云端存储加密方法、解密方法及云端存储加密装置与流程

本发明涉及云端数据存储技术领域，具体而言，涉及一种云端存储加密方法、解密方法及云端存储加密装置。

背景技术：

随着数字技术的发展，更多的数据采用数字化的方式进行存储。当数据量较大时，本地存储对数字设备要求高，增加了数据存储的成本，并且本地存储风险大，容易因为人为或环境的影像造成数据丢失，数据共享也不方便。

云端存储由于成本低，数据不易丢失，数据共享方便，成为大数据存储的较佳选择。在对于涉及机密信息的数据进行云端存储时，需要较高的保密要求。现有技术的云端存储加密技术中，仅通过密码等手段进行文件整体加密，密码容易泄露或或者被攻克，保密力度不理想。

技术实现要素：

为了克服现有技术中的上述不足，本发明的目的在于提供一种云端存储加密方法，应用于用户终端，所述方法包括：

获得目标文件，并获得所述目标文件中的文件元数据，其中，所述文件元数据包括目标文件的文件名、文件大小及校验码；

生成第一密码，根据所述第一密码对所述文件元数据进行加密，得到第一加密信息；

将所述目标文件分割为多个数据块，在云端服务器为每个所述数据块分配对应的块存储地址，并针对每个所述数据块生成第二密码；

获得每个所述数据块的数据块元数据，其中，所述数据块元数据包括数据块的数据块名称、数据块大小、该数据块在所述目标文件中的位置、校验码、所述第二密码及所述块存储地址；

针对每个数据块，通过所述第二密码进行加密得到第二加密信息；

针对每个所述数据块元数据，生成第三密码，根据所述第三密码对该数据块元数据进行加密得到第三加密信息；

生成第四密码，根据所述第四密码对所述第一加密信息、第一密码的索引、第三加密信息及第三密码进行再次加密，得到第四加密信息，并将所述第四密码及第四加密信息进行打包为元数据包后存储至云端服务器；

针对每个加密后的数据块，根据分配的所述存储地址将该加密后的数据块存储至云端服务器。

本发明的另一目的在于提供一种云端存储解密方法，所述方法用于本发明提供的云端存储加密方法加密存储的文件进行解密，所述方法包括：

获取所述元数据包，提取得到所述第四密码及第四加密信息；

根据所述第四密码对所述第四加密信息进行解密得到所述第一加密信息、第一密码的索引、第三加密信息及第三密码；

根据所述第一密码对所述第一加密信息进行解密得到所述文件元数据；

根据所述第三密码对所述第三加密信息进行解密得到数据块元数据；

根据所述数据块元数据中的块存储位置，从云端服务器查询并下载第二加密信息；

根据所述数据块元数据中的第二密码对所述第二加密信息进行解密得到所述数据块，并对所述数据块进行拼接得到所述目标文件；

根据所述文件元数据对所述目标文件进行校验，校验通过后将所述目标文件显示给用户。

本发明的另一目的在于提供一种云端存储加密装置，所述装置包括：

第一获取模块，用于获得目标文件，并获得所述目标文件中的文件元数据，其中，所述文件元数据包括目标文件的文件名、文件大小及校验码；

第一加密模块，用于生成第一密码，根据所述第一密码对所述文件元数据进行加密，得到第一加密信息；

分割模块，用于将所述目标文件分割为多个数据块，在云端服务器为每个所述数据块分配对应的块存储地址，并针对每个所述数据块生成第二密码；

第二获取模块，用于获得每个所述数据块的数据块元数据，其中，所述数据块元数据包括数据块的数据块名称、数据块大小、该数据块在所述目标文件中的位置、校验码、所述第二密码及所述块存储地址；

第二加密模块，用于针对每个数据块，通过所述第二密码进行加密得到第二加密信息；

第三加密模块，用于针对每个所述数据块元数据，生成第三密码，根据所述第三密码对该数据块元数据进行加密得到第三加密信息；

第四加密模块，用于生成第四密码，根据所述第四密码对所述第一加密信息、第一密码的索引、第三加密信息及第三密码进行再次加密，得到第四加密信息；

上传模块，用于针对每个加密后的数据块，根据分配的所述存储地址将该加密后的数据块存储至云端服务器；以及将所述第四密码及第四加密信息进行打包为元数据包后存储至云端服务器。

相对于现有技术而言，本发明具有以下有益效果：

本发明提供的云端存储加密方法、解密方法及云端存储加密装置，通过将目标文件分割成多个数据块，并为数据块在云端分配不同的块存储地址，对文件元数据、数据块及结合块存储地址的数据块元数据进行多级加密。如此，使得对隐私要求较高的文件在进行云端存储时更不容易被破解，保密效果更好。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的用户终端与云端服务器的交互示意图；

图2为本发明实施例提供的用户终端的示意图；

图3为本发明实施例提供的云端存储加密方法的步骤流程示意图；

图4为本发明实施例提供的云端存储解密方法的步骤流程示意图；

图5为本发明实施例提供的云端存储加密装置的示意图。

图标：100-用户终端；110-云端存储加密装置；111-第一获取模块；112-第一加密模块；113-分割模块；114-第二获取模块；115-第二加密模块；116-第三加密模块；117-第四加密模块；118-上传模块；120-存储器；130-处理器；140-通信单元；200-云端服务器；300-网络。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明的描述中，需要说明的是，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

请参照图1，图1是本发明较佳实施例提供的云端服务器200与至少一用户终端100通信的交互示意图。所述云端服务器200可通过网络300与所述用户终端100进行通信，以实现云端服务器200与用户终端100之间的数据通信或交互。

本实施例中，所述云端服务器200可以是，但不限于，web(网站)服务器、ftp(filetransferprotocol，文件传输协议)服务器等。所述用户终端100可以是，但不限于，智能手机、个人电脑(personalcomputer，pc)、平板电脑、个人数字助理(personaldigitalassistant，pda)、移动上网设备(mobileinternetdevice，mid)等。

所述网络300可以是，但不限于，有线网络或无线网络。

请参照图2，图2是图1所示的用户终端100的方框示意图。所述用户终端100包括云端存储加密装置110、存储器120、处理器130及通信单元140。

存储器120、处理器130及通信单元140各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述云端存储加密装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器120中或固化在所述用户终端100的操作系统(operatingsystem，os)中的软件功能模块。所述处理器130用于执行所述存储器120中存储的可执行模块，例如所述云端存储加密装置110所包括的软件功能模块及计算机程序等。

其中，所述存储器120可以是，但不限于，随机存取存储器(randomaccessmemory，ram)，只读存储器(readonlymemory，rom)，可编程只读存储器(programmableread-onlymemory，prom)，可擦除只读存储器(erasableprogrammableread-onlymemory，eprom)，电可擦除只读存储器(electricerasableprogrammableread-onlymemory，eeprom)等。

所述处理器130可能是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述通信单元140用于通过所述网络300与所述云端服务器200的通信单元140建立连接，从而实现所述云端服务器200与用户终端100之间的通信连接。

请参照图3，图3为应用于图1所示的用户终端100的一种云端存储加密方法的流程图，以下将对所述云端存储加密方法包括各个步骤进行详细阐述。

步骤s110，获得目标文件，并获得所述目标文件中的文件元数据，其中，所述文件元数据包括目标文件的文件名、文件大小及校验码。

所述用户终端100响应用户的操作，将选中的文件作为目标文件，然后获取所述目标文件的元数据(metadata)，元数据是又称中介数据、中继数据，是用于描述数据的数据(dataaboutdata)，主要是描述数据属性(property)的信息。所述目标文件的元数据包括，但不仅限于该目标文件的文件名、文件大小及校验码。

步骤s120，生成第一密码，根据所述第一密码对所述文件元数据进行加密，得到第一加密信息。

在本实施例中，所述用户终端100根据预设密钥生成第一密码，并通过所述第一密码对所述文件元数据进行加密得到第一加密信息，并记录所述第一密码。

在本实施例中，所述第一密码包括密码本体及密码索引。所述预设密钥可以包括存储于实体外置usb接口设备中的密钥，也可以为存储于所述用户终端100中的密钥。所述预设密钥包括多个数据位，在本实施例中，所述预设密钥的每个数据位可以包括，但不仅限于，数字0-9、a-z或者字母a-z等。

在本实施例中，所述用户终端100预设密钥中随机确定多个密码数据位，根据所述密码数据位在所述预设密钥中的位置生成密码索引。

然后，从所述预设密钥中提取所述密码数据位对应的数据作为密码本体以对待加密信息进行加密。

具体地，所述用户终端100在所述预设密钥中随机确定多个密码数据位，根据所述多个密码数据位的起始位置及数据长度生成所述密码索引。

例如，所述预设密钥包括128个数据位，所述用户终端100在此128个数据位中随机选取了一段数据第一密码，这段数据为从第4个数据为起连续的16位数据。则将第4个数据位作为所述起始数据位，然后将16位作为所述数据长度，生成所述第一密码索引。

可选地，所述多个密码数据位包括在所述预设密钥中确定的多个数据段，每个数据段包括多个数据位。所述用户终端100可以分别获得所述多个数据段的起始位置及数据长度，根据多个所述起始位置及数据长度生成所述密码索引。

例如，所述用户终端100在预设密钥中随机选取了多段数据拼接组成了第一密码，则将这多端数据的起始位置及数据长度的集合作为所述第一密码索引。

所述用户终端100根据所述第一密码的密码本体，通过加密算法对所述文件元数据进行加密得到第一加密信息，例如，md5、rsa、des等加密算法。即，在本步骤中，根据所述第一密码从所述预设密钥提取对应的数据对所述文件元数据进行加密，得到第一加密信息。

步骤s130，将所述目标文件分割为多个数据块，在云端服务器200为每个所述数据块分配对应的块存储地址，并针对每个所述数据块生成第二密码。

所述用户终端100对所述目标文件进行分割，得到多个数据块。针对每个所述数据块，记录该数据块在所述目标文件中的位置，并随机为该数据块生成数据块名称。

所述用户终端100针对每个所述数据块，在云端服务器200为该数据块随机选择一个存储地址作为块存储地址。

然后，所述用户终端100针对每个所述数据块生成第二密码，每个所述数据块均具有相应的第二密码，其中，所述第二密码包括密码本体及密码索引，所述第二密码的生成方式请参照步骤s120中第一密码的生成方式，在此不再赘述。

步骤s140，获得每个所述数据块的数据块元数据，其中，所述数据块元数据包括数据块的数据块名称、数据块大小、该数据块在所述目标文件中的位置、校验码、所述第二密码及所述块存储地址。

根据步骤s130进行的分割，所述用户终端100获得分割后每个数据块的数据块元数据。

步骤s150，针对每个数据块，通过所述第二密码进行加密得到第二加密信息。

针对每个所述数据块，所述用户终端100根据步骤s130中生成的第二密码对该数据块进行加密得到第二加密信息。

步骤s160，针对每个所述数据块元数据，生成第三密码，根据所述第三密码对该数据块元数据进行加密得到第三加密信息。

在本实施例中，所述第三密码的生成方式请参照步骤s120中第一密码的生成方式，在此不再赘述。

步骤s170，生成第四密码，根据所述第四密码对所述第一加密信息、第一密码的索引、第三加密信息及第三密码进行再次加密，得到第四加密信息，并将所述第四密码及第四加密信息进行打包为元数据包后存储至云端服务器200。

在本实施例中，所述第四密码的生成方式请参照步骤s120中第一密码的生成方式，在此不再赘述。

在本实施例中，所述第四加密信息中的第一密码为所述第一密码的密码索引，所述第四加密信息中的第三密码为所述第三密码的密码索引；所述元数据包中包括的第四密码为所述第四密码的密码索引。

步骤s180，针对每个加密后的数据块，根据分配的所述存储地址将该加密后的数据块存储至云端服务器200。

所述用户终端100按照步骤s130中分配的块存储地址，将加密后的数据块发送到云端服务器200进行存储。

请参照图4，图4为应用于图1所示的用户终端100的一种云端存储解密方法的流程图，所述云端存储解密方法用于对采用上述云端存储加密方法加密存储的文件进行解密。以下将对所述云端存储解密方法包括各个步骤进行详细阐述。

步骤s210，获取所述元数据包，提取得到所述第四加密信息及第四加密信息。

在本实施例中，所述用户终端100从所述云端服务器200获取所述元数据包，解压后得到所述第四加密信息及第四密码的密码索引。

步骤s220，根据所述第四密码对所述第四加密信息进行解密得到所述第一加密信息、第一密码的索引、第三加密信息及第三密码。

所述用户终端100根据所述第四密码的密码索引从所述预设密钥中提取第四密码的密码本体。

然后根据所述第四密码的密码本体对所述元数据包进行解密，得到第一加密信息、第一密码的密码索引、第三加密信息及第三密码的密码索引。

步骤s230，根据所述第一密码对所述第一加密信息进行解密得到所述文件元数据。

所述用户终端100根据所述第一密码的密码索引从所述预设密钥中提取第一密码的密码本体。

然后根据所述第一密码的密码本体对所述第一加密信息进行解密得到所述文件元数据。

步骤s240，根据所述第三密码对所述第三加密信息进行解密得到数据块元数据。

所述用户终端100根据所述第三密码的密码索引从所述预设密钥中提取第三密码的密码本体。

然后根据所述第三密码的密码本体对所述第三加密信息进行解密得到所述数据块元数据，所述数据块元数据中包括第二密码的密码索引。

步骤s250，根据所述数据块元数据中的块存储位置，从云端服务器200查询并下载第二加密信息。

所述用户终端100根据所述块元数据中记录的所述块存储地址，从所述云端服务器200下载所述第二加密信息。

步骤s260，根据所述数据块元数据中的第二密码对所述第二加密信息进行解密得到所述数据块，并对所述数据块进行拼接得到所述目标文件。

所述用户终端100根据所述第二密码的密码索引从所述预设密钥中提取第二密码的密码本体。

然后根据所述第二密码的密码本体对所述第一加密信息进行解密得到所述数据块，并对所述数据块进行拼接得到所述目标文件。

步骤s270，根据所述文件元数据对所述目标文件进行校验，校验通过后将所述目标文件显示给用户。

最后，所述用户终端100对拼接完成的目标文件进行校验。

基于上述设计，本实施例提供的云端存储加密方法和解密方法，通过将目标文件分割成多个数据块，不同数据块随机分配存储地址，加大了目标文件破解拼接的难度。并设置了多层密码，嵌套密码对所述目标文件的信息进行保护，而且每个密码均采用本地预设密钥进行加密。如此，极大地减小了目标在加密存储后被破解的几率，有效提高的文件存储的保密效果。

请参照图5，本实施例还提供一种应用于图1所示用户终端100的云端存储加密装置110的示意图，

所述装置包括第一获取模块111、第一加密模块112、分割模块113、第二获取模块114、第二加密模块115、第三加密模块116、第四加密模块117及上传模块118。

所述第一获取模块111，用于获得目标文件，并获得所述目标文件中的文件元数据，其中，所述文件元数据包括目标文件的文件名、文件大小及校验码。

本实施例中，所述第一获取模块111可用于执行图3所示的步骤s110，关于所述第一获取模块111的具体描述可参对所述步骤s110的描述。

所述第一加密模块112，用于生成第一密码，根据所述第一密码对所述文件元数据进行加密，得到第一加密信息。

本实施例中，所述第一加密模块112可用于执行图3所示的步骤s120，关于所述第一加密模块112的具体描述可参对所述步骤s120的描述。

所述分割模块113，用于将所述目标文件分割为多个数据块，在云端服务器200为每个所述数据块分配对应的块存储地址，并针对每个所述数据块生成第二密码。

本实施例中，所述分割模块113可用于执行图3所示的步骤s130，关于所述分割模块113的具体描述可参对所述步骤s130的描述。

所述第二获取模块114，用于获得每个所述数据块的数据块元数据，其中，所述数据块元数据包括数据块的数据块名称、数据块大小、该数据块在所述目标文件中的位置、校验码、所述第二密码及所述块存储地址。

本实施例中，所述第二获取模块114可用于执行图3所示的步骤s140，关于所述第二获取模块114的具体描述可参对所述步骤s140的描述。

所述第二加密模块115，用于针对每个数据块，通过所述第二密码进行加密得到第二加密信息。

本实施例中，所述第二加密模块115可用于执行图3所示的步骤s150，关于所述第二加密模块115的具体描述可参对所述步骤s150的描述。

所述第三加密模块116，用于针对每个所述数据块元数据，生成第三密码，根据所述第三密码对该数据块元数据进行加密得到第三加密信息。

本实施例中，所述第三加密模块116可用于执行图3所示的步骤s160，关于所述第三加密模块116的具体描述可参对所述步骤s160的描述。

所述第四加密模块117，用于生成第四密码，根据所述第四密码对所述第一加密信息、第一密码的索引、第三加密信息及第三密码进行再次加密，得到第四加密信息。

本实施例中，所述第四加密模块117可用于执行图3所示的步骤s170，关于所述第四加密模块117的具体描述可参对所述步骤s170的描述。

所述上传模块118，用于针对每个加密后的数据块，根据分配的所述存储地址将该加密后的数据块存储至云端服务器200；以及将所述第四密码及第四加密信息进行打包为元数据包后存储至云端服务器200。

本实施例中，所述上传模块118可用于执行图3所示的步骤s180，关于所述上传模块118的具体描述可参对所述步骤s180的描述。

综上所述，本发明提供的云端存储加密方法、解密方法及云端存储加密装置110，通过将目标文件分割成多个数据块，并为数据块在云端分配不同的块存储地址，对文件元数据、数据块及结合块存储地址的数据块元数据进行多级加密。如此，使得对隐私要求较高的文件在进行云端存储时更不容易被破解，保密效果更好。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。