收藏 分销(赏)
立即下载 开通VIP

保护用户隐私的数据加密与安全存储方案.pdf

上传人:自信****多点 文档编号:2897554 上传时间:2024-06-11 格式:PDF 页数:3 大小:1.34MB
下载 相关 举报
保护用户隐私的数据加密与安全存储方案.pdf_第1页
第1页 / 共3页
保护用户隐私的数据加密与安全存储方案.pdf_第2页
第2页 / 共3页
保护用户隐私的数据加密与安全存储方案.pdf_第3页
第3页 / 共3页
亲,该文档总共3页,全部预览完了,如果喜欢就下载吧!
资源描述

1、1 3 6 2 0 2 4年3期2 0 2 4年第4 6卷第3期保护用户隐私的数据加密与安全存储方案闫怀创作者简介:闫怀创(1 9 9 9-),本科,研究方向为数据库与数据加密存储。(中国联通软件研究院济南分院 济南2 5 0 0 0 0)摘 要 文中提出了一套保护用户隐私的数据加密与安全存储方案,选择了适合的加密算法和密钥管理方案。通过对比分析不同加密算法的安全性和效率,最终选择了A E S-2 5 6,R S A等加密算法,并设计了三级密钥管理方案,实现了对密钥的安全存储和分发。在数据存储方面,以e MMC存储器为存储介质,实现了基于角色和权限的访问控制机制,确保用户只能访问其被授权的数据

2、。关键词:物联网技术;数据加密;安全储存中图分类号 T P 3 0 9.2D e s i g no fD a t aE n c r y p t i o na n dS e c u r eS t o r a g eS o l u t i o n s t oP r o t e c tU s e rP r i v a c yYAN H u a i c h u a n g(C h i n aU n i c o mS o f t w a r eR e s e a r c hI n s t i t u t eJ i n a nB r a n c h,J i n a n2 5 0 0 0 0,C h i n

3、 a)A b s t r a c t I nt h i sp a p e r,ad a t a e n c r y p t i o na n ds e c u r e s t o r a g e s c h e m e t op r o t e c t u s e r p r i v a c y i sp r o p o s e d,a n ds u i t a b l e e n-c r y p t i o na l g o r i t h m sa n dk e ym a n a g e m e n t s c h e m e sa r es e l e c t e d.B yc o m

4、p a r i n ga n da n a l y z i n gt h es e c u r i t ya n de f f i c i e n c yo fd i f f e r e n t e n c r y p t i o na l g o r i t h m s,A E S-2 5 6,R S Aa n do t h e re n c r y p t i o na l g o r i t h m sa r e f i n a l l ys e l e c t e d,a n dt h r e e-l e v e lk e ym a n a g e m e n t s c h e m

5、e sa r ed e s i g n e dt or e a l i z e t h es e c u r es t o r a g ea n dd i s t r i b u t i o no fk e y s.I nt e r m so f d a t as t o r a g e,e MMCm e m o r y i ss e l e c t e da s t h e s t o r a g em e d i u m,a n da na c c e s s c o n t r o lm e c h a n i s mb a s e do nr o l e s a n dp e r m

6、i s s i o n s i s i m p l e m e n-t e dt oe n s u r e t h a tu s e r sc a no n l ya c c e s s t h e i ra u t h o r i z e dd a t a.K e y w o r d s I n t e r n e to fT h i n g s t e c h n o l o g y,D a t ae n c r y p t i o n,S a f es t o r a g e0 引言在数字化时代,数据如同新时代的石油,其价值日益凸显,但同时也带来了巨大的风险。数据安全与隐私泄露事件的频频

