Nas服务器数据安全存储系统、安全存储及读取方法

Nas服务器数据安全存储系统、安全存储及读取方法
【技术领域】
[0001]本发明涉及计算机领域中的网络存储技术，具体涉及一种NAS服务器数据安全存储系统、数据安全存储方法及读取方法。
【背景技术】
[0002]随着计算机技术和互联网技术不断发展，带来了信息爆炸，各个领域的计算机数据都在以几何级数方式增长，外存储器特别是硬盘的单盘容量从十多年前几百MB发展到目前的几TB，存储方式也从十多年前的单机单硬盘方式发展到现在的以NAS (NetworkAttached Storage:网络附属存储)、SAN (存储区域网络)以及虚拟化方式的数据集中存储。随着数据存储技术的发展，数据的集中存储也带来了巨大的安全风险，除了容灾，备份外，需要考虑的就是机密数据的泄露问题；传统加密软件仅专注于个人计算机终端，而专注于NAS这样巨量数据存储加密的较少；本发明主要专注于使用加密的方法保护NAS存储服务器上的机密数据不被泄露；确保即使攻击者使用服务器管理员权限账户从后台登入也无法获得机密数据；即使直接从硬盘中拷贝文件，也无法得到机密的明文数据；本发明还可以在线为用户生成透明加密文件，权限加密文件和外发加密文件，为用户省去在终端上处理的麻烦，更加有利于文件数据集中存储的工作流程。

【发明内容】

[0003]针对现有技术中存在的缺陷，本发明的目的在于提供一种NAS服务器数据安全存储系统、安全存储及读取方法，实现NAS巨量数据的安全存储，提高NAS存储服务器机密数据集中存储的安全性。
[0004]为实现上述目的，本发明采用的技术方案如下:
[0005]一种NAS服务器数据安全存储系统，包括:
[0006]权限服务器，用于根据用户权限生成文件安全策略和用户证书，并将文件安全策略发送给NAS服务器，将用户证书发送给用户；所述的文件安全策略包括策略号、需要保护的文件目录或文件类型、以及文件的访问权限；所述的用户证书包括用户信息和证书对应的策略号；
[0007]NAS服务器，用于根据用户的写入请求对文件进行安全存储以及根据用户的读取请求向用户发送请求的文件；所述的NAS服务器包括文件保护装置，文件保护装置包括:
[0008]用户证书检测模块，用于检测用户证书的完整性和有效性；
[0009]安全策略匹配模块，用于根据用户证书中的策略号匹配NAS服务器中对应的文件安全策略，并将匹配出的文件安全策略发送到目录虚拟化模块；
[0010]目录虚拟化模块，用于根据文件安全策略为用户虚拟出与其用户权限匹配的虚拟目录和文件访问策略；所述虚拟目录用于记录与用户权限匹配的文件信息。
[0011 ] 进一步，如上所述的一种NAS服务器数据安全存储系统，所述的NAS服务器还包括文件加解密装置，文件加解密装置包括:
[0012]全局加解密模块，用于对用户请求读取的文件进行解密，得到明文，以及用于对用户请求写入的文件进行加密，得到密文；
[0013]类型密文生成模块，用于根据文件输出加密策略对全局加解密模块解密得到的明文进行加密，得到类型密文，并将类型密文发送到用户；所述的类型密文包括普通明文文件、透明加密文件、权限加密文件和外发加密文件。
[0014]进一步，如上所述的一种NAS服务器数据安全存储系统，所述的文件加解密装置还包括:
[0015]文件类型判别器，用于判别需要存储的文件的类型；
[0016]文件索引生成器，用于生成需要存储的文件的索引信息；所述的索引信息包括文件的类型、名称和大小。
[0017]进一步，如上所述的一种NAS服务器数据安全存储系统，所述的文件保护装置还包括:
[0018]文件索引库，用于保存文件索引信息；
[0019]文件索引查询模块，用于根据用户的读取请求，在文件索引库中查询用户请求读取的文件的索引信息。
[0020]进一步，如上所述的一种NAS服务器数据安全存储系统，所述的权限服务器包括:
[0021]用户访问申请装置，用于用户向权限服务器发起访问申请，并在用户身份确认通过后为用户匹配用户权限；
[0022]用户认证器，用于确认登录到权限服务器的用户身份；
[0023]文件安全策略生成装置，用于根据用户权限生成与用户权限对应的文件安全策略和用户证书。
[0024]进一步，如上所述的一种NAS服务器数据安全存储系统，所述的权限服务器还包括:
[0025]全局用户列表，用于保存NAS服务器全部用户的用户ID ；
[0026]权限数据库，用于保存NAS服务器全部用户的用户权限；
[0027]角色用户组:用于将全局用户列表中的用户进行分组。
[0028]进一步，如上所述的一种NAS服务器数据安全存储系统，用户权限分为四个等级，用户权限等级不同，用户对NAS服务器中文件的读取权限不同；最高权限用户拥有普通明文文件、透明加密文件、权限加密文件和外发加密文件的读取权限，次之的拥有透明加密文件、权限加密文件和外发加密文件的读取权限，再次之的拥有权限加密文件和外发加密文件的读取权限，最低权限用户拥有外发加密文件的读取权限。
[0029]一种NAS服务器数据安全存储方法，包括以下步骤:
[0030](I)用户登陆到权限服务器，权限服务器为用户匹配用户权限，并根据用户权限生成文件安全策略和用户证书；所述的文件安全策略包括策略号、需要保护的文件目录或文件类型、以及文件的访问权限；所述的用户证书包括用户信息和证书对应的策略号；
[0031](2)权限服务器将所述的文件安全策略发送给NAS服务器，将用户证书发送给用户；
[0032](3)将所述的用户证书进行本地关联运算，生成用户本地证书；用户本地证书包括与用户证书中相同的策略号；
[0033](4)用户通过用户本地证书登陆NAS服务器，NAS服务器根据用户本地证书中的策略号匹配出NAS服务器中对应的文件安全策略，并根据文件安全策略为用户虚拟出与其用户权限匹配的虚拟目录和文件访问策略；所述虚拟目录用于记录与用户权限匹配的文件信息；
[0034](5)用户向NAS服务器发送文件写入请求，将待写入文件存储到NAS服务器。
[0035]进一步，如上所述的一种NAS服务器数据安全存储方法，步骤(5)中，将待写入文件存储到NAS服务器外存储装置中的具体方式包括:
[0036]I)判别待写入文件的文件类型，并生成文件的索引信息；
[0037]2)通过全局加解密模块对待写入文件进行加密，将加密后的文件存储到NAS服务器中。
[0038]一种NAS服务器数据安全读取方法，包括以下步骤:
[0039](I)用户登陆到权限服务器，权限服务器为用户匹配用户权限，并根据用户权限生成文件安全策略和用户证书；所述的文件安全策略包括策略号、需要保护的文件目录或文件类型、以及文件的访问权限；所述的用户证书包括用户信息和证书对应的策略号；
[0040](2)权限服务器将所述的文件安全策略发送给NAS服务器，将用户证书发送给用户；
[0041](3)将所述的用户证书进行本地关联运算，生成用户本地证书；用户本地证书包括与用户证书中相同的策略号；
[0042](4)用户通过用户本地证书登陆NAS服务器，并向NAS服务器发起文件读取请求；
[0043](5) NAS服务器根据用户的读取请求将对应的文件发送给用户。
[0044]进一步，如上所述的一种NAS服务器数据安全读取方法，步骤(5)中，NAS服务器将文件发送给用户的具体方式包括:
[0045]I)通过全局加解密模块对用户请求读取的文件进行解密，得到解