备案控制台
探索云世界
开发者社区 云存储 文章 正文

通过客户端加密保护数据

2016-05-13 3888
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
对象存储 OSS,20GB 3个月
推荐场景:
基于PAI-EAS挂载OSS部署AIGC服务 ossutil工具管理OSS
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 客户端加密是指用户数据在发送给远端服务器之前就完成加密,而加密所用的密钥的明文只保留在本地,从而可以保证用户数据安全,即使数据泄漏别人也无法解密得到原始数据。 本文介绍如何基于oss的现有python sdk版本, 通过客户端加密来保护数据。 原理介绍 用户本地维护一对rsa密钥(rsa_pr

客户端加密是指用户数据在发送给远端服务器之前就完成加密,而加密所用的密钥的明文只保留在本地,从而可以保证用户数据安全,即使数据泄漏别人也无法解密得到原始数据。

本文介绍如何基于oss的现有python sdk版本, 通过客户端加密来保护数据。

原理介绍

  1. 用户本地维护一对rsa密钥(rsa_private_keyrsa_public_key)
  2. 每次上传object时,随机生成一个AES256类型的对称密钥data_key,然后用data_key加密原始content得到encrypt_content.
  3. rsa_public_key加密data_key, 得到encrypt_data_key, 作为用户的自定义meta放入请求头部,和encrypt_content一起发送到oss
  4. get object时,首先得到encrypt_content以及用户自定义meta中的encrypt_data_key
  5. 用户使用rsa_private_key解密encrypt_data_key得到data_key,然后用data_key解密encrypt_content得到原始content

:本文用户的密钥为非对称的RSA密钥, 加密object content时用的AES256-CTR算法, 详情可参考PyCrypto Document。本文旨在介绍如何通过object的自定义meta来实现客户端加密,至于加密密匙类型及加密算法,用户可以根据自己的需要进行选择。

架构图

client_encrypt

准备工作

  1. python sdk的安装和使用,参考 python sdk 快速安装
  2. 安装PyCrypto库
pip install pycrypto

完整python 示例代码

# -*- coding: utf-8 -*-

import os
import shutil
import base64
import random

import oss2

from Crypto.Cipher import PKCS1_OAEP
from Crypto.PublicKey import RSA
from Crypto.Cipher import AES
from Crypto import Random
from Crypto.Util import Counter

# aes 256, key always is 32 bytes
_AES_256_KEY_SIZE = 32
_AES_CTR_COUNTER_BITS_LEN = 8 * 16

class AESCipher:
    def __init__(self, key=None, start=None):
        self.key = key
        self.start = start
        if not self.key:
            self.key = Random.new().read(_AES_256_KEY_SIZE)
        if not self.start:
            self.start = random.randint(1, 10)
        ctr = Counter.new(_AES_CTR_COUNTER_BITS_LEN, initial_value=self.start)
        self.cipher = AES.new(self.key, AES.MODE_CTR, counter=ctr)

    def encrypt(self, raw):
        return self.cipher.encrypt(raw)

    def decrypt(self, enc):
        return self.cipher.decrypt(enc)

# 首先初始化AccessKeyId、AccessKeySecret、Endpoint等信息。
# 通过环境变量获取,或者把诸如“<你的AccessKeyId>”替换成真实的AccessKeyId等。
#
# 以杭州区域为例,Endpoint可以是:
#   http://oss-cn-hangzhou.aliyuncs.com
#   https://oss-cn-hangzhou.aliyuncs.com
# 分别以HTTP、HTTPS协议访问。
access_key_id = os.getenv('OSS_TEST_ACCESS_KEY_ID', '<你的AccessKeyId>')
access_key_secret = os.getenv('OSS_TEST_ACCESS_KEY_SECRET', '<你的AccessKeySecret>')
bucket_name = os.getenv('OSS_TEST_BUCKET', '<你的Bucket>')
endpoint = os.getenv('OSS_TEST_ENDPOINT', '<你的访问域名>')

# 确认上面的参数都填写正确了
for param in (access_key_id, access_key_secret, bucket_name, endpoint):
    assert '<' not in param, '请设置参数:' + param

##### 0 prepare ########
# 0.1 生成rsa key文件并保存到disk 
rsa_private_key_obj = RSA.generate(2048)
rsa_public_key_obj = rsa_private_key_obj.publickey()
encrypt_obj = PKCS1_OAEP.new(rsa_public_key_obj)
decrypt_obj = PKCS1_OAEP.new(rsa_private_key_obj)

# save to local disk 
file_out = open("private_key.pem", "w")
file_out.write(rsa_private_key_obj.exportKey())
file_out.close()
file_out = open("public_key.pem", "w")
file_out.write(rsa_public_key_obj.exportKey())
file_out.close()

# 0.2 创建Bucket对象,所有Object相关的接口都可以通过Bucket对象来进行
bucket = oss2.Bucket(oss2.Auth(access_key_id, access_key_secret), endpoint, bucket_name)
obj_name = 'test-sig-1'
content = "test content"

#### 1 Put Object  ####
# 1.1 生成加密这个object所用的一次性的对称密钥 encrypt_cipher, 其中的key 和 start为随机生成的value
encrypt_cipher = AESCipher()

# 1.2 将辅助解密的信息用公钥加密后存到object的自定义meta中. 后续当我们get object时,就可以根据自定义meta,用私钥解密得到原始content
headers = {}
headers['x-oss-meta-x-oss-key'] = base64.b64encode(encrypt_obj.encrypt(encrypt_cipher.key))
headers['x-oss-meta-x-oss-start'] = base64.b64encode(encrypt_obj.encrypt(str(encrypt_cipher.start)))

# 1.3. 用 encrypt_cipher 对原始content加密得到encrypt_content
encryt_content = encrypt_cipher.encrypt(content)

# 1.4 上传object
result = bucket.put_object(obj_name, encryt_content, headers)
if result.status / 100 != 2:
    exit(1)

#### 2 Get Object ####
# 2.1 下载得到加密后的object
result = bucket.get_object(obj_name)
if result.status / 100 != 2:
    exit(1)
resp = result.resp
download_encrypt_content = resp.read()

# 2.2 从自定义meta中解析出之前加密这个object所用的key 和 start 
download_encrypt_key = base64.b64decode(resp.headers.get('x-oss-meta-x-oss-key', ''))
key = decrypt_obj.decrypt(download_encrypt_key)
download_encrypt_start = base64.b64decode(resp.headers.get('x-oss-meta-x-oss-start', ''))
start = int(decrypt_obj.decrypt(download_encrypt_start))

# 2.3 生成解密用的cipher, 并解密得到原始content
decrypt_cipher = AESCipher(key, start)
download_content = decrypt_cipher.decrypt(download_encrypt_content)
if download_content != content:
    print "Error!"
else:
    print "Decrypt ok. Content is: %s" % download_content
文章标签:
密钥管理服务
对象存储
数据安全/隐私保护
Python
开发工具
关键词:
客户端密钥管理服务
密钥管理服务客户端
密钥管理服务数据
客户端密钥管理服务数据
姜恒
目录
相关文章
以山向海
|
25天前
|
存储 安全 数据安全/隐私保护
oss客户端加密
阿里云OSS客户端加密提供了一种安全机制,用户在上传数据前可在本地进行加密。流程包括:使用本地配置的主密钥(对称或非对称)加密一次性数据密钥,再用数据密钥加密对象,加密后的数据密钥与对象一同上传。下载时,通过主密钥解密数据密钥,然后解密对象。此方式确保数据全程加密,增强安全性,但需用户妥善管理密钥以保证数据可访问性。
以山向海
29 5
以山向海
|
26天前
|
应用服务中间件 开发工具 数据安全/隐私保护
客户端加密(CSE)
阿里云OSS客户端加密提供数据安全,加密解密过程在客户端完成,密钥用户自管。步骤包括:管理密钥、使用SDK加密数据、上传密文到OSS、下载时SDK解密。目前(2020年3月)仅Python SDK支持此功能,更多SDK可能会后续添加。参照阿里云最新文档以获取准确信息。
以山向海
16 3
游客4btkportwiafk
|
2月前
|
JSON 小程序 数据安全/隐私保护
小程序动态调试-解密加密数据与签名校验
本文主要讲解微信小程序加密、验签的情况下如何进行动态调试已获取签名以及加密信息
游客4btkportwiafk
73 0
sumith
|
2月前
|
SQL 数据库 数据安全/隐私保护
sql注入碰到加密数据怎么办
sql注入碰到加密数据怎么办
sumith
18 1
贵哥的编程之路(热爱分享)
|
3月前
|
JSON 数据安全/隐私保护 数据格式
怎么把加密后的json数据转换成json数据
怎么把加密后的json数据转换成json数据
贵哥的编程之路(热爱分享)
24 0
怎么把加密后的json数据转换成json数据
Hello,C++!
|
3月前
|
数据安全/隐私保护 C++
c++实现http客户端和服务端的开源库以及Base64加密密码
c++实现http客户端和服务端的开源库以及Base64加密密码
Hello,C++!
36 0
编程乐趣
|
5月前
|
存储 SQL 关系型数据库
MySql加密存储的数据,如何模糊搜索?
MySql加密存储的数据,如何模糊搜索?
编程乐趣
80 0
sumith
|
6月前
|
JavaScript 安全 数据安全/隐私保护
JS逆向 -- 分析被加密的响应数据
JS逆向 -- 分析被加密的响应数据
sumith
36 0
No8g攻城狮
|
6月前
|
安全 网络安全 数据安全/隐私保护
此网站无法提供安全连接(客户端和服务器不支持一般 SSL 协议版本或加密套件。)
此网站无法提供安全连接(客户端和服务器不支持一般 SSL 协议版本或加密套件。)
No8g攻城狮
370 0
小白学大数据
|
8月前
|
数据采集 JavaScript API
Python爬虫抓取经过JS加密的API数据的实现步骤
Python爬虫抓取经过JS加密的API数据的实现步骤
小白学大数据
426 0