7、发生,不仅损害了用户的权益,也对企业的声誉和运营造成了不可估量的负面影响1。当下,数据安全法 个人信息保护法 等法规的出台,使得企业在数据安全建设方面的责任和义务更加明确。为满足监管要求,防范数据安全风险,保障业务运营和企业自身的发展,企业需要采取切实有效的措施来加强数据保护。1 相关工作1.1 数据加密技术根据密钥的不同,数据加密技术可分为对称加密和非对称加密两种。对称加密又被称为专用密钥加密,即使用相同的密钥进行加密和解密,其算法简单、加密速度快,但密钥管理相对困难。非对称加密又被称为公开密钥加密,即使用一对密钥进行加密和解密2。在数据库存储阶段,系统对明文密码进行了两次不同层次的m d

8、5加密,生成了D B密钥1和D B密钥2。这两个密钥都不直接存储明文密码,即使攻击者获得了数据库中的密钥,也无法直接获取用户的明文密码。在用户端登录时,系统同样采用m d 5加密技术生成了缓存密钥、传输密钥和签名密钥。这些密钥都不在网络中直接传输。在服务端接收阶段,系统通过接收到的参数和用户账号,重新生成了D B密钥2和签名密钥,并与数据库中提取的密钥进行比对。只有当生成的密钥与提取的密钥完全相同时,系统才会为用户创建访问令牌,从而保证只有合法的用户才能访问系统。1.2 数据安全存储技术数据安全存储技术的核心在于加密。通过对数据进行加密处理,即使数据被非法获取,攻击者也无法轻易解读其中的内容。

9、这种加密处理可以应用于数据的存储、传输和使用的各个环节。存储加密技术通过在数据写入存储设备之前对其进行加密,确保了数据在存储状态下的安全性。这种加密方式可以有效防止未经授权的访问和数据泄露。而访问控制技术则可以确保只有得到授权的用户才能访问存储在系统中的数据。C A S B代理网关(C l o u dA c c e s sS e c u r i t yB r o k e r)是一种委托式安全代理技术,其将网关部署在目标应用的客户端2 0 2 4年3期1 3 7 和服务端之间,无需改造目标应用,只需通过适配目标应用,对客户端请求进行解析即可。而审计技术则可以实时跟踪和记录数据的访问行为,及时发现

10、和处理潜在的安全风险。1.3 数据隐私保护技术差分隐私技术通过在数学模型中加入随机噪声,使得查询结果对于单个数据的变动不敏感。其关键在于平衡数据的可用性和隐私保护,确保在提供有用信息的同时,不暴露个体的隐私细节。加密技术通过使用加密算法,将个人数据转化为不可读的密文形式,只有掌握密钥的授权方才能解密和使用数据。该技术确保了数据在传输和存储过程中的安全性,有效防止了未经授权的访问和数据泄露。例如,一条个人信息,内容为“J o h n D o e:1 2 3 4 5”;一个只有授权方知道的秘密字符串,如“S e c r e t K e y”。采用A E S加密算法,可以将原始数据和密钥作为输入,通

11、过加密算法处理,得到加密后的数据“4 a G b Q t 7 w X P I s J t 9 a”;使用相同的密钥和对应的解密算法,对加密数据进行处理,恢复原始数据“J o h n D o e:1 2 3 4 5”。2 数据加密方案2.1 加密算法选择在数据库加密中,加密算法必须根据实际需求来选择,综合考虑安全性和效率。密钥存储应以加密的方式进行,防止密钥被非法获取3。可以使用硬件安全模块(H S M)或专门的密钥管理系统(KM S)来存储密钥。2.2 密钥管理方案密钥分发应通过安全的通信协议进行,在分发过程中,应对密钥进行加密和完整性验证,密钥分为初级密钥、二级密钥和主密钥。AN S IX

12、9.1 7支持这种三级密钥组织。初级密钥直接用于数据的加解密操作,确保数据的安全性;二级密钥用于保护初级密钥,其增加了一个安全层级;主密钥作为最高级别的密钥,负责保护二级密钥,以形成一个坚固的密钥保护体系。初级密钥遵循“一次一密”的原则,在每次通信会话或文件加密时生成新的密钥,使用后立即销毁,不在系统中长时间存在。二级密钥的生命周期较长,但在需要时也会进行更新,更新过程需确保旧密钥的安全销毁和新密钥的安全分发。为防止密钥丢失,本方案实行密钥备份机制。备份的密钥存储在安全的环境中,如硬件安全模块(H S M)或专门的密钥管理系统(KM S)。在密钥丢失或损坏时,也可以通过安全流程恢复密钥。2.3

13、 加密通信协议设计为确保通信内容不被未经授权的第三方获取或篡改,本文提出了一种基于S i g n a lP r o t o c o l的加密通信协议设计方 案。该 方 案 结 合 了C u r v e 2 5 5 1 9、A E S-2 5 6-G CM和HMA C-S HA 2 5 6等多种加密算法,以提供端到端的加密保护,并以X 3 DH协议为基础(这是一种扩展的三重迪菲-赫尔曼密钥交换协议)。每个用户在注册时创建3个基础密钥对,即身份密钥对(I P K)、已签名的预共享密钥对(S P K)和一次性使用的C u r v e 2 5 5 1 9密钥对队列(O P K)。当用户A希望与用户B建

14、立通信时,A首先会从服务器获取B的3种公钥。然后,由A创建一个临时密钥对(E P K),并使用自己的私钥和B的公钥,通过DH算法计算出4个初始密钥值,即DH 1、DH 2、DH 3和DH 4。这些初始密钥值连接起来形成一个长密钥,然后通过密钥衍生函数(K D F)进行进一步处理,生成用于加密消息的最终密钥S。在基于S i g n a lP r o t o c o l的加密通信协议设计方案中,用户A与用户B建立通信时的关键步骤如表1所列。表1 基于S i g n a lP r o t o c o l的加密通信协议设计的关键步骤步骤用户A操作数据/密钥用户B操作数据/密钥1创建临时密钥对E P K

15、-A(E P K-A私钥,E P K-A公钥)2从服务器获取B的公钥(I P K-B公钥,S P K-B公钥,O P K-B公钥)3使用DH算法计算初始密钥值DH 1=DH(I P K-A私钥,S P K-B公钥)DH 2=DH(E P K-A私钥,I P K-B公钥)DH 3=DH(E P K-A私钥,S P K-B公钥)DH 4=DH(I P K-A私钥,O P K-B公钥)4连接初始密钥值并应用K D F初始密钥DH=DH 1DH 2生成最终密钥SS=K D F(初始密钥DH)5使用密钥S加密消息密文=A E S-2 5 6-G CM(S,明文消息)6发送加密消息和相关数据(密文,E P

16、 K-A公钥,MA C)7接收加密消息和相关数据(密文,E P K-A公钥,MA C)8使用自己的私钥和A的公钥计算最终密钥S S=K D F(DH(I P K-B私钥,E P K-A公钥)等)9使用密钥S 解密消息明文消息=A E S-2 5 6-G C M(S,密文)1 0验证消息认证码MA C比较计算出的MA C和接收到的MA C移动信息1 3 8 2 0 2 4年3期 基于S i g n a lP r o t o c o l的加密通信协议设计方案通过采用多种加密算法和密钥交换协议,实现了用户A与用户B之间的安全、加密通信。3 数据安全存储方案3.1 存储介质选择在数据安全存储方案中,技

17、术方案以电子设备中的e MMC存储器为存储介质。在e MMC存储器中,特别关注R PMB(R e p l a yP r o t e c t e dM e m o r yB l o c k)分区,这是e MMC中一种具有防重放攻击能力的内存块,其内部数据采用硬件加密方式的存储,安全性较高4。在数据存储过程中,通常可以将R PMB分区划分为两个部分:(1)公用加密分区,用于存储电子设备中的预设类型数据,如安全证书、指纹信息、电子钱包等;(2)个人加密分区,允许用户将个人数据迁移至此进行加密存储。3.2 数据备份与恢复策略在本技术方案中,鼓励用户定期备份个人加密分区中的数据。备份数据可以存储在云端或

