CN114584343A - 一种云计算中心的数据保护方法、系统和可读存储介质 - Google Patents

一种云计算中心的数据保护方法、系统和可读存储介质 Download PDF

Info

Publication number
CN114584343A
CN114584343A CN202210081584.4A CN202210081584A CN114584343A CN 114584343 A CN114584343 A CN 114584343A CN 202210081584 A CN202210081584 A CN 202210081584A CN 114584343 A CN114584343 A CN 114584343A
Authority
CN
China
Prior art keywords
data
cloud computing
computing center
encryption
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210081584.4A
Other languages
English (en)
Other versions
CN114584343B (zh
Inventor
张旭
陈伟思
刘斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen University of Technology
Original Assignee
Xiamen University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen University of Technology filed Critical Xiamen University of Technology
Priority to CN202210081584.4A priority Critical patent/CN114584343B/zh
Publication of CN114584343A publication Critical patent/CN114584343A/zh
Application granted granted Critical
Publication of CN114584343B publication Critical patent/CN114584343B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种云计算中心的数据保护方法、系统和可读存储介质,包括:客户端安全步骤:用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证;数据传输安全步骤:在云计算中心设置SSL VPN设备,用户登录浏览器并通过用户名和密码验证访问云计算中心,写入或读取所述加密后的数据;边界安全和入侵防护步骤:在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS;云端安全步骤:所述数据通过加密容器在云计算中心进行数据处理。通过在数据流通的各个环节设立安全通道和屏障,在数据生命周期的每个阶段对数据进行加密、隔离和安全认证,全面提高云计算中心的数据安全性。

Description

一种云计算中心的数据保护方法、系统和可读存储介质
技术领域
本发明涉及数据安全管理领域,具体涉及一种云计算中心的数据保护方法、装置和可读存储介质。
背景技术
随着移动互联网、物联网、人工智能、大数据、等领域的不断发展,企业和用户每天的数据吞吐量呈现出指数级的增长趋势,全球正在步入数据大爆炸的时代。传统的计算和存储遇到了瓶颈,大量业务与数据上云,云计算、云存储这种新型的IT资源生态已成为大数据时代的主流形态。由于“云架构”存在隐私泄露、数据滥用等安全隐患,因此云计算数据安全成为了云计算推广与普及的重要问题。
在目前云计算服务过程中,面临的风险主要可以分为两个方面。一方面是云计算技术层面的风险,一方面是来自云计算模式的风险。目前主要的解决方案有数据加密、权限控制、数据完整性、用户数据隔离等。
(1)数据加密主要通过加密算法对数据进行加密,能够有效减少网络攻击以及数据被截获之后带来的损失,但仍然无法在数据全生命周期中起到有效保护,如数据加密之前或者解密之后的阶段;
(2)权限控制主要对用户的控制进行数据保护,可以杜绝非系统用户使用以及人为破坏等情况,但是主要是在云中心内部对数据进行保护,在用户使用过程或者数据传输路径中,无法发挥作用;
(3)数据完整性校验,可以有效避免当数据跨进行网络传输时出现的数据损坏情况,确保源数据与目标数据的一致性,但是无法对源数据进行保护;
(4)数据隔离将云服务平台的各服务器互相隔离,减少外来攻击或者软硬件故障引起数据泄露及丢失,对源数据的存储可靠性也能进行有效提升,但是并不能防止人为误操作带来的数据丢失。
发明内容
为解决现有技术所存在的无法对数据进行全周期保护并且数据传输路径中的薄弱点容易被攻击的问题,本发明的实施例中提出了针对云计算中心数据安全统一解决方案:
一种云计算中心的数据保护方法,其特征在于,包括:
客户端安全步骤:用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证,所述加密安全终端预先写入所述云计算中心的数据,并在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链,以控制客户端与云计算中心的信息访问安全;
数据传输安全步骤:在云计算中心设置SSL VPN设备,用户登录浏览器并通过用户名和密码验证访问云计算中心,写入或读取所述加密后的数据,以控制所述数据传输的安全;
边界安全和入侵防护步骤:在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS,以阻断网络流量中的黑客或病毒对云计算中心的攻击;
云端安全步骤:所述数据通过加密容器在云计算中心进行数据处理。
更进一步的,所述加密安全终端采用128位哈希加密算法生成所述公钥。
更进一步的,所述加密安全终端的处理方法包括:
加密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,对所述数据进行加密并写入云计算中心的数据存储区;
解密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,进行解密并读取云计算中心的数据存储区,然后验证用户名进行云计算中心的认证。
更进一步的,所述云端安全步骤还包括:
S41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码;
S42:用户访问云计算中心,在Web页面引导加载所述加密文件,所述加密文件通过所述加密密码打开,并自动生成只属于该用户的逻辑磁盘;
S43:通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份;
S44:用户退出云计算中心时,将所述逻辑磁盘卸载并还原成加密文件;
S45:用户需要销户时,擦除所述逻辑磁盘的数据。
更进一步的,所述客户端安全步骤还包括:
S51:通过所述加密安全终端解密获取用户申请信息;
S52:由区块链的成员关系服务提供者对客户端进行身份验证;
S53:系统通过加密安全终端获取输入的数据并进行加密签名操作;
S54:完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
本发明还提出了一种云计算中心的数据保护系统,包括:
客户端安全模块401:配置用于用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证,所述加密安全终端预先写入所述云计算中心的数据,并在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链,以控制客户端与云计算中心的信息访问安全;
数据传输安全模块402:配置用于用户通过浏览器访问SSLVPN设备,并通过所述用户名和密码验证访问云计算中心,写入或读取所述加密后的数据,以控制所述数据传输的安全;
边界安全及入侵防护模块403:配置用于在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS,以阻断网络流量中的黑客或病毒对云计算中心的攻击;
云端安全模块404:配置用于所述数据通过加密容器在云计算中心进行数据处理。
更进一步的,所述加密安全终端的处理方法包括:
加密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,对所述数据进行加密并写入云计算中心的数据存储区;
解密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,进行解密并读取云计算中心的数据存储区,然后验证用户名进行云计算中心的认证。
更进一步的,所述云端安全模块执行的步骤还包括:
S41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码;
S42:用户访问云计算中心,在Web页面引导加载所述加密文件,所述加密文件通过所述加密密码打开,并自动生成只属于该用户的逻辑磁盘;
S43:通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份;
S44:用户退出云计算中心时,将所述逻辑磁盘卸载并还原成加密文件;
S45:用户需要销户时,擦除所述逻辑磁盘的数据。
更进一步的,所述客户端安全模块执行的步骤还包括:
S51:通过所述加密安全终端解密获取用户申请信息;
S52:由区块链的成员关系服务提供者对客户端进行身份验证;
S53:系统通过加密安全终端获取输入的数据并进行加密签名操作;
S54:完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
本发明还提出了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被执行时执行如前所述的数据保护方法。
本发明的技术效果为:本方案通过在数据流通的各个环节设立安全通道和屏障,在数据生命周期的每个阶段对数据进行加密、隔离和安全认证,全面提高云计算中心的数据安全性。相比于传统方式,能够解决以下问题:
(1)降低终端对云计算环境安全风险,保证用户使用安全;
(2)保证用户数据在传输过程中的安全性和可靠性;
(3)提升云计算中心的边界安全及入侵防护能力;
(4)保障云计算中心的服务安全以及数据安全。
附图说明
包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。附图的元件不一定是相互按照比例的。同样的附图标记指代对应的类似部件。
图1为本发明数据安全方案的总体示意图;
图2为本发明横向数据防护框架示意图;
图3为本发明纵向数据防护框架的示意图;
图4为本发明的用户访问流程图;
图5为根据本发明的实施例的一种云计算中心的数据保护方法的流程图;
图6为根据本发明的实施例的一种云计算中心的数据保护方法的加密安全终端的执行流程图;
图7为本发明的加密安全终端的加密过程流程图;
图8为本发明的加密安全终端的解密过程流程图;
图9为根据本发明的实施例的一种云计算中心的数据保护方法的云端安全步骤的执行流程图;
图10为本发明的区块链数字签名认证的流程图;
图11为根据本发明的实施例的一种云计算中心的数据保护方法的客户端安全步骤的执行流程图;
图12为根据本发明的实施例的一种云计算中心的数据保护系统的结构图;
图13为本发明的传输安全模块架构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
首先介绍本发明的基本原理,这有助于理解本发明的一种云计算中心的数据保护方法。图1-4是对本发明工作原理的阐释。
图1是本发明数据安全方案的总体示意图。
云计算具有两大特点,数据通过Internet传输以及数据存放在云端。因此数据在传输过程中存在着被窃取、篡改等危险,而且用户亦希望能加强对云端数据的掌控。因此,本方案采用“统一安全理念”的思想,以数据流为横向,以数据生命周期为纵向来构建云计算安全防御体系。如图1所示,横轴表示数据流的走向,纵轴表示数据生命周期(数据创建、存储、使用、归档、销毁)。数据安全是云计算安全中极为重要的一部分,故数据安全管理要贯彻数据生命周期的全过程,而安全管理是由在数据流的各个环节上通过对应的技术手段及策略所支撑。
图2为本发明横向数据防护框架示意图。
横向防御主要是在数据流通各个环节上建立安全通道及屏障,这不但能有效的保护云计算中心的网络安全,也能够与安全策略相结合,很好的实现认证、访问控制以及数据处理等安全管理功能。由于客户端与云计算中心的数据交互均是通过互联网实现的,因此在开放的互联网的环境下,对数据的加密处理,访问控制是尤为重要的。如图2所示,在客户端和云计算中心的连接通道上,以数据中心为核心向外延伸出多层保护,各层具体功能如下(由外及内):
证书认证保障客户端接入;
互联网上建立虚拟专用通道;
云计算中心网络边界防护;
入侵检测与防护;
服务端防DDOS攻击及安全监测;
服务端数据备份及安全(采用数据加密,隔离,安全销毁等)。
通过以上多个功能的协同作用,实现了数据的加密,身份的认证以及授权。同时用于云计算中心的访问控制技术能将资源分成可读、可写及可控制三种,并以此保证数据在云计算中心。
图3给出了本发明纵向数据防护框架的示意图。纵向防御以数据生命周期为主线,利用安全管理技术来保障数据生命周期的各个主要阶段的安全,主要技术路线为:
数据必须由有权限的用户进行创建,因此需要提供认证以及授权来保证数据来源的可靠性;
数据存储是用户要把数据存放到云计算中心,因此需要对数据加密来保证数据传输的安全,同时,数据写入时要根据用户的权限进行分类操作;
