基于云存儲(chǔ)技術(shù)防止文件泄密的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種基于云存儲(chǔ)技術(shù)防止文件泄密的方法及系統(tǒng),方法包括:客戶端將需要保護(hù)的文件上傳到云服務(wù)端,同時(shí)生成相對(duì)應(yīng)的訪問鏈接并刪除所述需要保護(hù)的文件;云服務(wù)端對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控,并在收到客戶端發(fā)送的請(qǐng)求后,根據(jù)客戶端發(fā)送的請(qǐng)求實(shí)現(xiàn)用戶操作服務(wù)。系統(tǒng)包括:云服務(wù)端和客戶端,所述云服務(wù)端包括:數(shù)據(jù)交互模塊、監(jiān)控模塊;所述客戶端包括:數(shù)據(jù)接口交互模塊、文件訪問鏈接模塊、文件刪除模塊,該文件刪除模塊用于在需要保護(hù)的文件上傳后刪除所述的文件。本發(fā)明能夠防止用戶因誤操作或設(shè)備丟失而導(dǎo)致的信息泄露。
【專利說明】基于云存儲(chǔ)技術(shù)防止文件泄密的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)信息安全【技術(shù)領(lǐng)域】,特別是涉及一種基于云存儲(chǔ)技術(shù)防止文件泄密的方法及系統(tǒng)。
【背景技術(shù)】
[0002]云存儲(chǔ)是云計(jì)算的擴(kuò)展應(yīng)用,它利用集群應(yīng)用、網(wǎng)格技術(shù)和分布式文件系統(tǒng),使各種類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件協(xié)同工作,為用戶提供數(shù)據(jù)存儲(chǔ)和訪問功能。
[0003]云存儲(chǔ)系統(tǒng)的結(jié)構(gòu)主要由四部分組成:1.存儲(chǔ)層,提供存儲(chǔ)服務(wù)的設(shè)備的集合;
2.基礎(chǔ)管理層,使工作在存儲(chǔ)層的各設(shè)備能夠協(xié)同工作,具體包括如內(nèi)容分發(fā)、數(shù)據(jù)壓縮、數(shù)據(jù)備份等功能;3.應(yīng)用接口層,為用戶提供各類服務(wù)的接口功能,包括用戶身份認(rèn)證、權(quán)限管理、應(yīng)用程序等模塊;4.訪問層,用戶通過它訪問數(shù)據(jù)中心的數(shù)據(jù)或使用相應(yīng)授權(quán)的服務(wù)。
[0004]隨著用戶不斷增多,利用云計(jì)算技術(shù)保護(hù)用戶信息安全的安全云也隨之出現(xiàn)。例如,殺毒軟件廠商將軟件病毒庫(kù)的存儲(chǔ)位置從用戶端移至數(shù)據(jù)中心,解決了用戶病毒庫(kù)升級(jí)的不一致性。
[0005]然而,目前云存儲(chǔ)服務(wù)主要針對(duì)的是用戶存儲(chǔ)容量的擴(kuò)展,使存儲(chǔ)虛擬化和自動(dòng)化,但并沒有提供信息保密的功能和服務(wù)。實(shí)際上,由于用戶的安全意識(shí)偏低,或者設(shè)備的安全性過低,信息從用戶計(jì)算機(jī)上被竊取、監(jiān)聽的事件屢見不鮮,用戶所使用的設(shè)備成為保障信息安全的一塊短板。
[0006]總體而言,有兩種方法保護(hù)用戶的數(shù)據(jù)安全。一種是提高用戶所使用設(shè)備的安全性。這種方法一般包括設(shè)置用戶訪問權(quán)限及防火墻,使用最新版本的殺毒軟件等措施。然而,這種做法往往不能防止用戶因?yàn)檎`操作或設(shè)備丟失而導(dǎo)致的信息泄露。
【發(fā)明內(nèi)容】
[0007]本發(fā)明所要解決的技術(shù)問題是提供一種基于云存儲(chǔ)技術(shù)基于云存儲(chǔ)技術(shù)防止文件泄密的方法及系統(tǒng),能夠防止用戶因誤操作或設(shè)備丟失而導(dǎo)致的信息泄露。
[0008]本發(fā)明一種基于云存儲(chǔ)技術(shù)防止文件泄密的方法的技術(shù)方案是:
一種基于云存儲(chǔ)技術(shù)防止文件泄密的方法,包括以下步驟:
(O客戶端將需要保護(hù)的文件上傳到云服務(wù)端,同時(shí)生成相對(duì)應(yīng)的訪問鏈接并刪除所述需要保護(hù)的文件;
(2)云服務(wù)端對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控,并在收到客戶端發(fā)送的請(qǐng)求后,根據(jù)客戶端發(fā)送的請(qǐng)求實(shí)現(xiàn)用戶操作服務(wù)。
[0009]進(jìn)一步是:所述步驟(I)前還包括客戶端對(duì)需要保護(hù)的文件進(jìn)行預(yù)處理的步驟,包括:
判斷需要保護(hù)的文件的安全性;
