用于数据传输的安全保密方法和系统技术方案

本发明专利技术提供一种用于数据传输的安全保密方法和系统，其中，将需共享的一项或多项原始文件信息中的每一项随机分为两个部分，将被分割的一部分存放于管理端，另一部分存放于本地设备；通过用户请求对所述被分割的信息进行分别加密；并将密钥分享给目标共享者；目标共享者从云端服务器下载被分割的部分数据；目标共享者利用所获得的密钥对所述下载后的部分数据和存储于本地设备的另一部信息分别进行解密认证，恢复并获得完整的被保密信息。本发明专利技术的优点是采用上述方法得到的完整数据是不可存储及再转发的，只能在认证的应用上使用；在遗失本地设备的情况下，也不会泄露敏感资料；即使在传送过程中被黑客攻击，黑客也只能获得一部分不完整的资料。一部分不完整的资料。一部分不完整的资料。

【技术实现步骤摘要】
用于数据传输的安全保密方法和系统


[0001]本专利技术属于数据传输的安全保密方法和系统，特别涉及一种用于在边缘和终端智能设备之间进行档案存储与分享过程中的安全保密方法和系统。

技术介绍

[0002]随着物联网的到来，边缘和终端智能设备之间的档案分享将变得相当普及，特别是对于保护类似人脸等敏感图像的数据档案，成为研究的热点。随着云存储的出现，如何避免存放在边缘和终端智能设备的敏感数据档案在传输过程中被非法窃取成为广泛探讨的内容。
[0003]中国专利技术专利申请CN108804930A公开了一种防信息窃取的手机存储系统将手机存储系统进行分区处理，并使得所述存储系统基于应用环境的安全性存取数据，以提高数据信息的安全性。通过这种安排，规避在存储部件被拆卸后，由于失去了可信计算手段的保护，其中存储的数据信息仍可能被非法泄露的风险。
[0004]中国专利技术专利申请CN 110704858 A公开了一种分布式环境下数据安全存储方法以及系统，所述方法包括以下步骤：S1:针对所需要加密存储的数据，结合时间戳以及随机数，通过哈希算法，生成数据指纹；S2:对数据进行加密形成密文，每条数据均采用随机数做为加密密钥；S3:将密文分割成多个数据块；S4:将数据块分布式存储在各个存储节点中，各个存储节点的存储内容由统一的调度中心进行调度和管理；在步骤S3中，在每次密文分割时，自动通过随机数确定本次分割的数量。通过将数据块存储在不同的存储节点，部分节点的损坏不会影响数据的完整性。
[0005]一般的网络安全平台系统的认证授权过程，通过认证服务器的功能，实现网上授权，使用户拥有使用各个功能和网上各个服务的权力，通过和服务中心的联合，合理维护用户的权力。认证模块主要完成授权文件的生成、发放以及对计算机本机的硬件信息提取、比对工作。用户可通过文件加密授权设备将待传输出去的文件加工成密文文件。此密文文件只有指定文件加密授权设备才能打开。文件加密授权：通过文件加密授权功能，可以加密文件，并授权给指定的人阅读该文件。文件解密：通过文件解密功能，可以让有解密权限的人员读取加密文档。具体功能如下：
[0006]加密与解密模块：对在认证服务器端生成的授权文件进行加密，授权文件通过该模块进行解密。变换字符串模块：将初始时用户输入的用户名、服务注册KEY以及提取的硬件信息进行变换顺序，并发送到认证服务器。提取信息模块：用于提取计算机硬件设备产品编号(不可变动的硬件信息，包括企业控制中心、单机用户的硬件信息)。此模块具体操作过程对用户透明。生成授权文件模块：认证服务器在得到经过变换后的用户信息后，生成一个存储用户服务信息的授权文件。服务器信息比对模块：将服务器中存储的授权文件信息与传输得到的授权文件进行比对，并对授权文件中的时间进行判断和校订。授权加密文件。
[0007]然而，上述技术方案或者是针对存储卡的丢失，或者是重点在于如何将数据块进行随机分割。现有技术中缺少安全的分享平台，以避免存放在边缘和终端智能设备的数据
档案中的敏感数据档案在传输过程中被非法窃取。

