CN101753539A - 一种网络数据存储方法及服务器 - Google Patents
一种网络数据存储方法及服务器 Download PDFInfo
- Publication number
- CN101753539A CN101753539A CN200810227900A CN200810227900A CN101753539A CN 101753539 A CN101753539 A CN 101753539A CN 200810227900 A CN200810227900 A CN 200810227900A CN 200810227900 A CN200810227900 A CN 200810227900A CN 101753539 A CN101753539 A CN 101753539A
- Authority
- CN
- China
- Prior art keywords
- data file
- file
- key
- data
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000013500 data storage Methods 0.000 title claims abstract description 23
- 238000003860 storage Methods 0.000 claims abstract description 106
- 238000012795 verification Methods 0.000 claims description 2
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007812 deficiency Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Abstract
本发明公开了一种网络数据存储方法及服务器,本发明提供烦扰网络数据存储方法包括:服务器根据数据文件所属存储区域的配置信息,判断数据文件是否需加密和/或是否需签名;当判断数据文件需加密不需签名时,对客户端上载的网络数据流进行加密,并将加密的网络数据流写入数据文件;当判断数据文件需签名不需加密时,将客户端上载的网络数据流写入数据文件,并对数据文件进行签名;当判断数据文件需要加密和签名时,对客户端上载的网络数据流进行加密,将加密的网络数据流写入数据文件,并对数据文件进行签名。本发明在保证数据存储的保密性和完整性的前提下,提高网络存储服务器的开放性、扩展性、健壮性和读/写访问效率。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络数据存储方法及服务器。
背景技术
随着TCP/IP网络技术的发展,文件传输协议(File Transfer Protocol,FTP)和万维网分布式创作和版本控制(Web-based Distributed Authoring andVersioning,WEBDAV)协议得到了越来越广泛的应用,服务器端利用FTP和WEBDAV协议为客户端提供网络存储,形成了支持标准协议的网络存储,使用者可以使用支持FTP或WEBDAV的客户端通过网络进行服务器侧文件读访问(下载网络数据)和写访问(上载网络数据)等操作。
为实现支持FTP和WEBDAV协议的网络存储,往往会在服务器侧安装部署相应的服务器系统(FTP服务器和WEBDAV服务器),现有的FTP服务器和WEBDAV服务器大多是基于服务器端的文件系统提供存储服务,而且文件采用明码存储,这种采用明码存储文件的方法无法保证数据的保密性和完整性。
为了保证文件的保密性和完整性,现有的解决方案通常是在服务器端使用额外的专门的安全文件系统,安全文件系统将多个需要保密的文件加密后封装在底层文件系统的某个单一文件中,并在系统内部统一维护文件信息(如文件名、文件大小等)以及每个文件的密钥信息。采用安全文件系统作为FTP服务器和WEBDAV服务器的后台存储存在以下几个问题:
1、安全文件系统一般是私有系统,没有统一的接口,开放性不足;
2、整个安全文件系统的加密算法是固定的统一的,扩展性不足;
3、由于安全文件系统内的所有文件都集中封装在底层文件系统的单一文件中,在读访问安全文件系统内的某个特定文件时,需要先从底层文件系统的单一文件中将该文件提取出来;在写访问安全文件系统内的某个特定文件时,需要将该文件写入底层文件系统的单一文件中,读/写访问效率较低。
4、安全文件系统的加密算法相对固定,且安全文件系统将内部的文件信息和密钥集中管理,存储文件信息或密钥部分的区域(磁盘扇区)发生损坏,会导致整个安全文件系统发生无法访问,系统健壮性不足。
发明内容
本发明提供了一种网络数据存储方法及服务器,用以在保证数据存储的保密性和完整性的前提下,提高网络存储服务器的开放性、扩展性、健壮性和读/写访问效率。
本发明实施例提供的一种网络数据上载方法,包括:
服务器根据数据文件所属存储区域的配置信息,判断所述数据文件是否需加密和/或是否需签名;
当判断所述数据文件需加密不需签名时,对所述客户端上载的网络数据流进行加密,并将加密的所述网络数据流写入所述数据文件;
当判断所述数据文件需签名不需加密时,将所述客户端上载的网络数据流写入所述数据文件,对所述数据文件进行签名;
