基于云存儲技術(shù)防止文件泄密的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種基于云存儲技術(shù)防止文件泄密的方法及系統(tǒng),方法包括:客戶端將需要保護的文件上傳到云服務(wù)端�,同時生成相對應(yīng)的訪問鏈接并刪除所述需要保護的文件;云服務(wù)端對需要保護的文件進行監(jiān)控��,并在收到客戶端發(fā)送的請求后��,根據(jù)客戶端發(fā)送的請求實現(xiàn)用戶操作服務(wù)���。系統(tǒng)包括:云服務(wù)端和客戶端�,所述云服務(wù)端包括:數(shù)據(jù)交互模塊、監(jiān)控模塊�����;所述客戶端包括:數(shù)據(jù)接口交互模塊���、文件訪問鏈接模塊����、文件刪除模塊���,該文件刪除模塊用于在需要保護的文件上傳后刪除所述的文件���。本發(fā)明能夠防止用戶因誤操作或設(shè)備丟失而導致的信息泄露。
【專利說明】基于云存儲技術(shù)防止文件泄密的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機信息安全【技術(shù)領(lǐng)域】���,特別是涉及一種基于云存儲技術(shù)防止文件泄密的方法及系統(tǒng)��。
【背景技術(shù)】
[0002]云存儲是云計算的擴展應(yīng)用�,它利用集群應(yīng)用�����、網(wǎng)格技術(shù)和分布式文件系統(tǒng),使各種類型的存儲設(shè)備通過應(yīng)用軟件協(xié)同工作��,為用戶提供數(shù)據(jù)存儲和訪問功能���。
[0003]云存儲系統(tǒng)的結(jié)構(gòu)主要由四部分組成:1.存儲層��,提供存儲服務(wù)的設(shè)備的集合�;
2.基礎(chǔ)管理層���,使工作在存儲層的各設(shè)備能夠協(xié)同工作����,具體包括如內(nèi)容分發(fā)�����、數(shù)據(jù)壓縮�、數(shù)據(jù)備份等功能��;3.應(yīng)用接口層��,為用戶提供各類服務(wù)的接口功能���,包括用戶身份認證�����、權(quán)限管理��、應(yīng)用程序等模塊�����;4.訪問層�����,用戶通過它訪問數(shù)據(jù)中心的數(shù)據(jù)或使用相應(yīng)授權(quán)的服務(wù)��。
[0004]隨著用戶不斷增多�����,利用云計算技術(shù)保護用戶信息安全的安全云也隨之出現(xiàn)�����。例如,殺毒軟件廠商將軟件病毒庫的存儲位置從用戶端移至數(shù)據(jù)中心�����,解決了用戶病毒庫升級的不一致性��。
[0005]然而����,目前云存儲服務(wù)主要針對的是用戶存儲容量的擴展,使存儲虛擬化和自動化����,但并沒有提供信息保密的功能和服務(wù)。實際上�,由于用戶的安全意識偏低,或者設(shè)備的安全性過低�����,信息從用戶計算機上被竊取����、監(jiān)聽的事件屢見不鮮��,用戶所使用的設(shè)備成為保障信息安全的一塊短板。
[0006]總體而言�,有兩種方法保護用戶的數(shù)據(jù)安全。一種是提高用戶所使用設(shè)備的安全性�����。這種方法一般包括設(shè)置用戶訪問權(quán)限及防火墻�,使用最新版本的殺毒軟件等措施。然而��,這種做法往往不能防止用戶因為誤操作或設(shè)備丟失而導致的信息泄露����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明所要解決的技術(shù)問題是提供一種基于云存儲技術(shù)基于云存儲技術(shù)防止文件泄密的方法及系統(tǒng),能夠防止用戶因誤操作或設(shè)備丟失而導致的信息泄露����。
[0008]本發(fā)明一種基于云存儲技術(shù)防止文件泄密的方法的技術(shù)方案是:
一種基于云存儲技術(shù)防止文件泄密的方法,包括以下步驟:
(O客戶端將需要保護的文件上傳到云服務(wù)端�,同時生成相對應(yīng)的訪問鏈接并刪除所述需要保護的文件;
(2)云服務(wù)端對需要保護的文件進行監(jiān)控���,并在收到客戶端發(fā)送的請求后����,根據(jù)客戶端發(fā)送的請求實現(xiàn)用戶操作服務(wù)。
[0009]進一步是:所述步驟(I)前還包括客戶端對需要保護的文件進行預處理的步驟���,包括:
判斷需要保護的文件的安全性�;
計算需要保護的文件的散列值����; 對需要保護的文件進行加密。
[0010]進一步是:所述判斷需要保護的文件的安全性的步驟包括對文件類型進行判斷��,當文件類型為可執(zhí)行文件時�����,根據(jù)文件的廠商�����、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性�����。
[0011]進一步是:所述步驟(2)中云服務(wù)端對需要保護的文件進行監(jiān)控�,包括以下子步驟:
對每一條與文件操作相關(guān)的指令進行記錄�;
當所述文件操作為備份或轉(zhuǎn)存時,將文件的備份或轉(zhuǎn)存的時間、地址�、總備份數(shù)、操作申請者��、操作執(zhí)行服務(wù)器ID�、備份路由路徑和原存儲位置生成文件的備份轉(zhuǎn)存地址表;將所述文件的備份轉(zhuǎn)存地址表以加密文本文件的形式發(fā)送到對應(yīng)的客戶端���。
[0012]進一步是:所述步驟(2)中收到客戶端發(fā)送的請求為文件訪問或修改操作請求時��,包括以下子步驟:
接收客戶端發(fā)送的訪問請求����,其中�,所述訪問請求包括用戶身份、請求文件名��、文件名編號����、文件地址;
云服務(wù)端根據(jù)請求文件名��、文件名編號和文件地址生成文件鏡像��,并將該文件鏡像發(fā)送給所述客戶端,所述文件鏡像為與原文件內(nèi)容相同的備份�;
客戶端緩存云服務(wù)端返回的文件鏡像。
[0013]進一步是:所述的備份為插入訪問標簽的原文件的加密備份�����,所述客戶端緩存云服務(wù)端返回的文件鏡像后�����,對文件鏡像進行解密并利用標簽識別打開�;所述對文件鏡像進行解密并利用標簽識別打開的步驟后還包括修改和關(guān)閉該文件鏡像的步驟,修改完成時重新計算文件的散列值��,并將該散列值與保存在云服務(wù)端的文件備份及文件散列值進行更新����;關(guān)閉時立即刪除該文件鏡像。
[0014]進一步是:所述步驟(2)中云服務(wù)端接收客戶端發(fā)送的請求為刪除文件的操作請求時��,包括以下子步驟:
查詢所有相關(guān)文件的存儲地址���,所述存儲地址記錄在以文件編號為索引的備份轉(zhuǎn)存地址表中��;
根據(jù)所述文件的備份轉(zhuǎn)存地址表進行刪除文件的操作�;
對保存的文件備份和文件鏡像執(zhí)行刪除操作;
將原文件以加密的形式發(fā)送回客戶端�;
所述對保存的文件備份和鏡像執(zhí)行刪除操作的步驟與所述服務(wù)端將原文件以加密的形式發(fā)送回客戶端的步驟之間還包括:
接收刪除報告��,其中��,所述刪除報告為存儲被刪除文件的服務(wù)器在服務(wù)端的IP地址及服務(wù)器名��;
將收到的刪除報告按備份轉(zhuǎn)存地址表的順序進行散列值的計算����,該散列值和終端保存的散列值進行對比,如果一致�����,表明數(shù)據(jù)中心刪除了所有該文件的備份�。
[0015]本發(fā)明防止終端設(shè)備中文件泄密的系統(tǒng)的技術(shù)方案是:
一種防止終端設(shè)備中文件泄密的系統(tǒng),包括云服務(wù)端和客戶端���,所述云服務(wù)端包括:數(shù)據(jù)交互模塊����,用于接收客戶端發(fā)送的需要保護的文件和請求����;監(jiān)控模塊����,用于對需要保護的文件進行監(jiān)控�;所述客戶端包括:數(shù)據(jù)接口交互模塊,用于將需要保護的文件上傳到云服務(wù)端和向云服務(wù)端發(fā)送請求�����;文件訪問鏈接模塊�����,用于在需要保護的文件上傳后生成相對應(yīng)的訪問鏈接�;文件刪除模塊,用于在需要保護的文件上傳后刪除所述的文件���。
[0016]進一步是:所述客戶端還包括預處理模塊����,用于對需要保護的文件進行預處理�;所述預處理模塊包括:判斷子模塊,用于判斷需要保護的文件的安全性�;計算子模塊�����,計算需要保護的文件的散列值��;加/解密子模塊��,對需要保護的文件進行加密;所述判斷子模塊對文件類型進行判斷���,當文件類型為可執(zhí)行文件時��,通過下載軟件安全數(shù)據(jù)庫的方式根據(jù)文件的廠商���、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性,或?qū)⑽募畔l(fā)送給云服務(wù)端�,由云服務(wù)端對文件的安全性進行判斷。
[0017]進一步是:所述監(jiān)控模塊包括:記錄子模塊����,用于對每一條與文件操作相關(guān)的指令進行記錄;備份轉(zhuǎn)存地址表生成子模塊����,用于在所述文件操作為備份或轉(zhuǎn)存時����,將文件的備份或轉(zhuǎn)存的時間�����、地址���、總備份數(shù)���、操作申請者、操作執(zhí)行服務(wù)器ID���、備份路由路徑和原存儲位置生成文件的備份轉(zhuǎn)存地址表���。
[0018]進一步是:所述云服務(wù)端還包括文件鏡像生成模塊,用于在接收客戶端發(fā)送的訪問請求后��,根據(jù)請求文件名��、文件名編號和文件地址生成文件鏡像��,所述文件鏡像為云服務(wù)端生成的與原文件內(nèi)容相同的備份;所述客戶端還包括存儲模塊����,用于緩存云服務(wù)端返回的文件鏡像;其中���,所述訪問請求包括用戶身份��、請求文件名�、文件名編號��、文件地址�;所述的備份為插入訪問標簽的原文件的加密備份����,所述加/解密子模塊對收到的文件鏡像進行解密并利用標簽識別打開;所述計算子模塊在文件鏡像修改完成時重新計算文件的散列值��;所述數(shù)據(jù)交互接口模塊將重新計算的散列值上傳至云服務(wù)端�����,供云服務(wù)端進行文件備份及文件散列值更新����;文件刪除模塊��,在關(guān)閉文件鏡像時立即刪除所述的文件鏡像���。
[0019]進一步是:所述云服務(wù)端還包括:查詢模塊,用于在接收客戶端發(fā)送的刪除文件的操作請求后��,查詢所有相關(guān)文件的存儲地址�,所述存儲地址記錄在以文件編號為索引的備份轉(zhuǎn)存地址表中;刪除模塊���,用于根據(jù)所述文件的備份轉(zhuǎn)存地址表進行刪除文件以及對保存的文件備份和文件鏡像進行刪除����;所述數(shù)據(jù)交互模塊還用于將原文件以加密的形式發(fā)送回客戶端����。
[0020]本發(fā)明有益效果主要有:
由于采用了上述的技術(shù)方案,本發(fā)明與現(xiàn)有技術(shù)相比�,具有以下的優(yōu)點和積極效果:本發(fā)明利用云服務(wù)端的高安全性,保護用戶數(shù)據(jù)���,防止信息泄露���。本發(fā)明不是為了提高用戶設(shè)備的安全性��,而是提供類似于“數(shù)據(jù)銀行”的安全存儲服務(wù)����,用戶將需要保護的數(shù)據(jù)托管在云服務(wù)端��,用戶僅持有托管和訪問的票據(jù)����,用于訪問和操作。
【專利附圖】
【附圖說明】
[0021]圖1是本發(fā)明基于云存儲技術(shù)防止文件泄密的方法的一個實施方式流程圖��;
圖2是本發(fā)明基于云存儲技術(shù)防止文件泄密的系統(tǒng)的一個實施例結(jié)構(gòu)示意圖�;
圖3是本發(fā)明基于云存儲技術(shù)防止文件泄密的系統(tǒng)中的預處理模塊的結(jié)構(gòu)圖����;
圖4是本發(fā)明基于云存儲技術(shù)防止文件泄密的系統(tǒng)中的監(jiān)控模塊的結(jié)構(gòu)圖。
【具體實施方式】
[0022]下面結(jié)合附圖和具體實施例對本發(fā)明作進一步說明如下: 實施例1:是本發(fā)明的一種基于云存儲技術(shù)防止文件泄密的方法實施方式���?�;谠拼鎯夹g(shù)防止文件泄密的方法��,包括以下步驟:客戶端將需要保護的文件上傳到云服務(wù)端���,同時生成相對應(yīng)的訪問鏈接并刪除所述需要保護的文件��;云服務(wù)端對需要保護的文件進行監(jiān)控����,并在收到客戶端發(fā)送的請求后����,根據(jù)客戶端發(fā)送的請求實現(xiàn)用戶操作服務(wù)。
[0023]本實施方式中�����,被保護的文件保存在云服務(wù)端上��,用戶所使用的本地計算機(即客戶端)不保存文件而僅保存文件的基本信息和訪問路徑或地址���。當客戶端不連接云服務(wù)端時���,用戶不能對文件進行訪問。用戶訪問文件的條件是:客戶端��、身份證書、正確的口令以及與數(shù)據(jù)中心的網(wǎng)絡(luò)連接���?����?蛻舳丝赏ㄟ^安裝應(yīng)用軟件的方式或增加硬件模塊的方式來獲取身份證書和口令�,采用應(yīng)用軟件的方式時����,在客戶端上安裝軟件后會自動生成身份證書和初始口令。具體如下����,客戶端軟件安裝完畢后會向云服務(wù)端發(fā)出請求,云服務(wù)端收到來自客戶端的請求后����,會為該客戶端生成身份證書。該身份證書將作為用戶訪問受保護文件的憑證之一����。身份證書生成后����,客戶端要求用戶輸入初始密碼�����,該密碼用于登陸客戶端和與身份證書一起使用�,訪問存儲在數(shù)據(jù)中心存儲服務(wù)器上的受保護文件��,該初始密碼可根據(jù)用戶的需求進行修改��。安裝客戶端時�����,將由用戶指定一個在本地計算機上的文件夾���,該文件夾用于上傳受保護文件之前���,在本地存儲該文件,為上傳及刪除該文件做準備�����,并在上傳和刪除后�����,在該文件夾保存訪問鏈接。
[0024]如圖1所示���,具體步驟如下:
在用戶選擇需要保護的文件后�,客戶端將進行文件預處理���,文件預處理包括:
判斷需要保護的文件的安全性����;計算需要保護的文件的散列值�����;對需要保護的文件進行加密�。
[0025]在判斷文件的安全性時,判斷子模塊對文件類型進行判斷���,當文件類型為可執(zhí)行文件時����,通過下載�����、更新軟件安全數(shù)據(jù)庫的方式根據(jù)文件的廠商��、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性���,或?qū)⑽募畔l(fā)送給云服務(wù)端���,由云服務(wù)端對文件的安全性進行判斷。
[0026]客戶端判斷可執(zhí)行文件安全性的方法是:當用戶安裝客戶端軟件時��,將從數(shù)據(jù)中心下載一個存有安全軟件的數(shù)據(jù)庫���。該安全軟件的數(shù)據(jù)庫中的一個表項表示一款安全軟件的詳細信息�,它包括軟件的開發(fā)廠商���、最新版本號��。對于具有網(wǎng)絡(luò)訪問功能的軟件�,該數(shù)據(jù)庫還會記錄軟件使用的端口����、合法的發(fā)布及下載地址���。該數(shù)據(jù)庫由云服務(wù)端周期性更新并發(fā)布到客戶端。當需要判斷的可執(zhí)行文件在數(shù)據(jù)庫中有對應(yīng)表項時�,該文件被認為是安全的。否則���,該文件的文件名及文件開發(fā)廠商將被上傳到云服務(wù)端����,由云服務(wù)端判斷該文件的安全性�。為找到匹配項的文件,無論是在客戶端還是云服務(wù)端�����,默認判斷它是不安全的�����。對于安全軟件數(shù)據(jù)庫�����,另一種供選擇的方案是,客戶端不在本地計算機上保存該數(shù)據(jù)庫����,而是在需要時�,將需要判斷的軟件信息發(fā)送到云服務(wù)端,由云服務(wù)端進行判斷���,并將判斷結(jié)果返回給客戶端�。云服務(wù)端的安全軟件數(shù)據(jù)庫的建立���,有主動上傳和被動搜集兩種方式�。任何一個正規(guī)的軟件開發(fā)廠商可主動上傳開發(fā)的軟件信息�。被動搜集是指數(shù)據(jù)中心利用大數(shù)據(jù)分析技術(shù),搜集網(wǎng)絡(luò)上的軟件信息�。本申請并不涉及如何建立云服務(wù)端的安全軟件數(shù)據(jù)庫,故不再贅述���。
[0027]完成對文件的預處理后����,在確保文件安全的情況下�����,客戶端將需要保護的文件上傳到云服務(wù)端,同時生成相對應(yīng)的訪問鏈接并刪除所述需要保護的文件�。具體地說,客戶端自動將文件上傳到云服務(wù)端后���,在本地生成訪問鏈接并刪除本地文件�����。所生成的鏈接可以以圖標的形式顯示在客戶端中����,每個圖標會根據(jù)特定的文件類型生成對應(yīng)的圖標�����,并顯示與被保護文件相同的文件名�。
[0028]云服務(wù)端收到客戶端上傳的文件后,對該文件進行存儲��,并對該需要保護的文件進行監(jiān)控�。也就是說,當云服務(wù)端對用戶托管的文件進行備份或轉(zhuǎn)存時�����,云服務(wù)端的監(jiān)控模塊(如文件監(jiān)控服務(wù)器)將自動報告?zhèn)浞菔录蜣D(zhuǎn)存事件給用戶,使用戶對文件具有完全的控制���。具體方法是:云服務(wù)端的存儲服務(wù)器對每一條與文件操作相關(guān)的指令進行記錄��。當操作為備份或轉(zhuǎn)存事件時�����,存儲服務(wù)器將通知文件監(jiān)控服務(wù)器。文件監(jiān)控服務(wù)器會將文件的備份或轉(zhuǎn)存的時間�、地址、總備份數(shù)���、操作申請者��、操作執(zhí)行服務(wù)器ID���、備份路由路徑和原存儲位置生成文件備份轉(zhuǎn)存地址表。該文件的備份轉(zhuǎn)存地址表以加密文本文件的形式發(fā)送到對應(yīng)的客戶端的數(shù)據(jù)接口交互模塊中�����。數(shù)據(jù)接口交互模塊再將加密文本文件解密,以明文形式通知用戶�。
[0029]值得一提的是,云服務(wù)端每次備份文件時���,云存儲服務(wù)器將更新該文件所對應(yīng)的備份列表�;每次備份或轉(zhuǎn)存的時間��、地址�、總備份數(shù)、操作申請者�、操作執(zhí)行服務(wù)器ID和備份路由路徑將作為備份列表的一條表項,附加在原備份列表之后�;對備份列表的操作只有云存儲服務(wù)器完成,每次操作前���,均需進行身份認證����。
[0030]用戶可通過客戶端向云服務(wù)端發(fā)送文件訪問�、修改或刪除的請求,當云服務(wù)端收到上述請求后�,根據(jù)客戶端發(fā)送的請求實現(xiàn)用戶操作服務(wù)。
[0031]用戶在啟動客戶端的相關(guān)軟件后���,可通過所生成的圖標選擇需要操作的文件����。操作文件需要云服務(wù)端認證客戶端的身份證書和用戶輸入正確的口令。當認證通過后�����,客戶端將訪問請求發(fā)送到云服務(wù)端�,其中,訪問請求包括用戶身份����、請求文件名���、文件名編號���、文件地址。云服務(wù)端在收到請求后可以根據(jù)請求文件名���、文件名編號和文件地址生成與原文件內(nèi)容相同的備份����,并將該備份返回給客戶端。值得注意的是��,其發(fā)回的文件并不是原文件��,而是插入訪問標簽的原文件的加密備份�,稱為文件鏡像?���?蛻舳耸盏皆撐募R像后對其進行緩存并解密。該文件鏡像需要利用標簽識別只能由客戶端打開�。文件鏡像只供一次讀取和修改使用,當用戶關(guān)閉該文件時�,該文件鏡像則立即被客戶端刪除??蛻羧缧柙俅卧L問,則仍需從云服務(wù)端生成文件鏡像��,該文件鏡像與之前的文件鏡像內(nèi)容相同�����,但其標簽不同�。文件修改也是在文件鏡像上進行,當文件修改完成后��,客戶端會重新計算文件的散列值,并將該散列值與保存在云服務(wù)端中的文件備份及文件散列值進行同步更新����。
[0032]用戶需刪除云服務(wù)端中托管的文件時,向云服務(wù)端發(fā)送刪除文件的請求�����,云服務(wù)端將不帶標示的原文件返回給客戶端���,并從所有存儲服務(wù)器上刪除所有該文件備份和文件鏡像����。具體方法是:云服務(wù)端收到用戶刪除請求后����,通過文件監(jiān)控服務(wù)器查詢所有相關(guān)文件的存儲地址����。這些存儲地址會記錄在以文件編號為索引的備份轉(zhuǎn)存地址表中。云服務(wù)器按照文件監(jiān)控服務(wù)器中該文件的備份轉(zhuǎn)存地址表進行刪除文件備份��,其刪除順序可按照備份轉(zhuǎn)存地址表的順序進行���。然后對保存文件備份和文件鏡像的存儲服務(wù)器執(zhí)行刪除操作����,即把文件從磁盤中刪除,并在原存儲位置上填充隨機字符串����。存儲服務(wù)器刪除文件后,將向云服務(wù)端報告該服務(wù)器在云服務(wù)端中的IP地址及服務(wù)器名�����。云服務(wù)端將收到的刪除報告���,按備份轉(zhuǎn)存地址表的順序進行散列值的計算��,該散列值將和用戶保存的散列值進行對比�����。如果對比一致�����,表明云服務(wù)端刪除了所有該文件的備份���。原文件則以加密的形式發(fā)送回客戶端��,并在客戶端解S����,如此完成刪除?呆作�����。
[0033]實施例2:是本發(fā)明的一種基于云存儲技術(shù)防止文件泄密的系統(tǒng)實施方式���。如圖2所示�,基于云存儲技術(shù)防止文件泄密的系統(tǒng)�����,包括云服務(wù)端和客戶端����,所述云服務(wù)端包括:數(shù)據(jù)交互模塊��,用于接收客戶端發(fā)送的需要保護的文件和請求�����;監(jiān)控模塊,用于對需要保護的文件進行監(jiān)控�����;所述客戶端包括:數(shù)據(jù)接口交互模塊���,用于將需要保護的文件上傳到云服務(wù)端和向云服務(wù)端發(fā)送請求�;文件訪問鏈接模塊��,用于在需要保護的文件上傳后生成相對應(yīng)的訪問鏈接���;文件刪除模塊�����,用于在需要保護的文件上傳后刪除所述的文件�。
[0034]由圖2可知�,該系統(tǒng)由個人計算機和數(shù)據(jù)中心組成,兩者之間通過網(wǎng)絡(luò)實現(xiàn)連接��,該網(wǎng)絡(luò)可以是Internet,也可以是包含有Internet的網(wǎng)絡(luò)??蛻舳税?文件訪問鏈接模塊和文件刪除模塊。用戶通過文件訪問鏈接模塊可以訪問受保護的文件����。當用戶需要保護某一文件時,該文件通過個人計算機上傳到數(shù)據(jù)中心���,受保護的文件不再保存在個人計算機上���,而是保存數(shù)據(jù)中心的存儲服務(wù)器上。數(shù)據(jù)中心中的存儲服務(wù)器和文件監(jiān)控模塊通過數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)互連���。受保護的文件可以被備份或轉(zhuǎn)存到任意的一個存儲服務(wù)器上�。一般地���,文件備份與受保護文件的原文件保存在不同的存儲服務(wù)器上�。
[0035]如圖3所示�,所述客戶端還包括預處理模塊,用于對需要保護的文件進行預處理�����,用于上傳文件前檢查文件的安全性,計算文件散列值和加密文件����;所述預處理模塊包括:判斷子模塊���,用于判斷需要保護的文件的安全性����;計算子模塊�,計算需要保護的文件的散列值;加/解密子模塊���,對需要保護的文件進行加密�。
[0036]所述判斷子模塊對文件類型進行判斷�,當文件類型為可執(zhí)行文件時,通過下載軟件安全數(shù)據(jù)庫的方式根據(jù)文件的廠商�、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性,或?qū)⑽募畔l(fā)送給云服務(wù)端����,由云服務(wù)端對文件的安全性進行判斷。
[0037]如圖4所示�����,所述監(jiān)控模塊包括:記錄子模塊,用于對每一條與文件操作相關(guān)的指令進行記錄�����;備份轉(zhuǎn)存地址表生成子模塊��,用于在所述文件操作為備份或轉(zhuǎn)存時���,將文件的備份或轉(zhuǎn)存的時間��、地址�、總備份數(shù)���、操作申請者�����、操作執(zhí)行服務(wù)器ID�����、備份路由路徑和原存儲位置生成文件的備份轉(zhuǎn)存地址表���。
[0038] 所述云服務(wù)端還包括文件鏡像生成模塊����,用于在接收客戶端發(fā)送的訪問請求后�����,根據(jù)請求文件名��、文件名編號和文件地址生成文件鏡像�,也就是用于生成返回客戶端操作的與受保護文件內(nèi)容相同的文件鏡像����;所述文件鏡像為云服務(wù)端生成的與原文件內(nèi)容相同的備份;所述客戶端還包括存儲模塊�,用于緩存云服務(wù)端返回的文件鏡像;其中���,所述訪問請求包括用戶身份����、請求文件名�����、文件名編號、文件地址�。其中,存儲模塊還可以用于存儲來自云服務(wù)端的所有報告���,這些報告由云服務(wù)端的監(jiān)控模塊生成并發(fā)回給用戶�����。用戶可通過該存儲模塊了解保存在云服務(wù)端中的文件安全狀態(tài)����。
[0039]所述的備份為插入訪問標簽的原文件的加密備份��,所述加/解密子模塊對收到的文件鏡像進行解密并利用標簽識別打開��。
[0040]所述計算子模塊在文件鏡像修改完成時重新計算文件的散列值���;所述數(shù)據(jù)交互接口模塊將重新計算的散列值上傳至云服務(wù)端�����,供云服務(wù)端進行文件備份及文件散列值更新��;文件刪除模塊���,在關(guān)閉文件鏡像時立即刪除所述的文件鏡像����。
[0041]所述云服務(wù)端還包括:查詢模塊���,用于在接收客戶端發(fā)送的刪除文件的操作請求后,查詢所有相關(guān)文件的存儲地址����,所述存儲地址記錄在以文件編號為索引的備份轉(zhuǎn)存地址表中;刪除模塊�����,用于根據(jù)所述文件的備份轉(zhuǎn)存地址表進行刪除文件以及對保存的文件備份和文件鏡像進行刪除��;所述數(shù)據(jù)交互模塊還用于將原文件以加密的形式發(fā)送回客戶端���。
[0042]本發(fā)明權(quán)利要求保護范圍不限于上述實施例�。
【權(quán)利要求】
1.一種基于云存儲技術(shù)防止文件泄密的方法�����,其特征在于,包括以下步驟: 客戶端將需要保護的文件上傳到云服務(wù)端��,同時生成相對應(yīng)的訪問鏈接并刪除所述需要保護的文件��; 云服務(wù)端對需要保護的文件進行監(jiān)控��,并在收到客戶端發(fā)送的請求后�����,根據(jù)客戶端發(fā)送的請求實現(xiàn)用戶操作服務(wù)��。
2.根據(jù)權(quán)利要求1所述的基于云存儲技術(shù)防止文件泄密的方法��,其特征在于�����,所述步驟(I)前還包括客戶端對需要保護的文件進行預處理的步驟����,包括: 判斷需要保護的文件的安全性; 計算需要保護的文件的散列值; 對需要保護的文件進行加密���。
3.根據(jù)權(quán)利要求2所述的基于云存儲技術(shù)防止文件泄密的方法�,其特征在于���,所述判斷需要保護的文件的安全性的步驟包括對文件類型進行判斷��,當文件類型為可執(zhí)行文件時�����,根據(jù)文件的廠商�����、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性。
4.根據(jù)權(quán)利要求1所述的基于云存儲技術(shù)防止文件泄密的方法����,其特征在于,所述步驟(2)中云服務(wù)端對需要保護的文件進行監(jiān)控���,包括以下子步驟: 對每一條與文件 操作相關(guān)的指令進行記錄���; 當所述文件操作為備份或轉(zhuǎn)存時����,將文件的備份或轉(zhuǎn)存的時間����、地址、總備份數(shù)�、操作申請者、操作執(zhí)行服務(wù)器ID�、備份路由路徑和原存儲位置生成文件的備份轉(zhuǎn)存地址表; 將所述文件的備份轉(zhuǎn)存地址表以加密文本文件的形式發(fā)送到對應(yīng)的客戶端���。
5.根據(jù)權(quán)利要求1所述的基于云存儲技術(shù)防止文件泄密的方法����,其特征在于���,所述步驟(2)中收到客戶端發(fā)送的請求為文件訪問或修改操作請求時�,包括以下子步驟: 接收客戶端發(fā)送的訪問請求���,其中����,所述訪問請求包括用戶身份、請求文件名����、文件名編號、文件地址���; 云服務(wù)端根據(jù)請求文件名��、文件名編號和文件地址生成文件鏡像���,并將該文件鏡像發(fā)送給所述客戶端,所述文件鏡像為與原文件內(nèi)容相同的備份�; 客戶端緩存云服務(wù)端返回的文件鏡像。
6.根據(jù)權(quán)利要求5所述的基于云存儲技術(shù)防止文件泄密的方法��,其特征在于���,所述的備份為插入訪問標簽的原文件的加密備份,所述客戶端緩存云服務(wù)端返回的文件鏡像后���,對文件鏡像進行解密并利用標簽識別打開�����; 所述對文件鏡像進行解密并利用標簽識別打開的步驟后還包括修改和關(guān)閉該文件鏡像的步驟���,修改完成時重新計算文件的散列值�,并將該散列值與保存在云服務(wù)端的文件備份及文件散列值進行更新�;關(guān)閉時立即刪除該文件鏡像。
7.根據(jù)權(quán)利要求1所述的基于云存儲技術(shù)防止文件泄密的方法�,其特征在于,所述步驟(2)中云服務(wù)端接收客戶端發(fā)送的請求為刪除文件的操作請求時��,包括以下子步驟: 查詢所有相關(guān)文件的存儲地址����,所述存儲地址記錄在以文件編號為索引的備份轉(zhuǎn)存地址表中; 根據(jù)所述文件的備份轉(zhuǎn)存地址表進行刪除文件的操作�����; 對保存的文件備份和文件鏡像執(zhí)行刪除操作��; 將原文件以加密的形式發(fā)送回客戶端���;所述對保存的文件備份和鏡像執(zhí)行刪除操作的步驟與所述服務(wù)端將原文件以加密的形式發(fā)送回客戶端的步驟之間還包括: 接收刪除報告��,其中�����,所述刪除報告為存儲被刪除文件的服務(wù)器在服務(wù)端的IP地址及服務(wù)器名�; 將收到的刪除報告按備份轉(zhuǎn)存地址表的順序進行散列值的計算,該散列值和終端保存的散列值進行對比�,如果一致,表明數(shù)據(jù)中心刪除了所有該文件的備份��。
8.一種防止終端設(shè)備中文件泄密的系統(tǒng)��,包括云服務(wù)端和客戶端���,其特征在于��,所述云服務(wù)端包括:數(shù)據(jù)交互模塊���,用于接收客戶端發(fā)送的需要保護的文件和請求;監(jiān)控模塊�,用于對需要保護的文件進行監(jiān)控;所述客戶端包括:數(shù)據(jù)接口交互模塊����,用于將需要保護的文件上傳到云服務(wù)端和向云服務(wù)端發(fā)送請求;文件訪問鏈接模塊�����,用于在需要保護的文件上傳后生成相對應(yīng)的訪問鏈接����;文件刪除模塊,用于在需要保護的文件上傳后刪除本地存儲的所述的文件���。
9.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng)�,其特征在于���,所述客戶端還包括預處理模塊�����,所述預處理模塊包括:判斷子模塊�,用于判斷需要保護的文件的安全性�;計算子模塊,計算需要保護的文件的散列值��;加/解密子模塊�����,對需要保護的文件進行加、解密���;所述判斷子模塊����,對文件類型進行判斷����,當文件類型為可執(zhí)行文件時,通過下載���、更新軟件安全數(shù)據(jù)庫的方式根據(jù)文件的廠商�、文件擁有者和軟件調(diào)用接口函數(shù)的信息判斷文件的安全性�,或?qū)⑽募畔l(fā)送給云服務(wù)端,由云服務(wù)端對文件的安全性進行判斷���。
10.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng)���,其特征在于,所述監(jiān)控模塊包括:記錄子模塊,用于對每一條與文件操作相關(guān)的指令進行記錄���;備份轉(zhuǎn)存地址表生成子模塊,用于在所述文件操作為備份或轉(zhuǎn)存時�,將文件的備份或轉(zhuǎn)存的時間、地址��、總備份數(shù)�、操作申請者、操作執(zhí)行服務(wù)器ID����、備份路由路徑和原存儲位置生成文件的備份轉(zhuǎn)存地址表。
11.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng)�,其特征在于,所述云服務(wù)端還包括文件鏡像生成模塊����,用于在接收客戶端發(fā)送的訪問請求后,根據(jù)請求文件名�����、文件名編號和文件地址生成文件鏡像���,所述文件鏡像為云服務(wù)端生成的與原文件內(nèi)容相同的備份��;所述客戶端還包括存儲模塊�,用于緩存云服務(wù)端返回的文件鏡像;其中�����,所述訪問請求包括用戶身份��、請求文件名���、文件名編號�、文件地址�����; 所述的備份為插入訪問標簽的原文件的加密備份���,加/解密子模塊對收到的文件鏡像進行解密并利用標簽識別打開���; 所述計算子模塊在文件鏡像修改完成時重新計算文件的散列值;所述數(shù)據(jù)交互接口模塊將重新計算的散列值上傳至云服務(wù)端�,供云服務(wù)端進行文件備份及文件散列值更新;文件刪除模塊,在關(guān)閉文件鏡像時立即刪除所述的文件鏡像�。
12.根據(jù)權(quán)利要求8所述的防止終端設(shè)備中文件泄密的系統(tǒng),其特征在于��,所述云服務(wù)端還包括:查詢模塊��,用于在接收客戶端發(fā)送的刪除文件的操作請求后�,查詢所有相關(guān)文件的存儲地址����,所述存儲地址記錄在以文件編號為索引的備份轉(zhuǎn)存地址表中;刪除模塊��,用于根據(jù)所述文件的備份轉(zhuǎn)存地址表對保存的文件備份和文件鏡像進行刪除�;所述數(shù)據(jù)交互模塊還用于將原文件以加密的形式發(fā)送回客戶端。
【文檔編號】H04L29/08GK104079568SQ201410294251
【公開日】2014年10月1日 申請日期:2014年6月27日 優(yōu)先權(quán)日:2014年6月27日
【發(fā)明者】劉毅, 馮振新, 吳崢, 肖霄, 錢春虎 申請人:東湖軟件產(chǎn)業(yè)股份有限公司