数据的使用及归档是对数据的操作,在云计算中心进行,需要云计算中心进行权限管理和数据隔离来保证用户数据的安全性和排他性;
数据销毁是出现在用户注销时,此时,云计算中心保证用户注销之后不会再数据中心保留任何用户相关数据以及保证数据不会被第三方恢复还原。
云计算中心数据的统一安全安全方案实施后,用户通过该方案对云计算中心进行访问,访问的流程如图4所示:
1、用户申请通过之后,云计算中心会引导用户制作一个加密文件(由加密容器生成),并由用户设定加密密码;
2、用户成功访问云计算中心后,在Web页面引导加载加密文件,系统自动生成只属于该用户的逻辑磁盘(对其他用户不可见);
3、用户生成的逻辑磁盘上存储数据及对数据进行操作均会自动加密;
4、用户退出云计算中心后云计算中心自动启用磁盘卸载程序,将用户生成的逻辑磁盘卸载并还原成加密文件;
5、若用户完成计算服务,需要进行销户操作,云计算中心对用户的存储空间擦除,保证该存储空间不会遗留用户的使用痕迹或用户数据,最大限度的保证用户的数据安全。
针对客户端的安全,本发明采用加密安全狗来控制客户端的安全,通过用户名密码和区块链数字签名的双重认证机制来控制信息访问,完成纵向防御所需要的认证功能,保障接入云计算中心的用户的合法性。
双重认证机制是基于访问者客户端用户的身份加密终端(硬件加密)以及存放于区块链上的数字签名实现的。进行身份认证的实现主要包括用户信息本地加密存储、加密终端信息提取、客户端身份验证、区块链节点身份验证等构成。
事先将云计算中心的数据写入到加密安全终端的相关存储器中,采用128位AES加密算法,在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链。用户需要访问数据中心时,先通过本地客户端接入加密终端,通过用户名密码和区块链数字签名双重认证后才能访问云计算中心。
根据上述工作原理,得到如图5所示的本发明的一种云计算中心的数据保护方法,包括:
客户端安全步骤:用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证,所述加密安全终端预先写入所述云计算中心的数据,并在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链,以控制客户端与云计算中心的信息访问安全;
数据传输安全步骤:在云计算中心设置SSL VPN设备,用户登录浏览器并通过用户名和密码验证访问云计算中心,写入或读取所述加密后的数据,以控制所述数据传输的安全;
边界安全和入侵防护步骤:在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS,以阻断网络流量中的黑客或病毒对云计算中心的攻击;
云端安全步骤:所述数据通过加密容器在云计算中心进行数据处理。
通过上述数据保护方法,架构了以数据流为横向、数据生命周期为纵向的云计算算安全防御体系,全面提高从终端到云计算中心的数据安全性。
在本发明的一个具体实施方式中,如图6所示,所述加密安全终端的处理方法包括:
加密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,对所述数据进行加密并写入云计算中心的数据存储区;
解密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,进行解密并读取云计算中心的数据存储区,然后验证用户名进行云计算中心的认证。
图7示出了通过加密安全终端加密的过程,图8示出了通过加密安全终端解密的过程。
使用加密安全终端加密,支持将自定义的数据,写入到加密安全终端的相关存储器中;当程序运行时,读取出相应的数据,就可以判断出是否是对应的加密安全终端,达到加密的效果。
加密安全终端采用128位AES加密算法,在软件应用与保护密钥之间建立连接,从而防止用户信息被盗用或者用户数据的泄露。
运行时,云中心向保护密钥(HASP HL或HASP SL)发送加密学符串,保护密钥对字符串进行解密,并生成无法模仿的回应。如果来自保护密钥的回应正确,则云中心正常提供服务。如果保护密钥不存在或来自保护密钥的回应不正确,则访问断开。
在本发明的一个具体实施方式中,所述加密安全终端采用128位哈希加密算法生成所述公钥。
如图4和图9所示,所述云端安全步骤还包括:
S41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码;
S42:用户访问云计算中心,在Web页面引导加载所述加密文件,所述加密文件通过所述加密密码打开,并自动生成只属于该用户的逻辑磁盘;
S43:通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份;
S44:用户退出云计算中心时,将所述逻辑磁盘卸载并还原成加密文件;
S45:用户需要销户时,擦除所述逻辑磁盘的数据。
客户端安全步骤中所采用的区块链数字签名认证是基于区块链技术的不可篡改、去中心化的技术特点,对数据中心访问的可信性提供了有效的控制。双重认证机制是基于访问者申请的用户名密码以及存放于区块链上的数字签名实现的。认证流程如图10所示。在区块链网络初始化阶段,完成对系统初始化访问申请、身份证书发放等工作,并对节点准入进行审核,由成员关系服务提供者服务对节点权限和身份进行划分。完成网络初始化之后,进入设客户端身份验证阶段,该部分包括数据输入、数据加密、数据签名、签名聚合、签名验证操作构成。系统通过客户端输入的数据,进行加密签名操作,实现客户端数据与密文数据包的唯一对应标识。由上层设备完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点实现客户端身份验证。在区块链节点身份验证阶段,监管节点获取数据后,通过区块链共识机制完成数据上链实现数据在网络中多节点共享,该过程网络仍对上链监管节点进行身份验证,以保证该节点的身份可信性。
在本发明的一个具体实施方式中,如图11所示,
所述客户端安全步骤还包括:
S51:通过所述加密安全终端解密获取用户申请信息;
S52:由区块链的成员关系服务提供者对客户端进行身份验证;
S53:系统通过加密安全终端获取输入的数据并进行加密签名操作;
S54:完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
用户需要访问数据中心时,先通过本地客户端接入加密终端,解密获取用户申请信息。在区块链对节点准入进行审核,由成员关系服务提供者服务对节点权限和身份进行划分。完成网络初始化之后,进入设客户端身份验证阶段,该部分包括数据输入、数据加密、数据签名、签名聚合、签名验证操作构成。系统通过加密终端获取输入的数据,进行加密签名操作,实现客户端数据与密文数据包的唯一对应标识。完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点实现客户端身份验证。
在区块链节点身份验证阶段,监管节点获取数据后,通过区块链共识机制完成数据上链实现数据在网络中多节点共享,该过程网络仍对上链监管节点进行身份验证,以保证该节点的身份可信性。
通过链上身份认证之后,用户就可以从客户端接入数据中心进行访问。
进一步参考图12,作为对上述图5所述方法的实现,本申请还提供了一种云计算中心的数据保护系统的一个实施例,该实施例与图5所述方法的实施例相对应,该系统具体可以包含在各种电子设备中。
一种云计算中心的数据保护系统,包括:
客户端安全模块401:配置用于用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证,所述加密安全终端预先写入所述云计算中心的数据,并在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链,以控制客户端与云计算中心的信息访问安全;
数据传输安全模块402:配置用于用户通过浏览器访问SSLVPN设备,并通过所述用户名和密码验证访问云计算中心,写入或读取所述加密后的数据,以控制所述数据传输的安全;
边界安全及入侵防护模块403:配置用于在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS,以阻断网络流量中的黑客或病毒对云计算中心的攻击;
云端安全模块404:配置用于所述数据通过加密容器在云计算中心进行数据处理。
对于客户端而言,客户端是数据流(横向防御)的起点,也是数据创建之处(纵向防御)。此外,客户端是整个数据安全中最薄弱的一个环节,许多黑客和入侵者都常以终端作为攻击数据中心的跳板,比如像Aurora,Hydraq等新一代的高持续性安全威胁均是从终端入手的。因此,客户端安全是云计算环境安全防护,不容忽视的一环。
针对客户端的安全,本方案采用加密安全终端及用户密码和区块链数字签名的双重认证机制来控制信息访问,完成纵向防御所需要的认证功能,保障接入云计算中心的用户的合法性。双重认证机制是通过部署在云计算中心的SSL VPN实现的,云计算中心制作证书并写入到优盘中分发给用户,用户利用浏览器进行SSL安全连接,用户通过证书才能成功访问云计算中心的资源,当用户成功接入后需要输入正确的用户名、密码以及区块链的数字签名,才能完成客户端对云计算中心的访问。
对于数据传输过程而言,云计算的数据在公网传输过程中可能被侦听,因此用户的敏感信息存在被泄密的安全风险。为了保证用户数据在传输过程中的安全性和可靠性,本方案采用SSL VPN技术来保证传输的安全。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议制定了在应用程序协议之间进行数据交换的安全机制。SSL VPN指使用者利用浏览器内建的SSL封包处理功能,用浏览器连回企业内部SSL VPN服务器,然后透过网络封包转向的方式,让用户可以在远程计算机执行应用程序,读取企业内部数据。数据传输安全模块402可以实现安全易用且配置简单的远程访问,从而降低用户数据丢失的风险。具体架构如图13所示。SSL VPN位于防火墙的DMZ区,这使系统只开放SSL VPN设备,对外只开放Https协议。远程用户从公网访问SSL VPN设备,在用户名和密码验证成功之后,根据设备上对其开放的权限来访问云计算中心的内部资源。
数据传输安全模块402不仅保证了横向防御的传输安全,同时也为数据存储提供了加密保障。通过SSL VPN,使云计算中心与用户之间建立了一条虚拟专用通道,从而用户与中心进行交互的时候避免被窃听或数据截获,保证了传输过程中的数据安全。
对于云计算中心的边界,VPN只能保证用户能安全地传输到数据中心,而对于网络恶意流量针对云计算中心的攻击却是无能为力,保障云计算中心的网络安全,免受黑客、病毒的攻击是为用户提供安全计算服务的前提。所述边界安全及入侵防护模块403一方面是在云计算中心边界部署防火墙,阻挡来自外界的异常流量,同时辅以入侵防护系统来进行深度检测,另一方面在云计算中心内部进行实时监控,监测异常行为,及时发现病毒。
云计算中心网络边界安全定位在传输层与网络层的安全上,此模块把安全信任网络与非安全网络进行隔离,并提供对多种畸形报文攻击的防御。同时针对应用高流量做深度分析与检测,配合特征库和用户规则,进行有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,对分布在网络中的各种流量进行有效的管理,深层次保护网络边界的安全。
对于云端的数据安全保护,云端安全模块404包括服务安全以及数据安全两部分。服务安全是云计算中心能够为用户提供持续可靠服务,尽量避免服务器因各种因素宕机、控制服务资源保证用户体验。数据安全是云计算中心通过技术手段保证用户的数据安全。
数据安全是纵向防御的主要内容。纵向防御是以数据生命周期为主线,而云端的数据处理则是数据生命周期的主要部分。在云模式下,用户对数据的存储、修改、归档都是在云端进行。该模块的数据安全可以通过以下几个方法实现:
数据隔离——云计算中心所提供的存储时位于高度整合的大容量存储空间上,同一时刻必然存在多个用户访问,因此,必须对各个用户的数据有效区域进行隔离。
数据加密——数据存放在云计算中心,通过数据加密可以保证用户对数据的控制。
数据备份——以保证数据在丢失或操作失误时能够及时恢复。
数据销毁——用户完成租期之后,必须有安全可靠的退出机制,其中最主要的就是数据销毁,并保证不可恢复。
在本发明的一个具体实施方式中,所述加密安全终端的处理方法包括:
加密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,对所述数据进行加密并写入云计算中心的数据存储区;
解密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,进行解密并读取云计算中心的数据存储区,然后验证用户名进行云计算中心的认证。
在本发明的一个具体实施方式中,所述云端安全模块404执行的步骤还包括:
S41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码;
S42:用户访问云计算中心,在Web页面引导加载所述加密文件,所述加密文件通过所述加密密码打开,并自动生成只属于该用户的逻辑磁盘;
S43:通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份;
S44:用户退出云计算中心时,将所述逻辑磁盘卸载并还原成加密文件;
S45:用户需要销户时,擦除所述逻辑磁盘的数据。
在本发明的一个具体实施方式中,
所述客户端安全模块执行的步骤还包括:
S51:通过所述加密安全终端解密获取用户申请信息;
S52:由区块链的成员关系服务提供者对客户端进行身份验证;
S53:系统通过加密安全终端获取输入的数据并进行加密签名操作;
S54:完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
在本发明的一个具体实施方式中,所述云端安全模块404还包括在云端设置的集群安全监测模块和防DDOS攻击模块。
所述集群安全监测模块和防DDOS攻击模块为云端提供服务安全。服务安全包括如图1所示的集群安全监测及防DDOS攻击两个部件,主要实现:
实时流量监测
服务器状态监测
服务器进程连接监测
DDOS攻击防护
日志及审计
实时流量监测、服务器状态监测以及进程连接监测能及时发现异常安全行为,确保服务器安全。基于NDIS中间驱动技术的智能攻击防护提供包括SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等在内的一系列流行的DDOS攻击,保证用户能够正常使用服务器,提高服务的健壮性。
为了描述的方便,描述以上系统时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
根据本发明的一种云计算中心的数据保护方法、系统和可读存储介质,架构了以数据流为横向、数据生命周期为纵向的云计算安全防御体系,全面提高从终端到云计算中心的数据安全性。
最后所应说明的是:以上实施例仅以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种云计算中心的数据保护方法,其特征在于,包括:
客户端安全步骤:用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证,所述加密安全终端预先写入所述云计算中心的数据,并在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链,以控制客户端与云计算中心的信息访问安全;
数据传输安全步骤:在云计算中心设置SSL VPN设备,用户登录浏览器并通过用户名和密码验证访问云计算中心,写入或读取所述加密后的数据,以控制所述数据传输的安全;
边界安全和入侵防护步骤:在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS,以阻断网络流量中的黑客或病毒对云计算中心的攻击;
云端安全步骤:所述数据通过加密容器在云计算中心进行数据处理。
2.根据权利要求1所述的一种云计算中心的数据保护方法,其特征在于,所述加密安全终端采用128位哈希加密算法生成所述公钥。
3.根据权利要求2所述的一种云计算中心的数据保护方法,其特征在于,所述加密安全终端的处理方法包括:
加密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,对所述数据进行加密并写入云计算中心的数据存储区;
解密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,进行解密并读取云计算中心的数据存储区,然后验证用户名进行云计算中心的认证。
4.根据权利要求1所述的一种云计算中心的数据保护方法,其特征在于,所述云端安全步骤还包括:
S41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码;
S42:用户访问云计算中心,在Web页面引导加载所述加密文件,所述加密文件通过所述加密密码打开,并自动生成只属于该用户的逻辑磁盘;
S43:通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份;
S44:用户退出云计算中心时,将所述逻辑磁盘卸载并还原成加密文件;
S45:用户需要销户时,擦除所述逻辑磁盘的数据。
5.根据权利要求1所述的一种云计算中心的数据保护方法,其特征在于,所述客户端安全步骤还包括:
S51:通过所述加密安全终端解密获取用户申请信息;
S52:由区块链的成员关系服务提供者对客户端进行身份验证;
S53:系统通过加密安全终端获取输入的数据并进行加密签名操作;
S54:完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
6.一种云计算中心的数据保护系统,其特征在于,包括:
客户端安全模块401:配置用于用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证,所述加密安全终端预先写入所述云计算中心的数据,并在身份信息与保护密钥之间建立连接,同时将生成的公钥上传区块链,以控制客户端与云计算中心的信息访问安全;
数据传输安全模块402:配置用于用户通过浏览器访问SSL VPN设备,并通过所述用户名和密码验证访问云计算中心,写入或读取所述加密后的数据,以控制所述数据传输的安全;
边界安全及入侵防护模块403:配置用于在云计算中心边界设置防火墙、入侵检测系统IDS和入侵防御系统IPS,以阻断网络流量中的黑客或病毒对云计算中心的攻击;
云端安全模块404:配置用于所述数据通过加密容器在云计算中心进行数据处理。
7.根据权利要求6所述的一种云计算中心的数据保护系统,其特征在于,所述加密安全终端的处理方法包括:
加密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,对所述数据进行加密并写入云计算中心的数据存储区;
解密步骤:从客户端请求访问云计算中心,当通过密码验证成功时,进行解密并读取云计算中心的数据存储区,然后验证用户名进行云计算中心的认证。
8.根据权利要求6所述的一种云计算中心的数据保护系统,其特征在于,所述云端安全模块执行的步骤还包括:
S41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码;
S42:用户访问云计算中心,在Web页面引导加载所述加密文件,所述加密文件通过所述加密密码打开,并自动生成只属于该用户的逻辑磁盘;
S43:通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份;
S44:用户退出云计算中心时,将所述逻辑磁盘卸载并还原成加密文件;
S45:用户需要销户时,擦除所述逻辑磁盘的数据。
9.根据权利要求6所述的一种云计算中心的数据保护系统,其特征在于,所述客户端安全模块执行的步骤还包括:
S51:通过所述加密安全终端解密获取用户申请信息;
S52:由区块链的成员关系服务提供者对客户端进行身份验证;
S53:系统通过加密安全终端获取输入的数据并进行加密签名操作;
S54:完成签名聚合操作,并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被执行时执行如权利要求1-5任一项所述的数据保护方法。
CN202210081584.4A 2022-01-24 2022-01-24 一种云计算中心的数据保护方法、系统和可读存储介质 Active CN114584343B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210081584.4A CN114584343B (zh) 2022-01-24 2022-01-24 一种云计算中心的数据保护方法、系统和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210081584.4A CN114584343B (zh) 2022-01-24 2022-01-24 一种云计算中心的数据保护方法、系统和可读存储介质