当判断所述数据文件需要加密和签名时,对所述客户端上载的网络数据流进行加密,将加密的网络数据流写入所述数据文件,对所述数据文件进行签名。
对预先划分的多个存储区域,分别配置其存储的数据文件是否需要加密以及加密算法和/或是否需要签名以及签名算法的参数信息;
所述对客户端上载网络数据流进行加密,包括:
根据所述数据文件所属存储区域配置的加密算法,生成加密密钥;
根据所述加密算法和生成的加密密钥,对客户端上载的网络数据流进行加密;
所述对数据文件进行签名,包括:
根据所述数据文件所属存储区域配置的签名算法,对所述数据文件进行签名。
对所述加密密钥进行加密;
将所述加密算法、加密后的加密密钥和/或所述签名算法、签名结果生成密钥文件并存储;所述密钥文件与所述数据文件一一对应。
所述服务器根据客户端请求下载的数据文件对应的密钥文件,判断所述数据文件是否已加密和/或是否已签名;
当判断所述数据文件已加密未签名时,对所述数据文件的数据流进行解密,并将解密的所述数据流输出到所述客户端;
当判断所述数据文件已签名未加密时,对所述数据文件验证签名,并在验证通过后,将所述数据文件的数据流输出到所述客户端;
当判断所述数据文件已签名且已加密时,对所述数据文件验证签名,并在验证通过后,对所述数据文件的数据流进行解密,将解密的数据流输出到所述客户端。
所述对数据文件验证签名,包括:
根据所述数据文件对应的密钥文件中包含的签名算法和签名结果,对读取的数据文件验证签名;
所述对数据文件的数据流进行解密,包括:
将所述密钥文件中加密后的加密密钥进行解密,得到解密密钥;使用所述解密密钥和所述密钥文件中的加密算法对所述数据文件的数据流进行解密。
本发明实施例提供的一种网络存储服务器,包括:判断模块、加密模块、签名模块和配置信息存储模块;
所述判断模块,用于根据配置信息存储模块中存储的数据文件所属存储区域的配置信息,判断所述数据文件是否需加密和/或是否需签名;
所述加密模块,用于当所述判断模块判断出所述数据文件需加密不需签名时,对所述客户端上载的网络数据流进行加密,并将加密的网络数据流写入所述数据文件;以及当所述判断模块判断出所述数据文件需加密和签名时,在对所述客户端上载的网络数据流进行加密并写入所述数据文件后,将所述数据文件传送至所述签名模块;
所述签名模块,用于当所述判断模块判断出所述数据文件需签名不需加密时,将所述客户端上载的网络数据流写入所述数据文件,并对所述数据文件进行签名;以及接收加密模块传送的数据文件,对接收的所述数据文件进行签名;
所述配置信息存储模块,用于存储各存储区域的配置信息。
本发明实施例提供的网络存储服务器,还包括:
配置模块,用于对预先划分的多个存储区域分别配置其存储的数据文件是否需要加密以及加密算法和/或是否需要签名以及签名算法的参数信息,并将配置的所述参数信息存储于所述配置信息存储模块中。
所述加密模块,还用于根据所述配置信息存储模块存储的所述数据文件所属存储区域配置的加密算法,生成加密密钥;根据所述加密算法和生成的加密密钥,对读取的网络数据流进行加密,生成加密的网络数据流;
所述签名模块,还用于根据所述配置信息存储模块存储的所述数据文件所属存储区域配置的签名算法,对数据文件进行签名。
本发明实施例提供的网络存储服务器,还包括:
密钥文件生成模块,用于对所述加密密钥进行加密;以及将所述加密算法、加密后的加密密钥和/或所述签名算法、签名结果生成密钥文件,并与所述数据文件一一对应;
密钥文件存储模块,用于存储所述密钥文件。
本发明实施例提供的网络存储服务器,还包括:验证模块和解密模块;
所述判断模块,还用于根据客户端请求下载的数据文件对应的密钥文件,判断请求下载的数据文件是否已加密和/或是否已签名;
所述验证模块,用于当所述判断模块判断所述数据文件已签名未加密时,对所述数据文件验证签名,并在验证通过后,将所述数据文件的数据流输出到所述客户端;以及当所述判断模块判断数据文件已签名且已加密时,对所述数据文件验证签名,并在验证通过后,将所述数据文件发送至所述解密模块;
所述解密模块,用于当所述判断模块判断所述数据文件已加密未签名时,对所述数据文件的数据流进行解密,并将解密的数据流输出到所述客户端;以及接收所述验证模块发送的数据文件,对接收的所述数据文件的数据流进行解密,将解密的数据流输出到所述客户端。
本发明实施例提供的网络存储服务器中的验证模块,还用于根据所述密钥文件中包含的签名算法和签名结果,对读取的数据文件验证签名;
本发明实施例提供的网络存储服务器中的解密模块,还用于对所述密钥文件中的加密后的加密密钥进行解密,得到解密密钥;使用所述解密密钥和所述密钥文件中的加密算法对所述数据文件的数据流进行解密。
本发明有益效果如下:
本发明实施例提供的一种网络数据存储方法及服务器,服务器接收客户端发起的数据上载请求,创建数据文件,根据数据文件所属存储区域的配置信息,对客户端上载的网络数据流进行加密,将加密后的网络数据流写入数据文件;或将上载的网络数据流写入数据文件后,对数据文件进行签名,或对客户端上载的网络数据流进行加密后,将加密后的网络数据流写入数据文件,并对数据文件进行签名。本发明实施例提供的网络存储方法及服务器,由于可以将数据文件分散存储于预先划分的多个存储区域中,避免了现有技术中的安全文件系统中所有加密的文件都存储于单一文件所带来的读/写访问的效率不高的问题;再者,由于不同存储区域的配置的加密和/或签名的参数信息可以不同,不仅提高了系统的扩展性,还保证了网络存储数据的完整性和保密性。
进一步地,本发明实施例提供的网络存储方法中,还将加密算法、加密后的加密密钥和/或签名算法、签名结果生成密钥文件,并与数据文件一一对应,某个数据文件的密钥文件被破解或损坏,不会对其他数据文件的安全造成影响,避免了现有网络存储服务器采用的安全文件系统将所有加密文件的密钥集中管理带来的弊端,进一步地提高了系统的健壮性。由于密钥文件的存在,使得数据文件的解密不依赖于所属存储区域的配置参数,因此随时可以根据需要修改存储区域的配置参数,进一步提高了系统的扩展性,还进一步保证了网络存储数据的完整性和保密性。
发明实施例提供的网络数据存储方法,通过采用现有网络服务器操作系统自身的文件系统即可实现,由于操作系统的文件系统对上层系统而言具有统一的接口,保证了网络存储服务器的开放性。
附图说明
图1为本发明实施例提供的网络数据存储方法中数据上载流程图;
图2为本发明实施例提供的生成密钥文件的流程图;
图3为本发明实施例提供的网络数据存储方法中数据下载流程图;
图4为本发明实施例提供的网络存储服务器的结构示意图。
具体实施方式
下面结合附图,以具体的实施例对本发明提供的一种网络数据存储方法及服务器进行详细的说明。
本发明实施例提供的网络数据存储方法,针对服务器侧进行了改进。本发明实施例提供的网络数据存储方法可以应用于常见的网络存储服务器如FTP或WEBDAV服务器等,利用FTP或WEBDAV服务器现有操作系统提供的文件系统就可以实现,而不需要额外采用专门的安全文件系统作为网络数据的后台存储系统。这样,由于操作系统的文件系统对外的接口是统一的接口(例如标准的FTP或WEBDAV接口),保证了网络存储服务器的开放性。从读写访问的角度来说,直接访问服务器操作系统自身文件系统的效率,也优于通过服务器操作系统访问另外的安全文件系统的效率。
本发明实施例提供的网络数据存储方法,可以预先将服务器本地的存储空间中划分多个存储区域,每个存储区域例如可以对应文件系统的一个目录,如“Server1/area1”、“Server1/area2”等等。还可以实现对存储区域增加、删除和修改等操作。
并且,对于每个存储区域,需要预先对其中存储的数据文件是否需要加密以及加密算法和/或是否需要签名以及签名算法的参数信息分别进行配置,各个存储区域的配置信息是相互独立的,可以对不同的区域配置不同的加密算法和不同的签名算法,可以设置某一区域的数据文件仅加密不签名,而另外一个区域的数据文件不仅需要加密还需要进行签名,等等。在此不再枚举。在具体使用过程中,还可以根据需要,对存储区域的配置信息进行修改。
下面结合客户端发起的网络数据上载流程,说明本发明实施例提供的网络数据存储方法。
本发明实施例提供的网络数据存储方法,如图1所示,包括以下步骤:
步骤S101、服务器接收客户端发起的数据上载请求。
对于客户端来说,可以根据需要,请求将上载的数据流以文件的形式存储于服务器侧的任何一个存储区域中。
步骤S102、服务器根据该数据上载请求中携带有数据文件的存储区域信息,在存储区域中创建数据文件。
客户端发送的数据上载请求中可以通过携带存储区域的统一资源定位标识(Uniform Resource Locator,URL)来指示具体是哪个存储区域,例如“ftp://Server1/area1”、“http://Server1/area2”等。
步骤S103、根据数据文件所属存储区域的配置信息,判断数据文件是否需要加密;若判断结果为否,执行步骤S104,若是,执行步骤S105;
步骤S104、将上载的网络数据流直接写入创建好的数据文件中,然后执行步骤S108。
步骤S105、根据该数据文件所属存储区域配置的加密算法生成加密密钥。
本步骤S105中的加密密钥是随机实时生成的,在每次上载数据流的过程中生成的加密密钥都不相同。
步骤S106、根据该数据文件所属存储区域配置的加密算法和步骤S105生成的加密密钥,对上载的网络数据流进行加密。
步骤S107、将加密的网络数据流写入创建好的数据文件中。
步骤S108、根据数据文件所属存储区域的配置信息,判断数据文件是否需要签名;若判断结果为是,执行步骤S109,若否,跳转至步骤S110。
步骤S109、根据该数据文件所属存储区域配置的签名算法,对该数据文件进行签名。签名完成后,执行下述步骤S110。
步骤S110、向客户端返回上载成功的确认消息。
本发明实施例中,还可以在上述流程的基础上,增加生成密钥文件的流程,生成密钥文件的流程可以独立与图1所示的流程之外,也可以包含在图1所示的流程之中,与上述步骤S101至步骤S110合为一个整体的流程。为了说明地清楚,使用用图2的流程图进行示意。
如图2所示,本发明实施例中生成密钥文件的流程,包括以下步骤:
步骤S201、根据数据文件所属存储区域的配置信息,判断数据文件是否需要加密和是否需要签名,当任一判断结果为是时,执行步骤S202;若否,即判断该数据文件既不需要加密也并不需要签名时,直接跳转至步骤S208结束当前流程。
本步骤S201可以在图1所示的步骤S104或步骤S107之后,步骤S108之前执行。
步骤S202、按照设定的数据文件和密钥文件的对应规则,创建密钥文件。
