本发明具体涉及一种混合云存储中轻量级数据加解密系统及方法。
背景技术:
1、在混合云存储环境中,用户的数据在客户端加密后,上传至公有云中进行安全存储,目前产业界和学术界均提出了相应的安全解决方案。
2、产业界的解决方案是在云端建立密钥管理中心,云存储服务提供商利用托管的加密密钥实现数据在云端的安全存储。云存储服务提供商通过访问控制、传输加密和存储加密等技术手段确保托管密钥的安全。从安全角度而言,云端也不是可信任的第三方,存在着云存储服务提供商恶意窃取或泄露密钥等隐患。
3、学术界主要是从同态加密、安全多方计算方面开展研究,用户的加密密钥保存在用户侧,云端依据同态加密方法对密文进行查询和处理,避免在云端使用密钥来造成密钥泄露,但同态加密模式使得客户端和云端的计算开销比较大,系统整体性能较差。
4、综上可知,现阶段混合云存储环境中用户数据安全存储存在着密钥泄露风险和整体加解密开销大、性能较差等问题。因此提出一种混合云存储中轻量级数据加解密系统及方法以解决上述问题。
技术实现思路
1、本发明的目的在于针对现有技术的不足,提供一种混合云存储中轻量级数据加解密方法,该混合云存储中轻量级数据加解密方法可以很好地解决上述问题。
2、为达到上述要求,本发明采取的技术方案是:提供混合云存储中轻量级数据加解密方法,该混合云存储中轻量级数据加解密系统包括用户侧、私有云侧及公有云侧;用户侧部署有加解密模块和通信模块;加解密模块用于将用户侧的明文数据加密后,通过通信模块上传至公有云侧中进行存储,并在解密时将从公有云侧中获取的密文下载至用户侧解密;通信模块通过调用https接口,实现与私有云侧、公有云侧之间的安全通信;私有云侧部署有注册和认证模块、存储查询模块、第二加解密模块和第二通信模块;注册和认证模块用于实现用户信息注册及认证;存储查询模块用于实现密钥的存储和检索;第二加解密模块用于实现主密钥产生以及私有云侧、用户侧之间基于数字信封模式的安全通信;第二通信模块通过调用https接口,实现与公有云、用户侧之间的安全通信;公有云侧部署第二存储查询模块、第三通信模块;第二存储查询模块用于实现用户上传密文的存储和检索;第三通信模块通过调用https接口,实现公有云与私有云、用户侧之间的安全通信。
3、该混合云存储中轻量级数据加解密系统及方法具有的优点如下:
4、(1)本发明设计了一套适应于混和云存储环境中的轻量级数据加解密方案,首先,数据加密密钥由私有云端和用户端提供的子密钥合成,能够有效解决云端密钥泄露问题;其次,加密后的密文数据存储在公有云端,加密密钥存储在私有云和用户端,密文和密钥分开存储后,能够有效解决云服务商密钥滥用和恶意窃密等问题。
5、(2)本发明全部采用国产密码算法实现,从算法层面保证了系统的安全可靠。
6、(3)本发明中计算量较大的加解密运算部分都在私有云端进行,同时用户端与私有云、公有云交互次数少;最后,使用的拉格朗日插值法合成密钥计算效率高。因此,属于轻量级加解密方案,能广泛应用于混合云存储环境。
1.一种混合云存储中轻量级数据加解密系统,其特征在于:包括用户侧、私有云侧及公有云侧;
2.一种混合云存储中轻量级数据加解密方法,其特征在于,包括如下步骤:
3.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,进行系统初始化的步骤具体包括:
4.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,用户身份认证的步骤具体如下:
5.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,产生分发和存储加密密钥的子密钥的步骤具体如下:
6.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,合成加密密钥的步骤具体如下:
7.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,加密数据并上传的步骤具体如下:
8.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,用户完成身份认证并下载密文的步骤具体如下:
9.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,合成解密密钥的步骤具体包括:
10.根据权利要求2所述的混合云存储中轻量级数据加解密方法,其特征在于,完成解密的步骤具体包括: