CN114157484A - 一种基于云计算的数据安全存储系统 - Google Patents

Abstract

本发明公开了一种基于云计算的数据安全存储系统，涉及信息安全技术领域，包括输入模块、存储分析模块、加密模块以及存储模块；用户通过输入模块输入存储指令和文件至安全中心，所述安全中心接收到存储指令后，对存储指令进行溯源处理，判断存储指令是否合法；若存储指令合法，则安全中心解析存储指令内容并将对应文件发送至存储分析模块，通过判断存储指令是否合法，有效控制文件的存储风险；所述存储分析模块用于对接收到的文件进行威胁系数分析，判断是否需要进行加密存储，有效提高信息安全性；所述加密模块用于选取对应的加密终端对接收到的文件进行加密，得到加密密文并将其存储至存储模块，提高了数据加密效率。

Description

一种基于云计算的数据安全存储系统

技术领域

本发明涉及信息安全技术领域，具体是一种基于云计算的数据安全存储系统。

背景技术

随着数字化信息技术的快速发展，计算机在人们的生活工作中扮演了不同重要的角色，人们越来越离不开计算机，越来越离不开数字信息化技术。但是，事物都是有两面的，在它为我们的生活工作带来快捷、方便的同时，也给我们带来的很多安全隐患。用户的隐私可能会由于系统的瑕疵或有人恶意的攻击，或者户主越权不合法的使用数据库等而被窃取；

但是现有的数据安全存储系统，存在无法根据数据的威胁系数合理对数据加密存储，提高信息安全性的问题，且在数据加密过程中，无法结合加密评值合理选取对应的加密终端对数据进行加密处理，导致数据加密效率低，为此，我们提出一种基于云计算的数据安全存储系统。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出一种基于云计算的数据安全存储系统。

为实现上述目的，根据本发明的第一方面的实施例提出一种基于云计算的数据安全存储系统，包括数据库、安全中心、输入模块、存储分析模块、加密模块以及存储模块；

所述输入模块和用户的智能终端通信连接，用于用户通过智能终端输入存储指令和文件至安全中心，安全中心接收到存储指令后，对存储指令进行溯源处理，判断该存储指令是否合法；所述溯源处理表示为获取发送存储指令的智能终端的网络IP；

若存储指令合法，则所述安全中心解析存储指令内容并将对应文件发送至存储分析模块，存储分析模块用于对接收到的文件进行威胁系数分析，判断是否需要进行加密存储，存储指令携带有对应文件的保密等级信息；

存储分析模块用于将需要加密存储的文件发送至加密模块，加密模块包括若干个加密终端，选取加密评值MP最大的加密终端为选中终端，选中终端用于对接收到的文件进行加密，并将加密密文存储至存储模块。

进一步地，所述安全中心判断存储指令是否合法的具体过程如下：

将当前接收到存储指令的时刻标记为访问时刻T1，获取智能终端在系统当前时间前十天内的历史访问时刻；访问时刻按照时分秒的格式获取；

以访问时刻T1为中心，将时间差在r1内的所有历史访问时刻标记为同段时刻，其中r1为预设值；统计同段时刻出现的次数占比为Zb1，截取最近一次同段时刻与系统当前时刻之间的时间区间为缓冲区间，统计缓冲区间内历史访问时刻的出现次数为缓冲次数C1；

利用公式PL＝(Zb1×g1)/(C1×g2)计算得到时间匹配值PL，其中g1、g2为系数因子；若PL≥匹配阈值，则判定存储指令有效；

若存储指令有效，则获取智能终端的网络IP进行验证，具体为：当外部IP试图访问安全中心时，首先对访问IP进行白名单验证，若该访问IP在白名单范围内，且权限允许，则判定该存储指令合法；

若访问IP不在白名单范围内，则对访问IP进行恶意性分析，得到访问IP的恶意值M1；根据该访问IP在恶意IP组库中找到对应的IP组，将该IP组的恶意值标记为ME；若M1大于ME，则将该访问IP判定为恶意IP，该存储指令不合法。

