本發(fā)明涉及信息安全領(lǐng)域，并且更具體地，涉及一種基于分級加密的安全云存儲方法和系統(tǒng)。

背景技術(shù)：

云存儲平臺作為云計(jì)算技術(shù)的應(yīng)用方向之一，通過網(wǎng)絡(luò)技術(shù)、集群管理技術(shù)、分布式文件技術(shù)將海量的以及多種類型的存儲設(shè)備集成在一起，為用戶提供實(shí)時在線的海量數(shù)據(jù)存取服務(wù)。近年來，隨著互聯(lián)網(wǎng)技術(shù)和云計(jì)算技術(shù)的快速發(fā)展，云存儲技術(shù)被人們廣泛應(yīng)用。例如，包括百度云、360云盤、金山云以及各種類型的私有云存儲在內(nèi)的各種云存儲平臺被廣泛地使用。

云存儲的存儲對象包含元數(shù)據(jù)和數(shù)據(jù)塊兩部分。元數(shù)據(jù)主要用于維護(hù)云存儲中文件和目錄的信息，包含存儲文件的文件名、目錄名、創(chuàng)建時間、父目錄、文件數(shù)據(jù)塊所在位置等等。數(shù)據(jù)塊為實(shí)際的文件數(shù)據(jù)，例如視頻、圖片、文檔等。云存儲對文件進(jìn)行分塊處理，并將不同的數(shù)據(jù)塊分布式存儲在不同的網(wǎng)絡(luò)節(jié)點(diǎn)。

在云存儲為用戶提供方便快捷服務(wù)的同時，云存儲的安全問題也引起了眾多關(guān)注。例如，在公有云存儲服務(wù)中，2014年蘋果公司的icloud云存儲平臺被黑客攻擊，導(dǎo)致大量用戶數(shù)據(jù)被竊取。2013年韓國云服務(wù)提供商simdisk的云存儲平臺被入侵，導(dǎo)致大量用戶客戶端被黑客控制。而在私有云存儲平臺中也同樣存在著安全問題，2013年多家日本汽車公司的私用云存儲平臺被攻擊，導(dǎo)致包括公司未上市的汽車產(chǎn)品資料和銷售數(shù)據(jù)泄露。其他諸如谷歌，thelinkup等多家著名云服務(wù)提供商都曾出現(xiàn)過各種安全問題，并引起很大的反響。

目前，在云存儲平臺的實(shí)際運(yùn)營中，還無法完全實(shí)現(xiàn)對用戶數(shù)據(jù)的加密存儲。大部分云存儲技術(shù)使用簡單的哈希技術(shù)、文件名混淆亂序技術(shù)等技術(shù)。這類型的技術(shù)沒有對數(shù)據(jù)進(jìn)行真正的加密并且沒有以密文進(jìn)行存儲。對于沒有使用密文存儲的數(shù)據(jù)，云存儲平臺的管理員可以通過服務(wù)端來進(jìn)行查看和刪除。雖然云存儲平臺有嚴(yán)格的權(quán)限分配和管理審查機(jī)制，但是如果出現(xiàn)管理員違反職業(yè)操守的情況，很有可能造成用戶數(shù)據(jù)泄露。同時，黑客也可能從用戶的客戶端入手，通過攻擊用戶的客戶端來獲取用戶的賬號密碼。在這種情況下，用戶在云存儲平臺中存儲的數(shù)據(jù)難以得到安全保障。同時，隨著各種類型云存儲平臺的使用，相應(yīng)的安全問題也越來越多。圖1示出了云存儲平臺的結(jié)構(gòu)示意圖，結(jié)合圖1列舉最常見的幾種問題：

1）數(shù)據(jù)傳輸安全：用戶的客戶端與云存儲平臺之間的數(shù)據(jù)傳輸、云存儲平臺內(nèi)部管理節(jié)點(diǎn)與存儲節(jié)點(diǎn)、用戶的客戶端與內(nèi)部管理節(jié)點(diǎn)以及存儲節(jié)點(diǎn)間的通信都需要有安全機(jī)制保證。

2）數(shù)據(jù)隔離訪問：不同的用戶訪問云存儲平臺并且對數(shù)據(jù)進(jìn)行操作時，需要隔離訪問數(shù)據(jù)，以保證用戶無法訪問和操作其他人的數(shù)據(jù)。

