客户控制解密私钥且服务器实施加解密云存储数据加密法
【专利摘要】本发明是客户控制解密私钥且由服务器实施加解密的云存储数据加密方法,包括上载加密过程、密文存储过程、下载解密过程。在上载加密和下载解密短暂的过程中服务器上只有加解密进程可以接触到加密文件的一次性会话密钥,通过安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。在长期的密文存储过程中,服务器上没有任何能力可以解密客户的加密了的文件密文数据。优点:用户完全控制加解密的密钥,在文件数据存储期间服务端的任何用户都无法解密存储在云端的密文数据,服务端需要保证的唯一的安全服务功能是隔离数据加解密进程与其它进程,减少了服务端的安全管理的难度。
【专利说明】客户控制解密私钥且服务器实施加解密云存储数据加密法
【技术领域】
[0001]本发明涉及的是一种既能够保护客户数据隐私不被服务器端泄露又能免除客户端加解密繁重计算的客户控制解密私钥且服务器实施加解密云存储数据的加密方法,属于计算机应用【技术领域】。
技术背景
[0002]云存储为用户程序提供了既方便又廉价的数据存储服务,深受用户的喜欢。但是由于用户将自己的数据存储在了云端,用户数据的保密性成了云存储的关键因素。云服务的客户需要考虑的是自己的数据的保密性是否可以保证,云服务企业需要考虑是是否可以通过管理手段保证客户数据不会被非授权的访问。
【发明内容】
[0003]本发明提出的是一种给出了客户控制解密私钥且服务器实施加解密云存储数据的加密方法,服其目的是在一个客户与务器的交互协议,可使得云服务端提供文件存储服务具有以下安全特性:
1)数据的加解密计算服务由云服务端提供,客户上载的数据由服务器进行加密后存储,客户下载的数据由服务器解密后发送给用户;
2)客户的密文数据在服务器上的存储期间,服务端的没有任何能力可以获取客户数据的明文;
3)客户的解密的关键密钥由客户自己生成、自己保存控制;
4)客户端与服务端可以安全地传送一次性会话密钥;
5)没有客户的加密私钥的情况下无法解密存储在云端的密文数据。
[0004]本发明的技术解决方案:客户控制解密私钥且服务器实施加解密的云存储数据加密方法,包括如下步骤:
(1)上载加密
1)客户自己生成用于加解密的公私钥对:加密公钥和加密私钥;
2)客户在开始上载文件时上传自己的加密公钥;
3)服务器收到客户上载的文件时生成一次性会话密钥加密客户上载的文件数据;
4)服务器用客户的加密公钥加密自己生成的用以加密客户文件数据的一次性会话密
钥;
5)服务器用一次性会话密钥加密客户上载的文件数据;
(2)密文存储
1)服务器将加密了的一次性会话密钥和加密了的文件数据合成一个文件存入存储文件的存储介质;
2)服务器丢弃一次性会话密钥;
(3)下载解密 1)客户向服务器提出在文件的请求;
2)服务器将要下载的文件中保存的加密了的一次性会话密钥发送个客户;
3)客户用自己的加密私钥解密加密了的一次性会话密钥得到一次性会话密钥的明
文;
4)客户利用保密通道将一次性会话密钥发送给服务器;
5)服务器收到一次性会话密钥后,解密加密存储的文件,发送个客户。
[0005]本发明的优点:用户完全控制加解密的密钥,在文件数据存储期间服务端没有任何能力解密存储在云端的密文数据,服务端需要保证的唯一的安全服务功能是隔离数据加解密进程与其它进程,减少了服务端的安全管理的难度。
【专利附图】
【附图说明】
[0006]附图1是上载加密与存贮流程示意图。
[0007]附图2是下载解密流程示意图。
【具体实施方式】
[0008]客户控制解密私钥且服务器实施加解密的云存储数据加密方法,包括如下步骤:
(1)上载加密(见附图1)
1)客户自己生成用于加解密的公私钥对:加密公钥和加密私钥;
2)客户在开始上载文件时上传自己的加密公钥;
3)服务器收到客户上载的文件时生成一次性会话密钥加密客户上载的文件数据;
4)服务器用客户的加密公钥加密自己生成的用以加密客户文件数据的一次性会话密
钥;
5)服务器用一次性会话密钥加密客户上载的文件数据;
(2)密文存储
1)服务器将加密了的一次性会话密钥和加密了的文件数据合成一个文件存入存储文件的存储介质;
2)服务器丢弃一次性会话密钥;
(3)下载解密(见附图2)
1)客户向服务器提出在文件的请求;
