CN102739689B - 一种用于云存储系统的文件数据传输装置和方法 - Google Patents
一种用于云存储系统的文件数据传输装置和方法 Download PDFInfo
- Publication number
- CN102739689B CN102739689B CN201210245515.9A CN201210245515A CN102739689B CN 102739689 B CN102739689 B CN 102739689B CN 201210245515 A CN201210245515 A CN 201210245515A CN 102739689 B CN102739689 B CN 102739689B
- Authority
- CN
- China
- Prior art keywords
- key
- data
- file data
- computation environment
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了用于云存储系统的文件数据传输装置和方法。装置包括数据服务器和服务端;一个服务端运行的虚拟机监控器根据请求构造封闭计算环境,并向用户客户端返回封闭计算环境的准入信息:用户自行构造第二密钥,并将加密的第二密钥传送封闭计算环境,封闭计算环境通过解密获得第二密钥;再根据第二密钥对文件数据进行加密,形成存储于云端的数据;封闭计算环境还能够通过解密获得第二密钥;再对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密后传送给用户客户端。利用本发明提供的技术方案,在文件数据传输整个过程中均为加密状态,且封闭计算环境可以在封闭状态下对文件数据进行加解密,进而可以提高用户数据的私密性。
Description
技术领域
本发明涉及一种云存储系统技术,具体涉及一种用于云存储系统的文件数据传输方法和装置。
背景技术
随着Internet技术的发展,以数据形式存在的信息量呈爆炸性增长,进而人们对信息的存储需求越来越大。存储方式从最初的单机存储、网格存储、分布式存储发展到现在的云存储。云存储是在云计算概念基础上延伸和发展出来的一个新的概念,它是指通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过适合的应用软件集合起来并使其协同工作,共同对外提供数据存储和业务访问功能的系统,也称为云存储系统。利用云存储系统提供的服务称为云存储服务。云存储系统具有成本低、可扩展、透明的支持基础能力和高峰负荷等特点,这些特点使得云存储服务得到了越来越多的关注和支持。
在云存储系统中,分布式文件系统是最核心、最重要的部分。它承担着通过网络为用户提供远程文件服务的重任,它能够把数量众多的廉价存储设备构成的庞大的存储资源池整合为一个整体,为外提供统一的存储服务,使得用户感知不到其访问的是存储在远程服务器中的数据。一般来讲,分布式文件系统包括分布式文件系统客户端、元数据服务器和块数据服务器。
请参考图1,该图是一种分布式文件系统的结构框图。该分布式文件系统包括分布式文件系统客户端100、元数据服务器200和块数据服务器300。一般来讲,文件被分成多个数据块存储到相应的块数据服务器中。分布式文件系统客户端100用于将要存储的文件数据分块并将形成的数据块发送到元数据服务器200指定的块数据服务器300,或者通过查询元数据服务器200获得数据块的位置信息后从块数据服务器300中读取相应的数据块。元数据服务器200用于管理客户端对文件数据的访问和维护文件数据的元数据;元数据包括名字空间、从文件数据到数据块的映射以及数据块的当前位置,等等。块数据服务器300用于存储实际文件数据。
上述分布式文件系统的工作过程大体如下:
在向云端上传文件数据时,用户客户端将文件数据上传给分布式文件系统客户端100,分布式文件系统客户端100根据预定的策略将将文件数据分成相应的数据块;分布式文件系统客户端100向元数据服务器200请求文件数据的元数据。元数据服务器200根据预定的策略向分布式文件系统客户端100返回元数据信息。分布式文件系统客户端100根据存储信息将相应数据块存储到相应的块数据服务器300中。
从云端读取文件数据时,用户客户端向元数据服务器200提出读取请求。元数据服务器200根据该请求向分布式文件系统客户端100发送文件数据的元数据,分布式文件系统客户端100再根据文件数据的元数据向块数据服务器300请求,取得相应的数据块,再将数据块组合后传送给用户客户端。
目前已有许多云存储服务被企业、学校或政府使用,如清华大学校园内已经广泛使用云存储系统,亚马逊面向美政府机构推出云存储服务,等等。
在云存储服务在带来便利的同时,也引起了用户对于数据私密性的广泛担忧。在云存储系统中,由于存储文件数据或数据块的物理介质不属于云存储用户所有;进而当用户上传文件数据到云端后,具有优先访问权限的并不是相应的用户,而是云存储服务的提供商,这样用户就对文件数据就失去了绝对的控制权。同时由于云存储平台的复杂性,在资源高度集中且用户的文件数据处于多租户共享的环境下,进而,如何保证用户文件数据的私密性是云存储系统及其服务的重要问题。
目前,保证文件数据的私密性的方式中,比较具有常用的方式是采用身份认证、访问控制、加密的连接传输数据等手段。但是身份认证、访问控制这些安全机制完全依赖于云端服务端的管理,其安全性建立在对云服务提供商的信任之上。但在复杂的网络环境和多变的商业利益之间,用户并不能完全信任云服务提供商。此外,对于加密的连接传输数据手段,虽然用户的文件数据在传输过程中进行了加密,但仍以明文的形式存储在云端服务端中。
保证文件数据的私密性的另一种方式是在用户客户端对文件数据进行加密,即用户在上传敏感的文件数据之前首先将文件数据加密;这样攻击者即使获得了文件数据也无法确定信息内容,从而保证了文件数据在云存储的安全。该方式虽然能够很好地保护用户的私密,防止未授权的用户篡改数据,但是该方式需要在用户客户端完成对文件数据的加密及密文编码等工作,要求客户端具有更多的资源,这就使得用户的操作变得更加非常复杂、且耗时增加。
现有技术中,还公开一种是在云端服务器端对用户的数据进行加密或隔离的方式。该方式的缺点是:用户数据是以明文的形式在网络中传输,此过程中,数据很容易遭到窃取,私密性很难保证。
因此,如何进一步在保证用户数据的私密性的同时,方便用户的操作是云存储服务需要解决的重要问题。
发明内容
本发明的目的在于提供一种用于云存储系统的文件数据传输方法和装置,以进一步提高用户数据的私密性。
本发明提供的一种用于云存储系统的文件数据传输方法包括:
步骤1:数据服务器根据用户客户端的预定请求向预定服务端运行的虚拟机监控器发送构造封闭计算环境的指令;
步骤2:所述虚拟机监控器根据构造封闭计算环境的指令构造封闭计算环境,并向用户客户端返回该封闭计算环境的准入信息;
步骤3:所述用户客户端根据所述准入信息将加密的信息数据发送给封闭计算环境;所述信息数据包括根据约定的第一密钥将预定的第二密钥和文件数据进行加密形成数据;
步骤4:所述封闭计算环境根据约定的第一密钥对加密的信息数据进行解密;再根据第二密钥对文件数据进行加密,形成存储于云端的数据。
优选,在所述步骤1中,所述数据服务器为分布式文件系统的元数据服务器。
可选,所述虚拟机监控器向用户客户端返回封闭计算环境的准入信息,具体是:所述虚拟机监控器先将准入信息返回所述数据服务器,所述数据服务器再将所述准入信息返回所述用户客户端。
优选,在步骤3中,所述根据约定的第一密钥将预定的第二密钥和文件数据进行加密,具体是,以SSL方式对将预定的第二密钥和文件数据进行加密;
在步骤4中,所述根据约定的第一密钥对加密的信息数据进行解密,具体是,以SSL方式对加密的信息数据进行解密。
本发明提供的另一种用于云存储系统的文件数据传输方法包括:
步骤1:数据服务器根据用户客户端的预定请求向预定服务端运行的虚拟机监控器发送构造封闭计算环境的指令;
步骤2:所述虚拟机监控器根据构造封闭计算环境的指令构造封闭计算环境,并向用户客户端返回该封闭计算环境的准入信息;
步骤3:所述用户客户端根据所述准入信息将根据预定的第二密钥加密的文件数据和根据约定的第一密钥加密后的第二密钥发送给所述封闭计算环境;
步骤4:所述封闭计算环境根据约定的第一密钥对加密的第二密钥进行解密;再根据第二密钥对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密,并将加密的文件数据传送给用户客户端;
步骤5:所述用户客户端再根据第一密钥对文件数据进行解密,获得解密后的文件数据。
优选,在所述步骤1中,所述数据服务器为分布式文件系统的元数据服务器。
可选,所述虚拟机监控器向用户客户端返回封闭计算环境的准入信息,具体是:所述虚拟机监控器先将准入信息返回所述数据服务器,所述数据服务器再将所述准入信息返回所述用户客户端。
优选,在步骤3中,所述根据约定的第一密钥将预定的第二密钥进行加密,具体是,以SSL方式对预定的第二密钥进行加密;
在步骤4中,所述根据约定的第一密钥对加密的第二密钥进行解密,具体是,以SSL方式对预定的第二密钥进行解密;所述根据第一密钥对解密的文件数据进行加密,具体是,以SSL方式对解密的文件数据进行加密;
在步骤5中,所述根据第一密钥对文件数据进行解密,具体是,以SSL方式对文件数据进行解密。
本发明提供的用于云存储系统的文件数据传输装置,包括数据服务器和部署虚拟机监控器的服务端;
所述数据服务器用于根据用户客户端的预定请求向一个所述服务端运行的虚拟机监控器发送构造封闭计算环境的指令;
所述虚拟机监控器用于根据构造封闭计算环境的指令构造封闭计算环境,并向用户客户端返回封闭计算环境的准入信息:
所述封闭计算环境用于根据约定的第一密钥对加密的预定信息数据进行解密;再根据预定的第二密钥对文件数据进行加密,形成存储于云端的数据,或/和,用于根据约定的第一密钥对加密的第二密钥进行解密;再根据第二密钥对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密,并将加密的文件数据传送给用户客户端。
优选,所述数据服务器为分布式文件系统的元数据服务器。
优选,所述元数据服务器包括启动封闭计算环境模块,所述启动封闭计算环境模块用于根据用户客户端的预定请求选择预定的服务端,并将所述预定请求转发给该服务端运行的虚拟机监控器。
优选,所述封闭计算环境中包括SSL模块,所述SSL模块用于根据所述第一密钥对预定数据以SSL方式进行加密或解密。
本发明提供的用于云存储系统的文件数据传输方法中,通过利用网络上的预定服务端的的虚拟机监控器构造封闭计算环境,在用户客户端和封闭计算环境约定第一密钥基础上,由用户自行构造第二密钥。与在向云端上传文件数据时,用户客户端将第二密钥和文件数据均根据第一密钥进行加密,并上传给封闭计算环境;在云端,封闭计算环境根据约定的第一密钥对用户客户端上传的信息数据进行解密获得第二密钥和文件数据,再根据第二密钥对文件数据进行加密,再将加密后的文件数据以现有的方式存储到块数据服务器中。该方法从多个方面对文件数据的私密性提供的保证:在文件数据从用户客户端向云端传输过程中,对文件数据根据第一密钥进行了加密,进而能够保证文件数据在传输过程中的私密性;在网络的预定服务端,封闭计算环境可以根据用户提供的第二密钥对文件数据进行加密运算保护,进而可以防止云端的管理人员在未授权的情况下查看或者篡改文件数据;在封闭计算环境中使用用户自行构造的第二密钥对文件数据进行加密,可以避免服务端操作系统管理员的非法窥探,用户自行构造的第二密钥的私密性得以保证;在云端中,封闭计算环境将根据第二密钥加密的文件数据传输至块数据服务器,可以保证云端传输过程的安全;文件数据以密文方式存储在块数据服务器中,可以保证文件数据的私密。
在从云端读取文件数据时,以同样的方式构造封闭计算环境后,用户客户端根据约定的第一密钥将预定的第二密钥进行加密,再根据封闭计算环境的准入信息将根据预定的第二密钥加密的文件数据及加密后的第二密钥发送给封闭计算环境;封闭计算环境再根据约定的第一密钥对加密的第二密钥进行解密;再根据第二密钥对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密,并将加密的文件数据传送给用户客户端;用户客户端再根据第一密钥对文件数据进行解密,获得解密后的文件数据。同理,该方法也从上述多个方面对文件数据提供的保证。
在进一步的技术方案中,在从云端读取文件数据时,利用分布式文件系统中的元数据服务器作为数据服务器,可以在保持网络整体结构的情况下,实现上述方案,充分利用现有网络资源,可以降低文件数据传输成本。
在进一步的技术方案中,所述第一密钥为基于SSL(SecuritySocket Layer,安全套接层)加密机制形成的密钥,可以保证该传输方法的通用性及可兼容性,降低用户客户端的资源要求,降低用户客户端资源利用。
本发明提供的用于云存储系统的文件数据传输装置可以实施上述方法,也具有相对应的技术效果。
附图说明
图1是一种分布式文件系统的结构框图;
图2是本发明提供的用于云存储系统的原理示意图;
图3是利用图2所示云存储系统向云端上传文件数据的信令流程图;
图4是利用图2所示云存储系统从云端读取文件数据的信令流程图。
具体实施方式
为了描述的方便,本部分在对云存储系统工作原理进行描述的同时对本发明提供的用于云存储系统的文件数据传输装置及用于云存储系统的文件数据传输方法进行描述。
本发明提供的用于云存储系统的文件数据传输装置包括数据服务器和部署了虚拟机监控器的服务端。所述数据服务器用于根据用户客户端的预定请求向一个所述服务端运行的虚拟机监控器发送构造封闭计算环境的指令。虚拟机监控器用预定适当的程序,进而能够利用现有的方式根据构造封闭计算环境的指令构造封闭计算环境,在封闭计算环境构造完成后,向用户客户端返回封闭计算环境的准入信息,准入信息可以包括登录用户名、密码及地址等等。
用户客户端可以根据准入信息将自行构造的第二密钥以约定的方式上传给封闭计算环境。约定的方式可以是以约定的第一密钥对第二密钥进行加密。
在向云端上传文件数据时,封闭计算环境能够根据约定的第一密钥对加密的预定信息数据进行解密。然后,再根据用户客户端上传的预定的第二密钥对要存储的文件数据进行加密,形成存储于云端的数据。
在从云端读取文件数据时,封闭计算环境用于根据约定的第一密钥对上传的、加密的第二密钥进行解密;再根据获得的第二密钥对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密,并将加密的文件数据传送给用户客户端。这样,用户客户端可以根据第一密钥对文件数据解密,完成文件数据的读取。
本发明的一个实施例中,其中的数据服务器的功能可以利用现有技术中的分布式文件系统的元数据服务器实现,进而利用本发明实施例提供的文件数据传输装置时;这样,在硬件结构上,可以仅增加一个服务端。当然,该服务端也可以是在网络中适当的节点服务终端。本发明提供的实施例中,在元数据服务器上可以设置一个启动封闭计算环境模块,通过该模块具体实现数据服务器的功能构造。为了描述的方便,以下以元数据服务器指代数据服务器,可以理解,数据服务器的功能不限于利用元数据服务器实现,也可以利用网络上的其他节点的服务终端实现。
下面结合附图对本发明提供的技术方案进行详细描述,本部分的描述仅是示范性和解释性,不应视为对本发明公开技术内容的限制。
请参考图2和图3,图2是本发明提供的用于云存储系统的原理示意图,图中,虚线部分为本发明提供的用于云存储系统的文件数据传输装置;图3是利用图2所示云存储系统向云端上传文件数据的信令流程图。
图2所示的云存储系统包括现有技术中的分布式文件系统客户端100、元数据服务器200和块数据服务器300,还包括用户客户端400及网络上的至少一个服务端500,该服务端上用于部署运行虚拟机监控器。
结合图2和图3,利用上述云存储系统向云端上传文件数据的过程包括两大部分,第一部分为加密文件数据部分,第二部分为存储数据部分。
第一部分具体过程如下:
步骤301:用户客户端400向元数据服务器200发送构造封闭计算环境请求消息。
步骤302:元数据服务器200根据接收到用户客户端400发送构造封闭计算环境的请求,从网络集群中指派一个部署运行了虚拟机监控器的服务端,并向该服务端的虚拟机监控器发送构造封闭计算环境的指令。
步骤303~305:虚拟机监控器根据构造封闭计算环境的指令产生开始指令,构造封闭计算环境。构建封闭计算环境后,虚拟机监控器向元数据服务器200返回封闭计算环境的准入信息;元数据服务器200再将准入信息转发给用户客户端400。准入信息可以包括登录用户名、密码,IP地址等等,以为后续步骤中用户客户端400进入封闭计算环境提供可能。
利用虚拟机监控器构造封闭计算环境的方式可以根据现有技术提供的方式进行。此时,步骤302中发送的消息需要包括用户客户端400的相关信息,以为虚拟机向用户客户端400直接传送消息提供前提。
步骤306:用户客户端400再根据上述准入信息将加密的信息数据发送给封闭计算环境。作为之前的准备,用户客户端400需要自行构造第二密钥,并根据约定的第一密钥将第二密钥及要存储在云端的文件数据进行加密,形成加密的信息数据。第二密钥可以是用户客户端400自行构造的对称数据密钥,要存储在云端的文件数据和对称数据密钥可以通过SSL方式进行加密。对称密钥构造可以采用DES、3DES、IDEA、FEAL或BLOWFISH等加密算法。
封闭计算环境在接收到信息数据后,根据约定的第一密钥对加密的预定信息数据进行解密,获得明文的第二密钥和文件数据;再根据第二密钥对明文的文件数据进行加密,形成存储于云端的数据,然后进入存储数据过程。
存储数据部分的具体方式可以按现有的方式将形成加密的文件数据存储在云端,简单过程如下:
步骤307:封闭计算环境将数据传送给分布式文件系统客户端100。
步骤308:分布式文件系统客户端100向元数据服务器200发送元数据请求消息。
步骤309:元数据服务器200向分布式文件系统客户端100返回文件数据的元数据。
步骤310:分布式文件系统客户端100根据文件数据的元数据,将数据块传送给块数据服务器300。
步骤311:存储完成后,块数据服务器300向分布式文件系统客户端100传送存储成功消息。
步骤312:分布式文件系统客户端100向封闭计算环境传送存储成功消息。
步骤313~315:封闭计算环境向分布式文件系统客户端100传送结束消息,分布式文件系统客户端100关闭;同时,封闭计算环境向元数据服务器200传送完成消息;在接收到结束消息后,封闭计算环境向用户客户端400传送存储成功消息。
步骤316:在接到存储成功消息后,用户客户端400向封闭计算环境传送结束消息,封闭计算环境关闭。
本发明提供的用于云存储系统的文件数据传输和装置中,通过利用网络上的预定服务端的虚拟机监控器构造封闭计算环境,在用户客户端400和封闭计算环境约定第一密钥的基础上,由用户自行构造第二密钥。与在向云端上传文件数据时,用户客户端400将第二密钥和文件数据均根据第一密钥进行加密;在云端,封闭计算环境根据第一密钥对用户客户端上传的数据进行解密获得第二密钥和文件数据,再根据第二密钥对文件数据进行加密,再将加密后的文件数据以现有的方式存储到块数据服务器300中。该方法从多个方面对文件数据的私密性提供的保证:在文件数据从用户客户端400向云端传输过程中,对文件数据根据第一密钥进行了加密,进而能够保证文件数据在传输过程中的私密性;在网络的预定服务端,封闭计算环境可以根据用户提供的第二密钥对文件数据进行加密运算保护,进而可以防止云端的特权管理员在未授权的情况下查看或者篡改文件数据;在封闭计算环境中使用用户自行构造的第二密钥对文件数据进行加密,可以避免服务端操作系统管理员的非法窥探,用户自行构造的第二密钥的私密性得以保证;在云端中,封闭计算环境将根据第二密钥加密的文件数据传输至块数据服务器300,可以保证云端传输过程的安全;文件数据以密文方式存储在块数据服务器300中,可以保证文件数据的私密。
以上对利用图2中所示云存储系统向云端上传文件数据的过程,以下对利用图2中所示云存储系统从云端读取文件数据的过程进行说明。
请参考图4,该图是利用图2所示云存储系统从云端读取文件数据的信令流程图。
图4所示的过程包括两个部分,第一部分是下载部分,用于下载加密的文件数据,该部分根据现有技术提供的方法将位于云端的文件数据下载到用户客户端400;由于该文件数据通过封闭计算环境的加密,用户客户端400无法读取,进而还包括第二部分。第二部分是解密部分,用于对下载的文件数据进行解密。
下载加密的文件数据的具体过程可以和现有技术相同,以下进行简单说明:
步骤401~402:用户客户端400向分布式文件系统客户端100发送请求消息,分布式文件系统客户端100向元数据服务器200发送请求消息。当然,用户客户端400也可以直接向元数据服务器200发送无数据请求消息。
步骤403:元数据服务器200向分布式文件系统客户端100返回元数据消息。
步骤404:分布式文件系统客户端100向块数据服务器300发送读取消息。
步骤405:块数据服务器300向分布式文件系统客户端100发送块数据。
步骤406~407:分布式文件系统客户端100将数据块整合后形成文件数据,并将文件数据发送给用户客户端400。在接收到数据后,用户客户端400向分布式文件系统客户端100发送结束消息,文件下载过程结束。
对下载的文件数据进行解密的过程如下:
步骤408:用户客户端400向元数据服务器200发送构造封闭计算环境的请求消息。
步骤409:元数据服务器200根据接收到用户客户端400发送的请求,从网络集群中指派一个运行虚拟机监控器的服务端,并向该服务端的虚拟机监控器,发送构造封闭计算环境的指令。
步骤410~412:虚拟机监控器根据构造封闭计算环境的指令产生开始消息,构造封闭计算环境。构建封闭计算环境后,确定封闭计算环境的准入信息,然后虚拟机监控器向元数据服务器200返回封闭计算环境的准入信息,元数据服务器200再将准入信息转发给用户客户端400。与图3所示流程相同,准入信息可以包括登录用户名、密码,IP地址等等。
同样,利用虚拟机监控器构造封闭计算环境的方式可以根据现有技术提供的方式进行。此时,步骤302中发送的消息要包括用户客户端400的相关信息,以为虚拟机向用户客户端400直接传送消息提供前提。
步骤413:用户客户端400根据准入信息将预定的第二密钥根据SSL方式进行加密后和步骤401至407下载的加密的文件数据发送给封闭计算环境。当然,对第二密钥的加密方式也可以通过其他方式加密。第二密钥为用户自行构造的密钥。
步骤414:封闭计算环境对接收到的数据根据第一密钥对相应数据进行解密后获得第二密钥;然后,封闭计算环境再使用第二密钥对相应数据进行解密,再将文件数据根据SSL方式进行加密后再将加密后的文件数据传输给用户客户端400。
步骤415:用户客户端400确认接收完文件数据后清理环境,向封闭计算环境传送结束消息,关闭封闭计算环境。用户客户端400可以根据第一密钥对文件数据进行解释,以读取文件数据的内容。
与向云端上传数据相对应,从云端读取文件数据的方式也具有相对应的技术效果:在下载文件部分,文件数据从云端向用户客户端400传输过程中,文件数据以根据第二密钥加密的形式存在;在从用户客户端400向云端传输时,文件数据也以根据第二密钥进行加密的形式存在;网络的预定服务端中,封闭计算环境根据用户提供的第二密钥对文件数据进行解密运算保护;用户自行构造的第二密钥在加密后传输至封闭计算环境;这些方面均可以保证文件数据的私密性。
本发明提供的一个实施例中,在利用元数据服务器200作为数据服务器时,为了保证上述方法的顺利进行,实现本发明的目的。在元数据服务器200包括一个启动封闭计算环境模块,启动封闭计算环境模块用于根据用户客户端400的预定请求选择预定的服务端,并将预定请求转发给该服务端运行的虚拟机监控器。为了保证用户客户端400和封闭计算环境中均能够根据约定的第一密钥对预定的数据进行加密和解密,在用户客户端400和封闭计算环境中均可以包括SSL模块,以利用SSL模块根据第一密钥(基于SSL的密钥)对预定数据以SSL方式进行加密或解密。
本文中应用了具体个例对本发明提供的技术方案进行了阐述,以上实施例的说明只是用于帮助理解本发明提供的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,也可以对上述技术手段进行组合,等等;这些改进、修饰和组合也落入本发明权利要求的保护范围内。
Claims (10)
1.一种用于云存储系统的文件数据传输方法,其特征在于,该方法包括:
步骤1:数据服务器根据用户客户端的预定请求向预定服务端运行的虚拟机监控器发送构造封闭计算环境的指令;
步骤2:所述虚拟机监控器根据构造封闭计算环境的指令构造封闭计算环境,并向用户客户端返回该封闭计算环境的准入信息;
步骤3:所述用户客户端根据所述准入信息将加密的信息数据发送给封闭计算环境;所述信息数据包括根据约定的第一密钥将预定的第二密钥和文件数据进行加密形成数据;
步骤4:所述封闭计算环境根据约定的第一密钥对加密的信息数据进行解密;再根据第二密钥对文件数据进行加密,形成存储于云端的数据,其中,所述第一密钥是用户客户端与封闭计算环境约定的密钥,所述第二密钥是用户自行构建的密钥。
2.根据权利要求1所述的用于云存储系统的文件数据传输方法,其特征在于,
在所述步骤1中,所述数据服务器为分布式文件系统的元数据服务器;
所述虚拟机监控器向用户客户端返回封闭计算环境的准入信息,具体是:所述虚拟机监控器先将准入信息返回所述数据服务器,所述数据服务器再将所述准入信息返回所述用户客户端。
3.根据权利要求1或2所述的用于云存储系统的文件数据传输方法,其特征在于,
在步骤3中,所述根据约定的第一密钥将预定的第二密钥和文件数据进行加密,具体是,以SSL方式对预定的第二密钥和文件数据进行加密;
在步骤4中,所述根据约定的第一密钥对加密的信息数据进行解密,具体是,以SSL方式对加密的信息数据进行解密,所述SSL方式是采用安全套接层加密机制进行加密的方式。
4.一种用于云存储系统的文件数据传输方法,其特征在于,该方法包括:
步骤1:数据服务器根据用户客户端的预定请求向预定服务端运行的虚拟机监控器发送构造封闭计算环境的指令;
步骤2:所述虚拟机监控器根据构造封闭计算环境的指令构造封闭计算环境,并向用户客户端返回该封闭计算环境的准入信息;
步骤3:所述用户客户端根据所述准入信息将根据预定的第二密钥加密的文件数据和根据约定的第一密钥加密后的第二密钥发送给所述封闭计算环境;
步骤4:所述封闭计算环境根据约定的第一密钥对加密的第二密钥进行解密;再根据第二密钥对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密,并将加密的文件数据传送给用户客户端;
步骤5:所述用户客户端再根据第一密钥对文件数据进行解密,获得解密后的文件数据,其中,所述第一密钥是用户客户端与封闭计算环境约定的密钥,所述第二密钥是用户自行构建的密钥。
5.根据权利要求4所述的用于云存储系统的文件数据传输方法,其特征在于,
在所述步骤1中,所述数据服务器为分布式文件系统的元数据服务器;
所述虚拟机监控器向用户客户端返回封闭虚拟机的准入信息,具体是:所述虚拟机监控器先将准入信息返回所述数据服务器,所述数据服务器再将所述准入信息返回所述用户客户端。
6.根据权利要求4或5所述的用于云存储系统的文件数据传输方法,其特征在于,
在步骤3中,所述根据约定的第一密钥将预定的第二密钥进行加密,具体是,以SSL方式对预定的第二密钥进行加密,所述SSL方式是采用安全套接层加密机制进行加密的方式;
在步骤4中,所述根据约定的第一密钥对加密的第二密钥进行解密,具体是,以SSL方式对预定的第二密钥进行解密;所述根据第一密钥对解密的文件数据进行加密,具体是,以SSL方式对解密的文件数据进行加密;
在步骤5中,所述根据第一密钥对文件数据进行解密,具体是,以SSL方式对文件数据进行解密。
7.一种用于云存储系统的文件数据传输装置,其特征在于,包括数据服务器和至少一个运行虚拟机监控器的服务端;
所述数据服务器用于根据用户客户端的预定请求向一个所述服务端运行的虚拟机监控器发送构造封闭计算环境的指令;
所述虚拟机监控器用于根据构造封闭计算环境的指令构造封闭计算环境,并向用户客户端返回封闭计算环境的准入信息:
所述封闭计算环境用于根据约定的第一密钥对加密的预定信息数据进行解密;再根据预定的第二密钥对文件数据进行加密,形成存储于云端的数据,或/和,用于根据约定的第一密钥对加密的第二密钥进行解密;再根据第二密钥对加密的文件数据进行解密,再根据第一密钥对解密的文件数据进行加密,并将加密的文件数据传送给用户客户端,其中,所述第一密钥是用户客户端与封闭计算环境约定的密钥,所述第二密钥是用户自行构建的密钥。
8.根据权利要求7所述的用于云存储系统的文件数据传输装置,其特征在于,所述数据服务器为分布式文件系统的元数据服务器。
9.根据权利要求8所述的用于云存储系统的文件数据传输装置,其特征在于,所述元数据服务器包括启动封闭计算环境模块,所述启动封闭计算环境模块用于根据用户客户端的预定请求选择预定的服务端,并将所述预定请求转发给该服务端运行的虚拟机监控器。
10.根据权利要求7、8或9所述的用于云存储系统的文件数据传输装置,其特征在于,所述封闭计算环境中包括SSL模块,所述SSL模块用于根据所述第一密钥对预定数据以SSL方式进行加密或解密,所述SSL模块是采用安全套接层加密机制进行加密的模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210245515.9A CN102739689B (zh) | 2012-07-16 | 2012-07-16 | 一种用于云存储系统的文件数据传输装置和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210245515.9A CN102739689B (zh) | 2012-07-16 | 2012-07-16 | 一种用于云存储系统的文件数据传输装置和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102739689A CN102739689A (zh) | 2012-10-17 |
| CN102739689B true CN102739689B (zh) | 2015-05-13 |
Family
ID=46994472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210245515.9A Active CN102739689B (zh) | 2012-07-16 | 2012-07-16 | 一种用于云存储系统的文件数据传输装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102739689B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103227789B (zh) * | 2013-04-19 | 2015-09-16 | 武汉大学 | 一种云环境下轻量级的细粒度访问控制方法 |
| CN103268441B (zh) * | 2013-05-20 | 2016-06-08 | 李贵林 | 一种计算机程序进行指令级监控和分析系统及方法 |
| CN104104513A (zh) * | 2014-07-22 | 2014-10-15 | 浪潮电子信息产业股份有限公司 | 一种云端多租户数据存储安全隔离方法 |
| CN104283868A (zh) * | 2014-09-11 | 2015-01-14 | 江苏集群信息产业股份有限公司 | 面向物联网和云计算安全存储分布式文件系统的加密方法 |
| CN107437992A (zh) * | 2016-05-26 | 2017-12-05 | 聂际敏 | 安全数据存储系统及方法 |
| CN108234539B (zh) * | 2016-12-14 | 2022-06-03 | 北京金山云网络技术有限公司 | 一种文件上传、下载、传输方法及装置 |
| CN107493301A (zh) * | 2017-09-27 | 2017-12-19 | 郑州云海信息技术有限公司 | 一种数据访问系统 |
| CN108418817B (zh) * | 2018-02-14 | 2021-02-26 | 华为技术有限公司 | 一种加密方法及装置 |
| CN109474583B (zh) * | 2018-10-26 | 2021-03-23 | 温州博盈科技有限公司 | 一种数据安全管理系统 |
| CN109598145A (zh) * | 2018-12-07 | 2019-04-09 | 无锡予果科技有限公司 | 一种防泄密的数据传输和云端存储方法及系统 |
| US20200401720A1 (en) * | 2019-06-18 | 2020-12-24 | Tmrw Foundation Ip & Holding S. À R.L. | Virtualization for privacy control |
| CN111158857A (zh) * | 2019-12-24 | 2020-05-15 | 深信服科技股份有限公司 | 数据加密方法、装置、设备及存储介质 |
| CN111143870B (zh) * | 2019-12-30 | 2022-05-13 | 兴唐通信科技有限公司 | 一种分布式加密存储装置、系统及加解密方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014133A (zh) * | 2010-11-26 | 2011-04-13 | 清华大学 | 在云存储环境下一种安全存储系统的实现方法 |
| CN102271124A (zh) * | 2010-06-01 | 2011-12-07 | 富士通株式会社 | 数据处理设备和数据处理方法 |
| CN102447723A (zh) * | 2010-10-12 | 2012-05-09 | 运软网络科技(上海)有限公司 | 客户端虚拟化架构 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8910278B2 (en) * | 2010-05-18 | 2014-12-09 | Cloudnexa | Managing services in a cloud computing environment |
| WO2011152910A1 (en) * | 2010-06-02 | 2011-12-08 | Vmware, Inc. | Securing customer virtual machines in a multi-tenant cloud |
-
2012
- 2012-07-16 CN CN201210245515.9A patent/CN102739689B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271124A (zh) * | 2010-06-01 | 2011-12-07 | 富士通株式会社 | 数据处理设备和数据处理方法 |
| CN102447723A (zh) * | 2010-10-12 | 2012-05-09 | 运软网络科技(上海)有限公司 | 客户端虚拟化架构 |
| CN102014133A (zh) * | 2010-11-26 | 2011-04-13 | 清华大学 | 在云存储环境下一种安全存储系统的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102739689A (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102739689B (zh) | 一种用于云存储系统的文件数据传输装置和方法 | |
| CN103763315B (zh) | 一种应用于移动设备云存储的可信数据存取控制方法 | |
| CN108259169B (zh) | 一种基于区块链云存储的文件安全分享方法及系统 | |
| Yang et al. | Multimedia cloud transmission and storage system based on internet of things | |
| CN106254324B (zh) | 一种存储文件的加密方法及装置 | |
| CN103327002B (zh) | 基于属性的云存储访问控制系统 | |
| CN103763319B (zh) | 一种移动云存储轻量级数据安全共享方法 | |
| US8984295B2 (en) | Secure access to electronic devices | |
| CN103973736A (zh) | 一种数据共享的方法及装置 | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| CN105245328A (zh) | 一种基于第三方的用户及文件的密钥产生管理方法 | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
| CN104601571A (zh) | 一种租户与云服务器存储交互的数据加密系统及方法 | |
| CN105873031A (zh) | 基于可信平台的分布式无人机认证和密钥协商方法 | |
| CN105281912A (zh) | 基于移动网络的电网运行调度系统 | |
| JP2016212293A (ja) | クラウド環境にデータを保存する情報処理装置、端末装置および保存方法 | |
| WO2022198303A1 (en) | Method and system for granting remote access to an electronic device | |
| Xiong et al. | A secure document self-destruction scheme: an ABE approach | |
| CN102984273A (zh) | 虚拟磁盘加密方法、解密方法、装置及云服务器 | |
| CN105072134A (zh) | 一种基于三级密钥的云盘系统文件安全传输方法 | |
| WO2013008351A1 (ja) | データ分散保管システム | |
| EP3149883A1 (en) | Management of cryptographic keys | |
| KR101812311B1 (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |