本發明公開了一種基于私有云的物聯網數據安全存儲系統。該系統包括：設置在服務器上的物聯網鑒權系統、私有云盒和設置在客戶端的數據存取應用系統；物聯網鑒權系統，用于生成多種會話密鑰、客戶端密鑰和文件體密鑰；用于建立客戶端和私有云盒的綁定關系；還用于管理客戶端用戶權限；私有云盒，用于對客戶端發送的文件經解密后使用預存密鑰加密存儲；用于使用預存密鑰對存儲文件解密后再使用客戶端密鑰加密,并發送至客戶端；數據存取應用系統，用于向物聯網鑒權系統申請與私有云盒的綁定；并申請獲得多種會話密鑰、客戶端密鑰和文件體密鑰；用于將加密后的文件發送至私有云盒存儲；還用于接收私有云盒發送的文件并解密處理得到該文件。

技術領域

本發明涉及物聯網數據安全存儲技術領域，具體涉及一種基于私有云的物聯網數據安全存儲系統。

背景技術

現有技術一般是基于公有云的物聯網數據安全存儲，即將數據部署在某個統一的公有云內。如圖1所示，設備都通過公共網絡將數據存儲再與公有云數據中心，以及公有云服務進行交互。在數據傳輸加密方面，如圖2所示：上傳數據時，先使用隨機數發生器產生隨機數R，云服務器根據隨機數R生成加密密鑰kp，加密模塊使用秘鑰把數據進行加密，并將加密后的數據、以及密鑰kp由RSA公鑰加密，數據存儲模塊將加密后的數據按不同的通信協議標準進行分類，存入云端數據存儲設備中。在需要此數據時，再使用私鑰解密。現有技術的公有云物聯網數據安全存儲系統組成如圖3所示。

在加密領域有對稱加密和非對稱加密。以下對非對稱加密算法進行解釋。

非對稱加密算法需要兩個密鑰：公開密鑰（publickey:簡稱公鑰）和私有密鑰（privatekey：簡稱私鑰）。公鑰與私鑰是一對，如果用公鑰對數據進行加密，只有用對應的私鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫作非對稱加密算法。 非對稱加密算法實現機密信息交換的基本過程是：甲方生成一對密鑰并將公鑰公開，需要向甲方發送信息的其他角色(乙方)使用該密鑰(甲方的公鑰)對機密信息進行加密后再發送給甲方；甲方再用自己私鑰對加密后的信息進行解密。甲方想要回復乙方時正好相反，使用乙方的公鑰對數據進行加密，同理，乙方使用自己的私鑰來進行解密。

另一方面，甲方可以使用自己的私鑰對機密信息進行簽名后再發送給乙方；乙方再用甲方的公鑰對甲方發送回來的數據進行驗簽。甲方只能用其私鑰解密由其公鑰加密后的任何信息。 非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要。

非對稱密碼體制的特點：算法強度復雜、安全性依賴于算法與密鑰但是由于其算法復雜，而使得加密解密速度沒有對稱加密解密的速度快。對稱密碼體制中只有一種密鑰，并且是非公開的，如果要解密就得讓對方知道密鑰。所以保證其安全性就是保證密鑰的安全，而非對稱密鑰體制有兩種密鑰，其中一個是公開的，這樣就可以不需要像對稱密碼那樣傳輸對方的密鑰了。這樣安全性就大了很多。

現有技術數據統一保存在公有服務器，存在以下問題：

1、業務受到公有云服務器帶寬影響,如果大量視頻或者監控類型數據同時通過公共網絡，必然更容易造成數據阻塞；

2、公有服務器對于用戶隱私的安全性和私密性的保護等級參差不齊，公有服務器難免出現安全漏洞，甚至還有存在服務提供商有未經用戶授權濫用用戶數據的可能，對用戶個人數據安全帶來了風險。

針對帶寬問題，公有云服務器的流量全部都需要走服務器下行流量，帶寬太大會造成大量數據傳輸流量費用，所以只能限制帶寬流出來解決。

針對隱私安全問題，現有技術是將數據加密后統一保存在云服務器，云服務器擁有所有用戶的存儲數據，雖然用戶之間數據難以互相獲取到，但是云服務器本身卻可以查看到所有人的數據。如果云服務器被攻破，或者被云服務器內部員工泄露，那么所有的用戶數據將被全部泄露，目前用戶隱私泄露的案例不在少數了。所以基于云服務器的物聯網數據安全存儲沒法做到對用戶實質性的隱私保證。

發明內容