云存储

热门文章

最新文章

  • 1
    AIGC训练场景下的存储特征研究
  • 2
    如何打造千万级Feed流系统
  • 3
    OSS PostObject错误及排查
  • 4
    高并发IM系统架构优化实践
  • 5
    阿里技术女神的成长之路(有生活素颜照哦)
  • 6
    日志客户端(Logstash,Fluentd, Logtail)横评
  • 7
    日志服务数据加工:控制台操作
  • 8
    OSS跨域资源共享(CORS)错误及排除
  • 9
    开放分布式追踪(OpenTracing)入门与 Jaeger 实现
  • 10
    使用阿里云极速型NAS构建高可用的GitLab
  • 1
    对象存储OSS产品常见问题之购买的资源包和预留空间区别只购买了预留空间会自动抵扣如何解决
    2
  • 2
    对象存储OSS产品常见问题之go语言SDK client 和 bucket 并发安全如何解决
    2
  • 3
    对象存储OSS产品常见问题之有几十亿个txt文件,单个4kb,使用oss如何解决
    3
  • 4
    对象存储OSS产品常见问题之python sdk中的append_object方法支持追加上传xls文件如何解决
    5
  • 5
    对象存储OSS产品常见问题之使用Spring Cloud Alibaba情况下文档添加水印如何解决
    3
  • 6
    对象存储OSS产品常见问题之音频倍速保存如何解决
    3
  • 7
    对象存储OSS产品常见问题之中文文件名无法打开让系统自动utf-8编码如何解决
    4
  • 8
    对象存储OSS产品常见问题之获取文件结构并在前端页面展示如何解决
    4
  • 9
    对象存储OSS产品常见问题之前端直传视频获取视频的长度获得多少秒如何解决
    6
  • 10
    对象存储OSS产品常见问题之OSS Bucket 创建好后更改存储类型如何解决
    5

    • 相关电子书

    更多
  • 基于可信计算与加密计算 打造云上原生计算安全
  • \"视频服务特色解决方案——直播连麦与点播加密 \"
  • 量子加密通信技术

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • RSA非对称加密算法
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)
    为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告
    产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理
    解决方案技术解决方案
    文档与社区文档开发者社区天池大赛培训与认证
    权益中心免费试用高校计划企业扶持计划推荐返现计划
    支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心
    关注阿里云
    关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务
    阿里云APP阿里云微信
    联系我们:4008013260
    法律声明Cookies政策廉正举报安全举报联系我们加入我们
    阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么
    © 2009-2024 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015
    浙公网安备 33010602009975号浙B2-20080101-4