一种云数据的处理方法、装置和云数据安全网关的制作方法

一种云数据的处理方法、装置和云数据安全网关的制作方法
【专利摘要】本发明提供了一种云数据的处理方法、装置和云数据安全网关，其中方法包括：对云数据请求设备的U盾（USBkey）进行认证，认证成功后与所述云数据请求设备建立连接；接收来自所述云数据请求设备的数据访问请求，对所述云数据请求设备进行访问权限认证，如果认证通过，则向云存储设备进行与所述数据访问请求相对应的数据处理。另外，与云数据请求设备建立连接后对传输的云数据进行加密或解密。通过本发明能够提高云数据存储的安全性。
【专利说明】一种云数据的处理方法、装置和云数据安全网关
【【技术领域】】
[0001]本发明涉及网络通信【技术领域】，特别涉及一种云数据的处理方法、装置和云数据安全网关。
【【背景技术】】
[0002]云计算作为一种新的服务模式，以其高效的存储、处理以及虚拟化的特点，将对企业信息资源管理产生巨大影响，但云计算的相关计算体系还不够成熟，管理维护经验也不够丰富，另外，云计算还缺乏统一的规范，包括市场规范和政府的法律与约束。因此，利用云计算对企业信息资源进行高效管理的同时还面临信息安全问题，最核心的安全问题就是云数据的安全。
【
【发明内容】
】
[0003]有鉴于此，本发明提供了一种云数据的处理方法、装置和云数据安全网关，以便于提高云数据的安全。
[0004]具体技术方案如下:
[0005]本发明提供了一种云数据的处理方法，该方法包括:
[0006]对云数据请求设备的U盾USBkey进行认证，认证成功后与所述云数据请求设备建立连接；
[0007]接收来自所述 云数据请求设备的数据访问请求，对所述云数据请求设备进行访问权限认证，如果认证通过，则向云存储设备进行与所述数据访问请求相对应的数据处理。
[0008]根据本发明一优选实施方式，所述对云数据请求设备的USBkey进行认证具体包括:
[0009]与插在所述云数据请求设备的USBkey远程交互来进行认证；或者，
[0010]与插在本地的USBkey交互来进行认证。
[0011]根据本发明一优选实施方式，所述数据访问请求为包含请求存储的数据的数据存储请求，所述向云存储设备进行与所述数据访问请求相对应的数据处理为:将所述请求存储的数据存储至云存储设备；或者，
[0012]所述数据访问请求为包含请求获取的数据的数据获取请求，所述向云存储设备进行与所述数据访问请求相对应的数据处理为:从云存储设备获取所述请求获取的数据，并将获取的数据传输给所述云数据请求设备。
[0013]根据本发明一优选实施方式，如果所述数据访问请求为数据存储请求，则对所述云数据请求设备进行访问权限认证具体包括:
[0014]获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者
[0015]获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求存储的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
[0016]根据本发明一优选实施方式，如果所述数据访问请求为数据存储请求，则在将所述请求存储的数据存储至云存储设备之前还包括:利用所述USBkey中的密钥对所述请求存储的数据进行加密。
[0017]根据本发明一优选实施方式，将所述请求存储的数据存储至云存储设备包括以下所列方式中的一种:
[0018]将所述请求存储的数据存储至云存储阵列；
[0019]将所述请求存储的数据存储至云存储服务端；
[0020]将所述请求存储的数据存储至云存储阵列并备份至云存储服务端；
[0021]将所述请求存储的数据优先存储至云存储阵列，如果云存储阵列中无足够的存储空间，则存储至云存储服务端。
[0022]根据本发明一优选实施方式，如果所述数据访问请求为数据获取请求，则对所述云数据请求设备进行访问权限认证具体包括:
[0023]获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者
[0024]获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求获取的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
[0025]根据本发明一优选实施方式，在将获取的数据传输给所述云数据请求设备之前还包括:利用所述USBkey中的密钥对所述获取的数据进行解密。
[0026]根据本发明一优选实施方式，与所述云数据请求设备的用户身份相关的信息包括:所述云数据请求设备的IP地址或者USBkey中的认证信息。
[0027]根据本发明一优选实施方式，如果对所述云数据请求设备进行访问权限认证时，认证失败，则断开与所述云数据请求设备之间的连接。
[0028]本发明还提供了一种云数据的处理装置，该装置包括=USBkey安全认证单元、用户侧交互单元、数据权限控制单元和云端处理单元；
[0029]所述USBkey安全认证单元,用于对云数据请求设备的USBkey进行认证；
[0030]所述用户侧交互单元，用于在所述USBkey安全认证单元认证成功后与所述云数据请求设备建立连接，接收来自所述云数据请求设备的数据访问请求，触发所述数据权限控制单兀；
[0031]所述数据权限控制单元，用于受到触发后，对所述云数据请求设备进行访问权限认证；
[0032]所述云端处理单元，用于在所述数据权限控制单元认证通过后，向云存储设备进行与所述数据访问请求相对应的数据处理。
[0033]根据本发明一优选实施方式，所述USBkey安全认证单元，具体用于与插在所述云数据请求设备的USBkey远程交互来进行认证；或者，与插在本地的USBkey交互来进行认证。
[0034]根据本发明一优选实施方式，所述数据访问请求为包含请求存储的数据的数据存储请求，所述云端处理单元具体用于将所述请求存储的数据存储至云存储设备；或者，[0035]所述数据访问请求为包含请求获取的数据的数据获取请求，所述云端处理单元具体用于从云存储设备获取所述请求获取的数据，所述用户侧交互单元还用于将所述云端处理单元获取的数据传输给所述云数据请求设备。
[0036]根据本发明一优选实施方式，如果所述数据访问请求为数据存储请求，则所述数据权限控制单元，具体用于获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者，获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求存储的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
[0037]根据本发明一优选实施方式，如果所述数据访问请求为数据存储请求，则该装置还包括:数据加密单元，用于利用所述USBkey中的密钥对所述请求存储的数据进行加密后提供给所述云端处理单元。
[0038]根据本发明一优选实施方式，所述云端处理单元具体采用以下所列方式中的一种:
[0039]将所述请求存储的数据存储至云存储阵列；
[0040]将所述请求存储的数据存储至云存储服务端；
[0041]将所述请求存储的数据存储至云存储阵列并备份至云存储服务端；
[0042]将所述请求存储的数据优先存储至云存储阵列，如果云存储阵列中无足够的存储空间，则存储至云存储服务端。
[0043]根据本发明一优选实施方式，如果所述数据访问请求为数据获取请求，则所述数据权限控制单元，具体用`于获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求获取的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
[0044]根据本发明一优选实施方式，如果所述数据访问请求为数据获取请求，则该装置还包括:数据解密单元，用于利用所述USBkey中的密钥对所述云端处理单元获取的数据进行解密后提供给所述用户侧交互单元。
[0045]根据本发明一优选实施方式，与所述云数据请求设备的用户身份相关的信息包括:所述云数据请求设备的IP地址或者USBkey中的认证信息。
[0046]根据本发明一优选实施方式，所述用户侧交互单元，还用于在所述数据权限控制单元认证失败后，断开与所述云数据存储设备之间的连接。
[0047]本发明还提供了一种云数据安全网关，该云数据安全网关包括上述的云数据的处
理装置。
[0048]由以上技术方案可以看出，本发明通过对云数据请求设备的USBkey进行认证以及对云数据请求设备进行访问权限的认证，只有在认证通过的情况下，才允许云数据请求设备对云存储设备的数据访问，提高了云数据存储的安全性。
【【专利附图】

【附图说明】】[0049]图1为本发明提供的一种应用场景示意图；
[0050]图2为本发明实施例所基于的应用场景不意图；
[0051]图3为本发明实施例一提供的云数据的处理方法流程图；
[0052]图4为本发明实施例二提供的云数据的处理方法流程图；
[0053]图5为本发明实施例三提供的云数据的处理装置结构图。
【【具体实施方式】】
[0054]为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。
[0055]本发明主要应用于这样的场景，如图1中所示，网络设备I通过网络设备2对云存储设备进行访问，以实现将来自网络设备I的数据存储于云存储设备，或者实现网络设备I从云存储设备获取数据。图1中的网络设备I可以是用户终端设备，诸如PC、智能终端、平板电脑等等，也可以是诸如企业服务器等的企业设备，鉴于这类型的设备都是进行云端数据的请求，包括获取请求或存储请求，因此将这类的网络设备I称为云数据请求设备。云存储设备主要负责进行在云端进行数据的存储，可以是云存储阵列，也可以是云存储服务端。本发明提供的方法和装置主要在图2所示场景中的网络设备2上实现，该网络设备2可以是网关设备、也可以是网关设备与云存储设备之间的服务器。
[0056]在本发明的实施例中，实现本发明的云数据的处理方法的设备(对应图1所示场景中的网络设备2)为网关设备为例进行描述，在此称为云数据安全网关，对应场景如图2中所示。本发明的核心思想在于，云数据安全网关具备U盾(USBkey)的认证功能，首先对云数据请求设备的USBkey进行认证，认证成功后与云数据请求设备建立连接；然后接受来自该云数据请求设备的数据访`问请求，对该云数据请求设备进行访问权限认证，如果认证通过，则向云存储设备进行与该数据访问请求相对应的数据处理。其中上述数据访问请求为数据存储请求时，说明云数据请求设备要存储数据至云存储设备，即上行数据的处理；上述数据访问请求为数据获取请求时，说明云数据请求设备要从云存储设备获取数据，即下行数据的处理。下面通过实施例一和实施例二分别对上行数据的处理过程和下行数据的处理过程进行详细描述。
[0057]实施例一、
[0058]图3为本发明实施例一提供的云数据的处理方法流程图，本实施例主要描述上行数据的处理过程，即由云数据请求设备将数据存储于云存储设备，如图3所示，该方法可以包括以下步骤:
[0059]步骤301:云数据安全网关对云数据请求设备的USBkey进行认证，认证成功后与云数据请求设备建立连接。
[0060]在本发明实施例中，如果云数据请求设备为用户终端设备，那么可以将USBkey插入用户终端设备上，云数据安全网关与USBkey进行远程交互来进行认证。如果云数据请求设备为企业设备，为了更加方便企业使用云存储服务，可以针对企业设备设置一个USBkey，该USBkey可以直接插在云数据安全网关上，云数据网关与插在本地的USBkey进行交互来进行认证。
[0061]USBkey中存储有用户的密钥以及数字证书，利用USBkey内置的公钥算法就可以实现对用户身份的认证。由于用户密钥保存在密码锁中，理论上任何方式都无法读取，从而保证了认证的安全性。对USBkey的认证为已有技术，在此不再详述。
[0062]如果认证成功，则云数据安全网关与云数据请求设备之间就建立了连接，如果认证失败，则不建立连接或者断开连接。
[0063]步骤302:接收来自云数据请求设备的数据存储请求,利用USBkey中的密钥对要存储的数据进行加密。
[0064]云数据请求设备发送数据存储请求以请求存储数据至云存储设备，该数据存储请求中携带了要存储的数据。为了进一步保证数据的安全性，可以针对不同用户采用不同的密钥对数据进行加密后存储于云端，在此可以利用USBkey中的密钥对数据进行加密。
[0065]步骤303:对云数据请求设备进行访问权限认证，如果认证通过，则继续执行步骤304，如果认证失败，则执行步骤305。
[0066]在对云数据请求设备进行权限认证时，可以利用云数据请求设备的IP地址或者USBkey中的认证信息等与用户身份相关的信息，确认该与用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证不通过。例如只有某些IP地址或USBkey中的认证信息才有资格使用云存储服务。
[0067]该权限认证，一方面可以决定该云数据请求设备是否有资格使用云数据存储，另一方面，还可以用于决定该云数据请求设备由多大的权限来使用云数据存储，即确认与用户身份相关的信息及其请求存储的数据所占用的空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证不通过。如果认证通过，则将加密后的数据存储至云存储设备中与该云数据请求设备的身份相适应的存储空间或服务。例如，高级用户具有较大的存储空间，而低级用户具有较小的存储空间，如果存储空间已满，则拒绝继续存储数据；或者高级用户可以享受更高级的存储服务，例如可以使用更快速地存储速度等。
[0068]需要说明的是，步骤302中对要存储的数据进行加密的处理和步骤303中对云数据请求设备进行访问权限认证的处理可以以任意的顺序先后执行，也可以同时执行。例如，可以在接收到来自云数据请求设备的数据存储请求后，先对云数据请求设备进行访问权限认证，如果认证通过，则利用USBkey中的密钥对要存储的数据进行加密，再执行步骤304 ；如果认证失败，则直接执行步骤305。
[0069]步骤304:将加密后的数据存储至云存储设备。
[0070]本步骤的执行可以采用以下方式中的任一种:
[0071]第一种方式:将加密后的数据存储至云存储阵列。
[0072]第二种方式:将加密后的数据存储至云存储服务端。
[0073]第三种方式:将加密后的数据存储至云存储阵列并备份至云存储服务端。
[0074]第四种方式:将加密后的数据优先存储至云存储阵列，如果云存储阵列中无足够的存储空间，则存储至云存储服务端。
[0075]步骤305:向云数据请求设备回复认证失败的响应，断开与所述云数据请求设备的连接。
[0076]实施例二、
[0077]图4为本发明实施例二提供的云数据的处理方法流程图，本实施例主要描述下行数据的处理过程，即由云数据请求设备请求从云存储设备获取数据，如图4所示，该方法可以包括以下步骤:
[0078]步骤401:云数据安全网关对云数据请求设备的USBkey进行认证，认证成功后与云数据请求设备建立连接。
[0079]与实施例一相同地，如果云数据请求设备为用户终端设备，那么可以将USBkey插入用户终端设备上，云数据安全网关与USBkey进行远程交互来进行认证。如果云数据请求设备为企业设备，为了更加方便企业使用云存储服务，可以针对企业设备设置一个USBkey，该USBkey可以直接插在云数据安全网关上，云数据网关与插在本地的USBkey进行交互来进行认证。
[0080]USBkey中存储有用户的密钥以及数字证书，利用USBkey内置的公钥算法就可以实现对用户身份的认证。由于用户密钥保存在密码锁中，理论上任何方式都无法读取，从而保证了认证的安全性。对USBkey的认证为已有技术，在此不再详述。
[0081]如果认证成功，则云数据安全网关与云数据请求设备之间就建立了连接，如果认证失败，则不建立连接或者断开连接。
[0082]步骤402:接收来自云数据请求设备的数据获取请求，对云数据请求设备进行访问权限认证，如果认证通过，则继续执行步骤403，如果认证失败，则执行步骤405。
[0083]云数据请求设备发送数据获取请求以请求从云存储设备获取数据，该数据获取请求中携带了请求获取的数据标识信息。
[0084]在对云数据请求设备进行权限认证时，可以利用云数据请求设备的IP地址或者USBkey中的认证信息等与用户身份相关的信息，确认该与用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证不通过。例如只有某些IP地址或USBkey中的认证信息才有资格使用云存储服务。
[0085]该权限认证一方面可以决定该云数据请求设备是否有资格从云数据存储设备中获取数据，另一方面，还可以决定该云数据请求设备是否有权限来获取其所请求的数据。即确认与用户身份相关的信息及其请求获取的数据所在的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证不通过。也就是说，如果云数据请求设备请求与其身份相适应的数据，则认证通过，否则认证失败。
[0086]步骤403:从云存储设备获取云数据请求设备请求获取的数据。
[0087]根据请求获取的数据标识信息可以查询到该请求获取的数据是在云存储阵列还是云存储服务端，如果在云存储阵列则从云存储阵列获取请求获取的数据，如果在云存储服务器，则从云存储服务器获取请求获取的数据。
[0088]步骤404:将获取到的数据利用USBkey中的密钥进行解密，将解密后的数据传输给云数据请求设备。
[0089]由于为了保证数据安全性，在云端存储的数据都是加密后的数据，该加密的操作是云数据安全网关利用USBkey中的密钥进行的，因此在此将数据传输给云数据存储设备时，也需要将数据进行相应地解密。
[0090]步骤405:向云数据请求设备回复认证失败的响应，断开与所述云数据请求设备的连接。
[0091]以上是对本发明所提供方法进行的详细描述，下面通过实施例三对本发明提供的装置进行详细描述。[0092]实施例三、
[0093]图5为本发明实施例三提供的云数据的处理装置结构图，该装置可以设置于网关设备，也可以设置于网关设备与云存储设备之间的服务器。如图5中所示，该装置可以包括USBkey安全认证单元01、用户侧交互单元02、数据权限控制单元03和云端处理单元04。还可以进一步包括数据加密单元05和数据解密单元06。
[0094]USBkey安全认证单元01负责对云数据请求设备的USBkey进行认证。具体地,如果云数据请求设备为用户终端设备，那么可以将USBkey插入云数据请求设备，此时USBkey安全认证单元01与插在云数据请求设备的USBkey远程交互来进行认证。如果云数据请求设备为企业设备，为了更加方便企业使用云存储服务，可以针对企业设备设置一个USBkey，该USBkey可以直接插在该装置所在设备本地，此时USBkey安全认证单元01与插在本地的USBkey交互来进行认证。
[0095]USBkey中存储有用户的密钥以及数字证书，利用USBkey内置的公钥算法就可以实现对用户身份的认证。由于用户密钥保存在密码锁中，理论上任何方式都无法读取，从而保证了认证的安全性。对USBkey的认证为已有技术，在此不再详述。
[0096]在USBkey安全认证单元01认证成功后,用户侧交互单元02与云数据请求设备建立连接，接收来自云数据请求设备的数据访问请求，触发数据权限控制单元03。数据权限控制单元03受到触发后，对云数据请求设备进行访问权限认证。在数据权限控制单元03认证通过后，云端处理单元04向云存储设备进行与数据访问请求相对应的数据处理。
[0097]上述的数据访问请求为包含请求存储的数据的数据存储请求时，说明云数据请求设备要存储数据至云存储设备，即对上行数据的处理，数据访问请求为包含请求获取的数据的数据获取请求时，说明云数据请求设备要从云存储设备获取数据，即对下行数据的处理。下面分别描述该装置对上行数据的处理和下行数据的处理。
[0098]对上行数据的处理:
[0099]USBkey安全认证单元OI首先对云数据请求设备的USBkey进行认证,在USBkey安全认证单元01认证成功后，用户侧交互单元02与云数据请求设备建立连接，接收来自云数据请求设备的数据存储请求，触发数据权限控制单元03。数据权限控制单元03受到触发后，对云数据请求设备进行访问权限认证。
[0100]数据权限控制单元03在进行访问权限认证时，获取与云数据请求设备的用户身份相关的信息，判断与用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。这种认证方式是确定该云数据请求设备是否有资格使用云数据存储，还可以有另外一种认证方式，确定该云数据请求设备有多大的权限来使用云数据存储，即数据权限控制单元03获取与云数据请求设备的用户身份相关的信息，判断与用户身份相关的信息与请求存储的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。这里与用户身份相关的信息可以是云数据请求设备的IP地址或者USBkey中的认证信息等。
[0101]如果认证失败，可以通过用户侧交互单元02向云数据请求设备发送认证失败的响应，断开与云数据请求设备之间的连接。
[0102]云端处理单元04在数据权限控制单元03认证通过后，将请求存储的数据存储至云存储设备。为了进一步保证数据的安全性，优选地，数据加密单元05可以利用USBkey中的密钥对请求存储的数据进行加密后提供给云端处理单元04。云端处理单元04在数据权限控制单元03认证通过后，将加密后请求存储的数据存储至云存储设备。具体可以采用以下所列方式中的一种:
[0103]将请求存储的数据存储至云存储阵列；
[0104]将请求存储的数据存储至云存储服务端；
[0105]将请求存储的数据存储至云存储阵列并备份至云存储服务端；
[0106]将请求存储的数据优先存储至云存储阵列，如果云存储阵列中无足够的存储空间，则存储至云存储服务端。
[0107]对下行数据的处理:
[0108]USBkey安全认证单元OI首先对云数据请求设备的USBkey进行认证,在USBkey安全认证单元01认证成功后，用户侧交互单元02与云数据请求设备建立连接，接收来自云数据请求设备的数据获取请求，触发数据权限控制单元03。数据权限控制单元03受到触发后，对云数据请求设备进行访问权限认证。
[0109]数据权限控制单元03进行的访问权限认证可以具体为:获取与云数据请求设备的用户身份相关的信息，判断与用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。该认证方式是确定该云数据请求设备是否有资格从云数据存储设备中获取数据，还存在另外一种认证方式，确定该云数据请求设备是否有权限来获取其所请求的数据，即获取与云数据请求设备的用户身份相关的信息，判断与用户身份相关的信息与请求获取的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。这里与用户身份相关的信息可以是云数据请求设备的IP地址或者USBkey中的认证信息等。
[0110]如果认证失败，可以通过用户侧交互单元02向云数据请求设备发送认证失败的响应，断开与云数据请求设备之间的连接。
[0111]数据权限控制单元03认证通过后，云端处理单元04从云存储设备获取请求获取的数据，然后由用户侧交互单元02将云端处理单元04获取的数据传输给云数据请求设备。
[0112]由于为了保证数据安全性，在云端存储的数据都是加密后的数据，该加密的操作是云数据安全网关利用USBkey中的密钥进行的，因此在此将数据传输给云数据存储设备时，也需要将数据进行相应地解密。即数据解密单元06利用USBkey中的密钥对云端处理单元04获取的数据进行解密后提供给用户侧交互单元02。用户侧交互单元02传输给云数据请求设备的是解密后的数据。
[0113]对于云数据安全网关而言，除了具有上述装置之外，在硬件上会提供串口、以太网口、USB 口等，其中串口为云数据安全网关的配置接口，以太网接口为网络接口，包含数据上下行接口，USB 口为云数据安全网关的USBkey接口，可以实现在云数据安全网关上直接插入USBkey。对于这些硬件，本发明不在此详细描述。
[0114]由以上描述可以看出，本发明提供的方法、装置和云数据安全网关具备以下优
占-
^ \\\.[0115]I)通过对云数据请求设备的USBkey进行认证以及对云数据请求设备进行访问权限的认证，只有在认证通过的情况下，才允许云数据请求设备对云存储设备的数据访问，保证了云数据存储的安全性。[0116]2)与云数据请求设备建立连接后传输的云数据进行加密或解密，进一步提高了云数据存储的安全性。
[0117]在本发明所提供的几个实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0118]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0119]上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、随机存取存储器(Random Access Memory, RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0120]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。
【权利要求】
1.一种云数据的处理方法，其特征在于，该方法包括: 对云数据请求设备的U盾USBkey进行认证，认证成功后与所述云数据请求设备建立连接; 接收来自所述云数据请求设备的数据访问请求，对所述云数据请求设备进行访问权限认证，如果认证通过，则向云存储设备进行与所述数据访问请求相对应的数据处理。
2.根据权利要求1所述的方法，其特征在于，所述对云数据请求设备的USBkey进行认证具体包括: 与插在所述云数据请求设备的USBkey远程交互来进行认证；或者， 与插在本地的USBkey交互来进行认证。
3.根据权利要求1所述的方法，其特征在于，所述数据访问请求为包含请求存储的数据的数据存储请求，所述向云存储设备进行与所述数据访问请求相对应的数据处理为:将所述请求存储的数据存储至云存储设备；或者， 所述数据访问请求为包含请求获取的数据的数据获取请求，所述向云存储设备进行与所述数据访问请求相对应的数据处理为:从云存储设备获取所述请求获取的数据，并将获取的数据传输给所述云数据请求设备。
4.根据权利要求3所述的方法，其特征在于，如果所述数据访问请求为数据存储请求，则对所述云数据请求设备进行访问权限认证具体包括: 获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者 获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求存储的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
5.根据权利要求3所述的方法，其特征在于，如果所述数据访问请求为数据存储请求，则在将所述请求存储的数据存储至云存储设备之前还包括:利用所述USBkey中的密钥对所述请求存储的数据进行加密。
6.根据权利要求3、4或5所述的方法，其特征在于，将所述请求存储的数据存储至云存储设备包括以下所列方式中的一种: 将所述请求存储的数据存储至云存储阵列； 将所述请求存储的数据存储至云存储服务端； 将所述请求存储的数据存储至云存储阵列并备份至云存储服务端； 将所述请求存储的数据优先存储至云存储阵列，如果云存储阵列中无足够的存储空间，则存储至云存储服务端。
7.根据权利要求3所述的方法，其特征在于，如果所述数据访问请求为数据获取请求，则对所述云数据请求设备进行访问权限认证具体包括: 获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者 获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求获取的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
8.根据权利要求3或7所述的方法，其特征在于，在将获取的数据传输给所述云数据请求设备之前还包括:利用所述USBkey中的密钥对所述获取的数据进行解密。
9.根据权利要求4或7所述的方法，其特征在于，与所述云数据请求设备的用户身份相关的信息包括:所述云数据请求设备的IP地址或者USBkey中的认证信息。
10.根据权利要求1、4或7所述的方法，其特征在于，如果对所述云数据请求设备进行访问权限认证时，认证失败，则断开与所述云数据请求设备之间的连接。
11.一种云数据的处理装置，其特征在于，该装置包括=USBkey安全认证单元、用户侧交互单元、数据权限控制单元和云端处理单元； 所述USBkey安全认证单元 ,用于对云数据请求设备的USBkey进行认证； 所述用户侧交互单元，用于在所述USBkey安全认证单元认证成功后与所述云数据请求设备建立连接，接收来自所述云数据请求设备的数据访问请求，触发所述数据权限控制单元； 所述数据权限控制单元，用于受到触发后，对所述云数据请求设备进行访问权限认证； 所述云端处理单元，用于在所述数据权限控制单元认证通过后，向云存储设备进行与所述数据访问请求相对应的数据处理。
12.根据权利要求11所述的装置，其特征在于，所述USBkey安全认证单元，具体用于与插在所述云数据请求设备的USBkey远程交互来进行认证；或者，与插在本地的USBkey交互来进行认证。
13.根据权利要求11所述的装置，其特征在于，所述数据访问请求为包含请求存储的数据的数据存储请求，所述云端处理单元具体用于将所述请求存储的数据存储至云存储设备；或者， 所述数据访问请求为包含请求获取的数据的数据获取请求，所述云端处理单元具体用于从云存储设备获取所述请求获取的数据，所述用户侧交互单元还用于将所述云端处理单元获取的数据传输给所述云数据请求设备。
14.根据权利要求13所述的装置，其特征在于，如果所述数据访问请求为数据存储请求，则所述数据权限控制单元，具体用于获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者，获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求存储的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
15.根据权利要求13所述的装置，其特征在于，如果所述数据访问请求为数据存储请求，则该装置还包括:数据加密单元，用于利用所述USBkey中的密钥对所述请求存储的数据进行加密后提供给所述云端处理单元。
16.根据权利要求13、14或15所述的装置，其特征在于，所述云端处理单元具体采用以下所列方式中的一种: 将所述请求存储的数据存储至云存储阵列； 将所述请求存储的数据存储至云存储服务端； 将所述请求存储的数据存储至云存储阵列并备份至云存储服务端；将所述请求存储的数据优先存储至云存储阵列，如果云存储阵列中无足够的存储空间，则存储至云存储服务端。
17.根据权利要求13所述的装置，其特征在于，如果所述数据访问请求为数据获取请求，则所述数据权限控制单元，具体用于获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败；或者获取与所述云数据请求设备的用户身份相关的信息，判断与所述用户身份相关的信息与所述请求获取的数据所占用的存储空间或服务是否符合预设的权限认证策略，如果符合，则认证通过，否则认证失败。
18.根据权利要求13所述的装置，其特征在于，如果所述数据访问请求为数据获取请求，则该装置还包括:数据解密单元，用于利用所述USBkey中的密钥对所述云端处理单元获取的数据进行解密后提供给所述用户侧交互单元。
19.根据权利要求14或17所述的装置，其特征在于，与所述云数据请求设备的用户身份相关的信息包括:所述云数据请求设备的IP地址或者USBkey中的认证信息。
20.根据权利要求11、14或17所述的装置，其特征在于，所述用户侧交互单元，还用于在所述数据权限控制单元认证失败后，断开与所述云数据存储设备之间的连接。
21.—种云数据安全网关，其特征在于，该云数据安全网关包括如权利要求11、12、13、`14、15、17或18所述的云数据的处理`装置。
【文档编号】H04L29/06GK103780609SQ201410016294
【公开日】2014年5月7日 申请日期:2014年1月14日 优先权日:2014年1月14日
【发明者】贾利滨, 刘浩伟 申请人:北京淦蓝润和信息技术有限公司