数据加密方法技术

技术编号:16842085 阅读:115 留言:0更新日期:2017-12-20 00:36
本发明专利技术提供了一种数据加密方法,该方法包括:用户将请求包发送至云内的认证服务器;认证服务器对请求包进行重加密后传递给域内子认证服务器;子认证服务器构造应答包,加密并返回用户;用户通过解密所述应答包完成身份验证。本发明专利技术提出了一种数据加密方法,增强了环境和策略约束的安全读策略控制,在保证安全性的前提下,降低了写用户的计算代价,满足跨云、跨等级的各种数据策略的应用需求。

Data encryption method

The invention provides a data encryption method. The method includes: the user will request packets sent to the cloud server authentication; authentication server package encryption on the request after transfer to the sub domain authentication server; sub authentication server structure response packet encryption, and return to the user; the user by decrypting the response packet to complete the authentication. The invention proposes a data encryption method, which enhances the security read strategy control of environment and policy constraints. Under the premise of guaranteeing the security, it reduces the computation cost of users, and meets the application requirements of cross cloud and cross level data policies.

【技术实现步骤摘要】
数据加密方法
本专利技术涉及安全云存储,特别涉及一种数据加密方法。
技术介绍
云数据存储平台将计算资源存储在可配置的计算资源共享池中,通过便利、按需的网络读计算资源。而安全成为制约云存储发展的关键问题。云存储服务商在云存储中提供服务,而用户处于被动地位,造成信息掌控的严重不对称。云存储将信息转移到云存储服务提供商,企业自身却无法再全面掌控信息和云服务提供商的存储细节;而云存储是针对多方用户,云服务提供商考虑到自身安全,也无法向业主呈现存储中的关键信息。另一方面,云存储平台中的域间互操作虽然实现了域间资源和服务的共享,但如何保证域内的管理对象的安全,即如何安全地实现域间互操作主客体信息的共享,设置读策略并严格执行读检查,是一个亟待解决的问题。现有技术是在传统授权管理模型基础上通过扩展,域间的角色映射使不同域中的角色建立了关联关系,但域间角色映射的传递也容易造成安全隐患。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了一种数据加密方法,包括:用户将请求包发送至云内的认证服务器;认证服务器对请求包进行重加密后传递给域内子认证服务器;子认证服务器构造应答包,加密并返回用户;用户通过解密所述应答包完成身份验证。优选地,所述用户将请求包发送至云内的认证服务器,进一步包括:用户生成随机数将用户ID以及所在群组ID组成请求包,使用所属群组的私钥对请求包进行签名,使用该用户所在认证服务器的公钥对请求包加密,发送到所在云内的认证服务器;所述认证服务器对请求包进行重加密后传递给域内子认证服务器,进一步包括:所述认证服务器接收到请求包之后,从包中获取群组ID,查找获得对应群组的公钥,用群组公钥和认证服务器解密请求包之后,获得用户随机数;然后从自身内部生成服务器随机数,将用户标识ID以及群组中所有ID集合构造请求包,使用认证服务器的私钥进行签名,用所述域内子认证服务器的公钥进行加密,传送给所述子认证服务器;所述子认证服务器构造应答包,加密并返回用户,进一步包括:所述子认证服务器使用私钥对密文解密,将解密结果和所述用户随机数一起构造应答包,用子认证服务器私钥加密返回用户;用户使用私钥解密,校验用户随机数完成数据所有者的身份验证。优选地,还包括:用户根据读取文件的特征向其所在子认证服务器提出数据加密上传请求后,进行安全策略检查,包括用户层次角色判断、数据分发密级所属关联许可判断,如设置的群体的特征超出范围,子认证服务器向上一级认证服务器转发请求,认证服务器与云平台的特征管理模块进行通信,获得相关联的特征列表,返回用户。本专利技术相比现有技术,具有以下优点:本专利技术提出了一种数据加密方法,增强了环境和策略约束的安全读策略控制,在保证安全性的前提下,降低了写用户的计算代价,满足跨云的各种数据策略的应用需求。附图说明图1是根据本专利技术实施例的数据加密方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定,并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了一种数据加密方法。图1是根据本专利技术实施例的数据加密方法流程图。本专利技术在云存储平台中设置分级认证服务器,包括根认证服务器CGS、分区认证服务器RGS、子认证服务器SGS,将密钥分发、特征认证事务分级进行,由根CGS对下一级认证服务器进行签名;建立特征管理模块FMM,维护全局的用户特征列表;在云存储平台安全框架中对用户主体角色、权限文件所有者读控制以及环境和数据资源特征描述基础上,由认证服务器设定授权读取策略和约束控制策略,满足云间跨域的数据读取和用户隐私保护。分级认证服务器包括公钥基础设施PKI,同时也充当根认证服务器CGS角色。特征管理模块FMM为云环境维护全系统内的特征列表,响应认证服务器CGS对跨区域特征列表的请求。多个分级子认证服务器SGS通过对称密钥证书机制对用户进行身份认证,为写用户提供认证级别树,完成新用户的添加删除,对密文授权读取进行密文的授权读取控制。云存储系统的用户包括写用户和读用户。写用户是根据子认证服务器SGS提供的认证级别树设置读策略,加密数据后在云服务器进行存储。读用户是请求对云服务器存储数据进行读取的用户。对于数据分发,首先写用户在通过身份认证后,向认证服务器请求数据加密上传的服务请求;然后写用户根据认证服务器所推送的特征结构列表,完成读策略的定义,并根据策略对数据加密后上传云服务器;对于数据读取,读用户与认证服务器通信,发送读请求,身份认证后,由策略点对生成的读策略进行判断,当满足预设条件后发送密文给读用户,如果读用户特征符合读结构,则解密获得数据。对数据加密后上传云服务器,进一步包括以下文件创建过程。(1)写用户生成随机数r1将自己的ID以及所在群组ID组成请求包,使用所属群组的私钥进行签名,使用写用户所在认证服务器CGS的公钥加密,发送所在云内的CGS。具体表述为:ECGS(Ecom(r1,UID,filequery),groupID)CGS接收到请求之后,从包中获取群组标识groupID,查找获得对应群组的公钥,用群组公钥和CGS解密之后,获得随机数r1,然后从自身内部生成随机数r2,将用户的标识UID以及群组中所有ID集合构造请求包,使用认证服务器CGS的私钥进行签名,用所述域内子认证服务器的公钥进行加密,传送给所述子认证服务器;具体表述为:ESGS(ECGS(r1,r2,UID,groupID)子认证服务器SGS使用私钥对密文解密,将解密结果和随机数r1,一起构造应答包,用子认证服务器SGS私钥加密返回写用户。具体描述为:ESGS(r1,HASH(UID||r2))写用户使用SGS私钥解密,校验r1完成数据所有者的身份验证。(2)首先根据读权限对文件分类,相同分类被划分为一个文件簇。对于单个文件加密的流程,写用户根据读取文件的特征向其所在子认证服务器SGS提出数据加密上传请求,进行安全策略检查,包括用户层次角色判断、数据分发密级所属关联许可判断,如设置的群体的特征超出范围,子认证服务器SGS向上一级认证服务器CGS转发请求,认证服务器CGS与特征管理模块FMM进行通信,获得相关联的特征列表,返回写用户特征列表;在写用户设置读策略时:认证服务器根据云存储服务器内用户角色、权限以及文件密级,获得系统的公开参数和私钥;然后写用户指定读结构,限定用户的权限,并将许可信息以XML文件的方式进行记录;写用户设置环境与策略约束条件,生成约束控制策略;对文件采用对称加密,用生成的随机数作为对称密钥,加密数据文件形成密文;采用特征加密算法加密得到密文。将认证服务器的认证级别特征空间和写用户读策略特征空间的所有的元素映射到认证级别树之上。写用户通过生成树算法创建读策略树。当读用户向认证服务器请求认证时,读用户构造包括UID、所属群组ID的请求包,使用群组私钥签名,所述CGS公钥加密后发送到CGS。认证服务器从加密包中获得群组ID,通过查询获得对应的群组公钥和自身的私密解本文档来自技高网...
数据加密方法

【技术保护点】
一种数据加密方法,其特征在于,包括:用户将请求包发送至云内的认证服务器;认证服务器对请求包进行重加密后传递给域内子认证服务器;子认证服务器构造应答包,加密并返回用户;用户通过解密所述应答包完成身份验证。

【技术特征摘要】
1.一种数据加密方法,其特征在于,包括:用户将请求包发送至云内的认证服务器;认证服务器对请求包进行重加密后传递给域内子认证服务器;子认证服务器构造应答包,加密并返回用户;用户通过解密所述应答包完成身份验证。2.根据权利要求1所述的方法,其特征在于,所述用户将请求包发送至云内的认证服务器,进一步包括:用户生成随机数将用户ID以及所在群组ID组成请求包,使用所属群组的私钥对请求包进行签名,使用该用户所在认证服务器的公钥对请求包加密,发送到所在云内的认证服务器;所述认证服务器对请求包进行重加密后传递给域内子认证服务器,进一步包括:所述认证服务器接收到请求包之后,从包中获取群组ID,查找获得对应群组的公钥,用群组公钥和认证服务器解密请求包之后,获得用户随机数;然后从自身内部生成服务器随...

【专利技术属性】
技术研发人员:许驰
申请(专利权)人:成都鼎智汇科技有限公司
类型:发明
国别省市:四川,51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1