計(jì)算需要保護(hù)的文件的散列值; 對(duì)需要保護(hù)的文件進(jìn)行加密。
[0010]進(jìn)一步是:所述判斷需要保護(hù)的文件的安全性的步驟包括對(duì)文件類型進(jìn)行判斷,當(dāng)文件類型為可執(zhí)行文件時(shí),根據(jù)文件的廠商、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性。
[0011]進(jìn)一步是:所述步驟(2)中云服務(wù)端對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控,包括以下子步驟:
對(duì)每一條與文件操作相關(guān)的指令進(jìn)行記錄;
當(dāng)所述文件操作為備份或轉(zhuǎn)存時(shí),將文件的備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID、備份路由路徑和原存儲(chǔ)位置生成文件的備份轉(zhuǎn)存地址表;將所述文件的備份轉(zhuǎn)存地址表以加密文本文件的形式發(fā)送到對(duì)應(yīng)的客戶端。
[0012]進(jìn)一步是:所述步驟(2)中收到客戶端發(fā)送的請(qǐng)求為文件訪問或修改操作請(qǐng)求時(shí),包括以下子步驟:
接收客戶端發(fā)送的訪問請(qǐng)求,其中,所述訪問請(qǐng)求包括用戶身份、請(qǐng)求文件名、文件名編號(hào)、文件地址;
云服務(wù)端根據(jù)請(qǐng)求文件名、文件名編號(hào)和文件地址生成文件鏡像,并將該文件鏡像發(fā)送給所述客戶端,所述文件鏡像為與原文件內(nèi)容相同的備份;
客戶端緩存云服務(wù)端返回的文件鏡像。
[0013]進(jìn)一步是:所述的備份為插入訪問標(biāo)簽的原文件的加密備份,所述客戶端緩存云服務(wù)端返回的文件鏡像后,對(duì)文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開;所述對(duì)文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開的步驟后還包括修改和關(guān)閉該文件鏡像的步驟,修改完成時(shí)重新計(jì)算文件的散列值,并將該散列值與保存在云服務(wù)端的文件備份及文件散列值進(jìn)行更新;關(guān)閉時(shí)立即刪除該文件鏡像。
[0014]進(jìn)一步是:所述步驟(2)中云服務(wù)端接收客戶端發(fā)送的請(qǐng)求為刪除文件的操作請(qǐng)求時(shí),包括以下子步驟:
查詢所有相關(guān)文件的存儲(chǔ)地址,所述存儲(chǔ)地址記錄在以文件編號(hào)為索引的備份轉(zhuǎn)存地址表中;
根據(jù)所述文件的備份轉(zhuǎn)存地址表進(jìn)行刪除文件的操作;
對(duì)保存的文件備份和文件鏡像執(zhí)行刪除操作;
將原文件以加密的形式發(fā)送回客戶端;
所述對(duì)保存的文件備份和鏡像執(zhí)行刪除操作的步驟與所述服務(wù)端將原文件以加密的形式發(fā)送回客戶端的步驟之間還包括:
接收刪除報(bào)告,其中,所述刪除報(bào)告為存儲(chǔ)被刪除文件的服務(wù)器在服務(wù)端的IP地址及服務(wù)器名;
將收到的刪除報(bào)告按備份轉(zhuǎn)存地址表的順序進(jìn)行散列值的計(jì)算,該散列值和終端保存的散列值進(jìn)行對(duì)比,如果一致,表明數(shù)據(jù)中心刪除了所有該文件的備份。
[0015]本發(fā)明防止終端設(shè)備中文件泄密的系統(tǒng)的技術(shù)方案是:
一種防止終端設(shè)備中文件泄密的系統(tǒng),包括云服務(wù)端和客戶端,所述云服務(wù)端包括:數(shù)據(jù)交互模塊,用于接收客戶端發(fā)送的需要保護(hù)的文件和請(qǐng)求;監(jiān)控模塊,用于對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控;所述客戶端包括:數(shù)據(jù)接口交互模塊,用于將需要保護(hù)的文件上傳到云服務(wù)端和向云服務(wù)端發(fā)送請(qǐng)求;文件訪問鏈接模塊,用于在需要保護(hù)的文件上傳后生成相對(duì)應(yīng)的訪問鏈接;文件刪除模塊,用于在需要保護(hù)的文件上傳后刪除所述的文件。
[0016]進(jìn)一步是:所述客戶端還包括預(yù)處理模塊,用于對(duì)需要保護(hù)的文件進(jìn)行預(yù)處理;所述預(yù)處理模塊包括:判斷子模塊,用于判斷需要保護(hù)的文件的安全性;計(jì)算子模塊,計(jì)算需要保護(hù)的文件的散列值;加/解密子模塊,對(duì)需要保護(hù)的文件進(jìn)行加密;所述判斷子模塊對(duì)文件類型進(jìn)行判斷,當(dāng)文件類型為可執(zhí)行文件時(shí),通過下載軟件安全數(shù)據(jù)庫(kù)的方式根據(jù)文件的廠商、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性,或?qū)⑽募畔l(fā)送給云服務(wù)端,由云服務(wù)端對(duì)文件的安全性進(jìn)行判斷。
