基于边缘服务器的云存储系统的制作方法

本发明属于云存储和文件加密系统，具体涉及一种基于边缘服务器的云存储系统。

背景技术：

云存储系统是指通过集群应用、网络技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统，其继承了云计算的并行计算、网格计算和分布式处理的几大特点并以此为基础进行了拓展。

云存储系统的提出和广泛应用打破了传统存储方式的空间限制，间接地拓展了设备存储容量。但用户在享受云存储供应商所提供服务的同时，也丧失了对数据的绝对控制权：放置在云存储服务器的文件对于提供服务的供应商层面完全暴露，存储在云端数据的安全性和用户的隐私完全取决于云存储供应商采取的安全策略。一旦供应商提供的安全机制被破解，用户在云服务端存储的数据对突破者便是可获取的，安全性问题是制约着云存储服务发展与推广的主要因素之一。由此，从隐私安全的考虑，用户可能选择性的将重要文件，如私密照片单独存储在本地，而把一些其它照片放在云存储空间中；但这样的选择性存储不仅破坏了用户的云服务体验，同时也与云存储服务的本质相违背。

现有云存储系统中，文件加密存储是解决文件在云端机密性问题的主流方法，为保护云存储应用的用户数据，数据所有者将其数据上传到云服务器之前在底层设备上对数据进行加密，由于底层设备多为手机或传感器等计算能力有限的设备，当采取较为复杂的加密算法时会对底层设备造成较大的负担，影响设备的正常运行；同时，由于底层设备与云端直接连接，会出现来自各地的大量设备同时与云端服务器进行数据交互导致云端负载较大的情况，也存在着文件元数据和加密信息管理维护等问题。

本发明在基于传统云计算服务所采用的云端-底层设备两层结构中加入边缘层，形成云端-边缘-底层设备的三层云计算结构。其中，边缘层所提供的运算服务即为边缘计算。引入边缘层的三层云结构减小了云端服务器的负载，加强了云端应用对底层设备的管理，同时可以通过在边缘服务器上加载应用来实现云服务。

技术实现要素：

本发明提供一种基于边缘服务器的云存储系统，解决现有云存储系统云端不可信问题。

本发明所提供的一种基于边缘服务器的云存储系统，包括云端服务器和用户端的底层设备，其特征在于：

所述用户端的底层设备和云端服务器之间通过边缘服务器进行文件上传和下载服务；

所述底层设备搭载客户端，进行下述操作：(1)向边缘服务器上传待存储文件；(2)向边缘服务器发出文件下载请求，请求待下载文件；所述底层设备为便携式移动计算设备；

所述边缘服务器内存储有加密算法库、设备目录、哈希特征值列表以及上传文件元信息列表，并具有文件加密、文件解密能力；边缘服务器进行下述操作：(3)向云端服务器上传待存储文件：对所述设备目录内的底层设备上传的待存储文件加密后发送至云端服务器；(4)从云端服务器下载文件：从云端服务器下载所述设备目录内的底层设备请求下载的文件，解密后发送至底层设备；

所述边缘服务器为独立于云服务器的计算设备，包括计算机或便携式移动设备；所述加密算法库中包括DES加密算法、RSA加密算法；所述设备目录中预先存储底层设备的标识信息，底层设备的数量仅考虑受边缘服务器内存容量的限制；在其他条件没有限制的情况下，如果一个底层设备需要512MB的内存支持，那么一个内存为16GB的边缘服务器理论上可以同时为32个底层设备提供服务；所述哈希特征值列表用于保存对文件进行哈希计算所得到哈希特征值；所述上传文件元信息列表用于保存上传文件元信息；

所述DES称为数据加密算法，是一种对称加密算法，IBM曾对其拥有专利权，但是在1983年专利权到期后，处于公有范围，1997年被美国政府正式采纳，可以直接从互联网获得。所述RSA称为公钥加密算法，是1977年由Ron Rivest、阿迪·萨莫尔Adi Shamir和Leonard Adleman共同提出，RSA为他们三人姓氏开头首字母，当时他们三人都在麻省理工学院工作；1987年首次公布，可以直接从互联网获得；

所述云端服务器采取现有的公有云端服务器，存储边缘服务器上传的加密文件；下载文件到边缘服务器；所述公有云端服务器包括腾讯云端服务器、百度云端服务器、阿里云端服务器、华为云端服务器。

所述的基于边缘服务器的云存储系统，其进一步特征在于：

(1)所述底层设备向边缘服务器上传待存储文件时，包括下述操作：

(1.1)和边缘服务器进行匹配：向边缘服务器发送自身标识信息，等待边缘服务器给出匹配结果，匹配成功则进行(1.2)，匹配失败则无法继续操作；所述标识信息为底层设备自身唯一标识，包括设备编号；

(1.2)底层设备选择用户的待存储文件，同时根据边缘服务器的匹配成功消息，从边缘服务器的加密算法库中选取加密算法；

(1.3)底层设备向边缘服务器发出存储文件请求，存储文件请求包括待存储文件、文件元信息及加密算法，文件元信息包括文件名、文件类型和文件大小；

(2)底层设备向边缘服务器发出文件下载请求时，包括下述操作：

(2.1)和边缘服务器进行匹配：向边缘服务器发送自身标识信息，等待边缘服务器给出匹配结果，匹配成功则进行(2.2)，匹配失败则无法继续操作；

(2.2)底层设备从用户获取待下载文件的文件元信息；

(2.3)底层设备向边缘服务器发出下载请求，下载请求包括待下载文件的文件元信息。

所述的基于边缘服务器的云存储系统，其更进一步特征在于：

(3)所述边缘服务器向云端服务器上传待存储文件，包括下述操作：

(3.1)和底层设备进行匹配：当收到底层设备的标识信息后，检查所述设备目录内是否存在相应标识信息，是则向底层设备发送匹配成功消息，等待底层设备进一步请求，否则不予回答或者向底层设备发送匹配失败消息，以拒绝底层设备进一步请求；

(3.2)边缘服务器收到存储文件请求后，对其中的待存储文件的文件元信息进行哈希计算，得到文件的哈希特征值；

(3.3)将所得到文件的哈希特征值与存储在边缘服务器中的哈希特征值列表进行比对，判断其是否存在，是则判定待存储文件冗余，向底层设备返回上传成功信息，结束操作；否则将所述哈希特征值添加到哈希特征值列表中，继续执行后续(3.4)操作；

(3.4)边缘服务器根据存储文件请求中指定的加密算法对待存储文件进行加密，得到加密文件；

(3.5)边缘服务器向云端服务器发送上传请求，将加密文件上传到云端服务器，等待云端服务器返回文件存储在云端服务器中的路径；然后在上传文件元信息列表中保存上传文件元信息，上传文件元信息包括文件名、文件的哈希特征值、加密算法、加密密钥以及文件存储在云端服务器中的路径；

(4)所述边缘服务器从云端服务器下载文件，包括下述操作：

(4.1)和底层设备进行匹配：当收到底层设备的标识信息后，检查所述设备目录内是否存在相应标识信息，是则向底层设备发送匹配成功消息，等待底层设备进一步请求，否则不予回答或者向底层设备发送匹配失败消息，以拒绝底层设备进一步请求；

(4.2)边缘服务器接收到文件下载请求后，对下载请求中文件元信息进行哈希计算，得到文件的哈希特征值；

(4.3)根据该文件的哈希特征值，在上传文件元信息列表中进行检索，判断其是否存在，是则得到对应的加密算法、加密密钥以及文件存储在云端服务器中的路径；进行后续步骤(4.4)；否则向底层设备返回文件不存在信息，并结束操作，；

(4.4)边缘服务器向云端服务器发送下载请求，根据所述文件存储在云端服务器中的路径，从云端服务器下载加密文件，并根据所述加密算法、加密密钥对加密文件进行解密得到原文件本身；

(4.5)边缘服务器将原文件本身发送给底层设备，完成文件下载。

本发明针对云存储中的云端不可信问题，采取云端服务器、边缘服务器、底层设备的三层结构实现对云端文件的加密存储。

本发明对底层设备中将要上传到云端的文件，边缘服务器验证底层设备的用户身份，再对文件进行加密和文件元数据处理后上传到云端，底层设备只需将文件传输到边缘服务器中即可，减少了底层设备的计算量；在边缘服务器上实现文件加密、解密以及文件管理调度等功能，存储在边缘服务器中的文件元数据和加密信息对云端保密。边缘服务器不存储加密前后的文件，以确保云端文件的私密性和安全性。当底层设备选定需要下载的文件时，边缘服务器基于底层设备的用户身份从云端服务器下载文件，解密后再将解密得到的文件发送到底层设备。

在本发明中，底层设备的管理和维护通过一个或多个与其相连的边缘服务器实现，边缘服务器执行文件的加密，解密过程，因为一个边缘服务器只管理在其范围内的底层设备，所以边缘服务器对底层设备的管理机制是本地管理。通过这种分组管理的方式，增强了系统的可控性，可以避免类似来自全世界不同地方的底层设备全都连到同一个云服务器的尴尬情况。

附图说明

图1为本发明实施例的结构示意图。

具体实施方式

以下结合附图和实施例对本发明进一步说明。

如图1所示，本发明的实施例包括云端服务器、边缘服务器和底层设备，云端服务器为公有的腾讯云服务器，边缘服务器包括第一边缘服务器和第二边缘服务器，第一边缘服务器为第一～第三底层设备提供服务，第二边缘服务器为第四～第六底层设备提供服务。

本实施例中，第一边缘服务器和第二边缘服务器分别采用内存大小为16GB的台式机、内存大小为8GB的笔记本电脑，第一～第六底层设备均为智能手机，设备编号分别为861069039272250、861069039272268、861069039272270、861069039272271、861069039272272、861069039272273。

所述第一、第二边缘服务器内分别均存储有加密算法库、设备目录、哈希特征值列表以及上传文件元信息列表，所述加密算法库中包括DES加密算法、RSA加密算法；第一边缘服务器的设备目录中预先存储第一～第三底层设备的设备编号861069039272250、861069039272268、861069039272270；第二边缘服务器的设备目录中预先存储第四～第六底层设备的设备编号861069039272271、861069039272272、861069039272273。

以其中第一底层设备为例，向第一边缘服务器上传待存储文件时，包括下述操作：

(1.1)和第一边缘服务器进行匹配：向第一边缘服务器发送自身设备编号861069039272250，等待第一边缘服务器给出匹配结果，匹配成功则进行(1.2)，匹配失败则无法继续操作；

(1.2)第一底层设备选择用户的待存储文件“基于边缘服务器的云存储系统.doc”，同时根据第一边缘服务器的匹配成功消息，从边缘服务器的加密算法库中选取加密算法DES；

(1.3)第一底层设备向第一边缘服务器发出存储文件请求，存储文件请求包括待存储文件、文件元信息及加密算法DES，文件元信息包括文件名‘基于边缘服务器的云存储系统’、文件类型‘.doc’和文件大小‘87.0KB’；

第一边缘服务器向腾讯云端服务器上传待存储文件时，包括下述操作：

(3.1)和底层设备进行匹配：当收到第一底层设备的标识信息后，检查所述设备目录内是否存在相应标识信息，是则向底层设备发送匹配成功消息，等待底层设备进一步请求，否则不予回答或者向底层设备发送匹配失败消息，以拒绝底层设备进一步请求；

(3.2)第一边缘服务器收到存储文件请求后，对其中的待存储文件的文件元信息进行哈希计算，得到文件的哈希特征值；

(3.3)将所得到文件的哈希特征值与存储在第一边缘服务器中的哈希特征值列表进行比对，判断其是否存在，是则判定待存储文件‘基于边缘服务器的云存储系统.doc’冗余，向底层设备返回上传成功信息，结束操作；否则将所述哈希特征值添加到哈希特征值列表中，继续执行后续(3.4)操作；

(3.4)第一边缘服务器根据存储文件请求中指定的加密算法DES对待存储文件进行加密，得到加密文件；

(3.5)第一边缘服务器向腾讯云服务器发送上传请求，将加密文件上传到腾讯云服务器，等待云端服务器返回文件存储在云端服务器中的路径；然后在上传文件元信息列表中保存上传文件元信息，上传文件元信息包括文件名、文件的哈希特征值、加密算法DES、加密密钥以及以及文件存储在云端服务器中的路径。

以第一底层设备为例，向第一边缘服务器发出文件‘基于边缘服务器的云存储系统.doc’的下载请求时，包括下述操作：

(2.1)和第一边缘服务器进行匹配：向第一边缘服务器发送自身设备编号861069039272250，等待第一边缘服务器给出匹配结果，匹配成功则进行(2.2)，匹配失败则无法继续操作；

(2.2)第一底层设备从用户获取待下载文件‘基于边缘服务器的云存储系统.doc’的文件元信息；

(2.3)第一底层设备向第一边缘服务器发出下载请求，下载请求包括待下载文件的文件元信息。

第一边缘服务器从腾讯云端服务器下载文件时，包括下述操作：

(4.1)和底层设备进行匹配：当收到第一底层设备的标识信息后，检查所述设备目录内是否存在相应标识信息，是则向底层设备发送匹配成功消息，等待底层设备进一步请求，否则不予回答或者向底层设备发送匹配失败消息，以拒绝底层设备进一步请求；

(4.2)第一边缘服务器接收到文件下载请求后，对下载请求中文件元信息进行哈希计算，得到文件的哈希特征值；

(4.3)根据该文件的哈希特征值，在上传文件元信息列表中进行检索，判断其是否存在，是则得到对应的加密算法DES、加密密钥以及文件存储在云端服务器中的路径，进行后续步骤(4.4)；否则向第一底层设备返回文件不存在信息，并结束操作；

(4.4)第一边缘服务器向云端服务器发送下载请求，根据所述文件存储在云端服务器中的路径，从腾讯云端服务器下载加密文件，并根据所述加密算法DES、加密密钥对加密文件进行解密得到原文件‘基于边缘服务器的云存储系统.doc’本身；

(4.5)第一边缘服务器将原文件本身发送给第一底层设备，从而完成文件‘基于边缘服务器的云存储系统.doc’的下载。