本發明公開了一種面向云存儲數據加解密的流式處理系統，分別與客戶端、云存儲服務器端建立TCP連接，所述系統包括兩個環形緩沖區：客戶端到服務器緩沖區和服務器到客戶端緩沖區，所述客戶端到服務器緩沖區用于處理兩個非阻塞socketIO事件：客戶端socket可讀事件，此事件發生時需要從客戶端socket讀取數據，經過加密處理后填充到該緩沖區；云存儲服務器端socket可寫事件，此事件發生時需要從該緩沖區讀取數據，并寫入服務器端socket；所述服務器到客戶端緩沖區用于處理兩個非阻塞socket IO事件：服務器socket可讀事件，此事件發生時需要從服務器socket讀取數據，經過解密處理后填充到該緩沖區；客戶端socket可寫事件，此事件發生時需要從該緩沖區讀取數據，并寫入到客戶端socket。

技術領域

本發明涉及網絡存儲安全領域，特別涉及一種面向云存儲數據加解密的流式處理系統及方法。

背景技術

云存儲是云計算技術延伸和發展出來的一個新概念，是一種新興的網絡存儲技術。云存儲技術通過集群應用、網絡技術或分布式文件系統等功能，將網絡中大量不同類型的存儲設備通過應用軟件集合起來協同工作，共同對外提供數據存儲和業務訪問功能。對于云存儲服務的使用者來說，可以節省自建大型存儲機房的費用以及運行維護的人力成本，并且能夠在任何時間、任何地點、通過網絡訪問容量彈性伸縮的存儲資源。

然而云存儲業務的特點決定了數據在從用戶手中上傳到云存儲服務器的那一刻起，就發生了所有權和控制權的分離。在復雜的網絡環境和多變的商業利益之間，如何保證自己數據的機密性是用戶首先關注的問題。現有保障云存儲數據機密性的技術，主要是云存儲客戶端對數據進行加解密、云存儲服務器端對數據進行加解密。

云存儲客戶端加密是指在文件上傳之前，就由客戶端對文件進行加密，這種方式能較好地保證數據機密性，但會來延遲和額外的計算開銷，尤其是對性能和功耗受限的手持設備帶來負擔；云存儲服務端加密則指在文件上傳到云端后，由服務器對數據加密再寫入存儲介質，服務器可以接觸到明文數據，故存在隱私泄漏的可能，并且大量的數據加解密運算容易成為瓶頸。

發明內容

本發明的目的在于克服目前云存儲加解密方法存在的上述缺陷，提供了一種面向云存儲數據加解密的流式處理系統，可以在用戶向云存儲服務器上傳數據的過程中，對數據進行實時流式的加密操作；在用戶從云存儲服務器下載數據的過程中，對數據進行實時流式的解密操作。

為了實現上述目的，本發明提供了一種面向云存儲數據加解密的流式處理系統，分別與客戶端、云存儲服務器端建立TCP連接，所述系統包括兩個環形緩沖區：客戶端到服務器緩沖區和服務器到客戶端緩沖區；所述客戶端到服務器緩沖區用于處理兩個非阻塞socket IO事件：客戶端socket可讀事件，此事件發生時需要從客戶端socket讀取數據，經過加密處理后填充到該緩沖區；云存儲服務器端socket可寫事件，此事件發生時需要從該緩沖區讀取數據，并寫入服務器端socket；所述服務器到客戶端緩沖區用于處理兩個非阻塞socket IO事件：服務器socket可讀事件，此事件發生時需要從服務器socket讀取數據，經過解密處理后填充到該緩沖區；客戶端socket可寫事件，此事件發生時需要從該緩沖區讀取數據，并寫入到客戶端socket。

上述技術方案中，所述環形緩沖區是一段固定大小的連續內存空間，數據的寫入和數據的讀取能夠循環利用同一段內存空間；當寫入數據時，從環形緩沖區的Tail指針開始連續向后寫入，如果到達緩沖區結尾，則從首部開始繼續寫入，最后將Tail指針指向新寫入數據的末尾；當從環形緩沖區讀取數據時，從Head指針開始連續向后讀取，如果到達緩沖區結尾，則從首部開始繼續讀取，最后將Head指針指向讀取數據的結尾。

上述技術方案中，若環形緩沖區已滿，則只監聽socket可寫事件；若環形緩沖區為空，則只監聽socket可讀事件；若環形緩沖區非滿也非空，則既監聽socket可寫事件，又監聽socket可讀事件。