技術領域

本發明涉及云端數據保護領域，尤其涉及一種數據分級加密與分割的云端數據保護方法。

背景技術

ECC加密算法

基于橢圓曲線的加密算法(EEC，Elliptic Curve Cryptography)由Koblitz和Miller于1985年分別提出將橢圓曲線系統首次應用于密碼學。橢圓曲線密碼方案屬于公鑰機制，它的安全性依賴于解決橢圓曲線離散對數問題 (ECDLP，Elliptic Curve Discrete Logarithm Problem)的困難性。ECDLP定義如下：給定素數p和橢圓曲線E，對Q=nP，在已知P、Q的情況下求小于p的正整數n。將橢圓曲線中的加法運算、乘法運算分別與離散對數中的模乘運算、模冪運算相對應，建立相應的基于橢圓曲線的密碼體制。

TEA加密算法

TEA是一種小型的分組對稱加密算法，最初由David Wheeler和Roger Needh于1994年設計。TEA的特點是速度快、效率高、實現簡單，用c語言實現僅需26行代碼。盡管算法十分簡單， 但它具有很強的抗差分分析能力。相比其他算法，它的安全性相當好，可靠性不是通過算法的復雜度而是通過加密輪數保證。加密過程中，密鑰不變，主要的運算是移位和異或。

云端數據存儲系統中數據信息的管理權和所有權被迫分離致使數據安全和隱私保護變得極為困難。對于此問題，傳統的解決方案是使用加密技術對云端存儲的數據和隱私進行加密的保障機制，在實際的數據操作過程中帶來了較大的系統開銷。

發明內容

針對云端數據的種種問題，本發明提出了一種數據分級加密與分割的云端數據保護方法。方案首先將數據合理分割為大小數據塊；再分別將小塊數據和大塊數據部署在本地和異地；然后按數據不同的安全級別需求，采用不同強度的數據加密技術進行數據加密，以在保護云端用戶數據安全的同時，提高靈活性，降低系統開銷。

本發明的技術方案是：

一種數據分級加密與分割的云端數據保護方法，

首先將數據合理分割為大小數據塊；再分別將小塊數據和大塊數據部署在本地和異地；然后按數據不同的安全級別需求，采用不同強度的數據加密技術進行數據加密，

將云端存儲的安全實現分為如下三部分：

用戶端系統：用戶端系統由內核態的文件系統過濾驅動和用戶態的控制程序構成。其負責監控和捕獲本地的系統操作，對獲得的數據進行大、小塊的分割，并進行哈希運算，然后在本地保存小數據塊和哈希值，采用數據染色和不同強度的數據加密技術進行加密；

主控服務器系統：主控服務器系統主要進行數據分塊和元數據處理服務，并對客戶端的數據請求進行認證和訪問控制；

存儲服務器系統：存儲服務器系統主要負責實際的托管數據存儲。用戶上傳數據時，根據主控服務器的分配，將數據塊存入對應的物理設備；用戶提取數據時，通過查詢主控服 務器的元數據信息，提取相應的數據塊。

云存儲的用戶端系統首先自動將待托管的數據分割為小數據塊和大數據塊，小數據塊存儲于用戶本地，大數據塊則按照用戶指定的安全級別需求進行加密后，由云端文件系統分塊存儲。

將小塊數據大小固定為1k，則抽取1024個字節，具體實現策略如下:

(1)產生0～N之間的隨機數序列。序列長度等于小塊數據的大小；

(2)將隨機數序列從小到大排列，就得到了要從文件中抽取字節的位置；

(3)將對應位置的字節從原文件中分割出來，與順序排列的隨機數序列一起保存作為小塊數據，被分割后的文件作為大塊數據；

大塊數據采用兩種不同的加密方式，其中安全等級高的采用EEC加密算法；安全等級低的采用TEA加密算法。

用戶托管數據時，分級加密系統負責綁定用戶數據與選擇的安全策略，根據用戶的選擇用相應的算法對待上傳數據進行處理，并負責維護用戶文件與選擇的安全策略的映射表，將加密相關參數保存于本地，然后上傳文件；用戶使用數據時，由分級加密系統負責查找文件、加密策略映射表，并提取加密算法相關參數，然后解密數據。

其中，加密算法的相關參數可由用戶端本地保存的小塊數據生成。

當用戶需要下載已被托管云存儲系統中的數據時，具體操作流程如下：

(1)通過身份認證后，用戶登錄服務器，選擇需要下載的文件；

(2)存儲服務器系統根據標識向主控服務器查詢數據分塊信息及數據塊存儲位置；

(3)根據數據塊分塊信息和存儲位置，從存儲服務器取出所有數據塊，根據分塊策略將數據塊組裝成大塊數據；