此时,其它应用服务器则相当于用户,该方式的流程如图9所示,具体如下:
[0112](I)用户在权限服务器里为应用服务器建立可以使用明文数据作为输出文件的权限规则(当然具体的权限规则可以根据需要进行具体设定,该处只是举例说明);
[0113](2)应用服务器作为用户登录安全NAS服务器,向安全NAS服务器写入证书文件,安全NAS服务器为应用服务器建立虚拟目录;
[0114](3)应用服务器将自身数据作为文件写入安全NAS服务器;
[0115](4)安全NAS服务器将写入的应用服务器文件使用全局加密策路进行加密,这样可以有效防止在安全NAS服务器停机时,攻击强行使用磁盘拷贝的方式窃取数据;
[0116](5)当应用服务器需要读取文件时,安全NAS服务器就为应用服务器提供普通明文文件。
[0117]显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
【主权项】
1.一种NAS服务器数据安全存储系统,包括: 权限服务器,用于根据用户权限生成文件安全策略和用户证书,并将文件安全策略发送给NAS服务器,将用户证书发送给用户;所述的文件安全策略包括策略号、需要保护的文件目录或文件类型、以及文件的访问权限;所述的用户证书包括用户信息和证书对应的策略号; NAS服务器,用于根据用户的写入请求对文件进行安全存储以及根据用户的读取请求向用户发送请求的文件;所述的NAS服务器包括文件保护装置,文件保护装置包括: 用户证书检测模块,用于检测用户证书的完整性和有效性; 安全策略匹配模块,用于根据用户证书中的策略号匹配NAS服务器中对应的文件安全策略,并将匹配出的文件安全策略发送到目录虚拟化模块; 目录虚拟化模块,用于根据文件安全策略为用户虚拟出与其用户权限匹配的虚拟目录和文件访问策略;所述虚拟目录用于记录与用户权限匹配的文件信息。2.如权利要求1所述的一种NAS服务器数据安全存储系统,其特征在于,所述的NAS服务器还包括文件加解密装置,文件加解密装置包括: 全局加解密模块,用于对用户请求读取的文件进行解密,得到明文,以及用于对用户请求写入的文件进行加密,得到密文; 类型密文生成模块,用于根据文件输出加密策略对全局加解密模块解密得到的明文进行加密,得到类型密文,并将类型密文发送到用户;所述的类型密文包括普通明文文件、透明加密文件、权限加密文件和外发加密文件。3.如权利要求1或2所述的一种NAS服务器数据安全存储系统,其特征在于,所述的文件加解密装置还包括: 文件类型判别器,用于判别需要存储的文件的类型; 文件索引生成器,用于生成需要存储的文件的索引信息;所述的索引信息包括文件的类型、名称和大小。4.如权利要求3所述的一种NAS服务器数据安全存储系统,其特征在于,所述的文件保护装置还包括: 文件索引库,用于保存文件索引信息; 文件索引查询模块,用于根据用户的读取请求,在文件索引库中查询用户请求读取的文件的索引信息。5.如权利要求1或2所述的一种NAS服务器数据安全存储系统,其特征在于,所述的权限服务器包括: 用户访问申请装置,用于用户向权限服务器发起访问申请,并在用户身份确认通过后为用户匹配用户权限; 用户认证器,用于确认登录到权限服务器的用户身份; 文件安全策略生成装置,用于根据用户权限生成与用户权限对应的文件安全策略和用户证书。6.如权利要求5所述的一种NAS服务器数据安全存储系统,其特征在于,所述的权限服务器还包括: 全局用户列表,用于保存NAS服务器全部用户的用户ID; 权限数据库,用于保存NAS服务器全部用户的用户权限; 角色用户组:用于将全局用户列表中的用户进行分组。7.如权利要求2所述的一种NAS服务器数据安全存储系统,其特征在于,用户权限分为四个等级,用户权限等级不同,用户对NAS服务器中文件的读取权限不同;最高权限用户拥有普通明文文件、透明加密文件、权限加密文件和外发加密文件的读取权限,次之的拥有透明加密文件、权限加密文件和外发加密文件的读取权限,再次之的拥有权限加密文件和外发加密文件的读取权限,最低权限用户拥有外发加密文件的读取权限。8.—种NAS服务器数据安全存储方法,包括以下步骤: (1)用户登陆到权限服务器,权限服务器为用户匹配用户权限,并根据用户权限生成文件安全策略和用户证书;所述的文件安全策略包括策略号、需要保护的文件目录或文件类型、以及文件的访问权限;所述的用户证书包括用户信息和证书对应的策略号; (2)权限服务器将所述的文件安全策略发送给NAS服务器,将用户证书发送给用户; (3)将所述的用户证书进行本地关联运算,生成用户本地证书;用户本地证书包括与用户证书中相同的策略号; (4)用户通过用户本地证书登陆NAS服务器,NAS服务器根据用户本地证书中的策略号匹配出NAS服务器中对应的文件安全策略,并根据文件安全策略为用户虚拟出与其用户权限匹配的虚拟目录和文件访问策略;所述虚拟目录用于记录与用户权限匹配的文件信息; (5)用户向NAS服务器发送文件写入请求,将待写入文件存储到NAS服务器。9.如权利要求8所述的一种NAS服务器数据安全存储方法,其特征在于,步骤(5)中,将待写入文件存储到NAS服务器外存储装置中的具体方式包括: 1)判别待写入文件的文件类型,并生成文件的索引信息; 2)通过全局加解密模块对待写入文件进行加密,将加密后的文件存储到NAS服务器中。10.一种NAS服务器数据安全读取方法,包括以下步骤: (1)用户登陆到权限服务器,权限服务器为用户匹配用户权限,并根据用户权限生成文件安全策略和用户证书;所述的文件安全策略包括策略号、需要保护的文件目录或文件类型、以及文件的访问权限;所述的用户证书包括用户信息和证书对应的策略号; (2)权限服务器将所述的文件安全策略发送给NAS服务器,将用户证书发送给用户; (3)将所述的用户证书进行本地关联运算,生成用户本地证书;用户本地证书包括与用户证书中相同的策略号; (4)用户通过用户本地证书登陆NAS服务器,并向NAS服务器发起文件读取请求; (5)NAS服务器根据用户的读取请求将对应的文件发送给用户。11.如权利要求10所述的一种NAS服务器数据安全读取方法,其特征在于,步骤(5)中,NAS服务器将文件发送给用户的具体方式包括: 1)通过全局加解密模块对用户请求读取的文件进行解密,得到解密后的明文; 2)通过类型密文生成模块对解密后的明文进行加密,得到类型密文,并将类型密文发送给用户;所述的类型密文包括普通明文文件、透明加密文件、权限加密文件和外发加密文件。
【专利摘要】本发明公开了一种NAS服务器数据安全存储系统、数据安全存储方法及读取方法,属于网络存储技术领域。本发明所述的系统包括权限服务器和NAS服务器,用户在登录NAS服务器进行文件的安全存储或读取时,首先需要向权限服务器获取用于登录NAS服务器的用户证书,之后在登录到NAS服务器进行文件读取时,NAS服务器会通过类型密文生成装置模块对用户需要读取的文件进行加密,生成与用户权限匹配的类型密文并发送给用户;进行文件存储时,也会根据文件类型进行加密后再存储。通过本发明能够确保攻击者即使使用管理员权限账户从后台登入也无法获得机密数据,提高NAS服务器存储的安全性。
【IPC分类】G06F21/60, H04L29/08, H04L29/06
【公开号】CN104980401
【申请号】CN201410141431
【发明人】阮晓迅, 梁金千
【申请人】北京亿赛通科技发展有限责任公司
【公开日】2015年10月14日
【申请日】2014年4月9日