CN115514470B - 一种社区矫正数据安全性的存储方法及系统 - Google Patents

一种社区矫正数据安全性的存储方法及系统 Download PDF

Info

Publication number
CN115514470B
CN115514470B CN202211469542.4A CN202211469542A CN115514470B CN 115514470 B CN115514470 B CN 115514470B CN 202211469542 A CN202211469542 A CN 202211469542A CN 115514470 B CN115514470 B CN 115514470B
Authority
CN
China
Prior art keywords
strategy
self
metadata
data
uploading
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211469542.4A
Other languages
English (en)
Other versions
CN115514470A (zh
Inventor
高英
邬志良
彭杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Netway Technology Group Co ltd
Original Assignee
China Netway Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Netway Technology Group Co ltd filed Critical China Netway Technology Group Co ltd
Priority to CN202211469542.4A priority Critical patent/CN115514470B/zh
Publication of CN115514470A publication Critical patent/CN115514470A/zh
Application granted granted Critical
Publication of CN115514470B publication Critical patent/CN115514470B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F17/00Coin-freed apparatus for hiring articles; Coin-freed facilities or services
    • G07F17/0014Coin-freed apparatus for hiring articles; Coin-freed facilities or services for vending, access and use of specific services not covered anywhere else in G07F17/00

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种社区矫正数据安全性的存储方法及系统,所述存储方法包括获取由自助矫正终端机发送的包含第一元数据的上传请求;根据第一元数据生成分块策略,发送至自助矫正终端机;获取由自助矫正终端机上传的多个第二元数据;获取多云存储平台的存储策略,根据存储策略和多个第二元数据生成上传策略;将上传策略下发至自助矫正终端机中;上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储;将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。将社区矫正数据分块存储在多个云存储服务器,使每个云存储服务器存储的数据是不完整、不连续、且分散的数据块,提高数据安全性。

Description

一种社区矫正数据安全性的存储方法及系统
技术领域
本发明属于计算机数据处理技术领域,具体涉及一种社区矫正数据安全性的存储方法及系统。
背景技术
自助矫正终端机是普遍应用在社区矫正机构的自助终端设备。自助矫正终端机部署有社区人员矫正系统,具有身份证读取、办理身份信息采集、日常报到登记、教育学习、公益活动登记、外出申请及销假、执行地变更申请等相关业务的功能,以实现社区矫正智能化管理,提高社区矫正工作的人性化和管理工作的效率。
社区矫正数据大都来源于自助矫正终端机,其主要包括社区矫正对象的矫正管理数据,是极为重要的数据信息。因自助矫正终端机的存储资源受限,自助矫正终端机通常会被配置为定期将社区矫正数据进行云存储,为终端机、省级社区矫正一体化平台等,随时查找存储于云端的各种数据提供支持;另一方面,实现把各自助矫正终端机的社区矫正数据备份到云端中,以保证数据的完整性,即使设备发生故障,可以在新的终端机上重新获取原设备的云端数据,解决重要数据易遗失问题。
经申请人研究发现,现有自助矫正终端机的社区矫正数据云存储技术,存在如下技术问题:
目前,主流的云存储系统架构如图1所示,且现阶段的云存储模式要求用户完全信任于云存储的服务提供商,并向其交付数据的管理权。此时存储在云端的社区矫正数据的所有权与管理权相分离,直接脱离了社区矫正机构的物理管控。
由于云存储系统的安全性依托于云存储服务器的安全性能,在互联网的开放性和易受攻击性下,社区矫正数据的云存储服务器存在遭受非法访问/恶意攻击而篡改数据、隐私数据泄露等的安全隐患。
发明内容
本发明的目的是要解决上述的技术问题,提供一种社区矫正数据安全性的存储方法及系统。
为了解决上述问题,本发明按以下技术方案予以实现的:
第一方面,本发明提供了一种社区矫正数据安全性的存储方法,所述存储方法应于由自助矫正终端机、管理服务器和多云存储平台构成的云存储系统中,所述存储方法包括以下步骤:
获取由自助矫正终端机发送的包含第一元数据的上传请求,所述第一元数据为自助矫正终端机待上传的社区矫正数据的元数据;
根据所述第一元数据生成分块策略,发送至自助矫正终端机;所述分块策略用于自助矫正终端机对所述社区矫正数据进行划分和编码,以得到若干编码数据块;
获取由自助矫正终端机上传的多个第二元数据,所述第二元数据为编码数据块的元数据;
获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;
将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;
将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
结合第一方面,本发明还提供了第一方面的第1种优选实施方式,具体的,所述分块策略包括纠删码编码矩阵,所述自助矫正终端机根据分块策略对社区矫正数据进行划分和编码,具体包括以下步骤:
根据分块策略,将社区矫正数据划分为若干等长的数据块;
根据所述分块策略的纠删码编码矩阵,对数据块进行编码生成编码数据块;
将编码数据块存储。
结合第一方面,本发明还提供了第一方面的第2种优选实施方式,具体的,所述存储策略包括云存储服务器序列,所述云存储服务器序列为多云存储平台的多个云存储服务器按预设优先级排列组成;
所述上传策略包括上传地址序列,所述上传地址序列为多个编码数据块的上传地址按序排列组成;
其中,根据所述存储策略和多个第二元数据生成上传策略,具体包括以下步骤:
将多个第二元数据按序与所述云存储服务器序列进行关联,一个第二元数据有且仅关联所述云存储服务器序列的一个云存储服务器;
获取每一云存储服务器的上传地址,在关联有第二元数据的云存储服务器序列的基础上生成上传地址序列。
结合第一方面,本发明还提供了第一方面的第3种优选实施方式,具体的,所述方法还包括数据下载流程,具体的,所述数据下载流程包括以下步骤:
获取由自助矫正终端机发送的下载请求,所述下载请求包括设备信息和待下载的社区矫正数据信息;
根据设备信息和待下载的社区矫正数据信息,调取相关联的分块策略和上传策略;
根据分块策略和上传策略,生成下载合并策略;
将下载合并策略下发至自助矫正终端机,所述下载合并策略用于所述自助矫正终端机从多云存储平台下载多个加密数据块、编码数据块的解码和数据块的合并。
结合第一方面,本发明还提供了第一方面的第4种优选实施方式,具体的,所述自助矫正终端机对编码数据块进行加密得到加密数据块,具体包括以下步骤:
根据干扰信息规则,在所述编码数据块中增加预设干扰信息,形成第一干扰数据块;
通过第一密钥对干扰数据块进行DES加密,生成密文数据块;
根据干扰信息规则,在所述密文数据块增加预设干扰信息,形成第二干扰数据块;
通过第二密钥对第二干扰数据块进行AES加密,生成加密数据块;
将第一密钥、第二密钥和干扰信息规则通过量子密钥进行加密,传输至其他自助矫正终端机或后台。
结合第一方面,本发明还提供了第一方面的第5种优选实施方式,具体的,所述预设干扰信息为存储在自助矫正终端机数据库的任意一社区矫正对象的身份证后四位数字或手机号后四位数字。
结合第一方面,本发明还提供了第一方面的第6种优选实施方式,具体的,所述干扰信息规则为将预设干扰信息写入编码数据块和密文数据块的数据字段末尾。
第二方面,本发明还提供了一种社区矫正数据安全性的存储系统,所述存储系统包括自助矫正终端机、管理服务器和多云存储平台,所述存储系统用于实现第一方面所述的存储方法;其中,所述管理服务器包括:
获取模块,其用于获取由自助矫正终端机发送的包含第一元数据的上传请求,所述第一元数据为自助矫正终端机待上传的社区矫正数据的元数据;以及,用于获取由自助矫正终端机上传的多个第二元数据,所述第二元数据为编码数据块的元数据;
分块策略模块,其用于根据所述第一元数据生成分块策略,发送至自助矫正终端机;所述分块策略用于自助矫正终端机对所述社区矫正数据进行划分和编码,以得到若干编码数据块;
上传策略模块,其用于获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;
传输模块,其用于将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;
存储模块,其用于将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
与现有技术相比,本发明的有益效果是:
本发明提供了一种社区矫正数据安全性的存储方法,应于由自助矫正终端机、管理服务器和多云存储平台构成的云存储系统中。所述存储方法包括以下步骤:获取由自助矫正终端机发送的包含第一元数据的上传请求;根据所述第一元数据生成分块策略,发送至自助矫正终端机;获取由自助矫正终端机上传的多个第二元数据;获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
本发明通过将社区矫正数据进行分块、编码和加密,并分布式存储在多云存储平台的多个云存储服务器中。将社区矫正数据分块存储在多个云存储服务器,使每个云存储服务器存储的数据是不完整、不连续、且分散的数据块,即使某个云存储服务器的某个数据块泄露,也不会造成完整数据泄露,提高数据安全性。另一方面,对社区矫正数据依次进行分块、编码和加密的处理,即便云存储服务器被非法访问,也无法通过单一数据块进行解密解码及复原完整数据,非法人员更难以对目标数据进行篡改,提高数据不被篡改的安全性。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明,其中:
图1是现有技术中的传统主流云存储系统架构;
图2是本发明的社区矫正数据安全性的存储方法所应用的存储系统组成架构图;
图3是本发明的一种社区矫正数据安全性的存储方法的流程示意图;
图4是本发明的一种社区矫正数据安全性的存储方法的数据完整性验证流程示意图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
如图1所示,其为现阶段应用在自助矫正终端机进行数据备份的主流的云存储系统架构,由自助矫正终端机和云服务端组成。
其中,自助矫正终端机属于本领域的现有技术设备,用于社区矫正的报到登记、参与公益活动、自助学习、请假外出、活动教育等业务。自助矫正终端机多安装在特定的相关部门机构中,如基层司法所等。目前的自助矫正终端包括台式终端机和立式终端机,均具备智能处理器、通讯模块等用于通讯、数据处理的硬件环境;并可以部署相应的社区矫正管理系统等。并且,为实现本发明的存储方法,自助矫正终端机还具备数据分块编码模块、数据加密模块、数据传输模块等相关功能模块或程序。
具体的,所述自助矫正终端机的数据库存储有社区矫正数据,社区矫正数据主要包括用户数据和机构数据,例如,社区矫正对象的相关数据(如个人信息、身份证信息、手机号码、生物特征信息、与社区矫正管理相关的日常报到数据、教育学习数据、请假外出、参与公益活动数据、处罚/嘉奖数据等等),社区矫正机构的管理相关数据等等。
其中,云服务端为云存储服务器,其为提供数据存储功能和面向自助矫正终端机的数据传输功能。经过申请人研究发现,现阶段的云存储模式要求用户完全信任于云存储的服务提供商,并向其交付数据的管理权。此时存储在云端的社区矫正数据的所有权与管理权相分离,直接脱离了社区矫正机构的物理管控。由于云存储系统的安全性依托于云存储服务器的安全性能,在互联网的开放性和易受攻击性下,社区矫正数据的云存储服务器存在遭受非法访问/恶意攻击而篡改数据、隐私数据泄露等的安全隐患,会对社区矫正管理工作造成诸多影响。尤为严重的是,云端服务器被恶意攻击,造成社区矫正数据被非法访问篡改,从而帮助个别社区矫正对象脱离管理。
为此,本发明提供了一种社区矫正数据安全性的存储方法,应于由自助矫正终端机、管理服务器和多云存储平台构成的云存储系统中。所述存储方法包括以下步骤:获取由自助矫正终端机发送的包含第一元数据的上传请求;根据所述第一元数据生成分块策略,发送至自助矫正终端机;获取由自助矫正终端机上传的多个第二元数据;获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
本发明通过将社区矫正数据进行分块、编码和加密,并分布式存储在多云存储平台的多个云存储服务器中。将社区矫正数据分块存储在多个云存储服务器,使每个云存储服务器存储的数据是不完整、不连续、且分散的数据块,即使某个云存储服务器的某个数据块泄露,也不会造成完整数据泄露,提高数据安全性。另一方面,对社区矫正数据依次进行分块、编码和加密的处理,即便云存储服务器被非法访问,也无法通过单一数据块进行解密解码及复原完整数据,非法人员更难以对目标数据进行篡改,提高数据不被篡改的安全性。
如图2所示,其为本发明一种社区矫正数据安全性的存储系统的系统架构图;所述存储系统包括自助矫正终端机、管理服务器和多云存储平台。所示存储系统用于实现本发明的一种社区矫正数据安全性的存储方法。
其中,管理服务器为云存储系统的中间层,既响应自助矫正终端机的请求又对云存储服务器的调度和管理。管理服务器采用分布式集群的方式进行部署,具体的物理部署可以包括防火墙、应用服务器、数据存储服务器、路由器等组成。
其中,多云存储平台是单一的云存储服务器连接起来,形成多个云存储服务器组成的网络,把不同类型、不同云存储服务商的云端存储服务器组织和管理起来,以对自助矫正终端机提供统一的云存储服务。一方面采用多云存储平台,有助于增强的数据可用性和灾难恢复选项,多云环境引入的服务商多样性可以附带实现更好的连续可用性和灾难恢复能力,更有利于保障数据存储的安全性和可靠性。
在一种具体实施中,云端存储服务器可以是百度云、阿里云、腾讯云、华为云、京东云……等等。
实施例1
如图3所示,本发明实施例1所述的一种社区矫正数据安全性的存储方法的流程示意图,所述存储方法应于由自助矫正终端机、管理服务器和多云存储平台构成的云存储系统中,所述存储方法包括以下步骤:
S100:获取由自助矫正终端机发送的包含第一元数据的上传请求,所述第一元数据为自助矫正终端机待上传的社区矫正数据的元数据。
在一种具体实施中,所述上传请求可以由社区矫正机构的工作人员通过使用自助矫正终端机触发,也可以是自助矫正终端机根据预设的上传配置,按预定周期自动触发数据上传备份的操作,以向管理服务器发送上传请求。
在本发明中,元数据是描述数据的数据,在本发明中,定义的元数据是描述社区矫正数据和分块的数据块关系、以及数据块存储位置的数据。例如,自助矫正终端机中存储社区矫正数据的目录、存储数据内容的多个文件等,一个目录下可以包含多个文件。因此,自助矫正终端机的元数据库存储有目录元数据表(目录路径全名、目录标识、子目录、目录下包含的文件标识等)、文件元数据表(文件标识、文件名称、所属目录等等)。
S200:根据所述第一元数据生成分块策略,发送至自助矫正终端机;所述分块策略用于自助矫正终端机对所述社区矫正数据进行划分和编码,以得到若干编码数据块。
在本发明的一个核心创造中,云存储服务器所存储的数据是社区矫正数据中的某一段不连续数据。通过分块策略,让待上传的社区矫正数据在自助矫正终端中进行分块编码。
在本发明的具体实施中,所述分块策略基于RS(Reed-Solomon)里德-所罗门类纠删码原理对社区矫正数据进行分块编码。其中,RS纠删码编码矩阵形成原理是由单位矩阵和范德蒙矩阵组成的,RS纠删码对数据进行分块编码是本领域的现有技术。
通过此设计,在对社区矫正数据进行逆向复原时,对单个数据块的依赖性不高,在缺失某个数据块的情况下不影响数据的逆向复原,结合将不同数据块存储在不同云存储服务器中的计算手段,协同提高数据存储的安全性,即使部分云存储服务器宕机、故障、关停服务的情况下,又或者某些数据块被恶意攻击损坏时,均不影响社区矫正数据的恢复和使用。
在本发明中,根据第一元数据的信息,设定每个文件数据的等长分块数量,用于将数据文件划分为若干等长的子数据块。在一种具体实施中,将数据文件进行分块,分成为N个等长的数据块(不足的数据块通过0补齐数据),以此组成N×N的数据块,由单位矩阵和范德蒙矩阵组成编码矩阵,对数据块矩阵进行编码,得到编码后的M×N的编码块矩阵,即得到编码数据块。
基于上述记载,本发明的自助矫正终端机获取分块策略后,根据分块策略对社区矫正数据进行划分和编码,具体包括以下步骤:
S210:根据分块策略,将社区矫正数据划分为若干等长的数据块;
S220:根据所述分块策略的纠删码编码矩阵,对数据块进行编码生成编码数据块;
S230:将编码数据块存储。
通过此设计,由于RS(Reed-Solomon)里德-所罗门类纠删码具有只需要M个分块中的任意N个就可以恢复原文件的性质,在恢复数据时,只需下载M个文件分块中的N个。
S300:获取由自助矫正终端机上传的多个第二元数据,所述第二元数据为编码数据块的元数据。
在本发明中,一个目录下包含多个数据文件,一个数据文件经过分块、编码、加密成多个数据块。第二元数据为描述加密数据块的数据,即对应的数据块元数据表(可以包括:数据块标识、数据块大小、编码后的数据块顺序、编码后的数据块唯一标识等等)。
S400:获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略。
在本发明中,所述存储策略包括云存储服务器序列,所述云存储服务器序列为多云存储平台的多个云存储服务器按预设优先级排列组成。预设优先级可以是按云存储服务器的收费由低到高、又或者是用户指定的排序、又或者是传输稳定性由高到低进行排序的,也可以是将价格低廉、服务评价高的云存储服务器进行排列组合得到。
在一种优选实施中,所述上传策略包括上传地址序列,所述上传地址序列为多个编码数据块的上传地址按序排列组成;
具体的,根据所述存储策略和多个第二元数据生成上传策略,具体包括以下生成步骤:
S410:将多个第二元数据按照排列顺序与所述上传地址序列进行关联,一个第二元数据有且仅关联上传地址序列的一个云存储服务器。
其中,若第二元数据的数量大于云存储服务器数量,则关联时,将第二元数据按云存储服务器的顺序进行循环关联。即一个第二元数据有且关联一个云存储服务器,而一个云存储服务器可关联多个不同的第二元数据。
S420:获取每一云存储服务器的上传地址,在关联有第二元数据的云存储服务器序列的基础上生成上传地址序列。
S500:将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到。
其中,根据上传策略上传加密数据块是本领域技术人员根据公知常识可实现的,在上传时,将编码数据块按照上传规则的对应的上传地址进行传输即可,而数据加密传输是保证网络中数据安全的重要措施,数据在网络传输过程中,需要经过加密处理形成密文信息;只有经过专门密钥处理之后,数据原始内容才能够显示出来。
随机云计算、大数据、量子计算的快速发展以及计算机硬件的能力提高,已经可以快速破解传统加密技术的密钥。如DES加密算法的密钥短,密钥长度64位去除8位校验位,实际有效位数为56位,通过穷举法进行破解也只需要计算2的56次方种可能,在现有算力下,如云平台、大数据和量子计算的计算能力下,短时间即可破解密钥,实现暴力破解。
