(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111372529.2 (22)申请日 2021.11.19 (65)同一申请的已公布的文献号 申请公布号 CN 113810430 A (43)申请公布日 2021.12.17 (73)专利权人 北京亿赛 通网络安全技 术有限公 司 地址 100085 北京市海淀区西二 旗大街39 号3层301-1 (72)发明人 朱贺军　邢波　 (74)专利代理 机构 北京华创智道知识产权代理 事务所(普通 合伙) 11888 代理人 彭随丽 (51)Int.Cl. H04L 9/40(2022.01)G06F 21/62(2013.01) G06F 16/27(2019.01) 审查员 许洪岩 (54)发明名称 一种用于保护云端数据隐私的接入认证方 法和系统 (57)摘要 本发明提供一种用于保护云端数据隐私的 接入认证方法和系统。 本发明将一个密钥分成4 个密钥进行保存， 当使用密钥时再将这4个密钥 合成一个密钥， 保证任何一方想通过上帝手都无 法获取最终的密钥。 密钥的算法生成， 密钥的拆 分和合并， 加上防火墙的有效认证过程， 有效的 防止上帝之手 。 权利要求书1页 说明书4页 附图2页 CN 113810430 B 2022.02.11 CN 113810430 B 1.一种用于保护云端数据隐私的接入认证方法， 其特征在于， 该认证接入方法包括如 下步骤： 用户通过用户终端向防火墙发送访问云端数据库的接入请求， 所述访问云端数据 库的接入请求中包含有用户密钥； 防火墙从就收到的所述访问云端数据库的接入请求中提 取出用户密钥， 并将所述用户密钥转发至区块链中的云端认证中以获取云端认证密钥； 防 火墙将所述用户密钥和所述云端认证密钥转发至区块链中的第三方认证以获取第三方认 证密钥； 防火墙将所述用户密钥、 所述云端认证密钥和所述第三方认证密钥转发至区块链 中的组织系统， 以获取组织系统密钥； 防火墙将所述用户密钥、 所述云端认证密钥、 所述第 三方认证密钥以及所述组织系统密钥这4个密钥通过算法以生成唯一密钥； 防火墙将唯一 密钥返回给用户终端， 由用户终端 使用唯一密钥重新 生成接入请求， 访问云端数据库； 所述用户密钥的生成方式如下： 通过随机数据生成随机密钥， 并将该随机密钥作为用 户密钥放入区块链中； 所述第三方认证密钥的生成方式如下： 使用用户密钥和云端认证密钥生成第 三方认证 密钥， 并放入区块链中； 所述组织系统密钥的生成方式如下： 使用用户密钥和云端认证密钥和第 三方认证密钥 生成组织系统密钥， 并放入区块链中； 所述生成随机密钥， 具体包括： 使用伪随机数生成器生成出质数， 通过RSA算法生成密 钥。 2.根据权利要求1所述的方法， 其特征在于， 所述云端认证密钥的生成方式如下： 使用 用户密钥生成云端认证密钥， 并将该云端认证密钥放入区块链中。 3.根据权利要求1所述的方法， 其特征在于， 用户密钥、 云端认证密钥、 第三方认证密 钥、 组织系统密钥， 这4种密钥长度为2048个字符， 将密钥拆分， 分成a、 b、 c、 d这4个片段， 每 个片段的长度为512个字符。 4.根据权利要求3所述的方法， 其特征在于， 密钥拆分后， 拆分后的密钥由标识、 顺序、 所述拆分后的密钥的片段这3个部分组成， 其中， 片段a： 标识+顺序1+拆分后的密钥1； 片段 b： 标识+顺序2+拆 分后的密钥2； 片段c： 标识+顺序3+拆分后的密钥3； 片段d： 标识+顺序4 +拆 分后的密钥4。 5.根据权利要求3或4所述的方法， 其特征在于， 根据用户提供的唯一标识通过base64 加密， 将加密后的字符串进 行篡改以生 成所述标识； 将密钥拆分为4个片段后， 生成顺序码， 用于将拆分后的密钥进行整合； 拆分后的a、 b、 c、 d四个片段的标识是相同的。 6.一种用于实现如权利要求1至5中任一项所述方法的认证系统， 其特征在于， 该系统 包括用户终端、 防火墙、 云端 数据库， 用户终端与防火墙相连接以接入区块链网络并访问云 端数据库， 用户通过用户终端并使用用户秘钥与防火墙进行数据 交互， 防火墙分别使用云 端认证秘钥、 第三方认证秘钥、 组织系统秘钥接入云端数据库。权　利　要　求　书 1/1 页 2 CN 113810430 B 2一种用于保护云端数据隐私的接入认证方 法和系统 技术领域 [0001]本申请涉及数据安全技术领域， 具体涉及 一种用于保护云端数据隐私的接入认证 方法和系统。 背景技术 [0002]数据隐私性是指我的数据只有 我自己可以看到， 别人看不到。 云端数据库就是把 数据库放到了 云端。 现在有很多小型公司或个人会选择将自己的信息放到第三方运营商的 云端数据库进行存 储。 方便， 快捷， 省心， 省钱的同时衍 生出了上帝之手。 [0003]云运营商的 “上帝之手 ”， 云端数据库的租户对数据库的可控性是很低的， 而云运 营商却具有对数据库的所有权限， 这就对了云端数据库数据的隐私性提出了要求。 为了确 保云端数据库数据的隐私性， 现有技 术中采用了如下两种方式： [0004]（1） 云端运营商提供的访问数据的权限， 如用户密码或者 其它认证方式； [0005]（2） 与云端运营商无任何关系的第三方认证方式访问数据库。 [0006]然而， 无论是云端运营商还是第三方认证都存在着 “上帝之手 ”的问题， 这也成为 了亟需解决的技 术问题。 发明内容 [0007]为了解决上述技术问题， 本申请提供了一种用于保护云端数据隐私的接入认证方 法和系统。 在本发明的技术方案中， 用户访问云端 数据库需要进 行防火墙的认证， 打开防火 墙认证这所大门的钥匙称为密钥。 密钥的生成必须保证安全和唯一， 生成密钥的基本原理 是将一个密钥分成4个密钥进行保存， 当使用密钥时再将这4个密钥合成一个密钥， 保证任 何一方想通过上帝手都无法获取最终的密钥， 第一个密钥可通过随机数或用户指 定的任何 字符串通过算法生成一个唯密钥， 除第一个密钥其它生成密钥的过程是有顺序的， 且必须 拿上一个密钥生成下一个密钥， 为了确保数据的完整性和 安全性， 将生成的每个密钥放入 区块链。 [0008]本申请所采用的技 术方案如下： [0009]一种用于保护云端数据隐私的接入认证方法， 该认证接入方法包括如下步骤： [0010]用户通过用户终端向防火墙发送访问云端数据库的接入请求， 所述访问云端数据 库的接入请求中包 含有用户密钥； [0011]防火墙从就收到的所述访问云端数据库的接入请求中提取出用户密钥， 并将所述 用户密钥转发至区块链中的云端认证中以获取云端认证密钥； [0012]防火墙将所述用户密钥和所述云端认证密钥转发至区块链中的第三方认证以获 取第三方认证密钥； [0013]防火墙将 所述用户密钥、 所述云端认证密钥和所述第三方认证密钥转发至区块链 中的组织系统， 以获取组织系统密钥； [0014]防火墙将所述用户密钥、 所述云端认证密钥、 所述第三方认证密钥以及所述组织说　明　书 1/4 页 3 CN 113810430 B 3