3）用戶身份鑒權(quán)：訪問云存儲平臺的所有用戶（包括管理員）均需要有相應(yīng)的身份驗(yàn)證和管理機(jī)制，所有用戶均需要有標(biāo)識其身份的證書。

4）數(shù)據(jù)存儲安全：保障數(shù)據(jù)在云存儲平臺中存儲的可靠性和保密性。

針對云存儲平臺的數(shù)據(jù)安全問題，采用高效的加密機(jī)制是保障數(shù)據(jù)安全的一種合適選擇。然而，目前對于使用最為廣泛的rsa、aes加密算法的攻擊研究越來越多，如窮盡密鑰強(qiáng)力攻擊、統(tǒng)計(jì)分析攻擊、數(shù)學(xué)分析攻擊等等。同時隨著云計(jì)算和高性能計(jì)算機(jī)的應(yīng)用，破解效率有了很大的提升，也造成了使用該類加密算法的安全性進(jìn)一步降低。

橢圓曲線公鑰密碼算法sm2和分組密碼算法sm4是中國國家密碼管理局公布的商用密碼算法。其中sm2算法是非對稱密碼算法，相對于rsa算法來說，sm2算法可以用更短的密鑰來實(shí)現(xiàn)更高強(qiáng)度的加密，并且加密效率也優(yōu)于rsa算法。sm2算法和rsa算法強(qiáng)度對比如圖2所示，圖2示出了。sm4為對稱密碼算法，它是一個分組對稱密鑰算法，其密鑰長度和分組長度均為128比特，加密算法采用32輪非線性迭代結(jié)構(gòu)，該算法運(yùn)算效率高，在軟硬件上均能快速實(shí)現(xiàn)。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述問題，本發(fā)明提出一種基于分級加密的安全云存儲方法和系統(tǒng)。本發(fā)明方案的關(guān)鍵點(diǎn)在于：1.針對云存儲存儲數(shù)據(jù)的架構(gòu)，提出了一種對云存儲中數(shù)據(jù)的元數(shù)據(jù)和數(shù)據(jù)塊采取不同的加密方式來保障安全性的方法。云存儲系統(tǒng)中每個文件的元數(shù)據(jù)大小都在幾kb以內(nèi)，具體文件內(nèi)容存儲在各個數(shù)據(jù)塊中。因此，我們對于安全級別在中等以上的數(shù)據(jù)采用sm2公鑰來加密元數(shù)據(jù)，保證除了用戶使用自己私鑰外，其他人甚至是云存儲管理員均無法讀取文件的元數(shù)據(jù)。同時，為了防止入侵者暴力讀取數(shù)據(jù)塊中的碎片數(shù)據(jù)，我們對高安全級別的數(shù)據(jù)使用sm4密鑰來加密數(shù)據(jù)塊的數(shù)據(jù)。而對于安全級別在中等和中低級別的數(shù)據(jù)，我們使用sm4密鑰來進(jìn)行加密操作，降低加密強(qiáng)度，也提高了數(shù)據(jù)訪問的快捷性。

2.基于sm2和sm4密碼算法對云存儲數(shù)據(jù)的加密機(jī)制。sm2和sm4算法是我國國家密碼管理局公布的商用密碼算法，安全性和性能優(yōu)于傳統(tǒng)的rsa算法。當(dāng)數(shù)據(jù)最終存儲到云存儲平臺后，對于用戶最為重要的數(shù)據(jù)，元數(shù)據(jù)采用sm2算法完全加密，而分片后的數(shù)據(jù)塊也使用了sm4加密算法，除了擁有密鑰的用戶之外，其他人均無法獲取數(shù)據(jù)的任何信息。而對于中高級數(shù)據(jù)，除了擁有密鑰的用戶之外，其他人均無法獲取數(shù)據(jù)的元數(shù)據(jù)，入侵者最多可能捕獲到數(shù)據(jù)分片的某些數(shù)據(jù)塊，但由于沒有不知道數(shù)據(jù)塊的合成機(jī)制，也無法獲取完整的數(shù)據(jù)。