进一步地，对访问IP进行恶意性分析的具体过程如下：

所述访问IP连接多个域名，将其中恶意域名的数量占比标记为z1；

将恶意域名的长度标记dm，统计dm大于长度阈值的次数为C2，将对应dm与长度阈值的差值进行求和得到超长总值L2，则该访问IP的恶意值M1＝(C2×g3+L2×g4)×z1，其中g3、g4为系数因子。

进一步地，其中所述IP组中包含若干个访问IP，该IP组的恶意值为若干个访问IP的恶意值均值。

进一步地，所述数据库用于设定允许访问安全中心的网络IP及其拥有的访问权限，生成网络访问白名单；并对已有的安全中心访问IP进行时间、空间特性和恶意性分析，得到恶意IP组库。

进一步地，所述存储分析模块的具体分析步骤为：

采集系统当前时间前三十天内文件的访问记录，统计可信IP、可疑IP以及恶意IP出现的次数占比，并依次标记为X1、X2和X3；截取最近一次可疑IP或者恶意IP的访问时间与系统当前时间之间的时间区间为辐射区间，统计辐射区间可信IP的出现次数为辐射次数F1；

利用公式EW＝(X3×3+X2×2)/(X1+F1×g5)计算得到对应文件的恶意吸引值EW，其中g5为系数因子；获取对应文件的保密等级信息，将对应的等级值标记为DG；将恶意吸引值EW与对应的等级值DG进行求和得到对应文件的威胁系数WX；若WX≥威胁阈值，则判定对应文件需要加密存储。

进一步地，所述加密模块的具体加密过程如下：

采集系统当前时间前三天内加密终端的历史加密文件；将加密模块当前接收到的文件大小标记为D1；以文件大小D1为中心，标记文件大小差值在R2内的所有历史加密文件为同类文件，其中R2为预设值；

统计同类文件出现的次数占比为Zb2；将同类文件的加密时长标记为ZTi，统计ZTi大于对应时长阈值的次数为P1，并将ZTi与对应时长阈值的差值求和得到超时总值ZW；利用公式MP＝(Zb2×a1)/(P1×a2+ZW×a3)计算得到加密终端的加密评值MP，其中a1、a2、a3均为系数因子，将加密评值MP最大的加密终端标记为选中终端。

进一步地，所述对应时长阈值的获取方法为：

所述数据库中存储有文件大小范围与时长阈值的映射关系表，根据当前文件大小D1确定对应的文件大小范围，再根据确定的文件大小范围确定对应时长阈值。

与现有技术相比，本发明的有益效果是：

1、本发明中安全中心接收到存储指令后，对存储指令进行溯源处理，首先将接收到存储指令的时刻标记为访问时刻T1，结合智能终端在系统当前时间前十天内的历史访问时刻，对时间匹配值PL进行分析，若PL≥匹配阈值，则判定存储指令有效；若存储指令有效，则获取智能终端的网络IP进行验证，若访问IP不在白名单范围内，则对访问IP进行恶意性分析，判断存储指令是否合法，通过判断存储指令是否合法，过滤掉时间异常或恶意IP发送的存储指令，有效控制文件的存储风险，同时有效减少存储指令的处理量，进而提高文件存储效率；

2、若存储指令合法，则所述安全中心解析存储指令内容并将对应文件发送至存储分析模块，所述存储分析模块用于对接收到的文件进行威胁系数分析，采集系统当前时间前三十天内文件的访问记录，统计可信IP、可疑IP以及恶意IP出现的次数占比，计算得到对应文件的恶意吸引值EW，结合对应文件的保密等级信息得到对应文件的威胁系数WX，若WX≥威胁阈值，则判定对应文件需要加密存储，有效提高信息安全性；

3、所述加密模块用于对接收到的文件进行加密，得到加密密文并将其存储至存储模块；所述加密模块包括若干个加密终端，根据加密终端的历史加密文件对加密评值MP进行评估，选取MP最大的加密终端为选中终端，所述选中终端用于对接收到的文件进行加密，提高加密效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于云计算的数据安全存储系统的原理框图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，一种基于云计算的数据安全存储系统，包括数据库、安全中心、输入模块、存储分析模块、加密模块以及存储模块；

数据库用于根据安全中心访问的具体环境，设定允许访问该安全中心的网络IP及其拥有的访问权限，生成该安全中心特有的网络访问白名单；并对已有的安全中心访问IP进行时间、空间特性和恶意性分析，并最终生成恶意IP组库；

输入模块和用户的智能终端通信连接；输入模块用于用户通过智能终端输入存储指令和文件并将存储指令和文件发送至安全中心，安全中心接收到存储指令后，对存储指令进行溯源处理，判断该存储指令是否合法；溯源处理表示为获取发送存储指令的智能终端的网络IP；具体过程如下：

S1：将接收到存储指令的时刻标记为访问时刻T1，将发送存储指令的智能终端标记为m；获取智能终端m在系统当前时间前十天内的历史访问时刻；其中访问时刻按照时分秒的格式获取；

S2：以访问时刻T1为中心，标记时间差r1内的所有历史访问时刻，并认为该历史访问时刻与访问时刻T1处于同一时间段；其中r1为预设值；

统计同一时间段的历史访问时刻出现的次数占比为Zb1，截取最近一次同一时间段的历史访问时刻与系统当前时刻之间的时间区间为缓冲区间，统计缓冲区间内历史访问时刻的出现次数为缓冲次数C1；

利用公式PL＝(Zb1×g1)/(C1×g2)计算得到时间匹配值PL，其中g1、g2为系数因子；将时间匹配值PL与匹配阈值相比较，若PL≥匹配阈值，则判定存储指令有效；

若PL＜匹配阈值，则向安全中心关联的移动终端发送包括访问时刻T1的提醒信息，以提醒移动终端的管理人员确认该存储指令是否有效；若无效，则驳回该存储指令；

S3：若存储指令有效，则获取智能终端m的网络IP进行验证；具体包括：

S31：当外部IP试图访问安全中心时，首先对访问IP进行白名单验证，若该访问IP在白名单范围内，且权限允许，则判定该存储指令合法；

S32：若访问IP不在白名单范围内，则对访问IP进行恶意性分析，具体为：

其中访问IP连接多个域名，将其中恶意域名的数量占比标记为z1；

将恶意域名的长度标记dm，m＝1，…，n；其中dm表示第m个恶意域名的长度；将dm与长度阈值相比较，统计dm大于长度阈值的次数为C2；

当dm大于长度阈值时，将dm与长度阈值进行差值计算并将所有的差值进行求和得到超长总值L2，则该访问IP的恶意值M1＝(C2×g3+L2×g4)×z1，其中g3、g4为系数因子；

根据该访问IP在恶意IP组库中找到对应的IP组，将该IP组的恶意值标记为ME；若M1大于ME，则将该访问IP判定为恶意IP，该存储指令不合法；否则将该访问IP判定为可疑IP，对其进行访问控制，并向安全中心关联的移动终端发送包括该访问IP的提醒信息，以提醒移动终端的管理人员确认该存储指令是否合法；若不合法，则驳回该存储指令；

其中IP组中包含若干个访问IP，则该IP组的恶意值为若干个访问IP的恶意值均值；

S33：对于无法确定的访问IP或者既不在已有白名单中，也未被判定为恶意的访问IP，将其保存到可疑IP库中；当白名单和恶意IP组库更新时还要进行重复验证；

在本实施例中，通过判断存储指令是否合法，过滤掉时间异常或恶意IP发送的存储指令，对存储指令进行初步筛选，有效控制文件的存储风险，同时有效减少存储指令的处理量，进而提高文件存储效率；

若存储指令合法，则安全中心解析存储指令内容并将对应文件发送至存储分析模块，存储分析模块用于对接收到的文件进行威胁系数分析，判断是否需要进行加密存储，其中存储指令携带有对应文件的保密等级信息；具体分析步骤为：

采集系统当前时间前三十天内文件的访问记录，访问记录包括访问时间和对应的访问IP；访问IP包括可信IP、可疑IP以及恶意IP，可信IP指代白名单中IP；

统计可信IP、可疑IP以及恶意IP出现的次数占比，并依次标记为X1、X2和X3；截取最近一次可疑IP或者恶意IP的访问时间与系统当前时间之间的时间区间为辐射区间，统计辐射区间可信IP的出现次数为辐射次数F1；

利用公式EW＝(X3×3+X2×2)/(X1+F1×g5)计算得到对应文件的恶意吸引值EW，其中g5为系数因子；

获取对应文件的保密等级信息；设定每个保密等级均有一个对应的等级值；将对应文件的保密等级与所有的保密等级进行匹配得到对应的等级值DG；

将对应文件的恶意吸引值EW与对应的等级值DG进行求和得到对应文件的威胁系数WX；将威胁系数WX与威胁阈值相比较，若WX≥威胁阈值，则判定对应文件需要加密存储，有效提高信息安全性；

存储分析模块用于将需要加密存储的文件发送至加密模块，加密模块用于对接收到的文件进行加密，得到加密密文并将其存储至存储模块；

加密模块包括若干个加密终端，具体加密过程如下：

采集系统当前时间前三天内加密终端的历史加密文件；将加密模块当前接收到的文件大小标记为D1；

以文件大小D1为中心，标记差值R2内的所有历史加密文件，并认为该历史加密文件与当前文件为同类文件，其中R2为预设值；

统计同类文件出现的次数占比为Zb2，将同类文件的加密时长标记为ZTi；将ZTi与对应时长阈值相比较，统计ZTi大于对应时长阈值的次数为超时频次P1，将ZTi与对应时长阈值的差值求和得到超时总值ZW；其中数据库中存储有文件大小范围与时长阈值的映射关系表；

利用公式MP＝(Zb2×a1)/(P1×a2+ZW×a3)计算得到加密终端的加密评值MP，其中a1、a2、a3均为系数因子；

选取加密评值MP最大的加密终端为选中终端，选中终端用于对接收到的文件进行加密，提高加密效率。

上述公式均是去除量纲取其数值计算，公式是由采集大量数据进行软件模拟得到最接近真实情况的一个公式，公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者大量数据模拟获得。

本发明的工作原理：

一种基于云计算的数据安全存储系统，在工作时，用户通过输入模块输入存储指令和文件至安全中心，安全中心接收到存储指令后，对存储指令进行溯源处理，首先将接收到存储指令的时刻标记为访问时刻T1，计算得到时间匹配值PL，若PL≥匹配阈值，则判定存储指令有效；若存储指令有效，则获取智能终端m的网络IP进行验证；若访问IP不在白名单范围内，则对访问IP进行恶意性分析，若M1大于ME，则将该访问IP判定为恶意IP，该存储指令不合法；若存储指令合法，则安全中心解析存储指令内容并将对应文件发送至存储分析模块；

存储分析模块用于对接收到的文件进行威胁系数分析，采集系统当前时间前三十天内文件的访问记录，统计可信IP、可疑IP以及恶意IP出现的次数占比，计算得到对应文件的恶意吸引值EW，结合对应文件的保密等级信息得到对应文件的威胁系数WX，若WX≥威胁阈值，则判定对应文件需要加密存储，有效提高信息安全性；

加密模块用于对接收到的文件进行加密，得到加密密文并将其存储至存储模块；加密模块包括若干个加密终端，根据加密终端的历史加密文件对加密评值MP进行评估，选取MP最大的加密终端为选中终端，选中终端用于对接收到的文件进行加密，提高加密效率。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (8)

1.一种基于云计算的数据安全存储系统，其特征在于，包括数据库、安全中心、输入模块、存储分析模块、加密模块以及存储模块；

所述输入模块和用户的智能终端通信连接，用于用户通过智能终端输入存储指令和文件至安全中心，安全中心接收到存储指令后，对存储指令进行溯源处理，判断该存储指令是否合法；所述溯源处理表示为获取发送存储指令的智能终端的网络IP；

若存储指令合法，则所述安全中心解析存储指令内容并将对应文件发送至存储分析模块，存储分析模块用于对接收到的文件进行威胁系数分析，判断是否需要进行加密存储，存储指令携带有对应文件的保密等级信息；

存储分析模块用于将需要加密存储的文件发送至加密模块，加密模块包括若干个加密终端，选取加密评值MP最大的加密终端为选中终端，选中终端用于对接收到的文件进行加密，并将加密密文存储至存储模块。

2.根据权利要求1所述的一种基于云计算的数据安全存储系统，其特征在于，所述安全中心判断存储指令是否合法的具体过程如下：

将当前接收到存储指令的时刻标记为访问时刻T1，获取智能终端在系统当前时间前十天内的历史访问时刻；访问时刻按照时分秒的格式获取；

以访问时刻T1为中心，将时间差在r1内的所有历史访问时刻标记为同段时刻，其中r1为预设值；统计同段时刻出现的次数占比为Zb1，截取最近一次同段时刻与系统当前时刻之间的时间区间为缓冲区间，统计缓冲区间内历史访问时刻的出现次数为缓冲次数C1；

利用公式PL＝(Zb1×g1)/(C1×g2)计算得到时间匹配值PL，其中g1、g2为系数因子；若PL≥匹配阈值，则判定存储指令有效；

若存储指令有效，则获取智能终端的网络IP进行验证，具体为：当外部IP试图访问安全中心时，首先对访问IP进行白名单验证，若该访问IP在白名单范围内，且权限允许，则判定该存储指令合法；

若访问IP不在白名单范围内，则对访问IP进行恶意性分析，得到访问IP的恶意值M1；根据该访问IP在恶意IP组库中找到对应的IP组，将该IP组的恶意值标记为ME；若M1大于ME，则将该访问IP判定为恶意IP，该存储指令不合法。

3.根据权利要求2所述的一种基于云计算的数据安全存储系统，其特征在于，对访问IP进行恶意性分析的具体过程如下：

所述访问IP连接多个域名，将其中恶意域名的数量占比标记为z1；

将恶意域名的长度标记dm，统计dm大于长度阈值的次数为C2，将对应dm与长度阈值的差值进行求和得到超长总值L2，则该访问IP的恶意值M1＝(C2×g3+L2×g4)×z1，其中g3、g4为系数因子。

4.根据权利要求2所述的一种基于云计算的数据安全存储系统，其特征在于，其中所述IP组中包含若干个访问IP，该IP组的恶意值为若干个访问IP的恶意值均值。

5.根据权利要求1所述的一种基于云计算的数据安全存储系统，其特征在于，所述数据库用于设定允许访问安全中心的网络IP及其拥有的访问权限，生成网络访问白名单；并对已有的安全中心访问IP进行时间、空间特性和恶意性分析，得到恶意IP组库。

6.根据权利要求1所述的一种基于云计算的数据安全存储系统，其特征在于，所述存储分析模块的具体分析步骤为：

采集系统当前时间前三十天内文件的访问记录，统计可信IP、可疑IP以及恶意IP出现的次数占比，并依次标记为X1、X2和X3；截取最近一次可疑IP或者恶意IP的访问时间与系统当前时间之间的时间区间为辐射区间，统计辐射区间可信IP的出现次数为辐射次数F1；

利用公式EW＝(X3×3+X2×2)/(X1+F1×g5)计算得到对应文件的恶意吸引值EW，其中g5为系数因子；获取对应文件的保密等级信息，将对应的等级值标记为DG；将恶意吸引值EW与对应的等级值DG进行求和得到对应文件的威胁系数WX；若WX≥威胁阈值，则判定对应文件需要加密存储。

7.根据权利要求1所述的一种基于云计算的数据安全存储系统，其特征在于，所述加密模块的具体加密过程如下：

采集系统当前时间前三天内加密终端的历史加密文件；将加密模块当前接收到的文件大小标记为D1；以文件大小D1为中心，标记文件大小差值在R2内的所有历史加密文件为同类文件，其中R2为预设值；

统计同类文件出现的次数占比为Zb2；将同类文件的加密时长标记为ZTi，统计ZTi大于对应时长阈值的次数为P1，并将ZTi与对应时长阈值的差值求和得到超时总值ZW；利用公式MP＝(Zb2×a1)/(P1×a2+ZW×a3)计算得到加密终端的加密评值MP，其中a1、a2、a3均为系数因子，将加密评值MP最大的加密终端标记为选中终端。

8.根据权利要求7所述的一种基于云计算的数据安全存储系统，其特征在于，所述对应时长阈值的获取方法为：

所述数据库中存储有文件大小范围与时长阈值的映射关系表，根据当前文件大小D1确定对应的文件大小范围，再根据确定的文件大小范围确定对应时长阈值。

Images