2)服务器将要下载的文件中保存的加密了的一次性会话密钥发送个客户;
3)客户用自己的加密私钥解密加密了的一次性会话密钥得到一次性会话密钥的明
文;
4)客户利用保密通道将一次性会话密钥发送给服务器;
5)服务器收到一次性会话密钥后,解密加密存储的文件,发送个客户。
[0009]所述的存储在服务器中的加密文件,包括加密了的一次性会话密钥和用一次性会话密钥加密了的密文文件数据;在文件存储期间服务器没有任何办法解密加密存储的文件。
[0010]所述的服务器中的文件加解密进程在文件加密或解密的瞬间能获得一次性会话密钥;利用安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。
[0011]所述的加密数据、解密数据的工作在服务器上进行,解决在移动终端上加密数据、解密数据造成性能下降的问题,同时服务器在文件存储期间没有任何办法解密加密存储的文件。
实施例
[0012]I)由客户端来生成用于加解密的公私钥对,加密公钥和加密私钥。用户自己可以将解密用加密私钥保存在最安全的地方,任何其他人无法获得。
[0013]2)客户在开始上载文件时可以明文上传自己的加密公钥,具有安全的密钥分发机制。
[0014]3)服务器收到客户上载的文件和加密公钥后,生成一次性会话密钥用以加密客户上载的文件数据;利用客户端上载的加密公钥加密会话密钥;将两部分密文数据保存在存储介质上;服务端处理加密的过程与其它进程完全隔离。
[0015]4)服务端在加密计算完成后及时丢弃一次性会话密钥,保证了在文件存储期间没有客户的加密私钥任何人无法解密存储在云端的密文数据。
[0016]5)在客户端提出下载文件时,服务器向客户端提交一次性会话密钥的密文,客户端收到后利用用户提供的加密私钥解密一次性会话密钥的密文,通过安全信道提交给服务端。
[0017]6)服务端控制处理解密的过程与其它进程完全隔离。
【权利要求】
1.客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是该方法包括如下步骤: (1)上载加密 1)客户自己生成用于加解密的公私钥对:加密公钥和加密私钥; 2)客户在开始上载文件时上传自己的加密公钥; 3)服务器收到客户上载的文件时生成一次性会话密钥加密客户上载的文件数据; 4)服务器用客户的加密公钥加密自己生成的用以加密客户文件数据的一次性会话密钥; 5)服务器用一次性会话密钥加密客户上载的文件数据; (2)密文存储 1)服务器将加密了的一次性会话密钥和加密了的文件数据合成一个文件存入存储文件的存储介质; 2)服务器丢弃一次性会话密钥; (3)下载解密 1)客户向服务器提出在文件的请求; 2)服务器将客户要下载的文件中保存的加密了的一次性会话密钥发送个客户; 3)客户用自己的加密私钥解密加密了的一次性会话密钥得到一次性会话密钥的明文; 4)客户利用保密通道将一次性会话密钥发送给服务器; 5)服务器收到一次性会话密钥后,解密加密存储的文件,发送给客户。
2.根据权利要求1所述的客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是所述的存储在服务器中的加密文件,包括加密了的一次性会话密钥和用一次性会话密钥加密了的密文文件数据;在文件存储期间服务器没有任何办法解密加密存储的文件。
3.根据权利要求1所述的客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是所述的服务器中的文件加解密进程在文件加密或解密的瞬间能获得一次性会话密钥;利用安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。
4.根据权利要求1所述的客户控制解密私钥且服务器实施加解密的云存储数据加密方法,其特征是所述的加密数据、解密数据的工作在服务器上进行,解决了在移动终端上加密数据、解密数据造成性能下降的问题,同时服务器在文件存储期间没有任何办法解密加密存储的文件。
【文档编号】H04L29/06GK103746993SQ201410005893
【公开日】2014年4月23日 申请日期:2014年1月7日 优先权日:2014年1月7日
【发明者】黄皓 申请人:南京大学