移動智能終端數(shù)據(jù)防泄漏安全存儲、備份方法
【技術領域】
[0001]本發(fā)明屬于計算機信息安全技術領域�,尤其涉及一種移動智能終端數(shù)據(jù)防泄漏安全存儲���、備份方法�。
【背景技術】
[0002]隨著移動互聯(lián)網(wǎng)的發(fā)展����,越來越多的人利用移動智能終端進行移動辦公、移動支付����、實時通訊等,在其上存儲了大量的有用數(shù)據(jù)����,這些數(shù)據(jù)涉及許多個人隱私。雖然�����,移動智能終端設備計算能力在提升,但是移動智能終端的存儲能力是有限的�,隨著存儲數(shù)據(jù)量的不斷增加,終端的存儲容量成為瓶頸����。因此,將移動智能終端數(shù)據(jù)存儲到云服務器是一個必然的趨勢��,但是如何保證數(shù)據(jù)的安全性是一個迫切需要解決的問題���。
[0003]目前針對移動智能終端數(shù)據(jù)安全傳輸保護還相對比較薄弱�,通常都沒有對上傳的數(shù)據(jù)進行任何處理�����,容易造成數(shù)據(jù)泄漏�。因此,如何保證移動智能終端數(shù)據(jù)在傳輸��、存儲過程中的安全��、防泄漏是當前需要迫切解決的技術問題���。透明加/解密技術是一種不需要用戶參與的加/解密技術����,為解決把移動智能終端大量的用戶數(shù)據(jù)安全地存儲到云服務器上、并且又可以隨時隨地安全地訪問這一問題提供了技術支持���。
【發(fā)明內(nèi)容】
[0004]針對上述問題���,本發(fā)明提供了一種移動智能終端數(shù)據(jù)防泄漏安全存儲、備份方法��。
[0005]本發(fā)明的技術方案如下:
[0006]一種移動智能終端數(shù)據(jù)防泄漏安全存儲�����、備份方法��,首先����,移動智能終端通過將用戶的MEI碼和PIN碼����、以及移動智能終端設備的特征碼通過加密以密文的形式發(fā)送給云服務器端進行注冊;對于已經(jīng)注冊的用戶只有通過移動智能終端與云服務器端之間的雙向認證后��,用戶才能登錄云服務器端并獲得相關操作權限;移動智能終端將在本地通過內(nèi)核驅動程序對文件的內(nèi)容進行透明加密���,生成密文���,然后,移動智能終端再上傳密文到云服務器端進行存儲����、備份;在從云服務器端下載密文到移動智能終端時���,當密文下載到移動智能終端本地后�,移動智能終端將對密文文件進行透明解密��,得到明文���;即���,移動智能終端的數(shù)據(jù)除了在移動智能終端本地是以明文的形式存在以外,在其它任何地方都是以密文形式存在的����。
[0007]可以概括為以下三個方面內(nèi)容:
[0008]雙向身份認證�����,用于對接入云服務器端的移動智能終端用戶的身份進行認證�,并實現(xiàn)移動智能終端和云服務器端之間的雙向身份認證�����;
[0009]所述傳輸���,用于移動智能終端用戶對文件的上傳和下載���;
[0010]所述透明加/解密���,用于移動智能終端用戶對所上傳的文件之內(nèi)容進行透明加密��,以及對下載到移動智能終端本地的密文進行透明解密����。
[0011]所述雙向身份認證包括運行在移動智能終端的身份認證與運行在服務器端的身份認證�;
[0012]所述運行在移動智能終端的身份認證包括用戶注冊、身份認證��、用戶注銷;其中用戶身份認證包括服務器認證用戶和用戶認證服務器�;
[0013]用戶注冊:在用戶首次使用時自動獲取移動智能終端的IMEI碼、自動生成用戶的PIN碼�����、初始化身份認證動態(tài)因子����,并將上述信息保存在本地;然后進一步將上述信息封裝為用戶注冊信息��,使用SM4算法默認的密鑰通過調用透明加密程序加密用戶注冊信息�����,然后發(fā)往云端的身份認證服務器進行用戶注冊�;
[0014]服務器認證用戶:在訪問云存儲系統(tǒng)時移動智能終端自動進行身份認證,包括從本地讀取MEI碼��、PIN碼�����、上次登錄時間����,使用HMACSM3算法生成本次登錄的終端動態(tài)特征�����,并將動態(tài)特征封裝為身份認證請求信息�����;隨后獲取當前系統(tǒng)時間����,根據(jù)系統(tǒng)時間生成SM4算法的加密密鑰�����,用該加密密鑰對請求認證信息進行透明加密操作后發(fā)往云端身份認證服務器進行認證�����;
[0015]用戶認證服務器:移動智能終端解密服務器端返回的對應信息并解封裝��,獲得服務器端的特征���;另一方面�����,通過本地計算獲得服務器端的動態(tài)特征���;然后把所獲得服務器端的特征與服務器端的動態(tài)特征進行比較,若二者相同�,則成功地認證了服務器身份;
[0016]用戶注銷:一旦移動智能終端用戶在云端的操作完成����,移動智能終端系統(tǒng)通過讀取本地保存的用戶注冊信息,將其封裝為用戶注銷請求后進行加密���,并把加密后的密文發(fā)往云端認證服務器請求注銷���;
[0017]所述運行在服務器端的身份認證,包括用戶注冊請求響應��、用戶身份認證請求響應�����、用戶注銷請求響應���;其中用戶身份認證請求響應包括用戶認證請求響應和用戶認證服務器請求響應�����;
[0018]用戶注冊請求響應:服務器端收到用戶請求后查詢用戶信息���,若用戶信息不存在�,則用默認SM4密鑰解密此用戶信息��,并對封裝的用戶信息進行解封裝����,檢查各個注冊信息是否符合要求,若符合要求則保存用戶信息�����,并返回注冊成功消息�����,否則返回注冊失敗消息;
[0019]用戶認證請求響應:服務器收到用戶請求后查詢用戶信息��,并生成SM4解密密鑰透明解密用戶請求信息�,同時使用用戶的MEI碼、PIN碼���、上次登錄時間生成用戶本次登錄的動態(tài)特征����;若生成的動態(tài)特征與收到的動態(tài)特征相同�,則服務器對移動智能終端的認證成功,并保存成功認證標識符����;服務器生成本次登錄的有關服務器的動態(tài)特征,進一步使用SM4算法經(jīng)過透明加密后返回給移動智能終端�;
[0020]用戶認證服務器請求響應:服務器端收到用戶請求后,查詢用戶信息并根據(jù)此信息生成SM4解密密鑰透明解密收到的用戶請求信息���,同時查詢用戶認證響應部分�����,檢查服務器對移動智能終端是否認證成功�,若成功且解密終端請求信息成功��,則整個“移動智能終端與云服務器端”之間的雙向身份認證完成;
[0021]用戶注銷請求響應:收到用戶注銷請求后查詢用戶信息并生成SM4解密密鑰透明解密此用戶注銷請求信息����,并把查詢得到的用戶信息與解密后的用戶信息二者進行比較,若相同��,則將該用戶登錄狀態(tài)更改為未登錄�����。
[0022]所述傳輸包括上傳與下載:所述上傳主要完成將用戶選擇的文件以指定的格式上傳到云服務器端��;所述下載主要完成從云服務器端下載密文并保存到本地移動智能終端����。
[0023]所述透明加/解密的具體方式為:移動智能終端與云服務器端進行雙向身份認證成功后,移動用戶即可獲得云服務器端的相關操作權限���;若用戶選擇文件上傳操作�����,移動智能終端便會根據(jù)移動設備的設備特征碼頂EI與文件的MD5值通過哈希函數(shù)生成相應的加密密鑰��;同時根據(jù)當前時間生成隨機數(shù)并與文件的MD5值進行相關運算�,將得到的結果作為當前上傳文件的密鑰索引保存到移動智能終端;根據(jù)得到的加密密鑰用SM4算法通過透明加密程序對上傳的文件進行加密���,將得到的密文和密鑰索引用指定的格式上傳至云服務器端。若用戶選擇文件下載操作��,在將選擇的密文下載到移動智能終端后�,通過提取出對應該文件以前保存的密鑰索引,并根據(jù)該密鑰索引得到存儲于移動智能終端上的文件解密密鑰����,最后通過透明解密程序對密文進行解密,得到明文����;文件一旦離開移動智能終端設備就以密文形式存在,只有回到移動智能終端設備本地時才能恢復成明文�。
[0024]云服務器對上傳的密文文件按其原有的分配策略進行存儲節(jié)點分配,按已有的調度方法對文件進行調度����,實現(xiàn)對密文文件的存儲或備份。
[0025]本發(fā)明的有益技術效果是:
[0026]本發(fā)明通過透明加密技術�����,把移動智能終端大量的用戶數(shù)據(jù)以密文的形式存儲到云服務器上、并且可以隨時隨地安全地訪問�����。文件信息在傳輸和云服務器端的存儲�����、備份過程中���,始終是以密文的形式存在�。即移動智能終端用戶的文件只有在移動設備本地是以明文形式存在的�;文件在離開移動智能終端后,不論身處何處����,都是以密文形式存在。在保證了用戶信息保密要求和有效防止文件在傳輸過程中出現(xiàn)的信息泄漏的同時�����,改善了用戶的操作體驗��。
[0027]本發(fā)明的優(yōu)點將在下面【具體實施方式】部分的描述中給出��,部分將從下面的描述中變得明顯,或通過本發(fā)明的實踐了解到�����。
【附圖說明】
[0028]圖1是本發(fā)明提供的方法流程示意圖�����。
[0029]圖2是移動智能終端的用戶注冊流程圖�。
[0030]圖3是移動智能終端的用戶身份認證流程圖��。
[0031]圖4是服務器端的用戶注冊請求響應流程圖���。
[0032]圖5是服務器端的用戶身份認證請求響應流程圖���。
[0033]圖6是透明加/解密的流程圖。
【具體實施方式】
[00