TW201616831A - 具加解密功能之keymap存取模式雲端儲存服務 - Google Patents

具加解密功能之keymap存取模式雲端儲存服務 Download PDF

Info

Publication number
TW201616831A
TW201616831A TW103136955A TW103136955A TW201616831A TW 201616831 A TW201616831 A TW 201616831A TW 103136955 A TW103136955 A TW 103136955A TW 103136955 A TW103136955 A TW 103136955A TW 201616831 A TW201616831 A TW 201616831A
Authority
TW
Taiwan
Prior art keywords
encryption
decryption
file
cloud storage
storage service
Prior art date
Application number
TW103136955A
Other languages
English (en)
Inventor
Tsung-Yi Lin
Hsiu-Fen Hsieh
Yen-Chung Chen
Tien-Hao Tsai
Jhen-Li Wang
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW103136955A priority Critical patent/TW201616831A/zh
Priority to CN201510127865.9A priority patent/CN104780160A/zh
Publication of TW201616831A publication Critical patent/TW201616831A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本發明主要提供一種具加解密功能之keymap存取模式雲端儲存服務,可有效增加存放資料的安全性;架構中包含公開金鑰基礎架構之認證中心以及加解密金鑰管理機制,認證中心作為用戶身分認證以及公開金鑰取得來源,可由服務端、第三方或用戶端提供;加解密金鑰由金鑰管理伺服器負責管理,可由服務端、第三方或用戶端提供。

Description

具加解密功能之keymap存取模式雲端儲存服務
本發明係關於一種具加解密功能之keymap存取模式雲端儲存服務,可有效增加存放資料的安全性。
過往的keymap存取方式,大多沒有考慮到檔案儲存於雲端的風險,未考慮到儲存時是否有加密,以至於檔案在雲端時的危險性增加,也無法符合不同用戶的需求。
近來有部分儲存服務已考慮到檔案加密的問題,但是對於加密的時機、加解密金鑰管理等並無彈性的設計,無法符合不同用戶的需求。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經多年苦心孤詣潛心研究後,終於成功研發完成本件具加解密功能之keymap存取模式雲端儲存服務。
本發明之目的,係提供一種具加解密功能之keymap存取模式雲端儲存服務,由雲端儲存服務、認證中心、加解密模組、以及金鑰管理伺服器組合而成,其中雲端儲存服務,係負責對外提供應用程式介面(Application Programming Interface,API)供用戶操作以及存取資料;認證中心,係提供個人身份與其公開金鑰與該keymap存取模式雲端儲存服務的對應;加解密模組,係提供檔案的加解密,並支援分段處理,可下載或複製檔案之指定部分,且對於該keymap存取模式雲端儲存服務之檔案加解密運算與傳輸進行平行處理;金鑰管理伺服器,係與該加解密模組介接,並為管理檔案加解密時該加解密模組所需之大量金鑰。
檔案加解密可由用戶端或服務端處理,若由服務端處理,其中加解密模組,係位於該服務端的服務提供層,可介接不同的資料庫和檔案系統層,並介接一個認證中心,管理用戶身分認證以及保留其身分與公開金鑰的配對;金鑰管理伺服器,係由服務端、第三方或由用戶端提供;雲端儲存服務,另包含服務提供層,係提供Restful API供用戶端呼叫;檔案系統層,係為分散式檔案系統;以及資料庫,係提供該服務提供層、以及該檔案系統層儲存所需資訊。
服務提供層,係分為RESTful API、邏輯處理核心、及介接檔案儲存層,其中該加解密模組透過資料庫讀取RESTful API所取得之用戶要求資訊後,將檔案加密並回傳至該介接檔案儲存層,該介接檔案儲存層將加密後之檔案儲存至檔案系統層。
本發明所提供一種具加解密功能之keymap存取模式雲端儲存服務,與其他習用技術相互比較時,更具備下列優點:
1.用戶上傳之檔案可由過服務端加密後儲存,提升雲端儲存的安全性
2.加解密所用之金鑰管理伺服器可由服務端、第三方 或用戶端提供
3.透過整合公開金鑰基礎架構,提供身分認證以及加解密金鑰傳送過程的保護,認證中心可由服務端、第三方或用戶端提供
100‧‧‧雲端儲存服務
101‧‧‧認證中心
102‧‧‧加解密模組
103‧‧‧金鑰管理伺服器
201‧‧‧個人身分跟公開金鑰
202‧‧‧安全通道
203、304、604‧‧‧用戶
301‧‧‧已解密之檔案
302‧‧‧解密所需之金鑰
303‧‧‧未解密之檔案
401‧‧‧加密模組
402‧‧‧解密模組
403‧‧‧檔案分段處理模組
404‧‧‧檔案資訊存取模組
405‧‧‧金鑰存取模組
406‧‧‧Meta-Data資料庫
407‧‧‧金鑰管理伺服器
501‧‧‧服務提供層
502、603‧‧‧檔案儲存層
503、601‧‧‧資料庫
602‧‧‧加解密模組
605‧‧‧對外提供RESTFul API
606‧‧‧邏輯處理核心
607‧‧‧介接檔案儲存層
S701~S703‧‧‧用戶註冊與各組件關係流程
S801~S807‧‧‧上傳並採服務端加密與各組件關係流程
S901~S907‧‧‧下載並採服務端解密與各組件關係流程
S1001~S1009‧‧‧下載並採用戶端解密與各組件關係流程
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效;有關附圖為:圖1為本發明具加解密功能之keymap存取模式雲端儲存服務之雲端儲存服務示意圖;圖2為本發明具加解密功能之keymap存取模式雲端儲存服務之認證中心及安全通道關係示意圖;圖3為本發明具加解密功能之keymap存取模式雲端儲存服務之加解密模組與傳送檔案示意圖;圖4為本發明具加解密功能之keymap存取模式雲端儲存服務之加解密模組示意圖;圖5為本發明具加解密功能之keymap存取模式雲端儲存服務之雲端儲存服務實作示意圖;圖6為本發明具加解密功能之keymap存取模式雲端儲存服務之服務提供層與加解密模組之關係示意圖;圖7為本發明具加解密功能之keymap存取模式雲端儲存服務之註冊與各組件關係圖;圖8為本發明具加解密功能之keymap存取模式雲端儲存服務之上傳並採服務端加密與各組件關係圖;圖9為本發明具加解密功能之keymap存取模式雲端儲存服務之下載並採服務端解密與各組件關係圖;圖10為本發明具加解密功能之keymap存取模式雲端儲存服務之下載並採用戶端解密與各組件關係圖。
為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,但並不用於限定本發明。
本系統針對keymap(鍵值映射)存取模式之雲端儲存服務提供檔案加解密功能,以提供高安全性的檔案存放方式;用戶端上傳檔案至雲端儲存服務空間時,可先由用戶端加密而後上傳至服務端,或上傳之後再由服務端做加密;而用戶下載檔案時,並不需告知服務端檔案是否需要解密,而是系統自動根據先前存於資料庫中的記錄來判斷服務端中的檔案是否已被加密。
以下,結合附圖對本發明進一步說明:請參閱圖1所示,係為本發明具加解密功能之keymap存取模式雲端儲存服務之雲端儲存服務示意圖,其中本系統主要由四個的部分組成,分別為雲端儲存服務100、認證中心101、加解密模組102和金鑰管理伺服器103;其中雲端儲存服務100負責對外提供應用程式介面(Application Programming Interface,API),供用戶操作以及存取資料,認證中心101提供個人身份與其公開金鑰的對應,加解密模組102負責檔案的加解密,金鑰管理伺服器103負責加解密所用金鑰的管理。
請參閱圖2所示,係為本發明具加解密功能之keymap存取模式雲端儲存服務之認證中心及安全通道關係示意圖,本系統整合了公開金鑰基礎架構(Public Key Infrastructure,PKI),公開金鑰基礎架構藉由認證中心(Certificate Authority,CA)101將用戶的個人身分跟公開金鑰201鏈結在一起,對每個認證中心101而言,用戶的身分必須是唯一的;認證中心101可做為系統身分認證以及取得用戶公開金鑰所用,公開金鑰的使用主要是提供用戶端和服務端之間的安全通道202,服務端可以將機密的資料利用公開金鑰加密後傳送至用戶端,用戶端203再透過其手中的私用金鑰將機密的資料進行解密;本系統中認證中心可由服務端、第三方或由用戶端提供。
