專利名稱:云存儲系統(tǒng)及其數(shù)據(jù)管理方法
技術(shù)領(lǐng)域:
本申請涉及云存儲系統(tǒng)及其數(shù)據(jù)管理方法。
背景技術(shù):
云計算這一概念一經(jīng)提出�����,就得到了眾多廠商的熱捧���。世界各大數(shù)據(jù)及信息供應商都紛紛推出自己的云相關(guān)產(chǎn)品及解決方案�。隨著云計算的興起�,云存儲這一概念也日漸成為行業(yè)熱點。相對于一般的存儲模式���,云存儲在助力企業(yè)IT部門提高服務(wù)器的利用效率�����、降低硬件支出以及能耗成本等方面都有更加出色的表現(xiàn)���。然而,云存儲的安全問題是一個備受關(guān)注的課題�����,目前還沒有比較好的方法來保證數(shù)據(jù)的安全性。
發(fā)明內(nèi)容
本申請旨在解決云存儲系統(tǒng)中的數(shù)據(jù)安全問題�����。為此�,根據(jù)本申請的第一方面,提出了一種云存儲系統(tǒng)��,包括云存儲服務(wù)器���,被配置為存儲多個用戶的文件數(shù)據(jù)��;客戶端��,被配置為能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接���;以及云存儲安全終端,帶有文件密鑰��,并被配置為能夠與所述客戶端建立連接��;其中�,存儲在所述云存儲服務(wù)器的文件數(shù)據(jù)是在所述云存儲安全終端上用所述云存儲安全終端的所述文件密鑰加密后的數(shù)據(jù)��。根據(jù)本申請的第二方面�,提出了一種用于云存儲系統(tǒng)的數(shù)據(jù)管理方法�����,所述云存儲系統(tǒng)包括用于存儲多個用戶的文件數(shù)據(jù)的云存儲服務(wù)器��、能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接的客戶端��、以及帶有文件密鑰并能夠與所述客戶端建立連接的云存儲安全終端����,所述方法包括所述云存儲安全終端與所述客戶端建立連接���、并通過所述客戶端軟件與所述云存儲服務(wù)器建立連接�;在所述云存儲安全終端上用所述文件密鑰對待上傳至所述云存儲服務(wù)器的文件進行加密���;將加密的文件和所述客戶端的第一請求數(shù)據(jù)包發(fā)送至所述云存儲服務(wù)器����,所述第一請求數(shù)據(jù)包指示將對所述加密的文件進行第一操作���;以及所述云存儲服務(wù)器根據(jù)接收到的所述第一請求數(shù)據(jù)包對接收到的所述加密的文件進行所述第一操作����。根據(jù)本申請的第三方面,提出了一種用于云存儲系統(tǒng)的數(shù)據(jù)管理方法��,所述云存儲系統(tǒng)包括用于存儲多個用戶的文件數(shù)據(jù)的云存儲服務(wù)器����、能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接的客戶端、以及帶有文件密鑰并能夠與所述客戶端建立連接的云存儲安全終端��,其中�,存儲在所述云存儲服務(wù)器的文件數(shù)據(jù)是在所述云存儲安全終端上用所述云存儲安全終端的所述文件密鑰加密的文件,所述方法包括所述云存儲安全終端與所述客戶端建立連接���、并通過所述客戶端軟件與所述云存儲服務(wù)器建立連接���;將所述客戶端的請求數(shù)據(jù)包發(fā)送至所述云存儲服務(wù)器,所述請求數(shù)據(jù)包指示將對所述加密的文件進行的操作�����;以及所述云存儲服務(wù)器根據(jù)接收到的請求數(shù)據(jù)包對接收到的所述加密的文件進行所述操作。根據(jù)本申請的方案�,當用戶要訪問云存儲服務(wù)器上的數(shù)據(jù)時,除了在登錄客戶端軟件時需要驗證用戶密碼之外�,還需要通過云存儲安全終端的認證,即�����,需要云存儲安全終端的文件密鑰才能獲得文件內(nèi)容和對文件進行操作���,從而保證了存儲在云存儲服務(wù)器上的數(shù)據(jù)的安全性。
圖I示出了根據(jù)本申請的云存儲系統(tǒng)的架構(gòu)示意框圖�;圖2示出了根據(jù)本申請一個實施方式的數(shù)據(jù)管理方法的示意性流程圖;以及圖3示出了根據(jù)本申請另一實施方式的數(shù)據(jù)管理方法的示意性流程圖���。
具體實施例方式下面結(jié)合附圖參照本申請的示例性實施方式對本申請的技術(shù)方案進行描述�。 圖I示出了根據(jù)本申請的云存儲系統(tǒng)的架構(gòu)示意框圖����。如圖I所示,根據(jù)本申請的云存儲系統(tǒng)10由云存儲安全終端110����、客戶端120和云存儲服務(wù)器130三部分組成。云存儲安全終端110能夠與客戶端120建立有線或無線的連接,例如可通過USB��、eSATA��、PC/SC等有線方式連接���,或者通過WIFI�����、WIMAX等無線方式連接�。云存儲安全終端110帶有文件密鑰����,主要用于身份認證和/或?qū)Υ僮鞯臄?shù)據(jù)進行加密和解密處理。云存儲安全終端110例如可以是帶身份認證功能的閃存盤��、移動硬盤��、SD卡�、智能卡或者手機等?���?蛻舳?20被配置為能夠運行客戶端軟件并與云存儲服務(wù)器130建立連接,例如可通過以太網(wǎng)、WIMAX等方式連接���?�?蛻舳?20主要負責身份認證和文件管理�。身份認證包括客戶端120與云存儲安全終端110����、服務(wù)器130之間的認證,以及用戶身份認證��。文件管理主要包括對文件的上傳��、下載���、刪除等。常見的客戶端例如PC�����,也可以是手機����、平板電腦等手持終夂而。云存儲服務(wù)器130主要用于數(shù)據(jù)存儲?�?梢詫⒍鄠€用戶的文件數(shù)據(jù)存儲在云存儲服務(wù)器130上���。根據(jù)本申請����,存儲在云存儲服務(wù)器130的文件數(shù)據(jù)是在云存儲安全終端110上用其自帶的文件密鑰加密后的數(shù)據(jù)���。這里��,文件密鑰是由云存儲安全終端隨機產(chǎn)生的�����,不可以讀出來��。每個云存儲安全終端的密鑰唯一�����。因此��,只有用于加密文件的云存儲安全終端才能解密對應的密文���。這樣�����,當用戶要訪問云存儲服務(wù)器130上的數(shù)據(jù)時���,除了需要驗證用戶密碼登錄客戶端軟件之外,還需要通過云存儲安全終端110的認證����,并且,需要云存儲安全終端110的文件密鑰才能對存儲在云存儲服務(wù)器130上的文件進行解密才能獲得文件內(nèi)容���,從而保證了存儲在云存儲服務(wù)器上的數(shù)據(jù)的安全性�??梢岳斫鉃椋脩裘艽a類似軟件鎖�,而帶有文件密鑰的云存儲安全終端是硬件鎖�,即使有人盜取了用戶密碼或攻破了文件服務(wù)器,在沒有云存儲安全終端的情況下����,也僅能獲得由文件密鑰加密的密文����,從而保證了明文數(shù)據(jù)的安全性根據(jù)一個實施方式����,在云存儲安全終端110、客戶端120和云存儲服務(wù)器130建立連接并通過相互認證之后����,云存儲服務(wù)器130生成會話密鑰用于連接有云存儲安全終端110的客戶端120與云存儲服務(wù)器130之間的數(shù)據(jù)通信。例如�,當用戶希望對云存儲服務(wù)器130內(nèi)存儲的數(shù)據(jù)進行操作(例如,讀取����、下載、刪除����、修改、同步等)時����,將表示客戶端120向云存儲服務(wù)器130請求對文件數(shù)據(jù)進行操作的請求數(shù)據(jù)包用會話密鑰加密后發(fā)送至云存儲服務(wù)器130,云存儲服務(wù)器130用會話密鑰對接收的請求數(shù)據(jù)包解密�,并根據(jù)解密后的請求數(shù)據(jù)包的內(nèi)容對相應的文件數(shù)據(jù)進行相應的數(shù)據(jù)操作(例如��,讀取����、下載�����、刪除���、修改����、同步等)�。下面將參照圖2和圖3結(jié)合示例性的實施方式對根據(jù)本申請的數(shù)據(jù)管理方法進行描述。圖2示出了根據(jù)本申請一個實施方式的數(shù)據(jù)管理方法20的示意性流程圖��。如圖所示�����,首先在步驟S201建立云存儲安全終端110�、客戶端120和云存儲服務(wù)器130三者的連 接�����,具體包括在云存儲安全終端110和客戶端120之間建立連接、以及在客戶端120與云存儲服務(wù)器130之間建立連接���。如上文所述�����,云存儲安全終端110與客戶端120之間的連接例如可為通過USB��、eSATA����、PC/SC等有線方式的連接����、或者通過WIFI、WIMAX等無線方式的連接�。客戶端120與云存儲服務(wù)器130之間的連接例如可為通過以太網(wǎng)����、WIMAX等方式的連接。例如��,以帶身份認證功能的閃存盤(云存儲安全終端)和PC (客戶端)作為實施例,PC可通過以太網(wǎng)與云存儲服務(wù)器連接����,在閃存盤上可存儲有客戶端軟件,當閃存盤接入PC后���,PC出現(xiàn)代表閃存盤的磁盤盤符�����,連接完成�。然后�����,在步驟S202��,進行云存儲安全終端110����、客戶端120和云存儲服務(wù)器130的相互認證。例如��,三者之間的相互認證可包括客戶端與云存儲安全終端的相互認證;客戶端和云存儲安全終端作為整體與云存儲服務(wù)器之間的相互認證���;云存儲服務(wù)器對云存儲安全終端的身份認證。這里的認證可以采用現(xiàn)有技術(shù)中的任意適當?shù)恼J證方法��,因此在此不作贅述�。作為一種選擇,除了硬件設(shè)備之間認證之外�����,還可以包括用戶身份認證的步驟���,例如對用戶PIN的管理�,包括PIN校驗���、修改和創(chuàng)建等���。在客戶端軟件上進行用戶身份認證的方法也可使用現(xiàn)有技術(shù)中的適當方法,在此也不作贅述�����。在云存儲安全終端110、客戶端120和云存儲服務(wù)器130相互連接并相互認證之后��,在用戶通過客戶端軟件選擇需要將文件上傳至云存儲服務(wù)器130的情況下����,在步驟S203,由云存儲安全終端110�、客戶端120上運行的客戶端軟件與云存儲服務(wù)器130協(xié)商會話密鑰,具體地���,由云存儲服務(wù)器130確定用于與連接有云存儲安全終端110的客戶端120之間的數(shù)據(jù)通信的會話密鑰��,并將確定的會話密鑰告知客戶端120和/或云存儲安全終端110�。在步驟S204�����,在云存儲安全終端110上用其自帶的文件密鑰對待上傳至云存儲服務(wù)器130的文件進行加密���。在步驟S205��,用會話密鑰對指示將對該加密的文件進行上傳和存儲的請求數(shù)據(jù)包進行加密�。用會話密鑰進行的加密可以由云存儲安全終端110執(zhí)行�,也可以由客戶端120執(zhí)行����。然后���,在步驟S206�����,將加密的文件和加密的請求數(shù)據(jù)包發(fā)送至云存儲服務(wù)器130。云存儲服務(wù)器130在步驟S207用會話密鑰對接收的加密請求數(shù)據(jù)包進行解密����,并在步驟S208根據(jù)解密的請求數(shù)據(jù)包對接收的加密文件進行存儲。作為一種選擇����,在步驟S205,可以會話密鑰對指示將對該加密的文件進行上傳和存儲的請求數(shù)據(jù)包以及待上傳的加密文件共同進行加密�����,并在步驟S206將用會話密鑰加密后的文件發(fā)送至云存儲服務(wù)器130���。然后由云存儲服務(wù)器130在步驟S207用會話密鑰對接收的加密文件進行解密以得到解密后的請求數(shù)據(jù)包和用文件密鑰加密的文件�,并在步驟S208根據(jù)解密的請求數(shù)據(jù)包對用文件密鑰加密的文件進行存儲。
這樣��,保存在云存儲服務(wù)器130上的文件就是由云存儲安全終端110的文件密鑰加密了的文件密文����,只有通過對應的云存儲安全終端110配合客戶端軟件進行下載后,才能得到文件明文���,保證了文件的安全性�。
以上實施方式介紹了根據(jù)本申請對文件進行上傳存儲的數(shù)據(jù)管理方法���。本申請還提出了在云存儲服務(wù)器中已經(jīng)存儲有以上述方式加密的文件的情況下�����,對存儲的加密文件進行讀取����、下載����、刪除、同步等操作�����。下面參照圖3描述根據(jù)本申請對存儲在云存儲服務(wù)器中的加密文件進行操作的數(shù)據(jù)管理方法30,該加密文件是由云存儲安全終端110利用其自帶的文件密鑰在文件上傳之前對文件進行的加密��。在圖3所示的流程圖中�����,步驟S301至S303與圖2所示的步驟S201至S203相同�����,在此略去對其的描述����。在步驟S305�����,用會話密鑰對指示將對該加密的文件進行操作的請求數(shù)據(jù)包進行加密��。