本发明实施例并不限定密钥文件采用何种具体类型,例如文本文件类型或关系数据库记录等。
步骤S203、根据数据文件所属存储区域的配置信息,判断数据文件是否需要签名,若是,执行下述步骤S204、若否,跳转至步骤S206。
本步骤S203可以与图1中的步骤S108为同一个步骤。
步骤S204、将签名算法、签名结果写入密钥文件。
本步骤S204可以在图1所示的步骤S109之后执行。
步骤S205、根据数据文件所属存储区域的配置信息,判断数据文件是否需要加密,若是,执行步骤S206、若否,直接执行步骤S208。
步骤S206、使用公钥对加密密钥进行加密。
服务器可以预先配置公私密钥对,在此步骤中使用配置的公钥对加密密钥进行加密。
步骤S207、将加密算法、加密后的加密密钥写入密钥文件。
步骤S208、结束流程。
本流程结束后,可以执行图1所示的最后一个步骤S110。
本发明实施例中,在创建密钥文件时,可以采用预先设定的对应规则,将创建的密钥文件与数据文件之间一一对应,并且可以存储在同一个存储区域中。举例来说,密钥文件和数据文件的对应规则可以如下:
密钥文件的文件名可以采用数据文件的文件名加上特有的后缀组成。如下表所示:
表1
| 文件名称 | 大小 | 类型 |
| 5-421.txt | 3KB | 文本文档 |
| 5-421.txt.cipher | 1KB | CIPHER文件 |
| 5-422.GIF | 129KB | TIF图像 |
| 5-422.GIF.cipher | 1KB | CIPHER文件 |
上表1中,文件名为5_421.txt和5_422.GIF是数据文件,5_421.txt.cipher和5_422.GIF.cipher分别是上述两个数据文件对应的密钥文件。
显而易见,本发明实施例中,密钥文件和数据文件的对应规则并不局限于上述对应方式。
在本发明实施例服务器侧的文件系统中,上述密钥文件的文件属性可以设置为隐藏,普通用户通过网络在服务器侧查找文件时,服务器侧不会显示相应的密钥文件。
有权限的用户对服务器侧的数据文件进行修改或删除时,需要同时修改或删除其对应的密钥文件。
与本发明实施例提供的网络存储方法中的网络数据上载流程相对应,当客户端发起网络数据下载请求时,本发明实施例提供的网络数据存储方法,在服务器侧处理流程,如图3所示,包括以下步骤:
步骤S301、服务器接收客户端发起的网络数据下载请求。
步骤S302、根据该请求中携带的该数据文件的URL和文件标识信息,在对应的存储领域中读取该数据文件。
步骤S303、根据该数据文件对应的密钥文件,判断该数据文件是否已签名,若是,执行步骤S304;若否,执行步骤S308。
本步骤S303中,可以通过数据文件和密钥文件之间的对应规则,找到该数据文件对应的密钥文件,根据密钥文件中包含的具体内容来判断该数据文件是否签名(如果该密钥文件中仅包含了加密算法和加密后的加密密钥,那么可以判断该数据文件已加密未签名,如果该密钥文件中仅包含了签名算法和签名结果,那么可以判断该数据文件已签名未加密,如果该密钥文件中同时包含上述两类信息,那么可以判断该数据文件已加密并且已签名)。
步骤S304、根据该密钥文件中包含的签名算法和签名结果,对读取的数据文件验证签名。
步骤S305、判断验证是否通过;验证失败时,执行步骤S306。验证通过时,执行步骤S307。
步骤S306、向客户端返回出现错误的确认消息。
步骤S307、根据该数据文件对应的密钥文件,判断该数据文件是否已加密,若是,执行步骤S308,若否,跳转至步骤S310。
步骤S308、使用配置的私钥,对该密钥文件中的加密后的加密密钥进行解密,得到解密密钥。
步骤S309、使用步骤S308得到的解密密钥和该密钥文件中的加密算法,对数据文件的数据流进行解密,得到解密后的网络数据流。
步骤S310、将数据文件的数据流传输至客户端。
步骤S311、返回下载成功的确认消息。
根据本发明实施例提供的网络数据存储方法,本发明实施例还提供了一种网络存储服务器,如图4所示,包括:判断模块401、加密模块402、签名模块403和配置信息存储模块404;其中:
判断模块401,用于根据配置信息存储模块404中存储的该数据文件所属存储区域的配置信息,判断该数据文件是否需加密和/或是否需签名;
加密模块402,用于当判断模块401判断出数据文件需加密不需签名时,对客户端上载的网络数据流进行加密,并将加密的网络数据流写入该数据文件;以及当判断模块401判断出该数据文件需加密和签名时,在对读取的网络数据流进行加密并写入该数据文件后,将该数据文件传送至签名模块403;
签名模块403,用于当判断模块401判断出该数据文件需签名不需加密时,将客户端上载的网络数据流写入该数据文件,并对该数据文件进行签名;以及接收加密模块402传送的数据文件,对接收的数据文件进行签名;
配置信息存储模块404,用于存储各存储区域的配置信息。
本发明实施例提供的网络存储服务器,如图4所示,还可以包括:配置模块405,用于对预先划分的多个存储区域分别配置其存储的数据文件是否需要加密以及加密算法和/或是否需要签名以及签名算法的参数信息,并将配置的参数信息存储于配置信息存储模块404中。
加密模块402,还用于根据配置信息存储模块404中存储的该数据文件所属存储区域配置的加密算法,生成加密密钥;根据该加密算法和生成的加密密钥,对读取的网络数据流进行加密,生成加密的网络数据流;
