[发明专利]一种基于私有云的物联网数据安全存储系统

权利要求书

1.一种基于私有云的物联网数据安全存储系统，其特征在于，所述系统包括：设置在服务器上的物联网鉴权系统、私有云盒和设置在客户端的数据存取应用系统；其中，

所述物联网鉴权系统，用于根据所述数据存取应用系统注册登录申请，生成密管会话密钥、业务会话密钥、云盒会话密钥和客户端密钥的公钥和私钥；用于根据所述数据存取应用系统的文件存储申请，生成文件体密钥；用于对与所述数据存取应用系统交互的消息内容进行数据检验；用于根据所述数据存取应用系统的绑定云盒申请，建立数据存取应用系统和私有云盒的绑定关系；还用于根据数据存取应用系统的注册登录申请，管理数据存取应用系统的用户权限；

所述私有云盒，用于接收所述物联网鉴权系统发送的客户端密钥的公钥和私钥；用于和绑定的客户端进行消息传输，通过使用云盒会话密钥对传输的消息进行加密和解密；用于对收到的客户端文件使用客户端密钥的私钥对文件头进行解密，再使用预存密钥对解密后的文件头进行加密存储，文件体不做处理直接存储；用于根据客户端读取文件的申请，提取相应文件，使用预存密钥对该文件的文件头进行解密，然后使用客户端密钥的公钥对解密后的文件头进行加密，将加密后的文件头以及文件体发送至数据存取应用系统；

所述数据存取应用系统，用于在首次使用时进行注册，完成登录账号和密码设置，将注册码及授权申请发送至物联网鉴权系统，向物联网鉴权系统申请与私有云盒的绑定；并申请获得密管会话密钥、业务会话密钥、云盒会话密钥以及客户端密钥的公钥和私钥；用于在使用前进行登录，将输入的登录账号和密码提交所述物联网鉴权系统验证；用于向所述物联网鉴权系统发送文件存储申请，并接收物联网鉴权系统发送的文件体密钥；用于使用客户端密钥的公钥和文件体密钥对待存储到私有云盒的文件进行加密，并将加密后的文件发送至私有云盒；还用于接收私有云盒发送的文件；使用客户端密钥的私钥和文件体密钥对文件进行解密，从而得到该文件；

所述物联网鉴权系统包括：密管服务模块、信令网关模块和业务处理模块；其中，

所述密管服务模块，用于根据客户端注册登录申请，生成密管会话密钥、业务会话密钥、云盒会话密钥和客户端密钥；还用于根据客户端文件存储申请，生成文件体密钥；其中，密管会话密钥用于对密管服务模块与客户端的交互消息进行加密和解密；业务会话密钥用于对业务处理模块与客户端的交互信息进行加密和解密；云盒会话密钥用于对客户端与私有云盒的交互信息进行加密和解密；客户端密钥用于在客户端与私有云盒传输文件时对文件头进行加密和解密；文件体密钥用于在客户端与私有云盒传输文件时对文件体进行加密和解密；

所述信令网关模块，用于保存密管服务模块生成的对应不同客户端的业务会话密钥；用于对业务处理模块与客户端的交互消息内容进行数据检验；还用于服务器与客户端、私有云盒进行交互时的消息传输；

所述业务处理模块，用于根据客户端的绑定云盒申请，建立客户端和私有云盒的绑定关系；还用于根据客户端的注册登录申请，管理客户端的用户权限。

2.根据权利要求1所述的基于私有云的物联网数据安全存储系统，其特征在于，所述密管会话密钥、业务会话密钥、云盒会话密钥和文件体密钥采用对称加密算法；客户端密钥采用非对称加密算法。

3.根据权利要求2所述的基于私有云的物联网数据安全存储系统，其特征在于，所述密管服务模块的具体实现过程为：

根据客户端提交的注册码及授权申请，采用加密算法生成密管会话密钥和密管用户ID号，并发送至客户端；

根据客户端提交的密管会话密钥和密管用户ID号，生成业务会话密钥发送至客户端，同时将业务会话密钥发送至信令网关模块；

根据所述信令网关模块对客户端提交的业务会话密钥的验证通过结果，以及所述业务处理模块对客户端提供的账号密码的验证通过结果，接收所述信令网关模块提交客户端的绑定云盒申请，将生成的云盒会话密钥、客户端密钥的公钥和私钥均发送至客户端和私有云盒；

根据客户端的文件存储申请，生成文件体密钥，发送至客户端。