[0017]進(jìn)一步是:所述監(jiān)控模塊包括:記錄子模塊,用于對(duì)每一條與文件操作相關(guān)的指令進(jìn)行記錄;備份轉(zhuǎn)存地址表生成子模塊,用于在所述文件操作為備份或轉(zhuǎn)存時(shí),將文件的備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID、備份路由路徑和原存儲(chǔ)位置生成文件的備份轉(zhuǎn)存地址表。
[0018]進(jìn)一步是:所述云服務(wù)端還包括文件鏡像生成模塊,用于在接收客戶端發(fā)送的訪問請(qǐng)求后,根據(jù)請(qǐng)求文件名、文件名編號(hào)和文件地址生成文件鏡像,所述文件鏡像為云服務(wù)端生成的與原文件內(nèi)容相同的備份;所述客戶端還包括存儲(chǔ)模塊,用于緩存云服務(wù)端返回的文件鏡像;其中,所述訪問請(qǐng)求包括用戶身份、請(qǐng)求文件名、文件名編號(hào)、文件地址;所述的備份為插入訪問標(biāo)簽的原文件的加密備份,所述加/解密子模塊對(duì)收到的文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開;所述計(jì)算子模塊在文件鏡像修改完成時(shí)重新計(jì)算文件的散列值;所述數(shù)據(jù)交互接口模塊將重新計(jì)算的散列值上傳至云服務(wù)端,供云服務(wù)端進(jìn)行文件備份及文件散列值更新;文件刪除模塊,在關(guān)閉文件鏡像時(shí)立即刪除所述的文件鏡像。
[0019]進(jìn)一步是:所述云服務(wù)端還包括:查詢模塊,用于在接收客戶端發(fā)送的刪除文件的操作請(qǐng)求后,查詢所有相關(guān)文件的存儲(chǔ)地址,所述存儲(chǔ)地址記錄在以文件編號(hào)為索引的備份轉(zhuǎn)存地址表中;刪除模塊,用于根據(jù)所述文件的備份轉(zhuǎn)存地址表進(jìn)行刪除文件以及對(duì)保存的文件備份和文件鏡像進(jìn)行刪除;所述數(shù)據(jù)交互模塊還用于將原文件以加密的形式發(fā)送回客戶端。
[0020]本發(fā)明有益效果主要有:
由于采用了上述的技術(shù)方案,本發(fā)明與現(xiàn)有技術(shù)相比,具有以下的優(yōu)點(diǎn)和積極效果:本發(fā)明利用云服務(wù)端的高安全性,保護(hù)用戶數(shù)據(jù),防止信息泄露。本發(fā)明不是為了提高用戶設(shè)備的安全性,而是提供類似于“數(shù)據(jù)銀行”的安全存儲(chǔ)服務(wù),用戶將需要保護(hù)的數(shù)據(jù)托管在云服務(wù)端,用戶僅持有托管和訪問的票據(jù),用于訪問和操作。
【專利附圖】
【附圖說明】
[0021]圖1是本發(fā)明基于云存儲(chǔ)技術(shù)防止文件泄密的方法的一個(gè)實(shí)施方式流程圖;
圖2是本發(fā)明基于云存儲(chǔ)技術(shù)防止文件泄密的系統(tǒng)的一個(gè)實(shí)施例結(jié)構(gòu)示意圖;
圖3是本發(fā)明基于云存儲(chǔ)技術(shù)防止文件泄密的系統(tǒng)中的預(yù)處理模塊的結(jié)構(gòu)圖;
圖4是本發(fā)明基于云存儲(chǔ)技術(shù)防止文件泄密的系統(tǒng)中的監(jiān)控模塊的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0022]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明如下: 實(shí)施例1:是本發(fā)明的一種基于云存儲(chǔ)技術(shù)防止文件泄密的方法實(shí)施方式?;谠拼鎯?chǔ)技術(shù)防止文件泄密的方法,包括以下步驟:客戶端將需要保護(hù)的文件上傳到云服務(wù)端,同時(shí)生成相對(duì)應(yīng)的訪問鏈接并刪除所述需要保護(hù)的文件;云服務(wù)端對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控,并在收到客戶端發(fā)送的請(qǐng)求后,根據(jù)客戶端發(fā)送的請(qǐng)求實(shí)現(xiàn)用戶操作服務(wù)。
[0023]本實(shí)施方式中,被保護(hù)的文件保存在云服務(wù)端上,用戶所使用的本地計(jì)算機(jī)(即客戶端)不保存文件而僅保存文件的基本信息和訪問路徑或地址。當(dāng)客戶端不連接云服務(wù)端時(shí),用戶不能對(duì)文件進(jìn)行訪問。用戶訪問文件的條件是:客戶端、身份證書、正確的口令以及與數(shù)據(jù)中心的網(wǎng)絡(luò)連接??蛻舳丝赏ㄟ^安裝應(yīng)用軟件的方式或增加硬件模塊的方式來獲取身份證書和口令,采用應(yīng)用軟件的方式時(shí),在客戶端上安裝軟件后會(huì)自動(dòng)生成身份證書和初始口令。具體如下,客戶端軟件安裝完畢后會(huì)向云服務(wù)端發(fā)出請(qǐng)求,云服務(wù)端收到來自客戶端的請(qǐng)求后,會(huì)為該客戶端生成身份證書。該身份證書將作為用戶訪問受保護(hù)文件的憑證之一。身份證書生成后,客戶端要求用戶輸入初始密碼,該密碼用于登陸客戶端和與身份證書一起使用,訪問存儲(chǔ)在數(shù)據(jù)中心存儲(chǔ)服務(wù)器上的受保護(hù)文件,該初始密碼可根據(jù)用戶的需求進(jìn)行修改。安裝客戶端時(shí),將由用戶指定一個(gè)在本地計(jì)算機(jī)上的文件夾,該文件夾用于上傳受保護(hù)文件之前,在本地存儲(chǔ)該文件,為上傳及刪除該文件做準(zhǔn)備,并在上傳和刪除后,在該文件夾保存訪問鏈接。
[0024]如圖1所示,具體步驟如下:
在用戶選擇需要保護(hù)的文件后,客戶端將進(jìn)行文件預(yù)處理,文件預(yù)處理包括:
判斷需要保護(hù)的文件的安全性;計(jì)算需要保護(hù)的文件的散列值;對(duì)需要保護(hù)的文件進(jìn)行加密。
[0025]在判斷文件的安全性時(shí),判斷子模塊對(duì)文件類型進(jìn)行判斷,當(dāng)文件類型為可執(zhí)行文件時(shí),通過下載、更新軟件安全數(shù)據(jù)庫(kù)的方式根據(jù)文件的廠商、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性,或?qū)⑽募畔l(fā)送給云服務(wù)端,由云服務(wù)端對(duì)文件的安全性進(jìn)行判斷。
[0026]客戶端判斷可執(zhí)行文件安全性的方法是:當(dāng)用戶安裝客戶端軟件時(shí),將從數(shù)據(jù)中心下載一個(gè)存有安全軟件的數(shù)據(jù)庫(kù)。該安全軟件的數(shù)據(jù)庫(kù)中的一個(gè)表項(xiàng)表示一款安全軟件的詳細(xì)信息,它包括軟件的開發(fā)廠商、最新版本號(hào)。對(duì)于具有網(wǎng)絡(luò)訪問功能的軟件,該數(shù)據(jù)庫(kù)還會(huì)記錄軟件使用的端口、合法的發(fā)布及下載地址。該數(shù)據(jù)庫(kù)由云服務(wù)端周期性更新并發(fā)布到客戶端。當(dāng)需要判斷的可執(zhí)行文件在數(shù)據(jù)庫(kù)中有對(duì)應(yīng)表項(xiàng)時(shí),該文件被認(rèn)為是安全的。否則,該文件的文件名及文件開發(fā)廠商將被上傳到云服務(wù)端,由云服務(wù)端判斷該文件的安全性。為找到匹配項(xiàng)的文件,無(wú)論是在客戶端還是云服務(wù)端,默認(rèn)判斷它是不安全的。對(duì)于安全軟件數(shù)據(jù)庫(kù),另一種供選擇的方案是,客戶端不在本地計(jì)算機(jī)上保存該數(shù)據(jù)庫(kù),而是在需要時(shí),將需要判斷的軟件信息發(fā)送到云服務(wù)端,由云服務(wù)端進(jìn)行判斷,并將判斷結(jié)果返回給客戶端。云服務(wù)端的安全軟件數(shù)據(jù)庫(kù)的建立,有主動(dòng)上傳和被動(dòng)搜集兩種方式。任何一個(gè)正規(guī)的軟件開發(fā)廠商可主動(dòng)上傳開發(fā)的軟件信息。被動(dòng)搜集是指數(shù)據(jù)中心利用大數(shù)據(jù)分析技術(shù),搜集網(wǎng)絡(luò)上的軟件信息。本申請(qǐng)并不涉及如何建立云服務(wù)端的安全軟件數(shù)據(jù)庫(kù),故不再贅述。
[0027]完成對(duì)文件的預(yù)處理后,在確保文件安全的情況下,客戶端將需要保護(hù)的文件上傳到云服務(wù)端,同時(shí)生成相對(duì)應(yīng)的訪問鏈接并刪除所述需要保護(hù)的文件。具體地說,客戶端自動(dòng)將文件上傳到云服務(wù)端后,在本地生成訪問鏈接并刪除本地文件。所生成的鏈接可以以圖標(biāo)的形式顯示在客戶端中,每個(gè)圖標(biāo)會(huì)根據(jù)特定的文件類型生成對(duì)應(yīng)的圖標(biāo),并顯示與被保護(hù)文件相同的文件名。