Publications (2)

Publication Number Publication Date
CN114584343A true CN114584343A (zh) 2022-06-03
CN114584343B CN114584343B (zh) 2023-05-02

Family

ID=81768780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210081584.4A Active CN114584343B (zh) 2022-01-24 2022-01-24 一种云计算中心的数据保护方法、系统和可读存储介质

Country Status (1)

Country Link
CN (1) CN114584343B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074123A (zh) * 2023-03-15 2023-05-05 北京百汇安科技有限公司 一种物联网数字信息安全传输的方法
CN117094034A (zh) * 2023-10-20 2023-11-21 金财数科(北京)信息技术有限公司 一种数字资产安全存储使用方法
CN117408846A (zh) * 2023-12-14 2024-01-16 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统
CN117439823A (zh) * 2023-12-20 2024-01-23 深圳市智安网络有限公司 云端数据智能化权限认证安全防护方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970299A (zh) * 2012-11-27 2013-03-13 西安电子科技大学 文件安全保护系统及其方法
US9129095B1 (en) * 2014-12-19 2015-09-08 Tresorit, Kft Client-side encryption with DRM
WO2018046009A1 (zh) * 2016-09-12 2018-03-15 上海鼎利信息科技有限公司 一种区块链身份系统
CN111884810A (zh) * 2020-07-20 2020-11-03 上海信联信息发展股份有限公司 交易签名方法、装置、移动终端和系统
CN113783686A (zh) * 2021-08-30 2021-12-10 华恒(济南)信息技术有限公司 一种基于区块链的sdn及nfv网络安全管理系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970299A (zh) * 2012-11-27 2013-03-13 西安电子科技大学 文件安全保护系统及其方法
US9129095B1 (en) * 2014-12-19 2015-09-08 Tresorit, Kft Client-side encryption with DRM
WO2018046009A1 (zh) * 2016-09-12 2018-03-15 上海鼎利信息科技有限公司 一种区块链身份系统
CN111884810A (zh) * 2020-07-20 2020-11-03 上海信联信息发展股份有限公司 交易签名方法、装置、移动终端和系统
CN113783686A (zh) * 2021-08-30 2021-12-10 华恒(济南)信息技术有限公司 一种基于区块链的sdn及nfv网络安全管理系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张旭等: "《区块链技术应用与探究》" *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074123A (zh) * 2023-03-15 2023-05-05 北京百汇安科技有限公司 一种物联网数字信息安全传输的方法
CN116074123B (zh) * 2023-03-15 2023-06-23 北京百汇安科技有限公司 一种物联网数字信息安全传输的方法
CN117094034A (zh) * 2023-10-20 2023-11-21 金财数科(北京)信息技术有限公司 一种数字资产安全存储使用方法
CN117094034B (zh) * 2023-10-20 2023-12-15 金财数科(北京)信息技术有限公司 一种数字资产安全存储使用方法
CN117408846A (zh) * 2023-12-14 2024-01-16 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统
CN117408846B (zh) * 2023-12-14 2024-03-01 陕西华海信息技术有限公司 一种基于云计算的学校教务数据处理系统
CN117439823A (zh) * 2023-12-20 2024-01-23 深圳市智安网络有限公司 云端数据智能化权限认证安全防护方法及系统
CN117439823B (zh) * 2023-12-20 2024-03-12 深圳市智安网络有限公司 云端数据智能化权限认证安全防护方法及系统

Also Published As

Publication number Publication date
CN114584343B (zh) 2023-05-02

Similar Documents

Publication Publication Date Title
Panchal et al. Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures
Mughal Cyber Attacks on OSI Layers: Understanding the Threat Landscape
CN114584343B (zh) 一种云计算中心的数据保护方法、系统和可读存储介质
Jakimoski Security techniques for data protection in cloud computing
CN114615328A (zh) 一种安全访问控制系统和方法
Atashzar et al. A survey on web application vulnerabilities and countermeasures
Rani et al. Cyber security techniques, architectures, and design
Shah et al. Security issues on cloud computing
Herrmann et al. Basic concepts and models of cybersecurity
Koilpillai Software defined perimeter (SDP) a primer for cios
Khandelwal et al. Frontline techniques to prevent web application vulnerability
Tutubala et al. A hybrid framework to improve data security in cloud computing
Chahar Computer network security
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
Li et al. Security Intelligence: A Practitioner's Guide to Solving Enterprise Security Challenges
Shaikh et al. Exploring recent challenges in cyber security and their solutions
Datta Vulnerabilities of smart homes
Garg et al. Security of Modern Networks and Its Challenges
Cárdenas et al. Cyber security basic defenses and attack trends
Tyagi et al. Improvement of Node Level Data Protection Against Malicious Node by Data Aggregation Based Routing Protocol for WSN
Singh et al. CCNA Security 210-260 Certification Guide: Build your knowledge of network security and pass your CCNA Security exam (210-260)
Veríssimo et al. Fundamental security concepts
Ruha Cybersecurity of computer networks
Sethi et al. Secure Web Application: Rudimentary perspective
Khan et al. Cybersecurity attacks: Common vulnerabilities in the critical infrastructure

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant