[发明专利]基于可信时间戳的云存储系统的数据管理方法和系统

说明书

技术领域

本发明涉及数据管理技术领域，尤其涉及一种基于可信时间戳的云存储系统的数据管理方法和系统。

背景技术

云存储是对云计算在概念上的一个延伸，它是指通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。云存储的核心是大数据的存储和管理，云存储系统通过提供多种类型的接口，可以为用户提供不同类型的应用服务，如网络硬盘、远程数据备份应用平台、IPTV和视频点播应用平台等等。同时，云存储的用户可以通过PC、手机、移动多媒体等多种用户设备，实现数据、文档、图片和视音频等内容的集中存储和资料共享。

然而云存储系统存在着数据安全的问题。在云存储系统的服务器端，由于大量的数据均存储在服务器上，现阶段技术无法达到对所有数据进行私钥加密的能力。由于云存储系统一般都位于互联网中，需要开放特定的端口给用户访问，同时系统中存储着大量的用户数据，极易成为黑客的目标。当云存储系统被入侵时，就会发生用户数据泄漏、被篡改等危险情况，因此服务器的安全问题至关重要。

而在云存储的系统的用户端，当前用户终端上普通采用简单认证方法，即采用账号加密码的方式进行登陆认证，同时采用明文的形式进行传输。显然，这种机制存在安全问题，密码以明文形式传输就可能被恶意监听甚至篡改。在这种机制中，云存储系统不能对用户的数据操作记录进行核实和记录。

因此，开发一种保证用户设备与云存储系统之间数据通信安全的方法是一个亟待解决的问题。

发明内容

本发明的实施例提供了一种基于可信时间戳的云存储系统的数据管理方法和系统，以实现保证用户设备与云存储系统之间数据通信安全，并对用户的数据操作记录进行核实。

一种基于可信时间戳的云存储系统的数据管理方法，包括：

云存储系统接收到用户终端发送的携带可信时间戳的数据处理请求，所述可信时间戳用权威可信时间戳机构TSA的证书进行签名；

所述云存储系统对所述可信时间戳和TSA的证书进行验证，在所述可信时间戳和TSA的证书验证通过后，所述云存储系统接受所述数据处理请求，所述用户终端执行所述数据处理请求对应的数据操作指令。

所述的云存储系统接收到用户终端发送的携带可信时间戳的数据处理请求之前，包括：

所述用户终端生成所述数据处理请求对应的数据操作指令的摘要值，按照时间戳申请消息格式对所述摘要值进行封装；

利用所述用户终端的数字证书在所述TSA和所述用户终端之间建立安全套接层SSL安全通道；

所述用户终端通过所述SSL安全通道向所述TSA发送携带封装后的摘要值的时间戳申请消息；

所述TSA对所述时间戳申请消息的合法性进行检查，在所述检查通过后，所述TSA生成所述摘要值对应的时间戳，用所述TSA的证书对所述时间戳进行签名，将签名后的时间戳通过所述SSL安全通道发送给所述用户终端。

所述的利用所述用户终端的数字证书在所述TSA和所述用户终端之间建立SSL安全通道，包括：

所述的用户终端向TSA发送携带用户的公钥基础设施PKI数字证书的连接请求，所述TSA接收到所述连接请求后，向轻量目录访问协议LDAP目录服务器发送携带所述PKI数字证书的证书验证请求；

所述LDAP目录服务器接收到所述证书验证请求后，获取所述PKI数字证书的唯一标识、有效期、扩展选项，所述LDAP目录服务器验证所述PKI证书的有效期是否过期，验证所述PKI证书是否由指定认证中心CA颁发，验证所述PKI证书的唯一标识、扩展选项是否有效；

所述LDAP目录服务器在所述PKI数字证书的所有验证都通过后，向所述TSA发送验证合格通知；在所述PKI数字证书的所有验证不是都通过后，向所述TSA发送验证不合格通知。

所述TSA接收到所述LDAP目录服务器发送的验证合格通知后，在所述TSA和所述用户终端之间，使用所述PKI证书建立用于传输数据的SSL安全通道。

所述的云存储系统接收到所述数据处理请求后，对所述可信时间戳和TSA的证书进行验证，包括：

所述云存储系统接收到所述数据处理请求后，获取所述数据处理请求中携带的时间戳和TSA证书；

所述云存储系统向LDAP服务器发送所述TSA证书，所述LDAP服务器对所述TSA证书进行有效性验证，在所述TSA证书的有效性验证通过后，所述LDAP服务器向所述云存储系统发送TSA证书有效性验证通过信息；