CN105516110B - 移动设备安全数据传送方法 - Google Patents

移动设备安全数据传送方法 Download PDF

Info

Publication number
CN105516110B
CN105516110B CN201510867428.0A CN201510867428A CN105516110B CN 105516110 B CN105516110 B CN 105516110B CN 201510867428 A CN201510867428 A CN 201510867428A CN 105516110 B CN105516110 B CN 105516110B
Authority
CN
China
Prior art keywords
file
user
data
mobile client
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510867428.0A
Other languages
English (en)
Other versions
CN105516110A (zh
Inventor
刘金明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Quzeng information technology (Shanghai) Co., Ltd
Original Assignee
Quzeng Information Technology Shanghai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Quzeng Information Technology Shanghai Co Ltd filed Critical Quzeng Information Technology Shanghai Co Ltd
Priority to CN201510867428.0A priority Critical patent/CN105516110B/zh
Publication of CN105516110A publication Critical patent/CN105516110A/zh
Application granted granted Critical
Publication of CN105516110B publication Critical patent/CN105516110B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供了一种移动设备安全数据传送方法,该方法包括:基于分布式文件系统构建数据存储管理系统,对所存储的数据进行加密,并对移动设备用户进行身份认证和访问控制。本发明提出了一种移动设备安全数据传送方法,通过文件访问控制避免用户私有信息被窃取和篡改的的风险,提高了云存储环境下的信息安全性。

