| 发明名称 | 一种实现用户数据随动安全存取的方法 | ||
| 摘要 | 本发明公开了一种实现用户数据随动安全存取的方法,通过实现用户触发的安全隧道来实现用户无感的数据安全传输,进而,通过与存储服务提供商无关的加密技术完成对各用户数据的隔离和安全存取,这是一种既具有私有云的速度和安全性,同时又能提供公有云的便利性的安全存储架构方法,可以让用户真正体验到将数据存储在云端与存储在本地一样安全、便捷。 | ||
| 申请公布号 | CN105939349A | 申请公布日期 | 2016.09.14 |
| 申请号 | CN201610353357.7 | 申请日期 | 2016.05.25 |
| 申请人 | 电子科技大学 | 发明人 | 许都;陈炜;邓灵莉;付鹏飞;胡彦杰 |
| 分类号 | H04L29/06(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 成都行之专利代理事务所(普通合伙) 51220 | 代理人 | 温利平 |
| 主权项 | 一种实现用户数据随动安全存取的方法,其特征在于,包括以下步骤:(1)、将用于云存储的文件服务器部署在用户接入网的BRAS设备上;(2)、利用Openflow技术建立触发式安全隧道(2.1)、接入网的接入点AP收到用户的读写请求后,该读写请求被接入点AP通过OpenFlow协议的Packet in消息递交给SDN控制器;(2.2)、SDN控制器与密钥服务器通信,获取建立安全隧道的传输密钥和文件安全存储的存储密钥SDN控制器解析接入点AP传送过来的Packet in消息,并选择加密算法;SDN控制器将使用的加密算法发送至密钥服务器,密钥服务器根据该加密算法生成用于建立安全隧道传输的传输密钥和用于文件安全存储的存储密钥,再返回给SDN控制器;(2.3)、SDN控制器向源端和目的端交换机下发加解密信息和传输密钥控制器在接入网拓扑上选择用于此次传输的通路,并通过Openflow协议的Packet‑out消息向源端交换机和目的端交换机下发用于隧道传输所需的相关信息和传输密钥;(2.4)、SDN控制器向源端和目的端交换机下发两条流表项SDN控制器向源端和目的端交换机下发两条Openflow的Flow add消息,即是向源和目的端交换机添加两条流表项;其中,在源端交换机,一条流表项用于将明文数据转发到加解密模块加密;另一条流表项用于将加解密模块加密后的密文数据转发到连入接入网下一跳的接口;在目的端交换机,一条流表项用于将从接入网传过来的密文数据转发至加解密模块解密,另一一条流表项用于将解密后的数据从加解密模块转发到连入接入网下一跳的接口;(2.5)、SDN控制器向触发式安全隧道的中间交换机下发一条流表项SDN控制器向触发式安全隧道中除源和目的端外的中间交换机下发一条Openflow的Flow add消息,即向中间交换机添加一条用于转发数据包的流表项;(2.6)、交换机添加流表项并转发加解密信息至加解密模块交换机收到Flow add消息后,向自己的流表中添加流表项;交换机收到包含安全传输的加解密消息后将该消息发给加解密模块;(2.7)、加解密模块处理收到的加解密数据包和用户数据包加解密模块收到数据包后先对其进行解析,判断属于何种数据包;如果是加解密信息数据包,加解密模块便会从中提取出其中的信息和传输密钥并将其存入相关数据库;如果是用户数据包,加解密模块便会在数据库中寻找是否有与该用户相对应的加解密信息,如果找到了与该用户相匹配的加解密信息,则根据该加解密信息选择加密算法,提取出加解密所需的密钥,再对该数据包进行加解密操作,最后把加解密后的数据包重新发送给交换机;如果加解密模块在数据库未找到与该用户相匹配的加解密信息,则直接将该数据包丢弃;经过上述处理完成后,建立起触发式安全隧道;(3)、将用户数据通过发式安全隧道在BRAS文件服务器上进行安全存取(3.1)、SDN控制器将安全存储密钥下发至BRAS文件服务器;(3.2)、BRAS文件服务器完成对用户数据的安全存取BRAS文件服务器根据用户执行的操作类型,分别对用户文件进行处理,具体处理为:a)、当用户执行写文件操作时,文件服务器将接收到的用户文件连同用于该用户的密钥一起传送给加解密模块;加解密模块依据选择的加密算法对用户文件进行处理,并用密钥加密形成密文,最后由加解密模块将加密后的密文写入物理存储介质,当本次用户写操作的完成后,文件服务器便将该密钥丢弃;b)、当用户执行读文件操作时,文件服务器则会将该请求连同用于该用户的密钥一起递交给加解密模块;加解密模块收到该用户的读请求后,从物理存储介质上将密文读出,通过文件服务器递交的密钥将其解密,最后将解密后的用户文件递交给文件服务器,当本次用户读操作的完成后,文件服务器便将该密钥丢弃;(3.3)、BRAS文件服务器更新本次读写文件的被访问次数并检查该文件是否为“活跃文件”步骤(3.2)中该次用户读写操作完成后,BRAS文件服务器对该用户访问该文件的次数加一,并判断访问次数是否超出预设阈值,如果未超过预设阈值,则不再做任何处理;如果超过了预设阈值,则将文件标记为该用户经常访问的“活跃文件”;(3.4)、对用户使用的不同接入网中不同BRAS文件服务器间“活跃文件”进行备份及同步a)、如果用户此次操作是写文件操作,则本接入网的BRAS文件服务器将该用户此次访问的“活跃文件”直接从物理存储介质中读出,再传送给该用户常使用的其他接入网的BRAS文件服务器,并直接存储到对应BRAS文件服务器的物理存储介质,接收到此“活跃文件”的BRAS文件服务器直接将其标记为“活跃文件”;b)、如果用户此次操作只是读文件操作,则分为两种情况:b.1)、如果该文件此前不是“活跃文件”,在此次读文件后访问次数首次达到阈值变为“活跃文件”,则需要将其传送给该用户常用的其他接入网的BRAS服务器备份;b.2)、如果此次读文件操作之前文件已经是活跃文件,则不再做任何处理。 | ||
| 地址 | 611731 四川省成都市高新区(西区)西源大道2006号 | ||