本发明涉及计算机技术领域,特别涉及一种云存储方法和系统。
背景技术:
近年来,随着互联网、移动互联网及物联网的高速发展,产生的数据量急剧增长,其中很大一部分是非结构化的数据,云数据中心通过优化存储在一定程度上很好的满足了用户对数据存储的需求。
但是,在云数据中心中,数据的集中存放导致各租户硬件存储设备的共享,导致存储的数据的安全性降低。
技术实现要素:
本发明实施例提供了一种云存储方法和系统,能够提高云数据中心存储的数据的安全性。
第一方面,本发明实施例提供了一种云存储方法,包括:
加密存储终端向密钥管理中心发送密钥申请;
所述密钥管理中心根据所述密钥申请对所述加密存储终端进行验证,当验证通过时,将主加密密钥写入所述加密存储终端;
所述加密存储终端设置云存储加密区域,并将所述云存储加密区域划分成至少两个加密子区域;
所述加密存储终端根据所述主加密密钥,为每一个所述加密子区域生成对应的派生密钥;
当检测到目标文件添加进所述至少两个加密子区域中目标加密子区域时,所述加密存储终端利用所述目标加密子区域对应的派生密钥对所述目标文件进行加密;
所述加密存储终端通过预设的云数据中心的参数,将加密后的所述目标文件同步到所述云数据中心。
优选地,
进一步包括:
所述加密存储终端设置云存储解密区域,并将所述云存储解密区域划分成至少两个解密子区域,其中,所述至少两个加密子区域与所述至少两个解密子区域一一对应;
当检测到目标文件添加进所述至少两个加密子区域中目标加密子区域时,进一步包括:
所述加密存储终端根据所述目标加密子区域对应的派生密钥,生成消息认证码;
在所述加密存储终端通过预设的云数据中心的参数,将加密后的所述目标文件同步到所述云数据中心之后,进一步包括:
当检测到加密后的所述目标文件添加进与所述目标加密子区域对应的目标解密子区域时,所述加密存储终端利用所述目标加密子区域对应的派生密钥对加密后的所述目标文件进行解密,得到解密文件;利用所述消息认证码对所述解密文件进行验证,当验证通过时,确定所述解密文件为所述目标文件。
优选地,
进一步包括:
所述加密存储终端设置非加密区域;
当检测到所述目标文件添加进所述非加密区域时,所述加密存储终端通过所述云数据中心的参数,将所述目标文件同步到所述云数据中心。
优选地,
进一步包括:
所述加密存储终端设置访问口令;
当接收到外部的访问请求时,所述加密存储终端判断所述访问请求中是否存在所述访问口令,如果是,执行所述当检测到目标文件添加进所述至少两个加密子区域中目标加密子区域时,所述加密存储终端利用所述目标加密子区域对应的派生密钥对所述目标文件进行加密。
第二方面,本发明实施例提供了一种基于加密存储终端的云存储系统,包括:云数据中心、密钥管理中心和至少一个加密存储终端;
所述加密存储终端,用于向所述密钥管理中心发送密钥申请;设置云存储加密区域,并将所述云存储加密区域划分成至少两个加密子区域;根据主加密密钥,为每一个所述加密子区域生成对应的派生密钥;当检测到目标文件添加进所述至少两个加密子区域中目标加密子区域时,利用所述目标加密子区域对应的派生密钥对所述目标文件进行加密;通过预设的所述云数据中心的参数,将加密后的所述目标文件同步到所述云数据中心。
所述密钥管理中心,用于根据所述密钥申请对所述加密存储终端进行验证,当验证通过时,将所述主加密密钥写入所述加密存储终端。
优选地,
所述加密存储终端,进一步用于设置云存储解密区域,并将所述云存储解密区域划分成至少两个解密子区域,其中,所述至少两个加密子区域与所述至少两个解密子区域一一对应;根据所述目标加密子区域对应的派生密钥,生成消息认证码;当检测到加密后的所述目标文件添加进与所述目标加密子区域对应的目标解密子区域时,利用所述目标加密子区域对应的派生密钥对加密后的所述目标文件进行解密,得到解密文件;利用所述消息认证码对所述解密文件进行验证,当验证通过时,确定所述解密文件为所述目标文件。
优选地,
所述加密存储终端,进一步用于设置非加密区域;当检测到所述目标文件添加进所述非加密区域时,通过所述云数据中心的参数,将所述目标文件同步到所述云数据中心。
优选地,
所述加密存储终端,进一步用于设置访问口令;当接收到外部的访问请求时,判断所述访问请求中是否存在所述访问口令,如果是,执行所述当检测到目标文件添加进所述至少两个加密子区域中目标加密子区域时,所述加密存储终端利用所述目标加密子区域对应的派生密钥对所述目标文件进行加密。
本发明实施例提供了一种云存储方法和系统,其中,加密存储终端通过主加密密钥计算出多个派生密钥,派生密钥计算不出加密设备,保证了派生密钥的安全性。各个派生密钥分别对应加密子区域,利用拖拽方式将目标文件拖入到加密子区域时,加密存储终端将自动利用对应的派生密钥加密目标文件并同步到云数据中心,云数据中心仅保存加密后的目标文件,保证了目标文件的安全。另外,主加密密钥由密钥管理中心提供,一方面保证密钥强度,另一方面,解决密钥硬件设备损坏后的密钥恢复问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的一种云存储方法的流程图;
图2是本发明一个实施例提供的一种云存储系统的结构示意图;
图3是本发明另一个实施例提供的一种云存储方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种云存储方法,该方法可以包括以下步骤:
步骤101:加密存储终端向密钥管理中心发送密钥申请;
步骤102:密钥管理中心根据密钥申请对加密存储终端进行验证,当验证通过时,将主加密密钥写入加密存储终端;
步骤103:加密存储终端设置云存储加密区域,并将云存储加密区域划分成至少两个加密子区域;
步骤104:加密存储终端根据主加密密钥,为每一个加密子区域生成对应的派生密钥;
步骤105:当检测到目标文件添加进至少两个加密子区域中目标加密子区域时,加密存储终端利用目标加密子区域对应的派生密钥对目标文件进行加密;
步骤106:加密存储终端通过预设的云数据中心的参数,将加密后的目标文件同步到云数据中心。
加密存储终端通过主加密密钥计算出多个派生密钥,派生密钥计算不出加密设备,保证了派生密钥的安全性。各个派生密钥分别对应加密子区域,利用拖拽方式将目标文件拖入到加密子区域时,加密存储终端将自动利用对应的派生密钥加密目标文件并同步到云数据中心,云数据中心仅保存加密后的目标文件,保证了目标文件的安全。另外,主加密密钥由密钥管理中心提供,一方面保证密钥强度,另一方面,解决密钥硬件设备损坏后的密钥恢复问题。
在本发明的一个实施例中,该方法还包括:加密存储终端设置云存储解密区域,并将云存储解密区域划分成至少两个解密子区域,其中,至少两个加密子区域与至少两个解密子区域一一对应;
当检测到目标文件添加进至少两个加密子区域中目标加密子区域时,进一步包括:
加密存储终端根据目标加密子区域对应的派生密钥,生成消息认证码;
在加密存储终端通过预设的云数据中心的参数,将加密后的目标文件同步到云数据中心之后,进一步包括:
当检测到加密后的目标文件添加进与目标加密子区域对应的目标解密子区域时,加密存储终端利用目标加密子区域对应的派生密钥对加密后的目标文件进行解密,得到解密文件;利用消息认证码对解密文件进行验证,当验证通过时,确定解密文件为目标文件。
在本发明实施例中,为了防止同步到云数据中心的数据被恶意篡改,可以在加密存储终端一侧,利用消息认证码对解密得到的文件进行验证,以确保得到的文件未被篡改,该方法提高了云数据中心存储的安全性。
在本发明的一个实施例中,该方法还包括:
加密存储终端设置非加密区域;
当检测到目标文件添加进非加密区域时,加密存储终端通过云数据中心的参数,将目标文件同步到云数据中心。
在本发明实施例中,加密存储终端针对密级要求较低的文件,可以设置非加密区域,此时,位于非加密区域的文件仅能通过云数据中心固有的权限认证体系进行加密保护。
在本发明的一个实施例中,为了保证加密存储终端中存储文件的安全,该方法还包括:
加密存储终端设置访问口令;
当接收到外部的访问请求时,加密存储终端判断访问请求中是否存在访问口令,如果是,执行当检测到目标文件添加进至少两个加密子区域中目标加密子区域时,加密存储终端利用目标加密子区域对应的派生密钥对目标文件进行加密。
当访问请求中携带正确的访问口令时,外部可以对加密存储终端中的文件进行拖动、复制等操作。其中,访问口令可以为数字、字母等。
在实际应用场景中,还可以设置次数阈值,当接收到的访问口令的错误次数达到次数阈值时,则在一段时间内,外部无法访问加密存储终端,提高加密存储终端中存储文件的安全性。
如图2所示,本发明实施例提供了一种基于加密存储终端的云存储系统,其特征在于,包括:云数据中心201、密钥管理中心202和至少一个加密存储终端203;
加密存储终端203,用于向密钥管理中心202发送密钥申请;设置云存储加密区域,并将云存储加密区域划分成至少两个加密子区域;根据主加密密钥,为每一个加密子区域生成对应的派生密钥;当检测到目标文件添加进至少两个加密子区域中目标加密子区域时,利用目标加密子区域对应的派生密钥对目标文件进行加密;通过预设的云数据中心的参数,将加密后的目标文件同步到云数据中心201。
密钥管理中心202,用于根据密钥申请对加密存储终端203进行验证,当验证通过时,将主加密密钥写入加密存储终端203。
在本发明的一个实施例中,加密存储终端203,进一步用于设置云存储解密区域,并将云存储解密区域划分成至少两个解密子区域,其中,至少两个加密子区域与至少两个解密子区域一一对应;根据目标加密子区域对应的派生密钥,生成消息认证码;当检测到加密后的目标文件添加进与目标加密子区域对应的目标解密子区域时,利用目标加密子区域对应的派生密钥对加密后的目标文件进行解密,得到解密文件;利用消息认证码对解密文件进行验证,当验证通过时,确定解密文件为目标文件。
在本发明的一个实施例中,加密存储终端203,进一步用于设置非加密区域;当检测到目标文件添加进非加密区域时,通过云数据中心201的参数,将目标文件同步到云数据中心201。
在本发明的一个实施例中,加密存储终端203,进一步用于设置访问口令;当接收到外部的访问请求时,判断访问请求中是否存在访问口令,如果是,执行当检测到目标文件添加进至少两个加密子区域中目标加密子区域时,加密存储终端利用目标加密子区域对应的派生密钥对目标文件进行加密。
如图3所示,本发明实施例以一个加密存储终端、云数据中心和密钥管理中心组成的云存储系统为例,对云存储方法进行详细地说明,该方法包括:
步骤301:加密存储终端向密钥管理中心发送密钥申请。
密钥申请中包含加密存储终端的信息。
步骤302:密钥管理中心根据密钥申请对加密存储终端进行验证,当验证通过时,将主加密密钥写入加密存储终端。
密钥管理中心根据加密存储终端的信息对加密存储终端的身份进行验证,只有当验证通过时,才会向加密存储终端发放主加密密钥。
步骤303:加密存储终端设置访问口令;设置云存储加密区域,并将云存储加密区域划分成至少两个加密子区域;设置云存储解密区域,并将云存储解密区域划分成至少两个解密子区域,其中,至少两个加密子区域与至少两个解密子区域一一对应。
步骤304:加密存储终端根据主加密密钥,为每一个加密子区域生成对应的派生密钥。
步骤305:当接收到外部的访问请求时,加密存储终端判断访问请求中是否存在访问口令,如果是,执行步骤306。
步骤306:当检测到目标文件添加进至少两个加密子区域中目标加密子区域时,加密存储终端利用目标加密子区域对应的派生密钥对目标文件进行加密;根据目标加密子区域对应的派生密钥,生成消息认证码。
步骤307:加密存储终端通过预设的云数据中心的参数,将加密后的目标文件同步到云数据中心。
步骤308:当检测到加密后的目标文件添加进与目标加密子区域对应的目标解密子区域时,加密存储终端利用目标加密子区域对应的派生密钥对加密后的目标文件进行解密,得到解密文件。
步骤309:加密存储终端利用消息认证码对解密文件进行验证,当验证通过时,确定解密文件为目标文件。
上述系统内的各装置之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
综上,本发明各个实施例至少具有如下效果:
1、在本发明实施例中,加密存储终端通过主加密密钥计算出多个派生密钥,派生密钥计算不出加密设备,保证了派生密钥的安全性。各个派生密钥分别对应加密子区域,利用拖拽方式将目标文件拖入到加密子区域时,加密存储终端将自动利用对应的派生密钥加密目标文件并同步到云数据中心,云数据中心仅保存加密后的目标文件,保证了目标文件的安全。另外,主加密密钥由密钥管理中心提供,一方面保证密钥强度,另一方面,解决密钥硬件设备损坏后的密钥恢复问题。
2、在本发明实施例中,外部需要通过访问口令访问加密存储终端,能够减少文件丢失风险,提高加密存储终端存储的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。