Description

移动设备安全数据传送方法
技术领域
本发明涉及网络安全,特别涉及一种移动设备安全数据传送方法。
背景技术
云计算资源对用户来说,可以看成是无限可扩展的,随时按需获取,并且按时支付一定的费用。云计算快速发展的同时,著名的企业都推出了各自的代表性的云计算服务,但它们也并未将所有的数据文件都存放于云端。这是对云计算环境安全的顾虑。因此推广云计算的应用服务必须设计并实现出一套安全可靠的云计算安全策略。云计算环境下,从用户的角度来说,将个人信息数据全部依托于云端来保管的方式可能会增加来自恶意管理员的威胁。这些恶意的内部成员可以在没有任何风险的情况下对用户的数据信息进行篡改。用户在使用和管理云计算服务、与云计算服务进行交互时,均是通过云计算服务提供商提供的软件接口或API,而云计算服务并不能保证提供的这些API的安全性。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种移动设备安全数据传送方法,包括:
基于分布式文件系统构建数据存储管理系统,对所存储的数据进行加密,并对移动设备用户进行身份认证和访问控制。
优选地,所述数据存储管理系统包括主控模块、存储模块和移动客户端;主控模块是数据存储管理系统的管理控制中心,由文件系统中的名字节点构成,负责处理移动客户端的各种应用服务请求、用户的合法性验证、并实时监控数据存储管理系统各数据节点的状态以及对数据节点数据的负载均衡和日志的处理操作;存储模块是由数据节点组成的集群,根据名字节点的控制命令以及用户的请求,对数据存取提供存取操作,移动客户端智能移动终端构成;用户将其应用服务请求通过移动客户端传送给控制中心的主服务器,在收到元数据信息后对数据文件进行分片,根据文件系统数据块的冗余策略采取流水线管道式的复制,将数据存储到对应的数据节点上;用户下载文件时,基于主服务器反馈的元数据映射信息,将分散于系统中不同数据节点的数据块合并成完整的文件;所述数据节点通过周期性的向名字节点发送心跳检测实现主服务器节点对数据节点的监控和维护;
移动客户端交互界面基于Web浏览器实现;数据存储管理系统后台服务器对文件的处理按照功能特性可以分为文件处理层、逻辑层和控制层;其中,数据处理层将用户注册、登录时所需要的数据抽象封装成Java中间件用于数据库的操作;逻辑层封装所有与用户交互的方法,处理注册、登录和审核;控制层获取并解析服务请求,调用逻辑层中定义的接口和相应的逻辑处理方法,将结果返回给移动客户端;使用数据流的方式对文件系统中的文件进行读取操作,名字节点获取到文件的元数据信息,检查元数据映射表以确认该文件是否已存在;若不存在,则将该文件数据块的元信息写入到映射表中,再根据文件系统数据写入操作过程完成数据文件的上传;数据节点根据移动客户端的写入请求,完成对用户数据文件的写入,操作完成后,它向名字节点发送确认成功的消息;文件的下载过程中,用户发出文件下载请求后,名字节点根据文件的元数据信息,获取文件数据对应数据节点的数据节点映射信息表并返回给客户;由文件系统数据读取过程,从数据节点下载文件;对文件进行的删除操作是在名字节点获取文件的元数据信息后,根据元数据映射表,判断权限,对于有删除权限用户授予删除权限;从网络数据流空间获取文件路径、文件名信息,以数据流的形式完成从本地到文件系统的文件上传过程;同时,在数据库中,更新用户文件列表,将新上传的文件信息添加到所属文件夹文件表中;下载操作中更新数据库文件表,接收文件ID和文件名作为索引,由数据库的文件表获取文件的存储路径、所有者、是否加密、加密算法信息,当所有信息准确无误并且用户下载的权限有效时,以文件数据流的形式完成下载操作;当用户需要对文件进行清理时,在数据库中更新文件列表、文件信息表;通过获取所选文件的ID作为索引,在数据库文件表中搜索文件的所有信息并返回。
本发明相比现有技术,具有以下优点:
本发明提出了一种移动设备安全数据传送方法,通过文件访问控制避免用户私有信息被窃取和篡改的的风险,提高了云存储环境下的信息安全性。
附图说明
图1是根据本发明实施例的移动设备安全数据传送方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种移动设备安全数据传送方法。图1是根据本发明实施例的移动设备安全数据传送方法流程图。
本发明基于Hadoop分布式文件系统构建数据存储管理系统,利用云计算环境下的用户身份认证和访问控制、数据的加密存储、文件的保护和隐私权限控制完成云计算安全策略。
数据存储管理系统包括主控模块、存储模块和移动客户端。主控模块是数据存储管理系统的管理控制中心,由文件系统中的名字节点构成,负责处理移动客户端的各种应用服务请求、用户的合法性验证、并实时监控数据存储管理系统各数据节点的状态以及对数据节点数据的负载均衡和日志的处理等操作。存储模块是由数据节点组成的集群,拥有海量的存储能力。根据名字节点的控制命令以及用户的请求,对数据存取提供实质性的存取操作,移动客户端一般由智能移动终端构成,是终端设备上应用程序的简称。
本发明的数据存储管理系统是基于Web浏览器进行访问的,通过在Web界面对模块功能的配置,定制该系统需要的模块,包括用户管理、文件管理、文件夹管理。普通用户则通过Web浏览器对个人文件进行操作,包括文件的上传、下载、删除和共享,文件夹的新建、删除与修改等。从安全的角度考虑,可以选择加密上传文件。文件的元数据信息将存储在数据存储管理系统的分布式架构中,其大小可由参数设定,用户不需要了解底层实现的具体细节。
移动客户端部分负责管理与用户之间的交互。用户将其应用服务请求通过移动客户端传送给控制中心的主服务器,在收到元数据信息后对数据文件进行分片,根据文件系统数据块的冗余策略采取流水线管道式的复制,将数据存储到对应的数据节点上。用户下载文件时,同样基于主服务器反馈的元数据映射信息,将分散于系统上不同数据节点的数据块合并成完整的文件。数据节点集群用以存储用户文件数据块,满足用户对文件的存取功能。通过周期性的向名字节点发送心跳检测的机制,确保了主服务器节点对数据节点的监控和维护。
本发明的数据存储管理系统,结合了访问控制策略和用户对文件、文件夹的操作需求,由用户功能管理、文件夹功能管理和文件功能管理以及共享功能管理四个功能模块组成。
新的用户在系统中注册账号,本系统的注册过程使用能够唯一标识用户身份的身份标识;文件夹管理模块涉及文件夹访问控制策略,包含在数据存储管理系统新建、修改和删除文件夹的功能,将不同类别的资源或文件归档在不同的文件夹下;考虑到属性安全控制策略,文件管理包括文件的上传、下载和删除功能,所有操作的完成都是建立在文件系统提供的强大的文件操作接口之上。采用移动客户端并行传输的策略。还可以通过设置副本参数使得文件系统自动完成副本冗余的功能。共享管理包括与所有数据存储管理系统使用者共享某一数据文件,该文件对所有用户在线可见,非文件所有者可以共享和下载。只有文件所有者才具有删除权限。
数据存储管理系统用户登录系统后,使用其可以唯一标识用户身份的信息输入相关信息完成用户的注册。系统或者管理员会校对其注册信息,审核用户信息的合法性,然后,用户可以在获取登录权限后首次登录数据存储管理系统。作为整个系统的入口,数据存储管理系统采用一定的身份认证手段,在后台验证使用者身份的真实性,以决定用户的登录有效性,从而保证数据存储管理系统以及用户文件的安全性。
移动客户端交互界面是基于Web浏览器实现。基于Hadoop分布式文件系统的数据存储管理系统后台服务器对文件的处理按照功能特性可以分为:文件处理层、逻辑层和控制层。其中,数据处理层将用户注册、登录时所需要的数据抽象封装成Java中间件,以方便数据库的操作;逻辑层封装了所有与用户交互的方法,处理注册、登录和审核。控制层获取并解析服务请求,调用逻辑层中定义的接口和相应的逻辑处理方法,将结果返回给移动客户端。在文件夹管理服务端,相对应的呈现树状的层次结构,即用户在个人界面中对文件或文件夹的操作,实时的返回给服务端。
