[发明专利]基于云计算的大数据文件加密传输方法

摘要

基于云计算的大数据文件加密传输方法，是采用轻量级密码算法和一种安全单钥密钥管理技术，在云用户的客户机端和云计算平台的认证中心端分别建立加密系统，通过过程密钥、用户密钥和存储密钥这三种密钥的叠加加密方式，实现文件加密密钥的安全交换，在云用户A客户机端将文件加密成密文后，经云计算平台的认证中心转发给云用户B客户机端，保证云用户之间文件的快捷、保密和完整传输，从而，建立基于云计算的大数据文件加密传输系统。

主权项

基于云计算的大数据文件加密传输方法，是采用轻量级密码算法即：密码编制简单且加解密速度快的单钥密码算法、一种安全单钥管理技术和芯片硬件技术，建立云计算环境下大数据文件的加密传输系统，其中：大数据指：文件数量十分大或文件长度十分长；若采用常用的单钥管理情况下，在云用户的客户机端智能卡芯片里建立云用户端加密系统，在智能卡芯片里写入：轻量级密码算法、摘要算法、一组用户密钥、云用户的客户机端智能卡芯片的标识、云用户端文件的加密和数字签名协议，云用户端密文文件的解密和签名验证协议，在云计算平台的认证中心加密卡芯片里，建立认证中心端加密系统，在加密卡芯片里写入：轻量级密码算法、摘要算法、全体对应云用户端的用户密钥、云用户之间用户密钥的交换协议；云用户端文件的加密和数字签名协议，云用户A的客户机端加密系统，在智能卡芯片里调用随机数发生器产生一组随机数，用该组随机数作为用户A端的过程密钥，对云用户A的文件进行加密和数字签名，生成云用户A文件的密文和云用户A文件的数字签名，用智能卡芯片里云用户A的客户机端的用户密钥，将云用户A的客户机端的过程密钥加密成密文，并与云用户A的客户机端智能卡芯片的标识、云用户A文件的密文和云用户A文件的数字签名这4组数据，一起发送给云计算平台的认证中心端；云用户之间密钥的交换协议，认证中心端加密系统，根据云用户A的客户机端智能卡芯片的标识，在加密卡芯片里，取出对应云用户A的用户密钥，并用云用户A的客户机端的用户密钥，将云用户A的客户机端的过程密钥的密文解密，得到云用户A的客户机端的过程密钥明文，再根据云用户B的客户机端智能卡芯片的标识，取出对应云用户B的客户机端的用户密钥，用云用户B的客户机端的用户密钥，将云用户A的客户机端的过程密钥加密成密文，并与云用户B的客户机端智能卡芯片的标识、云用户A文件的密文和云用户A文件的数字签名这4组数据，一起发送给云用户B的客户机端；云用户端密文文件的解密和签名验证协议，云用户B的客户机端加密系统，在智能卡芯片里使用云用户B的客户机端的用户密钥，将云用户A的客户机端的过程密钥密文解密成明文，再使用解密后的云用户A的客户机端的过程密钥，将云用户A的密文文件解密，得到云用户A的文件明文，对云用户A的文件的数字签名进行签名验证，来确定通过认证中心转发来的云用户A的文件是否可信、完整；当云用户的文件数量十分大时，云计算平台的认证中心需要部署大量的加密卡设备，来存储大量对应云用户端的用户密钥；在采用一种安全单钥管理技术情况下，在云用户的客户机端智能卡芯片和云计算平台的认证中心端加密卡芯片里，建立云用户之间的文件加密传输系统，其方法的技术特征在于：在云用户的客户机端智能卡芯片里建立云用户端加密系统，在智能卡芯片里写入：轻量级密码算法、摘要算法、一套密钥种子表Ci、单钥密钥组合生成算法、云用户的客户机端智能卡芯片的标识、云用户端文件的加密和数字签名协议，云用户端密文文件的解密和签名验证协议，在云计算平台的认证中心加密卡芯片里，建立认证中心端加密系统，在加密卡芯片里写入：轻量级密码算法、摘要算法、单钥密钥组合生成算法、一套密钥种子表D、密钥种子表Ci元素的加密和数字签名协议、云用户之间用户密钥的交换协议，在认证中心端认证服务器的硬盘存储区，将对应认证中心端全体云用户的客户机端智能卡芯片标识、密钥种子表Ci元素的密文及其密钥种子表Ci元素的数字签名、对应生成存储密钥的一组时间戳和随机数，一起存储在用户密钥数据库中，其中：i＝n，n为全体云用户数量的总和；采用一种安全单钥管理技术即：采用三种密钥的管理方法，第一种密钥为：过程密钥，过程密钥用来建立云用户端文件的加密和数字签名协议；第二种密钥为：用户密钥，用户密钥用于加密过程密钥，保证在两云用户之间过程密钥的交换安全；第三种密钥为：存储密钥，存储密钥用于加密全体云用户端的密钥种子表Ci的元素，保证全体云用户端的密钥种子表C的元素，在认证中心端的存储安全，其中：用户密钥和存储密钥，都是由一组时间戳和随机数组成的单钥密钥组合生成算法，对一套密钥种子表Ci或表D的元素进行选取，将选出的元素合成一组用户密钥或存储密钥；当云用户的文件数量或文件长度都十分大时，不需要在云计算平台的认证中心端部署大量的加密卡设备，来存储大量云用户端的密钥种子表C的元素，或存储大量存储密钥；云用户端文件的加密和数字签名协议，云用户A的客户机端加密系统在智能卡芯片里，调用随机数发生器产生一组随机数，用该组随机数作为云用户A的客户机端的过程密钥，对云用户A的文件进行加密和数字签名，生成云用户A文件的密文和云用户A文件的数字签名，在智能卡芯片里，产生一组时间戳和随机数，根据单钥密钥组合生成算法，产生一组云用户A的用户密钥，将用户A的过程密钥加密成密文，并与云用户A的客户机端智能卡芯片的标识、云用户A文件的密文、云用户A文件的数字签名、产生云用户A的客户机端用户密钥的一组时间戳和随机数共6组数据，一起发送给云计算平台的认证中心；“密钥种子”表C元素的加密和数字签名协议，云计算平台的认证中心端加密系统，在加密卡芯片里产生一组时间戳和随机数，根据单钥密钥组合生成算法，用该时间戳和随机数，对密钥种子表D的元素进行选取，将选出的Y个元素合成一组存储密钥，用该存储密钥来加密“密钥种子”表C的元素和表C元素的摘要信息，得到密钥种子表C元素的密文即：C’和表C元素的数字签名，再将云用户的客户机端智能卡芯片的标识、密钥种子表C的元素密文即：C’、密钥种子表C元素的数字签名、以及对应生成存储密钥的时间戳和随机数，一并事先存储在认证中心端的用户密钥数据库中Y＝16，或32；云用户之间密钥的交换协议，认证中心端加密系统，根据云用户A的客户机端智能卡芯片的标识，在用户密钥数据库中，取出对应云用户A的客户机端的密钥种子表CA元素的密文、密钥种子表CA元素的数字签名、对应生成存储密钥的一组时间戳和随机数，在加密卡芯片里，根据单钥密钥组合生成算法生成存储密钥，用该存储密钥将对应云用户A的客户机端的密钥种子表CA元素的密文解密成明文，并对该密钥种子表CA元素的数字签名进行签名验证，来确定存储在认证中心端的密钥种子表CA的元素是否完整、可信，根据单钥密钥组合生成算法，由一组产生用户密钥的时间戳和随机，生成云用户A的客户机端用户密钥，将云用户A的客户机端的过程密钥的密文解密，得到云用户A的客户机端的过程密钥明文，再根据云用户B的客户机端智能卡芯片的标识，在用户密钥数据库中，取出对应云用户B的客户机端的密钥种子表CB元素的密文、密钥种子表CB元素的数字签名、对应生成存储密钥的一组时间戳和随机数，在加密卡芯片里，根据单钥密钥组合生成算法，生成一组存储密钥，将对应云用户B的客户机端的密钥种子表CB元素的密文解密成明文，并对密钥种子表CB元素的数字签名进行签名验证，来确定存储在认证中心端的密钥种子表CB的元素是否完整、可信，再产生一组时间戳和随机数，根据单钥密钥组合生成算法，生成云用户B的客户机端的用户密钥，用云用户B的客户机端的用户密钥，将云用户A的客户机端的过程密钥加密成密文，并与云用户B的客户机端智能卡芯片的标识、云用户A文件的密文、云用户A文件的数字签名、一组产生云用户B的客户机端用户密钥的一组时间戳和随机数，共6组数据，一起发送给云用户B的客户机端，其中：CA＝C1～Cn，CB＝C1～Cn，CA≠CB；云用户端密文文件的解密和签名验证协议，云用户B的客户机端加密系统，根据单钥密钥组合生成算法，由产生云用户B的客户机端用户密钥的一组时间戳和随机数，对智能 卡芯片里的密钥种子表CB的元素进行选取，生成云用B端的用户密钥，将云用户A的客户机端过程密钥的密文解密成明文，再使用解密后云用户A的客户机端的过程密钥，对云用户A文件的密文进行解密，得到云用户A文件的明文，再对云用户A文件的数字签名进行签名验证，来确定云用户A通过认证中心转发来的签名文件是否可信、完整，从而，建立一种基于云计算的大数据文件加密传输系统。