本发明专利技术实施例提供了一种基于混合加密机制的云存储数据管理方法和系统。该方法主要包括:用户终端和云存储系统之间建立SSL安全通道,用户终端通过所述SSL安全通道向云存储系统发送上传数据请求;云存储系统检查所述上传数据请求合法后,用户终端和云存储系统之间建立TCP连接,所述用户终端通过TCP连接向云存储系统发送上传数据,云存储系统对上传数据进行分块、加密存储。本发明专利技术实施例通过利用SSL安全通道和TCP连接,基于RSA和AES密钥算法的混合加密技术来完成对用户数据的加密保护工作,并引入用户的数字证书来完善用户的身份管理,使得云存储系统可以对用户数据进行快速有效的加密和存储,有效地提高了云存储系统的数据安全性。
【技术实现步骤摘要】
本专利技术涉及云存储
,尤其涉及一种基于混合加密机制的云存储数据管理方法和系统。
技术介绍
PKI (Public Key Infrastructure)是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系,广泛应用于网上银行、电子商务、电子政务等领域。一个完整的PKI系统是由认证机构、KMC (Key Mangement Center,密钥管理中心)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中CA (Certificat1n Authority,认证机构)在PKI系统中居于核心地位。RSA 公钥加密算法是 1977 年由 Ron Rivest、Adi Shamirh 和 Len Adleman 在(美国麻省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。AESCAdvanced Encrypt1n Standard,高级加密标准),在密码学中又称 Ri jndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES (数据加密算法,Data Encrypt1n Algorithm),已经被多方分析且广为全世界所使用。AES算法基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据替换为另一个数据。AES使用几种不同的方法来执行排列和置换运算。AES是一个迭代的、对称密钥分组的密码,它可以使用128、192和256位密钥,并且用128位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换和替换输入数据。AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128,192,256位,相对而言,AES的128密钥比DES的56密钥强1021倍。AES算法主要包括三个方面:轮变化、圈数和密钥扩展。云存储是指使用网格技术、分布式存储技术及集群管理应用等结合,将大量不同类型的存储设备通过软件的形式集成起来协同工作,以对外提供数据存储和数据操作的一个系统,它是在云计算的基础上进行的一个创新。其核心思想是对大数据的存储与管理。同时云存储系统可以为用户提供多种类型的接口和服务,用户可以使用电脑、手机、多媒体设备等连接到云存储系统,进行各种数据的存储和操作,包括对文档、视频、音频和图片等读写操作。然而云存储系统存在着数据安全的问题。在云存储系统的服务器端,由于大量的数据均存储在服务器上,现阶段技术无法达到对所有数据进行私钥加密的能力。由于云存储系统一般都位于互联网中,需要开放特定的端口给用户访问,同时系统中存储着大量的用户数据,极易成为黑客的目标。当云存储系统被入侵时,就会发生用户数据泄漏、被篡改等危险情况,因此服务器的安全问题至关重要。而在云存储的系统的用户端,当前用户终端上普通采用简单认证方法,即采用账号加密码的方式进行登陆认证,同时采用明文的形式进行传输。显然,这种机制存在安全问题,密码以明文形式传输就可能被恶意监听甚至篡改。在这种机制中,云存储系统不能对用户的数据操作记录进行核实和记录。因此,开发一种保证用户设备与云存储系统之间数据通信安全的方法是一个亟待解决的问题。
技术实现思路
本专利技术的实施例提供了一种基于混合加密机制的云存储数据管理方法和系统,以提高云存储系统的数据安全性。本专利技术提供了如下方案:一种基于混合加密机制的云存储数据管理方法,其特征在于,包括:用户终端和云存储系统之间建立SSL安全通道,所述用户终端通过所述SSL安全通道向云存储系统发送上传数据请求;所述云存储系统检查所述上传数据请求合法后,所述用户终端和所述云存储系统之间建立TCP连接,所述用户终端通过所述TCP连接向所述云存储系统发送上传数据,所述云存储系统对所述上传数据进行分块、加密存储。所述的用户终端和云存储系统之间建立SSL安全通道,包括:用户终端向云存储系统发送携带用户的数字证书的建立SSL安全连接请求,所述用户的数字证书中携带证书DN、有效期、扩展选项内容;云存储系统接收到所述SSL安全连接请求后,获取所述SSL安全连接请求中携带的用户的数字证书,利用CA对所述用户的数字证书进行验证,验证通过,则所述云存储系统接收所述SSL安全连接请求,与用户终端之间建立SSL安全通道;反之,验证不通过,则所述云存储系统拒绝所述SSL安全连接请求。所述的云存储系统对所述上传数据进行分块、加密存储,包括:云存储系统接收到用户终端的上传数据后,将所述上传数据缓存到存储缓冲区中,判断所述上传数据的整个文件是否小于或者等于规定的一个文件块大小,如果是,则所述云存储系统采用所述用户的RSA公钥证书对所述上传数据的整个文件进行加密并存储;否则,所述云存储系统按照规定的一个文件块大小对所述上传数据的整个文件进行分块切害I],所述云存储系统生成多个AES密钥,AES密钥产生的数量与分块切割后得到的文件块的数量相对应,并且每个AES密钥关联一个文件块,然后,云存储系统使用各个AES密钥分别对关联的各个文件块进行加密处理,将加密后的文件块以多副本的形式存储到云存储系统中的缓冲区内。所述的方法还包括:所述云存储系统通过与用户终端建立的SSL安全通道将所述上传数据的所有AES密钥和文件块之间的对应关系信息下发给所述用户终端,对缓冲区内的加密后的文件块的原始数据进行销毁。所述的方法还包括:用户终端和云存储系统之间建立SSL安全通道,所述用户终端通过所述SSL安全通道向云存储系统发送下载数据请求;所述云存储系统检查所述下载数据请求合法后,所述用户终端和所述云存储系统之间建立TCP连接,所述用户终端通过所述TCP连接向所述云存储系统发送下载数据的相关信息;所述云存储系统根据所述下载数据的相关信息判断所述下传数据的整个文件是否小于或者等于规定的一个文件块大小,如果是,所述云存储系统通过与用户终端建立的TCP连接将经过加密的下载数据发送给所述用户终端,所述用户终端使用自己的RSA数字证书私钥对所述下载数据进行解密;否则,所述用户终端通过SSL安全通道将与所述下载数据关联的所有AES密钥发送给所述云存储系统,所述云存储系统将各个AES密钥分发到各个AES密钥关联的文件块所在的节点,各个节点利用接收到的AES密钥完成相应的文件块的解密操作,并将解密数据发送到云存储缓冲区,所述云存储系统对所述云存储缓冲区中的所有解密数据进行合并,得到完整的下载数据,将所述完整的下载数据通过TCP连接下发给所述用户终端。一种基于混合加密机制的云存储数据管理系统,包括:用户终端和云存储系统,所述的用户终端,用于和所述云存储系统之间建立S本文档来自技高网...
【技术保护点】
一种基于混合加密机制的云存储数据管理方法,其特征在于,包括:用户终端和云存储系统之间建立SSL安全通道,所述用户终端通过所述SSL安全通道向云存储系统发送上传数据请求;所述云存储系统检查所述上传数据请求合法后,所述用户终端和所述云存储系统之间建立TCP连接,所述用户终端通过所述TCP连接向所述云存储系统发送上传数据,所述云存储系统对所述上传数据进行分块、加密存储。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:林文辉,郭向国,林凉,
申请(专利权)人:航天信息股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。