可见,编码数据块在传输过程中存在被非法篡改数据的安全漏洞。即,多个编码模块在加密后的传输过程中被非法截获,通过现有技术对其得到的加密数据块进行解密、解码、合并后,能够复原出原始数据,经修改再次生成加密数据块进行传输,从而篡改伪造数据,这对社区矫正对象的管理造成诸多影响。例如,通过篡改伪造出社区矫正对象日常报到/学习等的数据,以帮助社区矫正对象脱管。
为解决自助矫正终端机在数据传输过程中面临的安全问题,避免篡改伪造相关数据从而使对社区矫正对象进行的管理失去意义,本发明的另一核心创造在于,还提供了一种加密手段。具体的,所述自助矫正终端机对编码数据块进行加密得到加密数据块,具体包括以下步骤:
S510:根据干扰信息规则,在所述编码数据块中增加预设干扰信息,形成第一干扰数据块。
在本发明中,所述预设干扰信息为存储在自助矫正终端机数据库的任意一社区矫正对象的身份证后四位数字或手机号后四位数字。
通过此设计,本发明选用了不可察觉和难以预见的身份证后四位数字或手机号码后四位数字作为干扰信息。一方面,此类干扰信息存储在司法部门的后台数据或自助矫正终端机中,从现有技术看,存储在数据库中的数据能够得到更为有效和安全的保护,攻击和窃取的难度大。第二方面,干扰信息随机变化,使本技术更具明文敏感性。
在本发明中,所述干扰信息规则为将预设干扰信息写入编码数据块和密文数据块的数据字段末尾。
S520:通过第一密钥对干扰数据块进行DES加密,生成密文数据块。
其中,DES加密技术,是本领域的公知技术手段,在此不过多说明。
S530:根据干扰信息规则,在所述密文数据块增加预设干扰信息,形成第二干扰数据块。
S540:通过第二密钥对第二干扰数据块进行AES加密,生成加密数据块。
其中,AES加密技术,是本领域的公知技术手段,在此不过多说明。
本发明通过在编码数据块和密文数据块中,分别加入了干扰信息,并且通过DES加密算法和AES加密算法的混合算法执行,使加密技术具有更好的明文敏感性。第一方面,DES加密算法的密钥为64位,AES加密算法的密钥最短为128位,最长256位,所以混合加密算法的密钥长度最短达到192位,最长达到220位,通过增加密钥长度,能够有效的阻挡通过算力的暴力破解。第二方面,本技术的密钥敏感性由DES加密算法和AES加密算法决定,若改变第一密钥则对应改变第一干扰明文数据对应密文;若改变第二密钥则对应改变第二干扰明文数据对应密文。当第一密钥/第二密钥有细微不同,都会对最终密文产生较大的改变,该算法具有良好的密钥敏感性。
S550:将第一密钥、第二密钥和干扰信息规则通过量子密钥进行加密,传输至其他自助矫正终端机或后台。
其中,量子密钥的量子加密技术,是本领域的公知技术手段,在此不过多说明。
最后,本发明通过量子密钥对将第一密钥、第二密钥和干扰信息规则进行加密,将第一密钥、第二密钥和干扰信息传输至后台和其他终端机,可以确保其他终端机及后台,从云端下载获加密数据块后能够实现数据的复原。且通过量子密钥,极大的提高了自助矫正终端机和其他终端机、后台进行数据网络传输的安全性。本发明通过多重技术手段的相互组合,有效避免被攻击者攻击并篡改社区矫正数据,避免篡改伪造相关数据从而使对社区矫正对象进行的管理失去意义。
另一方面,所述加密数据块的解密流程包括以下步骤:
S501:根据第二密钥,将加密数据块进行解密,得到第二干扰数据块;
S502:根据干扰信息规则,识别并删除第二干扰数据块的预设干扰信息,得到密文数据块;
S503:根据第一密钥,对密文数据块进行解密,得到第一干扰数据块;
S504:根据干扰信息规则,识别并删除第一干扰数据块的预设干扰信息,得到编码数据块。
其中,解密流程为加密的逆过程,是本领域技术人员可实现的。
S600:将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
通过此设计,为后续的下载数据提供支持。
基于上述的存储方法,本发明还提供了数据下载流程,具体的,所述数据下载流程包括以下步骤:
S1000:获取由自助矫正终端机发送的下载请求,所述下载请求包括设备信息和待下载的社区矫正数据信息。
在一种具体实施中,所述下载请求还可以是其他的自助矫正终端机或后台发出的,只需要携带相关的设备信息即可。具体的,设备信息可以是设备的唯一ID号码,也可以是社区矫正机构为每台设备设定的序列号,该序列号应当保密设置。
S2000:根据设备信息和待下载的社区矫正数据信息,调取相关联的分块策略和上传策略。
在本发明中,设备信息和社区矫正数据信息是供管理服务器在自身的数据库中,查询并调取相关联的分块策略和上传策略的。设备信息和社区矫正数据信息可以作为检索关键字,进行查询。
S3000:根据分块策略和上传策略,生成下载合并策略。
分块策略包含了纠删码编码矩阵,上传策略包含了各编码数据块的上传地址序列,以及对应的云存储服务器。通过此作为下载合并策略,供自助矫正终端机执行步骤S4000。
S4000:将下载合并策略下发至自助矫正终端机,所述下载合并策略用于所述自助矫正终端机从多云存储平台下载多个加密数据块、编码数据块的解码和数据块的合并。
自助矫正终端机获取下载合并策略后,根据各编码数据块的上传地址序列,访问对应的云存储服务器下载对应的加密数据块,然后对加密数据块执行步骤S501-S504的解密步骤,得到各个编码数据块,然后根据分块策略对数据进行解码和合并。下载流程,是上传流程的逆向复原数据的过程,是本领域技术人员根据本申请的记载可实现的。为此不过多说明。
本实施例1还提供了一种社区矫正数据安全性的存储系统,所述存储系统包括自助矫正终端机、管理服务器和多云存储平台,其中,所述管理服务器包括:
获取模块,其用于获取由自助矫正终端机发送的包含第一元数据的上传请求,所述第一元数据为自助矫正终端机待上传的社区矫正数据的元数据;以及,用于获取由自助矫正终端机上传的多个第二元数据,所述第二元数据为编码数据块的元数据;
分块策略模块,其用于根据所述第一元数据生成分块策略,发送至自助矫正终端机;所述分块策略用于自助矫正终端机对所述社区矫正数据进行划分和编码,以得到若干编码数据块;
上传策略模块,其用于获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;
传输模块,其用于将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;
存储模块,其用于将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
实施例2
本发明实施例2所述的一种社区矫正数据安全性的存储方法,其原理和系统组成实施例1的完全相同,不同之处在于,本发明提供了一种上述存储方法的数据完整性验证流程。
随着分布式存储的广泛应用,将数据保存到云端服务器,便无法再直接管理数据,失去了对数据的物理控制权以及和访问控制管理。云存储服务商可能有意或无意的损坏用户的数据,因此如何保证用户数据不被损坏成为了不可忽略的问题。云环境下导致数据损坏的因素主要包括:a)、云服务提供商不完全可信,云服务提供商可能会出于对成本及利益的考虑,删除用户很少访问或者从未访问的数据,以便可以节约存储成本获取更多收入。b)、由于云服务器的故障、管理失误或对手恶意攻击,云服务器中存储的数据可能会被破坏。但是,云服务提供商为了维护良好的信誉可能会故意隐藏数据丢失的事实。从存储的角度来看,为了确保外包数据的安全性,必须定时对存储数据进行检测,以确保数据正确、完整地被保存;这就是数据存储的完整性问题。
其中,数据完整性验证流程应用于由自助矫正终端机、管理服务器、多云存储平台和区块链组成。自助矫正终端机、管理服务器、多云存储平台参见实施例1的说明。区块链实体,用于记录交易的实体,负责记录交易信息,并为智能合约提供运行环境。
具体的,如图4所示,所述数据完整性验证流程包括以下步骤:
S10:管理服务器创建服务合约,用以表明提供存储服务,并将服务合约广播到区块链的全网节点。
在本发明中,服务合约声明其存储服务能力,包括存储容量大小和存储时效。服务合约的主要参数包括合约类型标识、合约创建时间戳、存储服务收费、存储服务提供时长、存储容量大小以及联系方式。
S20:自助矫正终端机在区块链上查询符合需求的合约,并根据服务合约中的联系方式与管理服务器在链下建立连接;以实现本发明的存储方法。
S30:自助矫正终端机在执行完步骤S230后,得到若干编码数据块并存储。自助矫正终端机根据编码数据块的哈希值构建Merkle哈希树。
S40:自助矫正终端机将第二元数据发送至管理服务器。其中,所述第二元数据包括每个编码数据块在Merkle哈希树的MHT根值。管理服务器获取MHT根值并确认,向自助矫正终端发送确认凭证,以使自助矫正终端机和管理服务器对每个编码数据块的MHT根值达成一致的确认。
S50:自助矫正终端获取确认凭证后,将所有编码数据块的MHT根值和相对应的挑战值发送给管理服务器。
S60:管理服务器获取所有编码数据块的MHT根值和相对应的挑战值后,生成对应的存储证明,并返回给自助矫正终端机。
S70:自助矫正终端机获取存储证明后,对所述存储证明进行验证,当存储证明的验证通过时,自助矫正终端机根据存储证明创建存储合约,根据存储合约和自助矫正终端机的公私钥对计算第一签名Sig,将存储合约和第一签名Sig发送到管理服务器。
在本发明中,存储合约是用于实现存储交易的。存储合约的主要参数包括合约创建时间戳、合约类型标识、存储服务付费、需要存储的数据信息、存储合约费用转账时限、MHT根值、存储证明返回时限、数据块最大索引值。
S80:管理服务器获取存储合约,检测持续存储合约的数据内容;当存储合约符合要求时,根据存储合约和管理服务器的公私钥对计算第二签名Sig,并将第一签名Sig、第二签名Sig和存储合约发布到区块链的全网节点。
S90:矿工验证合约:计算Verify(第一签名Sig、存储合约、自助矫正终端机的公私钥对)和计算Verify(第二签名Sig、存储合约、管理服务器的公私钥对)以进行验证,验证若通过,矿工将该智能合约(存储合约)记录到区块链;若验证不通过,丢弃合约。
后续,自助矫正终端机按实施例1的存储方法流程或数据下载流程即可,与实施例1记载的相同。自助矫正终端机或后台进行数据完整性验证时,主要包括验证的请求发送和执行智能合约内容,具体包括:
S1:自助矫正终端机下载某一编码数据块,将该编码数据块及其挑战值发送到管理服务器,表示对当前编码数据块的验证。
S2:管理服务器根据编码数据块和挑战值计算生成编码数据块的哈希摘要,将哈希摘要和辅助认证信息发送到区块链;
S3:区块链通过哈希摘要和辅助认证信息,执行智能合约计算新的MHT根值root’,并将其与之前保存在智能合约上的MHT根值root进行比较,若相等,则数据完整性得到保证;否则,数据已被破坏。
S4:返回验证结果。
本实施例所述一种社区矫正数据安全性的存储方法及系统的其它结构参见现有技术。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,故凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何修改、等同变化与修饰,均仍属于本发明技术方案的范围内。