签名模块403,还用于根据配置信息存储模块404存储的该数据文件所属存储区域配置的签名算法,对数据文件进行签名。
本发明实施例提供的网络存储服务器,如图4所示,还可以包括:密钥文件生成模块406和密钥文件存储模块407;
密钥文件生成模块406,用于使用公钥对加密密钥进行加密;以及将加密算法、加密后的加密密钥和/或所述签名算法、签名结果生成密钥文件,并与该数据文件一一对应;
密钥文件存储模块407,用于存储密钥文件。
根据本发明实施例提供的一种网络数据存储方法中的网络数据下载流程,本发明实施例提供的网络存储服务器,如图4所示,还可以包括下面两个模块:验证模块408和解密模块409;
判断模块401,还用于根据客户端请求下载的数据文件对应的密钥文件,判断请求下载的数据文件是否已加密和/或是否已签名;
验证模块408,用于当判断模块401判断该数据文件已签名未加密时,对该数据文件验证签名,并在验证通过后,将该数据文件的数据流输出到客户端;以及当判断模块401判断该数据文件已签名且已加密时,对该数据文件验证签名,并在验证通过后,将该数据文件发送至解密模块409;
解密模块409,用于当判断模块401判断该数据文件已加密未签名时,对该数据文件的数据流进行解密,并将解密的数据流输出到客户端;以及接收验证模块408发送的数据文件,对接收的数据文件的数据流进行解密,将解密的数据流输出到客户端。
本发明实施例提供的网络存储服务器中的验证模块408,还用于根据该数据文件对应的密钥文件中包含的签名算法和签名结果,对读取的数据文件验证签名。
解密模块409,还用于使用私钥和密钥文件中包含的加密算法,对密钥文件中的加密后的加密密钥进行解密,得到解密密钥;使用解密密钥对该数据文件的数据流进行解密。
本发明实施例提供的一种网络数据存储方法及服务器,服务器接收客户端发起的数据上载请求,创建数据文件,根据数据文件所属存储区域的配置信息,对客户端上载的网络数据流进行加密,将加密后的网络数据流写入数据文件;或将上载的网络数据流写入数据文件后,对数据文件进行签名,或对客户端上载的网络数据流进行加密后,将加密后的网络数据流写入数据文件,并对数据文件进行加密。当客户端请求进行网络数据下载时,相应地,根据数据文件所属存储区域的配置信息,对数据文件进行验证和/或解密的操作,将验证通过和/或解密后的文件数据流传送给客户端。
本发明实施例提供的网络存储方法及服务器,由于可以将数据文件分散存储于预先划分的多个存储区域中,避免了现有技术中的安全文件系统中所有加密的文件都存储于同一个文件所带来的读/写访问的效率不高的问题;再者,由于不同存储区域的配置的加密和/或签名的参数信息可以不同,不仅提高了系统的扩展性,还进一步保证了网络存储数据的完整性和保密性。
进一步地,本发明实施例提供的网络存储方法中,还将加密算法、加密后的加密密钥和/或签名算法、签名结果生成密钥文件并与数据文件一一对应,某个数据文件的密钥文件被破解或损坏,不会对其他数据文件的安全造成影响,避免了现有网络存储服务器采用的安全文件系统将所有加密文件的密钥集中管理带来的弊端,进一步地提高了系统的健壮性。由于密钥文件的存在,使得数据文件的解密不依赖于所属存储区域的配置参数,因此随时可以根据需要修改存储区域的配置参数,进一步提高了系统的扩展性,还进一步保证了网络存储数据的完整性和保密性。
另外,发明实施例提供的网络数据存储方法,可以直接采用现有网络服务器操作系统自身的文件系统进行数据的上载和下载的操作,由于操作系统的文件系统对上层系统而言具有统一的接口(例如标准的FTP或WEBDAV接口),保证了网络存储服务器的开放性。从读写访问的角度来说,直接访问服务器操作系统自身文件系统的效率,也优于通过服务器操作系统访问另外的安全文件系统的效率。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络数据存储方法,其特征在于,包括:
服务器根据数据文件所属存储区域的配置信息,判断所述数据文件是否需加密和/或是否需签名;
当判断所述数据文件需加密不需签名时,对所述客户端上载的网络数据流进行加密,并将加密的所述网络数据流写入所述数据文件;
当判断所述数据文件需签名不需加密时,将所述客户端上载的网络数据流写入所述数据文件,对所述数据文件进行签名;
当判断所述数据文件需要加密和签名时,对所述客户端上载的网络数据流进行加密,将加密的网络数据流写入所述数据文件,对所述数据文件进行签名。
2.如权利要求1所述的方法,其特征在于,还包括:
对预先划分的多个存储区域,分别配置其存储的数据文件是否需要加密以及加密算法和/或是否需要签名以及签名算法的参数信息;
所述对客户端上载网络数据流进行加密,包括:
根据所述数据文件所属存储区域配置的加密算法,生成加密密钥;
根据所述加密算法和生成的加密密钥,对客户端上载的网络数据流进行加密;
所述对数据文件进行签名,包括:
根据所述数据文件所属存储区域配置的签名算法,对所述数据文件进行签名。
3.如权利要求2所述的方法,其特征在于,还包括:
对所述加密密钥进行加密;
将所述加密算法、加密后的加密密钥和/或所述签名算法、签名结果生成密钥文件并存储;所述密钥文件与所述数据文件一一对应。
4.如权利要求3所述的方法,其特征在于,还包括:
所述服务器根据客户端请求下载的数据文件对应的密钥文件,判断所述数据文件是否已加密和/或是否已签名;
当判断所述数据文件已加密未签名时,对所述数据文件的数据流进行解密,并将解密的所述数据流输出到所述客户端;
当判断所述数据文件已签名未加密时,对所述数据文件验证签名,并在验证通过后,将所述数据文件的数据流输出到所述客户端;
当判断所述数据文件已签名且已加密时,对所述数据文件验证签名,并在验证通过后,对所述数据文件的数据流进行解密,将解密的数据流输出到所述客户端。
5.如权利要求4所述的方法,其特征在于,所述对数据文件验证签名,包括:
根据所述数据文件对应的密钥文件中包含的签名算法和签名结果,对读取的数据文件验证签名;
所述对数据文件的数据流进行解密,包括:
将所述密钥文件中加密后的加密密钥进行解密,得到解密密钥;使用所述解密密钥和所述密钥文件中的加密算法对所述数据文件的数据流进行解密。
6.一种网络存储服务器,其特征在于,包括:判断模块、加密模块、签名模块和配置信息存储模块;
所述判断模块,用于根据配置信息存储模块中存储的数据文件所属存储区域的配置信息,判断所述数据文件是否需加密和/或是否需签名;
所述加密模块,用于当所述判断模块判断出所述数据文件需加密不需签名时,对所述客户端上载的网络数据流进行加密,并将加密的网络数据流写入所述数据文件;以及当所述判断模块判断出所述数据文件需加密和签名时,在对所述客户端上载的网络数据流进行加密并写入所述数据文件后,将所述数据文件传送至所述签名模块;
所述签名模块,用于当所述判断模块判断出所述数据文件需签名不需加密时,将所述客户端上载的网络数据流写入所述数据文件,并对所述数据文件进行签名;以及接收加密模块传送的数据文件,对接收的所述数据文件进行签名;
所述配置信息存储模块,用于存储各存储区域的配置信息。
7.如权利要求6所述的服务器,其特征在于,还包括:配置模块,用于对预先划分的多个存储区域分别配置其存储的数据文件是否需要加密以及加密算法和/或是否需要签名以及签名算法的参数信息,并将配置的所述参数信息存储于所述配置信息存储模块中;
所述加密模块,还用于根据所述配置信息存储模块存储的所述数据文件所属存储区域配置的加密算法,生成加密密钥;根据所述加密算法和生成的加密密钥,对读取的网络数据流进行加密,生成加密的网络数据流;
所述签名模块,还用于根据所述配置信息存储模块存储的所述数据文件所属存储区域配置的签名算法,对数据文件进行签名。
8.如权利要求7所述的服务器,其特征在于,还包括:
密钥文件生成模块,用于对所述加密密钥进行加密;以及将所述加密算法、加密后的加密密钥和/或所述签名算法、签名结果生成密钥文件,并与所述数据文件一一对应;
密钥文件存储模块,用于存储所述密钥文件。
9.如权利要求8所述的服务器,其特征在于,还包括:验证模块和解密模块;
所述判断模块,还用于根据客户端请求下载的数据文件对应的密钥文件,判断请求下载的数据文件是否已加密和/或是否已签名;
所述验证模块,用于当所述判断模块判断所述数据文件已签名未加密时,对所述数据文件验证签名,并在验证通过后,将所述数据文件的数据流输出到所述客户端;以及当所述判断模块判断数据文件已签名且已加密时,对所述数据文件验证签名,并在验证通过后,将所述数据文件发送至所述解密模块;
所述解密模块,用于当所述判断模块判断所述数据文件已加密未签名时,对所述数据文件的数据流进行解密,并将解密的数据流输出到所述客户端;以及接收所述验证模块发送的数据文件,对接收的所述数据文件的数据流进行解密,将解密的数据流输出到所述客户端。
10.如权利要求9所述的服务器,其特征在于,所述验证模块,还用于根据所述密钥文件中包含的签名算法和签名结果,对读取的数据文件验证签名;
所述解密模块,还用于对所述密钥文件中的加密后的加密密钥进行解密,得到解密密钥;使用所述解密密钥和所述密钥文件中的加密算法对所述数据文件的数据流进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102279004A CN101753539B (zh) | 2008-12-01 | 2008-12-01 | 一种网络数据存储方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102279004A CN101753539B (zh) | 2008-12-01 | 2008-12-01 | 一种网络数据存储方法及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101753539A true CN101753539A (zh) | 2010-06-23 |
| CN101753539B CN101753539B (zh) | 2012-06-06 |
Family
ID=42479949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102279004A Expired - Fee Related CN101753539B (zh) | 2008-12-01 | 2008-12-01 | 一种网络数据存储方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101753539B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078866A (zh) * | 2013-01-14 | 2013-05-01 | 成都西可科技有限公司 | 移动平台透明加密方法 |
| CN103973715A (zh) * | 2014-05-29 | 2014-08-06 | 广东轩辕网络科技股份有限公司 | 一种云计算安全系统和方法 |
| CN104751072A (zh) * | 2015-03-17 | 2015-07-01 | 山东维固信息科技股份有限公司 | 基于实时加解密技术的完全透明用户体验涉密控制系统 |
| CN105100087A (zh) * | 2015-07-08 | 2015-11-25 | 上海迈外迪网络科技有限公司 | Sql数据库的管理方法、管理服务器及系统 |
| CN105656866A (zh) * | 2014-12-02 | 2016-06-08 | 华为技术有限公司 | 数据加密方法及系统 |
| CN106209754A (zh) * | 2015-05-08 | 2016-12-07 | 中标软件有限公司 | 版本控制系统中对软件包自动签名的方法和系统 |
| CN107277141A (zh) * | 2017-06-21 | 2017-10-20 | 京东方科技集团股份有限公司 | 应用于分布式存储系统的数据判断方法及分布式存储系统 |
| CN108011857A (zh) * | 2016-11-01 | 2018-05-08 | 北京京东尚科信息技术有限公司 | 数据动态加密传输配置方法和装置 |
| CN108880811A (zh) * | 2018-09-30 | 2018-11-23 | 北京集创北方科技股份有限公司 | 生物特征识别系统及其通信方法 |
| CN109565498A (zh) * | 2016-06-02 | 2019-04-02 | 北京易掌云峰科技有限公司 | 利用标头的性能的动态传送 |
| CN114095175A (zh) * | 2021-10-19 | 2022-02-25 | 网络通信与安全紫金山实验室 | 一种可灰度校验的数据保密方法、装置及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1219260C (zh) * | 2003-09-02 | 2005-09-14 | 四川大学 | 一种安全文件系统的存储及访问控制方法 |
| CN101247232B (zh) * | 2008-03-27 | 2012-09-26 | 上海金鑫计算机系统工程有限公司 | 数据交换传输中基于数字签名的加密技术方法 |
-
2008
- 2008-12-01 CN CN2008102279004A patent/CN101753539B/zh not_active Expired - Fee Related
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078866B (zh) * | 2013-01-14 | 2015-11-04 | 成都西可科技有限公司 | 移动平台透明加密方法 |
| CN103078866A (zh) * | 2013-01-14 | 2013-05-01 | 成都西可科技有限公司 | 移动平台透明加密方法 |
| CN103973715A (zh) * | 2014-05-29 | 2014-08-06 | 广东轩辕网络科技股份有限公司 | 一种云计算安全系统和方法 |
| CN103973715B (zh) * | 2014-05-29 | 2017-03-22 | 广东轩辕网络科技股份有限公司 | 一种云计算安全系统和方法 |
| CN105656866A (zh) * | 2014-12-02 | 2016-06-08 | 华为技术有限公司 | 数据加密方法及系统 |
| CN104751072A (zh) * | 2015-03-17 | 2015-07-01 | 山东维固信息科技股份有限公司 | 基于实时加解密技术的完全透明用户体验涉密控制系统 |
| CN106209754B (zh) * | 2015-05-08 | 2019-01-22 | 中标软件有限公司 | 版本控制系统中对软件包自动签名的方法和系统 |
| CN106209754A (zh) * | 2015-05-08 | 2016-12-07 | 中标软件有限公司 | 版本控制系统中对软件包自动签名的方法和系统 |
| CN105100087A (zh) * | 2015-07-08 | 2015-11-25 | 上海迈外迪网络科技有限公司 | Sql数据库的管理方法、管理服务器及系统 |
| CN109565498A (zh) * | 2016-06-02 | 2019-04-02 | 北京易掌云峰科技有限公司 | 利用标头的性能的动态传送 |
| CN108011857A (zh) * | 2016-11-01 | 2018-05-08 | 北京京东尚科信息技术有限公司 | 数据动态加密传输配置方法和装置 |
| CN107277141A (zh) * | 2017-06-21 | 2017-10-20 | 京东方科技集团股份有限公司 | 应用于分布式存储系统的数据判断方法及分布式存储系统 |
| CN107277141B (zh) * | 2017-06-21 | 2020-03-31 | 京东方科技集团股份有限公司 | 应用于分布式存储系统的数据判断方法及分布式存储系统 |
| CN108880811A (zh) * | 2018-09-30 | 2018-11-23 | 北京集创北方科技股份有限公司 | 生物特征识别系统及其通信方法 |
| CN108880811B (zh) * | 2018-09-30 | 2021-11-23 | 北京集创北方科技股份有限公司 | 生物特征识别系统及其通信方法 |
| CN114095175A (zh) * | 2021-10-19 | 2022-02-25 | 网络通信与安全紫金山实验室 | 一种可灰度校验的数据保密方法、装置及存储介质 |
| CN114095175B (zh) * | 2021-10-19 | 2024-03-26 | 网络通信与安全紫金山实验室 | 一种可灰度校验的数据保密方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101753539B (zh) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101753539B (zh) | 一种网络数据存储方法及服务器 | |
| US11076290B2 (en) | Assigning an agent device from a first device registry to a second device registry | |
| US9860235B2 (en) | Method of establishing a trusted identity for an agent device | |
| CN110535662B (zh) | 基于区块链数据存证服务实现用户操作记录的方法及系统 | |
| US11089018B2 (en) | Global unique device identification code distribution method | |
| US9819494B2 (en) | Digital signature service system based on hash function and method thereof | |
| CN105847228A (zh) | 用于信息中心网络的访问控制框架 | |
| CN101651714B (zh) | 下载方法及相关系统和设备 | |
| US20100241852A1 (en) | Methods for Producing Products with Certificates and Keys | |
| WO2015056008A1 (en) | Method for assigning an agent device from a first device registry to a second device registry | |
| KR101285281B1 (ko) | 자가조직 저장매체의 보안 시스템 및 그 방법 | |
| US20190349347A1 (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
| CN109064596B (zh) | 密码管理方法、装置及电子设备 | |
| CN103139143B (zh) | 数字版权管理的方法、系统和服务器 | |
| CN104901968A (zh) | 一种安全云存储系统中的密钥管理分发方法 | |
| JP2004110197A (ja) | センタ・システムにおける情報処理方法及びアクセス権限管理方法 | |
| CN103403729A (zh) | 唯一代码签名密钥的安全管理和个性化 | |
| CN111194033B (zh) | 车内安全通信方法、系统及计算机存储介质 | |
| CN107368749B (zh) | 文件处理方法、装置、设备及计算机存储介质 | |
| CN115766270A (zh) | 文件解密方法、加密方法、密钥管理方法、装置及设备 | |
| JP3810966B2 (ja) | 暗号通信センター装置及び暗号通信システム並びに記録媒体 | |
| CN106156625A (zh) | 一种插件签名的方法及电子设备 | |
| Ray et al. | A solution for industrial device commissioning along with the initial trust establishment | |
| TW202002562A (zh) | 設備識別碼配發方法、裝置及物聯網設備 | |
| CN117220852A (zh) | 一种基于区块链的可信数据分享方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120606 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |