一種云環(huán)境下的數(shù)據(jù)安全保密方法
【專利說明】
【技術領域】
[0001]本發(fā)明涉及一種保護信息安全的方法����,特別涉及一種云環(huán)境下的數(shù)據(jù)安全保密方法���。
【【背景技術】】
[0002]云計算支持用戶在任意位置����、使用各種終端獲取應用服務���,所請求的資源來自“云”�,而不是固定的有形的實體。無論是企業(yè)還是個人用戶都存在大量的私密數(shù)據(jù)�����,如企業(yè)商業(yè)機密數(shù)據(jù)�、企業(yè)客戶信息數(shù)據(jù)、財務數(shù)據(jù)�、個人銀行賬戶及密碼、隱私照片等等��。對于使用云計算服務的用戶來說����,“云”就像一個黑匣子,因為在云環(huán)境中�,用戶并不知道其數(shù)據(jù)最終存儲在何處、數(shù)據(jù)傳輸過程是否安全����,也不清楚云服務商是否具備特殊權限來獲取用戶數(shù)據(jù)���。換句話說�,用戶無法控制云環(huán)境下的數(shù)據(jù)����,這必然會引起用戶對所存儲數(shù)據(jù)的機密性����、完整性以及用戶隱私性等安全問題的擔心���。
[0003]在用戶使用云計算服務同時如何確保用戶的數(shù)據(jù)在云環(huán)境下的安全性�����,即如何保證網絡傳輸過程當中數(shù)據(jù)不被竊取和篡改�����;如何保證云計算服務商在得到數(shù)據(jù)時無法將用戶敏感數(shù)據(jù)并將其泄露出去�����;如和保證訪問用戶經過嚴格的權限認證并且是合法的數(shù)據(jù)訪問���,保證用戶在任何時候都可以安全的訪問到自身的數(shù)據(jù),已經成為與計算服務發(fā)展過程當中迫切需要解決的問題�。
【
【發(fā)明內容】
】
[0004]本發(fā)明的目的在于克服上述現(xiàn)有技術的不足,提供一種云環(huán)境下的數(shù)據(jù)安全保密方法����,其旨在解決現(xiàn)有技術中使用云計算服務過程中信息保密性不強���、數(shù)據(jù)容易被泄漏的技術問題。
[0005]為實現(xiàn)上述目的����,本發(fā)明提出了一種云環(huán)境下的數(shù)據(jù)安全保密方法,其基于一種獨立的第三方認證及存儲設備和終端安全檢測程序�,所述第三方認證及存儲設備包含自控芯片和存儲器,所述自控芯片上運行的程序包含控制模塊和文件系統(tǒng)模塊�����,所述存儲器包含加密存儲區(qū)和普通存儲區(qū)�����,所述控制模塊通過調用文件系統(tǒng)模塊訪問存儲器的加密存儲區(qū)�,所述普通存儲區(qū)包含終端安全檢測程序,所述加密存儲區(qū)包含身份認證信息��、密鑰和算法軟件載體���,所述密鑰采用AES對稱密鑰和RSA非對稱密鑰聯(lián)合的加密方式��,所述第三方認證及存儲設備上還設有指紋識別器����,其具體步驟如下:
[0006]A)初始狀態(tài):將第三方認證及存儲設備與云訪問終端設備通過USB協(xié)議進行通信連接���,自控芯片上的控制模塊運行����;
[0007]B)密碼驗證:第三方認證及存儲設備與云訪問終端設備通信連接后�����,自動彈出第三方認證及存儲設備密碼驗證框�����,等待用戶的輸入���,并將用戶輸入的密碼傳輸至控制模塊��,控制模塊調用文件系統(tǒng)模訪問存儲器的加密存儲區(qū)��,將用戶輸入的密碼與第三方認證及存儲設備配置的設備密碼進行比對���,如果相符合���,則轉至步驟E),如果不相符�����,則反饋密碼驗證錯誤的信息��,轉至步驟C)�,如果密碼驗證不相符的次數(shù)達到&次,轉至步驟D);
[0008]C)驗證失敗:第三方認證及存儲設備重新彈出設備密碼驗證框����,等待用戶的輸入,回轉至步驟B);
[0009]D)訪問失敗:控制模塊查看第三方認證及存儲設備預定的配置信息�,如果配置信息為格式化,則控制模塊將驗證密碼重置為默認值���,并調用文件系統(tǒng)模塊清除存儲器內部的所有文件�,同時彈出錯誤次數(shù)過多的警示框后自動關閉��,斷開第三方認證及存儲設備與云訪問終端設備的通信連接,回轉至步驟A)���,如果配置信息為不格式化,則控制模塊將錯誤次數(shù)過多的信息通過在第三方認證及存儲設備上彈出警示框反饋給用戶��,轉至步驟W);
[0010]E)初始化設備:用戶密碼驗證成功后�����,第三方認證及存儲設備自動加載普通存儲區(qū)��,并初始化自控芯片��、加密存儲區(qū)內的程序和文件���,自控芯片通過控制模塊檢查云訪問終端設備是否存在安全檢測程序�,若存在�,則轉至步驟G),若不存在���,則轉至步驟F);
[0011]F)安裝安全檢測程序:自控芯片通過控制模塊調用文件系統(tǒng)模塊訪問普通存儲區(qū)��,并運行安全檢測程序����,在云服務訪問終端設備上完成安全檢測程序的自動安裝,轉至步驟I);
[0012]G)更新安全策略:自控芯片通過控制模塊更新云服務訪問終端設備系統(tǒng)的全檢查策略�,更新完成后轉至步驟I);
[0013]I)安全檢查:用戶運行安全檢測程序對訪問終端系統(tǒng)進行安全檢查,并判斷終端系統(tǒng)是否滿足安全訪問基線���,若滿足��,則轉至步驟K)����,若不滿足�����,則轉至步驟J);
[0014]J)終端系統(tǒng)安全加固:安全檢測程序在終端系統(tǒng)上進行自定安全預警和安全加固�,回轉至步驟I);
[0015]K)權限認證:控制模塊根據(jù)滿足安全訪問基線的信息,彈出用戶身份權限認證的認證框����,用戶在認證框內輸入身份認證信息,控制模塊將身份認證信息與加密存儲區(qū)預置的身份認證信息進行比對�,如果相符,則轉至步驟M)����,如果不相符��,則反饋身份認證錯誤的信息�,轉至步驟L)�����,如果身份認證的次數(shù)達到N2次�,則轉至步驟W);
[0016]L)認證失敗:控制模塊根據(jù)認證失敗的信息重新彈出身份認證框�,等待用戶輸入,回轉至步驟K);
[0017]M)云服務器登錄:控制模塊根據(jù)身份認證成功的信息��,在云服務終端彈出用戶登錄信息驗證框���,等待用戶輸入�,控制模塊將用戶輸入的登錄信息與原配置信息進行比���,如果相符�,則轉至步驟P)�����,如果不相符,則反饋登錄信息驗證錯誤的信息�����,轉至步驟0)�,如果登錄信息驗證的次數(shù)達到隊次,則轉至步驟W);
[0018]0)登錄失敗:根據(jù)驗證失敗的信息重新彈出用戶登錄信息驗證框�����,等待用戶輸入����,回轉至步驟M);
[0019]P)訪問云服務器:用戶登錄成功后,通過第三方認證及存儲設備的控制模塊調用文件系統(tǒng)模直接訪問云計算服務器中的資源��;
[0020]Q)數(shù)據(jù)加密傳輸:用戶通過控制模塊調用文件系統(tǒng)模塊訪問加密存儲區(qū)��,采用RSA非對稱密鑰的公鑰并運行算法軟件載體對AES對稱密鑰和加密存儲區(qū)內的重要數(shù)據(jù)一起進行非對稱加密處理�����,使AES對稱密鑰和重要數(shù)據(jù)以密文形式存在��,并通過可信通道發(fā)送給云服務器的云處理器模塊����;
[0021]R)數(shù)據(jù)應用處理:運用云處理器模塊中的處理程序對密文中的重要數(shù)據(jù)進行應用處理�����;
[0022]S)對稱加密處理:運用云服務器的加密模塊��,采用AES對稱密鑰運行對稱加密算法對應用處理后的重要數(shù)據(jù)再次進行加密處理��,使數(shù)據(jù)以二次加密的密文形式存在�;
[0023]T)數(shù)據(jù)存儲:控制模塊直接訪問云服務器的云存儲處理模塊�,進行云數(shù)據(jù)與文件的存儲服務����,將二次加密的密文存儲至云計算數(shù)據(jù)存儲服務器中;
[0024]U)退出云服務器:存儲完成后��,用戶退出云服務器�;
[0025]V)記錄日志:在用戶完成操作后,控制模塊根據(jù)用戶的操作過程�、文件數(shù)據(jù)等信息的傳輸過程整理成日志信息,并將該日志信息寫入存儲器內的記錄空間中���;
[0026]W)結束操作:控制模塊接收到的信息�,直接控制第三方認證及存儲設備與云訪問終端設備斷開通信連接。
[0027]作為優(yōu)選�����,所述指紋識別器與自控芯片連接�,并與控制模塊通信,所述指紋識別器上錄