技术实现思路

[0008]本专利技术的目的在于提供一种用于在边缘和终端智能设备之间进行档案存储与分享过程中的安全保密方法和系统。
[0009]本专利技术的用于数据传输的安全保密方法，包括如下步骤：将需共享的一项或多项原始文件信息中的每一项随机分为两个部分，将被分割的一部分存放于管理端，另一部分存放于本地设备；通过用户请求对所述被分割的信息进行分别加密；并将密钥分享给目标共享者；目标共享者从云端服务器下载被分割的部分数据；目标共享者利用所获得的密钥对所述下载后的部分数据和存储于本地设备的另一部信息分别进行解密认证，恢复并获得完整的被保密信息。
[0010]本专利技术的另一种用于数据传输的安全保密方法，还包括存放于管理端的一部分信息为所述原始文件的数据文件和授权文件；并且存放于本地设备的一部分信息为所述原始文件的本地图元文件。
[0011]本专利技术的再一种用于数据传输的安全保密方法，其中，所述本地设备为一个或多个能够易于为客户所操作的客户端(205)；所述管理端包括数据库服务器(105)，所述数据库服务器105为专用服务器或云端服务器，用于通过超文字传输安全协议经过表现层状态转换Web服务层(108)与所述客户端通信；以及共享与安全存储管理器(106)，用于将需共享的原始文件的所述数据文件存储于后端关系数据库关系系统中；以及证书授权中心服务器(107)，用于与所述共享与安全存储管理器(106)通信，为所述需共享的原始文件生成所述授权文件。
[0012]本专利技术的再一种用于数据传输的安全保密方法，其中，所述证书授权中心服务器通过创建证书保护所述本地图元文件和所述数据文件；对需共享的每项原始文件信息基于用户的公钥生成授权文件，以确保仅有目标共享者能通过结合所生成的授权文件和所述数据文件来恢复需共享的原始文件信息。
[0013]本专利技术的再一种用于数据传输的安全保密方法，其中，用户的文件存储于所述客户端(205)的存储器中，所述存储器为TF卡、RS－MMC卡、miniSD卡、MS卡、CF卡、SD卡、MMC卡、M2卡。本专利技术的再一种用于数据传输的安全保密方法，其中，所述表现层状态转换Web服务层(108)界面的架构限制为客户端－服务器限制，将用户界面所关注的逻辑和数据存储所关注的逻辑分离开。其中，所述表现层状态转换Web服务层(108)界面的架构限制为统一接口，包括：请求中包含资源的ID(Resource identification in requests)；请求中包含了各种独立资源的标识，即资源本身和发送给客户端的标识是独立的；资源通过标识来操作(Resource manipulation through representations)；消息具有自我描述性(Self-descriptive messages)，即每一个消息都包含足够的信息来描述如何来处理这个信息。
[0014]本专利技术的再一种用于数据传输的安全保密方法，其中，用户通过下列步骤从所述证书授权中心服务器(107)获得授权中心生成的数字证书和在用户与目标共享者之间共享的公共密钥(如适用)：用户在客户端向证书授权中心发出要求登录证书授权中心的要求；等待证书授权中心确认登录；用户向证书授权中心发出证书产生请求，请求获得身份以及公钥；证书授权中心向用户客户端发出所述数字证书。
[0015]本专利技术的再一种用于数据传输的安全保密方法，其中，所述共享与安全存储管理器(106)，经过表现层状态转换服务的应用程序接口(API)调用进行下列步骤：处理用户的登录请求，在HTTPS上实现了“挑战和响应”机制，以允许多个用户一起使用；在登录验证通过后，将向用户授予带时间戳的一小段字符串(“cookie”)；从客户端(205)应用程序生成二维QR码，允许在已识别的各方之间共享所述QR代码，而授予者扫描生成的QR码添加到自己的共享列表中并且明确哪些是授权的共享方以添加共享成员；处理共享数据文件及其授权文件：在创建所述共享列表本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.用于数据传输的安全保密方法，包括如下步骤：将需共享的一项或多项原始文件信息中的每一项随机分为两个部分，将被分割的一部分存放于管理端，另一部分存放于本地设备；通过用户请求对所述被分割的信息进行分别加密；并将密钥分享给目标共享者；目标共享者从云端服务器下载被分割的部分数据；目标共享者利用所获得的密钥对所述下载后的部分数据和存储于本地设备的另一部信息分别进行解密认证，恢复并获得完整的被保密信息。2.如权利要求1所述的安全保密方法，其中存放于管理端的一部分信息为所述原始文件的数据文件和授权文件；并且存放于本地设备的一部分信息为所述原始文件的本地图元文件。3.如权利要求2所述的安全保密方法，其中所述本地设备为一个或多个能够易于为客户所操作的客户端(205)；所述管理端包括数据库服务器(105)，所述数据库服务器105为专用服务器或云端服务器，用于通过超文字传输安全协议经过表现层状态转换Web服务层(108)与所述客户端通信；以及共享与安全存储管理器(106)，用于将需共享的原始文件的所述数据文件存储于后端关系数据库关系系统中；以及证书授权中心服务器(107)，用于与所述共享与安全存储管理器(106)通信，为所述需共享的原始文件生成所述授权文件。4.如权利要求3所述的安全保密方法，其中所述证书授权中心服务器通过创建证书保护所述本地图元文件和所述数据文件；对需共享的每项原始文件信息基于用户的公钥生成授权文件，以确保仅有目标共享者能通过结合所生成的授权文件和所述数据文件来恢复需共享的原始文件信息。5.如权利要求3所述的安全保密方法，其中用户的文件存储于所述客户端(205)的存储器中，所述存储器为TF卡、RS－MMC卡、miniSD卡、MS卡、CF卡、SD卡、MMC卡、M2卡。6.如权利要求3所述的安全保密方法，其中所述表现层状态转换Web服务层(108)界面的架构限制为客户端－服务器限制，将用户界面所关注的逻辑和数据存储所关注的逻辑分离开。7.如权利要求3所述的安全保密方法，其中所述表现层状态转换Web服务层(108)界面的架构限制为统一接口，包括：请求中包含资源的ID(Resource identification in requests)；请求中包含了各种独立资源的标识，即资源本身和发送给客户端的标识是独立的；资源通过标识来操作(Resource manipulation through representations)；消息具有自我描述性(Self-descriptive messages)，即每一个消息都包含足够的信息来描述如何来处理这个信息。8.如权利要求3所述的安全保密方法，其中用户通过下列步骤从所述证书授权中心服务器(107)获得授权中心生成的数字证书和在用户与目标共享者之间共享的公共密钥(如适用)：
用户在客户端向证书授权中心发出要求登录证书授权中心的要求；等待证书授权中心确认登录；用户向证书授权中心发出证书产生请求，请求获得身份以及公钥；证书授权中心向用户客户端发出所述数字证书。9.如权利要求3所述的安全保密方法，其中所述共享与安全存储管理器(106)，经过表现层状态转换服务的应用程序接口(API)调用进行下列步骤：处理用户的登录请求，在HTTPS上实现了“挑战和响应”机制，以允许多个用户一起使用；在登录验证通过后，将向用户授予带时间戳的一小段字符串(“cookie”)；从客户端(205)应用程序生成二维QR码，允许在已识别的各方之间共享所述QR代码，而授予者扫描生成的QR码添加到自己的共享列表中并且明确哪些是授权的共享方以添加共享成员；处理共享数据文件及其授权文件：在创建所述共享列表后，用户从客户端(205)应用界面中选择具有目标共享方(一个或多个)的共享材料，对于每个所述目标共享方生成每个被授予者的授权文件，并使用被授予者的公钥签名，以确保只有相应的被授予者才能检索共享的资料；对于每个共享事件，所述共享与安全存储管理器(106)将数据文件和授权文件发送给共享各方(被授予者)，并通过客户端应用程序向被授予者发出通知。10.如权利要求9所述的安全保密方法，其中在处理用户的下载数据文件和授权文件的请求时，所述共享与安全存储管理器(106)必须验证用户具有下载权限，如果用户没有权限，则请求的数据文件和授权文件将不会被发送给该用户。11.如权利要求3所述的安全保密方法，其中在客户端初始化的步骤中，授予者将数据文件存储在共享与安全存储管理器(106)的个人文件夹中，并将图元文件存在客户端的SD卡或USB闪存中；创建共享列表的步骤中，授予者通过扫描产生的QR－码添加多个目标共享方(被授予者)，被授予者被添加到授予者自身的共享列表上，选择共享材料与所选的共享列表成员分享；在与被授予者共享文件的步骤中，授予者为被授予者准备授权文件，并将授权文件发送至共享与安全存储管理器(106)；共享与安全存储管理器(106)将所述授权文件记录至数据库中；将应用程序内通知发送至被授予者；在被授予者寻回文件的步骤中，被授予者从共享与安全存储管理器(106)要求授予者的授权文件；被授予者运行拆分实用程序以从所述共享与安全存储管理器(106)下载授予者的数据文件并重建原始文件。12.如权利要求1所述的安全保密方法，其中在加密阶段对授权文件和数据文件进行如下处理步骤：从原始数据文件中提取图元文件，并剩余的部分分割为数据文件(.usrs)，将图元文件利用私钥和公钥(例如RSA－2048)进行加密，形成包含第二签名的授权文件(.usc)；并且利用对提取了图元文件后的剩余数据文件进行扰乱(scramble)和加密(encrypt)，形成包含第一签名的数据文件(.usrs)文件。
13.如权利要求12所述的安全保密方法，其中将所述数据文件利用进阶加密标准(“Advanced Encryption Standard”，例如AES－256)或Rijndael加密法的密钥增加至数据文件中，形成加密数据；对所述加密数据进行扰乱，其中一部分形成扰乱的图元数据，一部分形成扰乱的加密数据；将扰乱和加密的数据通过SHA256算法进行计算；所述扰乱和加密的数据经过SHA256算法计算后获得256－字节的哈希值；利用授予者的密钥签署所述256－字节哈希值，获得第一签名；将所述第一签名编入所述扰乱和加密的数据中，获得包含第一签名的扰乱和加密的数据文件。14.如权利要求12所述的安全保密方法，其中所述图元数据由唯一标识符，源文件名称，远端文件名称，扰乱的图元数据，数据文件的AES－256密钥以及授予者证书身份组成；给所述图元数据用图元数据的AES－256密钥加密，形成加密的图元数据；将图元数据的AES－256密钥用被授予者的公钥加密，形成加密的图元数据AES－256密钥；将加密的图元数据和加密的图元数据AES－256密钥合并，形成包含图元数据密钥的加密图元数据文件，将所述包含图元数据密钥的加密图元数据文件通过SHA256算法进行计算，形成生成256位的哈希值(Hash Value)，通过授予者私钥的签署，生成第二签名，综合形成带有第二签名的包含图元数据密钥的加密图元数据文件。15.如权利要求1所述的安全保密方法，其中在恢复阶段对授权文件和数据文件进行如下步骤：将所述带有第一签名的扰乱和加密的数据文件和所述带有第二签名的包含图元数据密钥的加密图元数据文件通过图元数据进行处理获得所需要的原始文件。16.如权利要求15所述的安全保密方法，其中针对授权文件(.usc)，将所述带有第二签名的包含图元数据密钥的加密图元数据文件中的256位哈希值(Hash Value)提取出来，并将所述第二签名进行签名认证；如果所述签名合格，即将加密的图元数据文件分割为加密的图元数据AES－256密钥和加密的图元数据；如所述签名不合格，则中止处理所述图元数据文件；对于所述加密的图元数据AES－256密钥，利用被授予者的私钥(例如RSA－2048私钥)解密所述加密的图元数据AES－256密钥，形成图元数据AES－256密钥，即利用所述图元数据AES－256密钥从所述加密的图元数据中获得图元数据，所述图元数据包括上述所有唯一标识符，源文件名称，远端文件名称，扰乱的图元数据，数据文件的AES－256密钥以及授予者证书身份的信息。17.如权利要求15所述的安全保密方法，其中针对数据文件(.usrs)，将所述带有所述第一签名的扰乱和加密的数据文件中的256位哈希值(Hash Value)提取出来，并将所述第一签名进行签名认证；如所述签名合格，则利用扰乱的图元数据恢复被扰乱和加密的数据，获得机密数据，并利用数据文件AES－256密钥，解密所述加密的数据，获得数据文件。18.用于数据传输的安全保密系统，包括：分割模块，将需共享的一项或多项原始文件信息中的每一项随机分为两个部分，将被分割的一部分存放于管理端，另一部分存放于本地设备；加密模块，通...

【专利技术属性】
技术研发人员：李應樵，马志雄，
申请(专利权)人：万维数码智能有限公司，
类型：发明
国别省市：