本发明涉及云存储领域,尤其涉及一种基于云存储管理平台的数据安全增强系统及方法。
背景技术
云存储技术是近年来一种新兴的基于网络的存储技术,旨在通过互联网为用户提供更强的存储服务,它是一个由网络设备,存储设备,服务器,应用软件等多个部分组成的复杂系统。
由于云存储技术具有多用户同步登录访问,实现数据信息的共享,云存储给人们带来数据应用的便利,但是也存在着诸多问题,最显著的问题就是安全问题,如何保证存放在云端数据的安全性是当前丞待解决的技术问题。
技术实现要素:
为了克服上述现有技术中的不足,本发明提供一种基于云存储管理平台的数据安全增强方法,方法包括:
客户端向身份认证服务器提交机密信息;
身份认证服务器对客户端提交的机密信息进行认证;
当认证通过客户端提交的机密信息后,身份认证服务器向客户端颁发身份令牌;
客户端获取身份令牌后,与云存储服务器数据通信,并在数据通信中配置身份令牌。
优选地,客户端与云存储服务器数据通信方式包括:根据身份令牌设置权限,读取云存储服务器中的数据;
根据身份令牌设置权限,向云存储服务器中储存数据;
根据身份令牌设置权限,向云存储服务器中写数据。
优选地,客户端向身份认证服务器提交的机密信息包括:客户端用户名及与用户名相对应的密码,客户端获取的指纹信息,客户端的mac地址信息,客户端口令明文信息以及客户端口令密文信息。
优选地,身份认证服务器配置预设认证信息,并将预设认证信息设置成认证映射表,身份认证服务器接收客户端提交的机密信息后,在认证映射表中匹配对应关系,当接收的机密信息与认证映射表中的预设认证信息相匹配时,认证通过,向客户端颁发身份令牌。
优选地,客户端向身份认证服务器提交机密信息,并附带级别数据处理权限信息;
身份认证服务器对客户端提交的机密信息及附带级别数据处理权限信息进行认证;
当身份认证服务器认证通过客户端提交的机密信息及附带级别数据处理权限信息后,身份认证服务器向客户端颁发具有级别数据处理权限的身份令牌;
客户端获取身份令牌后,与云存储服务器数据通信,并在具有相应权限的文件储存区进行数据处理。
一种基于云存储管理平台的数据安全增强系统,包括:
云存储服务器,身份认证服务器以及客户端;
客户端分别与云存储服务器和身份认证服务器通信连接;
客户端用于向身份认证服务器提交机密信息;
身份认证服务器用于对客户端提交的机密信息进行认证;
当认证通过客户端提交的机密信息后,身份认证服务器向客户端颁发身份令牌;
客户端还用于获取身份令牌后,与云存储服务器数据通信,并在数据通信中配置身份令牌。
优选地,身份认证服务器还用于配置预设认证信息,并将预设认证信息设置成认证映射表,身份认证服务器接收客户端提交的机密信息后,在认证映射表中匹配对应关系,当接收的机密信息与认证映射表中的预设认证信息相匹配时,认证通过,向客户端颁发身份令牌。
优选地,云存储服务器配置一级文件储存区,二级文件储存区以及三级文件储存区;
客户端还用于向身份认证服务器提交机密信息,并附带级别数据处理权限信息;
身份认证服务器还用于对客户端提交的机密信息及附带级别数据处理权限信息进行认证;当身份认证服务器认证通过客户端提交的机密信息及附带级别数据处理权限信息后,身份认证服务器向客户端颁发具有级别数据处理权限的身份令牌;
客户端还用于获取身份令牌后,与云存储服务器数据通信,并在具有相应权限的文件储存区进行数据处理。
优选地,一级文件储存区用于存储机密数据;客户端对一级文件储存区中的数据进行读,写以及修改时,附带身份认证服务器颁发的机密数据身份令牌;
二级文件储存区用于存储时限访问数据;客户端对二级文件储存区中的数据进行读,写以及修改时,附带身份认证服务器颁发的操作时限身份令牌,在操作时限身份令牌中涉及的时间范围内,对二级文件储存区中的数据进行读,写以及修改;
三级文件储存区用于存储普通数据;客户端三级文件储存区中的数据进行读,写以及修改时,附带身份认证服务器颁发的普通身份令牌。
优选地,云存储服务器包括:数据操作判断模块,数据处理模块以及数据存储模块;
数据操作判断模块用于监控数据访问,当有客户端发出数据操作请求时,数据操作判断模块判断是否附带身份令牌,当判断附带身份令牌时,判断是否附带级别数据处理权限信息,当判断附带级别数据处理权限信息时,获取附带级别数据处理的权限,将附带级别数据处理的权限发送至数据处理模块;
数据处理模块用于获取附带级别数据处理的权限,如为机密数据身份令牌时,使客户端对一级文件储存区中的数据进行读,写以及修改操作;
如为操作时限身份令牌时,使客户端对二级文件储存区中的数据进行读,写以及修改操作;
如为普通身份令牌时,使客户端对三级文件储存区中的数据进行读,写以及修改操作。
从以上技术方案可以看出,本发明具有以下优点:
客户端向身份认证服务器提交机密信息;身份认证服务器对客户端提交的机密信息进行认证;当认证通过客户端提交的机密信息后,身份认证服务器向客户端颁发身份令牌;客户端获取身份令牌后,与云存储服务器数据通信,并在数据通信中配置身份令牌。通过基于云存储管理平台的数据安全增强方法,对访问云存储系统中数据的用户进行身份的合法性判断,并对合法的用户进行访问控制,保证合法的用户按照规则访问存储数据,以此来增强数据的安全性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为基于云存储管理平台的数据安全增强方法流程图;
图2为基于云存储管理平台的数据安全增强方法实施例流程图;
图3为基于云存储管理平台的数据安全增强系统示意图。
具体实施方式
本发明提供一种基于云存储管理平台的数据安全增强方法,如图1所示,方法包括:
s1,客户端向身份认证服务器提交机密信息;
s2,身份认证服务器对客户端提交的机密信息进行认证;
s3,当认证通过客户端提交的机密信息后,身份认证服务器向客户端颁发身份令牌;
当客户端提交的机密信息未认证通过,则返回认证失败信息,使客户端无法访问云存储服务器。
s4,客户端获取身份令牌后,与云存储服务器数据通信,并在数据通信中配置身份令牌。
本发明中可以包括多个客户端同时基于云存储服务的访问,在访问前均需要向身份认证服务器获得认证,认证后才能访问。
这样通过基于云存储管理平台的数据安全增强方法,对访问云存储系统中数据的用户进行身份的合法性判断,并对合法的用户进行访问控制,保证合法的用户按照规则访问存储数据,以此来增强数据的安全性。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将运用具体的实施例及附图,对本发明保护的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保护的范围。
本实施例中,客户端与云存储服务器数据通信方式包括:根据身份令牌设置权限,读取云存储服务器中的数据;根据身份令牌设置权限,向云存储服务器中储存数据;根据身份令牌设置权限,向云存储服务器中写数据。
客户端向身份认证服务器提交的机密信息包括:客户端用户名及与用户名相对应的密码,客户端获取的指纹信息,客户端的mac地址信息,客户端口令明文信息以及客户端口令密文信息。当然不局限于上述信息。
身份认证服务器配置预设认证信息,并将预设认证信息设置成认证映射表,身份认证服务器接收客户端提交的机密信息后,在认证映射表中匹配对应关系,当接收的机密信息与认证映射表中的预设认证信息相匹配时,认证通过,向客户端颁发身份令牌。这里可以将客户端用户名及与用户名相对应的密码,客户端获取的指纹信息,客户端的mac地址信息,客户端口令明文信息以及客户端口令密文信息配置成认证映射表,接收的机密信息与认证映射表中的预设认证信息相匹配时,认证通过,向客户端颁发身份令牌。
本实施例中,还包括一种方法,如图2所示,
s11,客户端向身份认证服务器提交机密信息,并附带级别数据处理权限信息;
s12,身份认证服务器对客户端提交的机密信息及附带级别数据处理权限信息进行认证;
s13,当身份认证服务器认证通过客户端提交的机密信息及附带级别数据处理权限信息后,身份认证服务器向客户端颁发具有级别数据处理权限的身份令牌;
如果身份认证服务器未认证通过客户端提交的机密信息,则返回认证失败信息,使客户端无法访问云存储服务器。
s14,客户端获取身份令牌后,与云存储服务器数据通信,并在具有相应权限的文件储存区进行数据处理。
本发明还提供一种基于云存储管理平台的数据安全增强系统,如图3所示,包括:
云存储服务器1,身份认证服务器2以及客户端3;客户端3分别与云存储服务器1和身份认证服务器2通信连接;客户端用于向身份认证服务器提交机密信息;身份认证服务器用于对客户端提交的机密信息进行认证;当认证通过客户端提交的机密信息后,身份认证服务器向客户端颁发身份令牌;客户端还用于获取身份令牌后,与云存储服务器数据通信,并在数据通信中配置身份令牌。
身份认证服务器还用于配置预设认证信息,并将预设认证信息设置成认证映射表,身份认证服务器接收客户端提交的机密信息后,在认证映射表中匹配对应关系,当接收的机密信息与认证映射表中的预设认证信息相匹配时,认证通过,向客户端颁发身份令牌。
本发明中,云存储服务器配置一级文件储存区,二级文件储存区以及三级文件储存区;还可以根据需要设置更多的文件储存区,并基于不同的使用方式设置访问权限。
客户端还用于向身份认证服务器提交机密信息,并附带级别数据处理权限信息;身份认证服务器还用于对客户端提交的机密信息及附带级别数据处理权限信息进行认证;当身份认证服务器认证通过客户端提交的机密信息及附带级别数据处理权限信息后,身份认证服务器向客户端颁发具有级别数据处理权限的身份令牌;客户端还用于获取身份令牌后,与云存储服务器数据通信,并在具有相应权限的文件储存区进行数据处理。
一级文件储存区用于存储机密数据;客户端对一级文件储存区中的数据进行读,写以及修改时,附带身份认证服务器颁发的机密数据身份令牌;
二级文件储存区用于存储时限访问数据;客户端对二级文件储存区中的数据进行读,写以及修改时,附带身份认证服务器颁发的操作时限身份令牌,在操作时限身份令牌中涉及的时间范围内,对二级文件储存区中的数据进行读,写以及修改;
三级文件储存区用于存储普通数据;客户端三级文件储存区中的数据进行读,写以及修改时,附带身份认证服务器颁发的普通身份令牌。
本发明中,云存储服务器包括:数据操作判断模块,数据处理模块以及数据存储模块;数据操作判断模块用于监控数据访问,当有客户端发出数据操作请求时,数据操作判断模块判断是否附带身份令牌,当判断附带身份令牌时,判断是否附带级别数据处理权限信息,当判断附带级别数据处理权限信息时,获取附带级别数据处理的权限,将附带级别数据处理的权限发送至数据处理模块;数据处理模块用于获取附带级别数据处理的权限,如为机密数据身份令牌时,使客户端对一级文件储存区中的数据进行读,写以及修改操作;如为操作时限身份令牌时,使客户端对二级文件储存区中的数据进行读,写以及修改操作;如为普通身份令牌时,使客户端对三级文件储存区中的数据进行读,写以及修改操作。
本发明的技术基础为云存储服务器,它对云存储底层的存储设备进行动态管理,并对用户屏蔽底层物理设施,只对用户提供服务,同时在云存储服务器内部集成身份认证与访问控制模块,为了管理底层不同的存储介质还在平台内部嵌入了中间件,实现存储管理。
在云存储服务器内部署身份认证服务器,身份认证服务器通过不同的认证机制来认证来访用户的合法性,并给用户颁发一个身份令牌,代表用户已经通过身份认证,可以访问云存储服务器。
本发明中身份认证服务器与云存储服务器可以部署在同一平台上,它通过用户所提供的身份令牌并结合对资源请求,来授予用户一个访问令牌,这个令牌可以被用户用于访问某个具体服务是提供的授权依据。
当用户在访问一个具体的服务时,用户需要向身份认证服务器提供自身已经拿到的身份令牌;身份认证服务器根据用户提供的身份令牌和安全策略来验证该服务请求的合法性;身份认证服务器给客户端颁发访问令牌。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参考即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。