技術領域

本發明涉及物聯網、互聯網及云計算技術領域，尤其涉及一種云存儲系統實現方法。

背景技術

在當今，云存儲已成為云計算應用的主要形式之一。在實際的云存儲應用系統中，云存儲系統與終端之間的通信必須加密，以確保云計算的安全防護能夠達到應用的需要。現有的云存儲數據安全機制有以下幾個缺點：

1、雖然云存儲系統與終端之間的通信加密可以通過相應的互聯網數據加密技術得以實現，但如果存儲在云端的數據采用明文，則存在數據泄密的風險。

2、如果數據由云端實施加密存儲，要在云端實現有效的數據檢索，就需要在云端臨時將數據解密成明文，同樣存在數據泄密風險。

3、如果數據由終端加密后，傳輸到云端直接存儲，若云端沒有獲得終端的密鑰，則無法在云端實現數據解密和數據檢索；若云端可以獲得終端的密鑰，則密鑰與加密數據處于相同位置，同樣存在泄密的風險。

發明內容

為解決上述技術問題，本發明的目的是提供一種云存儲系統實現方法。該方法實現了：(1)用戶數據以明文的形式存儲在存儲設備上，關守系統只為用戶的訪問終端提供訪問存儲設備所需的設備級別的身份識別、訪問控制和通信加密等機制；(2)關守系統雖然可以獲得存儲設備和訪問終端之間文件傳輸的加密密鑰，卻無法接觸到文件加密傳輸的報文；(3)關守系統雖然可以獲得存儲設備和訪問終端的設備級別的身份識別和訪問控制等隱私數據，卻無法取得存儲設備上用戶級別或文件級別的訪問權限；(4)存儲設備和訪問終端之間文件傳輸的全過程，以及存儲設備和訪問終端與關守系統之間進行通信的全過程，都可以達到ITU-TX.500建議要求的安全標準；(5)不需要在存儲設備和訪問終端上安裝基于PKI的數字證書，只需要在關守系統上安裝一套基于PKI的數字證書。突破了云存儲的數據安全難題，拓展了云存儲的應用形式。

本發明的目的通過以下的技術方案來實現：

一種云存儲系統實現方法，所述云存儲系統包括存儲設備、訪問終端和關守系統，具體實現方法包括：

在關守系統上，用戶為自己的存儲設備和訪問終端設置設備級別的唯一身份標識、身份識別密碼和訪問控制列表；

用戶在自己的存儲設備和訪問終端上分別設置設備級別的唯一身份標識、身份識別密碼以及所依靠的關守系統的IP地址；

存儲設備根據用戶的設置管理該設備的用戶級別或文件級別的訪問權限;

通過關守系統為用戶的訪問終端提供訪問存儲設備所需的設備級別的身份識別、訪問控制和通信加密。

上述存儲設備的放置位置由用戶任意指定，并由用戶完全控制；且用戶數據以明文的形式存儲在存儲設備上；在存儲設備上實現用戶級別或文件級別的訪問控制；關守系統只為用戶的訪問終端提供訪問存儲設備所需的設備級別的身份識別、訪問控制和通信加密等機制。

與現有技術相比，本發明的一個或多個實施例可以具有如下優點：

一種云存儲系統的設備級別的身份識別和訪問控制由關守系統完成，降低了個人、家庭和企業級別的共享存儲系統的安全防護開銷；借助關守系統，存儲設備可以放置在任意運營商NAT設備之后和用戶NAT設備之后，使之可以依靠NAT設備的固有的網絡層安全防護機制，確保存儲設備免受來自互聯網的各類攻擊；存儲設備完全處于用戶自己的控制之下，消除了用戶對當前云存儲架構存在的數據泄密擔心；關守系統雖然可以獲得存儲設備和訪問終端之間文件傳輸的加密密鑰，卻無法接觸到文件加密傳輸的報文，確保了數據傳輸的安全性；關守系統雖然可以獲得存儲設備和訪問終端的設備級別的身份識別和訪問控制等隱私數據，卻無法取得存儲設備上用戶級別或文件級別的訪問權限，確保了存儲數據的安全性。

本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。

附圖說明

附圖用來提供對本發明的進一步理解，并且構成說明書的一部分，與本發明的實施例共同用于解釋本發明，并不構成對本發明的限制。在附圖中：

圖1是云存儲系統的結構示意圖；

圖2是云存儲系統的控制及數據傳輸流程圖。

具體實施方式

容易理解，根據本發明的技術方案，在不變更本發明的實質精神下，本領域的一般技術人員可以提出本發明的多個結構方式和制作方法。因此以下具體實施方式以及附圖僅是本發明的技術方案的具體說明，而不應當視為本發明的全部或者視為本發明技術方案的限定或限制。