這里的操作例如可以包括但不限于對存儲的加密文件進行讀取�����、下載、刪除����、同步等操作。同樣����,用會話密鑰執(zhí)行的加密可以由云存儲安全終端110執(zhí)行,也可以由客戶端120執(zhí)行�。然后,在步驟S306��,將加密的請求數(shù)據(jù)包發(fā)送至云存儲服務(wù)器130���。云存儲服務(wù)器130在步驟S307用會話密鑰對接收的加密請求數(shù)據(jù)包進行解密��,并在步驟S308根據(jù)解密的請求數(shù)據(jù)包對相應的加密文件進行相應的操作����。盡管在上述示例性的實施方式中�,在客戶端與云存儲服務(wù)器之間傳輸?shù)募用芪募?或請求數(shù)據(jù)包是經(jīng)過會話密鑰加密的,但是�,在客戶端與云存儲服務(wù)器之間傳輸?shù)募用芪募?或請求數(shù)據(jù)包也可以不用會話密鑰加密。在這種情況下���,云存儲服務(wù)器根據(jù)接收到的請求數(shù)據(jù)包對相應的加密文件進行例如上傳�����、下載等對應的操作���。以上參照附圖結(jié)合具體的實施方式對本申請進行了描述��。應當理解�����,上述實施方式僅僅是示例性的�,而非對本申請的限制�����。本領(lǐng)域技術(shù)人員可以對上述實施方式進行適當?shù)淖冃魏托薷?��,而不偏離本申請的精神和范圍。
權(quán)利要求
1.一種云存儲系統(tǒng)���,包括 云存儲服務(wù)器�����,被配置為存儲多個用戶的文件數(shù)據(jù)�����; 客戶端���,被配置為能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接����;以及 云存儲安全終端���,帶有文件密鑰��,并被配置為能夠與所述客戶端建立連接��; 其中����,存儲在所述云存儲服務(wù)器的文件數(shù)據(jù)是在所述云存儲安全終端上用所述云存儲安全終端的所述文件密鑰加密后的數(shù)據(jù)���。
2.如權(quán)利要求I所述的系統(tǒng)�����,其中����,在所述云存儲安全終端與所述客戶端建立連接并通過所述客戶端軟件與所述云存儲服務(wù)器相互認證之后,所述云存儲服務(wù)器生成會話密鑰用于與所述云存儲安全終端連接的所述客戶端與所述云存儲服務(wù)器之間的數(shù)據(jù)通信�。
3.如權(quán)利要求2所述的系統(tǒng),其中����,表示所述客戶端向所述云存儲服務(wù)器請求數(shù)據(jù)操作的請求數(shù)據(jù)包用所述會話密鑰加密后發(fā)送至所述云存儲服務(wù)器,所述云存儲服務(wù)器將接收的請求數(shù)據(jù)包解密并根據(jù)解密后的請求數(shù)據(jù)包對相應的文件數(shù)據(jù)進行數(shù)據(jù)操作�。
4.一種用于云存儲系統(tǒng)的數(shù)據(jù)管理方法,所述云存儲系統(tǒng)包括用于存儲多個用戶的文件數(shù)據(jù)的云存儲服務(wù)器�����、能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接的客戶端���、以及帶有文件密鑰并能夠與所述客戶端建立連接的云存儲安全終端,所述方法包括 所述云存儲安全終端與所述客戶端建立連接�、并通過所述客戶端軟件與所述云存儲服務(wù)器建立連接; 在所述云存儲安全終端上用所述文件密鑰對待上傳至所述云存儲服務(wù)器的文件進行加密���; 將加密的文件和所述客戶端的第一請求數(shù)據(jù)包發(fā)送至所述云存儲服務(wù)器���,所述第一請求數(shù)據(jù)包指示將對所述加密的文件進行第一操作�;以及 所述云存儲服務(wù)器根據(jù)接收到的所述第一請求數(shù)據(jù)包對接收到的所述加密的文件進行所述第一操作����。
5.如權(quán)利要求4所述的方法,進一步包括 在所述云存儲安全終端�、所述客戶端以及所述云存儲服務(wù)器建立連接之后,所述云存儲服務(wù)器生成用于所述云存儲安全終端和所述客戶端的會話密鑰����; 用所述會話密鑰對所述第一請求數(shù)據(jù)包進行加密,其中�,發(fā)送至所述云存儲服務(wù)器的第一請求數(shù)據(jù)包是用所述會話密鑰加密的第一請求數(shù)據(jù)包;以及 所述云存儲服務(wù)器用所述會話密鑰對接收到的所述加密的第一請求數(shù)據(jù)包解密��,并根據(jù)解密的第一請求數(shù)據(jù)包對所述加密的文件進行所述第一操作���。
