本发明专利技术公开了一种云计算数据安全支撑平台,属于信息安全技术领域。本平台包括云计算或云存储系统、云数据安全服务系统、安全云客户端;所述云计算或云存储系统、云数据安全服务系统、安全云客户端之间通过网络互连;安全云客户端用于将数据加密后上传给云计算或云存储系统,同时提取上传数据的元信息,并利对提取的元信息加密后发送给云数据安全服务系统;云计算或云存储系统用于存储安全云客户端上传的数据;云数据安全服务系统用于存储安全云客户端加密上传的元信息和密钥信息,并提供文件访问支持,以及密文检索和数据验证服务支持。本平台大大提高了数据的安全性,具有计算效率高、安全性好等优点。
【技术实现步骤摘要】
本专利技术涉及计算机软件相关领域,具体涉及一种云计算数据安全支撑平台,属于信息安全
技术介绍
云计算是当前信息
的热门话题,是产业界、学术界、政府等各界均十分关注的焦点,各种类型的云基础设施平台、云服务、云存储系统等层出不穷。但是当前云计算的发展仍面临一系列技术挑战,而安全性是限制其发展的重要瓶颈之一。云计算使用者担心将自己的数据与代码交付云服务商后,后者具有优先访问权,自己将缺少对数据控制权与安全保障能力。Gartner08年的调查报告显示,70%以上的企业CTO没有采用云计算的首要原因在于对企业数据的安全性与隐私性存在顾虑。而近来屡屡发生的云服务平台安全事件也更加剧了人们的这种担忧,显示出云计算目前来看还不是一种成熟的服务。亚马逊、Google、微软三个力挺云计算的IT巨鳄纷纷都已出现了严重的云计算问题,如2009年3月Google发生大批用户文件外泄事件,2009年2月和7月亚马逊的“简单存储服务”(Simple Storage Service,简称S3)两次中断导致依赖于网络单一存储服务的网站被迫瘫痪,以及微软的数据中心服务器大规模宕机导致T-Mobile公司数以千计的Sidekick手机用户无法访问自己的数据等等。可见,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付与云服务提供商进行管理,解决云计算中存在的数据安全问题刻不容缓。基本数据安全需求包括数据机密性与完整性。当前普遍采用的机密性保护方法是数据加密或者访问控制机制。在云计算环境中,由于云服务提供商不可信,导致访问控制实施部件运行在不可信的环境中,无法正确实施用户制定的访问控制策略。而另一种方式,数据加密可以有效的防范非授权传播。目前已有部分云存储系统支持密文文档。但数据加密带来了密文状态下难以实现文档快速检索与查找的问题。对于云计算中海量数据而言,如果没有相应的密文检索方法与高效的实施架构支撑,系统可用性将急剧下降,云用户同样难以接受。而当前验证数据完整性的基本方法是采用各种散列算法或签名算法,但在云计算系统中,如果云服务提供商事先计算并保留了文档(D)的Hash值H(D),每次根据该值生成签名,那么最终的签名结果就无法反映当前文档的真实情况。用户可能将一直无法发现文档被篡改,直到访问文档失败为止。因此,仅靠现有的数据机密性保护方法与完整性保护方法难以满足云计算中数据安全保护需求,迫切需要一种适用于云计算计算环境与安全威胁模型的机制,为云计算系统中海量数据提供用户可信赖的安全支撑。
技术实现思路
针对云计算系统尤其是云存储系统中存在的各种数据安全风险,本专利技术提出一种云计算数据安全支撑平台,在不依赖于云服务提供商可靠性的前提下,为云用户提供数据机密性与完整性保护。-->本专利技术的技术方案为:一种云计算数据安全支撑平台,其特征在于包括云计算或云存储系统、云数据安全服务系统、安全云客户端;所述云计算或云存储系统、云数据安全服务系统、安全云客户端之间通过网络互连;其中,所述安全云客户端,用于将数据利用文档密钥加密后上传给所述云计算或云存储系统,同时提取上传数据的元信息,并利用元信息密钥对提取的元信息加密后发送给所述云数据安全服务系统、利用主密钥加密所述文档密钥和所述元信息密钥后发送给所述云数据安全服务系统;所述云计算或云存储系统,用于存储所述安全云客户端上传的数据;所述云数据安全服务系统,用于存储所述安全云客户端加密上传的元信息和密钥信息,并提供文件访问支持,以及密文检索和数据验证服务支持。进一步的,所述安全云客户端包括一数据加解密组件、一密钥管理组件、一文档管理组件、一数据检索组件、一数据验证组件、一应用程序入口组件;其中,所述应用程序入口组件为用户提供密文文档的管理、检索和验证界面;所述密钥管理组件用于从所述云数据安全服务系统获取加密的文档密钥和加密的元信息密钥;所述数据加解密组件用于对获取的加密密钥进行解密,得到文档密钥和元信息密钥,并利用文档密钥和元信息密钥分别对文档和元信息进行加解密;所述文档管理组件用于对文档进行上传、下载、复制、剪切、删除;所述数据检索组件用于构建上传文档的元信息并将其上传给所述云数据安全服务系统,以及对云存储密文文档的检索;所述数据验证组件用于构建上传文档的验证元信息并将其上传给所述云数据安全服务系统,以及对云存储密文文档的完整性验证。进一步的,所述云数据安全服务系统包括一密文云数据库系统、一文档操作服务组件、一密文检索服务组件、一数据验证服务组件;其中,所述密文云数据库系统用于存储密态的元信息与密态元信息密钥;所述文档操作服务组件,用于在用户文档上载、更新操作时为其提供文档相关属性信息更新服务;所述密文检索服务组件,用于为用户的属性检索请求提供密文数据库检索服务;所述数据验证服务组件,用于为用户的数据验证请求访问云存储系统,对文档抽样并计算验证标签,与密文数据库中预计算验证标签返回给用户。进一步的,所述密文云数据库系统包括:一文档密钥表,用来存放每个文档所对应的密态的文档密钥;一元信息密钥表,用来存储每个用户所对应的密态元信息密钥;一索引元信息表,用来存放每个文档所对应的密态的索引元信息;一验证元信息表,用来存储每个文档所对应的密态的验证信息。进一步的,利用所述应用程序入口组件选择要上传的文件、在所述云计算或云存储系统中的存储路径、可信度、验证次数。进一步的,对于某文档的验证请求,所述应用程序入口组件利用所述数据验证服-->务组件从所述密文云数据库中获得该文档的验证次数,可信度和文档大小,计算出该文档随机读取位置,生成样本文档,并为其计算验证标签;同时数据验证服务组件将文档相关的验证标签返回给云用户,云用户通过计算两类验证标签之间的关系,判断文档是否内容是否发生变化。进一步的,所述安全云客户端利用所述文档管理组件对上传文档的内容进行读取,根据需要加密处理后,上传到云计算或云存储系统中的指定存储路径。进一步的,所述安全云客户端利用所述数据验证组件根据用户设定的可信度和验证次数,为该文档生成相应的验证标签,并通过所述数据验证服务组件将密态的可信度、密态的验证次数和密态的验证标作为一条记录上传到所述密文云数据库的验证元信息表中。进一步的,所述元信息包括:文件名、文件大小、文件关键词。进一步的,所述文档密钥和所述元信息密钥由所述安全云客户端生成。本专利技术提供的云计算数据安全支撑平台,其主要特征在于:该平台由三个相互关联的部分构成:其一是待保护的云计算/云存储系统(后文简称实际存储系统),其中所存储的是经过加密等技术手段处理后的数据,该数据的非授权传播并不会直接导致数据内容泄露;其二是安全云客户端,负责在本地保存云用户的密钥并进行数据加解密处理,避免密钥外泄导致的数据安全风险;其三是云数据安全服务系统(后文简称安全服务系统),该系统负责生成、存储、管理与维护云计算/云存储系统中数据的属性及其他元信息。确保在密文状态下为云用户提供密文检索、完整性验证等多项安全数据服务。该架构的主要设计特点包括:(1)安全性不依赖云计算服务提供商。实际存储系统中的数据经特殊安全处理(如用某文档密钥加密),且核心秘密信息(如云用户主密钥)保存于云用户者的本地计算环境,因此该架构确保云计算/云存储系本文档来自技高网...
【技术保护点】
一种云计算数据安全支撑平台,其特征在于包括云计算或云存储系统、云数据安全服务系统、安全云客户端;所述云计算或云存储系统、云数据安全服务系统、安全云客户端之间通过网络互连;其中,所述安全云客户端,用于将数据利用文档密钥加密后上传给所述云计算或云存储系统,同时提取上传数据的元信息,并利用元信息密钥对提取的元信息加密后发送给所述云数据安全服务系统、利用主密钥加密所述文档密钥和所述元信息密钥后发送给所述云数据安全服务系统;所述云计算或云存储系统,用于存储所述安全云客户端上传的数据;所述云数据安全服务系统,用于存储所述安全云客户端加密上传的元信息和密钥信息,并提供文件访问支持,以及密文检索和数据验证服务支持。
【技术特征摘要】
1.一种云计算数据安全支撑平台,其特征在于包括云计算或云存储系统、云数据安全服务系统、安全云客户端;所述云计算或云存储系统、云数据安全服务系统、安全云客户端之间通过网络互连;其中,所述安全云客户端,用于将数据利用文档密钥加密后上传给所述云计算或云存储系统,同时提取上传数据的元信息,并利用元信息密钥对提取的元信息加密后发送给所述云数据安全服务系统、利用主密钥加密所述文档密钥和所述元信息密钥后发送给所述云数据安全服务系统;所述云计算或云存储系统,用于存储所述安全云客户端上传的数据;所述云数据安全服务系统,用于存储所述安全云客户端加密上传的元信息和密钥信息,并提供文件访问支持,以及密文检索和数据验证服务支持。2.如权利要求1所述的系统,其特征在于所述安全云客户端包括一数据加解密组件、一密钥管理组件、一文档管理组件、一数据检索组件、一数据验证组件、一应用程序入口组件;其中,所述应用程序入口组件为用户提供密文文档的管理、检索和验证界面;所述密钥管理组件用于从所述云数据安全服务系统获取加密的文档密钥和加密的元信息密钥;所述数据加解密组件用于对获取的加密密钥进行解密,得到文档密钥和元信息密钥,并利用文档密钥和元信息密钥分别对文档和元信息进行加解密;所述文档管理组件用于对文档进行上传、下载、复制、剪切、删除;所述数据检索组件用于构建上传文档的元信息并将其上传给所述云数据安全服务系统,以及对云存储密文文档的检索;所述数据验证组件用于构建上传文档的验证元信息并将其上传给所述云数据安全服务系统,以及对云存储密文文档的完整性验证。3.如权利要求1或2所述的系统,其特征在于所述云数据安全服务系统包括一密文云数据库系统、一文档操作服务组件、一密文检索服务组件、一数据验证服务组件;其中,所述密文云数据库系统用于存储密态的元信息与密态元信息密钥;所述文档操作服务组件,用于在用户文档上载、更新操作时为...
【专利技术属性】
技术研发人员:张敏,冯登国,蔡克,陈驰,徐震,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。