[发明专利]一种基于客户端公私钥加解密的云安全存储方法

说明书

本发明涉及一种基于客户端公私钥加解密的云安全存储方法，包括如下步骤：初始化有权限访问的对象；查看对象；增加对象；删除对象；修改对象；用户添加或者删除另一个用户的共享权限。根据本发明有效的保证了用户在客户端对加解密的控制，避免了服务器端的解密，保证了安全性。本发明也可以防止当用户被撤销某个对象的访问权限时，可以继续访问该对象。本发明具有提高了云存储的安全与存储性能等优点。

技术领域

本发明涉及一种云安全存储技术，特别涉及一种基于客户端公私钥加解密的云安全存储方法。

背景技术

随着云存储的普及，越来越多的用户将对象(包括目录，文件等)放置到云端的服务器上，但是用户数据在服务器上如果不加上保密措施很有可能遭到泄露，窃取或者篡改等破坏用户隐私的安全性攻击。并且由于大多数云存储的服务器是分布式存储的，服务器的安全性可能不一样，且服务器的管理员也有可能恶意获取数据。因此用户在服务器端的数据保密性成为了云存储安全性里重要的一部分。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种基于客户端公私钥加解密的云安全存储方法，客户端主要负责对象的加解密，服务器负责加密后的对象的存储，密钥数据中心主要负责权限记录的存储和控制，其权限记录的存储和控制主要是基于用户的公钥。其中的假设是基于服务器端和密钥数据中心是不完全可信的，服务器端的管理员也有可能恶意获取数据，密钥数据中心有可能独立于服务器端或者在服务器端上，只有客户端是可信度的。因此本发明的出发点是找出一种基于客户端公私钥加解密的云安全存储方法，在满足文件系统安全的基本条件下，防止管理员在获取服务器端的数据后能够破解对象内容。

本发明的目的通过下述技术方案实现：一种基于客户端公私钥加解密的云安全存储方法，具有客户端角色，服务器端角色，以及密钥数据中心角色。客户端角色主要用于对象的加解密，服务器角色负责加密后的对象的存储，密钥数据中心角色主要负责权限记录的存储和控制。该方法描述了初始化用户有权限访问的对象，查看对象，增加对象，删除对象，修改对象，用户添加或者删除另一个用户的共享权限这六个方面的流程步骤。所述云安全存储方法具体包括如下步骤：

1、初始化加载有权限访问的对象：

当用户登录的时候，该文件系统根据密钥数据中心里的权限记录，返回给客户端。客户端根据密钥中心返回的权限记录获取对象ID，根据对象ID从服务器端获取对应的密文，用户用私钥从权限记录中解密出对象的明文密钥。如果是目录对象，则客户端会向密钥数据中心请求再加密的信息，根据返回的再加密信息和目录对象的明文密钥，用户解密出目录对象的目录数据，目录数据记载的是目该目录下面的所有对象的明文密钥。如果是除了目录对象以外的对象，则直接用解密出的明文密钥打开对象，无需再从密钥数据中心获取再加密信息。所以，用户能看到的都是有权限访问的对象。没有权限访问到的对象用户是没法看到的。

2、查看对象：

由于用户能看到的都是有权限访问的对象，客户端根据从密钥数据中心得到的权限记录，此时用户用私钥从权限记录中解密出对象的明文密钥。客户端根据密钥中心返回的权限记录获取对象ID，根据对象ID从服务器端获取对应的密文。如果是目录对象，则客户端会向密钥数据中心请求再加密的信息，根据返回的再加密信息和目录对象的明文密钥，用户解密出目录对象的目录数据，目录数据记载的是目该目录下面的所有对象的明文密钥。如果是除了目录对象以外的对象，则直接用解密出的明文密钥打开对象，无需再从密钥数据中心获取再加密信息。如果还对目录对象下的对象进行访问，由于已经获得了该目录对象的目录数据，该目录下面的所有对象的明文密钥已经知道，若是还访问目录对象，则客户端继续向数据密钥中心请求对应目录对象的再加密信息。若是访问的是非目录对象，则直接用解密得到的明文密钥解密非目录对象。依次循环执行流程，直到访问到目标对象。

3、增加对象：