專利名稱:一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法,確切地說���,涉及一種文件級的數(shù)據(jù)安全存儲于網(wǎng)絡(luò)系統(tǒng)側(cè)的新業(yè)務(wù)的實現(xiàn)方法���,屬于電信網(wǎng)絡(luò)增值業(yè)務(wù)
背景技術(shù):
隨著互聯(lián)網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展和普及�,個人和企業(yè)越來越多地把個人信息�����、客戶名錄����、商務(wù)活動的日程安排,以及其它相關(guān)信息都存儲到網(wǎng)絡(luò)上����。在該過程中,如何保證安全�����、方便地獲取數(shù)據(jù)就成為用戶關(guān)注的焦點���;許多用戶希望在辦公室�、家里�����、甚至外出旅途中都能安全地訪問到自己的數(shù)據(jù)。
目前�����,已經(jīng)有不少網(wǎng)絡(luò)服務(wù)提供商ISP向用戶提供文件級的網(wǎng)絡(luò)存儲業(yè)務(wù)�����,通過在網(wǎng)絡(luò)存儲服務(wù)器上為用戶分配一定的存儲空間����,在網(wǎng)絡(luò)可達的情況下,用戶可隨時隨地存取自己的數(shù)據(jù)�����,有效解決了數(shù)據(jù)存取的方便性問題����。雖然登錄訪問網(wǎng)絡(luò)存儲服務(wù)器時�����,如同現(xiàn)在大多數(shù)應(yīng)用系統(tǒng)那樣��,必須使用“用戶名+口令”進行身份認(rèn)證鑒權(quán)。但是�,這種方式的安全性非常脆弱用戶名和口令很容易被竊取����;而且,用戶使用這種認(rèn)證方式就必須隨時或常常記住復(fù)雜的用戶名和口令���,很感不便��。另外���,這些數(shù)據(jù)在傳輸和存儲時大都采用明文形式,沒有經(jīng)過加密處理��,極易被非法用戶竊取而造成重要信息的泄漏�,使用戶無法放心地在其上存儲生產(chǎn)計劃、財務(wù)報表��、客戶名錄�����、人力資源名單等商務(wù)����、人事的關(guān)鍵數(shù)據(jù)����,使得業(yè)務(wù)的推廣受阻��;關(guān)鍵是數(shù)據(jù)存儲的安全性問題��,亟待解決�����。
現(xiàn)在���,市面上有許多用于文件的加解密軟件�����,可對本機存儲的文件和文件夾進行加密處理���,即使在用戶主機(如筆記本電腦等)丟失或黑客侵入主機的情況下,未經(jīng)授權(quán)許可的人員即使竊取了文件���,也無法解密文件�,以獲知用戶的重要信息�����。但是�,一旦主機丟失或加密密鑰丟失、損壞后�,用戶就無法取回自己的文件;黑客也可以采用刪除加密文件的方法來破壞用戶數(shù)據(jù)�。因此,單純使用本地文件加解密軟件的方法仍然無法完全可靠地解決數(shù)據(jù)存儲的安全性問題���。如何解決文件級數(shù)據(jù)在網(wǎng)絡(luò)側(cè)的安全存儲就成為業(yè)內(nèi)技術(shù)人員關(guān)注的一個新課題�����。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明的目的是將網(wǎng)絡(luò)存儲和文件加密兩種技術(shù)結(jié)合起來���,提供一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法�,該方法是在用戶主機上進行數(shù)據(jù)加密,然后上傳和存儲于網(wǎng)絡(luò)存儲服務(wù)器���。由于數(shù)據(jù)在傳輸?shù)骄W(wǎng)絡(luò)存儲服務(wù)器之前已經(jīng)進行了加密���,攻擊者即使在傳輸過程中竊聽到數(shù)據(jù),也無法對該數(shù)據(jù)進行解密����;同時,由于數(shù)據(jù)存儲在網(wǎng)絡(luò)側(cè)���,即使用戶主機丟失��,用戶存儲在網(wǎng)絡(luò)存儲服務(wù)器的數(shù)據(jù)也不會丟失�����。所以����,本發(fā)明可以克服單純使用網(wǎng)絡(luò)存儲或本機文件加解密所存在的問題�,實現(xiàn)數(shù)據(jù)的安全存儲。
為了達到上述目的��,本發(fā)明提供了一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法,其特征在于至少包括下列步驟(1)使用申請系統(tǒng)管理端要求申請開通“網(wǎng)絡(luò)安全存儲”業(yè)務(wù)的用戶提供有效身份證件�����、聯(lián)系電話號碼和所需的存儲空間大小�,經(jīng)確認(rèn)信息屬實并接受申請后��,管理端進行初始化處理����,用戶得到一個存儲了個人信息的通用串行總線USB棒和對應(yīng)的USB棒保護口令;(2)連接網(wǎng)絡(luò)存儲服務(wù)器客戶端檢測到USB棒插入主機后�����,提示用戶輸入USB棒保護口令�����;在用戶正確輸入USB棒保護口令后�,客戶端讀取USB棒中存儲的網(wǎng)絡(luò)存儲服務(wù)器的IP地址、該用戶在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名及口令��,然后連接到網(wǎng)絡(luò)存儲服務(wù)器進行身份驗證�����;驗證通過后,通過通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS��,Common Internet File System)協(xié)議把用戶在網(wǎng)絡(luò)存儲服務(wù)器上的存儲空間映射為本機的一個虛擬分區(qū)����;(3)文件加密上傳用戶把文件寫入虛擬分區(qū)時,客戶端接收到該請求�����,先對文件進行加密�����,再通過CIFS協(xié)議把加密后的文件上傳到網(wǎng)絡(luò)存儲服務(wù)器����;(4)下傳文件解密用戶讀取虛擬分區(qū)中的文件時,客戶端截獲該請求�����,先通過CIFS協(xié)議把文件從網(wǎng)絡(luò)存儲服務(wù)器下傳到用戶主機��,接著對文件進行解密,然后再將解密后的文件顯示給用戶��;(5)斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接客戶端檢測到USB棒拔出主機后����,就斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接,原虛擬分區(qū)從用戶主機上消失�����;(6)計費系統(tǒng)管理端根據(jù)用戶申請存儲空間的大小���,采用包月或其它方式進行計費。
所述方法進一步包括以下一個或多個步驟(7)USB棒的恢復(fù)在USB棒中的信息丟失或損壞�����,并且用戶沒有在本機備份USB棒信息時�����,系統(tǒng)管理端要求用戶提供有效身份證件�,經(jīng)驗證屬實后,管理端根據(jù)用戶身份證件號碼查找用戶信息數(shù)據(jù)庫�����,以獲得相應(yīng)的USB棒備份文件,然后提交給用戶�����;用戶拿到備份文件后�����,輸入自己的身份證件號碼作為口令�����,即可進行USB棒的恢復(fù)�;(8)網(wǎng)絡(luò)存儲服務(wù)器的備份系統(tǒng)管理端定期使用磁帶庫備份系統(tǒng)對網(wǎng)絡(luò)存儲服務(wù)器中的文件進行備份。
所述步驟(1)中��,管理端接受用戶申請后�,進行的初始化處理操作步驟包括(11)在網(wǎng)絡(luò)存儲服務(wù)器上創(chuàng)建一個用戶名和設(shè)置對應(yīng)的口令,然后根據(jù)用戶要求分配相應(yīng)大小的存儲空間����,并設(shè)置該存儲空間的訪問權(quán)限為只允許該用戶進行讀寫;(12)對一個USB棒進行格式化����,并設(shè)置USB棒的保護口令����;(13)調(diào)用USB棒的接口函數(shù)��,在USB棒內(nèi)生成用戶主密鑰�����;(14)在USB棒中寫入網(wǎng)絡(luò)存儲服務(wù)器的IP地址��、該用戶在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名及口令��;(15)對USB棒中的信息進行備份�,并設(shè)置備份口令為用戶的有效身份證件號碼���;
(16)在用戶信息數(shù)據(jù)庫中創(chuàng)建一個新用戶記錄�,其中包含用戶姓名�����、有效身份證件號碼�����、聯(lián)系電話、在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名�、USB棒備份文件。
所述步驟(3)中�,客戶端對文件進行加密的操作步驟包括(31)客戶端按隨機數(shù)的方式生成會話密鑰,用會話密鑰對文件進行加密����;(32)客戶端使用USB棒中的用戶主密鑰對會話密鑰進行加密,再將加密后的會話密鑰附在已加密的文件中���。
所述步驟(4)中�����,客戶端對下傳的文件進行解密的操作步驟包括(41)客戶端讀取附在文件中的已加密會話密鑰�,然后使用USB棒中的用戶主密鑰對會話密鑰進行解密���;(42)客戶端用會話密鑰對文件進行解密�。
所述USB棒是基于個人計算機上USB接口�����、具有一定存儲量和即插即用的讀卡機設(shè)備,速度快�,體積小,攜帶方便�,能夠完成對數(shù)據(jù)的各種加解密運算,至少包括數(shù)字簽名算法(DSA��,digital signature algorithm)�����,由Rivest��、Shamir和Adlernan三人發(fā)明的RSA公鑰算法�����,數(shù)據(jù)對稱加密算法(DES����,dataencryption standard)����、安全哈希算法SHA-1(secure hash algorithm)、消息摘要算法(MD5���,message-digest algorithm)��;棒內(nèi)設(shè)置的IC芯片至少可以產(chǎn)生1024�����、768���、或512位長的密鑰對�����,并支持密鑰對的導(dǎo)入和導(dǎo)出���,以滿足各種應(yīng)用。
本發(fā)明是一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法���,該方法結(jié)合網(wǎng)絡(luò)存儲和文件加密兩種技術(shù)��,采用了以下多種措施來有效保證用戶數(shù)據(jù)的安全(1)用戶數(shù)據(jù)在本地加密后����,再上傳到網(wǎng)絡(luò)存儲服務(wù)器,以確保用戶數(shù)據(jù)在傳輸和存儲時都不會被非法竊取���,使用戶可以放心地使用本業(yè)務(wù)進行關(guān)鍵數(shù)據(jù)的異地存儲��。
(2)用戶只有持有USB棒�,并且正確輸入USB棒保護口令后�����,才能對文件進行解密��。因此未被授權(quán)者即使撿到USB棒也無法解密用戶文件��。
(3)具有USB棒備份機制����,使用戶在USB棒遺失或損壞的情況下,仍然可以恢復(fù)相應(yīng)的信息��。
(4)在網(wǎng)絡(luò)存儲服務(wù)器側(cè)設(shè)置磁帶庫備份裝置���,定期備份用戶數(shù)據(jù),確保在遭遇異常情況時�����,也能快速恢復(fù)數(shù)據(jù);
圖1是本發(fā)明一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法的操作流程方框圖����。
圖2是文件加密的原理示意圖。
具體實施例方式
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖對本發(fā)明作進一步的詳細描述����。
參見圖1和圖2,本發(fā)明是一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法�,主要由系統(tǒng)管理端和客戶端兩部分執(zhí)行相關(guān)操作,包括下列步驟(1)使用申請管理端要求申請開通“網(wǎng)絡(luò)安全存儲”業(yè)務(wù)的用戶提供有效身份證件��、聯(lián)系電話號碼和所需的存儲空間大小���,經(jīng)確認(rèn)信息屬實并接受申請后�,管理端進行初始化處理�,用戶得到一個存儲了個人信息的USB棒和對應(yīng)的USB棒保護口令;管理端的初始化處理的操作步驟包括(11)在網(wǎng)絡(luò)存儲服務(wù)器上創(chuàng)建一個用戶名���,并設(shè)置對應(yīng)的口令����,然后根據(jù)用戶要求分配相應(yīng)大小的存儲空間,并設(shè)置該存儲空間的訪問權(quán)限為只允許該用戶進行讀寫��;(12)對一個USB棒進行格式化���,并設(shè)置USB棒保護口令�����;(13)調(diào)用USB棒的接口函數(shù)�����,在USB棒內(nèi)生成用戶主密鑰�����;(14)在USB棒中寫入網(wǎng)絡(luò)存儲服務(wù)器的IP地址����、用戶在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名及口令��;(15)對USB棒中的信息進行備份���,備份口令設(shè)置為用戶的有效身份證件號碼���;(16)在用戶信息數(shù)據(jù)庫中創(chuàng)建一個新用戶記錄,其中包含用戶姓名����、有效身份證件號碼、聯(lián)系電話����、在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名、USB棒備份文件�。
(2)連接網(wǎng)絡(luò)存儲服務(wù)器客戶端檢測到USB棒插入主機后,提示用戶輸入USB棒保護口令���;在用戶正確輸入USB棒保護口令后����,客戶端讀取USB棒中存儲的網(wǎng)絡(luò)存儲服務(wù)器的IP地址��、該用戶在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名及口令���,然后連接到網(wǎng)絡(luò)存儲服務(wù)器進行身份驗證���;驗證通過后���,通過CIFS協(xié)議把用戶在網(wǎng)絡(luò)存儲服務(wù)器上的存儲空間映射為本機的一個虛擬分區(qū)。
(3)文件加密上傳用戶把文件寫入虛擬分區(qū)時��,客戶端接受到該請求�,先對文件進行加密,再通過CIFS協(xié)議把加密后的文件上傳到網(wǎng)絡(luò)存儲服務(wù)器����;其中客戶端進行文件加密的操作步驟是(參見圖2所示)(31)客戶端按隨機數(shù)的方式生成會話密鑰,用會話密鑰對文件進行加密���;(32)客戶端使用USB棒中的用戶主密鑰對會話密鑰進行加密���,加密后的會話密鑰附在已加密的文件中。
(4)下傳文件解密用戶讀取虛擬分區(qū)中的文件時����,客戶端截獲該請求,先通過CIFS協(xié)議把文件從網(wǎng)絡(luò)存儲服務(wù)器下傳到用戶主機���,接著對文件進行解密��,然后再給用戶顯示解密后的文件���;其中客戶端對下傳文件進行解密的操作步驟是(41)客戶端讀取附在文件中的已加密會話密鑰,然后使用USB棒中的用戶主密鑰對會話密鑰進行解密�;(42)客戶端用會話密鑰對文件進行解密。
(5)斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接客戶端檢測到USB棒拔出主機后�,就斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接,原虛擬分區(qū)從用戶主機上消失�����;(6)計費管理端系統(tǒng)根據(jù)用戶申請存儲空間的大小��,采用包月或其它方式進行計費����。
(7)USB棒的恢復(fù)在USB棒中的信息丟失或損壞,并且用戶沒有在本機備份USB棒信息時�,管理端要求用戶提供有效身份證件,經(jīng)驗證屬實后�����,管理端根據(jù)用戶身份證件號碼查找用戶信息數(shù)據(jù)庫,以獲得相應(yīng)的USB棒備份文件���,然后提交給用戶���;用戶拿到備份文件后,輸入自己的身份證件號碼作為口令���,即可進行USB棒的恢復(fù)��;
(8)網(wǎng)絡(luò)存儲服務(wù)器的備份管理端定期使用磁帶庫備份裝置對網(wǎng)絡(luò)存儲服務(wù)器中的文件進行備份��。
權(quán)利要求
1.一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法����,其特征在于至少包括下列步驟(1)使用申請系統(tǒng)管理端要求申請開通“網(wǎng)絡(luò)安全存儲”業(yè)務(wù)的用戶提供有效身份證件���、聯(lián)系電話號碼和所需的存儲空間大小�����,經(jīng)確認(rèn)信息屬實并接受申請后�����,管理端進行初始化處理�����,用戶得到一個存儲了個人信息的通用串行總線USB棒和對應(yīng)的USB棒保護口令���;(2)連接網(wǎng)絡(luò)存儲服務(wù)器客戶端檢測到USB棒插入主機后�����,提示用戶輸入USB棒保護口令;在用戶正確輸入USB棒保護口令后����,客戶端讀取USB棒中存儲的網(wǎng)絡(luò)存儲服務(wù)器的IP地址、該用戶在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名及口令���,然后連接到網(wǎng)絡(luò)存儲服務(wù)器進行身份驗證���;驗證通過后,通過通用互聯(lián)網(wǎng)文件系統(tǒng)CIFS協(xié)議把用戶在網(wǎng)絡(luò)存儲服務(wù)器上的存儲空間映射為本機的一個虛擬分區(qū)���;(3)文件加密上傳用戶把文件寫入虛擬分區(qū)時����,客戶端接收到該請求,先對文件進行加密�����,再通過CIFS協(xié)議把加密后的文件上傳到網(wǎng)絡(luò)存儲服務(wù)器���;(4)下傳文件解密用戶讀取虛擬分區(qū)中的文件時����,客戶端截獲該請求�����,先通過CIFS協(xié)議把文件從網(wǎng)絡(luò)存儲服務(wù)器下傳到用戶主機����,接著對文件進行解密,然后再將解密后的文件顯示給用戶����;(5)斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接客戶端檢測到USB棒拔出主機后,就斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接,原虛擬分區(qū)從用戶主機上消失���;(6)計費系統(tǒng)管理端根據(jù)用戶申請存儲空間的大小���,采用包月或其它方式進行計費。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法��,其特征在于所述方法進一步包括以下一個或多個步驟(7)USB棒的恢復(fù)在USB棒中的信息丟失或損壞�,并且用戶沒有在本機備份USB棒信息時,系統(tǒng)管理端要求用戶提供有效身份證件��,經(jīng)驗證屬實后����,管理端根據(jù)用戶身份證件號碼查找用戶信息數(shù)據(jù)庫��,以獲得相應(yīng)的USB棒備份文件��,然后提交給用戶�����;用戶拿到備份文件后����,輸入自己的身份證件號碼作為口令�,即可進行USB棒的恢復(fù)����;(8)網(wǎng)絡(luò)存儲服務(wù)器的備份系統(tǒng)管理端定期使用磁帶庫備份系統(tǒng)對網(wǎng)絡(luò)存儲服務(wù)器中的文件進行備份。
3.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法�����,其特征在于所述步驟(1)中�,管理端接受用戶申請后,進行的初始化處理操作步驟包括(11)在網(wǎng)絡(luò)存儲服務(wù)器上創(chuàng)建一個用戶名和設(shè)置對應(yīng)的口令�����,然后根據(jù)用戶要求分配相應(yīng)大小的存儲空間����,并設(shè)置該存儲空間的訪問權(quán)限為只允許該用戶進行讀寫;(12)對一個USB棒進行格式化���,并設(shè)置USB棒的保護口令���;(13)調(diào)用USB棒的接口函數(shù)�,在USB棒內(nèi)生成用戶主密鑰�����;(14)在USB棒中寫入網(wǎng)絡(luò)存儲服務(wù)器的IP地址��、該用戶在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名及口令���;(15)對USB棒中的信息進行備份���,并設(shè)置備份口令為用戶的有效身份證件號碼;(16)在用戶信息數(shù)據(jù)庫中創(chuàng)建一個新用戶記錄����,其中包含用戶姓名、有效身份證件號碼��、聯(lián)系電話����、在網(wǎng)絡(luò)存儲服務(wù)器上的用戶名��、USB棒備份文件�����。
4.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法,其特征在于所述步驟(3)中���,客戶端對文件進行加密的操作步驟包括(31)客戶端按隨機數(shù)的方式生成會話密鑰�,用會話密鑰對文件進行加密���;(32)客戶端使用USB棒中的用戶主密鑰對會話密鑰進行加密����,再將加密后的會話密鑰附在已加密的文件中���。
5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法�����,其特征在于所述步驟(4)中�,客戶端對下傳的文件進行解密的操作步驟包括(41)客戶端讀取附在文件中的已加密會話密鑰�,然后使用USB棒中的用戶主密鑰對會話密鑰進行解密;(42)客戶端用會話密鑰對文件進行解密�����。
6.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法,其特征在于所述USB棒是基于個人計算機上USB接口���、具有一定存儲量和即插即用的讀卡機設(shè)備����,能夠完成對數(shù)據(jù)的各種加解密運算�����,至少包括數(shù)字簽名算法DSA�,,由Rivest����、Shamir和Adlernan三人發(fā)明的RSA公鑰算法,數(shù)據(jù)對稱加密算法DES���、安全哈希算法SHA-1���、消息摘要算法MD5;棒內(nèi)設(shè)置的IC芯片至少可以產(chǎn)生1024��、768���、或512位長的密鑰對�����,并支持密鑰對的導(dǎo)入和導(dǎo)出����,以滿足各種應(yīng)用���。
全文摘要
一種數(shù)據(jù)安全存儲業(yè)務(wù)的實現(xiàn)方法��,包括下列步驟使用申請����,連接網(wǎng)絡(luò)存儲服務(wù)器�����,文件加密上傳���,下傳文件解密�,斷開與網(wǎng)絡(luò)存儲服務(wù)器的連接����,計費��。該方法將用戶數(shù)據(jù)在本地加密后����,再上傳到網(wǎng)絡(luò)存儲服務(wù)器����,以確保用戶數(shù)據(jù)在傳輸和存儲時都不會被非法竊取��;用戶只有持有USB棒��,并且正確輸入USB棒保護口令后�,才能對文件進行解密;同時設(shè)有USB棒備份機制��,使用戶在USB棒遺失或損壞的情況下�����,可憑有效身份證明進行恢復(fù)�����。由于數(shù)據(jù)存儲在網(wǎng)絡(luò)側(cè)�����,即使用戶主機丟失����,用戶存儲在網(wǎng)絡(luò)存儲服務(wù)器的數(shù)據(jù)也不會丟失;在網(wǎng)絡(luò)存儲服務(wù)器側(cè)設(shè)置的磁帶庫備份裝置���,可確保在遭遇異常情況時���,能進行用戶數(shù)據(jù)的快速恢復(fù)。因此�����,本發(fā)明實現(xiàn)了數(shù)據(jù)的安全存儲�����。
文檔編號H04L9/00GK1773994SQ20051011698
公開日2006年5月17日 申請日期2005年10月28日 優(yōu)先權(quán)日2005年10月28日
發(fā)明者沈軍, 陳珣, 金華敏, 莊一嶸 申請人:廣東省電信有限公司研究院