本發(fā)明公開了一種基于密鑰池的云存儲(chǔ)安全控制方法和系統(tǒng)，用戶端將利用文件密鑰加密的數(shù)據(jù)文件上傳至服務(wù)器，所述用戶端配置有量子密鑰卡，所述文件密鑰是利用量子密鑰卡所產(chǎn)生的真隨機(jī)數(shù)生成，且用戶端還將所述真隨機(jī)數(shù)上傳至服務(wù)器；服務(wù)器接收并存儲(chǔ)來(lái)自用戶端數(shù)據(jù)文件和真隨機(jī)數(shù)；用戶端下載真隨機(jī)數(shù)以及利用文件密鑰加密的數(shù)據(jù)文件，用戶端在己方所配置的量子密鑰卡中利用所述真隨機(jī)數(shù)生成文件密鑰，解密獲得數(shù)據(jù)文件。云存儲(chǔ)過程中，服務(wù)器端無(wú)法接觸到文件密鑰以及解密后的數(shù)據(jù)文件，解決用戶端對(duì)云存儲(chǔ)數(shù)據(jù)安全性的擔(dān)憂，利用量子密鑰卡所產(chǎn)生的真隨機(jī)數(shù)生成真隨機(jī)性的文件密鑰，提高密鑰安全性的同時(shí)保證用戶端加密程序執(zhí)行環(huán)境的安全。

技術(shù)領(lǐng)域

本發(fā)明涉及云存儲(chǔ)領(lǐng)域，尤其涉及一種基于密鑰池的云存儲(chǔ)安全控制方法和系統(tǒng)。

背景技術(shù)

隨著科技的發(fā)展，云存儲(chǔ)已經(jīng)越來(lái)越成為一種趨勢(shì)，各種云存儲(chǔ)技術(shù)層出不窮，為了保證云存儲(chǔ)數(shù)據(jù)的安全，通常會(huì)利用各種加密方法來(lái)保證數(shù)據(jù)的安全性，例如，可以通過非對(duì)稱密鑰加密來(lái)保證數(shù)據(jù)的安全性，非對(duì)稱密鑰加密需要使用不同的密鑰來(lái)分別完成加密和解密操作，一個(gè)公開發(fā)布，即公鑰，另一個(gè)由用戶自己秘密保存，即私鑰。信息發(fā)送者用公鑰去加密，而信息接收者用私鑰去解密；或者信息發(fā)送者用私鑰去加密，而信息接收者用公鑰去解密。

由于云存儲(chǔ)中多采用共享存儲(chǔ)，這使得服務(wù)商需要對(duì)私鑰進(jìn)行控制，導(dǎo)致私鑰的安全性較低。公開號(hào)為CN103236934A，發(fā)明名稱為“一種云存儲(chǔ)安全控制的方法”的發(fā)明專利文獻(xiàn)，公開了一種用于解決私鑰安全性較低的問題的方法。該發(fā)明使用兩種不同的加密方式對(duì)用戶的私鑰進(jìn)行加密并分別存儲(chǔ)。

當(dāng)前企業(yè)或事業(yè)單位有時(shí)有數(shù)據(jù)上云的需求，而公有云一般不容易受這些單位信任，被認(rèn)為信息安全可能有問題，或者密鑰容易被黑客所獲得并破解，因此造成了公有云客戶對(duì)數(shù)據(jù)上云有后顧之憂。

現(xiàn)有技術(shù)存在的問題：

(1)在云服務(wù)器上進(jìn)行密鑰存儲(chǔ)有一定的危險(xiǎn)性。公有云客戶對(duì)數(shù)據(jù)上云有后顧之憂。

(2)文件密鑰如果是偽隨機(jī)密鑰，則無(wú)法實(shí)現(xiàn)密鑰的真隨機(jī)性，可能被預(yù)測(cè)，安全性不足。

(3)用戶端加密程序執(zhí)行環(huán)境不夠安全，如有病毒木馬則內(nèi)存中的密鑰可能被監(jiān)控。

發(fā)明內(nèi)容

基于此，有必要針對(duì)上述問題，提供一種基于密鑰池的云存儲(chǔ)安全控制方法和系統(tǒng)。

一種基于密鑰池的云存儲(chǔ)安全控制方法，包括用戶端將利用文件密鑰加密的數(shù)據(jù)文件上傳至服務(wù)器，所述用戶端配置有量子密鑰卡，所述文件密鑰是利用量子密鑰卡所產(chǎn)生的真隨機(jī)數(shù)生成，且用戶端還將所述真隨機(jī)數(shù)上傳至服務(wù)器。

本發(fā)明中所述用戶端量子密鑰卡的描述可見申請(qǐng)?zhí)?01610843210.6的專利文獻(xiàn)。根據(jù)設(shè)計(jì)需要,所述用戶端為移動(dòng)終端或固定終端,當(dāng)用戶端為移動(dòng)終端時(shí)，量子密鑰卡優(yōu)選為量子密鑰SD卡；當(dāng)用戶端為固定終端時(shí)，量子密鑰卡優(yōu)選為量子密鑰USB key或主機(jī)量子密鑰板卡。

文件秘鑰的生成和數(shù)據(jù)文件的加密在量子密鑰卡內(nèi)完成,保證用戶端加密程序執(zhí)行環(huán)境安全，量子密鑰卡內(nèi)的真隨機(jī)數(shù)生成文件秘鑰,保證文件秘鑰的真隨機(jī)性,大大提高文件秘鑰的安全性，同時(shí)量子密鑰卡為獨(dú)立的硬件隔離設(shè)備，被惡意軟件或惡意操作竊取密鑰的可能性大大降低，真隨機(jī)數(shù)上傳至服務(wù)器，而非文件密鑰存儲(chǔ)，解決了密鑰存儲(chǔ)在服務(wù)器上被竊取的危險(xiǎn)性。

可選的,所述文件秘鑰生成方法包括：將真隨機(jī)數(shù)結(jié)合指定的密鑰選擇算法得到指針，利用該指針從所述量子密鑰卡中提取對(duì)應(yīng)的存儲(chǔ)密鑰，該存儲(chǔ)密鑰結(jié)合密鑰生成算法得到所述文件密鑰。

可選的,所述用戶端有一個(gè)或多個(gè)，各用戶端配置的量子密鑰卡中存儲(chǔ)有相同的密鑰池，上傳數(shù)據(jù)文件的用戶端通過己方的密鑰池提取所述存儲(chǔ)密鑰并相應(yīng)生成文件密鑰以加密數(shù)據(jù)文件,下載數(shù)據(jù)文件的用戶端利用來(lái)自服務(wù)器的真隨機(jī)數(shù)結(jié)合己方的密鑰池相應(yīng)生成文件密鑰以解密出數(shù)據(jù)文件。