全部产品
对象存储 OSS

通过客户端加密保护数据

更新时间:2016-11-23 16:04:11   分享:   

客户端加密是指用户数据在发送给远端服务器之前就完成加密,而加密所用的密钥的明文只保留在本地,从而可以保证用户数据安全,即使数据泄漏别人也无法解密得到原始数据。

本文介绍如何基于OSS的现有Python SDK版本,通过客户端加密来保护数据。

原理介绍

  1. 用户本地维护一对RSA密钥(rsa_private_keyrsa_public_key)。
  2. 每次上传Object时,随机生成一个AES256类型的对称密钥data_key,然后用data_key加密原始content得到encrypt_content。
  3. rsa_public_key加密data_key,得到encrypt_data_key,作为用户的自定义meta放入请求头部,和encrypt_content一起发送到OSS。
  4. Get Object时,首先得到encrypt_content以及用户自定义meta中的encrypt_data_key
  5. 用户使用rsa_private_key解密encrypt_data_key得到data_key,然后用data_key解密encrypt_content得到原始content。

注意:本文用户的密钥为非对称的RSA密钥, 加密object content时用的AES256-CTR算法, 详情可参考PyCrypto Document。本文旨在介绍如何通过object的自定义meta来实现客户端加密,至于加密密匙类型及加密算法,用户可以根据自己的需要进行选择。

架构图

client-encrypt

准备工作

  1. Python SDK的安装和使用,参考 Python SDK 快速安装

  2. 安装PyCrypto库。

    1. pip install pycrypto

完整 Python 示例代码

  1. # -*- coding: utf-8 -*-
  2. import os
  3. import shutil
  4. import base64
  5. import random
  6. import oss2
  7. from Crypto.Cipher import PKCS1_OAEP
  8. from Crypto.PublicKey import RSA
  9. from Crypto.Cipher import AES
  10. from Crypto import Random
  11. from Crypto.Util import Counter
  12. # aes 256, key always is 32 bytes
  13. _AES_256_KEY_SIZE = 32
  14. _AES_CTR_COUNTER_BITS_LEN = 8 * 16
  15. class AESCipher:
  16. def __init__(self, key=None, start=None):
  17. self.key = key
  18. self.start = start
  19. if not self.key:
  20. self.key = Random.new().read(_AES_256_KEY_SIZE)
  21. if not self.start:
  22. self.start = random.randint(1, 10)
  23. ctr = Counter.new(_AES_CTR_COUNTER_BITS_LEN, initial_value=self.start)
  24. self.cipher = AES.new(self.key, AES.MODE_CTR, counter=ctr)
  25. def encrypt(self, raw):
  26. return self.cipher.encrypt(raw)
  27. def decrypt(self, enc):
  28. return self.cipher.decrypt(enc)
  29. # 首先初始化AccessKeyId、AccessKeySecret、Endpoint等信息。
  30. # 通过环境变量获取,或者把诸如“<您的AccessKeyId>”替换成真实的AccessKeyId等。
  31. #
  32. # 以杭州区域为例,Endpoint可以是:
  33. # http://oss-cn-hangzhou.aliyuncs.com
  34. # https://oss-cn-hangzhou.aliyuncs.com
  35. # 分别以HTTP、HTTPS协议访问。
  36. access_key_id = os.getenv('OSS_TEST_ACCESS_KEY_ID', '<您的AccessKeyId>')
  37. access_key_secret = os.getenv('OSS_TEST_ACCESS_KEY_SECRET', '<您的AccessKeySecret>')
  38. bucket_name = os.getenv('OSS_TEST_BUCKET', '<您的Bucket>')
  39. endpoint = os.getenv('OSS_TEST_ENDPOINT', '<您的访问域名>')
  40. # 确认上面的参数都填写正确了
  41. for param in (access_key_id, access_key_secret, bucket_name, endpoint):
  42. assert '<' not in param, '请设置参数:' + param
  43. ##### 0 prepare ########
  44. # 0.1 生成rsa key文件并保存到disk
  45. rsa_private_key_obj = RSA.generate(2048)
  46. rsa_public_key_obj = rsa_private_key_obj.publickey()
  47. encrypt_obj = PKCS1_OAEP.new(rsa_public_key_obj)
  48. decrypt_obj = PKCS1_OAEP.new(rsa_private_key_obj)
  49. # save to local disk
  50. file_out = open("private_key.pem", "w")
  51. file_out.write(rsa_private_key_obj.exportKey())
  52. file_out.close()
  53. file_out = open("public_key.pem", "w")
  54. file_out.write(rsa_public_key_obj.exportKey())
  55. file_out.close()
  56. # 0.2 创建Bucket对象,所有Object相关的接口都可以通过Bucket对象来进行
  57. bucket = oss2.Bucket(oss2.Auth(access_key_id, access_key_secret), endpoint, bucket_name)
  58. obj_name = 'test-sig-1'
  59. content = "test content"
  60. #### 1 Put Object ####
  61. # 1.1 生成加密这个object所用的一次性的对称密钥 encrypt_cipher, 其中的key 和 start为随机生成的value
  62. encrypt_cipher = AESCipher()
  63. # 1.2 将辅助解密的信息用公钥加密后存到object的自定义meta中. 后续当我们get object时,就可以根据自定义meta,用私钥解密得到原始content
  64. headers = {}
  65. headers['x-oss-meta-x-oss-key'] = base64.b64encode(encrypt_obj.encrypt(encrypt_cipher.key))
  66. headers['x-oss-meta-x-oss-start'] = base64.b64encode(encrypt_obj.encrypt(str(encrypt_cipher.start)))
  67. # 1.3. 用 encrypt_cipher 对原始content加密得到encrypt_content
  68. encryt_content = encrypt_cipher.encrypt(content)
  69. # 1.4 上传object
  70. result = bucket.put_object(obj_name, encryt_content, headers)
  71. if result.status / 100 != 2:
  72. exit(1)
  73. #### 2 Get Object ####
  74. # 2.1 下载得到加密后的object
  75. result = bucket.get_object(obj_name)
  76. if result.status / 100 != 2:
  77. exit(1)
  78. resp = result.resp
  79. download_encrypt_content = resp.read()
  80. # 2.2 从自定义meta中解析出之前加密这个object所用的key 和 start
  81. download_encrypt_key = base64.b64decode(resp.headers.get('x-oss-meta-x-oss-key', ''))
  82. key = decrypt_obj.decrypt(download_encrypt_key)
  83. download_encrypt_start = base64.b64decode(resp.headers.get('x-oss-meta-x-oss-start', ''))
  84. start = int(decrypt_obj.decrypt(download_encrypt_start))
  85. # 2.3 生成解密用的cipher, 并解密得到原始content
  86. decrypt_cipher = AESCipher(key, start)
  87. download_content = decrypt_cipher.decrypt(download_encrypt_content)
  88. if download_content != content:
  89. print "Error!"
  90. else:
  91. print "Decrypt ok. Content is: %s" % download_content
本文导读目录
本文导读目录
以上内容是否对您有帮助?