【技术实现步骤摘要】
用于数据安全访问的密钥管理方法以及数据访问方法
[0001]本申请涉及数据安全领域,特别涉及一种用于数据安全访问的密钥管理方法、一种数据访问方法、一种客户端、一种服务器以及一种数据存储系统。
技术介绍
[0002]客户端可以对服务器发起数据访问,以将该客户端关联的用户账户的数据存入至存储设备中、以及将存储设备中为该客户端关联的用户账户存储的数据取出。
[0003]为了确保数据在存储期间内的安全性、以及在客户端与服务器之间传输过程中的安全性,可以由客户端以归属于关联的用户账户的账户私有识别码为数据密钥,对存入存储设备之前的数据加密、以及对从存储设备取出的加密数据解密,以使得数据在存储期间内、以及在客户端与服务器之间的传输过程中都处于加密状态。
[0004]由于用户账户的账户私有识别码具有私密性,因此,数据的加解密的权限完全由账户私有识别码的拥有者掌控。然而,对于任意用户账户而言,若其账户私有识别码因某些原因丧失了私密性,则,为了确保该用户账户的数据的安全性,需要变更该用户账户的账户私有识别码,此时,需要将存储设...
【技术保护点】
【技术特征摘要】
1.一种用于数据安全访问的密钥管理方法,其特征在于,所述密钥管理方法应用于客户端、并且包括:利用本地获取到的当前用户账户的账户私有识别码、以及为所述当前用户账户在本地生成的隐藏数据密钥,生成伪装数据密钥,所述隐藏数据密钥和所述伪装数据密钥在所述客户端非持久化存储;将所述伪装数据密钥发送至服务器持久化存储;其中,在所述服务器中持久化存储的所述伪装数据密钥用于响应于所述客户端对所述隐藏数据密钥的使用需求而被提供至所述客户端,以供所述客户端利用所述账户私有识别码和所述伪装数据密钥还原得到所述隐藏数据密钥;并且,所述隐藏数据密钥被所述客户端的使用包括:利用还原得到的所述隐藏数据密钥实现对所述当前用户账户的关联数据容器的数据访问,以及,响应于所述账户私有识别码的更新,利用更新后的所述账户私有识别码以及还原得到的所述隐藏数据密钥更新被持久化存储的所述伪装数据密钥。2.根据权利要求1所述的密钥管理方法,其特征在于,所述密钥管理方法进一步包括:响应于所述当前用户账户用于创建所述关联数据容器的容器创建请求,向所述服务器发送所述容器创建请求、并为所述当前用户账户生成用作所述隐藏数据密钥的随机密钥。3.根据权利要求1所述的密钥管理方法,其特征在于,所述密钥管理方法进一步包括:获取所述服务器为成功创建所述关联数据容器的所述当前用户账户分配的数据访问种子,所述数据访问种子在所述客户端非持久化存储;所述利用本地获取到的当前用户账户的账户私有识别码、以及为所述当前用户账户在本地生成的隐藏数据密钥,生成伪装数据密钥,包括:利用所述账户私有识别码、所述隐藏数据密钥以及所述数据访问种子,生成所述伪装数据密钥;所述将所述伪装数据密钥发送至服务器存储,包括:将所述伪装数据密钥发送至服务器与所述数据访问种子彼此关联地持久化存储;并且,对所述隐藏数据密钥的还原进一步利用所述数据访问种子。4.根据权利要求3所述的密钥管理方法,其特征在于,所述利用所述账户私有识别码、所述隐藏数据密钥以及所述数据访问种子,生成所述伪装数据密钥,包括:利用对所述数据访问种子和所述账户私有识别码的信息提取,得到账户访问密钥;以及,利用所述账户访问密钥对所述隐藏数据密钥加密,得到所述伪装数据密钥;其中,所述账户访问密钥在所述客户端非持久化存储;并且,对所述隐藏数据密钥的还原包括:利用对所述数据访问种子和所述账户私有识别码的信息提取,得到账户访问密钥;以及,利用所述账户访问密钥对所述伪装数据密钥解密,还原得到所述隐藏数据密钥。5.根据权利要求4所述的密钥管理方法,其特征在于,所述密钥管理方法进一步包括:利用对所述账户访问密钥的信息提取,得到账户访问码;将所述账户访问码发送至所述服务器,以被所述服务器作为访问校验码、并与所述数
据访问种子和所述伪装数据密钥彼此关联地持久化存储;其中,所述账户访问码在所述客户端非持久化存储,响应于所述客户端向所述服务器每一次发起的对所述关联数据容器的数据访问,或,响应于所述客户端对持久化存储在所述服务器的所述伪装数据密钥发起的密钥更新,所述账户访问码在所述客户端基于本地获取到的所述账户私有识别码被再次生成,再次生成的所述账户访问码用于被发送至所述服务器,以使得所述服务器利用所述客户端在请求发起所述数据访问或所述密钥更新时再次生成的所述账户访问码、以及持久化存储的所述访问校验码的一致性比对结果,实现对所述数据访问或所述密钥更新的权限校验,和/或,利用所述访问校验码与再次生成所述账户访问码的所述客户端协同实现对所述数据访问的防重放过滤;并且,所述服务器中持久化存储的所述访问校验码响应于所述账户私有识别码的每一次更新而与所述伪装数据密钥一起被关联更新,所述访问校验码被关联更新的过程包括:利用所述服务器提供的所述数据访问种子、以及更新后的所述账户私有识别码重新生成所述账户访问密钥,重新生成的所述账户访问密钥用于生成所述伪装数据密钥的数据密钥更新信息,所述数据密钥更新信息用于更新所述服务器中持久化存储的所述伪装数据密钥,并且,响应于对所述密钥更新的权限校验的校验成功,将所述服务器中持久化存储的所述访问校验码,更新为利用对重新生成的所述账户访问密钥进行信息提取得到的访问码更新信息,对重新生成的所述账户访问密钥进行信息提取得到所述访问码更新信息时的提取规则,与,对所述账户访问密钥得到所述账户访问码时的提取规则相同。6.一种用于数据安全访问的密钥管理方法,其特征在于,所述密钥管理方法应用于服务器、并且包括:为客户端的当前用户账户创建关联数据容器,所述客户端被配置为利用所述当前用户账户的账户私有识别码、以及为所述当前用户账户生成的隐藏数据密钥,生成伪装数据密钥,所述伪装数据密钥和所述隐藏数据密钥在所述客户端非持久化存储;将所述客户端提供的所述当前用户账户的所述伪装数据密钥持久化存储;其中,持久化存储的所述伪装数据密钥用于响应于所述客户端对所述隐藏数据密钥的使用需求而被提供至所述客户端,以供所述客户端利用所述账户私有识别码和所述伪装数据密钥还原得到所述隐藏数据密钥;并且,所述隐藏数据密钥被所述客户端的使用包括:利用还原得到的所述隐藏数据密钥实现对所述当前用户账户的关联数据容器的数据访问,以及,响应于所述账户私有识别码的更新,利用更新后的所述账户私有识别码以及还原得到的所述隐藏数据密钥更新被持久化存储的所述伪装数据密钥。7.根据权利要求6所述的密钥管理方法,其特征在于,所述密钥管理方法进一步包括:响应于对所述关联数据容器的成功创建,向所述客户端提供为成功创建所述关联数据容器的所述当前用户账户分配的数据访问种子,以供所述客户端在生成所述伪装数据密钥时进一步使用所述数据访问种子,所述数据访问种子在所述客户端非持久化存储;所述将所述客户端提供的所述当前用户账户的所述伪装数据密钥持久化存储,包括:将所述伪装数据密钥与所述数据访问种子彼此关联地持久化存储;对所述隐藏数据密钥的还原进一步利用所述数据访问种子。
8.根据权利要求7所述的密钥管理方法,其特征在于,所述客户端被配置为:利用对所述数据访问种子和所述账户私有识别码的信息提取,得到账户访问密钥,所述账户访问密钥在所述客户端非持久化存储;利用所述账户访问密钥对所述隐藏数据密钥加密,得到所述伪装数据密钥;以及,利用对所述账户访问密钥的信息提取,得到账户访问码;所述密钥管理方法进一步包括:将所述客户端提供的所述账户访问码作为访问校验码,与所述数据访问种子和所述伪装数据密钥彼此关联地持久化存储;其中,所述账户访问码在所述客户端非持久化存储,响应于所述客户端向所述服务器每一次发起的对所述关联数据容器的数据访问,或,响应于所述客户端对持久化存储在所述服务器的所述伪装数据密钥发起的密钥更新,所述账户访问码在所述客户端基于本地获取到的所述账户私有识别码被再次生成;并且,所述密钥管理方法还包括:利用所述客户端在请求发起所述数据访问或所述密钥更新时再次生成的所述账户访问码、以及持久化存储的所述访问校验码之间的一致性比对结果,实现对所述数据访问或所述密钥更新的权限校验,和/或,利用所述访问校验码与再次生成所述账户访问码的所述客户端协同实现对所述数据访问的防重放过滤;以及,持久化存储的所述访问校验码响应于所述账户私有识别码的每一次更新,而与所述伪装数据密钥一起被所述客户端关联更新,所述客户端进一步被配置为以如下方式实现所述关联更新:利用所述服务器提供的所述数据访问种子、以及更新后的所述账户私有识别码重新生成所述账户访问密钥,重新生成的所述账户访问密钥用于生成所述伪装数据密钥的数据密钥更新信息,所述数据密钥更新信息用于更新所述服务器中持久化存储的所述伪装数据密钥,并且,将所述服务器中持久化存储的所述访问校验码,更新为利用对重新生成的所述账户访问密钥进行信息提取得到的所述账户访问码的访问码更新信息,对重新生成的所述账户访问密钥进行信息提取得到所述访问码更新信息时的提取规则,与,对所述账户访问密钥得到所述账户访问码时的提取规则相同。9.一种数据访问方法,其特征在于,所述数据访问方法应用于客户端、并且包括:向服务器发起对当前用户账户的关联数据容器的访问请求;获取所述服务器响应于所述访问请求提供的伪装数据密钥,所述伪装数据密钥在所述...
【专利技术属性】
技术研发人员:张腾飞,邝耀华,
申请(专利权)人:湖北盛天网络技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。