技術領域

本發明涉及云存儲安全保密技術領域，具體涉及一種抗訪問模式泄露的數據安全隔離與共享實現方法。

背景技術

隨著云計算的普及，其低成本等優勢吸引了越來越多的企業。由于用戶數據不再由自己控制，而是存放于云服務器上，所以用戶對數據安全十分重視，必須增強數據存儲以及訪問的安全性。

Pinkas早在2010年便詳細介紹了訪問模式泄露的概念以及帶來的安全威脅，通過長期竊聽用戶行為，可以掌握用戶足夠次訪問操作所接收數據的地址序列以及后續行動，對這些信息進行分析后發現，當用戶訪問某一地址序列對應的數據后，都會采取某一操作，則當用戶再次訪問同一地址序列的數據時，便可以高概率地推測出用戶行為。但是目前已有的云數據存儲方案中基本不會隱藏用戶的訪問模式。

用戶數據存儲在服務器時，為了保證安全性，必然使用各自密鑰加密后再存儲，這便造成了用戶間數據共享的難題。

虛擬化技術實現資源池化，雖然可以通過SELinux-sVirt等機制實現資源隔離，但是依然存在被攻破的可能性。

發明內容

本發明要解決的技術問題是：針對高安全標準的企業來說，必須解決以上三方面的問題，構建實現數據安全隔離與共享的抗訪問模式泄露的安全存儲方案。本發明提供一種抗訪問模式泄露的數據安全隔離與共享實現方法，能夠實現各部門內部數據共享，各部門間數據安全隔離以及用戶訪問模式的隱藏。

本發明所采用的技術方案為：

一種抗訪問模式泄露的數據安全隔離與共享實現方法，所述方法在物理隔離的基礎上，借助代理加密技術實現數據安全隔離與共享，并改變數據原有的存儲形式，借助二叉樹的存儲形式保證數據訪問過程中訪問模式不被泄露，進而成功保護用戶隱私。以上三部分協作共同構建出抗訪問模式泄露的數據安全隔離與共享實現方法。

為了避免SELinux-sVirt等機制實現資源隔離被攻破的風險，將需要進行數據隔離的各個部門分別分配一個或者多個獨立的物理服務器，實現物理隔離，通過物理方式保證部門間數據的安全隔離。

為了實現用戶數據共享，在每個部門內部設置一個代理服務器，對用戶密鑰加密的中間密文進行再次加密，形成最終密文存儲在該部門對應的存儲服務器上，且存儲服務器上的密文最終是采用同一個密鑰加密的。通過代理的引入，實現部門內部不同用戶之間的數據共享功能。

為了隱藏用戶訪問模式，存儲服務器上采用二叉樹的形式存儲數據，每次訪問數據，都是訪問二叉樹某個葉子節點到根節點這條路徑上的所有數據，成功隱藏用戶訪問模式。

本發明的有益效果為：

本發明成功解決用戶間數據共享，虛擬化資源池化依然存在被攻破的可能性，云數據存儲方案中不會隱藏用戶的訪問模式等三方面所帶來的安全風險，通過代理的引入，實現部門內部不同用戶之間的數據共享功能，通過物理方式保證部門間數據的安全隔離，采用二叉樹的形式存儲數據，成功隱藏用戶訪問模式。

附圖說明

圖1為本發明抗訪問模式泄露的數據隔離共享方案框架圖。

具體實施方式

下面參照附圖所示，通過具體實施方式對本發明進一步說明：

一種抗訪問模式泄露的數據安全隔離與共享實現方法，所述方法在物理隔離的基礎上，借助代理加密技術實現數據安全隔離與共享，并改變數據原有的存儲形式，借助二叉樹的存儲形式保證數據訪問過程中訪問模式不被泄露，進而成功保護用戶隱私。以上三部分協作共同構建出抗訪問模式泄露的數據安全隔離與共享實現方法。

為了避免SELinux-sVirt等機制實現資源隔離被攻破的風險，將需要進行數據隔離的各個部門分別分配一個或者多個獨立的物理服務器，實現物理隔離，通過物理方式保證部門間數據的安全隔離。

為了實現用戶數據共享，在每個部門內部設置一個代理服務器，對用戶密鑰加密的中間密文進行再次加密，形成最終密文存儲在該部門對應的存儲服務器上，且存儲服務器上的密文最終是采用同一個密鑰加密的。通過代理的引入，實現部門內部不同用戶之間的數據共享功能。

為了隱藏用戶訪問模式，存儲服務器上采用二叉樹的形式存儲數據，每次訪問數據，都是訪問二叉樹某個葉子節點到根節點這條路徑上的所有數據，成功隱藏用戶訪問模式。

如圖1所示，用戶可以向所在部門對應的存儲服務器中存儲數據，也可以訪問其上的數據：