[发明专利]一种存储方法、服务器和客户端

说明书

技术领域

本发明涉及云存储技术，特别涉及一种存储方法、服务器和客户端。

背景技术

云存储已经越来越成为一种趋势，所谓云存储是指通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。

对于云存储服务提供商而言，为了优化存储空间的使用，当海量用户上传海量数据时，通过事实上不接受相同文件的上传。比如甲已经存储了B文件，要是乙存储的文件在上传扫描的过程中若被发现也是B文件，则事实上不会被上传，而是简单的将已有的那份B文件加入到乙的账户内。

在现有技术中，为了保证将相同的文件加入到另一个用户的账户后，另一个用户也能正常访问，通用的做法是：用对称密钥加密文件，将该密钥长期存储在服务器中；如果用非对称密钥加密，那服务商必然也需要知道私钥，否则其无法将数据文件的访问权限增加给另一个用户。即，由于云存储服务商需要将文件访问权限授权给另一个用户（具有相同文档的用户），服务商必需都有能力识别该文件（识别该文件的明文，或拥有该文件的解密密钥），这样在技术层面上，服务商（内部员工）实际上可以获取用户存储的明文的，约束服务商的只有道德了。比如目前声称存储安全的Dropbox，其员工就可以看到用户存储的文件内容（即使是加密存储，因为需要提供给另一个用户，实际上，服务商了解加密规则以及解密密钥）。

为此，需要一种新的技术，既可以避免相同文档的重复存储，又要保证任意其他用户包括云存储服务商都无法访问到明文数据。

发明内容

有鉴于此，本发明的主要目的在于提供一种存储方法、服务器和客户端，既可以避免相同数据文件的重复存储，又要保证任意其他用户包括云存储服务商都无法访问到明文数据。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种存储方法，其中，用户A具有加密密钥ekA以及相应的解密密钥dkA，当存储用户A的数据X时，该存储方法包括：

利用存储加密密钥ekS对数据文件X进行加密，获得密文数据Y；利用ekA加密与ekS对应的解密密钥dkS，获得用户A的个人密钥kA；

利用与X相关的加密密钥ekX加密dkS，获得X的数据密钥kX；

存储Y、kA以及kX；

其中，当具有加密密钥ekB以及相应的解密密钥dkB的用户B期望再一次存储数据X时，该方法进一步包括：

基于X计算与ekX对应的解密密钥dkX；利用dkX解密kX获得dkS；

利用ekB加密dkS获取用户B的个人密钥kB；

存储kB。

一种存储服务器，包括：

第一加密模块，用于利用存储密钥对数据文件进行加密；以及利用两种不同加密方式对存储密钥进行加密形成个人密钥和数据密钥；其中，以数据文件所属用户的密钥为解密密钥对个人密钥进行解密后可以获得存储密钥；以加密前的数据文件为解密密钥对数据密钥进行解密后可以获得存储密钥；

存储模块，用于存储加密后的数据文件、个人密钥和数据密钥；

密钥授权模块，用于在判断模块判断的结果为是时，利用该数据文件对数据密钥进行解密获得存储密钥，再利用用户的密钥对该存储密钥进行加密形成所述用户的个人密钥；

删除模块，用于删除明文数据文件以及存储密钥。

一种存储客户端，包括：

第一模块，用于利用存储加密密钥ekS对数据文件X进行加密，获得密文数据Y；

第二模块，用于利用用户A的加密密钥ekA加密与ekS对应的解密密钥dkS，获得用户A的个人密钥kA；以及利用与X相关的加密密钥ekX加密dkS，获得X的数据密钥kX；

第三模块，用于将Y、kA以及kX发送到服务器端存储;

该客户端进一步包括：

第四模块，用于当具有加密密钥ekB以及相应的解密密钥dkB的用户B期望再一次存储数据X时，基于X计算与ekX对应的解密密钥dkX；利用dkX解密kX获得dkS；利用ekB加密dkS获取用户B的个人密钥kB；

第五模块，用于将kB发送到服务器存储。