一种基于文档层级的高安全性外部存储方法
【专利摘要】本发明公开了一种基于文档层级的高安全性外部存储方法,包括读取的步骤和更新覆写的步骤;所述读取的步骤具体如下:S1、用户认证;S2、授权存取文件列表;S3、产生读取区块请求;S4、检验读取请求;S5、拒绝读取;S6、执行读取请求。所述更新覆写的步骤具体如下:S1、用户认证;S2、授权存取文件列表;S3、文件更新或创建;S4、产生更新覆写区块请求;S5、检验覆写请求;S6、执行覆写请求;S7、非法覆写处理;S8、计算文档散列;S9、更新文件签名。本发明的存储方法安全性高,可达到文件层级的安全性,系统还可追踪记录所有用户的IO访问历史,提高了存储的安全性和保密性。
【专利说明】
一种基于文档层级的高安全性外部存储方法
技术领域
[0001 ]本发明涉及一种基于文档层级的高安全性外部存储方法。
【背景技术】
[0002]目前的U盘安全性是通过单次访问的授权模式例如加密的U盘在使用者输入密码或指纹解锁后便可擦写整个U盘的所有文文件这种模式因为无法分辨文件系统与底层储存区块间的相互关系无法就个别文档做存取管控。
[0003]然而个别文档存取管控在安全要求高的行业有其必须性例如政府及军方有对文件机密级别要求一旦不小心将不同机密等级档案复制到外部U盘将产生不可弥补后果或是银行将客户机密错误复制给另一客户亦会造成商业损失。
【发明内容】
[0004]本发明目的是针对现有技术存在的缺陷提供一种基于文档层级的高安全性外部存储方法。
[0005]本发明为实现上述目的,采用如下技术方案:一种基于文档层级的高安全性外部存储方法,包括读取的步骤,所述读取的步骤具体如下:
[0006]S1、用户认证:用户通过操作系统中的访问授权系统向授权服务系统验证用户身分;
[0007]S2、授权存取文件列表:授权服务系统将经过验证的用户所有合法存取文件的签名通过访问授权系统及1接口送往外部存储设备中的存储访问授权逻辑单元;由存储访问授权逻辑单元使用根据一般公钥基础设施(PKI)交换公开密钥的规范,取得的授权服务系统中的公开密钥,计算出合法读取的所有文件的散列(HASH)列表;
[0008]S3、产生读取区块请求:用户通过文件操作并经过操作系统中的文件系统和底层驱动向外部存储设备发出读取区块请求;
[0009]S4、检验读取请求:外部存储设备中的存储访问授权逻辑单元通过操作系统中的文件系统找出读取区块请求所对应的文件,并反算出文件的散列(HASH),然后将此散列与步骤S2中所得到的授权文件的散列列表进行比对;
[0010]S5、拒绝读取:如果在步骤S4中计算出的散列不在授权文件的散列列表内,则用户所提出的读取区块请求为非法请求,存储访问授权逻辑单元则回传随机无意义的内容,作为步骤S3中的读取区块请求的回复;
[0011]S6、执行读取请求:如果在步骤S4中计算出的散列在授权文件的散列列表内,则用户所提出的读取区块请求为合法请求,存储访问授权逻辑单元则允许执行步骤S3的读取区块请求,并回传所请求的读取内容。
[0012]—种基于文档层级的高安全性外部存储方法,包括更新覆写的步骤;
[0013]所述更新覆写的步骤具体如下:
[0014]S1、用户认证:用户通过操作系统中的访问授权系统向授权服务系统验证用户身分;
[0015]S2、授权存取文件列表:授权服务系统将经过验证的用户所有合法存取文件的签名,及该用户对此外部存储设备的覆写权限,通过访问授权系统及1接口送往外部存储设备中的存储访问授权逻辑单元;由存储访问授权逻辑单元使用根据一般公钥基础设施(PKI)交换公开密钥的规范,取得的授权服务系统中的公开密钥,计算出合法存取的所有文件的散列(HASH)列表,及用户的覆写权限;
[0016]S3、文件更新或创建:用户通过文件操作并经操作系统中的文件系统更新或创建文件;
[0017]S4、产生更新覆写区块请求:步骤S3中的用户文件操作经底层驱动向外部存储设备发出覆写区块请求;
[0018]S5、检验覆写请求:外部存储设备中的存储访问授权逻辑单元通过操作系统中的文件系统找出覆写区块请求所对应的文件,如果是更新已存在的文件,则反算出该文件的散列(HASH),并将此散列与步骤S2中所得到的授权档散列列表比对,以决定该覆写请求为合法或是非法请求;如果是新创建的文件,则根据步骤S2得出的用户的覆写权限,以决定该覆写请求为合法或是非法请求;
[0019]S6、执行覆写请求:执行步骤S5所判断的合法覆写请求;
[0020]S7、非法覆写处理:拒绝步骤S5所判断的非法覆写请求;
[0021]S8、计算文档散列:步骤S3中的文件更新或创建发生,并产生覆写区块请求时,访问授权系统对新建立的文件或更新过后的文件内容计算出散列,并送往授权服务系统;
[0022]S9、更新文件签名:授权服务系统用其私钥将更新文件的散列签署,通过访问授权系统及1接口推送至外部存储设备中的存储访问授权逻辑单元。
[0023]本发明的有益效果:本发明的存储方法安全性高,可达到文件层级的安全性,系统还可追踪记录所有用户的1访问历史,大大提高存储的安全性和保密性。
【附图说明】
[0024]图1本发明的功能结构示意图。
[0025]图2本发明的读取流程示意图。
[0026]图3本发明的更新覆写流程示意图。
【具体实施方式】
[0027]图1所示,公开了一种基于文档层级的高安全性外部存储系统,
[0028]包括操作系统,设置在操作系统中的访问授权系统和文件系统;其中,所述访问授权系统通过本地网络或者无线方式与授权服务系統连接。
[0029]其中的操作系统,其有不同外设,文件系统及不同读写权限的文件A/B。
[0030]访问授权系统,对外设的读写权限做管控,可以为一远程授权系统或本机应用。
[0031]授权服务系統,为实际管理各文件权限的控制方,常与本机操作系统的用户不为同一人或单位。例如为一个与访问授权系统建立一 PKI(公钥基础设施)加密管道的服务器,其内部数据库带有用户权限控管表。
[0032]10接口,其是外部存储设备与操作系统软硬件之间的连接设备。
[0033]外部存储设备(云盾盘),构成如下:
[0034]1、底层区块存储(block storage)所有硬盘或闪存都是以同样大小的扇区块(通常为512字节至4K Bytes)作为存储单位。
[0035]2、文件系统,底层区块存储中设有操作系统中的文件系统记录文件的存储区块范围。
[0036]3、存储访问授权逻辑,负责针对操作系统对底层区块访问要求,利用文件系统转化为对应文件的存取要求,进行相对应权限的核对,并依核对结果对1接口响应或拒绝操作系统的访问要求。
[0037]图2所示,为一种基于文档层级的高安全性外部存储方法,包括读取的步骤,所述读取的步骤具体如下:
[0038]S1、用户认证:用户通过操作系统中的访问授权系统向授权服务系统验证用户身分;
[0039]S2、授权存取文件列表:授权服务系统将经过验证的用户所有合法存取文件的签名通过访问授权系统及1接口送往外部存储设备中的存储访问授权逻辑单元;由存储访问授权逻辑单元使用根据一般公钥基础设施(PKI)交换公开密钥的规范,取得的授权服务系统中的公开密钥,计算出合法读取的所有文件的散列(HASH)列表;
[0040]S3、产生读取区块请求:用户通过文件操作并经过操作系统中的文件系统和底层驱动向外部存储设备发出读取区块请求;
[0041]S4、检验读取请求:外部存储设备中的存储访问授权逻辑单元通过操作系统中的文件系统找出读取区块请求所对应的文件,并反算出文件的散列(HASH),然后将此散列与步骤S2中所得到的授权文件的散列列表进行比对;
[0042]S5、拒绝读取:如果在步骤S4中计算出的散列不在授权文件的散列列表内,则用户所提出的读取区块请求为非法请求,存储访问授权逻辑单元则回传随机无意义的内容,作为步骤S3中的读取区块请求的回复;
[0043]S6、执行读取请求:如果在步骤S4中计算出的散列在授权文件的散列列表内,则用户所提出的读取区块请求为合法请求,存储访问授权逻辑单元则允许执行步骤S3的读取区块请求,并回传所请求的读取内容。
[0044]图3所示,为一种基于文档层级的高安全性外部存储方法,包括更新覆写的步骤;
[0045]所述更新覆写的步骤具体如下:
[0046]S1、用户认证:用户通过操作系统中的访问授权系统向授权服务系统验证用户身分;
[0047]S2、授权存取文件列表:授权服务系统将经过验证的用户所有合法存取文件的签名,及该用户对此外部存储设备的覆写权限,通过访问授权系统及1接口送往外部存储设备中的存储访问授权逻辑单元;由存储访问授权逻辑单元使用根据一般公钥基础设施(PKI)交换公开密钥的规范,取得的授权服务系统中的公开密钥,计算出合法存取的所有文件的散列(HASH)列表,及用户的覆写权限;
[0048]S3、文件更新或创建:用户通过文件操作并经操作系统中的文件系统更新或创建文件;
[0049]S4、产生更新覆写区块请求:步骤S3中的用户文件操作经底层驱动向外部存储设备发出覆写区块请求;
[0050]S5、检验覆写请求:外部存储设备中的存储访问授权逻辑单元通过操作系统中的文件系统找出覆写区块请求所对应的文件,如果是更新已存在的文件,则反算出该文件的散列(HASH),并将此散列与步骤S2中所得到的授权档散列列表比对,以决定该覆写请求为合法或是非法请求;如果是新创建的文件,则根据步骤S2得出的用户的覆写权限,以决定该覆写请求为合法或是非法请求;
[0051 ] S6、执行覆写请求:执行步骤S5所判断的合法覆写请求;
[0052]S7、非法覆写处理:拒绝步骤S5所判断的非法覆写请求;
[0053]S8、计算文档散列:步骤S3中的文件更新或创建发生,并产生覆写区块请求时,访问授权系统对新建立的文件或更新过后的文件内容计算出散列,并送往授权服务系统;
[0054]S9、更新文件签名:授权服务系统用其私钥将更新文件的散列签署,通过访问授权系统及1接口推送至外部存储设备中的存储访问授权逻辑单元。
[0055]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种基于文档层级的高安全性外部存储方法,其特征在于,包括读取的步骤,所述读取的步骤具体如下: S1、用户认证:用户通过操作系统中的访问授权系统向授权服务系统验证用户身分; S2、授权存取文件列表:授权服务系统将经过验证的用户所有合法存取文件的签名通过访问授权系统及1接口送往外部存储设备中的存储访问授权逻辑单元;由存储访问授权逻辑单元使用根据一般公钥基础设施(PKI)交换公开密钥的规范,取得的授权服务系统中的公开密钥,计算出合法读取的所有文件的散列(HASH)列表; S3、产生读取区块请求:用户通过文件操作并经过操作系统中的文件系统和底层驱动向外部存储设备发出读取区块请求; S4、检验读取请求:外部存储设备中的存储访问授权逻辑单元通过操作系统中的文件系统找出读取区块请求所对应的文件,并反算出文件的散列(HASH),然后将此散列与步骤S2中所得到的授权文件的散列列表进行比对; S5、拒绝读取:如果在步骤S4中计算出的散列不在授权文件的散列列表内,则用户所提出的读取区块请求为非法请求,存储访问授权逻辑单元则回传随机无意义的内容,作为步骤S3中的读取区块请求的回复; S6、执行读取请求:如果在步骤S4中计算出的散列在授权文件的散列列表内,则用户所提出的读取区块请求为合法请求,存储访问授权逻辑单元则允许执行步骤S3的读取区块请求,并回传所请求的读取内容。2.—种基于文档层级的高安全性外部存储方法,其特征在于,包括更新覆写的步骤; 所述更新覆写的步骤具体如下: S1、用户认证:用户通过操作系统中的访问授权系统向授权服务系统验证用户身分; S2、授权存取文件列表:授权服务系统将经过验证的用户所有合法存取文件的签名,及该用户对此外部存储设备的覆写权限,通过访问授权系统及1接口送往外部存储设备中的存储访问授权逻辑单元;由存储访问授权逻辑单元使用根据一般公钥基础设施(PKI)交换公开密钥的规范,取得的授权服务系统中的公开密钥,计算出合法存取的所有文件的散列(HASH)列表,及用户的覆写权限; S3、文件更新或创建:用户通过文件操作并经操作系统中的文件系统更新或创建文件; S4、产生更新覆写区块请求:步骤S3中的用户文件操作经底层驱动向外部存储设备发出覆写区块请求; S5、检验覆写请求:外部存储设备中的存储访问授权逻辑单元通过操作系统中的文件系统找出覆写区块请求所对应的文件,如果是更新已存在的文件,则反算出该文件的散列(HASH),并将此散列与步骤S2中所得到的授权档散列列表比对,以决定该覆写请求为合法或是非法请求;如果是新创建的文件,则根据步骤S2得出的用户的覆写权限,以决定该覆写请求为合法或是非法请求; S6、执行覆写请求:执行步骤S5所判断的合法覆写请求; S7、非法覆写处理:拒绝步骤S5所判断的非法覆写请求; S8、计算文档散列:步骤S3中的文件更新或创建发生,并产生覆写区块请求时,访问授权系统对新建立的文件或更新过后的文件内容计算出散列,并送往授权服务系统; S9、更新文件签名:授权服务系统用其私钥将更新文件的散列签署,通过访问授权系统及1接口推送至外部存储设备中的存储访问授权逻辑单元。
【文档编号】G06F21/34GK105989311SQ201610522231
【公开日】2016年10月5日
【申请日】2016年7月4日
【发明人】王钧彝, 范茂怡, 刘洋
【申请人】南京金佰达电子科技有限公司