Claims (7)

1.一种社区矫正数据安全性的存储方法,其特征在于,所述存储方法应于由自助矫正终端机、管理服务器和多云存储平台构成的云存储系统中,所述存储方法包括以下步骤:
获取由自助矫正终端机发送的包含第一元数据的上传请求,所述第一元数据为自助矫正终端机待上传的社区矫正数据的元数据;
根据所述第一元数据生成分块策略,发送至自助矫正终端机;所述分块策略用于自助矫正终端机对所述社区矫正数据进行划分和编码,以得到若干编码数据块;
获取由自助矫正终端机上传的多个第二元数据,所述第二元数据为编码数据块的元数据;
获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;所述存储策略包括云存储服务器序列,所述云存储服务器序列为多云存储平台的多个云存储服务器按预设优先级排列组成;所述上传策略包括上传地址序列,所述上传地址序列为多个编码数据块的上传地址按序排列组成;
其中,根据所述存储策略和多个第二元数据生成上传策略,具体包括以下步骤:
将多个第二元数据按序与所述云存储服务器序列进行关联,一个第二元数据有且仅关联所述云存储服务器序列的一个云存储服务器;
获取每一云存储服务器的上传地址,在关联有第二元数据的云存储服务器序列的基础上生成上传地址序列;
将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;
将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
2.根据权利要求1所述的一种社区矫正数据安全性的存储方法,其特征在于:
所述分块策略包括纠删码编码矩阵,所述自助矫正终端机根据分块策略对社区矫正数据进行划分和编码,具体包括以下步骤:
根据分块策略,将社区矫正数据划分为若干等长的数据块;
根据所述分块策略的纠删码编码矩阵,对数据块进行编码生成编码数据块;
将编码数据块存储。
3.根据权利要求2所述的一种社区矫正数据安全性的存储方法,其特征在于,还包括数据下载流程,具体的,所述数据下载流程包括以下步骤:
获取由自助矫正终端机发送的下载请求,所述下载请求包括设备信息和待下载的社区矫正数据信息;
根据设备信息和待下载的社区矫正数据信息,调取相关联的分块策略和上传策略;
根据分块策略和上传策略,生成下载合并策略;
将下载合并策略下发至自助矫正终端机,所述下载合并策略用于所述自助矫正终端机从多云存储平台下载多个加密数据块、编码数据块的解码和数据块的合并。
4.根据权利要求1所述的一种社区矫正数据安全性的存储方法,其特征在于,所述自助矫正终端机对编码数据块进行加密得到加密数据块,具体包括以下步骤:
根据干扰信息规则,在所述编码数据块中增加预设干扰信息,形成第一干扰数据块;
通过第一密钥对干扰数据块进行DES加密,生成密文数据块;
根据干扰信息规则,在所述密文数据块增加预设干扰信息,形成第二干扰数据块;
通过第二密钥对第二干扰数据块进行AES加密,生成加密数据块;
将第一密钥、第二密钥和干扰信息规则通过量子密钥进行加密,传输至其他自助矫正终端机或后台。
5.根据权利要求4所述的一种社区矫正数据安全性的存储方法,其特征在于:
所述预设干扰信息为存储在自助矫正终端机数据库的任意一社区矫正对象的身份证后四位数字或手机号后四位数字。
6.根据权利要求4所述的一种社区矫正数据安全性的存储方法,其特征在于:
所述干扰信息规则为将预设干扰信息写入编码数据块和密文数据块的数据字段末尾。
7.一种社区矫正数据安全性的存储系统,其特征在于,所述存储系统包括自助矫正终端机、管理服务器和多云存储平台,所述存储系统用于实现权利要求1至6任意一项所述的存储方法;其中,所述管理服务器包括:
获取模块,其用于获取由自助矫正终端机发送的包含第一元数据的上传请求,所述第一元数据为自助矫正终端机待上传的社区矫正数据的元数据;以及,用于获取由自助矫正终端机上传的多个第二元数据,所述第二元数据为编码数据块的元数据;
分块策略模块,其用于根据所述第一元数据生成分块策略,发送至自助矫正终端机;所述分块策略用于自助矫正终端机对所述社区矫正数据进行划分和编码,以得到若干编码数据块;
上传策略模块,其用于获取多云存储平台的存储策略,根据所述存储策略和多个第二元数据生成上传策略;所述存储策略包括云存储服务器序列,所述云存储服务器序列为多云存储平台的多个云存储服务器按预设优先级排列组成;所述上传策略包括上传地址序列,所述上传地址序列为多个编码数据块的上传地址按序排列组成;
其中,根据所述存储策略和多个第二元数据生成上传策略,具体包括以下步骤:
将多个第二元数据按序与所述云存储服务器序列进行关联,一个第二元数据有且仅关联所述云存储服务器序列的一个云存储服务器;
获取每一云存储服务器的上传地址,在关联有第二元数据的云存储服务器序列的基础上生成上传地址序列;
传输模块,其用于将所述上传策略下发至自助矫正终端机中;所述上传策略用于所述自助矫正终端机将加密数据块上传至多云存储平台进行存储,所述加密数据块由自助矫正终端机对编码数据块加密得到;
存储模块,其用于将所述第一元数据、第二元数据、分块策略和上传策略,与自助矫正终端机的设备信息进行关联并存储。
CN202211469542.4A 2022-11-22 2022-11-22 一种社区矫正数据安全性的存储方法及系统 Active CN115514470B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211469542.4A CN115514470B (zh) 2022-11-22 2022-11-22 一种社区矫正数据安全性的存储方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211469542.4A CN115514470B (zh) 2022-11-22 2022-11-22 一种社区矫正数据安全性的存储方法及系统

Publications (2)

Publication Number Publication Date
CN115514470A CN115514470A (zh) 2022-12-23
CN115514470B true CN115514470B (zh) 2023-03-10

Family

ID=84513893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211469542.4A Active CN115514470B (zh) 2022-11-22 2022-11-22 一种社区矫正数据安全性的存储方法及系统

Country Status (1)

Country Link
CN (1) CN115514470B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115641105B (zh) * 2022-12-01 2023-08-08 中网道科技集团股份有限公司 一种监控社区矫正对象请假外出的数据处理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104852949A (zh) * 2014-02-14 2015-08-19 航天信息股份有限公司 基于混合加密机制的云存储数据管理方法和系统
CN114726643A (zh) * 2022-04-27 2022-07-08 中国银行股份有限公司 云平台上的数据存储、访问方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9390281B2 (en) * 2013-12-30 2016-07-12 Open Invention Network, Llc Protecting data in insecure cloud storage
CN107154945A (zh) * 2017-05-31 2017-09-12 中南大学 一种基于纠删码的多云碎片化安全存储方法及系统
CN112256663A (zh) * 2020-10-30 2021-01-22 深圳壹账通智能科技有限公司 基于区块链的分布式文件存储方法及系统
CN113127895A (zh) * 2021-03-17 2021-07-16 嘉兴职业技术学院 一种基于分布式存储的云端数据防护方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104852949A (zh) * 2014-02-14 2015-08-19 航天信息股份有限公司 基于混合加密机制的云存储数据管理方法和系统
CN114726643A (zh) * 2022-04-27 2022-07-08 中国银行股份有限公司 云平台上的数据存储、访问方法及装置

Also Published As

Publication number Publication date
CN115514470A (zh) 2022-12-23

Similar Documents

Publication Publication Date Title
CN111881099B (zh) 数据库私有文档共享
US11943237B2 (en) Malicious peer identification for database block sequence
KR102002509B1 (ko) 공증센터를 포함하는 프라이빗 블록체인 시스템 및 이의 공증방법
CN113742782B (zh) 基于隐私保护的区块链访问权限控制方法和区块链系统
US11949691B2 (en) Malicious peer identification
US11170114B2 (en) Electronic storage system and a method of data management
CN1833398B (zh) 安全数据解析器方法和系统
CN106372499A (zh) 用于安全保护虚拟机计算环境的系统和方法
CN104079573A (zh) 用于安全保护云中的数据的系统和方法
CN106452737A (zh) 用于安全多租户数据存储的系统和方法
CN110266872B (zh) 通讯录数据的管控方法、装置及云通讯录系统、计算机设备、计算机可读存储介质
CN111476573B (zh) 一种账户数据处理方法、装置、设备及存储介质
JP2023504492A (ja) データ・オブジェクトの効率的しきい値ストレージ
JP4708177B2 (ja) データベース管理方法および個人情報管理システム
CN111698198B (zh) 秘密生成和份额分发
CN112163240A (zh) 一种基于区块链的分布式政务架构统一方法及系统
CN111090386A (zh) 一种云存储方法、装置、系统和计算机设备
CN116438776A (zh) 区块链网络中通过伪随机函数的密钥回收
CN115514470B (zh) 一种社区矫正数据安全性的存储方法及系统
CN107395587B (zh) 一种基于多点协作机制的数据管理方法及系统
CN116361823A (zh) 用于隐私保护的区块链的选择性审计处理
CN113726515B (zh) 一种基于ukey的密钥处理方法、存储介质及电子设备
CN110941672A (zh) 户籍管理方法、装置、设备以及存储介质
CN113901520A (zh) 基于区块链的数据处理方法、装置、设备及介质
KR20210129981A (ko) 가로채기 해킹 공격 방지를 위한 블록체인 기반 인증 시스템 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant