CN102111376A - 网络保险箱 - Google Patents
网络保险箱 Download PDFInfo
- Publication number
- CN102111376A CN102111376A CN2009102009029A CN200910200902A CN102111376A CN 102111376 A CN102111376 A CN 102111376A CN 2009102009029 A CN2009102009029 A CN 2009102009029A CN 200910200902 A CN200910200902 A CN 200910200902A CN 102111376 A CN102111376 A CN 102111376A
- Authority
- CN
- China
- Prior art keywords
- file
- module
- server
- user
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了网络保险箱,其包括密码模块,客户端模块,服务器,文件服务器,密码模块与客户端模块相配合实现对文件的相关操作,并与服务器进行通讯实现对文件服务器中的文件进行操作。本发明能够实现对三种不同类型的文件进行三种不同的保护机制,以满足各种需求。
Description
技术领域:
本发明涉及网络安全技术领域,具体涉及一种用于数据集中安全存储的网络存储系统。
背景技术:
随着信息化程度的日益提高,信息技术被广泛的应用于各个领域。数据,特别是那些包含了组织内部核心机密信息的文档,成为了不断增长的重要资源和财富。如何安全的存储、共享成为组织面临的重要问题。然而,目前的现状是:(1)涉密的文档被分散存储在组织内部的PC或服务器上。无法统一的管理;(2)文档即使被集中存储,对文档的保护也只是采用了操作系统所提供的权限控制机制;(3)文档如果被加密存储,则不便于在多人之间共享。
发明内容:
针对目前信息数据存在所存在的安全问题,本发明提供了一种数据网络集中安全存储系统,该系统能够实现对三种不同类型的文件进行三种不同的保护机制,以满足各种需求。
为了达到上述目的,本发明采用如下的技术方案:
网络保险箱,其包括密码模块,客户端模块,服务器,文件服务器,所述密码模块用于随机生成密钥,实现对称加密及解密,并提供私钥的算法;所述客户端模块对于对文件的上传、下载以及文件的加解密操作;所述服务器实现对用户的认证,用户配额控制以及授权管理;所述文件服务器用于文件存储;所述密码模块与客户端模块相配合实现对文件的相关操作,并与服务器进行通讯实现对文件服务器中的文件进行操作。
所述客户端模块包括数据通信模块、业务逻辑处理模块以及用户界面模块,所述数据通信模块负责客户端模块与外部进行数据交换,得到足够的业务数据,返回必要的操作结果;所述业务逻辑处理模块完成业务逻辑的处理;所述用户界面模块接受用户的操作请求,并将该请求反馈至业务逻辑处理模块;所述业务逻辑处理模块通过数据通信模块获得相应的业务数据,并完成业务逻辑的处理;所述数据通信模块负责客户端模块与外部进行数据交换,得到足够的业务数据,返回必要的操作结果。
所述服务器包括文件服务器访问模块、数据库模块、客户端通讯模块、日志模块以及配置模块。
根据上述技术方案得到的本发明具有以下特点:
一、实现了安全的存储
本发明从内容安全上进行加固:
1、存储在网络安全存储系统中的内容是加密的,即使是系统的管理员在未经授权的情况下也无法查看其中的内容。
2、用户只能看到和打开自己存储的文件或者别人授权给自己的文件。
3、用户到网络安全存储系统之间的信息传输都是加密的。
4、非常安全地授权给他人,而不用担心未授权用户能够看到它。
二、安全并且灵活的授权方式
本发明基于数字信封技术的授权方式,数字信封中采用了单钥密码体制和公钥密码体制。文件的授权者首先利用随机产生的对称密码加密文件,再利用被授权者的公钥加密对称密码,被公钥加密后的对称密码被称之为数字信封。被授权者在打开文件时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密文件。用户利用系统提供的授权机制,可以灵活的将文件授权给系统内注册的任意用户。
三、本地使用,远端存储
文件被加入到网络保险箱后,被安全的存储在文件服务器上。当用户想要使用文件时,只需从本地登录到保险箱。然后就可以像使用本地存储的文件一样使用存放在网络保险箱中的文件。而并不需要关心文件的加解密及上传下载的问题。网络保险箱都会自动完成。
附图说明:
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明的结构框图。
图2为本发明中客户端模块结构框图。
图3为本发明中服务器的结构框图。
图4为本发明的部署示意图。
具体实施方式:
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的网络保险箱,即数据网络集中安全存储系统,主要由客户端系统和服务器端系统组成。结合用户已有的文件服务器或NAS设备即可组成完整的安全存储系统。
参见图1,本发明主要包括四个件组成:密码模块,客户端模块,服务器,文件服务器。这四个组件在系统中有不同的分工:
密码模块:随机密钥生成,对称加密及解密,涉及私钥的算法。
客户端模块:文件的上传及下载,文件的加解密操作
服务器:用户的认证,用户配额控制,授权管理
文件服务器:文件存储
客户端模块如图2所示,其主要包括数据通信模块、业务逻辑处理模块、用户界面模块。
数据通信模块:负责客户端程序与外部进行数据交换。得到足够的业务数据,返回必要的操作结果。业务管理信息、文件服务器文件传递、LDAP取得用户数字证书
业务逻辑处理模块:完成保险箱业务逻辑的处理,包含核心数据结构,是客户端的核心模块。完成文件在本地的所有操作,例如文件的加密、解密;增加授权用户等等
用户界面模块:接受用户的操作请求;反馈操作的结果给用户。
用户界面模块接受用户的操作请求,并将该请求反馈至业务逻辑处理模块;而业务逻辑处理模块通过数据通信模块获得相应的业务数据,并完成业务逻辑的处理。
在整个网络保险箱中,服务器所承担的职责有以下几点:
维护网络保险箱的用户信息、维护网络保险箱的逻辑目录结构、接受并处理客户端的请求、维护文件信息及其访问状态、与客户端配合完成对文件修改的冲突控制、维护文件服务器的相关信息并传递给客户端、记录文件使用日志。
为了实现这些职责,服务器必需具备以下能力:
数据库操作、访问文件服务器、与客户端通讯、记录日志并发送给审计系统、图形化的管理界面。
为达到上述功能,本发明中服务器包括文件服务器访问模块、数据库模块、客户端通讯模块、日志模块以及配置模块(如图3所示),其中文件服务器访问模块、数据库模块、客户端通讯模块、日志模块分别对应着文件服务器访问端口、数据库访问端口、客户端通讯端口、日志端口。
根据上述技术方案得到的本发明,在实际部署时,服务器与文件服务器采用的是并联方式部署,使得网络保险箱的服务器和文件服务器物理连接是在同一网络中,用户必须同时能够访问网络保险箱服务器和文件服务器(如图4所示)。
而本发明中客户端模块设置在相应的操作终端中,即用户的普通PC,相应的密码模块可设置成智能密码钥匙插入在操作终端的USB口上。
LDAP服务器,是CA系统的一部分,用来发布用户证书以及进行黑名单的查询。
由上述技术方案得到的网络密码箱,其客户端完成文件加密,解密等运算。服务器端系统负责控制,调度。客户端和服务器通讯的网络中,文件也是加密传输,加密存放。客户端界面采用Explorer风格,美观,简单,易用并支持拖曳操作。普通用户不用任何培训能够轻松使用。其具体操作过程如下:
(1)用户注册及配额分配
系统中的用户是需要管理员进行注册的,用户需要输入用户的姓名,证书编号等相关信息,并且需要上传相应的用户证书。这样就完成了用户注册的过程,用户就可以在客户端登录并使用保险箱服务了。
(2)管理员认证
系统中的管理员是初始化系统的时候创建的,当管理员创建完毕后,管理员可以登录到系统中做一些管理任务。但是,管理系统的入口只能通过管理口进入,服务器提供四个以太口,其中之一就是管理口,管理口的作用就是提供管理服务的。另外,管理员身份认证需要使用USBKey数字证书。提供了合法的数字证书才能访问它。
(3)用户认证
系统中用户认证采用签名和验证签名的技术来完成的,当用户双击客户端图标启动程序后,需要访问USBKey证书设备,并要求签名,签名后将签名结果和证书唯一项送到服务器上,服务器完成验证签名和有效性来核实用户的身份,如果用户身份认证成功,则将启动一个会话并且允许进入系统。
(4)登录、取文件列表和退出
服务器端接到客户端的登录请求后必需首先检查用户是否是已经注册的用户。然后要检查系统是否已经达到了最大的连接数,如果未达到则接受登录请求。并更新连接数。
客户端登录后,应该取得该用户的文件列表。
当客户端发送退出请求或断开连接后,服务器应清除该会话所置的文件状态,更新连接数,记录日志。
(5)子文件夹操作
用户可以在自己的个人文件夹中创建子文件夹。所有子文件夹的操作,在服务器端仅涉及数据库操作。
(6)创建文件、删除文件
服务器在处理客户端创建文件的请求时要完成以下步骤:
(6.1a)检查配额
(6.2a)指定文件服务器上的存储位置
(6.3a)检查文件是否已经上传
(6.4a)在数据库中记录文件信息
(6.5a)记录日志
删除文件则要经过以下步骤:
(6.1b)检查用户是否有删除文件的权限
(6.2b)检查文件是否处在可以删除的状态
(6.3b)从文件服务器上删除文件
(6.4b)从数据库中删除文件的记录
(6.5b)记录日志
(7)阅读文件,修改文件
修改文件的过程分三个阶段,每个阶段服务器要完成以下步骤:
(7.1)获取文件
检查用户对文件的访问权
提供客户端访问文件服务器所必要的信息
将文件置为“写打开”的状态
(7.2)修改文件
检查配额
修改数据库中文件的记录
(7.3)关闭文件
清除文件“写打开”状态
记录日志
(8)文件授权
在对文件的授权过程中,服务器必需完成以下步骤:
(8.1)检查要授权的文件是否是该用户的个人文件
(8.2)修改授权信息
(8.3)记录日志
(9)打开保险箱中的文件
(9.1)客户端将打开文件的请求发送到服务器
(9.2)服务器返回给客户端具体存放该文件的文件服务器的参数
(9.3)客户端用这些参数联接文件服务器,下载文件
(9.4)客户端得到文件后,解密成明文文件
(9.5)客户端打开解密后的文件,等待用户的修改
通知服务器操作完成,服务器更新状态。
(10)关闭打开的文件
(10.1)客户端将修改后的文件加密成密文文件
(10.2)向中央服务器请求关闭文件
(10.3)服务器检查该文件是否超出保险箱的容量配额
(10.4)客户端建立与文件服务器的联接
(105)向文件服务器上传文件
(10.6)客户端删除本地的密文文件
通知服务器操作完成,服务器更新状态。
(11)安全审计功能
无论是管理员和普通用户在系统中的行为将被审计。
对于普通用户来说比如创建了什么文件或者目录,将文件共享给谁或者就是删除了什么文件等等,都可以被审计下来。
对于管理员来说比如:执行了什么管理任务,结果如何等等也可以被审计下来。
根据上述技术方案得到的本发明中具有三种类型的文件,私人文件,部门公共文件和他人授权文件。私人文件是管理员在服务器上为个人开辟一块私有空间,对存放其中的文件进行加密保护,谁都不能看到私人文件中的内容,除了用户自己。部门公共文件是整个部门共享,除了这个部门的人和被授权的人,其他人也不能看到其内容。系统使存储的资料能够安全的集中管理,进行统一有效的备份,达到资料更为安全的存储。他人授权文件提供了一种文件授权的机制,让用户和用户之间能够安全的交换信息,达到信息共享的目的。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.网络保险箱,其特征在于,所述保险箱包括密码模块,客户端模块,服务器,文件服务器,所述密码模块用于随机生成密钥,实现对称加密及解密,并提供私钥的算法;所述客户端模块对于对文件的上传、下载以及文件的加解密操作;所述服务器实现对用户的认证,用户配额控制以及授权管理;所述文件服务器用于文件存储;所述密码模块与客户端模块相配合实现对文件的相关操作,并与服务器进行通讯实现对文件服务器中的文件进行操作。
2.根据权利要求1所述的网络保险箱,其特征在于,所述客户端模块包括数据通信模块、业务逻辑处理模块以及用户界面模块,所述数据通信模块负责客户端模块与外部进行数据交换,得到足够的业务数据,返回必要的操作结果;所述业务逻辑处理模块完成业务逻辑的处理;所述用户界面模块接受用户的操作请求,并将该请求反馈至业务逻辑处理模块;所述业务逻辑处理模块通过数据通信模块获得相应的业务数据,并完成业务逻辑的处理;所述数据通信模块负责客户端模块与外部进行数据交换,得到足够的业务数据,返回必要的操作结果。
3.根据权利要求1所述的网络保险箱,其特征在于,所述服务器包括文件服务器访问模块、数据库模块、客户端通讯模块、日志模块以及配置模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102009029A CN102111376A (zh) | 2009-12-25 | 2009-12-25 | 网络保险箱 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102009029A CN102111376A (zh) | 2009-12-25 | 2009-12-25 | 网络保险箱 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102111376A true CN102111376A (zh) | 2011-06-29 |
Family
ID=44175406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102009029A Pending CN102111376A (zh) | 2009-12-25 | 2009-12-25 | 网络保险箱 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102111376A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102238191A (zh) * | 2011-08-02 | 2011-11-09 | 熊志海 | 一种法院电子文书送达服务器端、客户端、系统及方法 |
CN102868748A (zh) * | 2012-09-19 | 2013-01-09 | 无锡华御信息技术有限公司 | 一种文件安全共享系统及文件安全共享服务器、客户端 |
CN103297402A (zh) * | 2012-03-01 | 2013-09-11 | 腾讯科技(深圳)有限公司 | 一种控制帐号注册的方法及系统 |
CN104281814A (zh) * | 2013-07-03 | 2015-01-14 | 钟丹东 | 文件防泄密系统及其工作方法 |
CN114978649A (zh) * | 2022-05-16 | 2022-08-30 | 遥相科技发展(北京)有限公司 | 基于大数据的信息安全保护方法、装置、设备及介质 |
-
2009
- 2009-12-25 CN CN2009102009029A patent/CN102111376A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102238191A (zh) * | 2011-08-02 | 2011-11-09 | 熊志海 | 一种法院电子文书送达服务器端、客户端、系统及方法 |
CN102238191B (zh) * | 2011-08-02 | 2014-07-16 | 熊志海 | 一种法院电子文书送达服务器端、客户端、系统及方法 |
CN103297402A (zh) * | 2012-03-01 | 2013-09-11 | 腾讯科技(深圳)有限公司 | 一种控制帐号注册的方法及系统 |
CN102868748A (zh) * | 2012-09-19 | 2013-01-09 | 无锡华御信息技术有限公司 | 一种文件安全共享系统及文件安全共享服务器、客户端 |
CN102868748B (zh) * | 2012-09-19 | 2016-03-09 | 无锡华御信息技术有限公司 | 一种文件安全共享系统及文件安全共享服务器、客户端 |
CN104281814A (zh) * | 2013-07-03 | 2015-01-14 | 钟丹东 | 文件防泄密系统及其工作方法 |
CN104281814B (zh) * | 2013-07-03 | 2018-11-02 | 江苏保旺达软件技术有限公司 | 文件防泄密系统及其工作方法 |
CN114978649A (zh) * | 2022-05-16 | 2022-08-30 | 遥相科技发展(北京)有限公司 | 基于大数据的信息安全保护方法、装置、设备及介质 |
CN114978649B (zh) * | 2022-05-16 | 2023-12-08 | 广州市巨应信息科技有限公司 | 基于大数据的信息安全保护方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3547203B1 (fr) | Méthode et système de gestion d'accès à des données personnelles au moyen d'un contrat intelligent | |
EP3547202B1 (fr) | Méthode d'accès à des données anonymisées | |
US9031876B2 (en) | Managing keys for encrypted shared documents | |
CN102761521B (zh) | 云安全存储及共享服务平台 | |
US20080167994A1 (en) | Digital Inheritance | |
US9516012B2 (en) | Method and server of electronic safes with information sharing | |
EP1984866B1 (en) | Document security management system | |
KR20180114942A (ko) | 분산형 해시 테이블 및 블록체인을 사용하여 컴퓨터 소프트웨어를 보호하기 위한 방법 및 시스템 | |
CN105378649A (zh) | 多权限数据安全和访问 | |
CN108377237A (zh) | 用于云端密文存储的具有所有权管理的数据去重系统及其数据去重方法 | |
US20110289322A1 (en) | Protected use of identity identifier objects | |
CN103916480B (zh) | 一种面向共享文件的文件加密系统 | |
CN110352413A (zh) | 一种基于策略的实时数据文件访问控制方法与系统 | |
EP3395004B1 (en) | A method for encrypting data and a method for decrypting data | |
CN104125069A (zh) | 一种面向共享的安全文件目录文件加密系统 | |
CN107332666A (zh) | 终端文件加密方法 | |
CN202455386U (zh) | 一种用于云存储的安全系统 | |
JP2018098564A (ja) | 分散型台帳システムおよびプログラム | |
CN102111376A (zh) | 网络保险箱 | |
KR20210064675A (ko) | 블록체인 기반 데이터 거래 및 보관을 위한 보안 시스템 및 그 방법 | |
KR20200112055A (ko) | 블록체인 환경에서의 데이터 공유 방법 및 이를 위한 장치 | |
TW201947406A (zh) | 資料交換群組系統及方法 | |
KR100286904B1 (ko) | 분산 pc 보안관리 시스템 및 방법 | |
CN108064437A (zh) | 安全地共享内容方法及系统 | |
TWM583096U (zh) | 區塊鏈證書與資產存證系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110629 |