Android平台下支持文件加密的安全云存储方法与流程

本发明属于云存储技术领域，尤其涉及一种Android平台下支持文件加密的安全云存储方法。

背景技术：

如今，网络技术迅速普及，进入千家万户；与此同时，网络空间安全问题变得日益迫切，逐渐被人们所重视。如何保证自己的资料，两方互通的重要文件不被非法第三方所窃取，一直是人们研究的课题。加密技术在众多安防措施中首当其冲。好的加密算法，可以使得数据固若金汤。RSA算法是目前最有影响力的公钥加密算法，是当前最著名、应用最广泛的公钥系统。早在1978年，就被由美国麻省理工学院(MIT)的Rivest、Shamir和Adleman在题为《获得数字签名和公开钥密码系统的方法》论文中提出，是一个基于数论的非对称(公开钥)密码体制，是一种分组密码体制。其名称来自于三个发明者的姓名首字母。已被ISO推荐为公钥加密标准。只要其钥匙的长度足够长，用RSA加密的信息实际上是不能被解破的；目前，RSA可根据密钥长度分为1024比特与2048比特两种。RSA算法基于大数分解：将两个大素数相乘十分容易，但是对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。RSA算法的优点有：1.能同时用于加密和数字签名的算法；2.易于理解和操作；3.该算法的加密密钥和加密算法分开，使得密钥分配更为方便；4.特别适用于网络环境，对于网络上的大量用户，可以将加密密钥以公钥目录的方式给出。DES算法为密码体制中的对称密码体制，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组，密钥长64位，密钥事实上是56位参与DES运算，分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。然而，在人们日常生活中文件使用的过程中，却面临着来自恶意软件等方面的威胁，世界著名安全厂商赛门铁克发表了一份报告，称在所有安卓应用中，有百分之17都是恶意应用，每不到6个安卓App中就存在一个恶意软件，其泛滥程度可见一斑。统计还称，在2013年一年中，安卓平台上约有70万个恶意App；而到了2014年，安卓恶意App数量已经增长到了100万个。这些恶意软件会盗取用户隐私信息，诱使用户开通付费服务等等。恶意软件的其中一个重要的目标就是——盗取用户的私密文件。另外，云存储作为时代的新宠，以其权限高度集中化管理，不占用用户本地存储空间等优势，被用户所亲睐。

然而，云存储在带给人们便捷的同时，也暴露了很多安全问题。早在2014年，就有icloud艳照门被披露，数位好莱坞明星的私密照片惨遭泄露。云存储文件的安全性，又一次受到了人们的质疑。

技术实现要素：

本发明的目的在于提供一种Android平台下支持文件加密的安全云存储方法，旨在解决现有的云存储安全性较低的问题。

本发明是这样实现的，一种Android平台下支持文件加密的安全云存储方法，所述Android平台下支持文件加密的安全云存储方法包括以下步骤：

步骤一，用户注册SafeCloud账号，用户获得云存储服务；

步骤二，用户提交个人身份信息申请文件给注册机构审核，注册机构审核通过之后，将申请文件提交给CA中心，CA中心根据此申请文件签发个人数字证书和对应私钥；CA中心通过U盘将生成的个人数字证书和对应私钥交给用户，进而用户获得个人的数字证书和对应的私钥；

步骤三，用户上传文件明文或者密文，对好友分享明文或者密文；

步骤四，用户自身下载加密文件或者取用对方分享的密文，输入口令对源文件进行解密。

进一步，所述文件数据加密方法采用混合体制加密方法，文件数据的加密采用对称加密算法DES，所使用的对称加密密钥利用RSA公钥加密算法进行加密。对于系统中比较大的文件来说，先采用DES对称密钥加密，再利用RSA公钥加密该DES对称密钥，这样便提高系统中文件的加解密效率。

进一步，所述文件加密方法具体包括：

取时间值与内存状态值信息为随机数种子，对种子进行Hash操作(Hash函数的功能和作用在密码领域已做了深入的研究)，生成初始化密钥种子；

将密钥种子输入函数，函数是MD5对称密钥生成算法，进而生成初始化会话密钥；

将该会话密钥作为DES加密算法的输入，加密明文信息生成密文；同时，再利用用户个人数字证书中的公钥对该DES会话密钥进行加密，将加密后的128bit密钥与原文件一同拼接成一个大的文件，将此生成的文件上传至云服务器。

进一步，所述输入口令用于保护私钥。

本发明的另一目的在于提供一种所述的Android平台下支持文件加密方法的安全云存储系统，所述安全云存储系统包括：

认证服务器，用于认证登录用户的合法身份，；

文件服务器，与认证服务器连接，用于存储用户上传的文件，同时对用户提交的查询请求作出对应的响应，返回相应的查询请求结果；

CA服务器，用于接收、审核新用户的个人数字证书请求、为审核通过的用户颁发个人数字证书、撤销和更新失效的个人数字证书；

客户端，与认证服务器、文件服务器、CA服务器连接，用于合法用户的登录、已登录用户上传或下载个人文件和新用户申请个人数字证书。

本发明提供的基于混合加密体制的文件云存储加密方法，实用性强，开发成本低，能耗少，加密采用MD5算法生成的对称密钥，只会在一次加解密过程中使用；适用于现实环境中，一对多，多对一的通信录式通信环境；通过公钥加密体制的特性，用户可以将多个公钥对应于多个用户，然后根据公钥对每个通信的实体文件进行加密，同时也可选择将同一个公钥对应于一个通信组，满足于多人通信中对于组间用户的内容上的访问控制；用户不需要过硬的密码学背景便可对软件熟练使用，用户体验相对好，本地化的界面，使得用户操作云端文件与操作本地文件无异；本发明的系统体积小巧，安装包仅仅不到3M，耗内存低，峰值运行速度仅为30M，可支持将私钥存于移动设备，便于对文件进行解密操作。

附图说明

图1是本发明实施例提供的Android平台下支持文件加密的安全云存储系统流程图。

图2是本发明实施例提供的Android平台下支持文件加密的安全云存储系统结构示意图；

图中：1、认证服务器；2、文件服务器；3、CA服务器；4、客户端。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明借助CA服务器颁发的证书，既可以满足用户本身存储文件的安全性，又可以使得文件在两个用户间互相传递的过程中，不被第三方所窃取；任何中间人为的窃听，恶意软件的盗取，都不能窥探文件本身的内容。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例的基于混合加密体制的文件云存储加密方法包括以下步骤：

S101：用户注册SafeCloud账号，用户拥有云存储服务；

S102：用户通过递交申请，CA服务器批准后，获得个人的数字证书(包括根证书)和对应的私钥；

S103：用户根据自己需求上传文件明文或者密文，享受安全的云存储服务，同时用户可依据自身的需求，对自己的好友分享明文或者密文；

S104：用户自身下载加密文件，或者取用对方分享过来的密文的时候，需要输入口令对源文件进行解密。

如图2所示，本发明实施例的基于混合加密体制的文件云存储加密系统包括：认证服务器1、文件服务器2、CA服务器3和客户端4。

认证服务器1，用于认证登录用户的合法身份，只有通过该认证服务器认证过的合法用户才能登录进文件服务器系统。

文件服务器2，与认证服务器1连接，用于存储用户上传的文件，同时对用户提交的查询请求作出对应的响应，返回相应的查询请求结果。

CA服务器3，用于接收、审核新用户的个人数字证书请求、为审核通过的用户颁发个人数字证书、撤销和更新失效的个人数字证书。

客户端4，与认证服务器1、文件服务器2、CA服务器3连接，用于合法用户的登录、用于已登录用户上传或下载个人文件、用于新用户申请个人数字证书等功能。

下面结合具体实施例对本发明的应用原理作进一步的描述。

本发明实施例的基于混合加密体制的文件云存储加密系统的使用包括以下几个步骤：

步骤一，用户注册SafeCloud账号，用户获得云存储服务，在注册过程中，可根据用户需求，设立存储配额，交由管理员审批方能使用。

云存储底层采用的是Hadoop存储架构，该存储系统支持分布式存储，并且支持门限存储：即n台机子作为存储节点，只要有n/2台以上的机器正常运转，文件就可恢复。

步骤二，用户通过递交申请，CA批准后，获得个人的数字证书(包括根证书)和对应的私钥。

用户可将证书与私钥放于指定位置，即可实现后续对文件的加密解密操作。也可点击打开证书、私钥，实现对证书、私钥的安装。

步骤三，用户根据自己需求上传文件明文或者密文，享受安全的云存储服务。同时用户可依据自身的需求，对自己的好友分享明文或者密文。

用户可以对云端的文件或者文件夹进行删除，重命名，复制，剪切，查看属性等操作。

用户可对本地的文件或者文件夹可进行删除，重命名，加密，分享，上传，压缩解压，属性查看等操作。

在文件加密时，首先，取时间值与内存状态值信息为随机数种子，对该种子进行Hash操作，生成初始化密钥种子，将该密钥种子输入函数，生成初始化会话密钥。用该密钥进行DES加密。加密后再用用户自身证书中的公钥对DES会话密钥进行加密，将加密后的128bit密钥与原文件一同拼接成一个大的文件，将此生成的文件上传至云服务器。

在文件加密中，会话密钥需要用证书进行加密，在加密的过程中，需要验证证书链的可靠性。

在分享文件时，明文分享与邮件添加联系人文件分享机制相同，在分享文件的时候会在对方的云存储根目录下建立一个SHAREFILES的文件夹，该文件夹下，有一个与自身用户名对应的目录，该目录存放的是用户分享给对方的文件。下面将该文件夹叫做目标文件夹。

首先，取时间值与内存状态值信息为随机数种子，对该种子进行Hash操作，生成初始化密钥种子，将该密钥种子输入函数，生成初始化会话密钥。用该密钥进行DES加密。加密后再用用户对方证书中的公钥对DES会话密钥进行加密，将加密后的128bit密钥与原文件一同拼接成一个大的文件，删除源文件。完成加密操作。将该文件投至目标文件夹下。

步骤四，用户自身下载加密文件，或者取用对方分享过来的密文的时候，需要输入口令对源文件进行解密。

为了保证私钥的安全性，本发明采用了以下机制：

1.私钥受口令保护。

2.口令有输入限制，输入错误连续3次则永久销毁私钥。

3.私钥可存放于OTG移动设备中，实现了私钥与设备分离，当需要解密文件时候，在手机上插入U盘，可自动检索私钥位置，输入口令后，完成解密操作。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。