一种面向云存储的数据分类加密方法
【专利摘要】一种面向云存储的数据分类加密方法,属于计算机存储安全领域,解决现有数据加密方法不识别数据内容,对所有数据采用单一加密算法,导致存在的计算量大,效率低下的问题。本发明顺序包括:(1)构建安全特征库步骤、(2)数据分类步骤、(3)数据按类加密步骤和(4)数据存储步骤。本发明只对涉及隐私需要高安全保护的那部分数据采用高安全性的加密算法,而对于占大部分的一般数据采用安全性较低、计算复杂度较低的加密算法,在对隐私数据进行高安全性保护的同时,降低了加密的计算量,提高了效率。
【专利说明】—种面向云存储的数据分类加密方法
【技术领域】
[0001]本发明属于计算机存储安全领域,具体涉及一种面向云存储的数据分类加密方法。
【背景技术】
[0002]当今社会,数据呈现“爆炸性”增长,各种视频音频数据以及社交网络和智能终端设备产生的社交视频图片数据量大大超出了一般用户的本地存储容量。购买存储设备来满足数据增长的需要给用户带来了沉重的经济负担。
[0003]云存储的发展,使得用户可以将数据从本地存储转移到云存储,帮助用户减少存储设备的投入。另外,云存储具有容量大,可灵活扩展,可随时随地访问等优点为用户带来了极大的便捷。因此越来越多的用户开始选择云存储,将大量的数据存储到云存储中。
[0004]云存储在为用户降低存储成本和提高存储效率的同时,也带来安全问题。用户不希望数据被他人读取,避免泄露隐私信息,所以需要保护数据的机密性和安全性。数据加密是一种最直接的保护数据安全的方法,用户在将数据传输到云存储之前,先对数据进行加密,让后将加密后的密文数据传输到云存储进行存储。通过数据加密,用户既使用了云存储的优点,又保护了数据的安全性。
[0005]现有应用于云存储的数据加密方法一般对所有数据使用同一个加密算法和密钥,不分析数据的内容,所有数据等同对待,见s.Kamara and K.Lauter.Cryptographiccloud storage.1n Proc.Workshop Real-Life Cryptographic Protocols andStandardization (RLCPS), pagesl36_149,2010。如果一大块数据中,只有某几个数据段包含了银行账号、身份信息,而其它绝大部分都是不涉及隐私的一般数据,对那些占绝大部分的一般数据进行高安全性的加密保护是没有必要的。
[0006]对于云存储具有数据量巨大、数据类型繁多等特点,数据加密保护策略的效率显得尤为重要。在进行数据加密保护时,如果不加区分,对所有数据等同对待,选择同样的加密策略和密钥必然会导致计算开销过大,这样数据加密保护措施带来的性能损失令人难以接受。因此,面向云存储的数据加密策略需要能够对数据进行安全级别识别,对不同安全级别的数据采用不同的加密算法和不同强度的加密密钥进行加密,这样可以避免对不需要强安全保护的数据进行复杂的加密计算,降低计算开销,提高数据加密保护策略的效率。
【发明内容】
[0007]本发明提供一种面向云存储的数据分类加密方法,解决现有数据加密方法不识别数据内容,对所有数据采用单一加密算法,导致存在的计算量大,效率低下的问题。
[0008]本发明所提供的一种面向云存储的数据分类加密方法,顺序包括构建安全特征库步骤、数据分类步骤、数据按类加密步骤和数据存储步骤,其特征在于:
[0009](I)构建安全特征库步骤:
[0010]用户在本地构建安全特征库,安全特征库包括多条安全特征,每条安全特征的格式为“[安全级别]:[数据模式]”;
[0011]其中安全级别从小到大依次分别为一般级别、敏感级别、秘密级别,各安全级别具有对应的数据模式:
[0012]一般级别对应的数据模式为图片的文件扩展名、视频文件的文件扩展名或音频文件的文件扩展名,包括jpg、bmp、jpeg、rmvb、avi ;
[0013]敏感级别对应的数据模式为涉及隐私信息的正则表达式,包括对应身份证号码的正则表达式“
【权利要求】
1.一种面向云存储的数据分类加密方法,顺序包括构建安全特征库步骤、数据分类步骤、数据按类加密步骤和数据存储步骤,其特征在于: (1)构建安全特征库步骤: 用户在本地构建安全特征库,安全特征库包括多条安全特征,每条安全特征的格式为“[安全级别]:[数据模式]”; 其中安全级别从小到大依次分别为一般级别、敏感级别、秘密级别,各安全级别具有对应的数据模式: 一般级别对应的数据模式为图片的文件扩展名、视频文件的文件扩展名或音频文件的文件扩展名,包括 jpg、bmp、jpeg、rmvb、avi ; 敏感级别对应的数据模式为涉及隐私信息的正则表达式,包括对应身份证号码的正则表达式
2.如权利要求1所述的数据分类加密方法,其特征在于,所述数据分类步骤包括下述子步骤: (2.1)建立分段索引表并将待存储数据划分为数据段,分段索引表由多个条目组成,每一条目对应一个数据段,各条目所包括的字段为:开始位置、长度、安全级别、加密算法名称、加密密钥,分别用于记录数据段的开始位置、长度、安全级别、对应的加密算法名称、加密密钥,其中,开始位置、长度在对数据分段后填入;安全级别留待在后续子步骤中标记;加密算法名称、加密密钥留待在数据按类加密步骤中填入; 将待存储数据划分为数据段时,根据等长度进行分段或者以文件的自然段为单位进行分段; (2.2)按顺序读取一个数据段; (2.3)查找分段索引表,检查在对应该数据段的条目中是否已经标记安全级别,是则转子步骤(2.2),否则进行子步骤(2.4); (2.4)在对应该数据段的条目中,将安全级别标记为一般级别; (2.5)顺序将该数据段内的数据与安全特征库中各条安全特征的数据模式逐条进行比较,判断该数据段内是否存在与某条安全特征的数据模式相同的数据,是则转子步骤(2.6),否则转子步骤(2.8); (2.6)判断包含所述数据模式的安全特征对应的安全级别是否大于当前数据段的安全级别,是则转子步骤(2.7),否则转子步骤(2.5); (2.7)在对应该数据段的条目中,将当前数据段的安全级别更新标记为所述安全特征所对应的安全级别,然后判断当前条目中的安全级别是否为秘密级别,是则转子步骤(2.8);否则转子步骤(2.5); (2.8)判断是否还有未标记安全级别的数据段,是则转子步骤(2.2),否则进行步骤⑶。
3.如权利要求1所述的数据分类加密方法,其特征在于,所述数据按类加密步骤包括下述子步骤: (3.1)按顺序读取一个数据段,查找分段索引表,获得该数据段对应条目的安全级别;(3.2)根据数据段的安全级别,选择相应的加密算法和密钥对该数据段进行加密:安全级别为一般级别,使用BlowFish加密算法、使用128位密钥对该数据段加密,并将所使用的加密算法和密钥填入分段索引表的相应条目中; 安全级别为敏感级别, 使用AES加密算法、使用128位密钥对该数据段加密,并将所使用的加密算法和密钥填入分段索引表的相应条目中; 安全级别为秘密级别,使用AES加密算法、256位密钥对该数据段加密,并将所使用的加密算法和密钥填入分段索引表的相应条目中; (3.3)继续读取下一个数据段,按照子步骤(3.2)进行加密,直至所有数据段都加密完毕,进行步骤(4)。
【文档编号】H04L29/08GK103780622SQ201410034878
【公开日】2014年5月7日 申请日期:2014年1月24日 优先权日:2014年1月24日
【发明者】冯丹, 焦田丰, 施展, 柳青, 李勇, 李宁 申请人:华中科技大学