基于分布式密钥参数碎片的数据安全存储与安全共享系统的制作方法

1.本发明涉及信息安全领域，具体是指基于分布式密钥参数碎片的数据安全存储与安全共享系统。


背景技术：

2.近年来，随着互联网的蓬勃发展，在网络的使用中，会产生大量的信息、数据，在这些信息与数据中，有很多需要进行安全存储，例如医疗信息、金融信息等。我们目前一般采用的对称加密或非对称加密的方式对数据进行加密存储，保证数据的安全性。
3.然而，这种固定密钥式加密方式存在比较突出的缺点，一旦密钥被破解，所有信息都可以被解密获取，其次，在非对称加密方式中，由于加密算法过于复杂，加密与解密速度较慢，不适合大量数据加密。种种弊端导致固定密钥式加密已经无法满足现在的安全需求。


技术实现要素：

4.为了克服上述现有技术的缺点，本发明设计了基于分布式密钥参数碎片的数据安全存储与安全共享系统及其方法，本方法采用分布式服务器集群进行数据的加密与存储，并且采用定期更新的密钥参数队列配合自定义密码规则组合对称加密密钥，不仅速度快、密钥定期变更，并且虚拟网关服务器、密钥参数碎片服务器群、存储服务器全部被攻击，也无法解密全部数据，保证数据的安全性。
5.为解决上述技术问题，本发明采用以下技术方案。
6.本发明的基于分布式密钥参数碎片的数据安全存储与安全共享系统，包括：一台虚拟网关服务器、一台数据存储服务器与多台密钥参数碎片服务器。
7.虚拟网关服务器用于客户端与存储服务器、密钥参数碎片服务器的连接；
8.数据存储服务器用于加密数据的存储；
9.密钥参数碎片服务器用于密钥参数碎片生成与存储。
10.本发明的基于分布式密钥参数碎片的数据安全存储与安全共享方法，采用上述系统，所述方法包括以下步骤：
11.步骤1、客户端初始化并更新密钥参数队列；
12.步骤2、客户端根据密码规则对数据加密并存储；
13.步骤3、客户端请求加密数据并根据密码规则对其解密；
14.步骤4、客户端之间的数据安全共享。
15.进一步地，所述的客户端初始化流程如下：
16.(1)客户端加入本方法后，会生成一个客户端唯一id(client
‑
id)；
17.(2)客户端client
‑
id生成后，每间隔t小时生成一个随机数加密参数m并将其发送给虚拟网关服务器请求更新密钥参数队列。
18.进一步地，所述的客户端更新密钥参数队列流程如下：
19.(1)客户端将加密参数m与client
‑
id写入密钥参数碎片请求包中，发送给虚拟网
关服务器请求密钥参数碎片；
20.(2)虚拟网关服务器接收密钥参数碎片请求包后，将client
‑
id发送给密钥参数碎片服务器请求密钥参数碎片，每次请求随机一台密钥参数碎片服务器发送并循环请求m次；
21.(3)密钥参数碎片服务器接收到请求后，随机产生密钥参数碎片(key
‑
fragment)并将其与碎片产生时间(time)、client
‑
id记录在本地密钥参数碎片表中；
22.(4)密钥参数碎片服务器将time与key
‑
fragment写入密钥参数碎片返回包中并发送给虚拟网关服务器；
23.(5)虚拟网关服务器接收到所有密钥参数碎片返回包后，按照time降序将key
‑
fragment进行排序并组合成key
‑
fragment组，并取出第一个time与key
‑
fragment组返回给客户端；
24.(6)客户端将返回key
‑
fragment组从头部放入密钥参数队列中，time作为time
‑
that参数存储在本地。
25.进一步地，所述的密码规则具体包括：根据加密参数m按顺序从密钥参数队列取前m个key
‑
fragment，将key
‑
fragment1到key
‑
fragment
m
进行组合，得到加密密钥key，利用对称加密方式使用key对数据进行加密解密操作。
26.进一步地，所述的加密数据存储流程如下：
27.(1)客户端根据密码规则将数据加密后，发给虚拟网关服务器；
28.(2)虚拟网关服务器接收到加密数据后，返回参数请求；
29.(3)客户端收到参数请求后，将t、m、time
‑
that参数发送给虚拟网关服务器；
30.(4)虚拟网关服务器接收到参数后，将加密数据发送给数据存储服务器；
31.(5)数据存储服务器接收到加密数据后，返回参数请求；
32.(6)虚拟网关服务器收到参数请求后，将t、m、time
‑
that参数发送给数据存储服务器；
33.(7)数据存储服务器将t、m、time
‑
that与加密数据记录在本地数据存储表中，并为其生成一个唯一标识id(secdata
‑
id)；
34.(8)数据存储服务器将secdata
‑
id返回给虚拟网关服务器；
35.(9)虚拟网关服务器接收到secdata
‑
id后，将其返回给客户端；
36.(10)客户端接收到secdata
‑
id后将其记录在本地信息表中，以供解密或共享使用。
37.进一步地，所述的客户端请求加密数据流程如下：
38.(1)客户端将需要解密数据的secdata
‑
id与自身client
‑
id发送给虚拟网关服务器；
39.(2)虚拟网关服务器将secdata
‑
id发送给数据存储服务器请求加密数据；
40.(3)数据存储服务器接收到加密数据请求后，使用secdata
‑
id在本地数据存储表中获取到对应记录，将记录中的t、m、time
‑
that与加密数据返回给虚拟网关服务器；
41.(4)虚拟网关服务器将加密数据返回给客户端；
42.(5)虚拟网关服务器向所有密钥参数碎片服务器发送t、m、time
‑
that与client
‑
id请求密钥参数碎片；
43.(6)密钥参数碎片服务器接收请求后，在本地密钥参数碎片表中根据查询规则匹
配到对应key
‑
fragment与对应time并返回给虚拟网关服务器，其中，查询规则为以time
‑
that为时间起点，向前查询t
×
m小时内所有为client
‑
id生成的key
‑
fragment；
44.(7)虚拟网关服务器接收到所有key
‑
fragment与time后，按照time降序将key
‑
fragment进行排序并组合成key
‑
fragment组，将其与m返回给客户端；
45.(8)客户端收到加密数据、key
‑
fragment组与m后，将key
‑
fragment组视为数据加密密钥参数队与m带入密码规则中，得到加密key并用其将加密数据进行解密得到原始数据以供业务需求。
46.进一步地，所述的客户端之间的数据安全共享具体包括：客户端a若要共享数据给客户端b，将自身client
‑
id与secdata
‑
id共享给客户端b即可，当客户端b需要解密共享数据时，请求加密数据时不发送自身client
‑
id，发送客户端a的client
‑
id且后续流程不变即可得到原始数据。
47.进一步地，所述的流程中的数据包与数据表格式如下：
48.(1)密钥参数碎片请求包具体包括：m、client
‑
id、时间戳；
49.(2)密钥参数碎片返回包具体包括：key
‑
fragment、time、时间戳；
50.(3)密钥参数碎片表具体包括：key
‑
fragment、time、client
‑
id；
51.(4)数据存储表具体包括：secdata
‑
id、t、m、time
‑
that、加密数据；
52.(5)信息表具体包括：secdata
‑
id、时间戳。
53.进一步地，所述的客户端包括以下状态：
54.(1)null状态：客户端尚未加入本方法；
55.(2)prepare状态：客户端加入本方法，成功生成client
‑
id后进入random状态；
56.(3)random状态：客户端生成m并更新密钥参数队列，成功更新后进入activation状态；
57.(4)activation状态：活跃状态，可以进行数据加密存储与共享，t小时后进入random状态。
58.与现有技术相比的优点在于：本发明可以减轻患者头面部肿胀，降低压力性损伤发生。同时保证气道通畅，增加患者的舒适度和耐受性。减轻护理人员工作量。15
°
坡度设置的弧形槽体，一定程度地抬高俯卧位患者头、额部，利于口鼻部分泌物自然流出，防止窒息。同时增加患者体位舒适。
附图说明
59.下面结合附图对本发明作进一步说明。
60.图1为本发明的一种实施例的系统结构框图；
61.图2为本发明的一种实施例的方法流程示意图；
62.图3为本发明的一种实施例的客户端初始化流程示意图；
63.图4为本发明的一种实施例的客户端更新密钥参数队列流程示意图；
64.图5为本发明的一种实施例的密码规则示意图；
65.图6本发明的一种实施例的加密数据存储流程示意图；
66.图7本发明的一种实施例的客户端请求加密数据流程示意图；
67.图8本发明的一种实施例的客户端之间数据安全共享示意图；
68.图9
‑
13本发明的一种实施例的数据包与数据表格式示意图；
69.图14本发明的一种实施例的客户端状态示意图。
具体实施方式
70.本发明的基于分布式密钥参数碎片的数据安全存储与安全共享系统及其方法，包括：客户端初始化并通过虚拟网关服务器与密钥参数碎片服务器更新密钥参数队列；密钥参数队列更新后，根据加密规则将数据加密并存储到数据存储服务器上；客户端再次通过虚拟网关服务器与密钥参数碎片服务器获取加密数据，并根据密码规则对其解密得到原始数据以供业务需求；客户端之间的数据共享不直接共享原始数据，将加密数据进行共享，根据加密规则即可进行解密。
71.下面结合附图对本发明作进一步说明。
72.图1为本发明的一种实施例的系统结构框图。如图1所示本发明系统实施例包括：一台虚拟网关服务器、一台数据存储服务器与多台密钥参数碎片服务器。
73.虚拟网关服务器用于客户端与存储服务器、密钥参数碎片服务器的连接；
74.数据存储服务器用于加密数据的存储；
75.密钥参数碎片服务器用于密钥参数碎片生成与存储。
76.图2为本发明的一种实施例的方法流程示意图。如图2所示，本发明实施例的方法包括以下步骤：
77.步骤1、客户端初始化并更新密钥参数队列；
78.步骤2、客户端根据密码规则对数据加密并存储；
79.步骤3、客户端请求加密数据并根据密码规则对其解密；
80.步骤4、客户端之间的数据安全共享。
81.图3为本发明的一种实施例的客户端初始化流程示意图。如图3所示，本发明中客户端初始化流程如下：
82.(1)客户端加入本方法后，会生成一个客户端唯一id(client
‑
id)；
83.(2)客户端client
‑
id生成后，每间隔t小时生成一个随机数加密参数m并将其发送给虚拟网关服务器请求更新密钥参数队列。
84.图4为本发明的一种实施例的客户端更新密钥参数队列流程示意图。如图4所示，本发明中客户端更新密钥参数队列配流程如下：
85.(1)客户端将加密参数m与client
‑
id写入密钥参数碎片请求包中，发送给虚拟网关服务器请求密钥参数碎片；
86.(2)虚拟网关服务器接收密钥参数碎片请求包后，将client
‑
id发送给密钥参数碎片服务器请求密钥参数碎片，每次请求随机一台密钥参数碎片服务器发送并循环请求m次；
87.(3)密钥参数碎片服务器接收到请求后，随机产生密钥参数碎片(key
‑
fragment)并将其与碎片产生时间(time)、client
‑
id记录在本地密钥参数碎片表中；
88.(4)密钥参数碎片服务器将time与key
‑
fragment写入密钥参数碎片返回包中并发送给虚拟网关服务器；
89.(5)虚拟网关服务器接收到所有密钥参数碎片返回包后，按照time降序将key
‑
fragment进行排序并组合成key
‑
fragment组，并取出第一个time与key
‑
fragment组返回给
客户端；
90.(6)客户端将返回key
‑
fragment组从头部放入密钥参数队列中，time作为密钥参数队列更新时间点time
‑
that参数存储在本地。
91.图5为本发明的一种实施例的密码规则示意图。如图5所示，本发明中密码规则具体包括：根据加密参数m按顺序从密钥参数队列取前m个key
‑
fragment，将key
‑
fragment1到key
‑
fragment
m
进行组合，得到加密密钥key，利用对称加密方式使用key对数据进行加密解密操作。
92.图6本发明的一种实施例的加密数据存储流程示意图。如图6所示，本发明中加密数据存储流程如下：
93.(1)客户端根据密码规则将数据加密后，发给虚拟网关服务器；
94.(2)虚拟网关服务器接收到加密数据后，返回参数请求；
95.(3)客户端收到参数请求后，将t、m、time
‑
that参数发送给虚拟网关服务器；
96.(4)虚拟网关服务器接收到参数后，将加密数据发送给数据存储服务器；
97.(5)数据存储服务器接收到加密数据后，返回参数请求；
98.(6)虚拟网关服务器收到参数请求后，将t、m、time
‑
that参数发送给数据存储服务器；
99.(7)数据存储服务器将t、m、time
‑
that与加密数据记录在本地数据存储表中，并为其生成一个唯一标识id(secdata
‑
id)；
100.(8)数据存储服务器将secdata
‑
id返回给虚拟网关服务器；
101.(9)虚拟网关服务器接收到secdata
‑
id后，将其返回给客户端；
102.(10)客户端接收到secdata
‑
id后将其记录在本地信息表中，以供解密或共享使用。
103.图7本发明的一种实施例的客户端请求加密数据流程示意图。如图7所示，本发明中客户端请求加密数据流程如下：
104.(1)客户端将需要解密数据的secdata
‑
id与自身client
‑
id发送给虚拟网关服务器；
105.(2)虚拟网关服务器将secdata
‑
id发送给数据存储服务器请求加密数据；
106.(3)数据存储服务器接收到加密数据请求后，使用secdata
‑
id在本地数据存储表中获取到对应记录，将记录中的t、m、time
‑
that与加密数据返回给虚拟网关服务器；
107.(4)虚拟网关服务器将加密数据返回给客户端；
108.(5)虚拟网关服务器向所有密钥参数碎片服务器发送t、m、time
‑
that与client
‑
id请求密钥参数碎片；
109.(6)密钥参数碎片服务器接收请求后，在本地密钥参数碎片表中根据查询规则匹配到对应key
‑
fragment与对应time并返回给虚拟网关服务器，其中，查询规则为以time
‑
that为时间起点，向前查询t
×
m小时内所有为client
‑
id生成的key
‑
fragment；
110.(7)虚拟网关服务器接收到所有key
‑
fragment与time后，按照time降序将key
‑
fragment进行排序并组合成key
‑
fragment组，将其与m返回给客户端；
111.(8)客户端收到加密数据、key
‑
fragment组与m后，将key
‑
fragment组视为数据加密密钥参数队与m带入密码规则中，得到加密key并用其将加密数据进行解密得到原始数据
以供业务需求。
112.图8本发明的一种实施例的客户端之间数据安全共享示意图。如图8所示，本发明中客户端之间的数据安全共享具体包括：客户端a若要共享数据给客户端b，将自身client
‑
id与secdata
‑
id共享给客户端b即可，当客户端b需要解密共享数据时，请求加密数据时不发送自身client
‑
id，发送客户端a的client
‑
id且后续流程不变即可得到原始数据。
113.图9
‑
13本发明的一种实施例的数据包与数据表格式示意图。如图9
‑
13所示，本发明中数据包与数据表格式如下：
114.(1)密钥参数碎片请求包具体包括：m、client
‑
id、时间戳；
115.(2)密钥参数碎片返回包具体包括：key
‑
fragment、time、时间戳；
116.(3)密钥参数碎片表具体包括：key
‑
fragment、time、client
‑
id；
117.(4)数据存储表具体包括：secdata
‑
id、t、m、time
‑
that、加密数据；
118.(5)信息表具体包括：secdata
‑
id、时间戳。
119.图14本发明的一种实施例的客户端状态示意图。如图14所示，本发明中客户端包括以下状态：
120.(1)null状态：客户端尚未加入本方法；
121.(2)prepare状态：客户端加入本方法，成功生成client
‑
id后进入random状态；
122.(3)random状态：客户端生成m并更新密钥参数队列，成功更新后进入activation状态；
123.(4)activation状态：活跃状态，可以进行数据加密存储与共享，t小时后进入random状态。
124.由上述技术方案可知，本方法采用分布式服务器集群进行数据的加密与存储，并且采用定期更新的密钥参数队列配合自定义密码规则组合对称加密密钥，不仅速度快、密钥定期变更，并且虚拟网关服务器、密钥参数碎片服务器群、存储服务器全部被攻击，也无法解密全部数据，保证数据的安全性。
125.以上对本发明及其实施方式进行了描述，这种描述没有限制性，附图中所示的也只是本发明的实施方式之一，实际的结构并不局限于此。总而言之如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。