一种部署在云存储服务端的安全代理装置与安全代理方法与流程

本发明涉及网络安全领域，特别涉及一种部署在云存储服务端的安全代理装置与安全代理方法。

背景技术：

随着信息时代的到来，信息数据呈几何级别地增长，釆用传统的本地存储己经逐渐难以满足人们对信息的存储需要，而作为云计算这一新生概念的延伸，云存储的出现解决了海量数据存储面临的难题。

云服务提供商为人们提供了便携的存储空间，用户不需要任何介质就可以在有网络的情况下存储数据。很多企业逐渐将大容量的数据或者数据处理交给“云”来解决，这样可以减少其运作成本和经营成本。随之而来的是用户对于云存储安全性的需求越来越高，包括传输安全与存储安全。

为了解决云存储安全性的问题，本领域技术人员提出了在用户与云服务提供商之间设置安全代理，通过安全代理来隔离用户与云服务提供商，避免不良用户对云服务提供商的网络攻击或其他不安全的网络行为。现有技术中，在云存储安全层面，主要分为云存储客户端负责对云存储数据加解密、云存储服务端负责对云存储数据加解密两种主流安全机制。

技术实现要素：

本发明的目的在于克服已有技术中在云存储服务端缺少第三方安全代理的缺陷，从而提供一种能够对云存储服务端进行统一管理的安全代理装置。

为了实现上述目的，本发明提供了一种部署在云存储服务端的安全代理装置，包括：云存储传输模块、SSL卸载服务模块、分析模块；其中，

所述云存储传输模块用于实现云存储客户端、云存储服务端之间的云存储传输；所述SSL卸载服务模块用于将HTTPS密文传输数据变成明文的HTTP数据；所述分析模块对经过所述SSL卸载服务后的HTTP云存储明文传输数据进行分析。

上述技术方案中，所述云存储传输模块所实现的云存储传输具体包括：安全代理装置与云存储客户端之间采用HTTPS加密方式实现云存储传输；安全代理装置与云存储服务端之间采用HTTP明文方式实现云存储传输。

上述技术方案中，所述分析模块对经过所述SSL卸载服务后的HTTP云存储明文传输数据进行分析具体包括：分析出云存储客户端与云存储服务端之间的控制信息或数据信息；判断加解密的初始位置并进行相应的加解密处理；与云存储服务端建立HTTP通信，以采用HTTP明文方式进行云存储传输。

本发明还提供了一种基于所述的部署在云存储服务端的安全代理装置所实现的安全代理方法，包括：

步骤1)、接收云存储客户端所发送的密文HTTPS请求；

步骤2)、实现SSL卸载服务，终止云存储客户端与云存储服务端之间的云存储密文传输，得到明文HTTP请求；

步骤3)、对明文HTTP请求做进一步的分析，若分析出云存储客户端与云存储服务端之间交互的数据是控制信息，则执行步骤7)，若分析出云存储客户端与云存储服务端之间交互的数据是数据信息，则执行下一步；

步骤4)、判断加解密的初始位置；

步骤5)、进行加解密处理；

步骤6)、与云存储服务端建立HTTP通信，采用HTTP明文方式进行云存储传输；

步骤7)、转发至云存储服务端。

上述技术方案中，在步骤3)中，所述控制信息包括：与云存储客户端登录认证、认证回复、数据上传请求、数据下载请求和云存储客户端退出登录有关的信息。

上述技术方案中，在步骤3)中，所述数据信息包括：云存储客户端上传的数据、从云存储服务端下载的数据。

本发明的优点在于：

本发明的部署在云存储服务端侧的安全代理装置有效地将云存储数据加解密的计算负担从云存储服务端分离出来，为云存储数据提供传输安全与存储安全保障。

附图说明

图1是本发明的安全代理装置的部署示意图；

图2是本发明的安全代理方法的流程图。

具体实施方式

现结合附图对本发明作进一步的描述。

在云存储服务中，云存储客户端与云存储服务端之间需要进行一定量的通信。为了保证数据传输安全与数据存储安全，本发明在云存储客户端与云存储服务端间设置了安全代理装置。

参考图1，本发明的安全代理装置部署在云存储服务端一侧时，该安全代理装置将作为云存储客户端的HTTP反向代理，包括：云存储传输模块、SSL卸载服务模块、分析模块；其中，

所述云存储传输模块用于实现云存储客户端、云存储服务端之间的云存储传输。包括：安全代理装置与云存储客户端之间采用HTTPS加密方式实现云存储传输；安全代理装置与云存储服务端之间采用HTTP明文方式实现云存储传输。

所述SSL卸载服务模块用于将HTTPS密文传输数据变成明文的HTTP数据。

所述分析模块对经过所述SSL卸载服务后的HTTP云存储明文传输数据做进一步分析，包括：分析出云存储客户端与云存储服务端之间的控制信息或数据信息；判断加解密的初始位置并进行相应的加解密处理；与云存储服务端建立HTTP通信，以采用HTTP明文方式进行云存储传输。

图2为本发明的安全代理装置所实现的安全代理方法，包括：

步骤201)、接收云存储客户端所发送的密文HTTPS请求；

步骤202)、实现SSL卸载服务，终止云存储客户端与云存储服务端之间的云存储密文传输，得到明文HTTP请求；

步骤203)、对明文HTTP请求做进一步的分析，若分析出云存储客户端与云存储服务端之间交互的数据是控制信息(如与云存储客户端登录认证、认证回复、数据上传请求、数据下载请求和云存储客户端退出登录等有关的信息)，则执行步骤207)，若分析出云存储客户端与云存储服务端之间交互的数据是数据信息(如云存储客户端上传的数据、从云存储服务端下载的数据)，则执行下一步；

步骤204)、判断加解密的初始位置；

步骤205)、进行加解密处理；

步骤206)、与云存储服务端建立HTTP通信，采用HTTP明文方式进行云存储传输；

步骤207)、转发至云存储服务端。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。