CN107864146A - 一种安全的云存储系统 - Google Patents
一种安全的云存储系统 Download PDFInfo
- Publication number
- CN107864146A CN107864146A CN201711167474.5A CN201711167474A CN107864146A CN 107864146 A CN107864146 A CN 107864146A CN 201711167474 A CN201711167474 A CN 201711167474A CN 107864146 A CN107864146 A CN 107864146A
- Authority
- CN
- China
- Prior art keywords
- client
- attack
- module
- cloud
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全的云存储系统,包括云端服务器、云端网关、客户终端和验证服务器,客户终端通过云端网关连接云端服务器,验证服务器分别与客户终端、云端服务器网络连接,客户终端通过验证服务器验证存储在云端服务器中文件的完整性;本发明利用验证服务器验证存储在云端服务器中文件的完整性,确保文件的能够得到完整保存。通过客户间管理模块、客户内部管理模块将云服务提供商和客户的安全职责范围划分清晰,没有交叠,并且安全管理覆盖完整,安全性高;云服务提供商只需负责客户安全隔离策略的管理,工作量有效减少;客户通过客户内部管理模块进行自身的管理,提高客户对云端服务器的信心。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种安全的云存储系统。
背景技术
云存储作为一种新兴的网络存储技术,是将网络中大量不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问,使用者可以在任何时间、任何地点,通过设备可以非常方便地存储、读取数据。
云存储目前面临的最大问题数据的安全性,一旦用户的数据丢失或者被盗取,将会给用户造成极大的损失。
发明内容
本发明的目的在于提供一种安全的云存储系统,用以解决现有云存储安全性差的问题。
为实现上述目的,具体地,该安全的云存储系统包括云端服务器、云端网关、客户终端和验证服务器,客户终端通过云端网关连接云端服务器,验证服务器分别与客户终端、云端服务器网络连接,客户终端通过验证服务器验证存储在云端服务器中文件的完整性;云端网关中设有客户间管理模块、客户内部管理模块和安全控制模块,客户间安全管理模块接收云端服务器的安全策略管理命令,并将策略管理结果存放在客户间安全隔离策略中,客户内部管理模块接收来自客户的安全策略管理命令,并将策略管理结果存放在客户内部安全策略中,安全控制模块根据客户间安全隔离策略和客户内部安全策略对登录用户进行身份认证,并对其访问云服务资源进行安全控制。
所述云存储系统还包括云安全钥匙和密钥服务器,云安全钥匙通过USB接口连接客户终端,客户终端通过云安全钥匙与密钥服务器建立连接并生成完整性验证请求标识,验证服务器验证完整性验证请求标识的有效性,确认完整性验证请求标识有效后,验证服务器向云端服务器验证文件的完整性并将完整性的验证结果反馈至客户终端。
所述云安全钥匙包括处理器、加解密模块和USB控制器,加解密模块和USB控制器分别连接处理器,USB控制器通过USB接口连接客户终端。
所述云存储系统还包括虚拟存储池,虚拟存储池与云端网关连接;
所述云端网关中还设有频率评价模块和备份模块,频率评价模块用于评价虚拟存储池中文件的访问频率,备份模块将访问频率低的文件备份至云端服务器。
所述云端网关中还设有更新模块,用于在所述备份模块将冷热度为冷的数据备份时,将所述被备份的数据的状态更新为待转移,等到所述被备份的数据备份至云端服务器之后,更新所述被备份数据的状态为稳定。
所述客户间安全隔离策略包括:客户身份信息、客户资源信息和客户安全策略表范围;所述客户内部安全策略包括:客户内部用户信息和客户访问控制策略。
所述云端网关中还设有攻击判断模块和攻击分析模块,攻击判断模块用于判断攻击场景的类型;攻击判断模块判断攻击场景的类型包括:
识别攻击特征为多步攻击特征还是单步攻击特征;
当攻击特征识别为单步攻击特征时,判断所述攻击场景的类型为简单攻击过程;
当攻击特征识别为多步攻击特征时,判断所述攻击场景的类型为复杂攻击过程;
攻击分析模块用于当判断出攻击场景的类型为简单攻击过程时,采用基于字符串匹配的模型对安全事件流进行分析。
当判断出攻击场景的类型为复杂攻击过程时,分析模块采用状态机模型或者统计模型对安全事件流进行分析。
本发明具有如下优点:本发明利用验证服务器验证存储在云端服务器中文件的完整性,确保文件的能够得到完整保存。通过客户间管理模块、客户内部管理模块将云服务提供商和客户的安全职责范围划分清晰,没有交叠,并且安全管理覆盖完整,安全性高;云服务提供商只需负责客户安全隔离策略的管理,工作量有效减少;客户通过客户内部管理模块进行自身的管理,提高云端服务器的安全保障。
附图说明
图1为本发明实施例1的结构示意图。
图2为本发明实施例1云端网关的示意图。
图3为本发明实施例2的结构示意图。
图4为本发明实施例2云端网关的示意图。
图5为本发明实施例3云端网关的示意图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
参见图1~2,该安全的云存储系统包括云端服务器、云端网关、客户终端和验证服务器,客户终端通过云端网关连接云端服务器,验证服务器分别与客户终端、云端服务器网络连接,客户终端通过验证服务器验证存储在云端服务器中文件的完整性;云端网关中设有客户间管理模块、客户内部管理模块和安全控制模块,客户间安全管理模块接收云端服务器的安全策略管理命令,并将策略管理结果存放在客户间安全隔离策略中,客户内部管理模块接收来自客户的安全策略管理命令,并将策略管理结果存放在客户内部安全策略中,安全控制模块根据客户间安全隔离策略和客户内部安全策略对登录用户进行身份认证,并对其访问云服务资源进行安全控制。
云存储系统还包括云安全钥匙和密钥服务器,云安全钥匙通过USB接口连接客户终端,客户终端通过云安全钥匙与密钥服务器建立连接并生成完整性验证请求标识,验证服务器验证完整性验证请求标识的有效性,确认完整性验证请求标识有效后,验证服务器向云端服务器验证文件的完整性并将完整性的验证结果反馈至客户终端。云安全钥匙包括处理器、加解密模块和USB控制器,加解密模块和USB控制器分别连接处理器,USB控制器通过USB接口连接客户终端。
客户终端通过验证服务器验证文件完整性的具体过程如下:客户终端将完整性验证请求标识验证服务器,完整性验证请求标识包括用户身份信息、密钥和待验证文件标识符,验证服务器验证完整性验证请求标识的有效性,确认完整性验证请求标识有效后生成包括完整性验证请求标识的挑战值并发送给对云端服务器;云端服务器生成响应值并发送给验证服务器;验证服务器基于发送的挑战值和接收的响应值、用户的密钥验证响应值的有效性,判断文件的完整性,并将验证结果发送至客户终端。客户间安全隔离策略包括:客户身份信息、客户资源信息和客户安全策略表范围;客户内部安全策略包括:客户内部用户信息、客户访问控制策略和审计策略。
实施例2
参见图3~4,云存储系统还包括虚拟存储池,虚拟存储池与云端网关连接;云端网关中还设有频率评价模块和备份模块,频率评价模块用于评价虚拟存储池中文件的访问频率,备份模块将访问频率低的文件备份至云端服务器。本发明通过判断文件的访问频率决定是否将文件存储在云端服务器上,以此来降低硬件存储的成本,同时频繁使用的文件存储在本地的虚拟存储池,安全性也更高。
云端网关中还设有更新模块,用于在备份模块将冷热度为冷的数据备份时,将被备份的数据的状态更新为待转移,等到被备份的数据备份至云端服务器之后,更新被备份数据的状态为稳定。
实施例3
参见图5,云端网关中还设有攻击判断模块和攻击分析模块,攻击判断模块用于判断攻击场景的类型;攻击判断模块判断攻击场景的类型包括:
识别攻击特征为多步攻击特征还是单步攻击特征;
当攻击特征识别为单步攻击特征时,判断攻击场景的类型为简单攻击过程;
当攻击特征识别为多步攻击特征时,判断攻击场景的类型为复杂攻击过程;
攻击分析模块用于当判断出攻击场景的类型为简单攻击过程时,采用基于字符串匹配的模型对安全事件流进行分析。分析模块采用基于字符串匹配的模型对安全事件流进行分析,包括:
将安全事件流中的安全事件与预定义的字符串匹配规则进行匹配;
如果匹配不成功,则丢弃所述安全事件;
如果匹配成功,则根据所述字符串匹配规则中的攻击事件属性生成对应的攻击事件;
当判断出攻击场景的类型为复杂攻击过程时,分析模块采用状态机模型或者统计模型对安全事件流进行分析。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (8)
1.一种安全的云存储系统,其特征在于:所述云存储系统包括云端服务器、云端网关、客户终端和验证服务器,客户终端通过云端网关连接云端服务器,验证服务器分别与客户终端、云端服务器网络连接,客户终端通过验证服务器验证存储在云端服务器中文件的完整性;云端网关中设有客户间管理模块、客户内部管理模块和安全控制模块,客户间安全管理模块接收云端服务器的安全策略管理命令,并将策略管理结果存放在客户间安全隔离策略中,客户内部管理模块接收来自客户的安全策略管理命令,并将策略管理结果存放在客户内部安全策略中,安全控制模块根据客户间安全隔离策略和客户内部安全策略对登录用户进行身份认证,并对其访问云服务资源进行安全控制。
2.根据权利要求1所述的安全的云存储系统,其特征在于:所述云存储系统还包括云安全钥匙和密钥服务器,云安全钥匙通过USB接口连接客户终端,客户终端通过云安全钥匙与密钥服务器建立连接并生成完整性验证请求标识,验证服务器验证完整性验证请求标识的有效性,确认完整性验证请求标识有效后,验证服务器向云端服务器验证文件的完整性并将完整性的验证结果反馈至客户终端。
3.根据权利要求2所述的安全的云存储系统,其特征在于:所述云安全钥匙包括处理器、加解密模块和USB控制器,加解密模块和USB控制器分别连接处理器,USB控制器通过USB接口连接客户终端。
4.根据权利要求1所述的安全的云存储系统,其特征在于:所述云存储系统还包括虚拟存储池,虚拟存储池与云端网关连接;
所述云端网关中还设有频率评价模块和备份模块,频率评价模块用于评价虚拟存储池中文件的访问频率,备份模块将访问频率低的文件备份至云端服务器。
5.根据权利要求4所述的安全的云存储系统,其特征在于:所述云端网关中还设有更新模块,用于在所述备份模块将冷热度为冷的数据备份时,将所述被备份的数据的状态更新为待转移,等到所述被备份的数据备份至云端服务器之后,更新所述被备份数据的状态为稳定。
6.根据权利要求1所述的安全的云存储系统,其特征在于:所述客户间安全隔离策略包括:客户身份信息、客户资源信息和客户安全策略表范围;所述客户内部安全策略包括:客户内部用户信息和客户访问控制策略。
7.根据权利要求1所述的安全的云存储系统,其特征在于:所述云端网关中还设有攻击判断模块和攻击分析模块,攻击判断模块用于判断攻击场景的类型;攻击判断模块判断攻击场景的类型包括:
识别攻击特征为多步攻击特征还是单步攻击特征;
当攻击特征识别为单步攻击特征时,判断所述攻击场景的类型为简单攻击过程;
当攻击特征识别为多步攻击特征时,判断所述攻击场景的类型为复杂攻击过程;
攻击分析模块用于当判断出攻击场景的类型为简单攻击过程时,采用基于字符串匹配的模型对安全事件流进行分析。
8.根据权利要求7所述的安全的云存储系统,其特征在于:当判断出攻击场景的类型为复杂攻击过程时,分析模块采用状态机模型或者统计模型对安全事件流进行分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711167474.5A CN107864146A (zh) | 2017-11-21 | 2017-11-21 | 一种安全的云存储系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711167474.5A CN107864146A (zh) | 2017-11-21 | 2017-11-21 | 一种安全的云存储系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107864146A true CN107864146A (zh) | 2018-03-30 |
Family
ID=61702401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711167474.5A Pending CN107864146A (zh) | 2017-11-21 | 2017-11-21 | 一种安全的云存储系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107864146A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109104458A (zh) * | 2018-06-30 | 2018-12-28 | 深圳中软华泰信息技术有限公司 | 一种用于云平台可信性验证的数据采集方法及系统 |
| CN113985777A (zh) * | 2021-10-27 | 2022-01-28 | 北京理工大学珠海学院 | 基于窄带物联网的云端网管 |
| CN114422600A (zh) * | 2021-12-31 | 2022-04-29 | 成都鲁易科技有限公司 | 基于云存储的文件调度系统及基于云存储的文件调度方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986599A (zh) * | 2010-12-09 | 2011-03-16 | 北京交通大学 | 基于云服务的网络安全控制方法和云安全网关 |
| CN103746991A (zh) * | 2014-01-02 | 2014-04-23 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及系统 |
| CN104468654A (zh) * | 2013-09-18 | 2015-03-25 | 杭州信核数据科技有限公司 | 连接到云存储的存储管理网关、方法及数据分层备份系统 |
| CN104811450A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云计算中一种基于身份的数据存储方法及完整性验证方法 |
| CN106354431A (zh) * | 2016-08-26 | 2017-01-25 | 浪潮(北京)电子信息产业有限公司 | 一种数据存储方法及装置 |
-
2017
- 2017-11-21 CN CN201711167474.5A patent/CN107864146A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986599A (zh) * | 2010-12-09 | 2011-03-16 | 北京交通大学 | 基于云服务的网络安全控制方法和云安全网关 |
| CN104468654A (zh) * | 2013-09-18 | 2015-03-25 | 杭州信核数据科技有限公司 | 连接到云存储的存储管理网关、方法及数据分层备份系统 |
| CN103746991A (zh) * | 2014-01-02 | 2014-04-23 | 曙光云计算技术有限公司 | 云计算网络中的安全事件分析方法及系统 |
| CN104811450A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云计算中一种基于身份的数据存储方法及完整性验证方法 |
| CN106354431A (zh) * | 2016-08-26 | 2017-01-25 | 浪潮(北京)电子信息产业有限公司 | 一种数据存储方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109104458A (zh) * | 2018-06-30 | 2018-12-28 | 深圳中软华泰信息技术有限公司 | 一种用于云平台可信性验证的数据采集方法及系统 |
| CN109104458B (zh) * | 2018-06-30 | 2022-09-06 | 深圳可信计算技术有限公司 | 一种用于云平台可信性验证的数据采集方法及系统 |
| CN113985777A (zh) * | 2021-10-27 | 2022-01-28 | 北京理工大学珠海学院 | 基于窄带物联网的云端网管 |
| CN114422600A (zh) * | 2021-12-31 | 2022-04-29 | 成都鲁易科技有限公司 | 基于云存储的文件调度系统及基于云存储的文件调度方法 |
| CN114422600B (zh) * | 2021-12-31 | 2023-11-07 | 成都鲁易科技有限公司 | 基于云存储的文件调度系统及基于云存储的文件调度方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6514218B2 (ja) | 社会関係データを用いたクライアント認証 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| CN110401655A (zh) | 基于用户和角色的访问控制权限管理系统 | |
| WO2017036310A1 (zh) | 验证信息的更新方法及装置 | |
| US20170230366A1 (en) | Method and device for verifying a trusted terminal | |
| CN107948204A (zh) | 一键登录方法及系统、相关设备以及计算机可读存储介质 | |
| US20130047200A1 (en) | Apparatus and Method for Performing Data Tokenization | |
| CN105323253A (zh) | 一种身份验证方法及装置 | |
| CN102073822A (zh) | 防止用户信息泄漏的方法及系统 | |
| CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
| CN104125230B (zh) | 一种短信认证服务系统以及认证方法 | |
| US8752157B2 (en) | Method and apparatus for third party session validation | |
| CN106411950A (zh) | 基于区块链交易id的认证方法、装置及系统 | |
| CN111314381A (zh) | 安全隔离网关 | |
| CN106534129B (zh) | 接入控制方法及装置 | |
| CN107864146A (zh) | 一种安全的云存储系统 | |
| CN106302332A (zh) | 用户数据的访问控制方法、装置及系统 | |
| CN109285256A (zh) | 基于区块链身份验证的机房进门权限给定方法 | |
| CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
| TW201604805A (zh) | 帳號驗證方法及其系統 | |
| US20130047211A1 (en) | Method and apparatus for network session validation | |
| US9432357B2 (en) | Computer network security management system and method | |
| CN107392008A (zh) | 密码管理方法、密码管理设备及计算机可读存储介质 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN107172038B (zh) | 一种用于提供安全服务的信息处理方法、平台、组件及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180330 |
|
| RJ01 | Rejection of invention patent application after publication |