技術領域

本發明涉及網絡安全技術領域，具體來說，涉及一種基于CPK(Combined Public Key，組合公鑰)的文件云安全管理方法及系統。

背景技術

隨著信息化程度日益提高，文件存儲及共享被廣泛用于各個領域，特別是敏感文件或者公司內部重要文件的存儲需求也日益增多，尤其是作為文件存儲中的新型存儲機制—云存儲更是如此，其中，云存儲是在云計算的概念上延伸和發展出來的一個新的概念，是指通過集群應用、網絡技術或者分布式文件系統等功能，將網絡中的大量的各種應用的存儲設備通過應用系統集合起來協同工作，共同對外提供數據存儲和業務訪問功能的一個系統。

目前，現有技術針對上述情況，提出了兩種安全方案，一種方案是對文件采用對稱加密，另一種則是采用傳統的公鑰體制(PKI)對文件進行加密。

其中，第一種方案的優勢在于成本低，實現簡單，但是，這種方案也存在著諸多不足之處，例如，所有的文件的密鑰只有一個，當一個文件被破解時，則會影響到其他文件的安全性；同時，用戶為了方便記憶密鑰，往往設置過于簡單，從而造成了被猜測的可能性很大，另外，當用戶忘記密鑰時，則還會造成文件無法恢復。

而第二種方案則是整合了對稱密碼與公鑰體制各自的優點，在安全性方面有了很大的提高，例如，文件加密可實現一次一密，當一個文件被破解時，并不會影響到其他文件的安全性，同時由于密鑰是采用隨機數的，從而不需要進行記憶，另外，由于采用了公鑰體制的數字信封技術，只有指定的用戶才能解密文件，從而使得安全強度明顯得到了提高。然而，這種方案也存在著諸多不足之處，例如，由于采用了PKI體系，從而使得加密依賴于第三方的CA體系，需要有基于安全芯片的USB Key等硬件設備支撐，成本較高；同時在制作數字信封時，需要得到公鑰，而PKI體系的公鑰一般需要在線證書庫的支持。另外，非用戶自己的證書難以取得，所以依然實現不了對密文文件的分享，僅能實現用戶自己的文件的安全云存儲。

由此可見，現有技術中的安全方案，要么不能實現云存儲和云分享，要么僅能實現云存儲，而不能實現云分享，而針對現有技術中的該問題，目前還尚未提出有效的解決方案。

發明內容

針對上述相關技術中的問題，本發明提出一種基于CPK的文件云安全管理方法及系統，其中，由于CPK是基于標識的公鑰密碼體制，公鑰是用標識與公鑰矩陣通過計算得到，從而可以實現基于標識的密鑰傳遞協議，而本發明的該文件云安全管理方案及系統則正是基于這種密鑰傳遞協議的特點而提出的，其能夠生成并存儲只有當前用戶以及與當前用戶指定的目標用戶才能解密的文件，從而實現了文件的云安全存儲與分享。

本發明的技術方案是這樣實現的：

根據本發明的一個方面，提供了一種基于CPK的文件云安全管理方法。

該基于CPK的文件云安全管理方法包括：

根據預先配置的會話密鑰，對將要存儲的文件進行加密，生成文件密文；

根據預先配置的當前用戶的公鑰以及與該當前用戶指定的目標用戶的公鑰，分別對會話密鑰進行加密，生成數字信封集；

將數字信封集和文件密文進行綁定，形成可分享的密文文件，并將該密文文件存儲至云服務器。

此外，該基于CPK的文件云安全管理方法還包括：在對將要存儲的文件進行加密之前，對該文件進行數字簽名，以保障該文件的完整性和真實性。

在上述方案中，會話密鑰根據預先配置的隨機數生成器生成的隨機數據生成。

并且，在上述方案中，當前用戶的公鑰以及目標用戶的公鑰通過預先配置的用戶標識和目標用戶標識集通過CPK的公鑰矩陣計算生成。

根據本發明的另一方面，提供了一種基于CPK的文件云安全管理系統。

該基于CPK的文件云安全管理系統包括：

第一加密模塊，用于根據預先配置的會話密鑰，對將要存儲的文件進行加密，生成文件密文；

第二加密模塊，用于根據預先配置的當前用戶的公鑰以及與該當前用戶指定的目標用戶的公鑰，分別對會話密鑰進行加密，生成數字信封集；

存儲管理模塊，用于將數字信封集和文件密文進行綁定，形成可分享的密文文件，并將該密文文件存儲至云服務器。

此外，該基于CPK的文件云安全管理系統還包括：數字簽名模塊，用于在對將要存儲的文件進行加密之前，對該文件進行數字簽名，以保障該文件的完整性和真實性。

在上述方案中，會話密鑰根據預先配置的隨機數生成器生成的隨機數據生成。