請參閱圖3所示,係為本發明具加解密功能之keymap存取模式雲端儲存服務之加解密模組與傳送檔案示意圖,當用戶端下載檔案時,除了選擇服務端將檔案解密後再回傳外,也可選擇下載至用戶端後再解密;若由服務端解密,則加解密模組可由服務端提供已解密之檔案301;若用戶端解密,則加解密模組則位於用戶端304,服務端應傳送給用戶端未解密之檔案303以及解密所需之金鑰302,為保護解密之金鑰,則會通過安全通道進行傳送。而傳給用戶端未解密之檔案303以及解密所需之金鑰302,其中解密所需之金鑰302透過用戶之公開金鑰加密作保護,待用戶端收到未解密之檔案303以及解密所需之金鑰302後,再行將檔案解密。
請參閱圖4所示,係為本發明具加解密功能之keymap存取模式雲端儲存服務之加解密模組示意圖,加解密模組是本系統中實際對檔案實施加解密行為的主要模組,可分為五個子模組:加密模組401、解密模組402、檔案分段處理模組403、檔案資訊存取模組404和金鑰存取模組405,加密模組401、解密模組402、檔案分段處理模組403負責加解 密邏輯處理,檔案資訊存取模組404和金鑰存取模組405負責與外部資訊界接;其中加密模組401負責將檔案加密,解密模組402負責將檔案解密,檔案分段處理模組403除了可支援下載或複製檔案之指定部分外,也可將加解密運算與傳輸進行平行處理,檔案資訊存取模組404可獲得是否需要解密等檔案資訊,若模組位於服務端則可介接服務端Meta-Data(檔案描述資料)資料庫406,讀取先前之紀錄,或若模組位於用戶端則可介接用戶端Meta-Data資料庫406,讀取先前之紀錄,或指定是否將下載之檔案進行解密,金鑰存取模組407介接金鑰管理伺服器以獲得檔案加解密時所需之金鑰。其中金鑰存取模組透過用戶ID、檔案名稱等可供辨識之資訊取得將檔案解密所用之加解密金鑰,金鑰管理伺服器可由服務端、第三方或由用戶端提供。
請參閱圖5所示,係為本發明具加解密功能之keymap存取模式雲端儲存服務之雲端儲存服務實作示意圖,加解密模組所實施之環境為提供keymap存取模式之雲端儲存服務,一般來說應有提供服務的服務提供層、實際儲存檔案的檔案系統層和儲存服務所需資訊(包含檔案是否加密)的資料庫,本實施例中有三大部分,服務提供層501提供了Restful API(表徵狀態轉移風格的呼叫介面)供用戶端呼叫,以及核心邏輯處理等,檔案儲存層502使用分散式檔案系統,例如為MogileFS,而資料庫503則主要提供上述二層所需資訊儲存的地方。
請參閱圖6所示,係為本發明具加解密功能之keymap存取模式雲端儲存服務之服務提供層與加解密模組之關係示意圖,為提供服務端加解密的能力,我們規畫於服務 提供層中加入加解密模組,服務提供層又可依功能細分成三層:Frontend Restful Layer(前端表徵狀態轉移風格的呼叫介面層)(L1)、Core Layer(核心邏輯處理層)(L2)和Backend Mogile layer(後端介接檔案儲存層)(L3),功能分別為對外提供RESTful API介面605、邏輯處理核心606和介接檔案儲存層607,本系統整合加解密模組至L3。當檔案由檔案儲存層603上傳時,在無須由服務端加密或是下載時無須由服務端解密情況下,檔案並不會經過加解密模組;但若上傳時交由服務端加密,則當L1收到要求後會將相關資訊存至資料庫601中,加解密模組602查詢資料庫確認後對檔案加密後回傳L3,若下載時交由服務端解密,則加解密模組會先查詢資料庫確認檔案是否已被加密,若為已加密之檔案則先解密後回傳L3。
關於雲端儲存服務、認證中心、加解密模組、金鑰管理伺服器之間關係以常見之行為為例:請參閱圖7所示,係為用戶註冊與各組件關係圖,用戶在使用儲存服務前須先於PKI架構中,透過儲存服務向認證中心進行註冊S701,其註冊資料包含用戶提供其公開金鑰S702,此公開金鑰將作為日後服務端傳送解密金鑰至用戶的加密所用;完成註冊S703後,認證中心應保留身份及其公開金鑰的對應。
請參閱圖8所示,係為上傳並採服務端加密與各組件關係圖,上傳並採服務端加密S801時,用戶端提出要求並透過參數告知伺服器端是否應將資料加密,服務端向認證中心確認用戶合法性S802,若用戶合法S803則向加解密模組要求加密S804,加解密模組透過用戶ID、檔案名稱等可供辨 識之資訊像金鑰管理伺服器要求檔案解密所需之加解密金鑰S805,取得將檔案加密所需之加解密金鑰S806後,加解密模組利用此加解密金鑰將檔案加密完成S807並儲存。
請參閱圖9所示,係為下載並採服務端解密與各組件關係圖,下載並採服務端解密S901時,用戶端提出要求,服務端向認證中心確認用戶合法性S902,若用戶合法S903則向加解密模組要求解密,加解密模組根據資料庫中資料判斷是否需要要求解密S904,若需要解密則加解密模組透過用戶ID、檔案名稱等可供辨識之資訊向金鑰管理伺服器要求檔案解密所需之加解密金鑰S905,取得將檔案解密所需之加解密金鑰S906後,加解密模組利用此加解密金鑰將檔案解密完成後回傳明碼檔案S907。
請參閱圖10所示,係為下載並採用戶端解密與各組件關係圖,下載並採用戶端解密S1001時,用戶端提出要求,服務端向認證中心確認用戶合法性S1002,若用戶合法S1003則向加解密模組要求解密,加解密模組則服務端根據資料庫中資料判斷是否需要要求解密S1004,若需要解密則加解密模組透過用戶ID、檔案名稱等可供辨識之資訊向金鑰管理伺服器要求檔案解密所需之加解密金鑰S1005,取得將檔案解密所用之加解密金鑰S1006並回傳服務端S1007,服務端再向認證中心要求用戶之公開金鑰S1008,取得公開金鑰S1009後,利用公開金鑰將前述之加解密金鑰加密後,連同未解密之檔案傳送回用戶,由用戶端透過其私有金鑰取得加解密金鑰後對收到之未解密檔案作解密。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡 未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請貴局核准本件發明專利申請案,以勵發明,至感德便。
100‧‧‧雲端儲存服務
101‧‧‧認證中心
102‧‧‧加解密模組
103‧‧‧金鑰管理伺服器

Claims (7)

  1. 一種具加解密功能之keymap存取模式雲端儲存服務,其中係包括:雲端儲存服務,係負責對外提供應用程式介面(Application Programming Interface,API)供用戶操作以及存取資料;認證中心,係為管理用戶身分認證以及提供個人身份與其公開金鑰的對應;加解密模組,係提供服務端加解密,並支援下載或複製檔案之指定部分,且對於該keymap存取模式雲端儲存服務之檔案加解密運算與傳輸進行平行處理;金鑰管理伺服器,係與該加解密模組介接,並為管理檔案加解密時該加解密模組所需之大量金鑰。
  2. 如申請專利範圍第1項所述之具加解密功能之keymap存取模式雲端儲存服務,其中該加解密模組,係位於該服務端的服務提供層或位於用戶端,並介接不同的資料庫和檔案系統層。
  3. 如申請專利範圍第1項所述之具加解密功能之keymap存取模式雲端儲存服務,其中該加解密模組,係介接該金鑰管理伺服器,其該金鑰管理伺服器管理檔案加解密時加解密模組所需之大量金鑰。
  4. 如申請專利範圍第1項所述之具加解密功能之keymap存取模式雲端儲存服務,其中該金鑰管理伺服器,係由服務端、第三方或由用戶端提供。
  5. 如申請專利範圍第1項所述之具加解密功能之keymap存 取模式雲端儲存服務,其中該認證中心,係由服務端、第三方或由用戶端提供。
  6. 如申請專利範圍第1項所述之具加解密功能之keymap存取模式雲端儲存服務,其中該雲端儲存服務,係包含:服務提供層,係提供Restful API供用戶端呼叫;檔案系統層,係為分散式檔案系統;以及資料庫,係提供該服務提供層、以及該檔案系統層儲存所需資訊。
  7. 如申請專利範圍第2項所述之具加解密功能之keymap存取模式雲端儲存服務,其中該服務提供層,係分為RESTful API、邏輯處理核心、及介接檔案儲存層,其中該加解密模組透過資料庫讀取RESTful API所取得之用戶要求資訊後,將檔案加密並回傳至該介接檔案儲存層,該介接檔案儲存層將加密後之檔案儲存至檔案系統層。
TW103136955A 2014-10-27 2014-10-27 具加解密功能之keymap存取模式雲端儲存服務 TW201616831A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW103136955A TW201616831A (zh) 2014-10-27 2014-10-27 具加解密功能之keymap存取模式雲端儲存服務
CN201510127865.9A CN104780160A (zh) 2014-10-27 2015-03-23 一种keymap存取模式云端储存服务的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW103136955A TW201616831A (zh) 2014-10-27 2014-10-27 具加解密功能之keymap存取模式雲端儲存服務

Publications (1)

Publication Number Publication Date
TW201616831A true TW201616831A (zh) 2016-05-01

Family

ID=53621404

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103136955A TW201616831A (zh) 2014-10-27 2014-10-27 具加解密功能之keymap存取模式雲端儲存服務

Country Status (2)

Country Link
CN (1) CN104780160A (zh)
TW (1) TW201616831A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI791963B (zh) * 2020-03-19 2023-02-11 瑞昱半導體股份有限公司 資料解密系統及資料解密方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560846B2 (en) * 2011-01-13 2013-10-15 Hewlett-Packard Development Company, L.P. Document security system and method
KR101874081B1 (ko) * 2012-06-07 2018-07-03 에스케이테크엑스 주식회사 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법
CN103684798B (zh) * 2013-12-31 2017-03-22 南京理工大学连云港研究院 一种用于分布式用户服务间认证方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI791963B (zh) * 2020-03-19 2023-02-11 瑞昱半導體股份有限公司 資料解密系統及資料解密方法
US11604900B2 (en) 2020-03-19 2023-03-14 Realtek Semiconductor Corporation Data decryption system and data decryption method

Also Published As

Publication number Publication date
CN104780160A (zh) 2015-07-15

Similar Documents

Publication Publication Date Title
CN108259169B (zh) 一种基于区块链云存储的文件安全分享方法及***
CN109144961B (zh) 授权文件共享方法及装置
Kumar et al. Decentralized secure storage of medical records using Blockchain and IPFS: A comparative analysis with future directions
US10594481B2 (en) Replicated encrypted data management
US9735962B1 (en) Three layer key wrapping for securing encryption keys in a data storage system
US9864874B1 (en) Management of encrypted data storage
US9088538B2 (en) Secure network storage
US9495552B2 (en) Integrated data deduplication and encryption
JP5196883B2 (ja) 情報セキュリティ装置および情報セキュリティシステム
US9626527B2 (en) Server and method for secure and economical sharing of data
CN111797415A (zh) 基于区块链的数据共享方法、电子设备和存储介质
US20140019753A1 (en) Cloud key management
JP2013513834A (ja) 信頼できるコンピューティングおよびデータサービスのための信頼できる拡張マークアップ言語
JP2017515413A (ja) 継続的な所有者アクセスを伴う、暗号化された仮想マシンの安全なトランスポート
JP2016513840A (ja) データセキュリティを保護するための方法、サーバ、ホスト、およびシステム
US20160072772A1 (en) Process for Secure Document Exchange
CN107113314B (zh) 用于云计算中的异构数据存储管理的方法和装置
CN106254342A (zh) Android平台下支持文件加密的安全云存储方法
KR101648364B1 (ko) 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법
US10063655B2 (en) Information processing method, trusted server, and cloud server
US9942315B2 (en) Anonymous peer storage
KR102385328B1 (ko) 프록시 재암호화를 통해 데이터 배포 제어가 가능한 drm 시스템 및 방법
JP2006279269A (ja) 情報管理装置、情報管理システム、ネットワークシステム、ユーザ端末、及びこれらのプログラム
TW201616831A (zh) 具加解密功能之keymap存取模式雲端儲存服務
JP2022531538A (ja) 暗号システム