CN107566374A - 一种基于用户隔离存储的云存储数据保护方法及系统 - Google Patents
一种基于用户隔离存储的云存储数据保护方法及系统 Download PDFInfo
- Publication number
- CN107566374A CN107566374A CN201710801699.5A CN201710801699A CN107566374A CN 107566374 A CN107566374 A CN 107566374A CN 201710801699 A CN201710801699 A CN 201710801699A CN 107566374 A CN107566374 A CN 107566374A
- Authority
- CN
- China
- Prior art keywords
- user
- deblocking
- back end
- data
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供了一种基于用户隔离存储的云存储数据保护方法及系统,采用基于用户的隔离存储加密,将数据存储于分布式文件系统,数据分块存储,由云存储的DataNode完成数据的加密操作和解密操作,有效地防止用户对云存储数据的访问及解析,实现多租户存储数据的隔离,保护了云存储数据的安全。
Description
技术领域
本发明涉及云存储安全保密的技术领域,具体涉及一种基于用户隔离存储的云存储数据保护方法及系统。
背景技术
云计算系统借助虚拟机化技术来实现资源的动态分配、弹性部署,虚拟化技术通过对硬件资源的抽象封装实现了系统级的隔离,为不同安全等级的应用和服务提供了互不影响的运行环境,也为系统安全监控软件部署提供了有利条件。云存储是在云计算的基础上实现的具有弹性伸缩能力的存储服务,当用户上传自身明文数据到云存储系统时,为实现多租户的数据隔离。然而,当用户上传自身明文数据到云存储系统时,明文数据可能存在被用户非法访问,数据得不到完善的保护。
鉴于此种情况,本领域亟需一种能够实现对云存储数据保护的技术方案。
发明内容
基于上述问题,本发明提出了一种基于用户隔离存储的云存储数据保护方法及系统。本发明有效防止用户对云存储数据的访问及解析,即使数据被用户非法访问,也无法正确解析其中的数据,有效地保护了云存储数据的安全。
本发明提供如下技术方案:
一方面,本发明提供了一种基于用户隔离存储的云存储数据保护方法,包括:
步骤101,初始化系统初始参数,读取系统配置文件,获取预设用户数量,构建密钥与对应用户之间的映射关系;
步骤102,将数据存储于分布式文件系统,所述数据分成多块数据分块;
步骤103,获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点;
步骤104,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,利用加密算法对数据分块进行加密,然后将所述加密的数据分块复制到其他数据节点上;
步骤105,当用户读取数据时,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,对加密的数据分块进行解密,将解密数据返回至用户的客户端程序。
其中,所述加密算法为DES、AES或商用对称加密算法。
其中,所述获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点具体为:用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后将数据分块发送至对应的数据节点。
其中,在数据节点根据用户id与密钥管理服务器进行通信之前,用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后发送数据块读取请求至对应的数据节点。
另外,本发明还提供了一种基于用户隔离存储的云存储数据保护系统,所述系统包括:
初始化模块,用于初始化系统初始参数,读取系统配置文件,获取预设用户数量,构建密钥与对应用户之间的映射关系;
数据分块模块,用于将数据存储于分布式文件系统,所述数据分成多块数据分块;
发送模块,用于获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点;
加密模块,用于所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,利用加密算法对数据分块进行加密,然后将所述加密的数据分块复制到其他数据节点上;
解密模块,用于当用户读取数据时,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,对加密的数据分块进行解密,将解密数据返回至用户的客户端程序。
其中,所述加密算法为DES、AES或商用对称加密算法。
其中,所述获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点具体为:用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后将数据分块发送至对应的数据节点。
其中,在数据节点根据用户id与密钥管理服务器进行通信之前,用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后发送数据块读取请求至对应的数据节点。
本发明提供了一种基于用户隔离存储的云存储数据保护方法及系统,采用基于用户的隔离存储加密,将数据存储于分布式文件系统,数据分块存储,由云存储的DataNode完成数据的加密操作和解密操作,有效地防止用户对云存储数据的访问及解析,实现多租户存储数据的隔离,保护了云存储数据的安全。
附图说明
图1是本发明的方法流程图;
图2是本发明的系统结构框图;
图3是本发明的云存储隔离存储技术架构图。
具体实施方式
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
一方面,本发明的实施方式提供了将数据存储于分布式文件系统,附图1为本发明的方法流程图,附图3为本发明的云存储隔离存储技术架构图,包括:
步骤101,初始化系统初始参数,读取系统配置文件,获取预设用户数量,构建密钥与对应用户之间的映射关系;
系统初始化阶段由密钥管理服务器KMS初始化系统初始参数及读取系统配置文件获取预设用户数量UserNum,并且构建密钥keyn和用户usern之间的映射关系,其中n属于[1,UserNum]。
步骤102,将数据存储于分布式文件系统,所述数据分成多块数据分块;
当用户将数据Data存储于HDFS(Hadoop分布式文件系统)中时,由用户的Client端程序将Data分成多块,数据分块采用blockn来表示。
步骤103,获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点;
用户首先与NameNode主节点进行通信获取数据分块与DataNode数据节点的对应关系,然后将数据分块发送给对应的数据节点DataNode。
步骤104,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,利用加密算法对数据分块进行加密,然后将所述加密的数据分块复制到其他数据节点上;
由DataNode数据节点与密钥管理服务器KMS进行通信,获取该用户的数据加密密钥key,然后对数据分块block进行加密,具体算法包括DES、AES、商用对称加密算法等,然后将加密的数据块复制到其他DataNode数据节点上
步骤105,当用户读取数据时,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,对加密的数据分块进行解密,将解密数据返回至用户的客户端程序;
当用户需要读取自身的数据时,需要首先与NameNode主节点进行通信获取数据块与DataNode数据节点的对应关系,然后发送数据块读取请求到DataNode数据节点,由DataNode数据节点基于用户id获取其对应的key,对密文数据块进行解密,返回给用户的client程序。
本发明提供了一种基于用户隔离存储的云存储数据保护方法,采用基于用户的隔离存储加密,将数据存储于分布式文件系统,数据分块存储,由云存储的DataNode完成数据的加密操作和解密操作,有效地防止用户对云存储数据的访问及解析,实现多租户存储数据的隔离,保护了云存储数据的安全。
另一方面,本发明的实施方式提供了一种基于用户隔离存储的云存储数据保护系统,附图2为本发明的系统结构框图,附图3为本发明的云存储隔离存储技术架构图,所述系统包括:
初始化模块201,用于初始化系统初始参数,读取系统配置文件,获取预设用户数量,构建密钥与对应用户之间的映射关系;
系统初始化阶段由密钥管理服务器KMS初始化系统初始参数及读取系统配置文件获取预设用户数量UserNum,并且构建密钥keyn和用户usern之间的映射关系,其中n属于[1,UserNum]。
数据分块模块202,用于将数据存储于分布式文件系统,所述数据分成多块数据分块;
当用户将数据Data存储于HDFS(Hadoop分布式文件系统)中时,由用户的Client端程序将Data分成多块,数据分块采用blockn来表示。
发送模块203,用于获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点;
用户首先与NameNode主节点进行通信获取数据分块与DataNode数据节点的对应关系,然后将数据分块发送给对应的数据节点DataNode。
加密模块204,用于所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,利用加密算法对数据分块进行加密,然后将所述加密的数据分块复制到其他数据节点上;
由DataNode数据节点与密钥管理服务器KMS进行通信,获取该用户的数据加密密钥key,然后对数据分块block进行加密,具体算法包括DES、AES、商用对称加密算法等,然后将加密的数据块复制到其他DataNode数据节点上
解密模块205,用于当用户读取数据时,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,对加密的数据分块进行解密,将解密数据返回至用户的客户端程序;
当用户需要读取自身的数据时,需要首先与NameNode主节点进行通信获取数据块与DataNode数据节点的对应关系,然后发送数据块读取请求到DataNode数据节点,由DataNode数据节点基于用户id获取其对应的key,对密文数据块进行解密,返回给用户的client程序。
本发明提供了一种基于用户隔离存储的云存储数据保护系统,采用基于用户的隔离存储加密,将数据存储于分布式文件系统,数据分块存储,由云存储的DataNode完成数据的加密操作和解密操作,有效地防止用户对云存储数据的访问及解析,实现多租户存储数据的隔离,保护了云存储数据的安全。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种基于用户隔离存储的云存储数据保护方法,其特征在于:
步骤101,初始化系统初始参数,读取系统配置文件,获取预设用户数量,构建密钥与对应用户之间的映射关系;
步骤102,将数据存储于分布式文件系统,所述数据分成多块数据分块;
步骤103,获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点;
步骤104,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,利用加密算法对数据分块进行加密,然后将所述加密的数据分块复制到其他数据节点上;
步骤105,当用户读取数据时,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,对加密的数据分块进行解密,将解密数据返回至用户的客户端程序。
2.根据权利要求1所述的方法,其特征在于:所述加密算法为DES、AES或商用对称加密算法。
3.根据权利要求1所述的方法,其特征在于:所述获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点具体为:用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后将数据分块发送至对应的数据节点。
4.根据权利要求1所述的方法,其特征在于:在数据节点根据用户id与密钥管理服务器进行通信之前,用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后发送数据块读取请求至对应的数据节点。
5.一种基于用户隔离存储的云存储数据保护系统,其特征在于:所述系统包括:
初始化模块,用于初始化系统初始参数,读取系统配置文件,获取预设用户数量,构建密钥与对应用户之间的映射关系;
数据分块模块,用于将数据存储于分布式文件系统,所述数据分成多块数据分块;
发送模块,用于获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点;
加密模块,用于所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,利用加密算法对数据分块进行加密,然后将所述加密的数据分块复制到其他数据节点上;
解密模块,用于当用户读取数据时,所述数据节点根据用户id与密钥管理服务器进行通信获取对应用户的密钥,对加密的数据分块进行解密,将解密数据返回至用户的客户端程序。
6.根据权利要求5所述的系统,其特征在于:所述加密算法为DES、AES或商用对称加密算法。
7.根据权利要求5所述的系统,其特征在于:所述获取数据分块与数据节点的对应关系,将所述数据分块发送至对应的数据节点具体为:用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后将数据分块发送至对应的数据节点。
8.根据权利要求5所述的系统,其特征在于:在数据节点根据用户id与密钥管理服务器进行通信之前,用户与主节点进行通信,获取数据分块与数据节点的对应关系,然后发送数据块读取请求至对应的数据节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710801699.5A CN107566374A (zh) | 2017-09-07 | 2017-09-07 | 一种基于用户隔离存储的云存储数据保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710801699.5A CN107566374A (zh) | 2017-09-07 | 2017-09-07 | 一种基于用户隔离存储的云存储数据保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107566374A true CN107566374A (zh) | 2018-01-09 |
Family
ID=60979866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710801699.5A Pending CN107566374A (zh) | 2017-09-07 | 2017-09-07 | 一种基于用户隔离存储的云存储数据保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566374A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429733A (zh) * | 2018-02-05 | 2018-08-21 | 济南浪潮高新科技投资发展有限公司 | 一种数据处理的系统 |
| CN108491732A (zh) * | 2018-03-13 | 2018-09-04 | 山东超越数控电子股份有限公司 | 一种基于业务隔离存储的海量存储数据保护系统及方法 |
| CN108650254A (zh) * | 2018-05-08 | 2018-10-12 | 上海你我贷互联网金融信息服务有限公司 | 一种用于多租户数据的加解密系统 |
| CN109408036A (zh) * | 2018-09-07 | 2019-03-01 | 安徽恒科信息技术有限公司 | 一种敏捷开发平台 |
| CN110688666A (zh) * | 2019-10-08 | 2020-01-14 | 卓尔购信息科技(武汉)有限公司 | 一种分布式存储中数据加密保存方法 |
| CN111382131A (zh) * | 2018-12-27 | 2020-07-07 | 浙江大学 | 数据处理方法、装置及存储介质 |
| CN111382200A (zh) * | 2018-12-29 | 2020-07-07 | 北京中交兴路信息科技有限公司 | 信息加载方法、装置、服务器及存储介质 |
| CN111756765A (zh) * | 2020-06-30 | 2020-10-09 | 无锡启创梦网络科技有限公司 | 一种基于SaaS平台的系统安全架构 |
| CN113792345A (zh) * | 2021-09-18 | 2021-12-14 | 国网电子商务有限公司 | 一种数据访问控制方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130041872A1 (en) * | 2011-08-12 | 2013-02-14 | Alexander AIZMAN | Cloud storage system with distributed metadata |
| CN103248479A (zh) * | 2012-02-06 | 2013-08-14 | 中兴通讯股份有限公司 | 云存储安全系统、数据保护以及共享方法 |
| CN103368942A (zh) * | 2013-05-25 | 2013-10-23 | 中山市中商港科技有限公司 | 一种云数据安全存储及管理的方法 |
| US20140129830A1 (en) * | 2012-11-07 | 2014-05-08 | Wolfgang Raudaschl | Process for Storing Data on a Central Server |
| CN104753870A (zh) * | 2013-12-30 | 2015-07-01 | 中国移动通信集团公司 | 一种数据传输方法和系统 |
| CN104811300A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云存储的密钥更新方法及云数据审计系统的实现方法 |
| CN105282171A (zh) * | 2015-11-06 | 2016-01-27 | 北京大学深圳研究生院 | 一种安全可靠的分布式云存储方法 |
-
2017
- 2017-09-07 CN CN201710801699.5A patent/CN107566374A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130041872A1 (en) * | 2011-08-12 | 2013-02-14 | Alexander AIZMAN | Cloud storage system with distributed metadata |
| CN103248479A (zh) * | 2012-02-06 | 2013-08-14 | 中兴通讯股份有限公司 | 云存储安全系统、数据保护以及共享方法 |
| US20140129830A1 (en) * | 2012-11-07 | 2014-05-08 | Wolfgang Raudaschl | Process for Storing Data on a Central Server |
| CN103368942A (zh) * | 2013-05-25 | 2013-10-23 | 中山市中商港科技有限公司 | 一种云数据安全存储及管理的方法 |
| CN104753870A (zh) * | 2013-12-30 | 2015-07-01 | 中国移动通信集团公司 | 一种数据传输方法和系统 |
| CN104811300A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云存储的密钥更新方法及云数据审计系统的实现方法 |
| CN105282171A (zh) * | 2015-11-06 | 2016-01-27 | 北京大学深圳研究生院 | 一种安全可靠的分布式云存储方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108429733A (zh) * | 2018-02-05 | 2018-08-21 | 济南浪潮高新科技投资发展有限公司 | 一种数据处理的系统 |
| CN108491732A (zh) * | 2018-03-13 | 2018-09-04 | 山东超越数控电子股份有限公司 | 一种基于业务隔离存储的海量存储数据保护系统及方法 |
| CN108650254A (zh) * | 2018-05-08 | 2018-10-12 | 上海你我贷互联网金融信息服务有限公司 | 一种用于多租户数据的加解密系统 |
| CN109408036A (zh) * | 2018-09-07 | 2019-03-01 | 安徽恒科信息技术有限公司 | 一种敏捷开发平台 |
| CN111382131A (zh) * | 2018-12-27 | 2020-07-07 | 浙江大学 | 数据处理方法、装置及存储介质 |
| CN111382131B (zh) * | 2018-12-27 | 2023-05-09 | 浙江大学 | 数据处理方法、装置及存储介质 |
| CN111382200A (zh) * | 2018-12-29 | 2020-07-07 | 北京中交兴路信息科技有限公司 | 信息加载方法、装置、服务器及存储介质 |
| CN110688666A (zh) * | 2019-10-08 | 2020-01-14 | 卓尔购信息科技(武汉)有限公司 | 一种分布式存储中数据加密保存方法 |
| CN110688666B (zh) * | 2019-10-08 | 2023-07-28 | 卓尔购信息科技(武汉)有限公司 | 一种分布式存储中数据加密保存方法 |
| CN111756765A (zh) * | 2020-06-30 | 2020-10-09 | 无锡启创梦网络科技有限公司 | 一种基于SaaS平台的系统安全架构 |
| CN113792345A (zh) * | 2021-09-18 | 2021-12-14 | 国网电子商务有限公司 | 一种数据访问控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566374A (zh) | 一种基于用户隔离存储的云存储数据保护方法及系统 | |
| CN111448779B (zh) | 用于混合秘密共享的系统、设备和方法 | |
| EP3574622B1 (en) | Addressing a trusted execution environment | |
| CN109800584B (zh) | 一种基于Intel SGX机制的身份或属性加密计算方法和系统 | |
| KR101894232B1 (ko) | 클라우드-보조 암호화를 위한 방법 및 장치 | |
| CN105027494B (zh) | 公共云中的受信任的数据处理 | |
| US7983423B1 (en) | Re-keying based on pre-generated keys | |
| Xu et al. | Dynamic user revocation and key refreshing for attribute-based encryption in cloud storage | |
| US9461821B1 (en) | System and method for key material protection on devices using a secret sharing scheme | |
| CN105656864B (zh) | 基于tcm的密钥管理系统及管理方法 | |
| Rahmani et al. | Encryption as a Service (EaaS) as a Solution for Cryptography in Cloud | |
| WO2014194494A1 (zh) | 数据安全的保护方法、服务器、主机及系统 | |
| CN110889696A (zh) | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 | |
| CN109067528A (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN108491732A (zh) | 一种基于业务隔离存储的海量存储数据保护系统及方法 | |
| CN103152322A (zh) | 数据加密保护方法及系统 | |
| CN103580855A (zh) | 一种基于共享技术的UsbKey秘钥管理方案 | |
| WO2021129003A1 (zh) | 一种密码管理方法及相关装置 | |
| US11563566B2 (en) | Key splitting | |
| CN102984146A (zh) | 用于云计算的数据管理方法 | |
| Mendonca | Data security in cloud using AES | |
| CN109145557A (zh) | 一种计算机数据保护系统 | |
| US7069448B2 (en) | Context oriented crypto processing on a parallel processor array | |
| CN110750326A (zh) | 一种虚拟机的磁盘加解密方法以及系统 | |
| US11550933B2 (en) | Enhanced security systems and methods using a hybrid security solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180109 |