[发明专利]一种基于客户端公私钥加解密的云安全存储方法

权利要求书

1.一种基于客户端公私钥加解密的云安全存储方法，其特征在于，包括如下步骤：

初始化有权限访问的对象：用户在客户端登录进行身份验证之后，向密钥数据中心请求，密钥数据中心返回该用户能够访问的权限信息，所述权限信息包括对象ID和用户公钥加密过的对象的密钥；用户根据得到的对象ID从服务器端得到加密后的对象，若是非目录对象，则直接解密；若是目录对象，则向密钥数据中心请求再加密信息后解密目录对象；由此用户能够看到有权限访问的对象；

查看对象：用户查看有权限访问的对象，若是非目录对象，根据从密钥数据中心得到的权限信息，用私钥解密后得到对象的密钥明文后解密访问；若是目录对象，则向密钥数据中心请求再加密信息，根据返回的再加密信息和目录对象的明文密钥，用户解密出目录对象的目录数据，目录数据记载的是目该目录下面的所有对象的明文密钥；该目录下的对象查看的过程如前；

增加对象：客户端随机生成欲增加对象的对称密钥，若是目录对象，则还需要发送请求给密钥数据中心要求对新增的目录对象的目录数据进行再加密，生成再加密信息，返回给客户端；若是非目录对象，则是不需要发请求给密钥数据中心；加密后，将加密后的对象上传至服务器的目标位置下；将加密后的目标位置目录的目录数据下载至客户端，解密目录数据后将增加对象的明文密钥写入目标目录的目录数据里，之后重新传至服务器下；最后，客户端将对象的权限记录用共享用户的公钥加密后，发送给密钥数据中心存储；所述权限记录是用户可以共享对象的记录；

删除对象：客户端向服务器端发送请求，获取删除对象的所在目录的目录数据；将加密后的目录数据下载至客户端，解密目录数据后将要删除的对象的明文密钥删除之后重新加密重新上传；对于删除的对象如果是目录对象，客户端还需遍历要删除的目录对象以下的所有的目录对象，发送请求给密钥数据中心要求对删除的目录对象以及该目录下的所有子目录的再加密信息进行删除；之后客户端向服务器端发送请求将要删除的对象删除；最后，客户端向数据密钥中心发送请求将删除对象的权限记录删除；

修改对象：主要是针对非目录对象的修改；客户端向服务器端发送请求，下载要修改的加密后的对象以及对象所在的目录对象的目录数据；解密后对对象内容进行修改，修改后随机生成新的对象密钥并加密；并且将新的密钥写入上一级的目录对象的目录数据里，删除原来的对象密钥，对目录数据重新加密；客户端向服务器端发送请求，删除原来的对象和目录数据，将修改后的加密后的新对象和上一级的目录数据上传至原来的位置；向密钥数据中心发送请求，删除该对象的权限记录，客户端重新生成该对象的权限记录后发送给密钥数据中心；

用户添加或者删除另一个用户的共享权限：如果某个用户要添加另一个用户的共享权限，用户的客户端直接将要共享对象的明文密钥用另一个用户的公钥加密后，形成权限信息，发送给密钥数据中心；如果要删除另一个用户的共享权限，如果撤销的是目录对象的共享权限，则用户的客户端首先遍历该目录下的所有对象，发送请求将密钥数据中心中的该用户拥有的该对象以及所有子对象对应的权限信息删除和更新该目录以及所有子目录对象的再加密信息；密钥数据中心将这些目录对象的再加密信息更新之后，将旧的以及新的再加密信息发送给回客户端，客户端向服务器端请求这些目录对象的目录数据，重新解密加密后，重新上传至服务器端；如果撤销的是非目录对象的共享权限，则用户的客户端直接向密钥数据中心发送请求，删除被撤销用户与对象的对应权限记录。

2.根据权利要求1所述的基于客户端公私钥加解密的云安全存储方法，其特征在于，对象本身使用对称加密密钥加密；对象中的目录对象采用目录数据的方式存储；目录数据存有该目录下面的所有对象的明文密钥；本系统并不需要存储整个目录结构，用户只需要根据目录数据即可知道下级的对象。

3.根据权利要求2所述的基于客户端公私钥加解密的云安全存储方法，其特征在于，由于对象的对称密钥是随机生成的，每当非目录对象的内容更新的时候，重新产生随机密钥，而当目录对象的目录数据更新的时候，对称密钥不更新。

4.根据权利要求1至3任一项所述的基于客户端公私钥加解密的云安全存储方法，其特征在于，用户能访问某个目录对象，那该目录对象以下面的所有对象都可以访问；所有对象都是加密后放到服务器上。