请求;对所述数据存储请求的有效性进行验证;如果所述数据存储请求有效,则为数据存储请求所涉及的存储数据确定安全级别;根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理;以及将经过处理的存储数据存储在云存储平台中。
Description
技术领域
本发明涉及信息安全领域,并且更具体地,涉及一种基于分级加密的安全云存储方法和***。
背景技术
云存储平台作为云计算技术的应用方向之一,通过网络技术、集群管理技术、分布式文件技术将海量的以及多种类型的存储设备集成在一起,为用户提供实时在线的海量数据存取服务。近年来,随着互联网技术和云计算技术的快速发展,云存储技术被人们广泛应用。例如,包括百度云、
360
云盘、金山云以及各种类型的私有云存储在内的各种云存储平台被广泛地使用。
云存储的存储对象包含元数据和数据块两部分。元数据主要用于维护云存储中文件和目录的信息,包含存储文件的文件名、目录名、创建时间、父目录、文件数据块所在位置等等。数据块为实际的文件数据,例如视频、图片、文档等。云存储对文件进行分块处理,并将不同的数据块分布式存储在不同的网络节点。
在云存储为用户提供方便快捷服务的同时,云存储的安全问题也引起了众多关注。例如,在公有云存储服务中,
2014
年苹果公司的
icloud
云存储平台被黑客攻击,导致大量用户数据被窃取。
2013
年韩国云服务提供商
SimDisk
的云存储平台被入侵,导致大量用户客户端被黑客控制。而在私有云存储平台中也同样存在着安全问题,
2013
年多家日本汽车公司的私用云存储平台被攻击,导致包括公司未上市的汽车产品资料和销售数据泄露。其他诸如谷歌,
The Linkup
等多家著名云服务提供商都曾出现过各种安全问题,并引起很大的反响。
目前,在云存储平台的实际运营中,还无法完全实现对用户数据的加密存储。大部分云存储技术使用简单的哈希技术、文件名混淆乱序技术等技术。这类型的技术没有对数据进行真正的加密并且没有以密文进行存储。对于没有使用密文存储的数据,云存储平台的管理员可以通过服务端来进行查看和删除。虽然云存储平台有严格的权限分配和管理审查机制,但是如果出现管理员违反职业操守的情况,很有可能造成用户数据泄露。同时,黑客也可能从用户的客户端入手,通过攻击用户的客户端来获取用户的账号密码。在这种情况下,用户在云存储平台中存储的数据难以得到安全保障。同时,随着各种类型云存储平台的使用,相应的安全问题也越来越多。图
1
示出了云存储平台的结构示意图,结合图
1
列举最常见的几种问题:
1
)数据传输安全:用户的客户端与云存储平台之间的数据传输、云存储平台内部管理节点与存储节点、用户的客户端与内部管理节点以及存储节点间的通信都需要有安全机制保证。
2
)数据隔离访问:不同的用户访问云存储平台并且对数据进行操作时,需要隔离访问数据,以保证用户无法访问和操作其他人的数据。
3
)用户身份鉴权:访问云存储平台的所有用户(包括管理员)均需要有相应的身份验证和管理机制,所有用户均需要有标识其身份的证书。
4
)数据存储安全:保障数据在云存储平台中存储的可靠性和保密性。
针对云存储平台的数据安全问题,采用高效的加密机制是保障数据安全的一种合适选择。然而,目前对于使用最为广泛的
RSA
、
AES
加密算法的攻击研究越来越多,如穷尽密钥强力攻击、统计分析攻击、数学分析攻击等等。同时随着云计算和高性能计算机的应用,破解效率有了很大的提升,也造成了使用该类加密算法的安全性进一步降低。
椭圆曲线公钥密码算法
SM2
和分组密码算法
SM4
是中国国家密码管理局公布的商用密码算法。其中
SM2
算法是非对称密码算法,相对于
RSA
算法来说,
SM2
算法可以用更短的密钥来实现更高强度的加密,并且加密效率也优于
RSA
算法。
SM2
算法和
RSA
算法强度对比如图
2
所示,图
2
示出了。
SM4
为对称密码算法,它是一个分组对称密钥算法,其密钥长度和分组长度均为
128
比特,加密算法采用
32
轮非线性迭代结构,该算法运算效率高,在软硬件上均能快速实现。
发明内容
为了解决上述问题,本发明提出一种基于分级加密的安全云存储方法和***。本发明方案的关键点在于:
1.
针对云存储存储数据的架构,提出了一种对云存储中数据的元数据和数据块采取不同的加密方式来保障安全性的方法。云存储***中每个文件的元数据大小都在几
Kb
以内,具体文件内容存储在各个数据块中。因此,我们对于安全级别在中等以上的数据采用
SM2
公钥来加密元数据,保证除了用户使用自己私钥外,其他人甚至是云存储管理员均无法读取文件的元数据。同时,为了防止入侵者暴力读取数据块中的碎片数据,我们对高安全级别的数据使用
SM4
密钥来加密数据块的数据。而对于安全级别在中等和中低级别的数据,我们使用
SM4
密钥来进行加密操作,降低加密强度,也提高了数据访问的快捷性。
2.
基于
SM2
和
SM4
密码算法对云存储数据的加密机制。
SM2
和
SM4
算法是我国国家密码管理局公布的商用密码算法,安全性和性能优于传统的
RSA
算法。当数据最终存储到云存储平台后,对于用户最为重要的数据,元数据采用
SM2
算法完全加密,而分片后的数据块也使用了
SM4
加密算法,除了拥有密钥的用户之外,其他人均无法获取数据的任何信息。而对于中高级数据,除了拥有密钥的用户之外,其他人均无法获取数据的元数据,入侵者最多可能捕获到数据分片的某些数据块,但由于没有不知道数据块的合成机制,也无法获取完整的数据。
根据本发明的一个方面,提供一种基于分级加密的安全云存储方法,包括:
接收用户输入的数据存储请求;
对所述数据存储请求的有效性进行验证;
如果所述数据存储请求有效,则为数据存储请求所涉及的存储数据确定安全级别;
根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理;以及
将经过处理的存储数据存储在云存储平台中。
优选地,其中在接收用户输入的数据存储请求之前,对用户进行身份认证。
优选地,其中为数据存储请求所涉及的存储数据确定安全级别包括:获取数据存储请求中包括的与存储数据相关的安全级别。
优选地,其中为数据存储请求所涉及的存储数据确定安全级别包括:根据自学习方式确定与存储数据相关的安全级别,将所确定的与存储数据相关的安全级别发送给用户,由用户进行确认。
优选地,其中所述自学习方式包括:数据语义分析、关键词分析以及历史数据分析。
优选地,其中所述安全级别包括:高安全级别、中高安全级别、中安全级别、中低安全级别或低安全级别。
优选地,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是高安全级别时,利用用户的
SM2
算法公钥对用户数据的元数据进行加密并且利用
SM4
算法密钥对数据块进行加密。
优选地,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中高安全级别时,数据分级加密单元利用用户的
SM2
算法公钥对用户数据的元数据进行加密。
优选地,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中安全级别时,数据分级加密单元利用用户的
SM4
算法密钥对用户数据的元数据进行加密并且利用用户的
SM4
算法密钥对用户数据的数据块进行加密。
优选地,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中低安全级别时,数据分级加密单元利用用户的
SM4
算法密钥对用户数据的元数据进行加密。
优选地,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当用户存储数据所对应的安全级别是低安全级别时,数据分级加密单元不对元数据和数据块进行加密,使用用户权限管理来控制对存储数据的访问和
/
或修改。
根据本发明的另一方面,提供
一种基于分级加密的安全云存储***,包括:
用户接口,接收用户输入的数据存储请求;
认证单元,对所述数据存储请求的有效性进行验证;
安全级别确定单元,如果所述数据存储请求有效,则为数据存储请求所涉及的存储数据确定安全级别,
数据分级加密单元,根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理;以及
存储单元,对经过处理的存储数据进行存储。
优选地,其中在接收用户输入的数据存储请求之前,由认证单元对用户进行身份认证。
优选地,其中安全级别确定单元为数据存储请求所涉及的存储数据确定安全级别包括:获取数据存储请求中包括的与存储数据相关的安全级别。
优选地,其中安全级别确定单元为数据存储请求所涉及的存储数据确定安全级别包括:根据自学习方式确定与存储数据相关的安全级别,将所确定的与存储数据相关的安全级别发送给用户,由用户进行确认。
优选地,其中所述自学习方式包括:数据语义分析、关键词分析以及历史数据分析。
优选地,其中所述安全级别包括:高安全级别、中高安全级别、中安全级别、中低安全级别或低安全级别。
优选地,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是高安全级别时,利用用户的
SM2
算法公钥对用户数据的元数据进行加密并且利用
SM4
算法密钥对数据块进行加密。
优选地,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中高安全级别时,数据分级加密单元利用用户的
SM2
算法公钥对用户数据的元数据进行加密。
优选地,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中安全级别时,数据分级加密单元利用用户的
SM4
算法密钥对用户数据的元数据进行加密并且利用用户的
SM4
算法密钥对用户数据的数据块进行加密。
优选地,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中低安全级别时,数据分级加密单元利用用户的
SM4
算法密钥对用户数据的元数据进行加密。
优选地,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当用户存储数据所对应的安全级别是低安全级别时,数据分级加密单元不对元数据和数据块进行加密,使用用户权限管理来控制对存储数据的访问和
/
或修改。
云存储在为用户提供方便快捷的数据存储服务的同时,也让用户失去对数据的完全控制权。用户将数据存到云端后,数据的安全性具有一定的不可控性。基于
中国国家密码管理局算法分级加密的云存储技术通过对海量的云存储数据进行安全等级评定,并且引入
SM2
和
SM4
算法对不同安全级别的数据采用不同的混合加密算法。在不降低用户使用云存储便捷性的前提下,本发明的技术方案中除了拥有密钥的用户外,其他人均无法获取用户数据的任何信息。本发明的技术方案实现了数据在云存储平台的整个生命周期内,云存储服务提供商均无法获取任何数据信息,有效地包含了云存储用户的数据安全,具有较好的应用前景。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图
1
示出了云存储平台
100
的结构示意图;
图
2
示出了
SM2
算法与
RSA
算法的性能比较示意图;
图
3
示出了根据本发明优选实施方式的安全云存储方法
300
的流程图;
图
4
示出了根据本发明优选实施方式的数据分级加密方法的示意图;以及
图
5
示出了根据本发明优选实施方式的安全云存储***
500
的结构示意图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元
/
元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
本发明的基于分级加密的安全云存储方案主要针对云存储中的数据安全问题,基于云存储的数据储存架构并结合
中国国家密码管理局的
SM2
和
SM4
密码算法,对云存储的数据采用数据分级加密的方法进行加密。这种方法涉及数据安全级别定义,数据分级加密存储和数据存取。
图
3
示出了根据本发明优选实施方式的安全云存储方法的流程图。如图
3
所示,安全云存储方法从步骤
301
处开始。在步骤
301
,接收用户输入的数据存储请求。优选地,用户可以通过云存储平台的用户接口来输入数据存储请求。数据存储请求所涉及的数据可以是各种类型的数据,例如,视频、音频、图像、文本等各种类型的数据。
优选地,在步骤
302
,云存储平台的认证单元对用户数据存储请求的有效性进行验证。优选地,认证单元可以对用户的身份进行认证。例如,输入数据存储请求的用户是否具有存储权限。当用户不具有存储权限时,拒绝用户的存储请求。此外,认证单元还对数据存储请求进行认证。优选地,数据存储请求包括用户请求存储数据的类型、存储数据的大小、存储数据的数量等各种内容。例如,当用户请求存储数据的类型是不符合规定的类型时,拒绝用户的存储请求;当用户请求存储数据的大小超过云存储平台的设定值时,拒绝用户的存储请求;以及当用户请求存储数据的数量超过云存储平台的设定值时,拒绝用户的存储请求。
优选地,当云存储平台的认证单元对用户数据存储请求的有效性进行验证后确定用户数据存储请求有效时,进行步骤
303
,否则方法结束,并且向用户提示数据存储请求无效及无效原因。在步骤
303
,数据分级加密单元确定用户是否为数据存储请求所涉及的数据确定了安全级别。优选地,云存储平台会为用户存储的数据划分安全级别,并且根据安全级别来确定数据的加密方式。本发明以五个安全级别作为实例进行说明,应当了解的是,安全级别的数量可以是任意合理的数值。本发明的五个安全级别为高安全级别、中高安全级别、中安全级别、中低安全级别和低安全级别。云存储平台会根据用户存储的数据所对应的安全级别确定数据的加密方式,详细方式将在下面介绍。在步骤
303
,当确定用户为数据存储请求所涉及的数据确定了安全级别时,方法进行到步骤
304
,否则进行步骤
307
。
在步骤
304
,数据分级加密单元根据用户存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对用户存储数据进行处理。其中用户存储数据包括
元数据和数据块。图
4
示出了根据本发明优选实施方式的数据分级加密的示意图。如图
4
所示,数据分级加密单元确定用户存储数据所对应的安全级别,例如高安全级别、中高安全级别、中安全级别、中低安全级别和低安全级别。数据分级加密单元根据安全级别选择加密方式,根据所选择的加密方式对用户存储数据进行加密。当用户存储数据所对应的安全级别是高安全级别时,数据分级加密单元利用用户的
SM2
算法公钥对用户数据的元数据进行加密并且利用
SM4
算法密钥对数据块进行加密。当用户存储数据所对应的安全级别是中高安全级别时,数据分级加密单元利用用户的
SM2
算法公钥对用户数据的元数据进行加密。当用户存储数据所对应的安全级别是中安全级别时,数据分级加密单元利用用户的
SM4
算法密钥对用户数据的元数据进行加密并且利用用户的
SM4
算法密钥对用户数据的数据块进行加密。当用户存储数据所对应的安全级别是中低安全级别时,数据分级加密单元利用用户的
SM4
算法密钥对用户数据的元数据进行加密。当用户存储数据所对应的安全级别是低安全级别时,数据分级加密单元不对元数据和数据块进行加密。安全级别是低安全级别的情况下,仅使用用户权限来控制对数据的访问、修改和删除。
优选地,在步骤
305
,在数据分级加密单元对用户存储数据进行处理后,将加密
/
未加密的数据存储到云存储平台中。
优选地,当在步骤
303
确定用户没有为数据存储请求所涉及的数据确定安全级别时,方法进行到步骤
307
。优选地,在步骤
307
,分级加密自学习单元确定用户的数据存储请求所涉及的数据的安全级别。其中,分级加密自学习单元通过学习用户对数据的语义分析方式、通过预先定义的关键词判定数据的安全级别等多种自学习方式来对用户数据的安全等级提出分级建议并反馈给用户。如果用户在提交数据存储请求时没有对数据确定安全级别,则数据分级自学习单元可以根据关键词来定义个相应的安全等级,并将该建议反馈给用户,由用户决定数据最终的安全等级。此外,数据分级自学习模块中引入数据格式解析、内容分类、自然语言处理等方法来对数据进行合理的分类。
优选地,分级加密自学***台存储数据进行统计时,发现用户确定的安全级别为高安全级别
10
次、中高安全级别
2
次、并且其余安全级别次数为
0
,则分级加密自学习单元对用户数据的安全等级提出的分级建议是高安全级别,并且将分级建议是高安全级别反馈给用户,以等待用户确认。
优选地,分级加密自学习单元可以通过对用户存储数据请求中涉及的关键词进行分析,从而提出分级建议。例如,分级加密自学习单元可以将规划、报告、合同、草案、备份等设置为高安全级别,或者将休闲、无关、回收站等设置为低安全级别。
优选地,在步骤
308
,用户可以根据分级建议确定安全级别。云存储平台通过用户接口向用户显示分级加密自学习单元所确定的安全级别,由用户进行选择。当用户确定了安全级别后,方法进行到步骤
304
。
图
5
示出了根据本发明优选实施方式的安全云存储***
500
的结构示意图。如图
5
所示,安全云存储***
500
包括:用户接口
501
、认证单元
502
、安全级别确定单元
503
、数据分级加密单元
54
和存储单元
505
。安全云存储***
500
对用户进行身份认证,认证通过后,用户提交数据存储请求。或者,安全云存储***
500
在用户提交数据存储请求时对用户进行身份认证。***
500
可以对数据存储请求所涉及的数据进行认证,如果通过认证则进行随后的处理。***
500
验证用户是否对请求存储的数据进行了安全级别指定。如果没有指定安全级别,***
500
使用数据分级自学习单元对数据安全级别进行分析并确定建议的安全级别。***
500
将建议的安全级别反馈给用户,由用户来安全级别。确认数据的安全级别后使用数据分级加密单元根据数据的安全级别来对数据加密,并将加密数据最终存储到云存储中,完成一次数据安全存储过程。
优选地,用户接口
501
用于接收用户输入的数据存储请求以及向用户显示由***建议的安全级别。优选地,用户可以使用用户接口
501
来输入数据存储请求。数据存储请求所涉及的数据可以是各种类型的数据,例如,视频、音频、图像、文本等各种类型的数据。优选地,***
500
可以通过用户接口
501
向用户显示建议的安全级别,并且用户可以在用户接口
501
中从建议的安全级别选择安全级别。
优选地,认证单元
502
对用户数据存储请求的有效性进行验证。优选地,认证单元
502
可以对用户的身份进行认证。例如,输入数据存储请求的用户是否具有存储权限。当用户不具有存储权限时,拒绝用户的存储请求。此外,认证单元
502
还对数据存储请求进行认证。优选地,数据存储请求包括用户请求存储数据的类型、存储数据的大小、存储数据的数量等各种内容。例如,当用户请求存储数据的类型是不符合规定的类型时,拒绝用户的存储请求;当用户请求存储数据的大小超过云存储平台的设定值时,拒绝用户的存储请求;以及当用户请求存储数据的数量超过云存储平台的设定值时,拒绝用户的存储请求。
优选地,认证单元
502
可以在用户输入数据存储请求前对用户进行身份认证,认证通过后,用户提交数据存储请求。然后,认证单元
502
可以对数据存储请求所涉及的数据进行认证,如果通过认证则进行随后的处理。当认证失败时,向用户提示数据存储请求无效及无效原因。
优选地,安全级别确定单元
503
确定用户是否为数据存储请求所涉及的数据确定了安全级别。当认证单元
502
对用户数据存储请求的有效性进行验证后,确定用户数据存储请求有效时,由安全级别确定单元
503
确定用户是否为数据存储请求所涉及的数据确定了安全级别。优选地,云存储***
500
会为用户存储的数据划分安全级别,并且根据安全级别来确定数据的加密方式。本发明以五个安全级别作为实例进行说明,应当了解的是,安全级别的数量可以是任意合理的数值。本发明的五个安全级别为高安全级别、中高安全级别、中安全级别、中低安全级别和低安全级别。云存储平台会根据用户存储的数据所对应的安全级别确定数据的加密方式。
优选地,当安全级别确定单元
503
当确定用户为数据存储请求所涉及的数据确定了安全级别时,数据分级加密单元
504
根据用户存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对用户存储数据进行加密。其中用户存储数据包括
元数据和数据块。图
4
示出了根据本发明优选实施方式的数据分级加密的示意图。如图
4
所示,数据分级加密单元
504
确定用户存储数据所对应的安全级别,例如高安全级别、中高安全级别、中安全级别、中低安全级别和低安全级别。数据分级加密单元
504
根据安全级别选择加密方式,根据所选择的加密方式对用户存储数据进行加密。当用户存储数据所对应的安全级别是高安全级别时,数据分级加密单元
504
利用用户的
SM2
算法公钥对用户数据的元数据进行加密并且利用
SM4
算法密钥对数据块进行加密。当用户存储数据所对应的安全级别是中高安全级别时,数据分级加密单元
504
利用用户的
SM2
算法公钥对用户数据的元数据进行加密。当用户存储数据所对应的安全级别是中安全级别时,数据分级加密单元
504
利用用户的
SM4
算法密钥对用户数据的元数据进行加密并且利用用户的
SM4
算法密钥对用户数据的数据块进行加密。当用户存储数据所对应的安全级别是中低安全级别时,数据分级加密单元
504
利用用户的
SM4
算法密钥对用户数据的元数据进行加密。当用户存储数据所对应的安全级别是低安全级别时,数据分级加密单元
504
不对元数据和数据块进行加密。安全级别是低安全级别的情况下,仅使用用户权限来控制对数据的访问、修改和删除。
优选地,当确定用户没有为数据存储请求所涉及的数据确定安全级别时,安全级别确定单元
503
确定用户的数据存储请求所涉及的数据的安全级别。其中,安全级别确定单元
503
通过学习用户对数据的分析方式、通过预先定义的关键词判定数据的安全级别等多种方式来对用户数据的安全等级提出分级建议并反馈给用户。如果用户在提交数据存储请求时没有对数据确定安全级别,则安全级别确定单元
503
可以根据关键词来定义个相应的安全等级,并将该建议反馈给用户,由用户决定数据最终的安全等级。此外,数据分级自学习模块中引入数据格式解析、内容分类、自然语言处理等方法来对数据进行合理的分类。
优选地,安全级别确定单元
503
可以通过对用户针对之前存储数据确定的加密级别进行分析,从而提出分级建议。例如,对用户在云存储平台存储数据进行统计时,发现用户确定的安全级别为高安全级别
10
次、中高安全级别
2
次、并且其余安全级别次数为
0
,则分级加密自学习单元对用户数据的安全等级提出的分级建议是高安全级别,并且将分级建议是高安全级别反馈给用户,以等待用户确认。
优选地,安全级别确定单元
503
可以通过对用户存储数据请求中涉及的关键词进行分析,从而提出分级建议。例如,分级加密自学习单元可以将规划、报告、合同、草案、备份等设置为高安全级别,或者将休闲、无关、回收站等设置为低安全级别。
优选地,存储单元
505
,用于对数据分级加密单元处理后的存储数据进行存储。优选地,存储单元
505
可以分布在各个不同网络节点上。并且存储单元
505
的存储介质和存取速度可以是不相同的。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考
“
一个
/
所述
/
该
[
装置、组件等
]”
都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。
Claims (22)
1. 一种基于分级加密的安全云存储方法,包括:
接收用户输入的数据存储请求;
对所述数据存储请求的有效性进行验证;
如果所述数据存储请求有效,则为数据存储请求所涉及的存储数据确定安全级别;
根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理;以及
将经过处理的存储数据存储在云存储平台中。
2. 根据权利要求1所述的方法,其中在接收用户输入的数据存储请求之前,对用户进行身份认证。
3. 根据权利要求1所述的方法,其中为数据存储请求所涉及的存储数据确定安全级别包括:获取数据存储请求中包括的与存储数据相关的安全级别。
4. 根据权利要求1所述的方法,其中为数据存储请求所涉及的存储数据确定安全级别包括:根据自学习方式确定与存储数据相关的安全级别,将所确定的与存储数据相关的安全级别发送给用户,由用户进行确认。
5. 根据权利要求4所述的方法,其中所述自学习方式包括:数据语义分析、关键词分析以及历史数据分析。
6. 根据权利要求1所述的方法,其中所述安全级别包括:高安全级别、中高安全级别、中安全级别、中低安全级别或低安全级别。
7. 根据权利要求6所述的方法,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是高安全级别时,利用用户的SM2算法公钥对用户数据的元数据进行加密并且利用SM4算法密钥对数据块进行加密。
8. 根据权利要求6所述的方法,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中高安全级别时,数据分级加密单元利用用户的SM2算法公钥对用户数据的元数据进行加密。
9. 根据权利要求6所述的方法,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中安全级别时,数据分级加密单元利用用户的SM4算法密钥对用户数据的元数据进行加密并且利用用户的SM4算法密钥对用户数据的数据块进行加密。
10. 根据权利要求6所述的方法,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中低安全级别时,数据分级加密单元利用用户的SM4算法密钥对用户数据的元数据进行加密。
11. 根据权利要求6所述的方法,其中根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当用户存储数据所对应的安全级别是低安全级别时,数据分级加密单元不对元数据和数据块进行加密,使用用户权限管理来控制对存储数据的访问和/或修改。
12. 一种基于分级加密的安全云存储***,包括:
用户接口,接收用户输入的数据存储请求;
认证单元,对所述数据存储请求的有效性进行验证;
安全级别确定单元,如果所述数据存储请求有效,则为数据存储请求所涉及的存储数据确定安全级别,
数据分级加密单元,根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理;以及
存储单元,对经过处理的存储数据进行存储。
13. 根据权利要求12所述的***,其中在接收用户输入的数据存储请求之前,由认证单元对用户进行身份认证。
14. 根据权利要求12所述的***,其中安全级别确定单元为数据存储请求所涉及的存储数据确定安全级别包括:获取数据存储请求中包括的与存储数据相关的安全级别。
15. 根据权利要求12所述的***,其中安全级别确定单元为数据存储请求所涉及的存储数据确定安全级别包括:根据自学习方式确定与存储数据相关的安全级别,将所确定的与存储数据相关的安全级别发送给用户,由用户进行确认。
16. 根据权利要求15所述的***,其中所述自学习方式包括:数据语义分析、关键词分析以及历史数据分析。
17. 根据权利要求12所述的***,其中所述安全级别包括:高安全级别、中高安全级别、中安全级别、中低安全级别或低安全级别。
18. 根据权利要求16所述的***,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是高安全级别时,利用用户的SM2算法公钥对用户数据的元数据进行加密并且利用SM4算法密钥对数据块进行加密。
19. 根据权利要求16所述的***,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中高安全级别时,数据分级加密单元利用用户的SM2算法公钥对用户数据的元数据进行加密。
20. 根据权利要求16所述的***,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中安全级别时,数据分级加密单元利用用户的SM4算法密钥对用户数据的元数据进行加密并且利用用户的SM4算法密钥对用户数据的数据块进行加密。
21. 根据权利要求16所述的***,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当存储数据所对应的安全级别是中低安全级别时,数据分级加密单元利用用户的SM4算法密钥对用户数据的元数据进行加密。
22. 根据权利要求6所述的***,其中数据分级加密单元根据所述存储数据所对应的安全级别确定加密方式,根据所确定的加密方式对所述存储数据进行处理包括:当用户存储数据所对应的安全级别是低安全级别时,数据分级加密单元不对元数据和数据块进行加密,使用用户权限管理来控制对存储数据的访问和/或修改。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511016176.7A CN106936771A (zh) | 2015-12-29 | 2015-12-29 | 一种基于分级加密的安全云存储方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511016176.7A CN106936771A (zh) | 2015-12-29 | 2015-12-29 | 一种基于分级加密的安全云存储方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106936771A true CN106936771A (zh) | 2017-07-07 |
Family
ID=59442208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511016176.7A Pending CN106936771A (zh) | 2015-12-29 | 2015-12-29 | 一种基于分级加密的安全云存储方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106936771A (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107292183A (zh) * | 2017-06-29 | 2017-10-24 | 国信优易数据有限公司 | 一种数据处理方法及设备 |
| CN107395580A (zh) * | 2017-07-10 | 2017-11-24 | 深圳怡化电脑股份有限公司 | 一种数据校验方法及装置 |
| CN107426223A (zh) * | 2017-08-01 | 2017-12-01 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理*** |
| CN107622208A (zh) * | 2017-08-31 | 2018-01-23 | 广东欧珀移动通信有限公司 | 便签加密、解密方法及相关产品 |
| CN108243194A (zh) * | 2018-01-15 | 2018-07-03 | 浙江大学 | 一种基于语义的云存储访问控制方法 |
| CN108597285A (zh) * | 2017-12-21 | 2018-09-28 | 广州致仪计算机软件科技有限公司 | 一种智能分级引导教学方法、***及装置 |
| CN108600169A (zh) * | 2018-03-19 | 2018-09-28 | 中山大学 | 一种基于加密技术的HBase细粒度访问控制方法 |
| CN108614977A (zh) * | 2018-04-28 | 2018-10-02 | 惠州市德赛西威汽车电子股份有限公司 | 一种支持hsm的车载敏感数据安全存储方法及其*** |
| CN108876189A (zh) * | 2018-07-05 | 2018-11-23 | 云城(北京)数据科技有限公司 | 纸面文件管理审计方法、装置及*** |
| CN109032848A (zh) * | 2018-08-30 | 2018-12-18 | 深圳互联先锋科技有限公司 | 一种基于直销***数据安全的处理方法及处理*** |
| CN109064017A (zh) * | 2018-07-31 | 2018-12-21 | 华润置地投资有限公司 | 目标成本管控***及其方法 |
| CN109104433A (zh) * | 2018-09-28 | 2018-12-28 | 方信息科技(上海)有限公司 | 一种分布式加密存储*** |
| CN109150835A (zh) * | 2018-07-20 | 2019-01-04 | 国科量子通信网络有限公司 | 云端数据存取的方法、装置、设备及计算机可读存储介质 |
| CN109753810A (zh) * | 2018-12-12 | 2019-05-14 | 北京世纪互联宽带数据中心有限公司 | 数据分级存储方法及其装置、电子设备、计算机可读介质 |
| CN109815715A (zh) * | 2019-01-04 | 2019-05-28 | 平安科技(深圳)有限公司 | 一种数据加密方法和相关装置 |
| CN110457913A (zh) * | 2019-07-03 | 2019-11-15 | 韵盛发科技(北京)股份有限公司 | 数据存储和访问方法及*** |
| CN111310245A (zh) * | 2020-03-05 | 2020-06-19 | 之江实验室 | 一种面向拟态防御***的数据加密存储方法 |
| CN112149164A (zh) * | 2020-09-22 | 2020-12-29 | 张立旭 | 一种分布式环境下数据安全存储方法及*** |
| CN112751829A (zh) * | 2020-12-16 | 2021-05-04 | 苏宁消费金融有限公司 | 一种安全的文件处理***的实现方法 |
| CN114978701A (zh) * | 2022-05-24 | 2022-08-30 | 中国银行股份有限公司 | 一种数据分级保护方法及装置 |
| US20220318411A1 (en) * | 2021-03-30 | 2022-10-06 | EMC IP Holding Company LLC | Adaptive metadata encryption for a data protection software |
| US20220398165A1 (en) * | 2021-06-11 | 2022-12-15 | EMC IP Holding Company LLC | Source versus target metadata-based data integrity checking |
| CN116723042A (zh) * | 2023-07-12 | 2023-09-08 | 北汽蓝谷信息技术有限公司 | 一种数据包的安全保护方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800738A (zh) * | 2009-12-31 | 2010-08-11 | 暨南大学 | 一种移动设备安全访问与存储内网数据的实现***及方法 |
| CN103581001A (zh) * | 2012-07-24 | 2014-02-12 | 深圳市中兴移动通信有限公司 | 一种带云存储的网关***及用于该***的数据交互方法 |
| CN103607393A (zh) * | 2013-11-21 | 2014-02-26 | 浪潮电子信息产业股份有限公司 | 一种基于数据分割的数据安全保护方法 |
| CN103780622A (zh) * | 2014-01-24 | 2014-05-07 | 华中科技大学 | 一种面向云存储的数据分类加密方法 |
| CN104852949A (zh) * | 2014-02-14 | 2015-08-19 | 航天信息股份有限公司 | 基于混合加密机制的云存储数据管理方法和*** |
-
2015
- 2015-12-29 CN CN201511016176.7A patent/CN106936771A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800738A (zh) * | 2009-12-31 | 2010-08-11 | 暨南大学 | 一种移动设备安全访问与存储内网数据的实现***及方法 |
| CN103581001A (zh) * | 2012-07-24 | 2014-02-12 | 深圳市中兴移动通信有限公司 | 一种带云存储的网关***及用于该***的数据交互方法 |
| CN103607393A (zh) * | 2013-11-21 | 2014-02-26 | 浪潮电子信息产业股份有限公司 | 一种基于数据分割的数据安全保护方法 |
| CN103780622A (zh) * | 2014-01-24 | 2014-05-07 | 华中科技大学 | 一种面向云存储的数据分类加密方法 |
| CN104852949A (zh) * | 2014-02-14 | 2015-08-19 | 航天信息股份有限公司 | 基于混合加密机制的云存储数据管理方法和*** |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107292183B (zh) * | 2017-06-29 | 2019-08-23 | 国信优易数据有限公司 | 一种数据处理方法及设备 |
| CN107292183A (zh) * | 2017-06-29 | 2017-10-24 | 国信优易数据有限公司 | 一种数据处理方法及设备 |
| CN107395580A (zh) * | 2017-07-10 | 2017-11-24 | 深圳怡化电脑股份有限公司 | 一种数据校验方法及装置 |
| CN107395580B (zh) * | 2017-07-10 | 2020-09-15 | 深圳怡化电脑股份有限公司 | 一种数据校验方法及装置 |
| CN107426223A (zh) * | 2017-08-01 | 2017-12-01 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理*** |
| CN107426223B (zh) * | 2017-08-01 | 2020-06-05 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理*** |
| CN107622208A (zh) * | 2017-08-31 | 2018-01-23 | 广东欧珀移动通信有限公司 | 便签加密、解密方法及相关产品 |
| CN108597285A (zh) * | 2017-12-21 | 2018-09-28 | 广州致仪计算机软件科技有限公司 | 一种智能分级引导教学方法、***及装置 |
| CN108243194A (zh) * | 2018-01-15 | 2018-07-03 | 浙江大学 | 一种基于语义的云存储访问控制方法 |
| CN108243194B (zh) * | 2018-01-15 | 2020-06-23 | 浙江大学 | 一种基于语义的云存储访问控制方法 |
| CN108600169B (zh) * | 2018-03-19 | 2020-11-17 | 中山大学 | 一种基于加密技术的HBase细粒度访问控制方法 |
| CN108600169A (zh) * | 2018-03-19 | 2018-09-28 | 中山大学 | 一种基于加密技术的HBase细粒度访问控制方法 |
| CN108614977A (zh) * | 2018-04-28 | 2018-10-02 | 惠州市德赛西威汽车电子股份有限公司 | 一种支持hsm的车载敏感数据安全存储方法及其*** |
| CN108876189A (zh) * | 2018-07-05 | 2018-11-23 | 云城(北京)数据科技有限公司 | 纸面文件管理审计方法、装置及*** |
| CN109150835A (zh) * | 2018-07-20 | 2019-01-04 | 国科量子通信网络有限公司 | 云端数据存取的方法、装置、设备及计算机可读存储介质 |
| CN109064017A (zh) * | 2018-07-31 | 2018-12-21 | 华润置地投资有限公司 | 目标成本管控***及其方法 |
| CN109064017B (zh) * | 2018-07-31 | 2021-12-14 | 华润置地投资有限公司 | 目标成本管控***及其方法 |
| CN109032848A (zh) * | 2018-08-30 | 2018-12-18 | 深圳互联先锋科技有限公司 | 一种基于直销***数据安全的处理方法及处理*** |
| CN109032848B (zh) * | 2018-08-30 | 2020-10-09 | 深圳互联先锋科技有限公司 | 一种基于直销***数据安全的处理方法及处理*** |
| CN109104433A (zh) * | 2018-09-28 | 2018-12-28 | 方信息科技(上海)有限公司 | 一种分布式加密存储*** |
| CN109753810B (zh) * | 2018-12-12 | 2021-06-29 | 北京世纪互联宽带数据中心有限公司 | 数据分级存储方法及其装置、电子设备、计算机可读介质 |
| CN109753810A (zh) * | 2018-12-12 | 2019-05-14 | 北京世纪互联宽带数据中心有限公司 | 数据分级存储方法及其装置、电子设备、计算机可读介质 |
| CN109815715A (zh) * | 2019-01-04 | 2019-05-28 | 平安科技(深圳)有限公司 | 一种数据加密方法和相关装置 |
| CN110457913A (zh) * | 2019-07-03 | 2019-11-15 | 韵盛发科技(北京)股份有限公司 | 数据存储和访问方法及*** |
| CN111310245A (zh) * | 2020-03-05 | 2020-06-19 | 之江实验室 | 一种面向拟态防御***的数据加密存储方法 |
| CN112149164A (zh) * | 2020-09-22 | 2020-12-29 | 张立旭 | 一种分布式环境下数据安全存储方法及*** |
| CN112751829A (zh) * | 2020-12-16 | 2021-05-04 | 苏宁消费金融有限公司 | 一种安全的文件处理***的实现方法 |
| US20220318411A1 (en) * | 2021-03-30 | 2022-10-06 | EMC IP Holding Company LLC | Adaptive metadata encryption for a data protection software |
| US20220398165A1 (en) * | 2021-06-11 | 2022-12-15 | EMC IP Holding Company LLC | Source versus target metadata-based data integrity checking |
| US11782795B2 (en) * | 2021-06-11 | 2023-10-10 | EMC IP Holding Company LLC | Source versus target metadata-based data integrity checking |
| CN114978701A (zh) * | 2022-05-24 | 2022-08-30 | 中国银行股份有限公司 | 一种数据分级保护方法及装置 |
| CN116723042A (zh) * | 2023-07-12 | 2023-09-08 | 北汽蓝谷信息技术有限公司 | 一种数据包的安全保护方法及*** |
| CN116723042B (zh) * | 2023-07-12 | 2024-01-26 | 北汽蓝谷信息技术有限公司 | 一种数据包的安全保护方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106936771A (zh) | 一种基于分级加密的安全云存储方法和*** | |
| US11470054B2 (en) | Key rotation techniques | |
| US10911457B2 (en) | Immediate policy effectiveness in eventually consistent systems | |
| EP3356988B1 (en) | Method and system for verifiable searchable symmetric encryption | |
| CN106529327B9 (zh) | 混合云环境下面向加密数据库的数据存取***及方法 | |
| EP3585032B1 (en) | Data security service | |
| EP2731041B1 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
| US9558366B2 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
| JP6678457B2 (ja) | データセキュリティサービス | |
| CN108737374A (zh) | 一种区块链中数据存储的隐私保护方法 | |
| US9300639B1 (en) | Device coordination | |
| CN103095733A (zh) | 一种面向云存储的关键字密文检索方法 | |
| CN107359998A (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
| US8301900B1 (en) | Secure transformable password generation | |
| US20190288833A1 (en) | System and Method for Securing Private Keys Behind a Biometric Authentication Gateway | |
| CN111756684A (zh) | 传输机密数据的***和方法 | |
| CN112733192A (zh) | 基于联盟链和同态加密的司法电子证据***及方法 | |
| Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
| CN115862895A (zh) | 一种基于互联网云平台的慢病线上问诊管理方法及装置 | |
| US10972275B1 (en) | Zero-knowledge, anonymous verification and management using immutable databases such as blockchain | |
| Sude et al. | Authenticated CRF based improved ranked multi-keyword search for multi-owner model in cloud computing | |
| Chen et al. | Memory leakage-resilient dynamic and verifiable multi-keyword ranked search on encrypted smart body sensor network data | |
| Nisha | Efficient and Secure Data Storage CP-ABE Analysis Algorithm | |
| Raghuwanshi et al. | An effective access from cloud data using attribute based encryption | |
| Shahbazi et al. | A distributed key based security framework for private clouds |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170707 |