根據(jù)本發(fā)明的一個方面，提供一種基于分級加密的安全云存儲方法，包括：

接收用戶輸入的數(shù)據(jù)存儲請求；

對所述數(shù)據(jù)存儲請求的有效性進(jìn)行驗(yàn)證；

如果所述數(shù)據(jù)存儲請求有效，則為數(shù)據(jù)存儲請求所涉及的存儲數(shù)據(jù)確定安全級別；

根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理；以及

將經(jīng)過處理的存儲數(shù)據(jù)存儲在云存儲平臺中。

優(yōu)選地，其中在接收用戶輸入的數(shù)據(jù)存儲請求之前，對用戶進(jìn)行身份認(rèn)證。

優(yōu)選地，其中為數(shù)據(jù)存儲請求所涉及的存儲數(shù)據(jù)確定安全級別包括：獲取數(shù)據(jù)存儲請求中包括的與存儲數(shù)據(jù)相關(guān)的安全級別。

優(yōu)選地，其中為數(shù)據(jù)存儲請求所涉及的存儲數(shù)據(jù)確定安全級別包括：根據(jù)自學(xué)習(xí)方式確定與存儲數(shù)據(jù)相關(guān)的安全級別，將所確定的與存儲數(shù)據(jù)相關(guān)的安全級別發(fā)送給用戶，由用戶進(jìn)行確認(rèn)。

優(yōu)選地，其中所述自學(xué)習(xí)方式包括：數(shù)據(jù)語義分析、關(guān)鍵詞分析以及歷史數(shù)據(jù)分析。

優(yōu)選地，其中所述安全級別包括：高安全級別、中高安全級別、中安全級別、中低安全級別或低安全級別。

優(yōu)選地，其中根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是高安全級別時，利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用sm4算法密鑰對數(shù)據(jù)塊進(jìn)行加密。

優(yōu)選地，其中根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是中高安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。

優(yōu)選地，其中根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是中安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的數(shù)據(jù)塊進(jìn)行加密。

優(yōu)選地，其中根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是中低安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。

優(yōu)選地，其中根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是低安全級別時，數(shù)據(jù)分級加密單元不對元數(shù)據(jù)和數(shù)據(jù)塊進(jìn)行加密，使用用戶權(quán)限管理來控制對存儲數(shù)據(jù)的訪問和/或修改。

根據(jù)本發(fā)明的另一方面，提供一種基于分級加密的安全云存儲系統(tǒng)，包括：

用戶接口，接收用戶輸入的數(shù)據(jù)存儲請求；

認(rèn)證單元，對所述數(shù)據(jù)存儲請求的有效性進(jìn)行驗(yàn)證；

安全級別確定單元，如果所述數(shù)據(jù)存儲請求有效，則為數(shù)據(jù)存儲請求所涉及的存儲數(shù)據(jù)確定安全級別，

數(shù)據(jù)分級加密單元，根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理；以及

存儲單元，對經(jīng)過處理的存儲數(shù)據(jù)進(jìn)行存儲。

優(yōu)選地，其中在接收用戶輸入的數(shù)據(jù)存儲請求之前，由認(rèn)證單元對用戶進(jìn)行身份認(rèn)證。

優(yōu)選地，其中安全級別確定單元為數(shù)據(jù)存儲請求所涉及的存儲數(shù)據(jù)確定安全級別包括：獲取數(shù)據(jù)存儲請求中包括的與存儲數(shù)據(jù)相關(guān)的安全級別。

優(yōu)選地，其中安全級別確定單元為數(shù)據(jù)存儲請求所涉及的存儲數(shù)據(jù)確定安全級別包括：根據(jù)自學(xué)習(xí)方式確定與存儲數(shù)據(jù)相關(guān)的安全級別，將所確定的與存儲數(shù)據(jù)相關(guān)的安全級別發(fā)送給用戶，由用戶進(jìn)行確認(rèn)。

優(yōu)選地，其中所述自學(xué)習(xí)方式包括：數(shù)據(jù)語義分析、關(guān)鍵詞分析以及歷史數(shù)據(jù)分析。

優(yōu)選地，其中所述安全級別包括：高安全級別、中高安全級別、中安全級別、中低安全級別或低安全級別。

優(yōu)選地，其中數(shù)據(jù)分級加密單元根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是高安全級別時，利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用sm4算法密鑰對數(shù)據(jù)塊進(jìn)行加密。

優(yōu)選地，其中數(shù)據(jù)分級加密單元根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是中高安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。

優(yōu)選地，其中數(shù)據(jù)分級加密單元根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是中安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的數(shù)據(jù)塊進(jìn)行加密。

優(yōu)選地，其中數(shù)據(jù)分級加密單元根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)存儲數(shù)據(jù)所對應(yīng)的安全級別是中低安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。

優(yōu)選地，其中數(shù)據(jù)分級加密單元根據(jù)所述存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對所述存儲數(shù)據(jù)進(jìn)行處理包括：當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是低安全級別時，數(shù)據(jù)分級加密單元不對元數(shù)據(jù)和數(shù)據(jù)塊進(jìn)行加密，使用用戶權(quán)限管理來控制對存儲數(shù)據(jù)的訪問和/或修改。

云存儲在為用戶提供方便快捷的數(shù)據(jù)存儲服務(wù)的同時，也讓用戶失去對數(shù)據(jù)的完全控制權(quán)。用戶將數(shù)據(jù)存到云端后，數(shù)據(jù)的安全性具有一定的不可控性。基于中國國家密碼管理局算法分級加密的云存儲技術(shù)通過對海量的云存儲數(shù)據(jù)進(jìn)行安全等級評定，并且引入sm2和sm4算法對不同安全級別的數(shù)據(jù)采用不同的混合加密算法。在不降低用戶使用云存儲便捷性的前提下，本發(fā)明的技術(shù)方案中除了擁有密鑰的用戶外，其他人均無法獲取用戶數(shù)據(jù)的任何信息。本發(fā)明的技術(shù)方案實(shí)現(xiàn)了數(shù)據(jù)在云存儲平臺的整個生命周期內(nèi)，云存儲服務(wù)提供商均無法獲取任何數(shù)據(jù)信息，有效地包含了云存儲用戶的數(shù)據(jù)安全，具有較好的應(yīng)用前景。

附圖說明

通過參考下面的附圖，可以更為完整地理解本發(fā)明的示例性實(shí)施方式：

圖1示出了云存儲平臺100的結(jié)構(gòu)示意圖；

圖2示出了sm2算法與rsa算法的性能比較示意圖；

圖3示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的安全云存儲方法300的流程圖；

圖4示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的數(shù)據(jù)分級加密方法的示意圖；以及

圖5示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的安全云存儲系統(tǒng)500的結(jié)構(gòu)示意圖。

具體實(shí)施方式

現(xiàn)在參考附圖介紹本發(fā)明的示例性實(shí)施方式，然而，本發(fā)明可以用許多不同的形式來實(shí)施，并且不局限于此處描述的實(shí)施例，提供這些實(shí)施例是為了詳盡地且完全地公開本發(fā)明，并且向所屬技術(shù)領(lǐng)域的技術(shù)人員充分傳達(dá)本發(fā)明的范圍。對于表示在附圖中的示例性實(shí)施方式中的術(shù)語并不是對本發(fā)明的限定。在附圖中，相同的單元/元件使用相同的附圖標(biāo)記。

除非另有說明，此處使用的術(shù)語（包括科技術(shù)語）對所屬技術(shù)領(lǐng)域的技術(shù)人員具有通常的理解含義。另外，可以理解的是，以通常使用的詞典限定的術(shù)語，應(yīng)當(dāng)被理解為與其相關(guān)領(lǐng)域的語境具有一致的含義，而不應(yīng)該被理解為理想化的或過于正式的意義。

本發(fā)明的基于分級加密的安全云存儲方案主要針對云存儲中的數(shù)據(jù)安全問題，基于云存儲的數(shù)據(jù)儲存架構(gòu)并結(jié)合中國國家密碼管理局的sm2和sm4密碼算法，對云存儲的數(shù)據(jù)采用數(shù)據(jù)分級加密的方法進(jìn)行加密。這種方法涉及數(shù)據(jù)安全級別定義，數(shù)據(jù)分級加密存儲和數(shù)據(jù)存取。

圖3示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的安全云存儲方法的流程圖。如圖3所示，安全云存儲方法從步驟301處開始。在步驟301，接收用戶輸入的數(shù)據(jù)存儲請求。優(yōu)選地，用戶可以通過云存儲平臺的用戶接口來輸入數(shù)據(jù)存儲請求。數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)可以是各種類型的數(shù)據(jù)，例如，視頻、音頻、圖像、文本等各種類型的數(shù)據(jù)。

優(yōu)選地，在步驟302，云存儲平臺的認(rèn)證單元對用戶數(shù)據(jù)存儲請求的有效性進(jìn)行驗(yàn)證。優(yōu)選地，認(rèn)證單元可以對用戶的身份進(jìn)行認(rèn)證。例如，輸入數(shù)據(jù)存儲請求的用戶是否具有存儲權(quán)限。當(dāng)用戶不具有存儲權(quán)限時，拒絕用戶的存儲請求。此外，認(rèn)證單元還對數(shù)據(jù)存儲請求進(jìn)行認(rèn)證。優(yōu)選地，數(shù)據(jù)存儲請求包括用戶請求存儲數(shù)據(jù)的類型、存儲數(shù)據(jù)的大小、存儲數(shù)據(jù)的數(shù)量等各種內(nèi)容。例如，當(dāng)用戶請求存儲數(shù)據(jù)的類型是不符合規(guī)定的類型時，拒絕用戶的存儲請求；當(dāng)用戶請求存儲數(shù)據(jù)的大小超過云存儲平臺的設(shè)定值時，拒絕用戶的存儲請求；以及當(dāng)用戶請求存儲數(shù)據(jù)的數(shù)量超過云存儲平臺的設(shè)定值時，拒絕用戶的存儲請求。

優(yōu)選地，當(dāng)云存儲平臺的認(rèn)證單元對用戶數(shù)據(jù)存儲請求的有效性進(jìn)行驗(yàn)證后確定用戶數(shù)據(jù)存儲請求有效時，進(jìn)行步驟303，否則方法結(jié)束，并且向用戶提示數(shù)據(jù)存儲請求無效及無效原因。在步驟303，數(shù)據(jù)分級加密單元確定用戶是否為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定了安全級別。優(yōu)選地，云存儲平臺會為用戶存儲的數(shù)據(jù)劃分安全級別，并且根據(jù)安全級別來確定數(shù)據(jù)的加密方式。本發(fā)明以五個安全級別作為實(shí)例進(jìn)行說明，應(yīng)當(dāng)了解的是，安全級別的數(shù)量可以是任意合理的數(shù)值。本發(fā)明的五個安全級別為高安全級別、中高安全級別、中安全級別、中低安全級別和低安全級別。云存儲平臺會根據(jù)用戶存儲的數(shù)據(jù)所對應(yīng)的安全級別確定數(shù)據(jù)的加密方式，詳細(xì)方式將在下面介紹。在步驟303，當(dāng)確定用戶為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定了安全級別時，方法進(jìn)行到步驟304，否則進(jìn)行步驟307。

在步驟304，數(shù)據(jù)分級加密單元根據(jù)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對用戶存儲數(shù)據(jù)進(jìn)行處理。其中用戶存儲數(shù)據(jù)包括元數(shù)據(jù)和數(shù)據(jù)塊。圖4示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的數(shù)據(jù)分級加密的示意圖。如圖4所示，數(shù)據(jù)分級加密單元確定用戶存儲數(shù)據(jù)所對應(yīng)的安全級別，例如高安全級別、中高安全級別、中安全級別、中低安全級別和低安全級別。數(shù)據(jù)分級加密單元根據(jù)安全級別選擇加密方式，根據(jù)所選擇的加密方式對用戶存儲數(shù)據(jù)進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是高安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用sm4算法密鑰對數(shù)據(jù)塊進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是中高安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是中安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的數(shù)據(jù)塊進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是中低安全級別時，數(shù)據(jù)分級加密單元利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是低安全級別時，數(shù)據(jù)分級加密單元不對元數(shù)據(jù)和數(shù)據(jù)塊進(jìn)行加密。安全級別是低安全級別的情況下，僅使用用戶權(quán)限來控制對數(shù)據(jù)的訪問、修改和刪除。

優(yōu)選地，在步驟305，在數(shù)據(jù)分級加密單元對用戶存儲數(shù)據(jù)進(jìn)行處理后，將加密/未加密的數(shù)據(jù)存儲到云存儲平臺中。

