[发明专利]基于可信第三方代理的云存储数据存储及读取方法

说明书

技术领域

本发明涉及通信领域，具体地，涉及一种基于可信第三方代理的云存储数据存储及读取方法。

背景技术

云存储平台可以三类。一类是公有云存储，例如苹果的icloud、百度网盘、360云盘等等。该类型云存储一般采用采用分布式存储技术，基于价格低廉的存储节点集群来构建，可以为用户提供数据隔离，简单加密认证的访问服务。第二类是私有云存储，主要为各个企业或者研究机构内部自建的云存储系统，该类型云存储主要注重数据私有和安全，由于规模较小，与公有云存储对比，成本较高，安全性较好。还有一类为混合云存储，该类应用主要是针对不同安全级别的数据在企业内网建立云存储，同时部分安全级别较低的数据存储在公有云中，并在内网云存储与共有云之间建立相应的网络连接和接口。

具有价格低廉、方便快捷的云存储服务当前虽然广泛应用，但其安全架构仍然不够健全。同时，云存储平台业务主要用于存储海量的个人或者企业数据，这也导致了云存储平台更容易成为黑客的入侵目标。因此，如何保障云存储中用户数据安全是当前云存储平台迫切需要解决的问题。

数据的安全性包括机密性、完整性和可用性三个方面。针对这三个方面国内外均进行了大量的研究。其中数据加密是一种常用的方法。在完成数据加密后，用户只要保证自己的密钥不泄露，数据不管在云存储还是在本地均无法被获取。

当前通用的云存储数据安全技术包括以下几类。

1)访问控制：访问控制是实现用户数据机密性和进行隐私保护的重要手段之一。当前，各类云存储服务提供商均有简单的访问控制技术，但其安全性主要体现在服务提供商对其服务器集群管控的基础上，对于用户来说就是黑盒访问，无法清晰了解其内部机制。

2)多副本技术：通过在不同的服务器、不同的机架甚至不同机房对数据保存多个副本，来提高数据的可靠性和冗余度。

3)密钥策略：由于云存储服务对用户来说不够透明，用户无法知道自己的数据存在哪里，如何存储。因此用户密钥加密数据是一种消除用户顾虑的一种重要手段，用户管理自己的密钥，可以保证自己数据安全，其他人无法访问。

针对云存储的数据安全问题，采用高效的加密机制是保障数据安全的一种合适选择。当前对于使用最为广泛的RSA、AES加密算法的攻击研究越来越多，如穷尽密钥强力攻击、统计分析攻击、数学分析攻击等等。同时随着云计算、高性能计算机的应用，破解效率有了很大的提升，也造成了使用该类加密算法的安全性进一步降低。

用户在将数据存放到云存储平台时可以先用自己的密钥将数据加密，然后将数据存储到云平台。当用户需要读取数据时，再将加密数据读取到用户自己的运行环境下并用自己的密钥进行解密操作。这可以极大增强用户数据存放在云存储平台的安全性。但存在着两个方面的问题。第一，用户每次都需要自己进行相应的加解密操作才能读取数据，这不符合云存储使用的目的，即随时随地查看自己的数据；第二，在性能上无法满足需求，如果用户数据量较大，用户自己的客户端无法满足加解密的性能要求，效率会变得极其低下。

针对上述问题，现有技术中尚无良好解决方案。

发明内容

本发明的目的是提供一种基于可信第三方代理的云存储数据存储及读取方法，该方法能够在向用户提供数据存储便利性的同时保证数据安全。

为了实现上述目的，本发明提供一种基于可信第三方代理的云存储数据存储方法，该方法包括：可信第三方代理从用户客户端接收文件加密存储请求；响应于所述文件加密存储请求，为所述文件分配标识ID并返回所述用户客户端；从所述用户客户端接收文件数据和SM4密钥；使用所述SM4密钥对所接收的文件数据加密；以及在云存储平台响应于所述用户客户端的数据存储请求验证用户身份之后，所述可信第三方代理将加密的文件数据和所述标识ID发送至所述云存储平台存储。

进一步地，该方法还包括：所述可信第三方代理从所述用户客户端接收基于SM2的数字证书；根据所述数字证书验证用户身份；以及在对所述用户身份验证通过后对所述文件加密存储请求进行响应。

进一步地，所述文件数据为所述用户客户端使用基于SM2的数字证书对所述文件签名之后生成的文件数据。

进一步地，所述对所述文件签名包括：当所述文件小于预定数据量时，对所述文件整体签名；以及当所述文件大于所述预定数据量时，对所述文件中等于所述预订数据量的部分签名。

进一步地，在将加密的文件数据和所述标识ID发送至云存储平台存储之后，该方法还包括：所述可信第三方代理删除从所述用户客户端接收的所述文件数据和所述SM4密钥。