一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)的制作方法
【專利摘要】本發(fā)明涉及云存儲(chǔ)系統(tǒng)領(lǐng)域，公開(kāi)了一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)，包括云計(jì)算密鑰客戶端，云計(jì)算密鑰管理服務(wù)器，客戶私人密鑰載體，對(duì)稱密碼服務(wù)器，數(shù)字證書(shū)中心。其中客戶私人密鑰載體中包含了破解對(duì)稱密鑰的私鑰，對(duì)于云存儲(chǔ)供應(yīng)商來(lái)說(shuō)，沒(méi)有此私鑰是無(wú)法對(duì)文件進(jìn)行解密的，因此該發(fā)明提高了客戶數(shù)據(jù)信息的安全性，可以有效的防止客戶的私有信息被其它用戶或者云存儲(chǔ)供應(yīng)商獲取和非法利用。該架構(gòu)面向各種云計(jì)算應(yīng)用，可以實(shí)現(xiàn)統(tǒng)一，標(biāo)準(zhǔn)的密鑰管理。文件解密需要客戶私鑰執(zhí)行，有效的保護(hù)了客戶數(shù)據(jù)安全。該架構(gòu)還具有簡(jiǎn)單和可擴(kuò)展的優(yōu)點(diǎn)。
【專利說(shuō)明】—種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云存儲(chǔ)系統(tǒng)領(lǐng)域，具體涉及一種基于云存儲(chǔ)的數(shù)據(jù)加密安全體系結(jié)構(gòu)。
技術(shù)背景
[0002]隨著云計(jì)算(Cloud Computing)的廣泛推廣和應(yīng)用，給巨大的中國(guó)互聯(lián)網(wǎng)市場(chǎng)注入了新的活力和動(dòng)力。當(dāng)前比較知名的基于云計(jì)算模式的應(yīng)用主要有:G00gle、Yah00、百度等搜索引擎公司的云搜索，Amazon、EMC等存儲(chǔ)方案商提出的云存儲(chǔ)，瑞星、趨勢(shì)、金山等殺毒軟件廠商的云安全，以及Salesforce等在線軟件服務(wù)提供商實(shí)現(xiàn)的諸多云服務(wù)。隨著云計(jì)算的普及，企業(yè)將越來(lái)越多的核心業(yè)務(wù)以及重要數(shù)據(jù)都存儲(chǔ)在了云端，然而，企業(yè)對(duì)于存儲(chǔ)在云端的數(shù)據(jù)的擔(dān)心也越來(lái)越高，云計(jì)算技術(shù)的發(fā)展應(yīng)用也引起了人們對(duì)信息安全問(wèn)題的擔(dān)憂。
[0003]很多研究都顯示關(guān)于誰(shuí)應(yīng)該承擔(dān)客戶數(shù)據(jù)的安全責(zé)任方面，云服務(wù)供應(yīng)商及其客戶之間存在很大分歧:供應(yīng)商將責(zé)任交到客戶手中，但客戶通常不同意。根據(jù)Ponemon研究所去年的調(diào)查顯示，十個(gè)云服務(wù)供應(yīng)商中有七個(gè)供應(yīng)商將客戶數(shù)據(jù)的安全責(zé)任交給客戶，只有30%的客戶同意。這就使提供數(shù)據(jù)加密安全的云存儲(chǔ)服務(wù)越來(lái)越受歡迎，通過(guò)加密數(shù)據(jù)，客戶可以確保他們的信息是安全的，即使發(fā)生數(shù)據(jù)泄露事故，而且還能保密于云服務(wù)供應(yīng)商。
