一种存储器信息获取方法
【技术领域】
[0001]本发明涉及数据存储和读取,特别涉及一种存储器信息获取方法。
【背景技术】
[0002]随着信息技术的飞速发展,企业和个人所拥有的数据总量在不断地增加。相比将大量数据放置在本地,越来越多的人们开始选择使用云存储系统存储数据,不仅可以满足用户间数据共享的需求,还能为用户提供高可靠性及可用性的数据服务。虽然云存储系统在数据的可靠性和可用性方面能够提供较强的保障,但很多云存储系统在对用户数据的安全保障方面却不够重视,从而导致了许多泄漏用户数据事件的发生,数据安全问题在一定程度上阻碍了云存储的发展。
【发明内容】
[0003]为解决上述现有技术所存在的问题,本发明提出了一种存储器信息获取方法,用于移动终端获取云存储系统中存储的信息,其特征在于,包括:
[0004]移动终端利用移动终端加密单元对移动终端的数据进行加密和解密以及完整性校验;
[0005]云存储系统的服务器利用服务器安全控制单元控制用户的获取权限,并管理安全配置文件;
[0006]通过第三方认证模块完成密钥的生成与管理以及证书校验。
[0007]优选地,所述第三方认证模块以文件为最小加密单位进行密钥管理,文件密钥以密文的形式保存在安全配置文件中;用户的公私钥对由认证模块生成,公钥由认证模块维护,私钥由用户管理,从而提高系统中用户数据的安全性;
[0008]密钥管理分为文件密钥管理和用户私钥管理,对于文件密钥管理,在移动终端加密单元对文件进行加密的过程中,将文件的散列值作为加密文件的密钥,随后移动终端将向认证模块获取有权访问此文件的所有用户的公钥,并使用这些公钥对文件密钥分别进行加密,然后将密钥的密文存放在安全配置文件的存取控制列表当中;
[0009]对于用户私钥管理,将用户私钥存放在移动终端,采用了公私钥体系,允许合法用户从安全配置文件中得到文件密钥密文,然后用其私钥解密出文件密钥,最终解密出数据文件的明文;
[0010]所述安全配置文件用于记录文件的安全属性信息,在云存储系统中对每个用户文件设置对应的安全配置文件,当有用户上传新文件时云存储系统为此文件生成相应的安全配置文件,服务器将其以二进制的形式保存,并随数据文件一同存入底层存储系统,所述安全配置文件中包括:所有者信息,文件名散列值,加密模式和散列模式,存取控制列表,在存取控制列表中为每个可以合法访问此文件的用户保存了一份该文件密钥的密文,以使用户获取该密文进行相关的业务逻辑操作。
[0011]优选地,所述管理安全配置文件进一步包括:
[0012]采用平衡二叉树的结构在服务器端实现安全配置文件的缓存机制,将最近使用过的配置文件缓存在内存中,而不是实时写回底层云存储系统,采用LRU算法作为安全配置文件的替换算法,向平衡二叉树中的每个节点即每个安全配置文件对象添加prev指针和next指针,构成双向队列,若某个节点对应的安全配置文件被使用,服务器安全控制单元会将此结点移至队列末尾;当缓存空间不足时,将此队列中的队头节点从缓存中写回并清除;定期写回所有的安全配置文件;在添加缓存之后,服务器按照以下流程查找安全配置文件:
[0013]I)当查找某一文件对应的安全配置文件时,首先判断其是否已存在于当前的缓存当中;
[0014]2)若在缓存中已经存有此配置文件,则更新LRU队列并将其置于队列的最后端;
[0015]3)若未能从缓存中找到相应的配置文件,则从保存在云端的安全配置文件中读取所需的信息并在内存中构造相应的数据结构,在将构造好的配置文件结构放入缓存队列之前,检查缓存是否已满;
[0016]4)若缓存队列已满,则将其中最少最久没有使用的配置文件删除,即将队头元素清除;
[0017]5)若缓存队列未满,将新配置文件插入到队列的最后端;
[0018]6)最后返回所需的安全配置文件。
[0019]优选地,所述移动终端加密单元以库函数或包的形式给出,供云存储系统移动终端进行调用;服务器安全控制单元分为服务器接口和安全配置文件服务器两部分,其中服务器接口部分以库函数或者包的形式给出;安全配置文件服务器则以独立进程的形式运行,用于安全配置文件的读写及其缓存操作;安全配置文件服务器与服务器接口之间采用socket接口进行信息交互,从而实现安全配置文件信息的传递;移动终端部分和服务器接口部分分别使用OpenSSL和JAVA内置的加解密库来实现;安全配置文件服务器部分提供Socket接口供服务器接口部分调用,实现对不同语言平台的兼容;使用OpenSSL工具搭建认证模块,并在移动终端部分调用其认证相关的接口。
[0020]本发明相比现有技术,具有以下优点:
[0021]本发明提出了一种存储器信息获取方法,在云存储系统中保障用户数据安全,并且在性能开销方面不会给服务器端造成影响。
【附图说明】
[0022]图1是根据本发明实施例的存储器信息获取方法的流程图。
【具体实施方式】
[0023]下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
[0024]本发明的一方面提供了一种存储器信息获取方法。图1是根据本发明实施例的存储器信息获取方法流程图。本发明利用结构相对独立的云存储安全控制系统,使得大量对用户数据安全性保护较弱的云存储系统能够便捷地将该模块整合到自身的业务逻辑当中,在不影响其他功能的前提下,为用户提供数据私密性、数据完整性和获取权限控制等安全机制。
[0025]本发明的安全控制系统分为三个部分:移动终端加密单元、服务器安全控制单元和认证模块。移动终端加密单元用于数据的加解密、完整性校验;服务器安全控制单元用于用户的获取权限控制与安全配置文件的管理;认证模块作为独立于云存储提供商的第三方存在于整个系统当中,用于密钥的生成与管理、证书颁发与校验等工作,其目的是加强系统的安全性与权威性。云存储提供商只需在云存储系统的移动终端与服务器的交互中,按照一定的逻辑调用安全控制系统中的函数,即可提供相应的数据安全保障。
[0026]本发明采用以文件为最小加密单位的分立式密钥管理方法。在本发明密钥管理方法中,文件密钥以密文的形式保存在安全配置文件中;用户的公私钥对由认证模块用于生成,公钥由认证模块用于维护,私钥由用户管理,从而提高系统中用户数据的安全性。分立式密钥管理主要分为文件密钥管理和用户私钥管理两部分。
[0027]安全控制系统在对文件进行加密的过程中采用了数据自加密技术,即移动终端加密单元将文件的散列值作为加密文件的密钥。随后移动终端将向认证模块获取有权访问此文件的所有用户的公钥,并使用这些公钥对文件密钥分别进行加密,然后将密钥的密文存放在安全配置文件的存取控制列表当中。
[0028]用户私钥存放在移动终端,它是整个系统中最重要的一环。安全控制系统采用了公私钥体系,允许合法用户从全配置文件中得到文件密钥密文,然后用其私钥解密出文件密钥,最终解密出数据文件的明文。整个加解密过程只有用户私钥是未经加密的,用户只需保管好该私钥就可以保证数据的安全。
[0029]通过这种分立式的管理方式,大部分的密钥管理工作都是由认证模块和安全配置文件服务器来完成的,使得原有云存储系统不必了解过多的密钥管理机制就可以有效地保证数据的私密性与完整性。
[0030]安全配置文件用于记录文件的安全属性信息,在加载了本发明的安全控制系统的云存储系统中,每个用户文件都有与之对应的安全配置文件。当有用户上传新文件时云存储系统便会调用安全控制系统接口为此文件生成相应的安全配置文件,此后,安全配置文件服务器会将其以二进制的形式保存在配置文件当中,并随数据文件一同存入底层存储系统。安全配置文件中包括:所有者信息,文件名散列值,加密模式和散列模式,存取控制列表等。系统在存取控制列表中为每个可以合法访问此文件的用户保存了一份该文件密钥的密文,这些用户可以随时获取该密文进行相关的业务逻辑操作。
[0031]为提高系统效率,减少服务器安全控制单元的性能开销,本发明为安全配置文件添加了缓存机制。安全控制系统将最近使用过的配置文件缓存在内存中,而不是实时地写回底层云存储系统。
[0032]本发明安全控制系统采用平衡二叉树的结构在服务器端实现安全配置文件的缓存机制。为有效的清除缓存以节约系统的内存空间,安全控制系统采用LRU算法作为安全配置文件的替换算法,具体做法为:向平衡二叉树中的每个节点(每个安全配置文件对象)添加prev指针和next指针构成双向队列。若某个节点对应的安全配置文件被使用,服务器安全控制单元会将此结点移至队列末尾。当缓存空间不足时,系统将此队列中的队头节点从缓存中写回并清除即可。
[0033]为了防止意外的发生(例如服务器机房突然断电等),系统将定期写回所有的安全配置文件。下面以安全配置文件的查找为例介绍添加缓存后服务器操作安全配置文