(19)中华人民共和国国家知识产权局*CN103001772A*(12)发明专利申请(10)申请公布号CN103001772A(43)申请公布日2013.03.27(21)申请号201210490020.2(22)申请日2012.11.27(71)申请人江苏乐买到网络科技有限公司地址215123江苏省苏州市苏州工业园区星湖街328号创意产业园2#-B601室(72)发明人宗竞(74)专利代理机构苏州威世朋知识产权代理事务所(普通合伙)32235代理人杨林洁(51)Int.Cl.H04L9/32(2006.01)H04L9/06(2006.01)权利要求书权利要求书1页1页说明书说明书33页页附图附图22页(54)发明名称数据安全保护终端(57)摘要本发明提供一种数据安全保护终端，包括数据私密性保护和完整性保护；其中数据私密性保护模块采用AES算法对片外数据和程序提供私密性保护；数据完整性保护模块通过引入加密摘要保护数据的完整性。采用本发明的安全终端，可以大大降低缓存中数据的缺失率。CN10372ACN103001772A权利要求书1/1页1.一种数据安全保护终端，包括数据私密性保护模块和完整性保护模块，其特征在于，数据私密性保护模块采用AES算法对片外数据和程序提供私密性保护。2.如权利要求1所述的数据安全保护终端，数据完整性保护模块通过引入加密摘要保护数据的完整性。3.如权利要求2所述的数据安全保护终端，对分组明文进行特殊处理，并对加密过程进行充分优化。4.如权利要求3所述的数据安全保护终端，采用MlSR产生摘要，通过AES加密摘要。2CN103001772A说明书1/3页数据安全保护终端技术领域[0001]本发明属于云计算技术领域，具体涉及公共云计算环境中，数据安全保护系统。背景技术[0002]早在1983年，sunMicrosystems就提出了“网络即计算机”的概念。受益分布式计算和互联网的发展，人们逐渐开始关注互联网闲置的存储和计算能力，希望通过建立一个具有无限延展能力的资源池，为人们提供一个内容更丰富，速度更快的超级计算机，这就是我们一直在讨论的云。从硬件角度，云是一个多对一的概念，整个互联网的资源被整合起来用于满足个人和企业的需求，云对个人终端要求更低，可以有效地降低个人及企业的IT支出;从服务角度，云是一个一对多的概念，一个应用被分拆至多个服务器并行运算，网络的无线延展性让这种运算能力充满吸引力。[0003]云安全包括:首先，用户数据的私密性，保护用户数据不被窃取;其次，保护程序不被篡改，按照用户的意图正确执行;第三，云架构的稳定性，保证服务质量。但是，由于数据的存储和执行不在本地进行，云平台下的安全问题变得更加复杂。如果假设通过网络传输数据的过程是安全的，云计算与个人电脑最大的区别就在服务终端，即需要保护客户数据在服务终端的安全。[0004]本发明提出了一种数据安全保护系统，保护服务终端中的数据安全。发明内容[0005]本发明提供一种数据安全保护终端，包括数据私密性保护和完整性保护；其中数据私密性保护模块采用AES算法对片外数据和程序提供私密性保护；数据完整性保护模块通过引入加密摘要保护数据的完整性。对分组明文进行特殊处理，并对加密过程进行充分优化。采用MlSR产生摘要，通过AES加密摘要。采用本安全终端，可以大大降低缓存中数据的缺失率。附图说明[0006]图1为安全终端私密性保护硬件框图。[0007]图2为安全终端完整性保护硬件框图。具体实施方式[0008]终端常常需要面对多种安全挑战。第一类攻击假设攻击者不能直接接触到终端，他们可以在终端上运行恶意代码，通过改变程序的执行顺序，使得攻击程序获得系统权限或者其他进程的访问权限，窃取数据甚至破坏程序的正常进行。其中常常被提及的一类攻击称为bufferoverflow。由于各个进程以及操作系统共享数据栈，它们在地址上不实施隔离，bufferoverflow通过访问其他进程或操作系统的数据栈，并用恶意程序的地址替代其它进程的返回地址。从而改变受害程序的执行顺序。第二类攻击方式称作格式化字符窜3CN103001772A说明书2/3页攻击。攻击者将精心设计的字符串作为输入交由标准输出函数(如Printf())进行解析处理，就可以泄露甚至修改任何地址空间的数据，达到影响程序执行的目的。[0009]如果控制了服务终端，攻击者可以调用一切资源对来自客户的数据和应用进行破坏，攻击者甚至可以发起攻击控制操作系统，使用系统权限更改数据，改变软件执行进程。普遍认为恶意终端发起的攻击不可能完全防御，但通过提供更强的安全机制，有可能大大增加攻击的代价，保护数据安全。[0010]本发明提出了一种安全终端。采用AES算法对片外数据和程序提供私密性保护，并通过引入加密摘要保护数据的完整性。[