18、其他安全的存储介质中,防止原始数据被丢失或损坏。当用户需要恢复数据时,可以通过输入正确的密码验证身份,再从备份中恢复数据到个人加密分区。在恢复过程中,也需要对数据进行解密处理5。3.3 安全访问控制机制在访问个人加密分区中的数据之前,需要进行身份验证。用户需要输入正确的密码才能通过验证并获得访问权限。对于通过了身份验证的用户,还应根据其角色和权限设置不同的访问控制策略。例如,普通用户只能访问自己的个人数据,管理员则可以访问所有用户的数据并进行管理操作。通过设置访问控制策略,可以让用户只能访问其被授权的数据,防止数据被泄露或滥用。加密强度随着密钥大小的增加会呈指数增长,密钥长度通常为1 0 2

19、4或2 0 4 8位。在实现时,R S A必须与某种填充方案结合。保护用户隐私的数据加密与安全存储方案的应用效果如表2所列。表2 保护用户隐私的数据加密与安全存储方案应用效果应用场景 存储介质加密分区备份策略访问控制加密强度应用效果个人电子设备EMMC存储器R PMB分区(公用+个人)定期备份至云端密码验证+角色权限R S A2 0 4 8位用户数据在设备丢失或被盗后依然安全;数据恢复速度较快且完整;未经授权的访问被拒绝,有效防止了数据泄露和滥用企业数据中心EMMC存储器阵列专用加密分区实时备份至冗余存储多因素身份验证+严格权限管理R S A4 0 9 6位企业敏感数据得到高效保护;备份策略确

20、保了数据的可靠性;严格的访问控制降低了来自内部的泄露风险移动支付应用EMMC存储器R PMB分区(仅个人)实时同步至服务器生物特征识别+单次有效密码A E S2 5 6位用户支付信息安全存储;即使设备丢失,数据也可远程擦除;生物特征识别提高了数据的安全性;单次有效密码防止了重放攻击 备份策略的选择对于数据的可靠性和完整性至关重要。个人电子设备通过定期备份至云端,确保了数据的长期保存和可恢复性;企业数据中心则通过实时备份至冗余存储,实现了数据的即时同步和灾难恢复能力,提高了数据的管理效率。4 结语在数据安全存储方面,选择适当的存储介质和划分加密分区较为关键。e MMC存储器中的R PMB分区凭借

21、其硬件加密功能,可以将敏感数据存储在加密分区中,确保了即使存储介质被盗或丢失,攻击者也无法轻易获取其中的内容。访问控制机制是保护用户隐私的最后防线,可使用基于权限的访问控制,确保只有经过授权的用户才能访问存储在系统中的数据。这不仅可以防止非法访问数据的行为,还降低了数据被误操作的风险。参考文献1杨挺,李大帅,蔡绍堂,等.面向用户隐私保护的用电数据压缩加密方法J.中国电机工程学报,2 0 2 2,4 2(S 1):5 8-6 9.2万征,丁超,余岚,等.一种基于区块链的大健康数据存储和共享模型J.小型微型计算机系统,2 0 2 3,4 4(3):6 3 6-6 4 5.3夏卓群,张一超,谷科,等.基于雾计算的智能电表用户虚拟环隐私保护方案J.电子与信息学报,2 0 2 3,4 5(3):9.4徐博,谢江山,徐晓慧,等.云环境中基于联盟链的多中心数据共享系统J.控制工程,2 0 2 3,3 0(1):8-1 7.5陆星缘,陈经纬,冯勇,等.基于同态加密的隐私保护数据分类协议J.计算机科学,2 0 2 3,5 0(8):3 2 1-3 3 2.移动信息

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 学术论文 > 论文指导/设计

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服