[0028]云服務(wù)端收到客戶端上傳的文件后,對(duì)該文件進(jìn)行存儲(chǔ),并對(duì)該需要保護(hù)的文件進(jìn)行監(jiān)控。也就是說,當(dāng)云服務(wù)端對(duì)用戶托管的文件進(jìn)行備份或轉(zhuǎn)存時(shí),云服務(wù)端的監(jiān)控模塊(如文件監(jiān)控服務(wù)器)將自動(dòng)報(bào)告?zhèn)浞菔录蜣D(zhuǎn)存事件給用戶,使用戶對(duì)文件具有完全的控制。具體方法是:云服務(wù)端的存儲(chǔ)服務(wù)器對(duì)每一條與文件操作相關(guān)的指令進(jìn)行記錄。當(dāng)操作為備份或轉(zhuǎn)存事件時(shí),存儲(chǔ)服務(wù)器將通知文件監(jiān)控服務(wù)器。文件監(jiān)控服務(wù)器會(huì)將文件的備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID、備份路由路徑和原存儲(chǔ)位置生成文件備份轉(zhuǎn)存地址表。該文件的備份轉(zhuǎn)存地址表以加密文本文件的形式發(fā)送到對(duì)應(yīng)的客戶端的數(shù)據(jù)接口交互模塊中。數(shù)據(jù)接口交互模塊再將加密文本文件解密,以明文形式通知用戶。
[0029]值得一提的是,云服務(wù)端每次備份文件時(shí),云存儲(chǔ)服務(wù)器將更新該文件所對(duì)應(yīng)的備份列表;每次備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID和備份路由路徑將作為備份列表的一條表項(xiàng),附加在原備份列表之后;對(duì)備份列表的操作只有云存儲(chǔ)服務(wù)器完成,每次操作前,均需進(jìn)行身份認(rèn)證。
[0030]用戶可通過客戶端向云服務(wù)端發(fā)送文件訪問、修改或刪除的請(qǐng)求,當(dāng)云服務(wù)端收到上述請(qǐng)求后,根據(jù)客戶端發(fā)送的請(qǐng)求實(shí)現(xiàn)用戶操作服務(wù)。
[0031]用戶在啟動(dòng)客戶端的相關(guān)軟件后,可通過所生成的圖標(biāo)選擇需要操作的文件。操作文件需要云服務(wù)端認(rèn)證客戶端的身份證書和用戶輸入正確的口令。當(dāng)認(rèn)證通過后,客戶端將訪問請(qǐng)求發(fā)送到云服務(wù)端,其中,訪問請(qǐng)求包括用戶身份、請(qǐng)求文件名、文件名編號(hào)、文件地址。云服務(wù)端在收到請(qǐng)求后可以根據(jù)請(qǐng)求文件名、文件名編號(hào)和文件地址生成與原文件內(nèi)容相同的備份,并將該備份返回給客戶端。值得注意的是,其發(fā)回的文件并不是原文件,而是插入訪問標(biāo)簽的原文件的加密備份,稱為文件鏡像??蛻舳耸盏皆撐募R像后對(duì)其進(jìn)行緩存并解密。該文件鏡像需要利用標(biāo)簽識(shí)別只能由客戶端打開。文件鏡像只供一次讀取和修改使用,當(dāng)用戶關(guān)閉該文件時(shí),該文件鏡像則立即被客戶端刪除??蛻羧缧柙俅卧L問,則仍需從云服務(wù)端生成文件鏡像,該文件鏡像與之前的文件鏡像內(nèi)容相同,但其標(biāo)簽不同。文件修改也是在文件鏡像上進(jìn)行,當(dāng)文件修改完成后,客戶端會(huì)重新計(jì)算文件的散列值,并將該散列值與保存在云服務(wù)端中的文件備份及文件散列值進(jìn)行同步更新。
[0032]用戶需刪除云服務(wù)端中托管的文件時(shí),向云服務(wù)端發(fā)送刪除文件的請(qǐng)求,云服務(wù)端將不帶標(biāo)示的原文件返回給客戶端,并從所有存儲(chǔ)服務(wù)器上刪除所有該文件備份和文件鏡像。具體方法是:云服務(wù)端收到用戶刪除請(qǐng)求后,通過文件監(jiān)控服務(wù)器查詢所有相關(guān)文件的存儲(chǔ)地址。這些存儲(chǔ)地址會(huì)記錄在以文件編號(hào)為索引的備份轉(zhuǎn)存地址表中。云服務(wù)器按照文件監(jiān)控服務(wù)器中該文件的備份轉(zhuǎn)存地址表進(jìn)行刪除文件備份,其刪除順序可按照備份轉(zhuǎn)存地址表的順序進(jìn)行。然后對(duì)保存文件備份和文件鏡像的存儲(chǔ)服務(wù)器執(zhí)行刪除操作,即把文件從磁盤中刪除,并在原存儲(chǔ)位置上填充隨機(jī)字符串。存儲(chǔ)服務(wù)器刪除文件后,將向云服務(wù)端報(bào)告該服務(wù)器在云服務(wù)端中的IP地址及服務(wù)器名。云服務(wù)端將收到的刪除報(bào)告,按備份轉(zhuǎn)存地址表的順序進(jìn)行散列值的計(jì)算,該散列值將和用戶保存的散列值進(jìn)行對(duì)比。如果對(duì)比一致,表明云服務(wù)端刪除了所有該文件的備份。原文件則以加密的形式發(fā)送回客戶端,并在客戶端解S,如此完成刪除?呆作。
[0033]實(shí)施例2:是本發(fā)明的一種基于云存儲(chǔ)技術(shù)防止文件泄密的系統(tǒng)實(shí)施方式。如圖2所示,基于云存儲(chǔ)技術(shù)防止文件泄密的系統(tǒng),包括云服務(wù)端和客戶端,所述云服務(wù)端包括:數(shù)據(jù)交互模塊,用于接收客戶端發(fā)送的需要保護(hù)的文件和請(qǐng)求;監(jiān)控模塊,用于對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控;所述客戶端包括:數(shù)據(jù)接口交互模塊,用于將需要保護(hù)的文件上傳到云服務(wù)端和向云服務(wù)端發(fā)送請(qǐng)求;文件訪問鏈接模塊,用于在需要保護(hù)的文件上傳后生成相對(duì)應(yīng)的訪問鏈接;文件刪除模塊,用于在需要保護(hù)的文件上傳后刪除所述的文件。
[0034]由圖2可知,該系統(tǒng)由個(gè)人計(jì)算機(jī)和數(shù)據(jù)中心組成,兩者之間通過網(wǎng)絡(luò)實(shí)現(xiàn)連接,該網(wǎng)絡(luò)可以是Internet,也可以是包含有Internet的網(wǎng)絡(luò)??蛻舳税?文件訪問鏈接模塊和文件刪除模塊。用戶通過文件訪問鏈接模塊可以訪問受保護(hù)的文件。當(dāng)用戶需要保護(hù)某一文件時(shí),該文件通過個(gè)人計(jì)算機(jī)上傳到數(shù)據(jù)中心,受保護(hù)的文件不再保存在個(gè)人計(jì)算機(jī)上,而是保存數(shù)據(jù)中心的存儲(chǔ)服務(wù)器上。數(shù)據(jù)中心中的存儲(chǔ)服務(wù)器和文件監(jiān)控模塊通過數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)互連。受保護(hù)的文件可以被備份或轉(zhuǎn)存到任意的一個(gè)存儲(chǔ)服務(wù)器上。一般地,文件備份與受保護(hù)文件的原文件保存在不同的存儲(chǔ)服務(wù)器上。
[0035]如圖3所示,所述客戶端還包括預(yù)處理模塊,用于對(duì)需要保護(hù)的文件進(jìn)行預(yù)處理,用于上傳文件前檢查文件的安全性,計(jì)算文件散列值和加密文件;所述預(yù)處理模塊包括:判斷子模塊,用于判斷需要保護(hù)的文件的安全性;計(jì)算子模塊,計(jì)算需要保護(hù)的文件的散列值;加/解密子模塊,對(duì)需要保護(hù)的文件進(jìn)行加密。
[0036]所述判斷子模塊對(duì)文件類型進(jìn)行判斷,當(dāng)文件類型為可執(zhí)行文件時(shí),通過下載軟件安全數(shù)據(jù)庫(kù)的方式根據(jù)文件的廠商、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性,或?qū)⑽募畔l(fā)送給云服務(wù)端,由云服務(wù)端對(duì)文件的安全性進(jìn)行判斷。
[0037]如圖4所示,所述監(jiān)控模塊包括:記錄子模塊,用于對(duì)每一條與文件操作相關(guān)的指令進(jìn)行記錄;備份轉(zhuǎn)存地址表生成子模塊,用于在所述文件操作為備份或轉(zhuǎn)存時(shí),將文件的備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID、備份路由路徑和原存儲(chǔ)位置生成文件的備份轉(zhuǎn)存地址表。
[0038] 所述云服務(wù)端還包括文件鏡像生成模塊,用于在接收客戶端發(fā)送的訪問請(qǐng)求后,根據(jù)請(qǐng)求文件名、文件名編號(hào)和文件地址生成文件鏡像,也就是用于生成返回客戶端操作的與受保護(hù)文件內(nèi)容相同的文件鏡像;所述文件鏡像為云服務(wù)端生成的與原文件內(nèi)容相同的備份;所述客戶端還包括存儲(chǔ)模塊,用于緩存云服務(wù)端返回的文件鏡像;其中,所述訪問請(qǐng)求包括用戶身份、請(qǐng)求文件名、文件名編號(hào)、文件地址。其中,存儲(chǔ)模塊還可以用于存儲(chǔ)來自云服務(wù)端的所有報(bào)告,這些報(bào)告由云服務(wù)端的監(jiān)控模塊生成并發(fā)回給用戶。用戶可通過該存儲(chǔ)模塊了解保存在云服務(wù)端中的文件安全狀態(tài)。
[0039]所述的備份為插入訪問標(biāo)簽的原文件的加密備份,所述加/解密子模塊對(duì)收到的文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開。
[0040]所述計(jì)算子模塊在文件鏡像修改完成時(shí)重新計(jì)算文件的散列值;所述數(shù)據(jù)交互接口模塊將重新計(jì)算的散列值上傳至云服務(wù)端,供云服務(wù)端進(jìn)行文件備份及文件散列值更新;文件刪除模塊,在關(guān)閉文件鏡像時(shí)立即刪除所述的文件鏡像。
[0041]所述云服務(wù)端還包括:查詢模塊,用于在接收客戶端發(fā)送的刪除文件的操作請(qǐng)求后,查詢所有相關(guān)文件的存儲(chǔ)地址,所述存儲(chǔ)地址記錄在以文件編號(hào)為索引的備份轉(zhuǎn)存地址表中;刪除模塊,用于根據(jù)所述文件的備份轉(zhuǎn)存地址表進(jìn)行刪除文件以及對(duì)保存的文件備份和文件鏡像進(jìn)行刪除;所述數(shù)據(jù)交互模塊還用于將原文件以加密的形式發(fā)送回客戶端。
[0042]本發(fā)明權(quán)利要求保護(hù)范圍不限于上述實(shí)施例。
【權(quán)利要求】
1.一種基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,包括以下步驟: 客戶端將需要保護(hù)的文件上傳到云服務(wù)端,同時(shí)生成相對(duì)應(yīng)的訪問鏈接并刪除所述需要保護(hù)的文件; 云服務(wù)端對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控,并在收到客戶端發(fā)送的請(qǐng)求后,根據(jù)客戶端發(fā)送的請(qǐng)求實(shí)現(xiàn)用戶操作服務(wù)。
2.根據(jù)權(quán)利要求1所述的基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,所述步驟(I)前還包括客戶端對(duì)需要保護(hù)的文件進(jìn)行預(yù)處理的步驟,包括: 判斷需要保護(hù)的文件的安全性; 計(jì)算需要保護(hù)的文件的散列值; 對(duì)需要保護(hù)的文件進(jìn)行加密。
3.根據(jù)權(quán)利要求2所述的基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,所述判斷需要保護(hù)的文件的安全性的步驟包括對(duì)文件類型進(jìn)行判斷,當(dāng)文件類型為可執(zhí)行文件時(shí),根據(jù)文件的廠商、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性。
4.根據(jù)權(quán)利要求1所述的基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,所述步驟(2)中云服務(wù)端對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控,包括以下子步驟: 對(duì)每一條與文件 操作相關(guān)的指令進(jìn)行記錄; 當(dāng)所述文件操作為備份或轉(zhuǎn)存時(shí),將文件的備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID、備份路由路徑和原存儲(chǔ)位置生成文件的備份轉(zhuǎn)存地址表; 將所述文件的備份轉(zhuǎn)存地址表以加密文本文件的形式發(fā)送到對(duì)應(yīng)的客戶端。
5.根據(jù)權(quán)利要求1所述的基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,所述步驟(2)中收到客戶端發(fā)送的請(qǐng)求為文件訪問或修改操作請(qǐng)求時(shí),包括以下子步驟: 接收客戶端發(fā)送的訪問請(qǐng)求,其中,所述訪問請(qǐng)求包括用戶身份、請(qǐng)求文件名、文件名編號(hào)、文件地址; 云服務(wù)端根據(jù)請(qǐng)求文件名、文件名編號(hào)和文件地址生成文件鏡像,并將該文件鏡像發(fā)送給所述客戶端,所述文件鏡像為與原文件內(nèi)容相同的備份; 客戶端緩存云服務(wù)端返回的文件鏡像。
6.根據(jù)權(quán)利要求5所述的基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,所述的備份為插入訪問標(biāo)簽的原文件的加密備份,所述客戶端緩存云服務(wù)端返回的文件鏡像后,對(duì)文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開; 所述對(duì)文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開的步驟后還包括修改和關(guān)閉該文件鏡像的步驟,修改完成時(shí)重新計(jì)算文件的散列值,并將該散列值與保存在云服務(wù)端的文件備份及文件散列值進(jìn)行更新;關(guān)閉時(shí)立即刪除該文件鏡像。
7.根據(jù)權(quán)利要求1所述的基于云存儲(chǔ)技術(shù)防止文件泄密的方法,其特征在于,所述步驟(2)中云服務(wù)端接收客戶端發(fā)送的請(qǐng)求為刪除文件的操作請(qǐng)求時(shí),包括以下子步驟: 查詢所有相關(guān)文件的存儲(chǔ)地址,所述存儲(chǔ)地址記錄在以文件編號(hào)為索引的備份轉(zhuǎn)存地址表中; 根據(jù)所述文件的備份轉(zhuǎn)存地址表進(jìn)行刪除文件的操作; 對(duì)保存的文件備份和文件鏡像執(zhí)行刪除操作; 將原文件以加密的形式發(fā)送回客戶端;所述對(duì)保存的文件備份和鏡像執(zhí)行刪除操作的步驟與所述服務(wù)端將原文件以加密的形式發(fā)送回客戶端的步驟之間還包括: 接收刪除報(bào)告,其中,所述刪除報(bào)告為存儲(chǔ)被刪除文件的服務(wù)器在服務(wù)端的IP地址及服務(wù)器名; 將收到的刪除報(bào)告按備份轉(zhuǎn)存地址表的順序進(jìn)行散列值的計(jì)算,該散列值和終端保存的散列值進(jìn)行對(duì)比,如果一致,表明數(shù)據(jù)中心刪除了所有該文件的備份。
8.一種防止終端設(shè)備中文件泄密的系統(tǒng),包括云服務(wù)端和客戶端,其特征在于,所述云服務(wù)端包括:數(shù)據(jù)交互模塊,用于接收客戶端發(fā)送的需要保護(hù)的文件和請(qǐng)求;監(jiān)控模塊,用于對(duì)需要保護(hù)的文件進(jìn)行監(jiān)控;所述客戶端包括:數(shù)據(jù)接口交互模塊,用于將需要保護(hù)的文件上傳到云服務(wù)端和向云服務(wù)端發(fā)送請(qǐng)求;文件訪問鏈接模塊,用于在需要保護(hù)的文件上傳后生成相對(duì)應(yīng)的訪問鏈接;文件刪除模塊,用于在需要保護(hù)的文件上傳后刪除本地存儲(chǔ)的所述的文件。
9.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng),其特征在于,所述客戶端還包括預(yù)處理模塊,所述預(yù)處理模塊包括:判斷子模塊,用于判斷需要保護(hù)的文件的安全性;計(jì)算子模塊,計(jì)算需要保護(hù)的文件的散列值;加/解密子模塊,對(duì)需要保護(hù)的文件進(jìn)行加、解密;所述判斷子模塊,對(duì)文件類型進(jìn)行判斷,當(dāng)文件類型為可執(zhí)行文件時(shí),通過下載、更新軟件安全數(shù)據(jù)庫(kù)的方式根據(jù)文件的廠商、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性,或?qū)⑽募畔l(fā)送給云服務(wù)端,由云服務(wù)端對(duì)文件的安全性進(jìn)行判斷。
10.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng),其特征在于,所述監(jiān)控模塊包括:記錄子模塊,用于對(duì)每一條與文件操作相關(guān)的指令進(jìn)行記錄;備份轉(zhuǎn)存地址表生成子模塊,用于在所述文件操作為備份或轉(zhuǎn)存時(shí),將文件的備份或轉(zhuǎn)存的時(shí)間、地址、總備份數(shù)、操作申請(qǐng)者、操作執(zhí)行服務(wù)器ID、備份路由路徑和原存儲(chǔ)位置生成文件的備份轉(zhuǎn)存地址表。
11.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng),其特征在于,所述云服務(wù)端還包括文件鏡像生成模塊,用于在接收客戶端發(fā)送的訪問請(qǐng)求后,根據(jù)請(qǐng)求文件名、文件名編號(hào)和文件地址生成文件鏡像,所述文件鏡像為云服務(wù)端生成的與原文件內(nèi)容相同的備份;所述客戶端還包括存儲(chǔ)模塊,用于緩存云服務(wù)端返回的文件鏡像;其中,所述訪問請(qǐng)求包括用戶身份、請(qǐng)求文件名、文件名編號(hào)、文件地址; 所述的備份為插入訪問標(biāo)簽的原文件的加密備份,加/解密子模塊對(duì)收到的文件鏡像進(jìn)行解密并利用標(biāo)簽識(shí)別打開; 所述計(jì)算子模塊在文件鏡像修改完成時(shí)重新計(jì)算文件的散列值;所述數(shù)據(jù)交互接口模塊將重新計(jì)算的散列值上傳至云服務(wù)端,供云服務(wù)端進(jìn)行文件備份及文件散列值更新;文件刪除模塊,在關(guān)閉文件鏡像時(shí)立即刪除所述的文件鏡像。
12.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng),其特征在于,所述云服務(wù)端還包括:查詢模塊,用于在接收客戶端發(fā)送的刪除文件的操作請(qǐng)求后,查詢所有相關(guān)文件的存儲(chǔ)地址,所述存儲(chǔ)地址記錄在以文件編號(hào)為索引的備份轉(zhuǎn)存地址表中;刪除模塊,用于根據(jù)所述文件的備份轉(zhuǎn)存地址表對(duì)保存的文件備份和文件鏡像進(jìn)行刪除;所述數(shù)據(jù)交互模塊還用于將原文件以加密的形式發(fā)送回客戶端。
【文檔編號(hào)】H04L29/08GK104079568SQ201410294251
【公開日】2014年10月1日 申請(qǐng)日期:2014年6月27日 優(yōu)先權(quán)日:2014年6月27日
【發(fā)明者】劉毅, 馮振新, 吳崢, 肖霄, 錢春虎 申請(qǐng)人:東湖軟件產(chǎn)業(yè)股份有限公司