[0004]分析表明，云存儲(chǔ)的加密最好的解決方案是那些允許客戶控制密鑰或者部分密鑰的解決方案，通過(guò)控制密鑰，客戶還可以控制對(duì)數(shù)據(jù)的訪問(wèn)，甚至還可以防止云服務(wù)供應(yīng)商訪問(wèn)數(shù)據(jù)。專業(yè)人士表示，如果所有信息都被加密，而且是通過(guò)客戶控制的一個(gè)密鑰來(lái)進(jìn)行的，即使云管理員也不能看到密鑰，這樣就很安全。安全地加密數(shù)據(jù)并不是云安全服務(wù)的技術(shù)障礙，困難之處在于找到一種方法來(lái)安全地管理密鑰。
[0005]數(shù)據(jù)安全是企業(yè)的生命線。任何一個(gè)云服務(wù)商都盡力宣稱他們的服務(wù)完全安全，與傳統(tǒng)的存儲(chǔ)相比，大量的用戶核心數(shù)據(jù)放在云存儲(chǔ)中，用戶并不知道具體存儲(chǔ)位置，難免令用戶放心不下，任何客戶都擔(dān)心個(gè)人資料例如照片，個(gè)人信息以及技術(shù)文檔被泄露或成為公眾瀏覽的傳播對(duì)象，造成信息以及人身安全隱患。一些供應(yīng)商將密鑰保存在數(shù)據(jù)相同的云環(huán)境中，這樣并不安全；還有一些供應(yīng)商則將密鑰外包給第三方或者讓客戶自己管理密鑰，但又都不是理想的密鑰保存方法。

【發(fā)明內(nèi)容】

[0006]本發(fā)明要解決的技術(shù)問(wèn)題是:使客戶確保其數(shù)據(jù)的保密性，同時(shí)簡(jiǎn)化密鑰管理，并提高客戶數(shù)據(jù)的安全性。
[0007]本發(fā)明里涉及兩種密鑰，一種是對(duì)稱密鑰存儲(chǔ)在云計(jì)算管理服務(wù)器中，另外一種私鑰用于解密對(duì)稱密鑰，存儲(chǔ)在客戶私人密鑰載體中。
[0008]本發(fā)明所采用的技術(shù)方案為:一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)，該系統(tǒng)架構(gòu)包括:云計(jì)算密鑰客戶端，云計(jì)算密鑰管理服務(wù)器，客戶私人密鑰載體，對(duì)稱密碼服務(wù)器，數(shù)字證書(shū)中心,其中:
云計(jì)算密鑰客戶端是駐留在云計(jì)算服務(wù)中的密碼服務(wù)客戶端，負(fù)責(zé)向該云計(jì)算服務(wù)器中的云計(jì)算應(yīng)用提供密鑰服務(wù)，通過(guò)標(biāo)準(zhǔn)的密鑰管理協(xié)議，向密鑰管理服務(wù)器申請(qǐng)密鑰產(chǎn)生；
云計(jì)算密鑰管理服務(wù)器負(fù)責(zé)密鑰的產(chǎn)生，恢復(fù)，更新等管理服務(wù)，并將密鑰返回到客戶端；云計(jì)算密鑰管理服務(wù)器中存有分散密鑰，需要客戶私人密鑰中的私鑰才可以將密鑰完整還原；
客戶私人密鑰載體負(fù)責(zé)存儲(chǔ)數(shù)字證書(shū)及分散密鑰還原時(shí)所需的私鑰；
對(duì)稱密碼服務(wù)器對(duì)文件采用對(duì)稱密鑰進(jìn)行加密，對(duì)稱密鑰需要利用客戶私人密鑰中的公鑰進(jìn)行加密；
數(shù)字證書(shū)中心負(fù)責(zé)向客戶頒發(fā)數(shù)字證書(shū)，用于數(shù)字簽名的認(rèn)證；
客戶通過(guò)下載數(shù)字簽名證書(shū)到客戶私人密鑰載體中，該載體中除了數(shù)字認(rèn)證中心提供的數(shù)字簽名外，還包含用于破解對(duì)稱密鑰的私鑰。
[0009]客戶登陸時(shí)需要用戶名和密碼，并提供數(shù)字證書(shū)，通過(guò)身份驗(yàn)證登陸云計(jì)算密鑰客戶端，對(duì)于云存儲(chǔ)供應(yīng)商來(lái)說(shuō)，沒(méi)有此私鑰是無(wú)法對(duì)文件進(jìn)行解密的，因此該發(fā)明提高了客戶數(shù)據(jù)信息的安全性。
[0010]客戶私人密鑰載體可體現(xiàn)為有一定容量的存儲(chǔ)設(shè)備。
[0011]所述客戶私人密鑰載體為U盾，方便客戶攜帶。
[0012]基于上述架構(gòu)的一種云計(jì)算加密密鑰產(chǎn)生過(guò)程，包括以下過(guò)程:
云計(jì)算密鑰客戶端生成密鑰請(qǐng)求包并向云計(jì)算管理服務(wù)器發(fā)送密鑰請(qǐng)求，所述密鑰請(qǐng)求包包含請(qǐng)求包頭部(REQ Header)操作類型(GET)和密鑰對(duì)象(Symmetric Key),標(biāo)識(shí)符(UID);云計(jì)算管理服務(wù)器收到密鑰請(qǐng)求后，根據(jù)請(qǐng)求內(nèi)容，從對(duì)稱密碼服務(wù)器獲取對(duì)稱密鑰，再生成密鑰回復(fù)包，包含回復(fù)包頭部(Response Header),密鑰對(duì)象(Symmetric Key),標(biāo)識(shí)符(WD)和對(duì)稱密鑰(Key Value)。
[0013]其中對(duì)稱密碼服務(wù)器對(duì)文件采用對(duì)稱密鑰進(jìn)行加密，并將對(duì)稱密鑰通過(guò)云計(jì)算密鑰管理服務(wù)器返回云計(jì)算密鑰客戶端，解密對(duì)稱密鑰需要存儲(chǔ)在客戶私人密鑰載體中的私鑰。
[0014]這種方式有效提高了客戶數(shù)據(jù)的安全性。這種密鑰混合保存的方法，有點(diǎn)類似銀行的保險(xiǎn)箱，銀行持有一個(gè)密鑰，客戶持有另一個(gè)密鑰，而銀行的密鑰依賴于客戶手中的密鑰執(zhí)行解密過(guò)程。
[0015]本發(fā)明的有益效果為:本發(fā)明提出一種密鑰混合保存的方法，即客戶私人密鑰載體中包含了破解對(duì)稱密鑰的私鑰，對(duì)于云存儲(chǔ)供應(yīng)商來(lái)說(shuō)，沒(méi)有此私鑰是無(wú)法對(duì)文件進(jìn)行解密的，因此該發(fā)明提高了客戶數(shù)據(jù)信息的安全性，可以有效的防止客戶的私有信息被其它用戶或者云存儲(chǔ)供應(yīng)商獲取和非法利用。該架構(gòu)面向各種云計(jì)算應(yīng)用，可以實(shí)現(xiàn)統(tǒng)一，標(biāo)準(zhǔn)的密鑰管理。文件解密需要客戶私鑰執(zhí)行，有效的保護(hù)了客戶數(shù)據(jù)安全。該架構(gòu)還具有簡(jiǎn)單和可擴(kuò)展的優(yōu)點(diǎn)。
【專利附圖】

【附圖說(shuō)明】[0016]圖1為云計(jì)算密鑰管理架構(gòu)示意圖；
圖2為云計(jì)算加密密鑰獲取示意圖；
附圖標(biāo)記說(shuō)明:1、云計(jì)算密鑰客戶端，2、云計(jì)算密鑰管理服務(wù)器，3、客戶私人密鑰載體，4、對(duì)稱密碼服務(wù)器，5、數(shù)字證書(shū)中心。
【具體實(shí)施方式】
[0017]下面參照附圖，結(jié)合實(shí)施例對(duì)本發(fā)明詳細(xì)說(shuō)明。
[0018]實(shí)施例1:
一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)，該系統(tǒng)架構(gòu)包括:云計(jì)算密鑰客戶端1，云計(jì)算密鑰管理服務(wù)器2，客戶私人密鑰載體3，對(duì)稱密碼服務(wù)器4，數(shù)字證書(shū)中心5，其中:
云計(jì)算密鑰客戶端I是駐留在云計(jì)算服務(wù)中的密碼服務(wù)客戶端，負(fù)責(zé)向該云計(jì)算服務(wù)器中的云計(jì)算應(yīng)用提供密鑰服務(wù)，通過(guò)標(biāo)準(zhǔn)的密鑰管理協(xié)議，向密鑰管理服務(wù)器申請(qǐng)密鑰產(chǎn)生；
云計(jì)算密鑰管理服務(wù)器2負(fù)責(zé)密鑰的產(chǎn)生，恢復(fù)，更新等管理服務(wù)，并將密鑰返回到客戶端；云計(jì)算密鑰管理服務(wù)器中存有分散密鑰，需要客戶私人密鑰中的私鑰才可以將密鑰完整還原；
客戶私人密鑰載體3負(fù)責(zé)存儲(chǔ)數(shù)字證書(shū)及分散密鑰還原時(shí)所需的私鑰；
對(duì)稱密碼服務(wù)器4對(duì)文件采用對(duì)稱密鑰進(jìn)行加密，對(duì)稱密鑰需要利用客戶私人密鑰中的公鑰進(jìn)行加密；
數(shù)字證書(shū)中心5負(fù)責(zé)向客戶頒發(fā)數(shù)字證書(shū)，用于數(shù)字簽名的認(rèn)證；
客戶通過(guò)下載數(shù)字簽名證書(shū)到客戶私人密鑰載體3中，該載體中除了數(shù)字認(rèn)證中心5提供的數(shù)字簽名外，還包含用于破解對(duì)稱密鑰的私鑰。
[0019]客戶登陸時(shí)需要用戶名和密碼，并提供數(shù)字證書(shū)，通過(guò)身份驗(yàn)證登陸云計(jì)算密鑰客戶端，對(duì)于云存儲(chǔ)供應(yīng)商來(lái)說(shuō)，沒(méi)有此私鑰是無(wú)法對(duì)文件進(jìn)行解密的，因此該發(fā)明提高了客戶數(shù)據(jù)信息的安全性。
[0020]實(shí)施例2:
在實(shí)施例1的基礎(chǔ)上，本實(shí)施例所述客戶私人密鑰載體可體現(xiàn)為有一定容量的存儲(chǔ)設(shè)備。
[0021]實(shí)施例3:
在實(shí)施例2的基礎(chǔ)上，本實(shí)施例所述客戶私人密鑰載體為U盾，方便客戶攜帶。
[0022]實(shí)施例4:
基于上述實(shí)施例的一種云計(jì)算加密密鑰產(chǎn)生過(guò)程，包括以下過(guò)程:
云計(jì)算密鑰客戶端生成密鑰請(qǐng)求包并向云計(jì)算管理服務(wù)器發(fā)送密鑰請(qǐng)求，所述密鑰請(qǐng)求包包含請(qǐng)求包頭部(REQ Header)操作類型(GET)和密鑰對(duì)象(Symmetric Key),標(biāo)識(shí)符(UID);云計(jì)算管理服務(wù)器收到密鑰請(qǐng)求后，根據(jù)請(qǐng)求內(nèi)容，從對(duì)稱密碼服務(wù)器獲取對(duì)稱密鑰，再生成密鑰回復(fù)包，包含回復(fù)包頭部(Response Header),密鑰對(duì)象(Symmetric Key),標(biāo)識(shí)符(WD)和對(duì)稱密鑰(Key Value)。
[0023]其中對(duì)稱密碼服務(wù)器對(duì)文件采用對(duì)稱密鑰進(jìn)行加密，并將對(duì)稱密鑰通過(guò)云計(jì)算密鑰管理服務(wù)器返回云計(jì)算密鑰客戶端，解密對(duì)稱密鑰需要存儲(chǔ)在客戶私人密鑰載體中的私鑰。
【權(quán)利要求】
1.一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)，其特征在于:該系統(tǒng)架構(gòu)包括:云計(jì)算密鑰客戶端(1)，云計(jì)算密鑰管理服務(wù)器(2)，客戶私人密鑰載體(3)，對(duì)稱密碼服務(wù)器(4)，數(shù)字證書(shū)中心(5)，其中: 云計(jì)算密鑰客戶端是駐留在云計(jì)算服務(wù)中的密碼服務(wù)客戶端，負(fù)責(zé)向該云計(jì)算服務(wù)器中的云計(jì)算應(yīng)用提供密鑰服務(wù)，通過(guò)標(biāo)準(zhǔn)的密鑰管理協(xié)議，向密鑰管理服務(wù)器申請(qǐng)密鑰產(chǎn)生； 云計(jì)算密鑰管理服務(wù)器負(fù)責(zé)密鑰的產(chǎn)生，恢復(fù)，更新等管理服務(wù)，并將密鑰返回到客戶端；云計(jì)算密鑰管理服務(wù)器中存有分散密鑰，需要客戶私人密鑰中的私鑰才可以將密鑰完整還原； 客戶私人密鑰載體負(fù)責(zé)存儲(chǔ)數(shù)字證書(shū)及分散密鑰還原時(shí)所需的私鑰； 對(duì)稱密碼服務(wù)器對(duì)文件采用對(duì)稱密鑰進(jìn)行加密，對(duì)稱密鑰需要利用客戶私人密鑰中的公鑰進(jìn)行加密； 數(shù)字證書(shū)中心負(fù)責(zé)向客戶頒發(fā)數(shù)字證書(shū)，用于數(shù)字簽名的認(rèn)證； 客戶通過(guò)下載數(shù)字簽名證書(shū)到客戶私人密鑰載體中，該載體中除了數(shù)字認(rèn)證中心提供的數(shù)字簽名外，還包含用于破解對(duì)稱密鑰的私鑰； 客戶登陸時(shí)需要用戶名和密碼，并提供數(shù)字證書(shū)，通過(guò)身份驗(yàn)證登陸云計(jì)算密鑰客戶端。
2.根據(jù)權(quán)利要求1所述的一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)，其特征在于:所述客戶私人密鑰載體為有一定容量的存儲(chǔ)設(shè)備。
3.根據(jù)權(quán)利要求2所述的一種基于云存儲(chǔ)的數(shù)據(jù)加密體系架構(gòu)，其特征在于:所述客戶私人密鑰載體為U盾。
4.一種基于上述任一權(quán)利要求的云計(jì)算加密密鑰產(chǎn)生方法，其特征在于:所述方法包括以下過(guò)程: 云計(jì)算密鑰客戶端生成密鑰請(qǐng)求包并向云計(jì)算管理服務(wù)器發(fā)送密鑰請(qǐng)求，所述密鑰請(qǐng)求包包含請(qǐng)求包頭部操作類型和密鑰對(duì)象，標(biāo)識(shí)符；云計(jì)算管理服務(wù)器收到密鑰請(qǐng)求后，根據(jù)請(qǐng)求內(nèi)容，從對(duì)稱密碼服務(wù)器獲取對(duì)稱密鑰，再生成密鑰回復(fù)包，所述密鑰回復(fù)包包含回復(fù)包頭部，密鑰對(duì)象，標(biāo)識(shí)符和對(duì)稱密鑰；其中對(duì)稱密碼服務(wù)器對(duì)文件采用對(duì)稱密鑰進(jìn)行加密，并將對(duì)稱密鑰通過(guò)云計(jì)算密鑰管理服務(wù)器返回云計(jì)算密鑰客戶端，解密對(duì)稱密鑰需要存儲(chǔ)在客戶私人密鑰載體中的私鑰。
【文檔編號(hào)】H04L29/08GK103516523SQ201310494894
【公開(kāi)日】2014年1月15日 申請(qǐng)日期:2013年10月22日 優(yōu)先權(quán)日:2013年10月22日
【發(fā)明者】付麗莉, 于建彬 申請(qǐng)人:浪潮電子信息產(chǎn)業(yè)股份有限公司