一种云存储加密以及其密文检索方法与系统的制作方法
【技术领域】
[0001 ] 本发明涉及云存储技术领域,本发明公开了一种云存储加密以及其密文检索方法与系统。
【背景技术】
[0002]当前,云计算正在成为信息产业发展的新浪潮,其以高度集中的资源管理与配置方式,为用户提供前所未有的服务体验,并改变着传统信息服务的商业模式。而云存储作为云计算的一项重要服务功能,大量节省了用户建立和维护存储设备的成本,成为了国内外各大云服务提供商首要发展的一项服务。
[0003]虽然云存储为用户带来成本上的节省,但其安全问题也影响着用户对云存储的担忧。云存储的安全,其根本是保障数据的安全,包括了数据在生成、传输、保存、访问等各阶段的保密性、完整性以及可用性。然而,现存各类云存储平台都在保密性方面缺少关注。Amazon S3在线存储服务只保证了通讯过程中的数据加密;华为DBank提供面向文件的数据存储服务,但不支持数据加密服务;Had00p的开源云存储解决方案一HDFS和HBase,没有数据加密服务功能。此后,微软开发出Cryptographic Cloud Storage,其提供了加密存储功能,但缺少密文检索功能服务。同时,近年来国外密码算法逐渐爆出后门隐患问题,而国产商用密码算法的发展,其安全性得到保障,但目前缺乏在云存储安全方面的运用。因此,急需立足于国产商用密码算法构建云存储安全系统,同时通过综合运用国产密码算法,构建起云存储加密与密文检索相匹配的系统和方法。
【发明内容】
[0004]针对现有技术中的云存储难以保障用户数据安全的技术问题,本发明公开了一种云存储加密方法,同时还公开了一种云存储加密对应的密文检索方法,本发明还公开了与云存储方法与检索方法对应的实现系统。通过上述方法,对云存储的数据进行加密,即使是云存储的提供商,也无法得到用户保存的文件的内容,从而保证了用户文件的安全。
[0005]本发明的技术方案如下
本发明公开了一种云存储加密方法,其具体包括以下的步骤:步骤一、用户向安全服务器申请文件加密服务,并通过安全通道上传文件到安全服务器;步骤二、安全服务器接收到文件后,为文件分配文件ID号,然后对文件建立索引,形成索引文件;步骤三、安全服务器对索引文件中的关键词进行加密,形成索引加密文件;步骤四、安全服务器产生数据密钥,并对文件全文进行加密形成密文,在密文中加入文件ID号形成带标识密文文件,同时,将文件ID号与数据密钥进行一一对应,形成数据密钥文件,利用用户公钥对文件中的文件ID号与数据密钥进行加密,形成数据密钥加密文件;步骤五、安全服务器将数据密钥加密文件上传到云存储服务器存储,并将索引加密文件和带标识密文文件通过安全通道一同传给用户;步骤六、用户通过安全通道将索引加密文件和带标识密文文件上传云存储服务器进行存储。
[0006]更进一步地,上述云存储服务器上设置密钥存储区和文件存储区,所述密钥存储区和文件存储区采用物理方式进行隔离,所述数据密钥加密文件存放于密钥存储区,所述索引加密文件和带标识密文文件存放于文件存储区。
[0007]更进一步地,上述文件全文的加密和关键词的加密采用SM4算法,文件ID号与数据密钥的加密采用SM9算法。
[0008]本发明还公开了一种针对上述云存储加密方法的密文检索方法,其具体包括以下的步骤:步骤a、用户向安全服务器申请加密关键词服务,并通过安全通道上传需要检索的关键词;步骤b、安全服务器对检索关键词进行SM4算法加密,形成关键词密文,并通过安全通道传给用户;步骤c、用户将关键词密文上传云存储服务器,并请求检索;步骤d、云存储服务器在索引加密文件中进行检索,通过关键词密文匹配找到带标识密文文件,并将带标识密文文件传给用户;步骤e、用户从带标识密文文件中提取出文件ID号,并上传给安全服务器请求获取数据密钥;步骤f、安全服务器利用用户公钥对文件ID号进行加密,然后将加密后的文件ID数据上传云存储服务器请求密钥检索;步骤g、云存储服务器在数据密钥加密文件中进行检索,将匹配的已加密数据密钥传给安全服务器,然后,安全服务器通过安全通道发送给用户;步骤h、用户利用私钥从已加密数据密钥中解密出数据密钥,并利用数据密钥通过SM4算法解密文件。
[0009]本发明还公开了一种云存储加密系统,其具体包括云存储安全客户端、安全服务器和云存储服务器;所述云存储安全客户端用于向安全服务器申请文件加密服务,并通过安全通道上传文件到安全服务器;所述安全服务器接收到文件后,为文件分配文件ID号,然后对文件全文建立索引,形成索引文件;所述安全服务器对索引文件中的关键词进行加密,形成索引加密文件;所述安全服务器还产生数据密钥,对文件全文加密形成密文,并在密文中加入文件ID号形成带标识密文文件,同时,将文件ID与数据密钥进行--对应,形成数据密钥文件,利用用户公钥对文件中的文件ID与数据密钥进行加密,形成数据密钥加密文件;所述安全服务器将数据密钥加密文件上传到云存储服务器存储,并将索引加密文件和带标识密文文件通过安全通道一同传给用户;用户通过安全通道将索引加密文件和带标识密文文件上传云存储服务器进行存储。
[0010]更进一步地,上述云存储服务器上设置密钥存储区和文件存储区,所述密钥存储区和文件存储区采用物理方式进行隔离,所述数据密钥加密文件存放于密钥存储区,所述索引加密文件和带标识密文文件存放于文件存储区。
[0011]更进一步地,上述文件全文的加密和关键词的加密采用SM4算法,文件ID号与数据密钥的加密采用SM9算法。
[0012]本发明还公开了一种针对上述云存储加密系统的密文检索系统,其中,云存储安全客户端向安全服务器申请加密关键词服务,并通过安全通道上传需要检索的关键词;所述安全服务器对检索关键词进行SM4算法加密,形成关键词密文,并通过安全通道传给用户;用户将关键词密文上传云存储服务器,并请求检索;所述云存储服务器在索引加密文件中进行检索,通过关键词密文匹配找到带标识密文文件,并将带标识密文文件传给用户;用户从带标识密文文件中提取出文件ID号,并上传给安全服务器请求获取数据密钥;所述安全服务器对文件ID进行SM9算法加密,然后将加密后的文件ID数据上传云存储服务器请求密钥检索;所述云存储服务器在数据密钥加密文件中进行检索,将匹配的已加密数据密钥传给安全服务器,然后,安全服务器通过安全通道发送给用户;用户利用私钥从已加密数据密钥中解密出数据密钥,并利用数据密钥解密文件。
[0013]通过采用以上的技术方案,本发明的有益效果为:本方法采用基于国产商用密码算法来构建云存储加密及检索系统,一方面考虑了系统性能,对大量数据的文件、索引关键词采用了 SM4加密,对小量数据的数据加密密钥采用了 SM9加密,并在安全服务器端只进行加密运算,在云存储安全客户端只进行解密运算。另一方面,除主密钥外,其他密钥均以密钥文件形式存储在云存储服务器端,充分降低了安全服务器的存储成本。此外,在密钥保护安全方面,安全服务器不保存用户私钥,只进行公钥管理维护,而数据密钥通过加密存储,并且在云存储服务器端,密钥的存储与文件的存储是分别存储于具有物理隔离的不同区域,保证云存储商无法获知存储文件的信息。
【附图说明】
[0014]图1为基于国产商用密码算法的云存储加密及检索系统的结构示意图。
[0015]图2为云存储加密的实现流程示意图。
[0016]图3为密文检索阶段的实现流程图。
【具体实施方式】
[0017]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0018]本发明中的云存储加密及检索系统主要由如图1所示的部分组成,详细如下:
(1)云存储安全客户端:实现与安全服务器和云存储服务器的对接。具备解密功能,包括密文文件的解密和加密后的数据密钥解密,其可以通过物理设备比如USBkey来存储用户私钥。
[0019](2)安全服务器:能够提供多种安全服务功能,包括a)用户公私钥产生和公钥管理山)对明文文本数据建立关键词索引,并对索引的关键词进行加密保护;c)产生数据密钥,对文件数据进行加密;d)对查询关键词进行加密;e)对用户公钥、数据密钥进行加密、维护管理等。图2和图3分别显示了云存储加密阶段和检索阶段,安全服务器提供的服务功能流程。
[0020](3)云存储服务器:负责用户上传的数据资源、索引文件的存储,以及安全服务器上传的数据密钥、用户公钥存储。
[0021]基于国产商用密码算法(鉴于国产商用密码算法的重要性,国产商用密码算法公开使用的有SM2、3、4,其中SM4算法适合对大数据量的数据进行加密,SM3算法是杂凑密码算法不适合本发明运用,SM2算法使用较多,但与即将全面公开使用的SM9算法相比,其对公钥的管理较复杂、成本较高。因此,本发明采用了 SM4和SM9算法)的云存储加密及检索系统构建完成后,用户通过存储安全客户端向安全服务器注册,安全服务器产生用户公钥和私钥,并将私钥通过安全通道发送给用户,存储于终端USBkey中。安全服务器不保存私钥,只进行用户公钥的维护管理,并将用户公钥存储于云存储服务器中,使用时从云存储服务器中查询提取用户公钥,节省了安全服务器的存储成本。
[0022]用户进行云存储加密的过程如图2所示,其详细步骤如下:
步骤一:用户通过云存储安全客户端,向安全服务器申请文件加密服务,并通过安全通道上传明文文件到安全服务器。
[0023]步骤二:安全服务器接收到明文文件后,为文件分配一个唯一的文件ID号。然后对文件全文建立索引(针对全文建立索引的方法较多,可选任意开源的索引引擎建立索引,例如基于Lucene全文检索的搜索引擎,其不属于本发明的具体改进点,在此不详细进行赘述),并对索引中的关键词进行相关性排序(关于排序的方法也很多,本发明不具体规定和说明),形成索引文件。(本步骤实际上就是指采用搜索引擎中的关键技术一全文索引技术,形成索引文件,采用这种方法后提升了系统的搜索速度。)
步骤三:安全服务器对索引文件中的关键