本发明专利技术提供了一种大数据存储方法,该方法包括:云平台服务器为用户基于其网络逻辑地址分配一个身份标识,从用户的身份标识导出用户的公钥,并通过预先生成的密钥参数计算产生用户的私钥,并为其生成并分发对应于该身份标识的密钥对,将合法用户设置为系统中节点;在用户登入系统时,通过回调的方式对用户进行验证,在当前用户能够接收到对一个网络逻辑地址的连接时,确定该用户是该地址的合法所有者。本发明专利技术的方法能够有效地解决非法用户通过网络逻辑地址进行攻击的问题,保障系统的安全,适用于云存储系统。
【技术实现步骤摘要】
本专利技术涉及大数据安全,特别涉及一种。
技术介绍
用于大数据的云存储系统通过云平台的管理和运营机制保障所提供服务的高可 靠性;另一方面通过将所有参与用户所贡献的存储资源汇集起来提供成本低廉且容量巨大 的存储空间,以有效满足尚速发展的互联网应用在大规t旲性、尚效性、尚可靠性、尚可扩展 性以及高性价比方面的需求。云系统的用户规模和数据规模都很庞大,且具有使得它面临 着更复杂的安全问题。用户是系统的使用者。用户授权控制机制是云存储系统安全的第一 道防线,用于决定用户是否能够登入系统,并且一旦决定能够登入,它将为每个登入用户分 配一个独特的身份标识,以在系统范围内能够证实该用户的合法身份。只有拥有合法身份 的用户才能够参与系统运作,使用系统提供的服务。关于用户授权控制的现有技术中,非法 用户能够以多个不同的身份登入系统,每个身份都与获取到的一个身份标识相关联,从而 可形成多个非法用户。这样一来,如果对用户可以获取的身份标识数量不加以限制,非法用 户可以很容易地控制系统中相当一大部分的节点,甚至是整个系统。另外,当系统允许用户 自由选择其身份标识时,非法用户将会刻意地去选择能够控制重要数据空间的身份标识。 这种情况下,即使用户能够获取的身份标识很有限,并且系统也采取了数据冗余存储策略, 多个非法用户通过联合,仍然能够很容易地获取数据副本所对应存储节点的身份标识,从 而对数据进行污染。同时,非法用户通过联合也能够选择合适的身份标识,以最大的可能性 来使它们出现在合法节点的路由表中,从而控制合法节点对系统的访问。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了一种,包括: 云平台服务器为用户基于其网络逻辑地址分配一个身份标识,从用户的身份标识 导出用户的公钥,并通过预先生成的密钥参数计算产生用户的私钥,并为其生成并分发对 应于该身份标识的密钥对,将合法用户设置为系统中节点;在用户登入系统时,通过回调的 方式对用户进行验证,在当前用户能够接收到对一个网络逻辑地址的连接时,确定该用户 是该地址的合法所有者。 优选地,所述密钥参数通过以下过程预先生成: 1)产生两个阶为素数p的整数加法群心和Gi,以及一个双线性对eG1; 2)从伽罗华域GF(2P)中选择一个随机元素sQ作为主密钥,并计算其公钥为Qq =sQPQ,其中,的生成元; 3)预先选择散列函数氏,4和SHA-1加密散列函数H3; 4)将密钥参数(G。,Gpe,PQ,Q。,氏,H2)进行分发。 优选地,所述云平台服务器连接多个安全节点,所述多个安全节点基于网络逻辑 地址和端口号为用户分配身份标识和产生对应私钥,并且在为用户分发私钥时加入密码运 算;所述云平台服务器还包括密钥生成器用于生成私钥,并由多级密钥生成器形成树状结 构,使私钥产生由多级密钥生成器来完成。 优选地,所述在用户登入系统时对用户进行验证,进一步包括: 当用户N登入系统时,首先向云平台服务器发送其网络逻辑地址LAN,云平台服务 器对N进行验证,首先对LAN建立一个连接,对请求的响应都通过该连接进行传输,从而确 定N确实拥有LAn; 云平台服务器与N执行密钥交换,产生一个对称密钥KN,用来对后续产生的私钥进 行加密传输,并保护传输消息的完整性; 云平台服务器为用户N分配身份标识IDN和其时刻TN,TN表示IDN的有效时间范 围,为其产生对应的私钥SN,并生成一个令牌使其他节点能够验证用户N的身份,使用户N 成为一个有效的系统节点,即: 1)产生用户N的身份标识IDN的时刻TN,并计算IDN=H3 (LAN,TN); 2)计算用户N的公钥为PN=Hi(IDN); 3)计算用户N的私钥为SN=s芯,并利用KN对私钥SN加密得E(SN,KN), 4)计算令牌为TokN=s。112 (IDN,TN); 5)向用户N发送(^,^(^^^,心仏用户财妾收到消息后^寸消息进行验证, 然后利用KN解密得sN; 当N与其他用户节点M联系时,向其发送(IDN,TN,TokN),节点M计算并判断e(PQ, TokN) =e(QmH2 (IDN,TN))是否成立,如果成立,则判断用户N具有合法身份,节点M建立与 用户N的联系;否则,拒绝用户N; 当用户N的有效身份过期后,用户N联系云平台服务器以更新其密钥对,用户N向 云平台服务器发送(LAN,TN,TokN),云平台服务器对其进行验证,如果通过验证,云平台服务 器将向其发送更新后的身份标识、时刻、私钥和令牌。 本专利技术相比现有技术,具有以下优点: 本专利技术的方法能够有效地解决非法用户通过网络逻辑地址进行攻击的问题,保障 系统的安全,适用于云存储系统。【附图说明】 图1是根据本专利技术实施例的的流程图。【具体实施方式】 下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描 述。结合这样的实施例描述本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权 利要求书限定,并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节 以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中 的一些或者所有细节也可以根据权利要求书实现本专利技术。 图1是根据本专利技术实施例的流程图。本专利技术针对云存储系统的特 点,本专利技术利用云存储中的授权控制机制,为用户安全高效地分配身份标识,并有效地抵抗 非法攻击。用户的公钥能够直接从他的身份标识所导出,其私钥可以通过一系列的密钥参 数计算产生。在第一实施例中,云平台服务器为每个登入系统的用户基于其网络逻辑地址 分配一个身份标识,并为其产生并分发对应于该身份标识的密钥对,具有合法身份的用户 设置为系统中一个节点;在用户登入系统时,通过回调的方式对其进行验证,用户仅在能够 接收到对一个网络逻辑地址的连接时才被认为是该网络逻辑地址的合法所有者,只有通过 验证的用户才会被分配身份,从而防止非法用户通过伪造网络逻辑地址获取到大量的系统 身份发动非法攻击。 在进一步的实施例中,引入分级加密技术,以有效降低云平台服务器的开销。云平 台服务器能够将为用户分配身份标识和产生对应私钥的工作分配给系统中的多个安全节 点来完成,从而使系统具备良好的可扩展性。进一步的实施例基于网络逻辑地址和端口号 为用户分配身份标识。同时,为了防止使用转换地址的非法用户通过使用多个端口号获取 大量的身份标识,在为用户分发私钥时加入密码运算,从而有效限制非法用户获取身份标 识的速率和非法攻击。 在本专利技术应用的密码体系中,公钥通过简单的数据对象产生,例如该数据对象可 以是网络逻辑地址;然后通过一系列的密钥参数产生用于加密、解密、签名及验证的私钥。 私钥的生成由一个称为密钥生成器的安全第三方来负责。通过这种构建方式,不需要分发 其他形式的密钥,用户就可以加密数据或者验证签名。除复杂的证书管理工作,极大地降低 系统的开销。为了降低密钥生成器的计算开销,可以由多级密钥生成器形成树状结构,使得 私钥产生可以由多级密钥生成器来完成。 本专利技术基于由云平台服务器和多个用户构成的云存储系统体系结构。任意的网络 逻辑地址都可以被非法用户伪造,网络中传播的任何数据都可以被非法用户窃听,但是一 个非法用户能够获取到的有效网络逻辑地址的数量和计算能力是有本文档来自技高网...
【技术保护点】
一种大数据存储方法,其特征在于,包括:云平台服务器为用户基于其网络逻辑地址分配一个身份标识,从用户的身份标识导出用户的公钥,并通过预先生成的密钥参数计算产生用户的私钥,并为其生成并分发对应于该身份标识的密钥对,将合法用户设置为系统中节点;在用户登入系统时,通过回调的方式对用户进行验证,在当前用户能够接收到对一个网络逻辑地址的连接时,确定该用户是该地址的合法所有者。
【技术特征摘要】
【专利技术属性】
技术研发人员:毕永东,郑涛,郑兵,
申请(专利权)人:成都华西公用医疗信息服务有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。