CN107612875A - 一种安全的云数据传输控制方法 - Google Patents
一种安全的云数据传输控制方法 Download PDFInfo
- Publication number
- CN107612875A CN107612875A CN201710464929.3A CN201710464929A CN107612875A CN 107612875 A CN107612875 A CN 107612875A CN 201710464929 A CN201710464929 A CN 201710464929A CN 107612875 A CN107612875 A CN 107612875A
- Authority
- CN
- China
- Prior art keywords
- data
- cloud
- cloud service
- safety
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全技术领域,公开的一种安全的云数据传输控制方法,包括以下步骤:添加时间戳;添加云服务安全时间容忍度;hash函数动态分配;消息摘要;数据加密;协议封装;协议拆封;数据解密;消息摘要比对;获取云服务安全时间容忍度;获取时间戳;云数据安全传输控制。本发明提出云服务安全时间容忍度和hash函数池概念,对数据传输双方进行hash函数动态分配,并通过云可疑数据包丢弃机制和云数据安全传输控制机制实现云服务数据的安全传输。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种云数据安全传输控制方法。
背景技术
随着云计算的快速发展,云计算服务的安全性已成为制约其广泛应用的关键因素。云数据安全可分为云存储安全、云计算安全和云传输安全。云存储和云计算都是发生在云服务提供商或用户端,只要提供足够的安全措施,其安全性完全可做到可管可控;而云传输是发生在云服务提供商和用户之间,攻击者可以通过有线或空口接入方式,对传输数据进行破坏、篡改和伪造,从而破坏数据的机密性、完整性和可用性。无论云提供何种服务模式,在云服务提供商和用户间都需要传输数据,但在目前开放的互联网环境下,数据传输安全已成为云计算服务中最薄弱的环节。
国内外学者在保证云数据传输过程中数据的机密性、完整性和可用性方面作了大量的研究工作:为了保护数据的隐私,数据在云端应该以密文形式存放,但是加密的方式又带来了运算上的开销,因此要以尽可能小的计算开销带来可靠的数据机密性[1];为了保护用户行为信息的隐私,云服务器要保证用户匿名使用云资源[2]和安全记录数据起源[3];远程数据完整性验证[4-6]是解决这一问题的好方法,其能够在不下载用户数据的情况下,仅仅根据数据标识和服务器对于挑战码的响应就可以对数据的完整性进行验证;网络访问控制[7-8]是指云基础设施中主机之间彼此互相访问的控制。
虽然这些研究对于保障云数据传输的安全性起到了一定的有效作用,但对于识别可疑数据包,杜绝暴力破解后的伪造数据包对传输数据安全性的影响还没有很好的解决方案。
参考文献
[1] A Hudic, S Islam, P Kieseberg, and E R Weippl. Data Confidentialityusing fragmentation in cloud computing [J]. Int Communication Networks andDistributed Systems, 2012, 1(3/4): 1-10.
[2] D Slamaning. Efficient schemes for anonymous yet authorized andbounded use of cloud resources [J]. Lecture Notes in Computer Science, 2012:73-91.
[3] M R Asghar, M Ion, g Russello, B Crispo. Securing data provenance inthe cloud [J]. Lecture Notes in Computer Science, 2012: 73-91.
[4] Hao Z, Zhong S, Yu N Y. A privacy-preserving remote data integritychecking protocol with data dynamics and public verifiability [J]. IEEETransactions on Knowledge and Data Engineering, September 2011, 23(9): 1432-1437.
[5] Wang C, Wang Q, et al. Privacy-preserving public auditing for datastorage security in cloud computing [A]. InfoCom 2010 Proceeding [C]. SanDiego: IEEE Press, 2010. 1-9.
[6] Ateniese G, Burns R, et al. Provable data possession at untrustedstores [A]. Proceedings of the 14th ACM Conference on Computer andCommunications Security [C]. New York: ACM Press, 2007. 598-609.
[7] J Oberheide, E Cooke, F Jahanian. Cloudav: N-version antivirus in thenetwork cloud [A]. Proceedings of the 17th Conference on Security Symposium[C]. Berkeley, CA, USA: USENIX Association, 2008. 91-106.
[8] F Hao, TV Lakshman, S Mukherjee, and HY Song. Secure cloud computingwith a virtualized network infrastructure [A]. The 2nd USENIX Conference onHot Topics in Cloud Computing[C]. Boston, Massachusetts, 2010. 1-7.。
发明内容
基于上述背景技术存在的缺陷,本发明提出一种安全的云数据传输控制方法,是基于云服务安全时间容忍度和hash函数池动态分配的云数据安全传输控制技术,在分析和继承传统的对源数据先消息摘要再加密传输的安全理念基础上,提出云服务安全时间容忍度和hash函数池概念,并对数据传输双方进行hash函数动态分配,通过基于hash函数池动态分配的云数据安全传输控制机制和基于云服务安全时间容忍度的可疑数据包丢弃机制等关键技术,以实现云服务数据传输的机密性、完整性和可用性。
为实现上述发明目的本发明采用如下技术方案:
一种安全的云数据传输控制方法,具体步骤如下:
步骤1、添加时间戳
云服务提供商和用户间进行数据传输时,传输方在源数据上添加时间戳(云服务提供商和用户间要事先进行时间统一);
步骤2、添加云服务安全时间容忍度
传输方在源数据上添加云服务安全时间容忍度(云服务安全时间容忍度与加密函数的强度、hash函数的强度以及云服务任务的迫切性有关,是一个表示在某个时间范围内云数据传输服务是安全的时间量);
步骤3、hash函数动态分配
在云管控中心设置hash函数资源池,当云服务提供商和用户间需要进行数据传输时,由云管控中心给双方动态分配相同的hash函数,而当此次服务的传输数据任务完成后,hash函数即被释放;
步骤4、消息摘要
依据步骤4获取的hash函数对传输数据进行消息摘要;
步骤5、数据加密
传输方对添加时间戳、云服务安全时间容忍度和消息摘要的数据加密;
步骤6、协议封装
传输方对数据进行协议封装并传输;
步骤7、协议拆封
接收方对接收的数据进行协议拆封;
步骤8、数据解密
接收方对接收的数据进行解密;
步骤9、消息摘要比对
接收方依据步骤4获取的hash函数对接收的数据进行消息摘要,比对消息摘要,如不一致则认为此数据包已被修改,应予舍弃,并要求重发;
步骤10、获取云服务安全时间容忍度
接收方从接收的数据中获取云服务安全时间容忍度;
步骤11、获取时间戳
接收方从接收的数据中获取时间戳。
步骤12、云数据安全传输控制
比对时间戳和接收时的时间,两者之差超过某个时间阈值(云服务安全时间容忍度表征量),则认为此数据包为可疑的(解密和解消息摘要后的伪造数据包、回放攻击),应予以丢弃。可疑数据包丢弃后应要求重发。
由于采用如上所述的技术方案,本发明具有如下优越性:
一种安全的云数据传输控制方法,是基于云服务安全时间容忍度和hash函数池动态分配的云数据安全传输控制技术,在分析和继承传统的对源数据先消息摘要再加密传输的安全理念基础上,提出云服务安全时间容忍度和hash函数池概念,并对数据传输双方进行hash函数动态分配,通过基于hash函数池动态分配的云数据安全传输控制机制和基于云服务安全时间容忍度的可疑数据包丢弃机制等关键技术,以实现云服务数据传输的机密性、完整性和可用性。
以云服务安全时间容忍度和hash函数池动态分配技术解决云数据安全传输问题是非常有难度、有挑战性的,当前公开发表的文献中,尚未看到相关研究成果。
本发明提出云服务安全时间容忍度和hash函数池概念,对数据传输双方进行hash函数动态分配,并通过云可疑数据包丢弃机制和云数据安全传输控制机制实现云服务数据的安全传输。
具体创新的优越性性如下:
(1)提出云服务安全时间容忍度概念,建立基于云服务安全时间容忍度的云传输可疑数据包丢弃机制,为识别、丢弃可疑数据包和真实数据包的重发提供了技术上的支持,增加了云服务数据传输的安全性、及时性和可用性。
(2)提出hash函数池概念,建立基于hash函数池动态分配的云数据安全传输控制机制,确保一次云服务一个hash函数,即非一次数据传输一个hash函数、消息摘要的一致性和传输数据的完整性,增加了恶意破坏传输过程中云数据完整性的时间成本和技术成本,使得云服务数据传输更加安全。
附图说明
图1为本发明的实现流程图;
图2为传统的数据安全传输流程图;
图3为基于云服务安全时间容忍度的云数据安全传输控制流程图。
图4为基于hash函数池动态分配的云数据安全传输控制流程图。
图5为基于时效的云数据安全传输控制流程图。
图6为云数据安全传输控制验证环境拓扑图。
具体实施方式
图1为本发明的实现流程图,各部分的具体实施方式如下:
一种安全的云数据传输控制方法,是基于云服务安全时间容忍度和hash函数池动态分配的云数据安全传输控制技术,在分析和继承传统的对源数据先消息摘要再加密传输的安全理念基础上,提出云服务安全时间容忍度和hash函数池概念,并对数据传输双方进行hash函数动态分配,通过基于hash函数池动态分配的云数据安全传输控制机制和基于云服务安全时间容忍度的可疑数据包丢弃机制进行的,其具体步骤如下:
步骤1、添加时间戳
云服务提供商和用户间进行数据传输时,传输方在源数据上添加时间戳(云服务提供商和用户间要事先进行时间统一);
步骤2、添加云服务安全时间容忍度
传输方在源数据上添加云服务安全时间容忍度(云服务安全时间容忍度与加密函数的强度、hash函数的强度以及云服务任务的迫切性有关,是一个表示在某个时间范围内云数据传输服务是安全的时间量);
步骤3、hash函数动态分配
在云管控中心设置hash函数资源池,当云服务提供商和用户间需要进行数据传输时,由云管控中心给双方动态分配相同的hash函数,而当此次服务的传输数据任务完成后,hash函数即被释放;
步骤4、消息摘要
依据步骤3获取的hash函数对传输数据进行消息摘要;
步骤5、数据加密
传输方对添加时间戳、云服务安全时间容忍度和消息摘要的数据加密;
步骤6、协议封装
传输方对数据进行协议封装并传输;
步骤7、协议拆封
接收方对接收的数据进行协议拆封;
步骤8、数据解密
接收方对接收的数据进行解密;
步骤9、消息摘要比对
接收方依据步骤4获取的hash函数对接收的数据进行消息摘要,比对消息摘要,如不一致则认为此数据包已被修改,应予舍弃,并要求重发;
步骤10、获取云服务安全时间容忍度
接收方从接收的数据中获取云服务安全时间容忍度;
步骤11、获取时间戳
接收方从接收的数据中获取时间戳。
步骤12、云数据安全传输控制
比对时间戳和接收时的时间,两者之差超过某个时间阈值(云服务安全时间容忍度表征量),则认为此数据包为可疑的(解密和解消息摘要后的伪造数据包、回放攻击),应予以丢弃。可疑数据包丢弃后应要求重发。
基于云服务安全时间容忍度的可疑数据包丢弃机制研究
本发明分析和继承传统的对源数据先消息摘要再加密传输的安全理念,图2为传统的数据安全传输流程,当云服务提供商和用户间进行数据传输时,传输方在源数据上添加时间戳,即云服务提供商和用户间要事先进行时间统一和云服务安全时间容忍度,与加密函数的强度、hash函数的强度以及云服务任务的迫切性有关,是一个表示在某个时间范围内云服务是安全的时间量,然后进行消息摘要、加密和网络传输协议封装;数据接收方对数据包进行网络传输协议拆封、解密、消息摘要、获取云服务安全时间容忍度、获取时间戳和数据。
比对时间戳和接收方的时间,两者之差超过某个时间阈值(是云服务安全时间容忍度表征量),则认为此数据包为可疑的(解密和解消息摘要后的伪造数据包、回放攻击),应予以丢弃。可疑数据包丢弃后应要求重发。
基于云服务安全时间容忍度的可疑数据包丢弃机制增加了云服务间数据传输的安全性、及时性和可用性。
图3为基于云服务安全时间容忍度的云数据安全传输控制流程。
基于hash函数池动态分配的云数据安全传输控制机制研究
在云管控中心设置hash函数资源池,当云服务提供商和用户间需要进行数据传输时,由云管控中心给双方动态分配相同的hash函数,进行消息摘要,而当此次服务的传输数据任务完成后,hash函数即被释放。如图6所示的云数据安全传输控制验证环境拓扑图。
hash函数的分配是动态的、时效的,也就是一次云服务一个hash函数,服务结束,hash函数即失去功效。
基于hash函数池动态分配的云数据安全传输控制机制增加了恶意破坏传输过程中云数据完整性的时间成本和技术成本,确保消息摘要的一致性和传输数据的完整性,使得云服务间的数据传输更加安全。
图4为基于hash函数池动态分配的云数据安全传输控制流程。
基于时效的云数据安全传输控制协议研究
建立基于云服务安全时间容忍度的云传输可疑数据包丢弃机制,为识别、丢弃可疑数据包和数据包重发提供了技术上的支持,增加了云服务间数据传输的安全性、及时性和可用性。
在这里,“时效”是指在云服务安全时间容忍度的时间阈值范围内,协议是有效的,也就是时效性。
图5为基于时效的云数据安全传输控制流程。
基于云服务安全时间容忍度和hash函数池动态分配的云数据安全传输控制技术验证环境构建
基于云服务安全时间容忍度的可疑数据包丢弃机制、基于hash函数池动态分配的云数据安全传输控制机制和基于时效的云数据安全传输控制协议研究在理论上是否正确,可以构建云数据安全传输控制技术环境进行验证。
因此,通过虚拟化计算平台、互联网安全测试实验平台、网络安全测试工具/数据库、协议分析仪等现有条件,增加云服务管控及配套网络设备,构建一个私有云服务数据传输环境,以验证基于云服务安全时间容忍度和hash函数池动态分配的云数据安全传输控制技术的正确性。
Claims (1)
1.一种安全的云数据传输控制方法,具体步骤如下:
1)、添加时间戳,云服务提供商和用户间进行数据传输时,传输方在源数据上添加时间戳,云服务提供商和用户间要事先进行时间统一;
2)、添加云服务安全时间容忍度,传输方在源数据上添加云服务安全时间容忍度,云服务安全时间容忍度与加密函数的强度、hash函数的强度以及云服务任务的迫切性有关,是一个表示在某个时间范围内云数据传输服务是安全的时间量;
3)、hash函数动态分配,在云管控中心设置hash函数资源池,当云服务提供商和用户间需要进行数据传输时,由云管控中心给双方动态分配相同的hash函数,而当此次服务的传输数据任务完成后,hash函数即被释放;
4)、消息摘要,依据步骤3获取的hash函数对传输数据进行消息摘要;
5)、数据加密,传输方对添加时间戳、云服务安全时间容忍度和消息摘要的数据加密;
6)、协议封装,传输方对数据进行协议封装并传输;
7)、协议拆封,接收方对接收的数据进行协议拆封;
8)、数据解密,接收方对接收的数据进行解密;
9)、消息摘要比对,接收方依据步骤4获取的hash函数对接收的数据进行消息摘要,比对消息摘要,如不一致则认为此数据包已被修改,应予舍弃,并要求重发;
10)、获取云服务安全时间容忍度,接收方从接收的数据中获取云服务安全时间容忍度;
11)、获取时间戳,接收方从接收的数据中获取时间戳;
12)、云数据安全传输控制,比对时间戳和接收时的时间,两者之差超过某个时间阈值,云服务安全时间容忍度表征量,则认为此数据包为可疑的:解密和解消息摘要后的伪造数据包、回放攻击,应予以丢弃;可疑数据包丢弃后应要求重发。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610776942 | 2016-08-31 | ||
| CN2016107769428 | 2016-08-31 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107612875A true CN107612875A (zh) | 2018-01-19 |
Family
ID=61059558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710464929.3A Pending CN107612875A (zh) | 2016-08-31 | 2017-06-19 | 一种安全的云数据传输控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107612875A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073410A (zh) * | 2020-09-07 | 2020-12-11 | 中国人民解放军63880部队 | 一种基于时效的云数据安全传输控制方法 |
| CN113938483A (zh) * | 2021-10-29 | 2022-01-14 | 北京京航计算通讯研究所 | 一种分布式ai协同计算系统的节点身份验证方法和系统 |
| WO2022048242A1 (zh) * | 2020-09-01 | 2022-03-10 | 广州小鹏汽车科技有限公司 | 加密通信方法、加密通信装置和车辆 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882858A (zh) * | 2012-09-13 | 2013-01-16 | 江苏乐买到网络科技有限公司 | 一种用于云计算系统的外部数据传输方法 |
| CN104348870A (zh) * | 2013-08-02 | 2015-02-11 | 航天信息股份有限公司 | 基于可信时间戳的云存储系统的数据管理方法和系统 |
| CN104717220A (zh) * | 2015-03-25 | 2015-06-17 | 江苏物联网研究发展中心 | 基于硬件加密的控制信令安全传输方法 |
| CN105100076A (zh) * | 2015-07-03 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于USB Key的云数据安全系统 |
| CN105827408A (zh) * | 2015-12-03 | 2016-08-03 | 中国航天系统工程有限公司 | 一种基于时间戳技术的工业网络安全传输方法 |
-
2017
- 2017-06-19 CN CN201710464929.3A patent/CN107612875A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882858A (zh) * | 2012-09-13 | 2013-01-16 | 江苏乐买到网络科技有限公司 | 一种用于云计算系统的外部数据传输方法 |
| CN104348870A (zh) * | 2013-08-02 | 2015-02-11 | 航天信息股份有限公司 | 基于可信时间戳的云存储系统的数据管理方法和系统 |
| CN104717220A (zh) * | 2015-03-25 | 2015-06-17 | 江苏物联网研究发展中心 | 基于硬件加密的控制信令安全传输方法 |
| CN105100076A (zh) * | 2015-07-03 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于USB Key的云数据安全系统 |
| CN105827408A (zh) * | 2015-12-03 | 2016-08-03 | 中国航天系统工程有限公司 | 一种基于时间戳技术的工业网络安全传输方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022048242A1 (zh) * | 2020-09-01 | 2022-03-10 | 广州小鹏汽车科技有限公司 | 加密通信方法、加密通信装置和车辆 |
| CN112073410A (zh) * | 2020-09-07 | 2020-12-11 | 中国人民解放军63880部队 | 一种基于时效的云数据安全传输控制方法 |
| CN113938483A (zh) * | 2021-10-29 | 2022-01-14 | 北京京航计算通讯研究所 | 一种分布式ai协同计算系统的节点身份验证方法和系统 |
| CN113938483B (zh) * | 2021-10-29 | 2023-06-16 | 北京京航计算通讯研究所 | 一种分布式ai协同计算系统的节点身份验证方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104158653A (zh) | 一种基于商密算法的安全通信方法 | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| CN101510877A (zh) | 单点登录方法和系统、通信装置 | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| SE539602C2 (en) | Generating a symmetric encryption key | |
| CA2938166C (en) | Method and system for protecting data using data passports | |
| CN109981271B (zh) | 一种网络多媒体安全防护加密方法 | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| CN105610847A (zh) | 一种支持多交换节点电子公文安全传输交换的方法 | |
| CN107612875A (zh) | 一种安全的云数据传输控制方法 | |
| CN115242392A (zh) | 基于安全传输协议实现工业信息安全传输的方法及系统 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| Wang et al. | Research and Implementation of Hybrid Encryption System Based on SM2 and SM4 Algorithm | |
| US20050210247A1 (en) | Method of virtual challenge response authentication | |
| Hussien et al. | Scheme for ensuring data security on cloud data storage in a semi-trusted third party auditor | |
| Huang et al. | A secure wireless communication system integrating RSA, Diffie–Hellman PKDS, intelligent protection-key chains and a Data Connection Core in a 4G environment | |
| Xiao et al. | Security mechanisms, attacks and security enhancements for the IEEE 802.11 WLANs | |
| Baghel et al. | A survey for secure communication of cloud third party authenticator | |
| Kapudasu et al. | Network Device Identity Management Using Cryptography | |
| Faisal et al. | Graphene: a secure cloud communication architecture | |
| Sadikin et al. | Light-weight Key Management Scheme for Active RFID Applications | |
| Longhua | A novel design of otp-based authentication scheme using smart phones and 2-d barcodes for the visually impaired | |
| CN104901932A (zh) | 一种基于cpk标识认证技术的安全登录方法 | |
| Li et al. | Research on user identity authentication based on two-way confirmation in data transmission | |
| Ju et al. | Meter-HES mutual authentication in the smart grid AMI environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180119 |
|
| RJ01 | Rejection of invention patent application after publication |