数据创造价值,数据安全与国家、企业、个人的利益息息相关。随着移动互联网的普及,云计算、物联网等高新技术的迅猛发展,数据量呈现爆炸式增长。据IDC监测,2010年,全球范围内的数据总量已经突破ZB级别,大数据时代悄然来临。大数据时代,为了能够最大化地发挥数据的价值,环境开放、资源共享成为了必然。人们通过使用云存储使得自己的终端设备摆脱了其有限存储空间的束缚,海量的多元异构数据存储于云端,用户从云端获取自己需要的数据到本地使用。这样的开放环境下的资源共享方式给人们带来极大的便利,但与此同时也方便了黑客,他们能够轻松的获取很多以前需要攻破各种防火墙壁垒才能获取到的有价值数据,这让开放环境下的数据面临着巨大安全隐患。如何在发挥数据价值的同时保证存储于开放云端环境中的数据安全,是大数据时代面临的一项重大挑战,亦是当前所研究的热点问题之一。2015年,苗放教授在DOA(即面向数据的体系结构)基础之上提出了一种面向数据的安全体系架构(即DOSA)。方案从数据的角度出发,构建一套保护数据整个生命周期的安全机制,通过对数据实行“天生加密,授权访问”的策略,为数据装备防护盔甲使得其安全不依赖于外界环境,以此解决开放环境下的数据安全问题。开放云存储时代,海量的数据是由海量的终端设备产生并使用,终端设备成为了数据生命的起源和终点。因此,追本溯源,确保终端设备中的数据安全对于保证开放环境下的数据安全有着重要意义。本论文基于DOSA中提出的“天生加密,授权访问”的数据安全思想,针对终端设备的数据安全问题进行研究,设计并提出了一种基于私钥的终端设备数据安全解决方案,实现了终端设备上数据的安全访问、存储及传输。本文主要研究内容如下:(1)研究学习一种面向数据的安全体系结构(DOSA);针对DOSA的数据“天生加密,授权访问”核心思想进行研究;针对DOSA构建的安全机制中各模块进行研究。(2)研究安全领域常用的加密算法及证书授权中心(CA);针对对称加密算法DES、AES,非对称加密算法RSA展开研究,消息摘要算法MD5、SHA-2展开研究;针对CA涉及到的数字信封技术、数字证书等进行研究。(3)研究设计基于私钥的终端数据安全解决方案;针对保证终端设备的数据安全存储与访问方法进行研究与设计;针对保证终端设备的数据安全传输方法进行研究与设计。(4)研究实现基于私钥的终端数据安全解决方案。针对实现方案所用的开发语言、数据库、开发框架、图形界面开发技术等进行研究与学习;针对方案各模块的数据流程进行详细研究设计与实现。本文的创新点如下:(1)提出了一种基于私钥的终端数据安全解决方案。方案中将会为每个用户生成只属于用户自己的公私钥对,公钥交由可信的第三方授权管理中心以证书的形式对外公开,私钥则交由用户自己妥善保存,只有用户本身知道。利用私钥不对外公开的特性,使用其对本地数据进行安全高效的对称加密存储,保证了数据在进行存储访问时的安全性与高效性;利用可信第三方的权威性,在数据交易(即上传/下载)的过程中使用其颁发的数字证书保证数据交易的安全。本文研究成果如下:(1)初步完成了对一种面向数据的安全体系结构(DOSA)的研究与学习。DOSA有效地在架构层面上解决了开放环境下的数据安全问题,其体系架构的构建基于数据“天生加密,授权访问”的核心思想。DOSA让数据安全不依赖于环境的安全,给数据本身穿戴上了盔甲,让其具有了一定的自我保护能力。(2)完成了对称和非对称密钥体制及证书授权中心的研究。对称密钥体制加解密速度快但共享加密密钥,非对称密钥体制的解密密钥私有但加解密速度慢,结合两种密钥体制的特点得出更好的加解密策略:数字信封技术即对称密钥体制进行数据加解密,非对称密钥体制进行密钥加解密。(3)完成了基于私钥的终端数据安全解决方案的研究与设计。利用用户私钥安全不公开和对称加解密效率高的特点,方案在数据存储使用用户私钥生成密钥进行加密存储,在数据传输使用数字信封技术进行加密处理并使用用户私钥进行数据的签名。(4)完成了基于私钥的终端数据安全解决方案的初步实现。使用Java语言开发实现设计方案,方案按照其设计理念分为了客户端与服务端。本文开发基于DSF(一种RPC框架)对服务端、客户端进行实现,服务端使用MYSQL数据库进行用户信息管理,客户端使用JavaFX技术开发客户端的图形操作界面。数据存储、访问、上传、下载基本功能已初步实现并经测试可用。