基于cpk的文件云安全管理方法及系统的制作方法
【专利摘要】本发明公开了一种基于CPK的文件云安全管理方法及系统,该方法包括:根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文;根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对会话密钥进行加密,生成数字信封集;将数字信封集和文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。本发明通过以CPK组合公钥体系为基础,利用CPK的密钥传递技术,将当前用户本地的文件进行加密,生成只有当前用户以及与当前用户指定的目标用户才能解密的文件,并将该文件存储于云服务器,从而实现了文件的云安全存储与分享,构建了云安全存储和分享的自主可控性。
【专利说明】基于CPK的文件云安全管理方法及系统
【技术领域】
[0001]本发明涉及网络安全【技术领域】,具体来说,涉及一种基于CPK(Combined PublicKey,组合公钥)的文件云安全管理方法及系统。
【背景技术】
[0002]随着信息化程度日益提高,文件存储及共享被广泛用于各个领域,特别是敏感文件或者公司内部重要文件的存储需求也日益增多,尤其是作为文件存储中的新型存储机制一云存储更是如此,其中,云存储是在云计算的概念上延伸和发展出来的一个新的概念,是指通过集群应用、网络技术或者分布式文件系统等功能,将网络中的大量的各种应用的存储设备通过应用系统集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。
[0003]目前,现有技术针对上述情况,提出了两种安全方案,一种方案是对文件采用对称加密,另一种则是采用传统的公钥体制(PKI)对文件进行加密。
[0004]其中,第一种方案的优势在于成本低,实现简单,但是,这种方案也存在着诸多不足之处,例如,所有的文件的密钥只有一个,当一个文件被破解时,则会影响到其他文件的安全性;同时,用户为了方便记忆密钥,往往设置过于简单,从而造成了被猜测的可能性很大,另外,当用户忘记密钥时,则还会造成文件无法恢复。
[0005]而第二种方案则是整合了对称密码与公钥体制各自的优点,在安全性方面有了很大的提高,例如,文件加密可实现一次一密,当一个文件被破解时,并不会影响到其他文件的安全性,同时由于密钥是采用随机数的,从而不需要进行记忆,另外,由于采用了公钥体制的数字信封技术,只有指定的用户才能解密文件,从而使得安全强度明显得到了提高。然而,这种方案也存在着诸多不足之处,例如,由于采用了 PKI体系,从而使得加密依赖于第三方的CA体系,需要有基于安全芯片的USB Key等硬件设备支撑,成本较高;同时在制作数字信封时,需要得到公钥,而PKI体系的公钥一般需要在线证书库的支持。另外,非用户自己的证书难以取得,所以依然实现不了对密文文件的分享,仅能实现用户自己的文件的安全云存储。
[0006]由此可见,现有技术中的安全方案,要么不能实现云存储和云分享,要么仅能实现云存储,而不能实现云分享,而针对现有技术中的该问题,目前还尚未提出有效的解决方案。
【发明内容】
[0007]针对上述相关技术中的问题,本发明提出一种基于CPK的文件云安全管理方法及系统,其中,由于CPK是基于标识的公钥密码体制,公钥是用标识与公钥矩阵通过计算得至IJ,从而可以实现基于标识的密钥传递协议,而本发明的该文件云安全管理方案及系统则正是基于这种密钥传递协议的特点而提出的,其能够生成并存储只有当前用户以及与当前用户指定的目标用户才能解密的文件,从而实现了文件的云安全存储与分享。[0008]本发明的技术方案是这样实现的:
[0009]根据本发明的一个方面,提供了一种基于CPK的文件云安全管理方法。
[0010]该基于CPK的文件云安全管理方法包括:
[0011]根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文;
[0012]根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对会话密钥进行加密,生成数字信封集;
[0013]将数字信封集和文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。
[0014]此外,该基于CPK的文件云安全管理方法还包括:在对将要存储的文件进行加密之前,对该文件进行数字签名,以保障该文件的完整性和真实性。
[0015]在上述方案中,会话密钥根据预先配置的随机数生成器生成的随机数据生成。
[0016]并且,在上述方案中,当前用户的公钥以及目标用户的公钥通过预先配置的用户标识和目标用户标识集通过CPK的公钥矩阵计算生成。
[0017]根据本发明的另一方面,提供了一种基于CPK的文件云安全管理系统。
[0018]该基于CPK的文件云安全管理系统包括:
[0019]第一加密模块,用于根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文;
[0020]第二加密模块,用于根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对会话密钥进行加密,生成数字信封集;
[0021]存储管理模块,用于将数字信封集和文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。
[0022]此外,该基于CPK的文件云安全管理系统还包括:数字签名模块,用于在对将要存储的文件进行加密之前,对该文件进行数字签名,以保障该文件的完整性和真实性。
[0023]在上述方案中,会话密钥根据预先配置的随机数生成器生成的随机数据生成。
[0024]并且,在上述方案中,当前用户的公钥以及目标用户的公钥通过预先配置的用户标识和目标用户标识集通过CPK的公钥矩阵计算生成。
[0025]本发明通过以CPK组合公钥体系为基础,利用CPK的密钥传递技术,将当前用户本地的文件进行加密,生成只有当前用户以及与当前用户指定的目标用户才能解密的文件,并将该文件存储于云服务器,从而实现了文件的云安全存储与分享,有效的防止了用户文件丢失、文件泄密、文件扩散等问题,构建了云安全存储和分享的自主可控性。
[0026]另外,本发明还利用CPK灵活的数字签名技术,对存储的文件进行数字签名,从而保证了用户文件安全存储、传递、分享时的完整性和不可依赖性,进而进一步的提供了文件的云存储和分享的安全保障。
【专利附图】
【附图说明】
[0027]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。[0028]图1是根据本发明实施例的基于CPK的文件云安全管理方法的流程示意图;
[0029]图2是根据本发明实施例的基于CPK的文件云安全管理系统的结构示意图;
[0030]图3是根据本发明实施例的基于CPK的文件云安全管理方法在实际应用时对应的客户端与云服务器的结构示意图;
[0031]图4是根据本发明实施例的基于CPK的文件云安全管理方法在实际应用时的时序流程图。
【具体实施方式】
[0032]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0033]根据本发明的实施例,提供了一种基于CPK的文件云安全管理方法。
[0034]如图1所示,根据本发明实施例的基于CPK的文件云安全管理方法包括:
[0035]步骤S101,根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文;
[0036]步骤S103,根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对会话密钥进行加密,生成数字信封集;
[0037]步骤S105,将数字信封集和文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。
[0038]此外,该基于CPK的文件云安全管理方法还包括:在对将要存储的文件进行加密之前,对该文件进行数字签名,以保障该文件的完整性和真实性。
[0039]当然,在实际应用时,该文件的数字签名是可选的,可根据具体需要选择签名或者不签名。
[0040]在上述方案中,会话密钥根据预先配置的随机数生成器生成的随机数据生成。
[0041]并且,在上述方案中,当前用户的公钥以及目标用户的公钥通过预先配置的用户标识和目标用户标识集通过CPK的公钥矩阵计算生成。
[0042]根据本发明的实施例,还提供了一种基于CPK的文件云安全管理系统。
[0043]如图2所示,根据本发明实施例的基于CPK的文件云安全管理系统包括:
[0044]第一加密模块21,用于根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文;
[0045]第二加密模块22,用于根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对会话密钥进行加密,生成数字信封集;
[0046]存储管理模块23,用于将数字信封集和文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。
[0047]此外,该基于CPK的文件云安全管理系统还包括:数字签名模块(未示出),用于在对将要存储的文件进行加密之前,对该文件进行数字签名,以保障该文件的完整性和真实性。
[0048]同样的,在实际应用时,该数字签名模块也是可选的,可根据具体需求进行启动或者不启动。
[0049]在上述方案中,会话密钥根据预先配置的随机数生成器生成的随机数据生成。
[0050]并且,在上述方案中,当前用户的公钥以及目标用户的公钥通过预先配置的用户标识和目标用户标识集通过CPK的公钥矩阵计算生成。
[0051]为了方便理解本发明的上述技术方案,以下通过具体实例对本发明的上述技术方案进行详细说明。其中,由于在实际应用中,上述操作一般是在客户端与云服务器等实体上实现的,因此,下面将从客户端和云服务器等实体的角度对上述技术方案进行说明。
[0052]图3是本发明的上述技术方案对应的客户端与云服务器的结构示意图;从图3中可以看出,对于客户端来说,其具有文件管理模块、签名验证模块、密码管理模块、上传下载模块、分享管理模块以及基础管理模块。其中,文件管理模块是用于管理当前客户端对应的用户文件;签名验证模块则是用于在文件加密时,对电子文件明文进行CPK数字签名,并在用户下载后解密时,验证数字签名,以保障文件的完整性和不可依赖性;密码管理模块则是用于会话密钥的管理;上传下载模块则是用于将加密后的文件上传到云服务器,同时也可以将云服务器中的存储的文件下载到本地客户端;分享管理模块则是根据当前用户的公钥以及当前用户指定的被分享方(即目标用户)的公钥对会话密钥进行加密,生成数字信封集,并实行数字信封集与加密后的文件进行绑定,形成可分享的密文文件;基础管理模块则对当前客户端所提供的基础服务进行管理。
[0053]而对于云服务器来说,其也具有文件管理模块、上传下载模块、分享管理模块以及基础管理模块,其中,文件管理模块、上传下载模块、分享管理模块以及基础管理模块与客户端中的对应模块的功能相近,在此就不一一阐述。
[0054]应当注意的是,从图3中还可以看出,无论是客户端,还是云服务器,均是具有鉴别访问模块的,而该鉴别访问模块则是为了实现在实际应用过程中进一步提高用户的安全性的,其与CPK密钥设备配合使用可实现对用户的身份进行鉴别,以确保用户身份的安全性。
[0055]图4是本发明的上述技术方案的时序流程图,从图4中可以看出,在实际应用时,用户可通过CPK密钥设备登陆客户端,进行用户鉴别,而在网络正常状态下,云服务器则也会自动鉴别客户端,而在鉴别之后,用户则可以在客户端上对文件进行管理,并对文件进行签名加密和分享,然后再将文件上传到云服务器中,促使云服务器对文件进行云存储,同时云服务器在对文件进行云存储之后,会根据文件的分享信息发送消息给被分享用户客户端,而被分享用户则可以在对应的客户端上下载云服务器上被分享的文件,通过对文件进行签名验证和解密,最终得到具体的文件。
[0056]由上可以看出,本发明以CPK组合公钥体系为基础,利用其灵活的数字签名及密钥传递技术,通过将用户本地文件签名、加密、分享、上传、通知、下载、解密等一系列操作,构建了一个从客户端到云再到客户端各个环节全密态存储、传送,并且使用了数字签名验证技术,保证了用户文件安全存储、传递和分享。从而使得本发明具有了强保密性、以及高效率性,同时也使得本发明能够支撑大规模的应用,并且支持离线下载及解密,有效的防止了用户文件丢失、文件泄密、文件扩散等问题,构建了一种电子文件自主可控的云安全存储与分享机制。
[0057]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于组合公钥CPK的文件云安全管理方法,其特征在于,包括: 根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文; 根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对所述会话密钥进行加密,生成数字信封集; 将所述数字信封集和所述文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。
2.根据权利要求1所述的文件云安全管理方法,其特征在于,进一步包括: 在对将要存储的文件进行加密之前,对该文件进行数字签名,以保障该文件的完整性和真实性。
3.根据权利要求1所述的文件云安全管理方法,其特征在于,所述会话密钥根据预先配置的随机数生成器生成的随机数据生成。
4.根据权利要求1所述的文件云安全管理方法,其特征在于,所述当前用户的公钥以及所述目标用户的公钥通过预先配置的用户标识和目标用户标识集通过所述CPK的公钥矩阵计算生成。
5.一种基于组合公钥CPK的文件云安全管理系统,其特征在于,包括: 第一加密模块,用于根据预先配置的会话密钥,对将要存储的文件进行加密,生成文件密文; 第二加密模块,用于根据预先配置的当前用户的公钥以及与该当前用户指定的目标用户的公钥,分别对所述会话密钥进行加密,生成数字信封集; 存储管理模块,用于将所述数字信封集和所述文件密文进行绑定,形成可分享的密文文件,并将该密文文件存储至云服务器。
6.根据权利要求5所述的文件云安全管理系统,其特征在于,进一步包括: 数字签名模块,用于在对将要存储的文件进行加密之前,对该文件进行数字签名,以保障该文件的完整性和真实性。
7.根据权利要求5所述的文件云安全管理系统,其特征在于,所述会话密钥根据预先配置的随机数生成器生成的随机数据生成。
8.根据权利要求5所述的文件云安全管理系统,其特征在于,所述当前用户的公钥以及所述目标用户的公钥通过预先配置的用户标识和目标用户标识集通过所述CPK的公钥矩阵计算生成。
【文档编号】H04L29/08GK103973440SQ201410200967
【公开日】2014年8月6日 申请日期:2014年5月13日 优先权日:2014年5月13日
【发明者】陈海南, 李维刚, 郭守祥, 刘莹 申请人:东方斯泰克信息技术研究院(北京)有限公司