本发明专利技术公开了一种云环境下用户数据的保护方法及系统,其中,保护方法包括以下步骤:接收用户通过第一网络发送的数据传输请求,并通过安SSL安全连接方式接收用户传输的数据;通过安全虚拟监督系统对数据进行加密,并通过云平台中运行的应用程序将加密后的数据拷贝至预设区域以进行操作;当数据传输至云平台的云存储设备进行保存时,读取预设区域中加密后的数据,并通过第二网络与SSL安全连接方式将从预设区域中读取的数据传输至云存储设备中。根据本发明专利技术实施例的方法,通过SSL安全连接方式进行数据传输,且通过安全虚拟监督系统对用户数据进行保护,以及对用户数据加密后进行存储,很好地保证了用户数据的安全性和私密性。
【技术实现步骤摘要】
云环境下用户数据的保护方法及系统
本专利技术涉及系统安全
,特别涉及一种云环境下用户数据的保护方法及系 统。
技术介绍
在云端服务中,虚拟化技术是根本与核心,也是云端服务最重要、最创新的部分, 但其也是云端服务私密性问题的根源。由于云端服务使用的物理计算与存储介质不属于用 户所有,当用户使用云端服务时,云端服务提供商会具有数据有限访问权。同时由于云端服 务的虚拟化特性,正常用户和恶意用户会使用同一朵云中的资源,企业和企业的竞争对手 也会使用同一朵云上的云服务,导致在云端上,恶意用户、企业的竞争对手乃至云端服务提 供商都有可能会非法访问并窃取云端服务用户的私密数据。其中,在Gartner的一篇报告 中指出,云计算中最重要的安全挑战是云服务提供商对其物理设备上的客户数据即用户数 据的访问对于用户来说是不可见,导致无法保证用户数据的安全性和私密性。
技术实现思路
本申请是基于专利技术人对以下问题的认识和发现作出的: 近些年来,计算机科学和互联网技术飞速发展,大型企业、大型研究机构等拥有的 各式各样的IT(Internet Technology,互联网技术)资源及IT基础架构也日趋庞大。然而, 这些庞大的计算资源、存储资源、数据资源和软件资源等分散在网络各处,利用率低下,造 成资源的浪费。因此,如何合理有效的利用已有的物理资源,避免浪费和重复建设,尽量提 高资源利用率,使得这些资源创造出更多的价值一直是这些物理资源所有者关注的焦点。 另外,众多中小企业、中小研究机构与个人急切需要各种IT资源,但却难以承担物理资源 的采购、维护等开销,或者缺乏人员对这些IT资源进行维护与配置。因此,如何将大型企业 与研究机构等拥有的各种大量IT物理资源整合起来,为用户提供一个虚拟的、可配置的、 可扩展的、稳定的计算和存储虚拟环境,以尽量提高物理资源的利用率,就成为当前一个亟 待解决的重要问题。 2007年9月,云计算作为一种全新的商业计算服务模式迅速发展起来,它将大量 的计算机通过网络连接起来构成一个资源池,并使用软件对这些计算机进行统一抽象和自 动化管理。云可以根据用户的需求动态的为用户分配计算能力、存储空间和软件服务等。 具体地,云计算整体架构主要分为四个部分:基础设施层(IaaS)、平台层(PaaS)、软件服务 层(SaaS)和对以上三层进行管理的云管理层。其中,基础设施层包含底层大量同构或是异 构的物理计算与存储等资源,并对这些物理资源进行虚拟化,为上层提供统一的资源调度 和使用接口;平台层负责提供操作系统及编程框架;软件服务层则为云服务用户提供一定 的软件支持,进行软件的自动化安装等,使得用户申请到计算与存储资源的同时就可以进 行各自的业务而无需自行安装与配置软件;云管理层则负责资源调度、管理与备份,用户注 册、监控与计费等管理问题。 综上所述,云式的服务模式非常好的解决了上述问题,因此云存储,云计算等云 端服务受到越来越多的关注。因此,国内外许多IT企业都推出了各自的云平台并为个人用 户和企业用户提供多种多样的云服务。例如有针对个人的在线云文档服务Google Docs、 在线云笔记服务Evernote、有道云笔记、在线云存储服务Dropbox、盛大网盘Everbox等; 也有针对企业用户的云主机服务Google Cloud Platform、Sina App Engine、云存储服务 Amazon S3、微软的Azure Storage等。其中,许多著名的企业级应用都部署在这些平台上, 如 〇1'(^13(?、111311111:11〇116、1\11]11311',甚至41]^2011自身的各种全球应用均基于41]^201133。这些 IT企业使用虚拟化技术将自身拥有的计算与存储资源整合为一个云,并为每个用户在云中 分配一定的资源进行服务。 云端服务具有高度的弹性、可扩展性和可用性,随时随地可以访问,且用户不需要 购买物理硬件,不需要对计算存储等环境进行配置、管理和维护。另外,由于云端服务充分 整合了计算与存储资源,极大的提高了资源的利用率,充分降低了成本,用户仅需要为自己 实际使用的资源进行少量付费就可以即时获得配置完备的云端服务。 由于云端服务的这些优良特性,越来越多的个人和企业用户将其应用与数据迁移 到云端上来,但更多的用户却保持观望的态度。根据IDC(Internet Data Center,即互联 网数据中心)调查结果显示人们对于按需云计算问题的担心程度排序中,安全问题排在第 一位,其次才是性能、可用性、集成问题和可定制能力等问题。另外,根据国内专业调研机 构CBI Research的相关数据表明:目前大约有80%左右的企业基于数据安全性的考虑,并 不愿意将企业内部数据放在公有云上。对于个人用户而言,如何保证云平台上的个人隐私 不被窃取和滥用是人们关注的焦点。对于企业用户而言,数据是企业的重要资产乃至核心 竞争力,如何保证企业数据和服务在云平台上的私密性是一个企业决定是否使用云端服务 的关键。然而,由于云计算中最重要的安全挑战是云服务提供商对其物理设备上的客户数 据即用户数据的访问对于用户来说是不可见,即无法很好地保证用户数据的安全性和私密 性,导致用户存在一定顾虑。 本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本专利技术的 一个目的在于提出一种对用户透明的保护用户数据的安全性和私密性的云环境下用户数 据的保护方法。 本专利技术的另一个目的在于提出一种云环境下用户数据的保护系统。 为达到上述目的,本专利技术一方面实施例提出了一种云环境下用户数据的保护 方法,包括以下步骤:接收用户通过第一网络发送的数据传输请求,并通过安全套阶层 SSL(Secure Sockets Layer,安全套接层)安全连接方式接收所述用户传输的数据;通过安 全虚拟监督系统对所述数据进行加密,并通过云平台中运行的应用程序将加密后的数据拷 贝至预设区域以进行操作;以及当所述数据传输至所述云平台的云存储设备进行保存时, 读取所述预设区域中加密后的数据,并通过第二网络与所述SSL安全连接方式将从所述预 设区域中读取的数据传输至所述云存储设备中。 根据本专利技术实施例的云环境下用户数据的保护方法,通过SSL安全连接方式进行 数据传输,以实现用户与云平台网络数据交互时,保证用户数据的私密性,并且通过安全虚 拟监督系统对数据加密,并拷贝至预设区域,从而对运行中的用户应用程序进行保护,将内 存中的实际物理地址和每个用户的虚拟地址匹配起来,防止系统管理员或者其他恶意用户 访问用户在内存中的数据,以实现用户应用程序在云平台上运行时,保证用户数据的安全 性和私密性。另外,通过安全虚拟监督系统,使用户实际存储在云平台上的数据为密文,当 用户读出数据时,再进行解密返回给用户,整个过程对于用户是透明的,云平台管理员及其 他恶意用户均无法截获和窃取正常用户的私密数据,更好地保证了用户数据的安全性和私 密性。 另外,根据本专利技术上述实施例的云环境下用户数据的保护方法还可以具有如下附 加的技术特征: 在本专利技术的一个实施例中,所述云平台中的应用程序部署在虚拟机中。 本文档来自技高网...
【技术保护点】
一种云环境下用户数据的保护方法,其特征在于,包括以下步骤:接收用户通过第一网络发送的数据传输请求,并通过安全套阶层SSL安全连接方式接收所述用户传输的数据;通过安全虚拟监督系统对所述数据进行加密,并通过云平台中运行的应用程序将加密后的数据拷贝至预设区域以进行操作;以及当所述数据传输至所述云平台的云存储设备进行保存时,读取所述预设区域中加密后的数据,并通过第二网络与所述SSL安全连接方式将从所述预设区域中读取的数据传输至所述云存储设备中。
【技术特征摘要】
1. 一种云环境下用户数据的保护方法,其特征在于,包括以下步骤: 接收用户通过第一网络发送的数据传输请求,并通过安全套阶层SSL安全连接方式接 收所述用户传输的数据; 通过安全虚拟监督系统对所述数据进行加密,并通过云平台中运行的应用程序将加密 后的数据拷贝至预设区域以进行操作;以及 当所述数据传输至所述云平台的云存储设备进行保存时,读取所述预设区域中加密后 的数据,并通过第二网络与所述SSL安全连接方式将从所述预设区域中读取的数据传输至 所述云存储设备中。2. 如权利要求1所述的方法,其特征在于,所述云平台中的应用程序部署在虚拟机中。3. 如权利要求1所述的方法,其特征在于,该方法还包括: 当所述用户访问所述云存储设备中的数据时,接收所述用户通过所述第一网络发送的 数据访问请求; 通过所述第二网络从所述云存储设备中获取所述数据,并通过所述安全虚拟监督系统 进行解密,以通过所述第一网络发送给所述用户。4. 如权利要求1所述的方法,其特征在于,所述接收用户通过第一网络发送的数据传 输请求具体包括: 接收所述用户请求文件,并通过分块形成多个文件块; 向第一服务器请求每个文件块所在的第二服务器的地址与在所述第二服务器上的相 应的位置;以及 与所述第二服务器进行数据交互,以读取和写入所述每个文件块的数据,并反馈给所 述用户。5. 如权利要求4所述的方法,其特征在于,通过所述SSL安全连接方式写入所述文件块 的数据。6. -种云环境下用户数据的保护系统,其特征在于,包括: 接收模块,用于接收用户通过第一网络发送的数据传...
【专利技术属性】
技术研发人员:武永卫,姜进磊,陈康,郑纬民,侯清铧,
申请(专利权)人:清华大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。