数据安全分存和指定用户分享系统的制作方法
【技术领域】
[0001]本发明涉及云计算技术领域,具体是一种使用多云服务器实现数据安全分存和指定用户分享系统。
【背景技术】
[0002]云计算技术作为一种新型的数据计算和存储模式,可以为上层应用服务提供底层的支撑基础架构,它具有更强的处理能力和更大的存储空间、可弹性伸缩和对用户的透明等特性,成为处理大规模数据问题的重要工具。通过数据存储和计算外包等服务,用户将数据转移到云服务器存储,同时,大量的用户本地计算操作也可借助于第三方服务器的能力进行转移。通过这样一种外包存储和计算服务模式,大大降低客户端对于存储和计算能力的要求。
[0003]随着云服务提供商的增加,用户通常选择某一云服务商的服务,所有的数据和计算都在同一云服务商的服务器上完成,这样,一旦用户将数据上传存储于云服务商,云服务商就可以拥有和控制用户存储的数据。由于云存储服务运行于第三方云服务商,用户与云服务商之间无法建立可信关系,云服务商可以对用户数据进行转存和非法应用,导致用户有云存储数据安全性的担忧,不愿将数据外包存储在云服务器,严重阻碍云计算技术的推广和应用。
[0004]再者,存储于云服务器上的数据,除了数据所有者可以对数据拥有完全控制权外,数据的使用都是依据应用系统或者云服务商预先设定的访问控制规则,对数据的使用者进行访问控制。在这种访问控制模型下,数据所有者无法针对指定用户,灵活的设置(包括授权和取消授权)数据的访问权限,特别是在社交应用的情形下,当数据所有者将数据上传到云服务器后,所有关注的用户都能访问该数据,而数据所有者无法在用户列表中选择相应的指定用户,对这些指定用户授权访问数据,阻止非指定用户对数据的访问。
【发明内容】
[0005]针对上述问题,本发明提供一种使用多云服务器实现云数据安全分存和指定用户分享系统,以解决现有现有云计算环境中数据存储安全问题和用户授权访问控制的问题。在云数据存储和使用过程中涉及数据所有者、数据使用者、云存储服务商等多个角色,采用本发明后,可以对云数据进行多云服务商分存,以保护数据存储安全;同时数据所有者可以对指定用户授权访问数据,非指定用户无法访问数据,以实现针对指定用户的数据分享,为实现上述目的本发明的具体方案如下:
[0006]一种数据安全分存和指定用户分享系统,包括:
[0007]数据所有者代理,用于完成数据D的加密操作,并分成η个份额(D1, D2, D3,…,Di,...Dn),并分存到多云服务器系统;
[0008]多云服务器系统,包括η个云服务器(S1, S2,S3,…,Si,...Sn),用于完成数据(D1, D2, D3,..., Di;...Dn)在η个云服务器(SpShSf^SbSn)上的分布存储,每个云服务器Si只存储其中一份数据Di;
[0009]认证中心系统,为每个用户生成用户证书并存储于用户安全控制服务器,并对数据所有者代理和客户端代理提供证书查询和提取服务;
[0010]用户安全控制服务器,验证并存储用户信息、用户证书、云存储位置信息、授权文件等数据;
[0011]客户端代理,与多云服务器系统通信,提取并合并分布数据(DpH…,Di,...Dn),接着完成数据的解密操作,恢复数据。
[0012]优选的,所述授权文件包括指定用户、数据所有者对指定用户的签名信息、数据解密密钥,授权数据对象信息、授权有效期。
[0013]优选的,η个所述云服务器(S1, S2, S3,…,Si,...Sn)不全位于同一个云服务商。
[0014]优选的,所述数据所有者代理包括所有者安全操作模块和所有者数据操作模块,其中
[0015]所述所有者安全操作模块在数据分存阶段,用于完成数据D的加密操作:在指定用户分享数据阶段,则首先查询用户安全控制服务器中存储的用户列表,然后指定分享用户,并生成指定用户授权文件,将生成的用户授权文件传送并存储于用户安全控制服务器;
[0016]所述所有者数据操作模块在数据分存时用于将数据D划分为η个份额(D1, D2, D3,…,Di,...Dn),调用各个云服务商的存储应用接口,向多云服务器系统的η个云服务器(S1, S2,S3,…,Si,...Sn)分发存储,并将存储位置信息发送给用户安全控制服务器进行存储。
[0017]优选的,所述的客户端代理包括用户安全操作模块和用户数据操作模块,其中
[0018]所述的用户安全操作模块发起查询用户安全控制服务器,如用户安全控制服务器存储有该用户授权文件,则将用户授权文件和相应的数据存储位置信息传送给用户安全操作模块,否则拒绝用户请求;在用户获得授权文件后,首先验证授权文件中包含的数据所有者对指定用户的签名信息,然后验证授权文件中的有效期;
[0019]如果授权文件的合法性和可信性通过验证,并且有效期合法,则用户数据操作模块提取授权文件中包含的授权数据对象信息,然后根据获得的数据在多云服务器系统中的存储位置信息,以及授权文件中包含的与云服务商的存储应用接口信息和数据解密密钥,与多云服务器系统通信,提取并合并(DpH…,Di,...Dn),接着完成数据的解密操作。
[0020]优选的,所述授权数据对象信息包括与云服务商的存储应用接口信息。
[0021]本发明提供的数据安全分存和指定用户分享系统有益效果为:
[0022]I)利用本发明提供的使用多云服务器实现云数据安全分存和指定用户分享的系统,可对云存储数据进行多云服务商分存,以保护数据存储安全;同时,由于采用数据分存的方式,任何单个云服务商无法恢复数据,从而实现云数据的安全分存。
[0023]2)利用本发明提供的使用多云服务器实现云数据安全分存和指定用户分享的系统,由于采用数据所有者对指定用户进行数据授权的访问控制方法,可以灵活的针对指定用户进行授权和撤权,只有授权用户可以读取并解密恢复分存的云数据,非授权用户无法解密恢复数据,实现了云数据的指定用户分享。
【附图说明】
[0024]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
[0025]图1为本发明提出使用多云服务器实现数据安全分存和指定用户分享的方法及其装置的实施方式;
[0026]图中:1.多云服务器系统;2.数据所有者代理;3.用户安全控制服务器;4.认证中心;5.客户端代理;
[0027]图2为本发明提出使用多云服务器实现数据安全分存和指定用户分享的方法及其装置的数据所有者代理2整体结构图;
[0028]图中:21.所有者安全操作模块;22.所有者数据操作模块;
[0029]图3为本发明提出使用多云服务器实现数据安全分存和指定用户分享的方法及其装置的客户端代理5整体结构图;
[0030]图中:51.用户安全操作模块;52.用户数据操作模块。
【具体实施方式】
[0031]下面将结合附图以及具体实施例来详细说明本发明,在此本发明的示意性实施例以及说明用来解释本发明,但并不作为对本发明的限定。
[0032]本发明的基本实施部署方式如附图1所示。多云服务器实现云数据安全分存和指定用户分享系统,包括多云服务器分存系统1、数据所有者代理2、用户安全控制服务器3、认证中心系统4、客户端代理5。所述的数据所有者端代理2完成数据D的加密操作,并分成η个份额(D1, D2, D3,…,Di,...Dn),并分存到多云服务器系统I ;多云服务器系统I则完成数据(D11D2lD3lU^DLMDn)在η个云服务器(S11S2lS3lU^SpMSn)上的分布存储,每个云服务器Si只存储其中一份数据D i;所述认证中心系统4为每个用户生成用户证书,并存储于用户安全控制服务器3 ;所述用户安全控制服务器3验证并存储用户信息、用户证书、云存储位置信息、授权文件等数据。所述授权文件包括指定用户、数据所有者对指定用户的签名信息、数据解密密钥,授权数据对象信息、授权有效期等内容。
[0033]所述多云服务器系统I包含多个云服务