(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111455985.3 (22)申请日 2021.12.02 (71)申请人 中建材信息技 术股份有限公司 地址 100070 北京市丰台区南四环西路186 号二区9号楼-1至1 1层101内2层01室 申请人 中建材信云智联科技有限公司 (72)发明人 孙晓峰　邓小刚　孙艳　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 61/256(2022.01) G06F 21/60(2013.01) (54)发明名称 公有云的云安全加密系统及方法及存储介 质 (57)摘要 本发明涉及云计算技术领域， 具体地说， 涉 及公有云的云安全加密系统及方法及存储介质。 包括本地数据单元、 加密传输 单元、 云服务单元、 API数据接口模块和用户客户端； 本地数据单元 用于将数据传送到加密传输单元； 加密传输单元 用于将加密数据传输至云服务单元； 云服务单元 用于保证数据的安全存储及读取； API数据接口 模块用于防止任意用户读取数据； 用户客户端用 于访问云服务单元及读取指定的数据。 本发明设 计可以避免数据传输过程的泄漏风险， 整体架构 配置简单， 可兼容于普遍的计算机系统， 运维成 本低； 通过加密策略更好保障数据安全， 降低数 据及密钥泄漏的风险， 用户可以感知到数据的存 在并进行控制， 实现可信的数据共享， 提高公有 云的数据安全。 权利要求书3页 说明书7页 附图4页 CN 114124561 A 2022.03.01 CN 114124561 A 1.公有云的云安全加密系 统， 其特征在于： 包括本地数据单元 （1） 、 加密传输单元 （2） 、 云服务单元 （3） 、 API数据接口模块 （4） 和用户客户端 （5） ； 所述本地数据单元 （1） 、 所述加密 传输单元 （2） 、 所述云服务单元 （3） 、 所述API数据接口模块 （4） 与所述用户客户端 （5） 依次通 过网络通信连接； 其中： 所述本地数据单元 （1） 用于存储本地数据， 并将待处理的数据传送到加密传输单元 （2） ； 所述加密传输单元 （2） 用于对数据进行加密， 将加密数据传输至云服务单元 （3） ， 并根 据服务需求分别设置公钥及私钥； 所述云服务单元 （3） 用于接收来自加密传输单元 （2） 的数据， 分别 对数据及密钥数据进 行管理， 并保证数据的安全 存储及读取； 所述API数据接口模块 （4） 用于 防止没有密钥的用户读取及使用已加密存储于云服务 单元 （3） 的数据资源； 所述用户客户端 （5） 用于通过API数据接口模块 （4） 访问云服务单元 （3） ， 从而在完成密 钥匹配后读取指定的数据。 2.根据权利要求1所述的公有云的云安全加密系统， 其特征在于： 所述加密传输单元 （2） 包括HTTP加密传输协议 （21） ， 所述HTTP加密传输协议 （21） 用于采用HTTPS安全加密传输 协议技术来保护数据的 隐私， 其内网通信采用高强度国际加密标准， 防止数据被窃取， 维护 数据的安全及完整性。 3.根据权利要求1所述的公有云的云安全加密系统， 其特征在于： 所述云服务单元 （3） 包括加密存储单元 （31） 、 密钥管理模块 （32） 、 数据管理模块 （33） 、 NAT转换单元 （34） 、 DDoS防 攻击体系 （35） 和ALC访问控制列表 （36） ； 所述加密存储单元 （31） 、 所述密钥管理模块 （32） 、 所述数据管理模块 （33） 、 所述NAT转换单元 （34） 、 所述DDoS防攻击体系 （35） 与所述ALC访问 控制列表 （3 6） 依次通过网络通信连接； 其中： 所述加密存 储单元 （31） 用于对加密 传输至云端的数据进行加密存 储； 所述密钥管理模块 （32） 用于将加密解密用的密钥数据存放于单独的管理模块与数据 存储分开管理， 并置于云端， 所述密钥 管理模块 （32） 内每个文件或数据库的一个字段分别 对应一个单独的密钥， 当用户需要读取数据时线连接到密钥 管理模块 （32） ， 根据权限获取 相应的密钥再从云平台读取 数据； 所述数据管理模块 （33） 用于对存储于加密存储单元 （31） 内的数据进行应用管理， 包括 感知所有对云端数据的访问操作及相关数据的共享过程； 所述NAT转换单元 （34） 用于利用地址转换技 术来保护云服 务器的加密存 储单元 （31） ； 所述DDoS防攻击体系 （35） 用于通过专业的DDoS防护设备来为用户互联网应用提供精 细化的DDoS攻击能力； 所述ALC访问控制列表 （36） 用于进行是否允许用户客户端 （5） 访问特定区域的数据的 配置。 4.根据权利要求3所述的公有云的云安全加密系统， 其特征在于： 所述加密存储单元 （31） 包括虚拟机 （311） 和存储器 （312） ； 所述虚拟机 （311） 与所述存储器 （312） 通过网络通信 连接； 其中： 所述虚拟机 （311） 用于对 数据进行加密并存储在所述存储器 （312） ； 其中， NAT转 换单元 （34） 主 要用于保护所述虚拟机 （31 1） 。权　利　要　求　书 1/3 页 2 CN 114124561 A 25.根据权利要求3所述的公有云的云安全加密系统， 其特征在于： 所述密钥管理模块 （32） 包括AES算法 （321） 、 RSA算法 （322） 和密钥共享 （323） ； 所述AES算法 （321） 与所述RSA算 法 （322） 并列运行， 所述AES算法 （321） 、 所述RSA算法 （322） 的信号输出端与所述密钥共享 （323） 的信 号输入端连接； 其中： 所述AES算法 （321） 用于使用对称的AES算法对云端数据进 行加密， 在加密过程中为保障数据安全， 不使用单一密钥， 对于每个文件与数据库中每个字 段， 均使用随机生成的不同密钥进 行加密， 且密钥的存储与使用均在云端进行， 防止密钥 在 网络传输中被截获； 所述RSA算法 （322） 用于采用非对称的RSA算法进行一次一密的加密策 略， 在应用中生 成一对公钥和私钥， 通过公钥将数据加密后存储在云端， 在需要读取数据时 再用私钥解密， 且加密解密操作均在云端进 行， 可以利用云端强大的计算资源提高RSA 算法 的速度； 所述密钥共享 （323） 用于将密钥在一定范围内进 行共享， 便于多终端 数据同步以及 同一工作组用户共享数据， 使用户可以在多个客户端之间使用密钥。 6.根据权利要求3所述的公有云的云安全加密系统， 其特征在于： 所述数据管理模块 （33） 包括数据感知 （331） 、 数据共享 （322） 和文件哈希值对比 （333） ； 所述数据感知 （331） 、 所 述数据共享 （322） 与所述文件哈希值对比 （333） 依次通过网络通信 连接且并列运行； 其中： 所述数据感知 （331） 用于在云端记录所有对云端用户数据的访问， 使私人数据的用户有所 感知， 同时可以在特定情况下， 设置对云端 数据进行操作时需要额外的身份认证； 所述数据 共享 （322） 用于基于口令与数字证书的形式， 由数据所有者为其他用户开放数据访问权限， 以实现可信的数据共享； 所述文件哈希值对比 （333） 用于在云端增设文件哈希值比对服务 以防止云端 数据被篡改， 通过记录 云端文件在某个时间的哈希值， 在用户需要时进 行对比， 若比对不成功则表明云端数据遭 到篡改。 7.公有云的云安全加密方法， 该方法利用权利要求1 ‑6所述的公有云的云安全加密系 统进行数据的安全加密服 务， 其特征在于： 包括如下步骤： S1、 数据所有者将待加密上传的数据暂存于本地数据单元 （1） ， 本地数据单元 （1） 将数 据传输至加密传输单元 （2） ； S2、 加密传输单元 （2） 通过HTTP加密传输协议 （2 1） 和/其他加密技术对数据进行加密操 作， 并将加密后的数据传输 至云服务单元 （3） ； S3、 云服务单元 （3） 接收数据后， 利用虚拟机 （311） 对数据进行加密并存储在存储器 （312） 内； S4、 云服务器 （3） 根据数据所有者的要求对存储于云端 的加密数据进行全面的管理保 护； S5、 用户通过用户客户端 （5） 经API数据接口模块 （4） 访问云服务单元 （3） ， 用户从密钥 管理模块 （32） 中获取所需的私钥， 私钥与对应公钥的成功配对后， 根据ALC访问控制列表 （36） 读取存 储器 （312） 内的数据。 8.根据权利要求7所述的公有云的云安全加密方法， 其特征在于： 所述S4中， 云服务器 根据数据所有者的要求对存储于云端的加密数据进行全面的管理保护的具体方法包括如 下步骤： S3.1、 数据所有者选择采用AES算法 （321） 或RSA算法 （322） 对数据进行加密处理， 系统 将对应的密钥数据独立存储于密钥管理模块 （32） 进 行管理， 数据所有者可将密钥共享给其 指定用户；权　利　要　求　书 2/3 页 3 CN 114124561 A 3