为了组建基于Web浏览器的访问模式,使用数据流的方式对文件系统中的文件进行读取操作数据信息,检查元数据映射表以确认该文件是否已存在。若不存在,则将该文件数据块的元信息写入到映射表中,再根据文件系统数据写入操作过程完成数据文件的上传。数据节点根据移动客户端的写入请求,完成对用户数据文件的写入,操作完成后,它将会向名字节点发送确认成功的消息。
文件的下载过程中用户发出文件下载请求,名字节点根据文件的元数据信息,获取文件数据对应数据节点的数据节点映射信息表并返回给客户。由文件系统数据读取过程,从数据节点下载文件。对文件进行的删除操作是在名字节点获取文件的元数据信息后,根据元数据映射表,判断权限,对于有删除权限用户授予删除权限。对于公共共享的文件。
用户选择所需要的文件后,选择进行上传。文件上传过程添加有加密选项,根据需要选择其中一种对上传的文件进行加密。同时加密后的文件在下载时同样需要解密的操作过程。利用文件系统提供的接口,封装并实现上传操作。从网络数据流空间获取文件路径、文件名等文件信息,以数据流的形式完成从本地到文件系统的文件上传过程。同时,在数据库中,更新用户文件列表,将新上传的文件信息添加到所属文件夹文件表中。
对于那些在上传时加密的文件,在下载之前选择对应的解密算法正确选择解密算法并输入密码后,用户方可成功完成文件的下载操作。
下载操作中更新数据库文件表,接收文件ID和文件名作为索引,由数据库的文件表获取文件的存储路径、所有者、是否加密、加密算法等数据信息,当所有信息准确无误并且用户下载的权限有效时,下载操作才能以文件数据流的形式完成下载操作。
当用户需要对文件进行清理时,在数据库中更新文件列表、文件信息表。通过获取所选文件的ID作为索引,在数据库文件表中搜索文件的所有信息,包括文件路径、文件名等,并返回。在删除文件系统数据节点中文件的同时,会对数据库发出更新命令,清理不存在的文件及索引信息。对于共享空间的文件,只有文件的所有者才具有删除权限,非所有者的删除操作会受到严格限制。用户共享后的文件对所有用户可见和下载。
通过用户的选择获取文件的ID,作为索引搜索数据库的文件信息表。在与数据库的文件信息表实现交互后,获取该文件的共享状态、所有者以及加密的相关信息。当文件信息表的共享状态属性为“1”时,表示文件己共享,“0”表示文件仍属于私人拥有禁止共享。当用户下载或查看他人共享的文件时,以文件列表的形式列出了所有的共享文件,并以更新的时间倒序排列。
用户在登录时,输入验证信息,以会话的方式传递给后台服务器,用户对数据文件的操作请求,会先发送给主服务器名字节点,以获取相关文件的元数据信息。当名字节点返回数据文件元信息后,移动客户端即可根据元信息与对应数据节点交互实现文件数据的读写操作。在移动客户端与数据节点交互通信时,重新进行访问者的用户身份认证,即数据节点对移动客户端的身份认证,验证移动客户端是否已经与主服务器名字节点完成了身份认证并成功获取了数据文件的元信息;上述用户身份认证具体包括以下过程:
以用户的唯一标识作为公钥,主服务器名字节点生成加密参数,为每一个合法的用户生成其对应的私钥并返回。通过设置密钥的使用期限,来控制其生命周期,当用户访问个人数据存储管理系统中的文件时,移动客户端首先向名字节点发出读取文件的请求,名字节点会根据用户的元数据信息来判断用户的合法性。当用户通过身份认证后,名字节点会分别向用户和数据节点返回不同的参数,同时用户还会收到相关文件的元数据信息。然后,移动客户端根据文件的地址信息向对应的数据节点发出读写文件的操作。数据节点对访问者作进一步的身份认证,以防止非法用户的假冒。当移动客户端通过数据节点的身份认证后,便可获取文件的访问权限以及存储地址信息,随后,读写文件的操作便可以在移动客户端与数据节点之间直接进行。
合法用户成功登录数据存储管理系统后在系统中执行文件的读写操作。移动客户端先向主服务器名字节点发送文件操作请求,请求中包含有加密参数以及请求的服务类型。名字节点在解析请求后,查找文件的元数据块,并生成随机数;然后将这些元数据信息全部返回给移动客户端,同时也会向对应的数据节点传递相应的参数用以下一步的身份认证。具体过程如下:
名字节点使用用户的加密参数和公钥将上述随机数加密成第一密文;名字节点将移动客户端用户的加密参数、公钥和随机数由安全通道传送给元数据信息映射表中对应的数据节点,并将所述第一密文和元数据信息返回给移动客户端。移动客户端收到名字节点传回的元数据信息,使用系统公钥和用户私钥对第一密文进行解密,得到第一明文;移动客户端利用用户私钥以及系统公钥和散列函数对第一明文进行加密,得到第二密文;移动客户端解析元数据信息,向对应的数据节点发出访问请求,其中包含第二密文;数据节点接收到移动客户端的访问请求信息,解析并尝试对其密文进行解密,使用名字节点提供的加密参数和公钥,成功解密后将获得第二明文,判断第二明文是否等于所述随机数,即可验证当前访问者是否属合法用户,且通过名字节点的验证请求并获取其文件元数据信息。当数据节点完成对移动客户端的访问身份认证后,授予移动客户端读写数据文件的权限。当一次身份认证结束后,其中的随机参数被丢弃,下一次的认证过程又将产生新的参数。
针对操作文件权限的不同,分别采用不同的共享状态位(0/l)来表示,并在体现在用户与文件的关系映射表之中。用户文件列表中的文件索引实质上源自用户与文件的映射关系表。文件信息表由数据服务器管理,在每次用户访问时查询,可根据其提供的共享状态位判断出文件的访问权限,并将属于用户且具有操作权限的文件返回给移动客户端界面。共享文件列表记录了所有用户共享的文件信息,并在共享页面按共享的时间倒序排列。
在文件访问控制表中,以每个合法用户的身份标识为主键,将所有属于该用户的文件都加入到该列表之中,构成文件映射列表。在该表内的所有文件,都允许所属用户的读写、修改和删除等操作,其他的任何用户都没有访问该文件表内数据的任何权限。该用户进行的文件所有操作也仅限于该文件表,对于其他的文件表中的文件,用户将不再具有任何的访问权限,无法进行任何读写文件的操作。此外,设置某一文件属于特定的用户群组,可使得该群组中的所有用户都具有该文件的访问权限。
在移动客户端对文件进行传输之前,采用对称密钥在移动客户端对用户的文件数据加密,移动客户端获取到用户口令后,将其作为密钥的随机数源融入加密算法中,待密钥生成之后,再采用相应的加密算法对数据文件进行加密。解密时,由于同一随机数生成的密钥相同,因此用户只需在移动客户端输入口令便可以获取对应的密钥,从而完成解密工作。通过使用散列算法对用户口令进行散列运算,并将该散列值存于服务器的数据库中。简短的口令同时也简化了用户的密钥管理。
数据文件加密的操作流程具体步骤如下:
移动客户端获取本地数据文件块,根据一定的算法计算出其摘要,使用散列算法对摘要进行散列运算,根据用户选择的加密算法和输入的口令,移动客户端实例化加密算法的密钥对象,并将用户口令作为参数传入,通过对加密函数的调用,完成对数据文件块的加密,得到加密后的块文件。将口令同样使用散列算法对其进行求散列值的运算,并将其传输到服务器的数据库中保存。移动客户端在完成以上加密工作后,将加密的数据文件块和文件摘要的散列值—起上传至对应的数据节点中。文件写入操作结束,返回结果。
数据文件解密的操作流程具体步骤如下:
用户登录时输入账号和口令,移动客户端得到用户的验证请求信息后,使用散列算法对口令进行散列,从服务器的数据库中查找该账号用户对应口令的散列值,验证口令的散列值。若验证成功,则移动客户端从主服务器名字节点获取文件的元数据信息,与数据节点实现交互,完成数据文件的读取操作。读取到本地后的文件先进行解密操作。移动客户端接收到的数据文件包含两个部分,摘要散列值和加密的文件块。根据用户的加密选择对应的解密算法,利用口令作为密钥的随机数源,对文件块解密得到明文。接着,对该明文进行求取摘要操作并对摘要进行验证。
综上所述,本发明提出了一种移动设备安全数据传送方法,通过文件访问控制避免用户私有信息被窃取和篡改的的风险,提高了云存储环境下的信息安全性。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (1)

1.一种移动设备安全数据传送方法,其特征在于,包括:
基于分布式文件系统构建数据存储管理系统,对所存储的数据进行加密,并对移动设备用户进行身份认证和访问控制;
在移动客户端对文件进行传输之前,采用对称密钥在移动客户端对用户的文件数据加密,移动客户端获取到用户口令后,将其作为密钥的随机数源融入加密算法中,待密钥生成之后,再采用相应的加密算法对数据文件进行加密;解密时,由于同一随机数生成的密钥相同,因此用户只需在移动客户端输入口令便可以获取对应的密钥,从而完成解密工作;通过使用散列算法对用户口令进行散列运算,并将该散列值存于服务器的数据库中;简短的口令同时也简化了用户的密钥管理;
数据文件加密的操作流程具体步骤如下:
移动客户端获取本地数据文件块,根据一定的算法计算出其摘要,使用散列算法对摘要进行散列运算,根据用户选择的加密算法和输入的口令,移动客户端实例化加密算法的密钥对象,并将用户口令作为参数传入,通过对加密函数的调用,完成对数据文件块的加密,得到加密后的块文件;将口令同样使用散列算法对其进行求散列值的运算,并将其传输到服务器的数据库中保存;移动客户端在完成以上加密工作后,将加密的数据文件块和文件摘要的散列值—起上传至对应的数据节点中;文件写入操作结束,返回结果;
数据文件解密的操作流程具体步骤如下:
用户登录时输入账号和口令,移动客户端得到用户的验证请求信息后,使用散列算法对口令进行散列,从服务器的数据库中查找该账号用户对应口令的散列值,验证口令的散列值;若验证成功,则移动客户端从主服务器名字节点获取文件的元数据信息,与数据节点实现交互,完成数据文件的读取操作;读取到本地后的文件先进行解密操作;移动客户端接收到的数据文件包含两个部分,摘要散列值和加密的文件块;根据用户的加密选择对应的解密算法,利用口令作为密钥的随机数源,对文件块解密得到明文;接着,对该明文进行求取摘要操作并对摘要进行验证;
用户在登录时输入验证信息,以会话的方式传递给后台服务器,用户对数据文件的操作请求先发送给主服务器名字节点,以获取相关文件的元数据信息;当名字节点返回数据文件元信息后,移动客户端即可根据元信息与对应数据节点交互实现文件数据的读写操作;在移动客户端与数据节点交互通信时,重新进行访问者的用户身份认证,即数据节点对移动客户端的身份认证,验证移动客户端是否已经与主服务器名字节点完成了身份认证并成功获取了数据文件的元信息;上述用户身份认证具体包括以下过程:
以用户的唯一标识作为公钥,主服务器名字节点生成加密参数,为每一个合法的用户生成其对应的私钥并返回;通过设置密钥的使用期限,来控制其生命周期,当用户访问个人数据存储管理系统中的文件时,移动客户端首先向名字节点发出读取文件的请求,名字节点会根据用户的元数据信息来判断用户的合法性,当用户通过身份认证后,名字节点会分别向用户和数据节点返回不同的参数,同时用户还收到相关文件的元数据信息;然后,移动客户端根据文件的地址信息向对应的数据节点发出读写文件的操作;数据节点对访问者作进一步的身份认证,以防止非法用户的假冒;当移动客户端通过数据节点的身份认证后,便可获取文件的访问权限以及存储地址信息,随后,读写文件的操作在移动客户端与数据节点之间直接进行;
合法用户成功登录数据存储管理系统后在系统中执行文件的读写操作;移动客户端先向主服务器名字节点发送文件操作请求,请求中包含有加密参数以及请求的服务类型;名字节点在解析请求后,查找文件的元数据块,并生成随机数;然后将这些元数据信息全部返回给移动客户端,同时也会向对应的数据节点传递相应的参数用以下一步的身份认证,具体过程如下:
名字节点使用用户的加密参数和公钥将上述随机数加密成第一密文;名字节点将移动客户端用户的加密参数、公钥和随机数由安全通道传送给元数据信息映射表中对应的数据节点,并将所述第一密文和元数据信息返回给移动客户端,移动客户端收到名字节点传回的元数据信息,使用系统公钥和用户私钥对第一密文进行解密,得到第一明文;移动客户端利用用户私钥以及系统公钥和散列函数对第一明文进行加密,得到第二密文;移动客户端解析元数据信息,向对应的数据节点发出访问请求,其中包含第二密文;数据节点接收到移动客户端的访问请求信息,解析并尝试对其密文进行解密,使用名字节点提供的加密参数和公钥,成功解密后将获得第二明文,判断第二明文是否等于所述随机数,即可验证当前访问者是否属合法用户,且通过名字节点的验证请求并获取其文件元数据信息, 当数据节点完成对移动客户端的访问身份认证后,授予移动客户端读写数据文件的权限, 当一次身份认证结束后,其中的随机参数被丢弃,下一次的认证过程又将产生新的参数。
CN201510867428.0A 2015-12-01 2015-12-01 移动设备安全数据传送方法 Active CN105516110B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510867428.0A CN105516110B (zh) 2015-12-01 2015-12-01 移动设备安全数据传送方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510867428.0A CN105516110B (zh) 2015-12-01 2015-12-01 移动设备安全数据传送方法

Publications (2)

Publication Number Publication Date
CN105516110A CN105516110A (zh) 2016-04-20
CN105516110B true CN105516110B (zh) 2019-12-20

Family

ID=55723748

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510867428.0A Active CN105516110B (zh) 2015-12-01 2015-12-01 移动设备安全数据传送方法

Country Status (1)

Country Link
CN (1) CN105516110B (zh)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI622886B (zh) * 2016-07-01 2018-05-01 Softnext Tech Corp Regional data sharing system and method
CN106790304A (zh) * 2017-03-24 2017-05-31 联想(北京)有限公司 数据访问方法、装置、节点以及服务器集群
CN108076148A (zh) * 2017-12-15 2018-05-25 成都链网络科技有限公司 基于区块链的存储系统
CN108111585B (zh) * 2017-12-15 2021-08-31 成都波霎科技有限公司 基于区块链的分布式存储方法
CN108229203A (zh) * 2017-12-29 2018-06-29 北京安云世纪科技有限公司 一种终端中的文件保护方法及装置
CN108647230B (zh) * 2018-03-29 2021-10-08 深圳市网心科技有限公司 分布式存储方法、电子装置及存储介质
CN110990407B (zh) * 2018-04-27 2020-11-10 腾讯科技(深圳)有限公司 基于区块链的数据存储方法、装置、服务器及存储介质
CN108777685B (zh) * 2018-06-05 2020-06-23 京东数字科技控股有限公司 用于处理信息的方法和装置
FR3081575A1 (fr) * 2018-06-21 2019-11-29 Orange Pilotage d'un dispositif de stockage de donnees
CN109213955B (zh) * 2018-09-14 2022-11-11 腾讯科技(深圳)有限公司 数据处理方法及相关设备
CN110795508B (zh) * 2019-11-04 2023-04-07 中国建设银行股份有限公司 数据的复制方法、装置、设备和存储介质
CN110798478B (zh) * 2019-11-06 2022-04-15 中国联合网络通信集团有限公司 数据处理方法及设备
CN111611620B (zh) * 2020-05-26 2023-07-25 牛津(海南)区块链研究院有限公司 一种访问平台的访问请求处理方法及相关装置
CN114844698A (zh) * 2022-04-29 2022-08-02 深圳极联软件有限公司 一种分布式大数据的数据安全管控系统及方法
CN115544571B (zh) * 2022-10-13 2023-08-18 上海罗盘信息科技有限公司 一种基于访问权限的数据安全系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457555A (zh) * 2010-10-28 2012-05-16 中兴通讯股份有限公司 一种分布式存储的安全系统及方法
CN102833346A (zh) * 2012-09-06 2012-12-19 上海海事大学 基于存储元数据的云敏感数据安全保护系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100474825C (zh) * 2003-09-12 2009-04-01 华为技术有限公司 域认证和用户网络权限控制统一处理的方法及系统
CN101159556B (zh) * 2007-11-09 2011-01-26 清华大学 基于组密钥服务器的共享加密文件系统中的密钥管理方法
CN106209382A (zh) * 2010-09-20 2016-12-07 安全第公司 用于安全数据共享的系统和方法
US9152643B2 (en) * 2012-12-21 2015-10-06 Zetta Inc. Distributed data store
CN103795786A (zh) * 2014-01-20 2014-05-14 杭州百富电子技术有限公司 具有web服务功能的嵌入式集中器系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457555A (zh) * 2010-10-28 2012-05-16 中兴通讯股份有限公司 一种分布式存储的安全系统及方法
CN102833346A (zh) * 2012-09-06 2012-12-19 上海海事大学 基于存储元数据的云敏感数据安全保护系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
数据安全的分片存储系统应用研究;张洪;《中国优秀硕士学位论文全文数据库信息科技辑》;20120715;正文"1.3 课题研究内容和目标","3.1 系统整体设计"-"3.3 数据安全设计方案","4.1 系统整体功能"-"4.3 数据存储模块实现" *

Also Published As

Publication number Publication date
CN105516110A (zh) 2016-04-20

Similar Documents

Publication Publication Date Title
CN105516110B (zh) 移动设备安全数据传送方法
JP6941146B2 (ja) データセキュリティサービス
US11475137B2 (en) Distributed data storage by means of authorisation token
US11470054B2 (en) Key rotation techniques
US10002152B2 (en) Client computer for updating a database stored on a server via a network
US8856530B2 (en) Data storage incorporating cryptographically enhanced data protection
CA2899027C (en) Data security service
US9853979B1 (en) Immediate policy effectiveness in eventually consistent systems
CN103095847B (zh) 一种云存储系统安全保障方法及其系统
US9300639B1 (en) Device coordination
US12052259B2 (en) Blockchain folding
CN105450750A (zh) 智能终端安全交互方法
CN103095720A (zh) 一种基于会话管理服务器的云存储系统的安全管理方法
Guo et al. Using blockchain to control access to cloud data
Thota et al. Split key management framework for Open Stack Swift object storage cloud
Heames et al. Notice of Violation of IEEE Publication Principles: DAta accountability in cloud using reliable log files forwarding
Vanitha et al. Data sharing: Efficient distributed accountability in cloud using third party auditor
Guo¹ et al. Check for updates Using Blockchain to Control Access to Cloud Data
CN114629700A (zh) 设备运维管理方法、装置、计算机设备和可读存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20191121

Address after: 200001 room 1710, 17th floor, No. 400, Zhejiang Middle Road, Huangpu District, Shanghai

Applicant after: Quzeng information technology (Shanghai) Co., Ltd

Address before: High tech Zone Chengdu city Sichuan province 610041 Gaopeng Road No. 2

Applicant before: CHENGDU HARMONY TECHNOLOGY CO., LTD.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant