CN107317823A - 一种云存储***中的加密方法和*** - Google Patents

一种云存储***中的加密方法和*** Download PDF

Info

Publication number
CN107317823A
CN107317823A CN201710645208.2A CN201710645208A CN107317823A CN 107317823 A CN107317823 A CN 107317823A CN 201710645208 A CN201710645208 A CN 201710645208A CN 107317823 A CN107317823 A CN 107317823A
Authority
CN
China
Prior art keywords
key
encryption
data
cloud storage
storage system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710645208.2A
Other languages
English (en)
Inventor
龚炎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Cloud Technology Co Ltd
Original Assignee
Guangdong Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Cloud Technology Co Ltd filed Critical Guangdong Cloud Technology Co Ltd
Priority to CN201710645208.2A priority Critical patent/CN107317823A/zh
Publication of CN107317823A publication Critical patent/CN107317823A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云存储***中的加密方法,包括:从用户接收多个数据;在与云存储***分离的加密服务器处,通过使用具有层次结构的加密密钥对与多个加密数据之间具有相对应关系的加密密钥的层级进行加密,其中所述多个加密数据被存储在云存储***中。通过本发明公开的加密方法,可使得数据加密更加便捷和安全,并且能提高计算资源的有效利用,不需要进行复杂的密钥的管理。

Description

一种云存储***中的加密方法和***
技术领域
本发明涉及数据加密领域,更具体的,涉及一种云存储***中的加密方法和***。
背景技术
如今技术发展越来越快,基于云存储和文件共享的使用变得越来越广泛,所以确保上传和/或下载数据的安全性和隐私性,同时降低终端消费者和企业的成本已经变得越来越重要。降低成本的一个工具是通过虚拟化和在云服务中引入多租户,即提供“公共云”来提高服务器和空间利用率。然而,当多个用户在公共云中交换和共享数据时,用户之间安全地传送数据的技术需求逐渐增加。
安全套接字层SSL主要用于加密通过公共云发送的数据。然而,使用SSL的话,终端管理需要发出私钥的单独的证书,从而对终端上的证书管理造成负担。此外,关键数据传输过程中的安全性可能无法保证。当在多个用户之间共享大量文件时,密钥管理可能变得十分复杂。此外,云存储的效率可能会降低,因为由于多个用户可能使用不同的加密密钥可以对相同的数据进行多次加密。不仅如此,这对计算资源造成了更大的压力,而且当使用不同的密钥加密相同的数据时,它会产生不同的加密文件。所以如何设计一种新的云计算存储中的加密算法是目前亟不可待要解决的。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。
为此,本发明的目的在于,设计一种云存储***中的加密方法,使得数据加密更加便捷和安全,并且能提高计算资源的有效利用,不需要进行复杂的密钥的管理。
为实现上述目的,本发明提供了一种云存储***中的加密方法,所述加密方法包括:
从用户接收多个数据;
在与云存储***分离的加密服务器处,通过使用具有层次结构的加密密钥对与多个加密数据之间具有相对应关系的加密密钥的层级进行加密,其中所述多个加密数据被存储在云存储***中;
其中,在目录结构中配置了至少两个以上的数据,加密密钥的层次结构对应于目录结构;
所述加密密钥是基于由所述加密服务器接收到的密钥导出信息以无状态方式生成的,所述密钥导出信息包括关于密钥导出功能的信息,所述密钥导出功能信息被配置为基于根密钥确定加密密钥,以及目录路径,所述根密钥是加密密钥层次结构顶部的密钥。
具体的,根据每个从用户接收到的数据的访问策略来确定所述多个加密数据之间的关系。
具体的,当至少两个或更多数据具有相同的访问策略时,通过使用相同的加密密钥来加密两个或多个数据。
具体的,每个目录中的所有数据具有相同的访问策略,并且通过使用相同的加密密钥进行加密。
具体的,若用户传输相同的数据至云存储***以进行加密和存储,都使用相同的加密密钥来加密相同的数据,。
具体的,所述密钥导出信息还包括辅助信息,其包括目录路径,加密密钥的有效期,具有访问权限的用户组的名称,策略标识ID和统一资源中的至少一个用于查找策略ID的标识符URI。
具体的,所述有效期存储在云存储服务器处,并且在所述加密密钥到期时,所述云存储服务器进行报警操作,并更新所述加密密钥。
本发明另一方面还提供一种云存储***,包括:
加密服务器,用以通过使用具有层次结构的加密密钥来加密多个数据,所述加密密钥的层级与所述多个加密数据之间的关系相对应;
云存储服务器,用以存储多个加密数据;
其中,在目录结构中配置了至少两个以上的数据,加密密钥的层次结构对应于目录结构;
所述加密密钥是基于由所述加密服务器接收到的密钥导出信息以无状态方式生成的,所述密钥导出信息包括关于密钥导出功能的信息,所述密钥导出功能信息被配置为基于根密钥确定加密密钥,以及目录路径,所述根密钥是加密密钥层次结构顶部的密钥。
更具体的,根据每个从用户接收到的数据的访问策略来确定所述多个加密数据之间的关系。
更具体的,其特征在于,当至少两个或更多数据具有相同的访问策略时,通过使用相同的加密密钥来加密两个或多个数据。
通过本发明的一种云存储***中的加密方法,使得数据加密更加便捷和安全,并且能提高计算资源的有效利用,不需要进行复杂的密钥的管理。在不增加计算资源的基础上,能够实现安全的数据加密操作。
附图说明
图1示出了本发明云存储***的框图;
图2示出了本发明实施例的文件目录结构和加密文件方法的示意图;
图3示出了本发明实施例的用于解释文件目录结构和加密文件方法的示意图;
图4示出了本发明基于ID管理的密钥管理***的框图;
图5示出了本发明实施例的认证和私钥发行的方法的流程图;
图6示出了本发明一种云存储***中的加密方法的流程图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
如图1所示,基于云存储***100包括加密提供商102,认证服务器104,许可证服务器106,云存储服务器110,第一终端112和第二终端114。
第一终端112的用户可以将数据存储在云存储服务器110中以供用户使用或与其他用户(例如,第二终端114的用户)共享。为此,第一终端112可以建立安全的链接(例如,使用安全套接字层(SSL)保护的超文本传输协议安全(HTTPS)链路)与加密服务器102发送并发送第一终端112的用户想要存储在云上的数据,到加密服务器102进行加密。在这种情况下,第一终端112可以通过HTTP会话与云存储服务器110的统一资源标识符(URI)联系,并且该会话可以被重定向到加密服务器102。这里,加密服务器102可以由一个不同于云提供商的安全提供商提供。
加密服务器102加密从第一终端112发送的数据。加密服务器102根据例如用户和/或云提供商的预定义的访问控制策略(即,访问策略)执行加密。在本实施例中,用户的访问策略可以基于对应于(例如,映射到)云存储服务器110中的数据的目录结构的密钥层级。
参考图2,如图2所示,存储在云存储服务器110中的数据可以具有用于包括根节点,根节点下的第一级目录D1(即,目录D11,D12和D13)的文件的目录结构,第二级在第一级目录D1下的目录D2(即,目录D21,D22和D23)以及第二级目录D2下的第三级目录D3(即,目录D31,D32和D33)。
通常,使用相同内容加密密钥(CEK)加密的一组对象和/或文件可被称为均匀策略组(HPG)。在本实施例中,HPG是基于目录结构的。具体来说,最低级目录是所有文件由相同的访问控制策略(例如,所有文件属于同一项目的目录,仅由该项目的团队成员访问)的目录。换句话说,如果用户有权看到此目录中的一个文件,则用户可以看到目录中的所有文件。这允许加密***使用映射到目录的相同密钥(Kdir)对目录内的所有文件进行加密,同时允许身份验证和许可***以类似的,均匀的方式处理目录中的所有文件的访问控制和密钥管理。该目录级别可以被称为均匀级别目录(HLD)。
例如,参考图2,第三级目录D33中的所有文件可以由相同的访问控制策略控制。换句话说,当用户被授权看到第三级目录D33中的文件1,文件2或文件3中的一个时,用户可以看到第三级别内的所有文件1,文件2和文件3目录D33。因此,可以使用相同的密钥(内容加密密钥)Kdir来加密同一目录内的所有文件。在这种情况下,密钥管理过程可以采用对应于或映射到目录结构的密钥层次。也就是说,目录中的所有文件可以由类似的,均匀的密钥管理方案或策略来控制。例如,可以通过使用生成或获得的根密钥Kr来生成用于加密整个目录的内容加密密钥Kdir作为用于加密根节点的唯一密钥,目录的路径和目录的密钥导出策略用户,如下面将进一步详细描述的。
在多个用户基于预定义的访问控制策略访问文件的情况下,使用根据本实施例的密钥层级的加密方法可以由基于云的存储***100来实现。此外,无论使用哪个用户数据,只要数据链接到目录,该文件将以与存储在同一目录中的其他数据相同的算法和相同的加密密钥进行加密。也就是说,同一目录中的加密数据具有唯一的签名,即使数据由多个用户存储,也可以通过由云存储服务器实现的重复数据删除算法有效地检测数据的所有副本。因此,可以提高效率来进行重复数据删除。
图3示出了本发明另一实施例的文件的目录结构和加密文件的方法的图。
如图3所示,第三级目录的文件1和文件2由策略1控制,而文件3由策略2控制。因此,可以根据例如加密策略以不同的方式加密同一目录中的文件的元数据中的字段。在这种情况下,可以通过使用用于加密相应目录的加密密钥Kdir和控制特定文件的策略来生成用于加密目录内的特定文件的内容加密密钥Kfile。
尽管上面描述了基于与目录结构相对应的访问策略来执行访问控制,但是一个或多个其他实施例并不限于此。例如,在一实施例中,位于不同目录中的多个对象和/或文件可以在同一策略下进行控制。在这种情况下,可以用相同的密钥来加密多个对象和/或文件。例如,企业可以将文件存储在云存储服务器110中,并允许企业的雇员,客户和业务伙伴基于预定义的访问控制策略访问文件。
现在再回到图1,加密服务器102可以以无状态的方式获得内容加密密钥。例如,加密服务器102可以使用基于表示状态转移(REST)的指令,以密钥导出策略的形式接收访问策略。在这种情况下,第一终端112可以建立表示状态转移(REST)请求,其包括对于包括密钥导出策略,根密钥Kr和密钥导出函数中的至少一个的密钥导出信息的资源的URI引用。根据另一实施例,加密服务器102可以通过接收密钥导出功能并且在由加密服务器102存储的根密钥上实现密钥导出功能,以无状态的方式获得内容加密密钥。密钥导出函数是加密函数关键派生信息的参数。由URI指示的资源还可以包括诸如对应的目录路径(或数据所属的策略组)的其他信息以及用户的授权参数。例如,用户的授权参数可以由同构策略组来定义。密钥导出信息可以存储在许可证服务器106处,并且加密服务器102可以通过连接到许可证服务器106来获得密钥导出信息。根据接收到的密钥导出信息,加密服务器102确定。这里,可以提供加密服务器102和许可证服务器106之间的接口来获取资源。可以使用Internet协议安全(IPsec)或使用SSL来保护接口。
密钥导出信息还可以包括辅助信息,例如有效期,用于限制对特定用户组的访问控制的组名,以及用于定位特定策略文档(或加密策略)的策略ID / URI字段,其是为文件生成并用于重新创建用于解密加密对象的内容加密密钥CEK的元数据的一部分。有效期是允许许可证服务器106在预定时间段或必要时更换加密密钥的参数。例如,加密密钥可以每月更改一次。可以针对存储在云存储服务器100的数据目录提供有效期。云存储服务器100可以为加密服务器102和许可证服务器106设置警报,以通知加密服务器102和许可证服务器有效期即将到期。当有效期到期时,相应目录内的所有文件可以用新的加密密钥重新加密。在这种情况下,云存储服务器110可以将相应目录中的数据发送到加密服务器102以进行重新加密。以这种方式,云存储服务器110可以避免关于存储的数据的隐私问题的责任。当重新加密数据时,第二终端114可以由认证服务器104再次认证,并且接收关于更新的加密密钥的公开密钥。
作为示例,内容加密密钥(Kdir)可以根据以下等式1获得:
Kdir = KDF(Kroot,path | KDF辅助信息)
其中KDF(密钥导出函数)是用于括号内的参数的加密函数,Kroot是根密钥。
在执行加密之后,加密服务器102将加密的数据连同相应的元数据一起发送到云存储服务器110.云存储服务器110基于所提供的元数据将加密的数据与元数据一起存储在特定的位置,该元数据可以包括加密政策字段。
认证服务器104是用于对第二终端114的用户进行用户认证的服务器,其尝试访问第一终端112(或第一终端112)的用户存储的数据云存储服务器110。在本实施例中,认证服务器104可以包括第二终端114的用户的ID和密码,并且通过例如HTTPS内的密码认证算法认证第二终端114。
当第二终端114的用户被认证时,认证服务器104向许可证服务器106提供包括用户ID的认证令牌Auth_token。
认证令牌Auth_token可以通过使用在认证服务器104和许可证服务器106之间共享的密钥进行加密。在备选实施例中,当在认证服务器104和许可证之间建立安全通道时,认证令牌Auth_token可能不被加密,在这种情况下,认证令牌Auth_token可以包括认证服务器104在令牌Auth_token上执行的签名。通过使用认证令牌Auth_token,许可证服务器106可以确定是否允许或允许从云存储服务器110请求内容的用户访问内容。
根据另一示例性实施例,认证服务器104不是生成认证令牌Auth_token,而是可以通过认证服务器104和许可证服务器106之间的安全信道来验证用户对许可证服务器106的认证。
当用户是企业用户时,企业用户可能想要管理自己的密钥。在这种情况下,可以使用企业策略(例如,目录结构,授权策略等)来配置专用加密服务器以相应地应用加密。例如,企业策略可能具有映射相应访问策略的层次结构。根据本实施例,同一目录内的所有文件可具有相同的访问策略。在这种情况下,企业策略的层次结构可能对应于目录结构。
当加密服务器102在多个用户之间共享时,例如,当加密服务器102由安全提供商或云提供商提供时,可以使用基于REST的指令将访问策略传送到加密服务器102,使得加密服务器102以无状态的方式获得内容加密密钥。
许可证服务器106基于认证服务器104的认证结果(例如,基于认证令牌Auth_token)来确定请求存储在云存储服务器110中的数据的第二终端114是否被授权访问内容从认证服务器104提供)。当确定第二终端114被授权访问数据时,许可证服务器106生成允许用户访问内容的许可证。许可证可以包括加密的内容加密密钥,其被加密以使用用户所属的用户或用户组唯一的密钥加密密钥向第二终端114的用户发送。在本实施例中,可以使用基于身份的密码术(IBC)来加密内容加密密钥。因此,只允许第二终端114的用户使用IBC公钥。此外,许可证还可以包括可以包括有效期,用户的ID等的票证(LS-Ticket),如将在下面更详细描述的。或者,票证可以使用由认证服务器104发出的认证令牌Auth_token。以这种方式,可以保护用户的隐私。
基于云存储***100还可以包括与许可证服务器共同定位或与许可证服务器分离的私钥生成器(参见图4)以向用户终端提供私钥。私钥生成器是在其安全存储器中存储多个***范围的秘密的实体,并且基于他们的身份(ID)和公共密钥(Pub)来计算授权用户的私钥。因此,用户可以引用私钥生成器,接收私钥来解密以IBC加密格式发送给他们的任何数据信息(例如,解密加密的内容加密密钥)。
认证服务器104是用于对第二终端114的用户执行用户认证的服务器,其尝试访问存储在云存储服务器110中的数据。在示例性实施例中,认证服务器104可以通过,例如,针对第二终端114的用户的基于ID的密码认证密钥交换(i-PAKE)。下面进一步说明认证服务器104的认证处理。此外,当第二终端114的用户被认证时,认证服务器104向许可证服务器106发送终端ID或用户ID。认证服务器104可以包括用于认证ID的单独的硬件安全模块(HSM)使用i-PAKE的第二终端114的用户的密码。
当从认证服务器104发送用户ID时,许可证服务器106生成与用户ID相对应的公开密钥。在示例性实施例中,在生成公钥之前,许可证服务器106可以引用认证服务器104生成的认证令牌Auth_token来确定第二终端114是否被授权访问内容。当第二终端114被授权时,许可证服务器106可以生成对应于例如用户ID(当使用IBC时)的公共密钥。本实施例不限于此,并且可以从其他方式(例如,当使用RSA时)获得第二终端114的用户的公开密钥。公钥可以是使用基于身份(ID)的加密(IBC)生成的密钥加密密钥。换句话说,公钥用于加密内容加密密钥(CEK),从而创建直接为第二终端114的用户生成的CEK的加密版本。然后,第二终端114的用户需要获得私钥对应于该公钥,以便能够解密CEK,然后解密加密的对象的数据。
私钥生成器116生成与第二终端114的用户ID相对应的专用密钥,并将生成的专用密钥提供给认证服务器104.尽管描述了私钥生成器116连接到许可证服务器106,使得生成的私钥通过许可证服务器106被提供给第二终端114。例如,根据另一示例性实施例,私钥生成器116可以将生成的私钥直接发送到终端114。
公共参数服务器108是在使用IBC加密时,由许可证服务器106存储和管理用于加密内容加密密钥的公共参数的服务器。许可证服务器106内的加密强度可以由公共参数服务器108提供的一组参数确定。
图5示出了本发明实施例的认证和私钥发行的方法的流程图。
如图5,在操作310中,从第二终端114接收对存储在云存储服务器110中的数据的请求。在操作320中,认证服务器104可以通过使用第二终端的用户的ID和密码进行认证当第二终端114由认证服务器104认证时,认证服务器104生成包括用户ID的认证令牌Auth_token,并将认证令牌Auth_token发送到许可证服务器106.认证令牌Auth_token还可以包括用户的密码或用户密码的功能。用户密码的功能可以在密码对用户保持私有并且从许可证服务器106隐藏时使用。
当许可证服务器106接收到认证令牌Auth_token时,许可证服务器106可以参考认证服务器104生成的认证令牌Auth_token来确定第二终端114是否被授权访问内容。当第二终端114被授权时,许可证服务器106在操作330中生成用于基于用户ID访问数据的公共密钥。
在操作340中,基于公开密钥和/或元数据计算私钥,并发送给第二终端114。具体地,私钥生成器116通过使用公钥或者公钥生成与用户ID相对应的私钥 Auth_token内的信息或许可证的机票内的信息。这里,私钥生成器116可以参考认证服务器104生成的认证令牌Auth_token来确定第二终端114是否被授权通过从专用密钥生成器116接收专用密钥来访问对象。第二终端114可以解密通过使用私钥存储在云存储服务器110中的数据。
图6示出了本发明一种云存储***中的加密方法的流程图。
如图6所示,本发明提供了一种云存储***中的加密方法,本领域技术人员应知道本方法是基于本发明上述描述的内容。所述加密方法包括:
从用户接收多个数据;
在与云存储***分离的加密服务器处,通过使用具有层次结构的加密密钥对与多个加密数据之间具有相对应关系的加密密钥的层级进行加密,其中所述多个加密数据被存储在云存储***中;
其中,在目录结构中配置了至少两个以上的数据,加密密钥的层次结构对应于目录结构;
所述加密密钥是基于由所述加密服务器接收到的密钥导出信息以无状态方式生成的,所述密钥导出信息包括关于密钥导出功能的信息,所述密钥导出功能信息被配置为基于根密钥确定加密密钥,以及目录路径,所述根密钥是加密密钥层次结构顶部的密钥。
具体的,根据每个从用户接收到的数据的访问策略来确定所述多个加密数据之间的关系。
具体的,当至少两个或更多数据具有相同的访问策略时,通过使用相同的加密密钥来加密两个或多个数据。
具体的,每个目录中的所有数据具有相同的访问策略,并且通过使用相同的加密密钥进行加密。
具体的,若用户传输相同的数据至云存储***以进行加密和存储,都使用相同的加密密钥来加密相同的数据,。
具体的,所述密钥导出信息还包括辅助信息,其包括目录路径,加密密钥的有效期,具有访问权限的用户组的名称,策略标识ID和统一资源中的至少一个用于查找策略ID的标识符URI。
具体的,所述有效期存储在云存储服务器处,并且在所述加密密钥到期时,所述云存储服务器进行报警操作,并更新所述加密密钥。
本发明另一方面还提供一种云存储***,包括:
加密服务器,用以通过使用具有层次结构的加密密钥来加密多个数据,所述加密密钥的层级与所述多个加密数据之间的关系相对应;
云存储服务器,用以存储多个加密数据;
其中,在目录结构中配置了至少两个以上的数据,加密密钥的层次结构对应于目录结构;
所述加密密钥是基于由所述加密服务器接收到的密钥导出信息以无状态方式生成的,所述密钥导出信息包括关于密钥导出功能的信息,所述密钥导出功能信息被配置为基于根密钥确定加密密钥,以及目录路径,所述根密钥是加密密钥层次结构顶部的密钥。
更具体的,根据每个从用户接收到的数据的访问策略来确定所述多个加密数据之间的关系。
更具体的,其特征在于,当至少两个或更多数据具有相同的访问策略时,通过使用相同的加密密钥来加密两个或多个数据。
本领域技术人员应当知道本发明所描述的云存储***是基于本发明的方法的,并且其每个模块或每个单元所实现的功能都是基于本发明的方法,并且是一一对应的,所以此处针对本发明的***不再一一赘述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种云存储***中的加密方法,其特征在于,所述加密方法包括:
从用户接收多个数据;
在与云存储***分离的加密服务器处,通过使用具有层次结构的加密密钥对与多个加密数据之间具有相对应关系的加密密钥的层级进行加密,其中所述多个加密数据被存储在云存储***中;
其中,在目录结构中配置了至少两个以上的数据,加密密钥的层次结构对应于目录结构;
所述加密密钥是基于由所述加密服务器接收到的密钥导出信息以无状态方式生成的,所述密钥导出信息包括关于密钥导出功能的信息,所述密钥导出功能信息被配置为基于根密钥确定加密密钥,以及目录路径,所述根密钥是加密密钥层次结构顶部的密钥。
2.根据权利要求1所述的一种云存储***中的加密方法,其特征在于,根据每个从用户接收到的数据的访问策略来确定所述多个加密数据之间的关系。
3.根据权利要求2所述的一种云存储***中的加密方法,其特征在于,当至少两个或更多数据具有相同的访问策略时,通过使用相同的加密密钥来加密两个或多个数据。
4.根据权利要求2所述的一种云存储***中的加密方法,其特征在于,每个目录中的所有数据具有相同的访问策略,并且通过使用相同的加密密钥进行加密。
5.根据权利要求2所述的一种云存储***中的加密方法,其特征在于,若用户传输相同的数据至云存储***以进行加密和存储,都使用相同的加密密钥来加密相同的数据,。
6.根据权利要求1所述的一种云存储***中的加密方法,其特征在于,所述密钥导出信息还包括辅助信息,其包括目录路径,加密密钥的有效期,具有访问权限的用户组的名称,策略标识ID和统一资源中的至少一个用于查找策略ID的标识符URI。
7.根据权利要求6所述的一种云存储***中的加密方法,其特征在于,所述有效期存储在云存储服务器处,并且在所述加密密钥到期时,所述云存储服务器进行报警操作,并更新所述加密密钥。
8.一种云存储***,其特征在于,包括:
加密服务器,用以通过使用具有层次结构的加密密钥来加密多个数据,所述加密密钥的层级与所述多个加密数据之间的关系相对应;
云存储服务器,用以存储多个加密数据;
其中,在目录结构中配置了至少两个以上的数据,加密密钥的层次结构对应于目录结构;
所述加密密钥是基于由所述加密服务器接收到的密钥导出信息以无状态方式生成的,所述密钥导出信息包括关于密钥导出功能的信息,所述密钥导出功能信息被配置为基于根密钥确定加密密钥,以及目录路径,所述根密钥是加密密钥层次结构顶部的密钥。
9.根据权利要求8所述的一种云存储***,其特征在于,根据每个从用户接收到的数据的访问策略来确定所述多个加密数据之间的关系。
10.根据权利要求9所述的一种云存储***,其特征在于,当至少两个或更多数据具有相同的访问策略时,通过使用相同的加密密钥来加密两个或多个数据。
CN201710645208.2A 2017-08-01 2017-08-01 一种云存储***中的加密方法和*** Pending CN107317823A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710645208.2A CN107317823A (zh) 2017-08-01 2017-08-01 一种云存储***中的加密方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710645208.2A CN107317823A (zh) 2017-08-01 2017-08-01 一种云存储***中的加密方法和***

Publications (1)

Publication Number Publication Date
CN107317823A true CN107317823A (zh) 2017-11-03

Family

ID=60170557

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710645208.2A Pending CN107317823A (zh) 2017-08-01 2017-08-01 一种云存储***中的加密方法和***

Country Status (1)

Country Link
CN (1) CN107317823A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108573176A (zh) * 2018-03-22 2018-09-25 福建师范大学 一种密钥派生加密的移动终端数据安全删除的方法及***
CN110874485A (zh) * 2018-08-31 2020-03-10 洪绍御 机敏数据分布式储存***及其方法
CN111723391A (zh) * 2019-03-22 2020-09-29 富士施乐株式会社 数据管理***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935588A (zh) * 2015-06-12 2015-09-23 华中科技大学 一种安全云存储***的分层密钥管理方法
CN104993926A (zh) * 2015-06-30 2015-10-21 南方电网科学研究院有限责任公司 智能电网中基于云计算的分级密钥管理***与方法
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
US9544140B1 (en) * 2011-06-28 2017-01-10 Amazon Technologies, Inc. Multi-level key hierarchy for securing cloud-based data sets

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9544140B1 (en) * 2011-06-28 2017-01-10 Amazon Technologies, Inc. Multi-level key hierarchy for securing cloud-based data sets
US9465947B2 (en) * 2013-08-05 2016-10-11 Samsung Sds America, Inc. System and method for encryption and key management in cloud storage
CN104935588A (zh) * 2015-06-12 2015-09-23 华中科技大学 一种安全云存储***的分层密钥管理方法
CN104993926A (zh) * 2015-06-30 2015-10-21 南方电网科学研究院有限责任公司 智能电网中基于云计算的分级密钥管理***与方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108573176A (zh) * 2018-03-22 2018-09-25 福建师范大学 一种密钥派生加密的移动终端数据安全删除的方法及***
CN108573176B (zh) * 2018-03-22 2022-04-12 福建师范大学 一种密钥派生加密的移动终端数据安全删除的方法及***
CN110874485A (zh) * 2018-08-31 2020-03-10 洪绍御 机敏数据分布式储存***及其方法
CN111723391A (zh) * 2019-03-22 2020-09-29 富士施乐株式会社 数据管理***

Similar Documents

Publication Publication Date Title
CN111130757B (zh) 一种基于区块链的多云cp-abe访问控制方法
CN108259169B (zh) 一种基于区块链云存储的文件安全分享方法及***
EP2786292B1 (en) Methods and devices for securing keys for a non-secured, distributed environment with applications to virtualization and cloud-computing security and management
US8464354B2 (en) Content cryptographic firewall system
Yan et al. Heterogeneous data storage management with deduplication in cloud computing
US20140380057A1 (en) Method, Server, Host, and System for Protecting Data Security
US20090217385A1 (en) Cryptographic control for mobile storage means
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
CN104618096B (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
CN106254342A (zh) Android平台下支持文件加密的安全云存储方法
JP2010514000A (ja) 電子装置にプログラム状態データをセキュアに記憶するための方法
CN110996319B (zh) 一种对软件服务做激活授权管理的***及方法
CN103152322A (zh) 数据加密保护方法及***
CN107317823A (zh) 一种云存储***中的加密方法和***
Thilakanathan et al. Secure multiparty data sharing in the cloud using hardware-based TPM devices
CN114091058A (zh) 在第一区域和第二区域间数据安全共享的方法和***
CN108494724A (zh) 基于多授权机构属性加密算法的云存储加密***及方法
JP5494171B2 (ja) ファイル管理システム、ストレージサーバ、クライアント、ファイル管理方法およびプログラム
Charanya et al. Attribute based encryption for secure sharing of E-health data
Katre et al. Trusted third party for data security in cloud environment
EP2293211A1 (en) Digital rights management system with diversified content protection process
Contiu Applied Cryptographic Access Control for Untrusted Cloud Storage
Vatchala et al. Auto Sec SDN-XTR: A Hybrid End to End Security Mechanism with Efficient Trace Representation on Open Stack Cloud.
Usha et al. Multiple attribute authority based access control and anonymous authentication in decentralized cloud
Aisikaer et al. Toward Secure and Timesaving Data Sharing: Cloud Encryption of RSA-co-ABE

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20171103

RJ01 Rejection of invention patent application after publication