排列。
[0033]在文件访问控制表中,以每个合法用户的身份标识为主键,将所有属于该用户的文件都加入到该列表之中,构成文件映射列表。在该表内的所有文件,都允许所属用户的读写、修改和删除等操作,其他的任何用户都没有访问该文件表内数据的任何权限。该用户进行的文件所有操作也仅限于该文件表,对于其他的文件表中的文件,用户将不再具有任何的访问权限,无法进行任何读写文件的操作。此外,设置某一文件属于特定的用户群组,可使得该群组中的所有用户都具有该文件的访问权限。
[0034]在移动客户端对文件进行传输之前,采用对称密钥在移动客户端对用户的文件数据加密,移动客户端获取到用户口令后,将其作为密钥的随机数源融入加密算法中,待密钥生成之后,再采用相应的加密算法对数据文件进行加密。解密时,由于同一随机数生成的密钥相同,因此用户只需在移动客户端输入口令便可以获取对应的密钥,从而完成解密工作。通过使用散列算法对用户口令进行散列运算,并将该散列值存于服务器的数据库中。简短的口令同时也简化了用户的密钥管理。
[0035]数据文件加密的操作流程具体步骤如下:
[0036]移动客户端获取本地数据文件块,根据一定的算法计算出其摘要,使用散列算法对摘要进行散列运算,根据用户选择的加密算法和输入的口令,移动客户端实例化加密算法的密钥对象,并将用户口令作为参数传入,通过对加密函数的调用,完成对数据文件块的加密,得到加密后的块文件。将口令同样使用散列算法对其进行求散列值的运算,并将其传输到服务器的数据库中保存。移动客户端在完成以上加密工作后,将加密的数据文件块和文件摘要的散列值一起上传至对应的数据节点中。文件写入操作结束,返回结果。
[0037]数据文件解密的操作流程具体步骤如下:
[0038]用户登录时输入账号和口令,移动客户端得到用户的验证请求信息后,使用散列算法对口令进行散列,从服务器的数据库中查找该账号用户对应口令的散列值,验证口令的散列值。若验证成功,则移动客户端从主服务器名字节点获取文件的元数据信息,与数据节点实现交互,完成数据文件的读取操作。读取到本地后的文件先进行解密操作。移动客户端接收到的数据文件包含两个部分,摘要散列值和加密的文件块。根据用户的加密选择对应的解密算法,利用口令作为密钥的随机数源,对文件块解密得到明文。接着,对该明文进行求取摘要操作并对摘要进行验证。
[0039]综上所述,本发明提出了一种智能终端安全交互方法,通过文件访问控制避免用户私有信息被窃取和篡改的的风险,提高了云存储环境下的信息安全性。
[0040]显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
[0041]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种智能终端安全交互方法,其特征在于,包括: 基于分布式文件系统构建数据存储管理系统,接收用户登录请求,当登录成功后对用户所上传的文件设置共享管理策略。2.根据权利要求1所述的方法,其特征在于,所述共享管理包括与所有系统使用者共享特定数据文件,允许非文件所有者共享和下载,仅允许文件所有者具有删除权限;用户登录系统前使用其可以唯一标识用户身份的信息输入相关信息完成用户的注册,在后台验证使用者身份;通过用户的选择获取文件的ID,作为索引搜索数据库的文件信息表;在与数据库的文件信息表实现交互后,获取该文件的共享状态、所有者以及加密的相关信息;当文件信息表的共享状态属性为“1”时,表示文件己共享,当文件信息表的共享状态属性为“0”时表示文件禁止共享;当用户下载或查看他人共享的文件时,以文件列表的形式列出了所有的共享文件,并以更新的时间倒序排列; 用户所输入的验证信息以会话的方式传递给后台服务器,用户对数据文件的操作请求先发送给主服务器名字节点,以获取相关文件的元数据信息;当名字节点返回数据文件元信息后,移动客户端根据元信息与对应数据节点交互实现文件数据的读写操作;并且在移动客户端与数据节点交互通信时,重新进行访问者的用户身份认证,即数据节点对移动客户端的身份认证,验证移动客户端是否已经与主服务器名字节点完成了身份认证并成功获取了数据文件的元信息;上述用户身份认证具体包括以下过程:以用户的唯一标识作为公钥,主服务器名字节点生成加密参数,为每一个合法的用户生成其对应的私钥并返回;通过设置密钥的使用期限,来控制其生命周期,当用户访问个人数据存储管理系统中的文件时,移动客户端首先向名字节点发出读取文件的请求,名字节点根据用户的元数据信息来判断用户的合法性;当用户通过身份认证后,名字节点会分别向用户和数据节点返回不同的参数,同时用户还收到相关文件的元数据信息;然后,移动客户端根据文件的地址信息向对应的数据节点发出读写文件的操作;数据节点对访问者作进一步的身份认证,当移动客户端通过数据节点的身份认证后,便可获取文件的访问权限以及存储地址信息,随后,读写文件的操作在移动客户端与数据节点之间直接进行; 用户成功登录数据存储管理系统后在系统中执行文件的读写操作,移动客户端先向主服务器名字节点发送文件操作请求,请求中包含有加密参数以及请求的服务类型;名字节点在解析请求后,查找文件的元数据块,并生成随机数;然后将这些元数据信息全部返回给移动客户端,同时也会向对应的数据节点传递相应的参数用以下一步的身份认证;具体过程如下:名字节点使用用户的加密参数和公钥将上述随机数加密成第一密文;名字节点将移动客户端用户的加密参数、公钥和随机数由安全通道传送给元数据信息映射表中对应的数据节点,并将所述第一密文和元数据信息返回给移动客户端;移动客户端收到名字节点传回的元数据信息,使用系统公钥和用户私钥对第一密文进行解密,得到第一明文;移动客户端利用用户私钥以及系统公钥和散列函数对第一明文进行加密,得到第二密文;移动客户端解析元数据信息,向对应的数据节点发出访问请求,其中包含第二密文;数据节点接收到移动客户端的访问请求信息,解析并尝试对其密文进行解密,使用名字节点提供的加密参数和公钥,成功解密后将获得第二明文,判断第二明文是否等于所述随机数,验证当前访问者是否属合法用户,且通过名字节点的验证请求并获取其文件元数据信息;当数据节点完成对移动客户端的访问身份认证后,授予移动客户端读写数据文件的权限;当一次身份 认证结束后,其中的随机参数被丢弃,在下一次的认证过程产生新的参数。
【专利摘要】本发明提供了一种智能终端安全交互方法,该方法包括:基于分布式文件系统构建数据存储管理系统,接收用户登录请求,当登录成功后对用户所上传的文件设置共享管理策略。本发明提出了一种智能终端安全交互方法,通过文件访问控制避免用户私有信息被窃取和篡改的风险,提高了云存储环境下的信息安全性。
【IPC分类】H04L29/06, H04L29/08
【公开号】CN105450750
【申请号】CN201510866587
【发明人】刘金明
【申请人】成都汇合乾元科技有限公司
【公开日】2016年3月30日
【申请日】2015年12月1日