專利名稱:一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機安全技術(shù)領(lǐng)域�,更確切地說是涉及一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的方法及系統(tǒng)。
背景技術(shù):
隨著社會的不斷發(fā)展��、進步����,各個行業(yè)的競爭也日益激烈。如何在激烈的競爭環(huán)境中降低成本、提高工作效率成為每個企業(yè)所追求的目標之一�����。
比如��,目前幾乎所有公司都需要為員工配備計算機�,但實際上并不是每個員工每天都需要使用計算機,對于公司中的銷售人員來說更是如此�,他們只是偶爾回到公司才會使用計算機。鑒于這種情況�����,為提高計算機的使用效率以降低成本��,企業(yè)往往會為4~5個員工配備一臺計算機�����。這樣�,如果公司中有20人的話���,則只需配備4~5臺公用的計算機就可以滿足一般的辦公要求了�����。
但如果為多個員工配置一臺計算機��,則可能會出現(xiàn)使用同一臺計算機的兩個或兩個以上的員工都需要在公司使用計算機����,但另外一臺計算機卻沒有人用的情況。這種情況下���,其中一人要想使用空閑的計算機����,則必須將自己的數(shù)據(jù)拷貝到該空閑計算機上�,或者將自己的數(shù)據(jù)設(shè)置為共享文件,顯然實際操作起來非常麻煩���,并且數(shù)據(jù)的安全也得不到保障���,比如在數(shù)據(jù)傳輸過程中很有可能會出現(xiàn)泄密的問題。
為此��,許多公司建立了用于存儲員工數(shù)據(jù)文件的服務(wù)器�,以便每個員工可以使用任意一臺計算機獲取自身存儲在服務(wù)器上的數(shù)據(jù)���。但這種方案同樣存在安全性問題對于一般傳統(tǒng)的數(shù)據(jù)目錄共享方式來說,服務(wù)器上存儲的用戶數(shù)據(jù)是未加密的�,攻擊者可以通過攻擊服務(wù)器取走數(shù)據(jù)原文,從而給用戶和公司帶來嚴重的損失�����。另外�,目前的這種方式在將數(shù)據(jù)通過網(wǎng)絡(luò)存儲到服務(wù)器上時,還可能會出現(xiàn)網(wǎng)絡(luò)傳輸過程中的泄密問題�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明所要解決的主要問題在于提供一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的方法,以使用戶可以通過計算機安全��、方便地訪問服務(wù)器���。
本發(fā)明同時還提供了一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的系統(tǒng)��。
為解決上述問題�����,本發(fā)明提供了以下技術(shù)方案本發(fā)明的一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的方法�����,預先配置密鑰裝置��,所述密鑰裝置中存有用戶身份的標識信息����,服務(wù)器端根據(jù)該用戶身份的標識信息生成相應(yīng)的文件包,并保存所述用戶身份標識信息�����;該方法進一步包括以下步驟a.在密鑰裝置接入客戶端時���,客戶端將所述密鑰裝置中用戶身份的標識信息發(fā)送給服務(wù)器����,由服務(wù)器對接收到的用戶身份標識進行驗證�����;b.客戶端在服務(wù)器驗證通過后,將服務(wù)器中與該用戶相關(guān)的文件包映射到本客戶端�;c.客戶端對映射到本客戶端的文件包中的信息進行處理,并將處理后的信息發(fā)送到服務(wù)器中的文件包�。
所述密鑰裝置中保存的用戶身份標識信息為公鑰。
所述服務(wù)器端根據(jù)用戶身份的標識信息生成相應(yīng)的文件包���、并保存所述用戶身份標識信息的步驟包括根據(jù)用戶身份的標識信息生成相應(yīng)的文件包��,為該文件包分配對稱密鑰���,并用該對稱密鑰對文件包進行加密,之后用所述公鑰為對稱密鑰加密����,并保存所述文件包、用戶的公鑰以及加密的對稱密鑰�����;步驟b中�����,所述客戶端將與用戶相關(guān)的文件包映射到本客戶端包括客戶端從服務(wù)器獲取加密的對稱密鑰��,并通過解密處理獲取加密前的對稱密鑰�,之后從服務(wù)器下載與用戶相關(guān)的文件包,并利用獲取的對稱密鑰對該文件包進行解密處理���,然后將解密后的文件包映射到本客戶端�;步驟c中���,所述客戶端將處理后的信息發(fā)送到服務(wù)器中的文件包為客戶端對處理后的信息用步驟b所獲取的對稱密鑰進行加密��,并將加密后的信息發(fā)送到所述文件包中�����。
所述步驟b中���,所述客戶端通過解密處理獲取加密前的對稱密鑰為客戶端從密鑰裝置中獲取公鑰,并通過該公鑰對加密的對稱密鑰進行解密處理�;或者將該加密的對稱密鑰發(fā)送給密鑰裝置,由該密鑰裝置利用自身保存的公鑰對該加密的對稱密鑰進行解密處理����。
所述密鑰裝置中進一步存有私鑰;步驟b中���,所述客戶端通過解密處理獲取加密前的對稱密鑰為客戶端從密鑰裝置中獲取私鑰����,并通過該私鑰對加密的對稱密鑰解密處理;或者由客戶端將加密的對稱密鑰發(fā)送給密鑰裝置��,由密鑰裝置通過所述私鑰對該加密的對稱密鑰進行解密獲取加密前的對稱密鑰��,并將所述對稱密鑰發(fā)送給客戶端��。
所述步驟a中���,所述服務(wù)器對接收到的用戶身份標識進行驗證包括客戶端將所述公鑰發(fā)送給服務(wù)器�����,服務(wù)器判斷自身保存的用戶身份標識信息中是否存有該公鑰��,如果有���,則確定驗證通過,否則����,確定驗證未通過。
所述密鑰裝置中進一步存有私鑰��;步驟a中���,所述服務(wù)器在確定驗證通過之前��,進一步包括a1.服務(wù)器生成一個長數(shù)字�,用所述公鑰對該長數(shù)字進行加密�,并將加密后的長數(shù)字傳輸給客戶端;a2.客戶端通過密鑰裝置中的私鑰對該加密后的長數(shù)字進行解密�,得到相應(yīng)的長數(shù)字,用私鑰生成該長數(shù)字的簽名��,之后將該簽名發(fā)送給服務(wù)器�����;a3.服務(wù)器用所述公鑰驗證該簽名是否正確����,如果正確,則確定驗證通過�����;否則,確定驗證未通過�。
所述步驟b中,客戶端將服務(wù)器中的相關(guān)文件包映射到本客戶端為將服務(wù)器中的相關(guān)文件包映射為本客戶端中的虛擬磁盤����;步驟c中,所述客戶端對映射到本客戶端的文件包中的信息進行處理包括通過該虛擬磁盤的驅(qū)動程序?qū)λ鲂畔⑦M行處理�。
所述步驟c之后進一步包括在密鑰裝置與客戶端分離后,通知服務(wù)器關(guān)閉映射到本客戶端的文件包��。
本發(fā)明的一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的系統(tǒng)�����,該系統(tǒng)包括密鑰裝置����、客戶端和服務(wù)器,其中�,密鑰裝置中存有用戶身份的標識信息,用于將自身保存的用戶身份標識信息發(fā)送到服務(wù)器��;客戶端��,用于在密鑰裝置接入時,通過服務(wù)器對所述密鑰裝置中的用戶身份標識進行驗證���,以及在服務(wù)器驗證通過后,將服務(wù)器中與該用戶相關(guān)的文件包映射到本客戶端�,并對該文件包中的信息進行處理;服務(wù)器����,用于保存用戶身份標識信息、為用戶分配相應(yīng)的文件包�,對密鑰裝置中的用戶身份標識信息進行驗證,以及在驗證通過后��,將相應(yīng)文件包中的信息發(fā)送給客戶端�����。
所述客戶端進一步用于將服務(wù)器中與該用戶相關(guān)的文件包在本客戶端中映射為虛擬磁盤或虛擬目錄�����;所述客戶端中包括用戶身份標識確認模塊����、訪問控制模塊及網(wǎng)絡(luò)虛擬驅(qū)動模塊,其中,用戶身份標識確認模塊����,用于將所述密鑰裝置中的用戶身份標識發(fā)送到服務(wù)器,并接收服務(wù)器返回的驗證信息���,以及將驗證信息發(fā)送給訪問控制模塊��;訪問控制模塊�,用于在接收到驗證通過信息后����,將接收到的針對虛擬磁盤或虛擬目錄的訪問請求發(fā)送到網(wǎng)絡(luò)虛擬驅(qū)動模塊;
網(wǎng)絡(luò)虛擬驅(qū)動模塊���,用于根據(jù)所述訪問請求獲取服務(wù)器的相應(yīng)文件包中的信息���,以及對該信息進行相應(yīng)的處理。
所述服務(wù)器中保存的文件包為加密后的文件包����;所述網(wǎng)絡(luò)虛擬驅(qū)動模塊中進一步包括加解密模塊,用于對從虛擬磁盤中讀出的數(shù)據(jù)進行解密運算��,以及對寫入虛擬磁盤中的數(shù)據(jù)進行加密運算。
所述服務(wù)器中包括用戶信息存儲模塊以及用戶身份標識驗證模塊�����,其中�����,用戶信息存儲模塊�����,用于保存用戶身份標識信息��,以及為用戶分配相應(yīng)的文件包��;用戶身份標識驗證模塊�,用于對密鑰裝置中的用戶身份標識信息進行驗證����,將驗證信息發(fā)送給客戶端,以及在驗證通過后�����,將相應(yīng)文件包中的信息發(fā)送給客戶端。
所述用戶信息存儲模塊進一步用于生成對稱密鑰��,并用該對稱密鑰對文件包進行加密���,以及將對稱密鑰發(fā)送給客戶端��;所述客戶端進一步用于通過所述對稱密鑰對從文件包中讀出的信息進行解密處理���,以及對寫入文件包中的信息進行加密處理。
本發(fā)明方案預先配置存有用戶身份標識信息的密鑰裝置��,服務(wù)器根據(jù)該用戶身份標識信息生成相應(yīng)的文件包��,并保存所述用戶身份標識信息�����,之后在密鑰裝置插入客戶端后���,客戶端通過服務(wù)器對該密鑰裝置中的用戶身份標識信息進行驗證����,并在驗證通過后將相應(yīng)的文件包映射到本客戶端��,客戶端則根據(jù)用戶的需求對該文件包中的信息進行處理,并將處理后的信息發(fā)送到服務(wù)器的相應(yīng)文件包中���,實現(xiàn)了用戶通過不同終端對服務(wù)器中的信息進行讀取操作�����,且由于服務(wù)器在支持讀取操作之前���,需要對用戶的密鑰裝置進行驗證,因此安全性較好�����。
并且本發(fā)明方案只需要用戶將密鑰裝置在服務(wù)器中做一次設(shè)置�����,之后即可通過任意一臺與該服務(wù)器連接的客戶端對服務(wù)器中的相應(yīng)文件包進行讀寫操作�。并且在用戶操作結(jié)束后����,只需要拔出密鑰裝置,客戶端就會自動關(guān)閉該加密的文件��,即使其他人在此PC上登錄也無法看到該用戶的文檔。
另外�,本發(fā)明方案還可以對服務(wù)器中的文件包用對稱密鑰進行加密,并通過用戶的身份標識信息對對稱密鑰進行加密傳輸���,進一步保證了數(shù)據(jù)傳輸及存取的安全性����。
本發(fā)明方案所采用的密鑰運算可以是對稱密鑰運算�,也可以是非對稱密鑰運算,還可以是其他的密鑰運算�,并且這些密鑰運算可以在客戶端完成,也可以在密鑰裝置中完成���,即本發(fā)明方案提供了多種實現(xiàn)密鑰運算的方式���。
圖1為本發(fā)明方案的實現(xiàn)流程圖;圖2為本發(fā)明方案中具體實施例的邏輯實現(xiàn)示意圖��;圖3為本發(fā)明方案的系統(tǒng)結(jié)構(gòu)圖����。
具體實施例方式
本發(fā)明方案如圖1所示,對應(yīng)以下步驟步驟101�、預先配置密鑰裝置�。
該密鑰裝置中存有用于身份識別的用戶身份標識信息���。該標識信息可以是公鑰�����。
步驟102�、服務(wù)器端保存該密鑰裝置中的用戶身份標識信息�,并在服務(wù)器端生成與該用戶身份標識信息對應(yīng)的文件包。為保證安全性���,該用戶身份標識信息及相應(yīng)的文件包均需分開保存�。
為實現(xiàn)對文件包中信息的加密傳輸�,可以由服務(wù)器為每個文件包分配一個對稱密鑰���,并用該對稱密鑰對文件包進行加密�。為保證客戶端能獲取對稱密鑰�����、且該對稱密鑰不會被其他客戶端獲取�����,還可以用公鑰對相應(yīng)的對稱密鑰進行加密處理,并保存該加密的對稱密鑰���。當然�,服務(wù)器也可以根據(jù)需要刪除所保存的公鑰及相應(yīng)的信息����。
另外,該對稱密鑰還可以由密鑰裝置分配��,并將該對稱密鑰發(fā)送給服務(wù)器�����,服務(wù)器則可以根據(jù)該對稱密鑰對文件包進行加密處理�����。其中���,為保證對稱密鑰的安全性���,可以由密鑰裝置將該對稱密鑰用公鑰加密�����,并將加密后的對稱密鑰發(fā)送給服務(wù)器����,服務(wù)器則根據(jù)該公鑰對對稱密鑰進行解密��。
步驟103����、在密鑰裝置接入客戶端時,客戶端將所述密鑰裝置中用戶身份的標識信息發(fā)送給服務(wù)器��,由服務(wù)器對接收到的用戶身份標識進行驗證�。
如果客戶端只是將諸如公鑰之類的用戶身份標識信息發(fā)送給服務(wù)器,則服務(wù)器可以判斷自身保存的用戶身份標識信息中是否存在客戶端發(fā)送來的標識信息�����,如果存在�,則認為驗證通過�����;否則,認為驗證未通過����。
當然,如果密鑰裝置中的用戶身份標識信息為公鑰�,并且該密鑰裝置中還保存了私鑰,則服務(wù)器還可以在確定自身保存了該用戶的身份標識信息后�,生成一個長數(shù)字,用該公鑰對長數(shù)字進行加密����,并將加密后的長數(shù)字傳輸給客戶端;客戶端則通過密鑰裝置中的私鑰對該加密后的長數(shù)字進行解密��,得到相應(yīng)的長數(shù)字�����,并用該私鑰生成該長數(shù)字的簽名��,之后將該簽名發(fā)送給服務(wù)器���;服務(wù)器則用相應(yīng)的公鑰驗證該簽名是否正確����,如果正確,則確定驗證通過����,否則,確定驗證未通過�。
步驟104、客戶端在服務(wù)器驗證通過后�,將服務(wù)器中與該用戶相關(guān)的文件包映射到本客戶端。
如果步驟102中生成的文件包被對稱密鑰加密了�,則客戶端在將服務(wù)器中的相關(guān)文件包映射到本客戶端時,還需要獲取相應(yīng)的對稱密鑰����,之后通過對稱密鑰對文件包中的信息進行解密處理,然后將解密后的文件包映射到本客戶端�����。之后����,用戶即可對該文件包中的數(shù)據(jù)進行讀取、修改�����、保存等操作��?�?蛻魴C則將修改后的數(shù)據(jù)重新用對稱密鑰進行加密����,并發(fā)送給服務(wù)器。
對于獲取對稱密鑰來說�,如果服務(wù)器對該對稱密鑰作了加密處理,則客戶端還需要對該對稱密鑰進行解密處理�。如果是采用對稱加密算法,則客戶端可以是直接從密鑰裝置中獲取公鑰�,并用該公鑰對該對稱密鑰進行解密處理;或者是將加密的對稱密鑰發(fā)送給密鑰裝置�,由密鑰裝置利用自身保存的公鑰對該對稱密鑰進行解密處理。如果是采用非對稱加密算法�����,則需要密鑰裝置中保存私鑰����,客戶端可以直接從密鑰裝置中獲取私鑰����,并用該私鑰進行解密處理��;或者將該對稱密鑰發(fā)送給密鑰裝置���,由密鑰裝置利用自身保存的私鑰對該對稱密鑰進行解密處理����。
該步驟中���,將文件包映射到客戶端�����,可以是映射為一個目錄��,也可以是映射為一個磁盤�。不管是映射為目錄還是磁盤����,其都是虛擬的,也即客戶端實際并不存在該目錄或磁盤�,因此�����,需要通過客戶端中的相應(yīng)虛擬驅(qū)動程序來獲取該目錄或磁盤中的信息,也即由虛擬驅(qū)動程序與服務(wù)器交互�����,獲取服務(wù)器中相應(yīng)文件包中的信息����。
以映射為一個磁盤為例,本發(fā)明方案需要在客戶端的硬盤設(shè)備對象的上層或下層設(shè)置一個過濾器�����,通過該過濾器對客戶端中的原有硬磁盤進行約束��,即通過該過濾器判斷用戶的訪問是針對原有的硬磁盤還是針對虛擬磁盤的����,如果是針對虛擬磁盤,則需要啟動相應(yīng)的虛擬磁盤驅(qū)動程序�,并通過該虛擬磁盤驅(qū)動程序生成相應(yīng)的訪問請求,之后由客戶端中的網(wǎng)絡(luò)服務(wù)將該訪問請求映射成服務(wù)器中特定文件包中特定位置的數(shù)據(jù)的訪問����。
步驟105����、客戶端對映射到本客戶端的文件包中的信息進行讀寫等處理�,并將處理后的信息發(fā)送到服務(wù)器中的文件包��。
本步驟中��,客戶端對相應(yīng)的信息進行讀寫��,需要通過相應(yīng)的映射驅(qū)動程序從服務(wù)器中讀寫信息�����。
通過上述步驟即可實現(xiàn)網(wǎng)絡(luò)的安全存儲和訪問��。
圖2為本發(fā)明基于公鑰和私鑰實現(xiàn)用戶文件包設(shè)置及訪問的邏輯示意圖��。
另外�����,如果密鑰裝置被從客戶端中拔出�,則客戶端需要通知服務(wù)器關(guān)閉其映射到本客戶端的文件包��。
由以上描述可以看出,本發(fā)明提供的方案所對應(yīng)的系統(tǒng)包括密鑰裝置�、客戶端以及服務(wù)器,如圖3所示��。
其中��,密鑰裝置中需要保存用戶身份標識信息�����,該用戶身份標識信息可以為公鑰�����。該密鑰裝置中還可以進一步保存私鑰�����,如前所述��,該私鑰用于通過非對稱加密運算獲取對稱密鑰����,以及用于服務(wù)器端更為嚴格的驗證等�����。密鑰裝置還可以具有計算、密鑰生成功能等��,因此該密鑰裝置除了需要有一個獨立的存儲空間外��,還需要有能夠計算的芯片�。密鑰裝置所具有的功能如前所述,在此不再贅述���。密鑰裝置可以具有USB口�,并通過USB口與PC交互�。
對于客戶端來說,通常是將服務(wù)器端的文件包在本地映射為虛擬磁盤或虛擬目錄���。為實現(xiàn)對該虛擬磁盤或虛擬目錄的訪問����,客戶端通常需要包括用戶身份標識確認模塊��、訪問控制模塊及網(wǎng)絡(luò)虛擬驅(qū)動模塊�����。其中,用戶身份標識確認模塊用于將所述密鑰裝置中的用戶身份標識發(fā)送到服務(wù)器����,并且接收服務(wù)器返回的驗證信息,以及將驗證信息發(fā)送到訪問控制模塊����;訪問控制模塊,用于接收針對虛擬磁盤的訪問請求����,并在接收到服務(wù)器端的驗證通過信息后�����,將該訪問請求發(fā)送到網(wǎng)絡(luò)虛擬驅(qū)動模塊�����;網(wǎng)絡(luò)虛擬驅(qū)動模塊�����,用于根據(jù)所述訪問請求對服務(wù)器的相應(yīng)文件包中的信息進行顯示。
由于用戶通常需要對虛擬磁盤或虛擬目錄中的信息進行讀寫等操作���,因此�����,網(wǎng)絡(luò)虛擬驅(qū)動模塊中可以進一步設(shè)置網(wǎng)絡(luò)讀寫模塊��,由該模塊對服務(wù)器中文件包里的數(shù)據(jù)進行讀寫處理��。另外���,由于服務(wù)器中保存的文件包通常為加密后的文件包,因此網(wǎng)絡(luò)虛擬驅(qū)動模塊中還需要加解密模塊�����,由該加解密模塊對網(wǎng)絡(luò)讀寫模塊讀取到的數(shù)據(jù)進行解密處理���,并對網(wǎng)絡(luò)讀寫模塊寫入的數(shù)據(jù)進行加密處理����。
對于服務(wù)器來說�,其至少需要包括用戶信息存儲模塊及用戶身份標識驗證模塊����,其中����,用戶信息存儲模塊用于保存用戶身份標識信息,以及為該用戶分配的文件包��;用戶身份標識驗證模塊�,用于對密鑰裝置中的用戶身份標識信息進行驗證,并將驗證信息發(fā)送給客戶端��,以及在驗證通過后���,將相應(yīng)文件包中的信息發(fā)送給客戶端�����。對于服務(wù)器來說,其還可以具有對稱密鑰的生成功能��、根據(jù)對稱密鑰對文件包進行加密并將對稱密鑰發(fā)送給客戶端����,及用公鑰為對稱密鑰加密等功能,這些功能都可以設(shè)置在用戶信息存儲模塊中。
以上所述僅為本發(fā)明方案的較佳實施例���,并不用以限定本發(fā)明的保護范圍��。
權(quán)利要求
1.一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的方法�����,其特征在于�����,預先配置密鑰裝置�,所述密鑰裝置中存有用戶身份的標識信息��,服務(wù)器端根據(jù)該用戶身份的標識信息生成相應(yīng)的文件包���,并保存所述用戶身份標識信息����;該方法進一步包括以下步驟a.在密鑰裝置接入客戶端時��,客戶端將所述密鑰裝置中用戶身份的標識信息發(fā)送給服務(wù)器����,由服務(wù)器對接收到的用戶身份標識進行驗證����;b.客戶端在服務(wù)器驗證通過后�,將服務(wù)器中與該用戶相關(guān)的文件包映射到本客戶端;c.客戶端對映射到本客戶端的文件包中的信息進行處理�����,并將處理后的信息發(fā)送到服務(wù)器中的文件包�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述密鑰裝置中保存的用戶身份標識信息為公鑰。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述服務(wù)器端根據(jù)用戶身份的標識信息生成相應(yīng)的文件包��、并保存所述用戶身份標識信息的步驟包括根據(jù)用戶身份的標識信息生成相應(yīng)的文件包�,為該文件包分配對稱密鑰,并用該對稱密鑰對文件包進行加密����,之后用所述公鑰為對稱密鑰加密,并保存所述文件包����、用戶的公鑰以及加密的對稱密鑰;步驟b中�����,所述客戶端將與用戶相關(guān)的文件包映射到本客戶端包括客戶端從服務(wù)器獲取加密的對稱密鑰��,并通過解密處理獲取加密前的對稱密鑰�����,之后從服務(wù)器下載與用戶相關(guān)的文件包���,并利用獲取的對稱密鑰對該文件包進行解密處理�,然后將解密后的文件包映射到本客戶端�����;步驟c中,所述客戶端將處理后的信息發(fā)送到服務(wù)器中的文件包為客戶端對處理后的信息用步驟b所獲取的對稱密鑰進行加密��,并將加密后的信息發(fā)送到所述文件包中�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于所述步驟b中����,所述客戶端通過解密處理獲取加密前的對稱密鑰為客戶端從密鑰裝置中獲取公鑰,并通過該公鑰對加密的對稱密鑰進行解密處理��;或者將該加密的對稱密鑰發(fā)送給密鑰裝置�,由該密鑰裝置利用自身保存的公鑰對該加密的對稱密鑰進行解密處理。
5.根據(jù)權(quán)利要求3所述的方法�,其特征在于,所述密鑰裝置中進一步存有私鑰�;步驟b中,所述客戶端通過解密處理獲取加密前的對稱密鑰為客戶端從密鑰裝置中獲取私鑰���,并通過該私鑰對加密的對稱密鑰解密處理�;或者由客戶端將加密的對稱密鑰發(fā)送給密鑰裝置���,由密鑰裝置通過所述私鑰對該加密的對稱密鑰進行解密獲取加密前的對稱密鑰��,并將所述對稱密鑰發(fā)送給客戶端���。
6.根據(jù)權(quán)利要求2所述的方法,其特征在于所述步驟a中�,所述服務(wù)器對接收到的用戶身份標識進行驗證包括客戶端將所述公鑰發(fā)送給服務(wù)器,服務(wù)器判斷自身保存的用戶身份標識信息中是否存有該公鑰�����,如果有�����,則確定驗證通過����,否則,確定驗證未通過����。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于����,所述密鑰裝置中進一步存有私鑰;步驟a中,所述服務(wù)器在確定驗證通過之前����,進一步包括a1.服務(wù)器生成一個長數(shù)字,用所述公鑰對該長數(shù)字進行加密��,并將加密后的長數(shù)字傳輸給客戶端��;a2.客戶端通過密鑰裝置中的私鑰對該加密后的長數(shù)字進行解密��,得到相應(yīng)的長數(shù)字�����,用私鑰生成該長數(shù)字的簽名�,之后將該簽名發(fā)送給服務(wù)器;a3.服務(wù)器用所述公鑰驗證該簽名是否正確�����,如果正確����,則確定驗證通過;否則�,確定驗證未通過。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于所述步驟b中�����,客戶端將服務(wù)器中的相關(guān)文件包映射到本客戶端為將服務(wù)器中的相關(guān)文件包映射為本客戶端中的虛擬磁盤�;步驟c中�����,所述客戶端對映射到本客戶端的文件包中的信息進行處理包括通過該虛擬磁盤的驅(qū)動程序?qū)λ鲂畔⑦M行處理��。
9.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述步驟c之后進一步包括在密鑰裝置與客戶端分離后���,通知服務(wù)器關(guān)閉映射到本客戶端的文件包�。
10.一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的系統(tǒng)�����,其特征在于����,該系統(tǒng)包括密鑰裝置����、客戶端和服務(wù)器�����,其中���,密鑰裝置中存有用戶身份的標識信息���,用于將自身保存的用戶身份標識信息發(fā)送到服務(wù)器;客戶端�,用于在密鑰裝置接入時,通過服務(wù)器對所述密鑰裝置中的用戶身份標識進行驗證����,以及在服務(wù)器驗證通過后,將服務(wù)器中與該用戶相關(guān)的文件包映射到本客戶端�,并對該文件包中的信息進行處理;服務(wù)器�����,用于保存用戶身份標識信息、為用戶分配相應(yīng)的文件包��,對密鑰裝置中的用戶身份標識信息進行驗證�,以及在驗證通過后,將相應(yīng)文件包中的信息發(fā)送給客戶端�����。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)���,其特征在于,所述客戶端進一步用于將服務(wù)器中與該用戶相關(guān)的文件包在本客戶端中映射為虛擬磁盤或虛擬目錄����;所述客戶端中包括用戶身份標識確認模塊、訪問控制模塊及網(wǎng)絡(luò)虛擬驅(qū)動模塊�,其中,用戶身份標識確認模塊��,用于將所述密鑰裝置中的用戶身份標識發(fā)送到服務(wù)器��,并接收服務(wù)器返回的驗證信息�,以及將驗證信息發(fā)送給訪問控制模塊;訪問控制模塊��,用于在接收到驗證通過信息后,將接收到的針對虛擬磁盤或虛擬目錄的訪問請求發(fā)送到網(wǎng)絡(luò)虛擬驅(qū)動模塊�;網(wǎng)絡(luò)虛擬驅(qū)動模塊,用于根據(jù)所述訪問請求獲取服務(wù)器的相應(yīng)文件包中的信息�,以及對該信息進行相應(yīng)的處理。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)���,其特征在于�,所述服務(wù)器中保存的文件包為加密后的文件包��;所述網(wǎng)絡(luò)虛擬驅(qū)動模塊中進一步包括加解密模塊�,用于對從虛擬磁盤中讀出的數(shù)據(jù)進行解密運算,以及對寫入虛擬磁盤中的數(shù)據(jù)進行加密運算�。
13.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于��,所述服務(wù)器中包括用戶信息存儲模塊以及用戶身份標識驗證模塊����,其中,用戶信息存儲模塊��,用于保存用戶身份標識信息��,以及為用戶分配相應(yīng)的文件包�����;用戶身份標識驗證模塊,用于對密鑰裝置中的用戶身份標識信息進行驗證�����,將驗證信息發(fā)送給客戶端�,以及在驗證通過后,將相應(yīng)文件包中的信息發(fā)送給客戶端����。
14.根據(jù)權(quán)利要求13所述的系統(tǒng),其特征在于�,所述用戶信息存儲模塊進一步用于生成對稱密鑰,并用該對稱密鑰對文件包進行加密�,以及將對稱密鑰發(fā)送給客戶端���;所述客戶端進一步用于通過所述對稱密鑰對從文件包中讀出的信息進行解密處理�,以及對寫入文件包中的信息進行加密處理����。
全文摘要
本發(fā)明公開了一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的方法,預先配置密鑰裝置���,所述密鑰裝置中存有用戶身份的標識信息����,服務(wù)器端根據(jù)該用戶身份的標識信息生成相應(yīng)的文件包,并保存所述用戶身份標識信息��;該方法進一步包括以下步驟a.在密鑰裝置接入客戶端時����,客戶端將所述密鑰裝置中用戶身份的標識信息發(fā)送給服務(wù)器,由服務(wù)器對接收到的用戶身份標識進行驗證�;b.客戶端在服務(wù)器驗證通過后,將服務(wù)器中與該用戶相關(guān)的文件包映射到本客戶端���;c.客戶端對映射到本客戶端的文件包中的信息進行處理���,并將處理后的信息發(fā)送到服務(wù)器中的文件包。本發(fā)明同時還公開了一種實現(xiàn)網(wǎng)絡(luò)安全存儲與訪問的系統(tǒng)����。本發(fā)明實現(xiàn)了通過服務(wù)器對用戶數(shù)據(jù)的安全存儲及訪問。
文檔編號H04L9/32GK1889426SQ20051008058
公開日2007年1月3日 申請日期2005年6月30日 優(yōu)先權(quán)日2005年6月30日
發(fā)明者楊文兵 申請人:聯(lián)想(北京)有限公司