一种数据在云端和移动端安全传输存储及使用的方法.pdf

本发明公开了一种数据在云端和移动端安全传输存储及使用的方法，具体步骤包括：数据所有者用对称数据加密密钥DEK将原始数据M加密成第一层密文C，再利用密数h和自己的密钥SK将第一层密文C加密成第二层密文C’，用户需要使用该数据时，云代理服务器将用户发送来的用户密钥uk发送给数据所有者，数据所有者根据自己的密钥SK和用户的密钥uk生成一个新的再加密密钥rk，云代理加密服务器用再加密密钥rk对数据加密，用户从云端或服务器下载数据再用自己的密钥uk解密。本发明方便省事，提高了数据的机密性，只有授权的用户可以解密数据，使访问得到了有效的控制，代理服务器和数据使用者的合谋更加安全，提供了弹性的数据分享和访问控制。

权利要求书1.   一种数据在云端和移动端安全传输存储及使用的方法，其特征在于，具体步骤如下：（1）数据所有者随机按选择一个对称数据加密密钥DEK，并且使用该对称数据加密密钥DEK将原始数据M加密成第一层密文C；（2）数据所有者再随机选择一个密数h，再利用密数h和自己的密钥SK将第一层密文C加密成第二层密文C’；（3）所述再加密的密文包括大密文部分和小密文部分，大密文部分存储在云端，小密文部分存储在云端或用户端；（4）用户需要使用该数据时，向云代理服务器发送自己的密钥uk；（5）云代理服务器将用户使用数据的请求发送给数据所有者，即将用户的密钥uk发送给数据所有者；（6）数据所有者根据自己的密钥SK和用户的密钥uk生成一个新的再加密密钥rk；（7）云代理加密服务器用再加密密钥rk加密小密文部分；（8）用户从云端或服务器下载大密文部分和小密文部分后再用自己的密钥uk解密，从而得到原始文件M。2.  根据权利要求1所述的数据在云端和移动端安全传输存储及使用的方法，其特征在于，所述步骤（2）至步骤（6）中的用户的密钥uk为公钥，步骤（8）中用户的密钥uk为私钥。

说明书一种数据在云端和移动端安全传输存储及使用的方法
技术领域
本发明涉及信息安全技术领域，具体是一种数据在云端和移动端安全传输存储及使用的方法。
背景技术
越来越多的数据已经存储在云端，云存储包括公有云存储、私有云存储和专用云存储等，公有云存储包括阿里云和百度网盘等，云存储时数据的安全和隐私性，对用户来说是一个巨大的担忧，数据传输过程中数据是从客户端传输到云端的服务器，数据存储过程中数据是存储在云端，暴露给云存储服务提供商的，有些提供商的管理员是充满好奇或者甚至是恶意的，数据使用过程中数据通常是分享给在同一个云服务或不同云服务的其他用户和应用程序的，在这个分享的过程中，数据通常是被解密后再共享给其它用户的。
对于云数据，有两个主要的安全需求，分别为数据的机密性和数据的访问控制，数据存放在云端的时候应当是被加密后的，并且无论任何时候都不应该明文暴露给云存储服务提供商；当数据被使用和共享的时候，加密后的数据只能被授权的用户或设备解密，而数据的所有者，决定哪些用户或应用有权限。解决以上问题的方法是云代理数据加密。
发明内容
本发明的目的在于提供一种机密性强、合谋安全的数据在云端和移动端安全传输存储及使用的方法，以解决上述背景技术中提出的问题。
为实现上述目的，本发明提供如下技术方案：
一种数据在云端和移动端安全传输存储及使用的方法，具体步骤如下：
（1）数据所有者随机按选择一个对称数据加密密钥DEK，并且使用该对称数据加密密钥DEK将原始数据M加密成第一层密文C；
（2）数据所有者再随机选择一个密数h，再利用密数h和自己的密钥SK将第一层密文C加密成第二层密文C’；
（3）所述再加密的密文包括大密文部分和小密文部分，大密文部分存储在云端，小密文部分存储在云端或用户端；
（4）用户需要使用该数据时，向云代理服务器发送自己的密钥uk；
（5）云代理服务器将用户使用数据的请求发送给数据所有者，即将用户的密钥uk发送给数据所有者；
（6）数据所有者根据自己的密钥SK和用户的密钥uk生成一个新的再加密密钥rk；
（7）云代理加密服务器用再加密密钥rk加密小密文部分；
（8）用户从云端或服务器下载大密文部分和小密文部分后再用自己的密钥uk解密，从而得到原始文件M。
作为本发明再进一步的方案：所述步骤（2）至步骤（6）中的用户的密钥uk为公钥，步骤（8）中用户的密钥uk为私钥。
与现有技术相比，本发明的有益效果是：
本发明提高了数据的机密性，在云端不会暴露解密的密钥，只有授权的用户可以解密数据，使访问得到了有效的控制，再加密密钥rk只有在需要的时候才生成，方便省事，代理服务器和数据使用者的合谋更加安全，代理服务器不会得到除了授权以外数据的解密密钥，大密文部分的加密密文可以被分享或者存储到云端，小密文部分的加密密文被数据所有者所控制，提供了弹性的数据分享和访问控制。
附图说明
图1为本发明的流程框架图。
图2为本发明中加密和解密的操作效率评测图。
图3为本发明中再加密的操作效率评测图。
图4为本发明中云端加密和移动设备加密进行融合的框架图。
具体实施方式
下面结合具体实施方式对本专利的技术方案作进一步详细地说明。
请参阅图1，一种数据在云端和移动端安全传输存储及使用的方法，具体步骤如下：
（1）数据所有者随机按选择一个对称数据加密密钥DEK，并且使用该对称数据加密密钥DEK将原始数据M加密成第一层密文C，                                               ；
（2）数据所有者再随机选择一个密数h，再利用密数h和自己的密钥SK将第一层密文C加密成第二层密文C’，，G为系统参数；
（3）所述再加密的密文包括大密文部分和小密文部分，大密文部分存储在云端，小密文部分存储在云端或用户端；
（4）用户需要使用该数据时，向云代理服务器发送自己的密钥uk，此时密钥uk为公钥；
（5）云代理服务器将用户使用数据的请求发送给数据所有者，即将用户的密钥uk发送给数据所有者；
（6）数据所有者根据自己的密钥SK和用户的密钥uk生成一个新的再加密密钥rk，；
（7）云代理加密服务器用再加密密钥rk加密小密文部分，得到加密后数据C”，；
（8）用户从云端或服务器下载大密文部分和小密文部分后再用自己的密钥uk解密，密钥uk为私钥，从而得到原始文件M。
请参阅图2，对所述数据在云端和移动端安全传输存储及使用的方法进行加密和解密的操作效率评测，得到本发明的加密和解密算法与AES算法的速度相近，远远超过现有代理服务器加密算法的速度。
请参阅图3，所述步骤（6）中数据所有者根据自己的密钥SK和用户的密钥uk生成一个新的再加密密钥rk，该操作的平均时间为0.005s，即每秒进行200次的操作，而且跟文件的大小无关。
请参阅图4，云端加密和移动设备加密进行融合，假设移动应用程序APP1和移动应用程序APP2分别在第一移动设备和第二移动设备上，移动应用程序APP1和移动应用程序APP2均使用移动设备加密服务框架，企业IT控制台部署在云端或企业网内部，移动设备加密的服务可以让企业IT控制台管理所有使用移动设备加密服务的设备，数据加密后被企业应用服务器存储，或者是移动应用程序生成数据，加密后存储在云端，数据采用的云计算服务和企业IT控制台的云服务可以是相同的，也可以是不同的，例如一个是公有云，另一个是私有云。
当移动应用程序APP2需要访问数据的时候，向企业应用服务器发起请求，企业应用服务器向企业IT控制台发起请求，获得第二移动设备的公钥，企业应用服务器根据云端加密算法生成再加密密钥，企业应用服务器把再加密密钥传给代理服务器，代理服务器重新加密云端存储的数据，移动应用程序APP2下载再加密的数据，用第二移动设备的私钥解密数据。
本发明提高了数据的机密性，对称数据加密密钥DEK在第一层密文C保护数据的机密性，随机密数h和内容提供者的私钥SK保护第二层密文C’的机密性，通过用户的公钥uk和再加密密钥rk，只有可以被计算出来，但其并不能解密存储在云端的密文，因此在云端不会暴露解密的密钥，保证只有有访问权限的用户可以解密再加密的密文，使访问得到了有效的控制，再加密密钥rk只有在需要的时候才生成，方便省事，代理服务器和数据使用者的合谋更加安全，代理服务器不会得到除了授权以外数据的解密密钥，大密文部分的加密密文可以被分享或者存储到云端，小密文部分的加密密文被数据所有者所控制，提供了弹性的数据分享和访问控制。
上面对本专利的较佳实施方式作了详细说明，但是本专利并不限于上述实施方式，在本领域的普通技术人员所具备的知识范围内，还可以在不脱离本专利宗旨的前提下作出各种变化。