[发明专利]一种云存储系统实现方法

说明书

技术领域

本发明涉及物联网、互联网及云计算技术领域，尤其涉及一种云存储系统实现方法。

背景技术

在当今，云存储已成为云计算应用的主要形式之一。在实际的云存储应用系统中，云存储系统与终端之间的通信必须加密，以确保云计算的安全防护能够达到应用的需要。现有的云存储数据安全机制有以下几个缺点：

1、虽然云存储系统与终端之间的通信加密可以通过相应的互联网数据加密技术得以实现，但如果存储在云端的数据采用明文，则存在数据泄密的风险。

2、如果数据由云端实施加密存储，要在云端实现有效的数据检索，就需要在云端临时将数据解密成明文，同样存在数据泄密风险。

3、如果数据由终端加密后，传输到云端直接存储，若云端没有获得终端的密钥，则无法在云端实现数据解密和数据检索；若云端可以获得终端的密钥，则密钥与加密数据处于相同位置，同样存在泄密的风险。

发明内容

为解决上述技术问题，本发明的目的是提供一种云存储系统实现方法。该方法实现了：(1)用户数据以明文的形式存储在存储设备上，关守系统只为用户的访问终端提供访问存储设备所需的设备级别的身份识别、访问控制和通信加密等机制；(2)关守系统虽然可以获得存储设备和访问终端之间文件传输的加密密钥，却无法接触到文件加密传输的报文；(3)关守系统虽然可以获得存储设备和访问终端的设备级别的身份识别和访问控制等隐私数据，却无法取得存储设备上用户级别或文件级别的访问权限；(4)存储设备和访问终端之间文件传输的全过程，以及存储设备和访问终端与关守系统之间进行通信的全过程，都可以达到ITU-TX.500建议要求的安全标准；(5)不需要在存储设备和访问终端上安装基于PKI的数字证书，只需要在关守系统上安装一套基于PKI的数字证书。突破了云存储的数据安全难题，拓展了云存储的应用形式。

本发明的目的通过以下的技术方案来实现：

一种云存储系统实现方法，所述云存储系统包括存储设备、访问终端和关守系统，具体实现方法包括：

在关守系统上，用户为自己的存储设备和访问终端设置设备级别的唯一身份标识、身份识别密码和访问控制列表；

用户在自己的存储设备和访问终端上分别设置设备级别的唯一身份标识、身份识别密码以及所依靠的关守系统的IP地址；

存储设备根据用户的设置管理该设备的用户级别或文件级别的访问权限;

通过关守系统为用户的访问终端提供访问存储设备所需的设备级别的身份识别、访问控制和通信加密。

上述存储设备的放置位置由用户任意指定，并由用户完全控制；且用户数据以明文的形式存储在存储设备上；在存储设备上实现用户级别或文件级别的访问控制；关守系统只为用户的访问终端提供访问存储设备所需的设备级别的身份识别、访问控制和通信加密等机制。

与现有技术相比，本发明的一个或多个实施例可以具有如下优点：

一种云存储系统的设备级别的身份识别和访问控制由关守系统完成，降低了个人、家庭和企业级别的共享存储系统的安全防护开销；借助关守系统，存储设备可以放置在任意运营商NAT设备之后和用户NAT设备之后，使之可以依靠NAT设备的固有的网络层安全防护机制，确保存储设备免受来自互联网的各类攻击；存储设备完全处于用户自己的控制之下，消除了用户对当前云存储架构存在的数据泄密担心；关守系统虽然可以获得存储设备和访问终端之间文件传输的加密密钥，却无法接触到文件加密传输的报文，确保了数据传输的安全性；关守系统虽然可以获得存储设备和访问终端的设备级别的身份识别和访问控制等隐私数据，却无法取得存储设备上用户级别或文件级别的访问权限，确保了存储数据的安全性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例共同用于解释本发明，并不构成对本发明的限制。在附图中：

图1是云存储系统的结构示意图；

图2是云存储系统的控制及数据传输流程图。

具体实施方式

容易理解，根据本发明的技术方案，在不变更本发明的实质精神下，本领域的一般技术人员可以提出本发明的多个结构方式和制作方法。因此以下具体实施方式以及附图仅是本发明的技术方案的具体说明，而不应当视为本发明的全部或者视为本发明技术方案的限定或限制。