本发明专利技术公开了一种云文件安全存储系统及访问控制方法。所述系统包括云数据管理服务器、以及双重校验服务器,所述双重校验服务器,为可信端,用于存储文件密文数据的数字签名,并根据密文数据的数字签名和被请求的密文数据、以及用户提供的授权码同时校验用户身份和数据完整性即双重校验,并通知云数据管理服务器双重校验结果。所述方法包括:双重校验、以及数据访问。本发明专利技术整体的系统结构设计和访问控制方法,同时保证了云文件数据服务的数据私密性、数据可认证性,和数据完整性。
A Cloud File Security Storage System and Access Control Method
【技术实现步骤摘要】
一种云文件安全存储系统及访问控制方法
本专利技术属于云存储
,更具体地,涉及一种云文件安全存储系统。
技术介绍
大量物联网设备产生了大量的各种各样的数据,如何有效存储和管理这些大数据是数据存储和访问领域的挑战性问题之一。当前,解决该问题最有效的方法是通过云平台存储大数据。这种方式可以大大降低本地数据存储和维护的成本,并且能在连接Internet的任何地方向用户提供方便的访问。然而,将数据文件存储到云平台存在多方面的安全问题。首先,要保证数据私密性,也就是说,云数据存储管理方要保证存储在云平台上的文件是安全的,非法用户即使获得了存储在云平台上的文件也无法得到云文件的原文。其次,要保证数据可认证性,也就是说,要保证访问云文件的用户是经过认证的,未经过认证的用户不能访问存储在云平台中的文件。最后,授权用户在访问云文件时要保证数据完整性,也就是说,要保证授权用户需要访问的云文件未被破坏,是正确的。当前,关于云文件安全存储及访问控制,不同的机构公开了一些方法。专利申请文件CN102761521A公开了一种云安全存储及共享服务平台,其中的密码模块采用对称密码机制加解密云文件,能保证数据私密性,但无法保证数据可认证性和数据完整性,并且,使用对称密码机制会产生大量对称密钥,导致密钥管理困难。专利申请文件CN105072135A公开了一种云文件共享的授权鉴权方法及系统,其中,“主用户”完成对“从用户”的授权后,将“主用户”的用户名、密码和“从用户”的令牌告知“从用户”,“从用户”登录服务器端时将被鉴权,这种方法能保证数据可认证性,但是,该方法将“主用户”的用户名和密码告知“从用户”,这样“从用户”就可以修改云文件,从而破坏数据完整性。专利申请文件CN103218175A公开了一种多租户的云存储平台访问控制系统,其中,权限管理模块用来验证用户的权限和安全性,能保证数据可认证性,但该专利技术未考虑数据私密性和数据完整性等云文件安全需求。专利申请文件CN103259762A公开了一种基于云存储的文件加密、解密方法及系统,其中,加密和解密平台对分片存储到云存储平台的文件进行分布式加解密操作,能保证数据私密性,但该专利技术未考虑数据可认证性和数据完整性等云文件安全需求。综上,现有云文件存储及访问控制技术仅关注数据私密性、数据可认证性、以及数据完整性的一个方面或两个方面,尚未见报道能同时保证数据私密性、数据可认证性和数据完整性等云文件安全需求的技术。这样,导致现有云文件存储及访问控制技术存在云文件存储及访问控制安全缺陷。例如,不保证数据私密性将导致非法用户能获得云文件原文的后果,不保证数据可认证性将导致未经过认证的用户能访问云文件的后果,不保证数据完整性就不能保证授权用户需要访问的云文件是正确的。
技术实现思路
针对现有技术的以上缺陷或改进需求,本专利技术提供了一种云文件安全存储系统及访问控制方法,其目的在于采用文件块摘要和身份认证,同时保证数据私密性、数据可认证性和数据完整性,由此解决现有的云文件存储及访问方法不能同时满足以上需求的技术问题。为实现上述目的,按照本专利技术的一个方面,提供了一种云文件安全存储系统,包括云数据管理服务器、以及双重校验服务器;所述云数据管理服务器,包括公有云存储和私有云存储;所述公有云存储用于存储数据提供方提供的文件密文数据和解密密钥;所述私有云存储用于存储数据提供方提供的用于唯一标记所述密文数据的标签;所述双重校验服务器,为可信端,用于存储文件密文数据的数字签名,并根据密文数据的数字签名和被请求的密文数据、以及用户提供的授权码同时校验用户身份和数据完整性即双重校验,并通知云数据管理服务器双重校验结果。优选地,所述云文件安全存储系统,其所述密文数据的标签,以数据提供方提供的数据提供方公钥、数据提供方私钥、以及文件数据块摘要为输入信息,利用摘要获取算法获取相应的摘要作为标签。优选地,所述云文件安全存储系统,其所述密文数据的数字签名,以用户提供的由数据提供方随机生成的授权码、以及由文件密文数据生成的文件数据块摘要为输入信息,利用数字签名算法获取。优选地,所述云文件安全存储系统,其所述文件数据块摘要按照如下方法获取:S1、将文件密文数据划分为多个数据块;S2、利用摘要获取算法获取所述每一数据块的摘要;S3、将多个数据块摘要组合作为迭代数据块;S4、重复步骤S2~S3直至获得唯一摘要,作为文件数据块摘要。优选地,所述云文件安全存储系统,其还包括身份认证服务器,所述身份认证服务器,用于认证用户身份,并通知云数据管理服务器用户身份认证结果。优选地,所述云文件安全存储系统,其所述身份认证服务器为Kerberos服务器。按照本专利技术的另一个方面,提供了一种所述的云文件安全存储系统的云文件访问控制方法,其包括以下步骤:双重校验:对于用户发出的要求访问存储于所述云数据管理服务器公有云存储部分的文件密文数据并附有授权码的请求,所述云数据管理服务器将所述文件密文数据以及所述授权码发送给所述双重校验服务器,所述双重校验服务器对所述密文数据计算数据块摘要,使用数据提供方私钥进行数字签名算法,获得所述密文数据的数字签名,与其存储的所述文件密文数据相应的数字签名进行比对,将比对结果相同或不同作为双重校验结果通过或失败通知给云数据管理服务器;数据访问:当所述数据完整性校验结果为通过时,所述云数据管理服务器将其公有云存储的所述文件密文数据与相应解密密钥发送给所述用户。优选地,所述云文件访问控制方法,其包括以下步骤:身份校验:云数据管理服务器获取用户发出的要求访问存储于所述云数据管理服务器公有云存储部分的文件密文数据的请求,并将所述请求转发给身份认证服务器,所述身份认证服务器对发出请求的用户进行身份认证后,将身份认证结果通知云数据管理服务器。优选地,所述云文件访问控制方法,其所述身份认证的具体步骤为:A1、用户向云数据管理服务器发出请求,要求访问存储于公共云中的数据文件密文;A2、云数据管理服务器将用户的访问请求转发到用户身份认证服务器,即Kerberos服务器;A3、Kerberos服务器通过用户认证协议认证用户的身份;若通过认证,Kerberos服务器生成用户凭据并发送给用户;否则结束用户访问。优选地,所述云文件访问控制方法,其所述双重校验的具体步骤为:A4、用户将收到的用户凭据和步骤A1中的请求合并,再一起发送到云数据管理服务器;A5,云数据管理服务器校验用户请求中的云文件访问权限;若通过校验,云数据管理服务器将用户拟访问云文件的请求发送给双重校验服务器;否则结束用户访问;A6,双重校验服务器根据收到的用户拟访问云文件的请求后,向用户要求授权码,向云数据管理服务器发出请求要求获取用户拟访问的文件密文数据;A7,双重校验服务器获得授权码和所述文件密文数据后,获得数字签名与其存储的所述文件相应的数字签名比对,相同则通过校验,否则校验失败,将校验结果发送给所述云数据管理服务器。总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有益效果:本专利技术使用加密算法和分布式存储保证数据的私密性,由于加密文件分布式的存储带来的数据完整性校验问题,在文件访问时,通过对分布式存储的数据块和用户授权码形成数字签名,借助可信的双重校验服务器同时校验本文档来自技高网...
【技术保护点】
1.一种云文件安全存储系统,其特征在于,包括云数据管理服务器、以及双重校验服务器;所述云数据管理服务器,包括公有云存储和私有云存储;所述公有云存储用于存储数据提供方提供的文件密文数据和解密密钥;所述私有云存储用于存储数据提供方提供的用于唯一标记所述密文数据的标签;所述双重校验服务器,为可信端,用于存储文件密文数据的数字签名,并根据密文数据的数字签名和被请求的密文数据、以及用户提供的授权码同时校验用户身份和数据完整性即双重校验,并通知云数据管理服务器双重校验结果。
【技术特征摘要】
1.一种云文件安全存储系统,其特征在于,包括云数据管理服务器、以及双重校验服务器;所述云数据管理服务器,包括公有云存储和私有云存储;所述公有云存储用于存储数据提供方提供的文件密文数据和解密密钥;所述私有云存储用于存储数据提供方提供的用于唯一标记所述密文数据的标签;所述双重校验服务器,为可信端,用于存储文件密文数据的数字签名,并根据密文数据的数字签名和被请求的密文数据、以及用户提供的授权码同时校验用户身份和数据完整性即双重校验,并通知云数据管理服务器双重校验结果。2.如权利要求1所述的云文件安全存储系统,其特征在于,所述密文数据的标签,以数据提供方提供的数据提供方公钥、数据提供方私钥、以及文件数据块摘要为输入信息,利用摘要获取算法获取相应的摘要作为标签。3.如权利要求1所述的云文件安全存储系统,其特征在于,所述密文数据的数字签名,以用户提供的由数据提供方随机生成的授权码、以及由文件密文数据生成的文件数据块摘要为输入信息,利用数字签名算法获取。4.如权利要求1至3任意一项所述的云文件安全存储系统,其特征在于,所述文件数据块摘要按照如下方法获取:S1、将文件密文数据划分为多个数据块;S2、利用摘要获取算法获取所述每一数据块的摘要;S3、将多个数据块摘要组合作为迭代数据块;S4、重复步骤S2~S3直至获得唯一摘要,作为文件数据块摘要。5.如权利要求1所述的云文件安全存储系统,其特征在于,还包括身份认证服务器,所述身份认证服务器,用于认证用户身份,并通知云数据管理服务器用户身份认证结果。6.如权利要求5所述的云文件安全存储系统,其特征在于,所述身份认证服务器为Kerberos服务器。7.如权利要求1至6任意一项所述的云文件安全存储系统的云文件访问控制方法,其特征在于,包括以下步骤:双重校验:对于用户发出的要求访问存储于所述云数据管理服务器公有云存储部分的文件密文数据并附有授权码的请求,所述云数据管理服务器将所述文件密文数据以及所述授权码发送给所述双重...
【专利技术属性】
技术研发人员:沈士根,刘建华,周海平,冯晟,胡珂立,赵利平,
申请(专利权)人:绍兴文理学院,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。