優(yōu)選地，當(dāng)在步驟303確定用戶沒有為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定安全級別時，方法進(jìn)行到步驟307。優(yōu)選地，在步驟307，分級加密自學(xué)習(xí)單元確定用戶的數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)的安全級別。其中，分級加密自學(xué)習(xí)單元通過學(xué)習(xí)用戶對數(shù)據(jù)的語義分析方式、通過預(yù)先定義的關(guān)鍵詞判定數(shù)據(jù)的安全級別等多種自學(xué)習(xí)方式來對用戶數(shù)據(jù)的安全等級提出分級建議并反饋給用戶。如果用戶在提交數(shù)據(jù)存儲請求時沒有對數(shù)據(jù)確定安全級別，則數(shù)據(jù)分級自學(xué)習(xí)單元可以根據(jù)關(guān)鍵詞來定義個相應(yīng)的安全等級，并將該建議反饋給用戶，由用戶決定數(shù)據(jù)最終的安全等級。此外，數(shù)據(jù)分級自學(xué)習(xí)模塊中引入數(shù)據(jù)格式解析、內(nèi)容分類、自然語言處理等方法來對數(shù)據(jù)進(jìn)行合理的分類。

優(yōu)選地，分級加密自學(xué)習(xí)單元可以通過對用戶針對之前存儲數(shù)據(jù)確定的安全級別進(jìn)行分析，從而提出分級建議。例如，對用戶在云存儲平臺存儲數(shù)據(jù)進(jìn)行統(tǒng)計(jì)時，發(fā)現(xiàn)用戶確定的安全級別為高安全級別10次、中高安全級別2次、并且其余安全級別次數(shù)為0，則分級加密自學(xué)習(xí)單元對用戶數(shù)據(jù)的安全等級提出的分級建議是高安全級別，并且將分級建議是高安全級別反饋給用戶，以等待用戶確認(rèn)。

優(yōu)選地，分級加密自學(xué)習(xí)單元可以通過對用戶存儲數(shù)據(jù)請求中涉及的關(guān)鍵詞進(jìn)行分析，從而提出分級建議。例如，分級加密自學(xué)習(xí)單元可以將規(guī)劃、報告、合同、草案、備份等設(shè)置為高安全級別，或者將休閑、無關(guān)、回收站等設(shè)置為低安全級別。

優(yōu)選地，在步驟308，用戶可以根據(jù)分級建議確定安全級別。云存儲平臺通過用戶接口向用戶顯示分級加密自學(xué)習(xí)單元所確定的安全級別，由用戶進(jìn)行選擇。當(dāng)用戶確定了安全級別后，方法進(jìn)行到步驟304。

圖5示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的安全云存儲系統(tǒng)500的結(jié)構(gòu)示意圖。如圖5所示，安全云存儲系統(tǒng)500包括：用戶接口501、認(rèn)證單元502、安全級別確定單元503、數(shù)據(jù)分級加密單元54和存儲單元505。安全云存儲系統(tǒng)500對用戶進(jìn)行身份認(rèn)證，認(rèn)證通過后，用戶提交數(shù)據(jù)存儲請求?；蛘撸踩拼鎯ο到y(tǒng)500在用戶提交數(shù)據(jù)存儲請求時對用戶進(jìn)行身份認(rèn)證。系統(tǒng)500可以對數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)進(jìn)行認(rèn)證，如果通過認(rèn)證則進(jìn)行隨后的處理。系統(tǒng)500驗(yàn)證用戶是否對請求存儲的數(shù)據(jù)進(jìn)行了安全級別指定。如果沒有指定安全級別，系統(tǒng)500使用數(shù)據(jù)分級自學(xué)習(xí)單元對數(shù)據(jù)安全級別進(jìn)行分析并確定建議的安全級別。系統(tǒng)500將建議的安全級別反饋給用戶，由用戶來安全級別。確認(rèn)數(shù)據(jù)的安全級別后使用數(shù)據(jù)分級加密單元根據(jù)數(shù)據(jù)的安全級別來對數(shù)據(jù)加密，并將加密數(shù)據(jù)最終存儲到云存儲中，完成一次數(shù)據(jù)安全存儲過程。

優(yōu)選地，用戶接口501用于接收用戶輸入的數(shù)據(jù)存儲請求以及向用戶顯示由系統(tǒng)建議的安全級別。優(yōu)選地，用戶可以使用用戶接口501來輸入數(shù)據(jù)存儲請求。數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)可以是各種類型的數(shù)據(jù)，例如，視頻、音頻、圖像、文本等各種類型的數(shù)據(jù)。優(yōu)選地，系統(tǒng)500可以通過用戶接口501向用戶顯示建議的安全級別，并且用戶可以在用戶接口501中從建議的安全級別選擇安全級別。

優(yōu)選地，認(rèn)證單元502對用戶數(shù)據(jù)存儲請求的有效性進(jìn)行驗(yàn)證。優(yōu)選地，認(rèn)證單元502可以對用戶的身份進(jìn)行認(rèn)證。例如，輸入數(shù)據(jù)存儲請求的用戶是否具有存儲權(quán)限。當(dāng)用戶不具有存儲權(quán)限時，拒絕用戶的存儲請求。此外，認(rèn)證單元502還對數(shù)據(jù)存儲請求進(jìn)行認(rèn)證。優(yōu)選地，數(shù)據(jù)存儲請求包括用戶請求存儲數(shù)據(jù)的類型、存儲數(shù)據(jù)的大小、存儲數(shù)據(jù)的數(shù)量等各種內(nèi)容。例如，當(dāng)用戶請求存儲數(shù)據(jù)的類型是不符合規(guī)定的類型時，拒絕用戶的存儲請求；當(dāng)用戶請求存儲數(shù)據(jù)的大小超過云存儲平臺的設(shè)定值時，拒絕用戶的存儲請求；以及當(dāng)用戶請求存儲數(shù)據(jù)的數(shù)量超過云存儲平臺的設(shè)定值時，拒絕用戶的存儲請求。

優(yōu)選地，認(rèn)證單元502可以在用戶輸入數(shù)據(jù)存儲請求前對用戶進(jìn)行身份認(rèn)證，認(rèn)證通過后，用戶提交數(shù)據(jù)存儲請求。然后，認(rèn)證單元502可以對數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)進(jìn)行認(rèn)證，如果通過認(rèn)證則進(jìn)行隨后的處理。當(dāng)認(rèn)證失敗時，向用戶提示數(shù)據(jù)存儲請求無效及無效原因。

優(yōu)選地，安全級別確定單元503確定用戶是否為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定了安全級別。當(dāng)認(rèn)證單元502對用戶數(shù)據(jù)存儲請求的有效性進(jìn)行驗(yàn)證后，確定用戶數(shù)據(jù)存儲請求有效時，由安全級別確定單元503確定用戶是否為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定了安全級別。優(yōu)選地，云存儲系統(tǒng)500會為用戶存儲的數(shù)據(jù)劃分安全級別，并且根據(jù)安全級別來確定數(shù)據(jù)的加密方式。本發(fā)明以五個安全級別作為實(shí)例進(jìn)行說明，應(yīng)當(dāng)了解的是，安全級別的數(shù)量可以是任意合理的數(shù)值。本發(fā)明的五個安全級別為高安全級別、中高安全級別、中安全級別、中低安全級別和低安全級別。云存儲平臺會根據(jù)用戶存儲的數(shù)據(jù)所對應(yīng)的安全級別確定數(shù)據(jù)的加密方式。

優(yōu)選地，當(dāng)安全級別確定單元503當(dāng)確定用戶為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定了安全級別時，數(shù)據(jù)分級加密單元504根據(jù)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別確定加密方式，根據(jù)所確定的加密方式對用戶存儲數(shù)據(jù)進(jìn)行加密。其中用戶存儲數(shù)據(jù)包括元數(shù)據(jù)和數(shù)據(jù)塊。圖4示出了根據(jù)本發(fā)明優(yōu)選實(shí)施方式的數(shù)據(jù)分級加密的示意圖。如圖4所示，數(shù)據(jù)分級加密單元504確定用戶存儲數(shù)據(jù)所對應(yīng)的安全級別，例如高安全級別、中高安全級別、中安全級別、中低安全級別和低安全級別。數(shù)據(jù)分級加密單元504根據(jù)安全級別選擇加密方式，根據(jù)所選擇的加密方式對用戶存儲數(shù)據(jù)進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是高安全級別時，數(shù)據(jù)分級加密單元504利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用sm4算法密鑰對數(shù)據(jù)塊進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是中高安全級別時，數(shù)據(jù)分級加密單元504利用用戶的sm2算法公鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是中安全級別時，數(shù)據(jù)分級加密單元504利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密并且利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的數(shù)據(jù)塊進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是中低安全級別時，數(shù)據(jù)分級加密單元504利用用戶的sm4算法密鑰對用戶數(shù)據(jù)的元數(shù)據(jù)進(jìn)行加密。當(dāng)用戶存儲數(shù)據(jù)所對應(yīng)的安全級別是低安全級別時，數(shù)據(jù)分級加密單元504不對元數(shù)據(jù)和數(shù)據(jù)塊進(jìn)行加密。安全級別是低安全級別的情況下，僅使用用戶權(quán)限來控制對數(shù)據(jù)的訪問、修改和刪除。

優(yōu)選地，當(dāng)確定用戶沒有為數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)確定安全級別時，安全級別確定單元503確定用戶的數(shù)據(jù)存儲請求所涉及的數(shù)據(jù)的安全級別。其中，安全級別確定單元503通過學(xué)習(xí)用戶對數(shù)據(jù)的分析方式、通過預(yù)先定義的關(guān)鍵詞判定數(shù)據(jù)的安全級別等多種方式來對用戶數(shù)據(jù)的安全等級提出分級建議并反饋給用戶。如果用戶在提交數(shù)據(jù)存儲請求時沒有對數(shù)據(jù)確定安全級別，則安全級別確定單元503可以根據(jù)關(guān)鍵詞來定義個相應(yīng)的安全等級，并將該建議反饋給用戶，由用戶決定數(shù)據(jù)最終的安全等級。此外，數(shù)據(jù)分級自學(xué)習(xí)模塊中引入數(shù)據(jù)格式解析、內(nèi)容分類、自然語言處理等方法來對數(shù)據(jù)進(jìn)行合理的分類。

優(yōu)選地，安全級別確定單元503可以通過對用戶針對之前存儲數(shù)據(jù)確定的加密級別進(jìn)行分析，從而提出分級建議。例如，對用戶在云存儲平臺存儲數(shù)據(jù)進(jìn)行統(tǒng)計(jì)時，發(fā)現(xiàn)用戶確定的安全級別為高安全級別10次、中高安全級別2次、并且其余安全級別次數(shù)為0，則分級加密自學(xué)習(xí)單元對用戶數(shù)據(jù)的安全等級提出的分級建議是高安全級別，并且將分級建議是高安全級別反饋給用戶，以等待用戶確認(rèn)。

優(yōu)選地，安全級別確定單元503可以通過對用戶存儲數(shù)據(jù)請求中涉及的關(guān)鍵詞進(jìn)行分析，從而提出分級建議。例如，分級加密自學(xué)習(xí)單元可以將規(guī)劃、報告、合同、草案、備份等設(shè)置為高安全級別，或者將休閑、無關(guān)、回收站等設(shè)置為低安全級別。

優(yōu)選地，存儲單元505，用于對數(shù)據(jù)分級加密單元處理后的存儲數(shù)據(jù)進(jìn)行存儲。優(yōu)選地，存儲單元505可以分布在各個不同網(wǎng)絡(luò)節(jié)點(diǎn)上。并且存儲單元505的存儲介質(zhì)和存取速度可以是不相同的。

已經(jīng)通過參考少量實(shí)施方式描述了本發(fā)明。然而，本領(lǐng)域技術(shù)人員所公知的，正如附帶的專利權(quán)利要求所限定的，除了本發(fā)明以上公開的其他的實(shí)施例等同地落在本發(fā)明的范圍內(nèi)。

通常地，在權(quán)利要求中使用的所有術(shù)語都根據(jù)他們在技術(shù)領(lǐng)域的通常含義被解釋，除非在其中被另外明確地定義。所有的參考“一個/所述/該[裝置、組件等]”都被開放地解釋為所述裝置、組件等中的至少一個實(shí)例，除非另外明確地說明。這里公開的任何方法的步驟都沒必要以公開的準(zhǔn)確的順序運(yùn)行，除非明確地說明。