原始数据按照固定大小分成了几小份,将每一份均存放到不同的服务器上。例如,以4KB作为切片单位,采用4台存储服务器。当原始文件大小是16KB时,需要按照文件中的偏移顺序,将偏移为O?4KB (不包含第4KB的数据)作为第一个切片,存放到存储服务器A ;依此类推,将4KB?8KB (不包含第8KB的数据)作为第二个切片,存放到存储服务器B ;将8KB?12KB (不包含第12KB的数据)作为第三个切片,存放到存储服务器C ;将12KB?16KB作为第四个切片,存放到存储服务器D。
[0118]参见图5,在存储服务器端,云存储数据的读取方法的具体处理流程,包括:
[0119]S501、接收客户端发送的读取数据请求,其中包括令牌以及需要读取的云存储数据的文件标识,并判断所述令牌中是否包含加密因子和加密算法;
[0120]S502、当该令牌中包含加密因子和加密算法时,所述存储服务器确定所述文件标识对应的密文,并利用所述加密因子和加密算法对所述密文进行解密,将解密得到的云存储数据返回给所述客户端。
[0121]其中,S501中客户端发送的读取数据请求中包含的令牌,还包括该令牌的有效时间,即在该令牌的有效时间指示该令牌有效,且该令牌中包含加密因子和加密算法时,执行S502。
[0122]参见图6,在元数据服务器端,云存储数据的读取控制方法的具体处理流程,包括:
[0123]S601、接收客户端发送的用于读取数据的登陆请求,从中获取用户名和密码以及该客户端需要读取的云存储数据的文件标识,对所述用户名和密码进行验证;
[0124]S602、当验证通过时,确定所述文件标识对应的加密因子和加密算法,向所述客户端返回令牌,其中包括所述加密因子和加密算法。
[0125]其中,S601接收客户端发送的登陆请求,并验证该登陆请求中的用户名和密码,当验证通过时,执行S602,向客户端返回的令牌中包括的该令牌的有效时间,即客户端必须在令牌的有效时间之内使用该令牌,否则元数据服务器或存储服务器会拒绝该令牌。
[0126]参见图7,在客户端,云存储数据的读取方法的具体处理流程,包括:
[0127]S701、向元数据服务器发送用于读取数据的登陆请求,其中包括用户名和密码以及需要读取的云存储数据的文件标识;
[0128]S702、接收所述元数据服务器返回的用于读取数据的令牌,其中包括所述文件标识对应的加密因子和加密算法;
[0129]S703、向存储服务器发送读取数据请求,其中包括所述令牌以及需要读取的云存储数据的文件标识。
[0130]较佳地,S702与S703中,元数据服务器返回的读取数据的令牌与向存储服务器发送读取数据请求中的令牌,都包括该令牌的有效时间,即客户端必须在令牌的有效时间之内使用该令牌,否则元数据服务器或存储服务器会拒绝该令牌。
[0131]较佳地,S703,客户端将从各个存储服务器获取解密后的数据切片,并按照顺序还原成原始云文件,再最终呈现给用户。
[0132]本发明实施例以创建云存储数据为例,具体说明整个系统访问控制、数据加密的流程包括:
[0133]步骤一、客户端SDK通过输入用户名和密码,向元数据服务器发送登陆请求,该请求中包括SDK输入的用户名与密码,还可以包含该客户端需要写入的云存储数据的文件标识。
[0134]步骤二、元数据服务器的鉴权管理模块对接收到登陆请求中的用户名和密码进行验证,验证通过后,将登陆请求中的用户名和密码,以及该客户端需要写入的云存储数据的文件标识交给加密管理模块;
[0135]步骤三、元数据服务器的加密管理模块为SDK随机生成一个加密因子,将生成的加密因子返回给SDK。与此同时,将云数据的加密算法即加密类型,(例如异或、偏移、RSA算法加密等)也返回给SDK。元数据服务器记录下随机生成的加密因子,加密算法与云文件标识的对应关系;
[0136]步骤四、SDK使用从元数据服务器发送信息中获取到的令牌连接到存储服务器,其中,元数据服务器发送信息中获取到的令牌,包括随机生成的加密因子与加密算法;
[0137]步骤五、存储服务器检的访问控制模块接收SDK发送的数据写入请求,并检查该令牌是否完整,即是否包含加密因子和加密算法,如果该令牌不完整,则直接拒绝该SDK访问该存储服务器,如果令牌完整,则将加密因子和加密算法交给数据加密解密模块,并执行步骤六;
[0138]步骤六、SDK将原始云文件按照规定大小进行数据切片(例如512字节/片、4KB/片、8KB/片、32KB/片等),然后将数据切片分别发送给不同的存储服务器;
[0139]步骤七、存储服务器收到数据切片后,通过数据加密解密模块,根据加密因子和加密算法进行加密运算,运算完成后,调用存储模块接口,将密文写入硬盘,并记录该密文与所述文件标识的对应关系。
[0140]本发明实施例以读取云存储数据为例,具体说明整个系统的访问控制、数据解密的流程:
[0141]步骤一、客户端SDK通过输入用户名和密码,向元数据服务器发送登陆请求,该请求中包括SDK输入的用户名与密码,以及想要读取的文件标识;
[0142]步骤二、元数据服务器的鉴权管理模块对接收到登陆请求中的用户名和密码进行验证,验证通过后,查询该文件标识对应的加密因子,通过该文件标识对应的加密因子和加密算法生成访问令牌,将该令牌返回给SDK ;
[0143]步骤三、SDK通过从元数据服务器获取到的访问令牌连接到存储数据切片的各个存储服务器;
[0144]步骤四、存储服务器检的访问控制模块接收SDK发送的数据读取请求,并检查该令牌是否完整,即是否包含加密因子和加密算法及想要读取的文件标识,如果令牌不完整,直接拒绝该SDK访问该存储服务器,如完整,如果令牌完整,则将加密因子和加密算法交给数据加密解密模块,并执行步骤五;
[0145]步骤五、存储服务器根据从元数据服务器获取到的访问令牌的文件标识,从硬盘读取加密后的该数据切片,并交给数据加密解密模块,该数据加密解密模块根据加密因子和加密算法进行解密,并将解密后的数据切片返回给SDK。
[0146]步骤六、SDK根据各个存储服务器返回的解密后的数据切片,按顺序还原成原始文件,并呈现给最终用户。
[0147]参见图8,在存储服务器端,本发明实施例提供的一种云存储数据的传输设备,包括:
[0148]访问控制模块801,用于接收客户端发送的数据写入请求,其中包括令牌、云存储数据以及该云存储数据的文件标识,并判断所述令牌中是否包含加密因子和加密算法;
[0149]数据加密解密模块802,用于当该令牌中包含加密因子和加密算法时,利用所述加密因子和加密算法对所述云存储数据进行加密,将加密得到的密文写入硬盘,并记录该密文与所述文件标识的对应关系。
[0150]较佳地,所述令牌中还包括该令牌的有效时间;
[0151]当该令牌中包含加密因子和加密算法,所述数据加密解密模块802利用所述加密因子和加密算法对所述云存储数据进行加密时,具体用于:
[0152]当该令牌中包含加密因子和加密算法,并且该令牌中的有效时间指示该令牌有效时,利用所述加密因子和加密算法对所述云存储数据进行加密。
[0153]较佳地,所述云存储数据为所述文件标识对应的云存储数据文件的数据切片。
[0154]较佳地,所述访问控制模块801还用于:接收客户端发送的读取数据请求,其中包括令牌以及需要读取的云存储数据的文件标识,并判断所述令牌中是否包含加密因子和加密算法;
[0155]所述数据加密解密模块802还用于:当客户端发送的读取数据请求中的令牌中包含加密因子和加密算法时,确定需要读取的云存储数据的文件标识对应的密文,并利用该读取数据请求中的加密因子和加密算法对所述密文进行解密,将解密得到的云存储数据返回给发送所述读取数据请求的客户端。
[0156]较佳地,所述读取数据请求中的令牌中还包括该令牌的有效时间;
[0157]当客户端发送的读取数据请求中的令牌中包含加密因子和加密算法时,所述数据加密解密模块802确定需要读取的云存储数据的文件标识对应的密文时,具体用于:
[0158]当客户端发送的读取数据请求中的令牌中包含加密因子和加密算法,并且该令牌中的有效时间指示该令牌有效时,确定需要读取的云存储数据的文件标识对应的密文。
[0159]也就是说,本发明实施例中所述的云存储数据的传输设备,既具有本发明实施例中数据写入功能,又具有本发明实施例中数据读取功能。
[0160]也就是说,本发明实施例中所述的云存储数据的传输设备可以为存储服务器。
[0161]参见图8,在元数据服务器端,本发明实施例提供一种云存储数据的写入控制设备,包括:
[0162]鉴权管理模块803,用于接收客户端发送的用于写入数据的登陆请求,从中获取用户名和密码以及该客户端需要写入的云存储数据的文件标识,对所述用户名和密码进行验证;
[0163]加密管理模块804,用于当验证通过时,确定该客户端对应的加密因子和加密算法,向所述客户端返回令牌,并记录所述加密因子、加密算法和