一种抗访问模式泄露的数据安全隔离与共享实现方法技术

本发明专利技术公开了一种抗访问模式泄露的数据安全隔离与共享实现方法，所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。本发明专利技术成功解决用户间数据共享，虚拟化资源池化依然存在被攻破的可能性，云数据存储方案中不会隐藏用户的访问模式等三方面所带来的安全风险，通过代理的引入，实现部门内部不同用户之间的数据共享功能，通过物理方式保证部门间数据的安全隔离，采用二叉树的形式存储数据，成功隐藏用户访问模式。

A method of data security isolation and sharing for anti access mode leakage

The invention discloses an anti access mode of leaked data security isolation and sharing method, the method based on physical isolation, use and sharing of data security isolation agent encryption technology, and change the storage form of the original data, stored by the two fork tree guarantee not to be leaked mode to access the data access then, the success of the protection of user privacy. The present invention successfully solve the data sharing between users, virtual resource pool still exists the possibility of compromised security risks, cloud data storage scheme will not hide user access patterns in three aspects, through the introduction of agents, sharing functions within the Department among different users of data, ensure the safety of data isolation between departments by physical way, stored data using the two fork tree, hiding the user access pattern.

【技术实现步骤摘要】
一种抗访问模式泄露的数据安全隔离与共享实现方法
本专利技术涉及云存储安全保密
，具体涉及一种抗访问模式泄露的数据安全隔离与共享实现方法。
技术介绍
随着云计算的普及，其低成本等优势吸引了越来越多的企业。由于用户数据不再由自己控制，而是存放于云服务器上，所以用户对数据安全十分重视，必须增强数据存储以及访问的安全性。Pinkas早在2010年便详细介绍了访问模式泄露的概念以及带来的安全威胁，通过长期窃听用户行为，可以掌握用户足够次访问操作所接收数据的地址序列以及后续行动，对这些信息进行分析后发现，当用户访问某一地址序列对应的数据后，都会采取某一操作，则当用户再次访问同一地址序列的数据时，便可以高概率地推测出用户行为。但是目前已有的云数据存储方案中基本不会隐藏用户的访问模式。用户数据存储在服务器时，为了保证安全性，必然使用各自密钥加密后再存储，这便造成了用户间数据共享的难题。虚拟化技术实现资源池化，虽然可以通过SELinux-sVirt等机制实现资源隔离，但是依然存在被攻破的可能性。
技术实现思路
本专利技术要解决的技术问题是：针对高安全标准的企业来说，必须解决以上三方面的问题，构建实现数据安全隔离与共享的抗访问模式泄露的安全存储方案。本专利技术提供一种抗访问模式泄露的数据安全隔离与共享实现方法，能够实现各部门内部数据共享，各部门间数据安全隔离以及用户访问模式的隐藏。本专利技术所采用的技术方案为：一种抗访问模式泄露的数据安全隔离与共享实现方法，所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。以上三部分协作共同构建出抗访问模式泄露的数据安全隔离与共享实现方法。为了避免SELinux-sVirt等机制实现资源隔离被攻破的风险，将需要进行数据隔离的各个部门分别分配一个或者多个独立的物理服务器，实现物理隔离，通过物理方式保证部门间数据的安全隔离。为了实现用户数据共享，在每个部门内部设置一个代理服务器，对用户密钥加密的中间密文进行再次加密，形成最终密文存储在该部门对应的存储服务器上，且存储服务器上的密文最终是采用同一个密钥加密的。通过代理的引入，实现部门内部不同用户之间的数据共享功能。为了隐藏用户访问模式，存储服务器上采用二叉树的形式存储数据，每次访问数据，都是访问二叉树某个叶子节点到根节点这条路径上的所有数据，成功隐藏用户访问模式。本专利技术的有益效果为：本专利技术成功解决用户间数据共享，虚拟化资源池化依然存在被攻破的可能性，云数据存储方案中不会隐藏用户的访问模式等三方面所带来的安全风险，通过代理的引入，实现部门内部不同用户之间的数据共享功能，通过物理方式保证部门间数据的安全隔离，采用二叉树的形式存储数据，成功隐藏用户访问模式。附图说明图1为本专利技术抗访问模式泄露的数据隔离共享方案框架图。具体实施方式下面参照附图所示，通过具体实施方式对本专利技术进一步说明：一种抗访问模式泄露的数据安全隔离与共享实现方法，所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。以上三部分协作共同构建出抗访问模式泄露的数据安全隔离与共享实现方法。为了避免SELinux-sVirt等机制实现资源隔离被攻破的风险，将需要进行数据隔离的各个部门分别分配一个或者多个独立的物理服务器，实现物理隔离，通过物理方式保证部门间数据的安全隔离。为了实现用户数据共享，在每个部门内部设置一个代理服务器，对用户密钥加密的中间密文进行再次加密，形成最终密文存储在该部门对应的存储服务器上，且存储服务器上的密文最终是采用同一个密钥加密的。通过代理的引入，实现部门内部不同用户之间的数据共享功能。为了隐藏用户访问模式，存储服务器上采用二叉树的形式存储数据，每次访问数据，都是访问二叉树某个叶子节点到根节点这条路径上的所有数据，成功隐藏用户访问模式。如图1所示，用户可以向所在部门对应的存储服务器中存储数据，也可以访问其上的数据：当用户uAi需要存储数据时，部门A的用户uAi注册时与CA机构交互，取得数字证书，随后，uAi将数字证书发送给KDC(密钥分配中心KeyDistributionCenter)，KDC确定uAi来自部门A，然后使用部门A的主密钥生成uAi密钥，发送给uAi。当uAi存储数据时，uAi使用密钥加密明文后，发送给部门A的代理服务器完成再次加密，最终按照二叉树结构的存储规则存放在部门A的存储服务器上。当用户uAi需要访问同部门用户uAj的某数据D时，部门A的存储服务器把数据D所在路径上的所有密文数据发送给部门A的代理服务器，部门A的代理服务器使用uAi对应的密钥进行解密，然后发送给用户uAi，用户uAi使用自己的密钥再次解密后获得明文，从而获得数据D。当用户uAi请求部门B的数据时，一方面物理服务器可以阻隔访问，另一方面，即使非法获得了部门B的数据，部门A的代理服务器也无法解密成用户A可以解密的数据。以上实施方式仅用于说明本专利技术，而并非对本专利技术的限制，有关
的普通技术人员，在不脱离本专利技术的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本专利技术的范畴，本专利技术的专利保护范围应由权利要求限定。本文档来自技高网...

【技术保护点】
一种抗访问模式泄露的数据安全隔离与共享实现方法，其特征在于：所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。

【技术特征摘要】
1.一种抗访问模式泄露的数据安全隔离与共享实现方法，其特征在于：所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。2.根据权利要求1所述的一种抗访问模式泄露的数据安全隔离与共享实现方法，其特征在于：所述方法通过将需要进行数据隔离的各个部门分别分配一个或者多个独立的物理服务器，实现物理隔离。3.根据权利要求2所...

【专利技术属性】
技术研发人员：孙大军，孙晓妮，元河清，刘怀泉，李若寒，
申请(专利权)人：山东超越数控电子有限公司，
类型：发明
国别省市：山东,37