6.如權(quán)利要求4所述的方法��,進一步包括 在所述云存儲安全終端����、所述客戶端以及所述云存儲服務(wù)器建立連接之后,所述云存儲服務(wù)器生成用于所述云存儲安全終端和所述客戶端的會話密鑰��; 用所述會話密鑰對所述第一請求數(shù)據(jù)包和所述加密的文件進行加密��;以及所述云存儲服務(wù)器用所述會話密鑰對接收到的文件解密�,并根據(jù)解密得到的第一請求數(shù)據(jù)包對解密得到的所述加密的文件進行所述第一操作。
7.如權(quán)利要求4所述的方法�,進一步包括 將所述客戶端的第二請求數(shù)據(jù)包發(fā)送至所述云存儲服務(wù)器,所述第二請求數(shù)據(jù)包指示將對所述加密的文件進行第二操作�����;以及所述云存儲服務(wù)器根據(jù)所述第二請求數(shù)據(jù)包對所述加密的文件進行第二操作���。
8.如權(quán)利要求4所述的方法�����,進一步包括 在所述云存儲安全終端����、所述客戶端和所述云存儲服務(wù)器建立連接之后����,在所述云存儲安全終端、所述客戶端和所述云存儲服務(wù)器之間進行身份認證���。
9.如權(quán)利要求4所述的方法����,其中�,所述第一操作是上傳或存儲所述加密的文件。
10.如權(quán)利要求7所述的方法���,其中��,所述第二操作是下載���、刪除或同步所述加密的文件。
11.一種用于云存儲系統(tǒng)的數(shù)據(jù)管理方法�,所述云存儲系統(tǒng)包括用于存儲多個用戶的文件數(shù)據(jù)的云存儲服務(wù)器、能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接的客戶端�、以及帶有文件密鑰并能夠與所述客戶端建立連接的云存儲安全終端,其中���,存儲在所述云存儲服務(wù)器的文件數(shù)據(jù)是在所述云存儲安全終端上用所述云存儲安全終端的所述文件密鑰加密的文件�,所述方法包括 所述云存儲安全終端與所述客戶端建立連接、并通過所述客戶端軟件與所述云存儲服務(wù)器建立連接��; 將所述客戶端的請求數(shù)據(jù)包發(fā)送至所述云存儲服務(wù)器��,所述請求數(shù)據(jù)包指示將對所述加密的文件進行的操作��;以及 所述云存儲服務(wù)器根據(jù)接收到的請求數(shù)據(jù)包對接收到的所述加密的文件進行所述操作�。
12.如權(quán)利要求11所述的方法,進一步包括 在所述云存儲安全終端�、所述客戶端以及所述云存儲服務(wù)器建立連接之后,所述云存儲服務(wù)器生成用于所述云存儲安全終端和所述客戶端的會話密鑰��; 用所述會話密鑰對所述請求數(shù)據(jù)包進行加密并將加密的請求數(shù)據(jù)包發(fā)送至所述云存儲服務(wù)器�����;以及 所述云存儲服務(wù)器用所述會話密鑰對所述加密的請求數(shù)據(jù)包解密�,并根據(jù)解密后得到的請求數(shù)據(jù)包對所述加密的文件進行所述操作。
全文摘要
本發(fā)明公開了一種云存儲系統(tǒng)及其數(shù)據(jù)管理方法�,該系統(tǒng)包括云存儲服務(wù)器,被配置為存儲多個用戶的文件數(shù)據(jù)�;客戶端,被配置為能夠運行客戶端軟件從而與所述云存儲服務(wù)器建立連接����;以及云存儲安全終端��,帶有文件密鑰��,并被配置為能夠與所述客戶端建立連接�;其中���,存儲在所述云存儲服務(wù)器的文件數(shù)據(jù)是用所述云存儲安全終端的所述文件密鑰加密后的數(shù)據(jù)。根據(jù)本申請的方案���,通過云存儲安全終端的硬件認證�,保證了數(shù)據(jù)安全���。
文檔編號H04L29/06GK102638568SQ20121005355
公開日2012年8月15日 申請日期2012年3月2日 優(yōu)先權(quán)日2012年3月2日
發(fā)明者盧賽文, 成曉華 申請人:深圳市朗科科技股份有限公司