一种云端存储系统、设备和方法与流程

1.本发明涉及云存储领域，尤其涉及一种云端存储系统、设备和方法。


背景技术：

2.目前个人或者企业存储在云计算服务商的资料和数据，可能会存在隐私泄露的风险。云计算服务商很可能会利用这些资料和数据，甚至会泄露这些数据给第三方，个人或者企业的隐私权益受到侵害。
3.申请号为cn202110331654.2的专利文献公开了一种基于可信计算与智能合约的金融衍生品数字交易系统，但是描述的是云服务模块来分配可信执行环境，没有物理隔离空间的概念；同时，其应用在金融衍生品数字交易领域，智能合约实现数字交易合约、数字管理合约和预约机合约。现有技术至少存在以下问题：中心化云计算存储存在个人或企业数据信息被云计算服务商利用，或者云计算服务商将数据信息泄露给第三方的可能性。


技术实现要素：

4.鉴于上述现有技术的不足之处，本发明的目的在于提供一种云端存储系统、设备和方法，能够极大的提高用户数据的安全性。
5.为了达到上述目的，本发明采取了以下技术方案：
6.一方面，本发明提供一种云端存储系统，包括：
7.多个相互隔离的独立存储区；所述隔离为硬件空间隔离；
8.数据服务模块，用于为每个用户分配所述独立存储区，并支持每个用户在对应的所述独立存储区中进行数据管理操作。
9.进一步的，所述的云端存储系统，还包括：
10.为每个所述独立存储区配置的可信执行环境；
11.每个用户将私钥和公钥存储在分配的所述独立存储区对应的所述可信执行环境中；所述私钥用于做数据签名；所述公钥用于验证所述数据签名。
12.进一步的，所述的云端存储系统，所述数据管理操作包括数据上传操作；
13.所述数据上传操作包括：
14.接收签名数据；通过对用户的上传数据使用所述私钥进行签名得到所述签名数据；
15.所述数据服务模块使用公钥对所述签名数据进行签名验证，若验证通过，则生成对应的数据id，将所述上传数据存储到对应所述用户的独立存储区中的数据id项下。
16.进一步的，所述的云端存储系统，在上传所述上传数据过程中，对所述上传数据使用对称加密算法进行加密。
17.进一步的，所述的云端存储系统，所述数据管理操作包括数据下载操作；
18.所述数据下载操作包括：
19.接收用户的请求数据；所述请求数据包括使用私钥签名的数据id；
20.所述数据服务模块对所述数据id使用公钥进行签名验证，若验证通过，则获取对应所述用户的独立存储区中所述数据id项下存储的上传数据；并对所述上传数据使用私钥签名后反馈到所述数据服务模块，以使用户通过所述数据服务模块实现数据下载。
21.进一步的，所述的云端存储系统，还包括：
22.区块链；
23.智能合约模块，用于将针对数据的所有操作行为生成对应的操作记录并存储在所述区块链中；所述操作行为包括上传数据行为、下载请求行为、下载数据行为、数据复制行为。
24.另一方面，本发明还提供一种云端存储设备，使用前述任一所述的云端存储系统。
25.另一方面，本发明还提供一种应用于前述任一所述的云端存储系统的云端存储方法，其特征在于，包括：
26.每个用户在对应的独立存储区中进行数据管理操作；其中，云端存储系统具有多个相互隔离的独立存储区。
27.进一步的，所述的云端存储方法，所述数据管理操作包括数据上传操作和数据下载操作；
28.所述数据上传操作包括：
29.接收签名数据；所述签名数据为通过对用户的上传数据使用所述私钥进行签名得到；
30.所述数据服务模块使用公钥对所述签名数据进行签名验证，若验证通过，则生成对应的数据id，将所述上传数据存储到对应所述用户的独立存储区中的数据id项下；
31.所述数据下载操作包括：
32.接收用户的请求数据；所述请求数据包括使用私钥签名的数据id；
33.所述数据服务模块对所述数据id使用公钥进行签名验证，若验证通过，则获取对应所述用户的独立存储区中所述数据id项下存储的上传数据；并对所述上传数据使用私钥签名后进行反馈，以使用户收到所述上传数据后，使用公钥进行签名验证，若是验证通过，则完成下载操作。
34.进一步的，所述的云端存储方法，还包括：
35.将针对数据的所有操作行为生成对应的操作记录并存储在所述区块链中；所述操作行为包括上传数据行为、下载请求行为、下载数据行为、数据复制行为。
36.相较于现有技术，本发明提供的一种云端存储系统、设备和方法，具有以下有益效果：
37.使用本发明提供的云端存储系统，在构建存储系统时，为每个用户配置独立存储区，以使用户仅可以在自己的独立存储区中上传数据以及下载数据，不会造成数据存储的映射复杂，存储位置混乱等情况，提高管理、运维效率；用户自己的数据存储在自己的独立存储区，有效保护数据隐私。
38.基于云计算服务商提供的空间隔离存储空间、数据上传下载服务、区块链、智能合约技术，运用本发明提供的云端存储系统，每个用户在云服务商都有自己的物理隔离的存储空间，自己的数据加密存储，云服务商和第三方无法获取用户的隐私数据。区块链和智能合约提供可信存证功能，使所有的数据移动痕迹均有迹可循。用户的数据可以安全存储，并
对数据有完全的控制权，用户数据不会泄露给云计算服务商和其他第三方。
附图说明
39.图1是本发明提供的云端存储系统实施示意图；
40.图2是本发明提供的数据上传步骤的流程图；
41.图3是本发明提供的数据下载步骤的流程图。
具体实施方式
42.为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
43.本领域技术人员应当理解，前面的一般描述和下面的详细描述是本发明的示例性和说明性的具体实施例，不意图限制本发明。
44.本文中术语“包括”，“包含”或其任何其他变体旨在覆盖非排他性包括，使得包括步骤列表的过程或方法不仅包括那些步骤，而且可以包括未明确列出或此类过程或方法固有的其他步骤。同样，在没有更多限制的情况下，以“包含...一个”开头的一个或多个设备或子系统，元素或结构或组件也不会没有更多限制，排除存在其他设备或其他子系统或其他元素或其他结构或其他组件或其他设备或其他子系统或其他元素或其他结构或其他组件。在整个说明书中，短语“在一个实施例中”，“在另一个实施例中”的出现和类似的语言可以但不一定都指相同的实施例。
45.除非另有定义，否则本文中使用的所有技术和科学术语具有与本发明所属领域的普通技术人员通常所理解的相同含义。
46.本发明提供一种云端存储系统，应用于云计算服务商的云计算服务系统，所述云计算服务商如百度云、阿里云、华为云等，用于将提高用户信息的安全性，进而提高用户对服务商的认可度。
47.所述云端存储系统包括：
48.多个相互隔离的独立存储区；所述隔离为硬件空间隔离；具体的，独立存储区与独立存储区之间通过物理手段隔离，实现相互之间在物理属性上互不干扰，不会造成数据存储的映射复杂，存储位置混乱等情况。
49.进一步的，所述独立存储区优选为存储服务器，即内部除开存储器外，还包括一定的处理能力，以方便对数据进行管理，通过还可以将对应的安全验证模块放入到该存储服务器中，增强独立存储区的安全性。
50.数据服务模块，用于为每个用户分配所述独立存储区，并支持每个用户在对应的所述独立存储区中进行数据管理操作。在本实施例中，云计算服务商通过数据服务模块为用户提供数据上传和下载等服务，并将用户的账户分别与对应的独立存储区进行绑定配置，以使个人或者企业可以上传自己的数据到适配的独立存储区中，当然也只能从自己的独立存储区中下载数据。例如，在云端存储系统中具有a、b、c三个独立存储区，此时用户有三个，分别为a、b、c，所述数据服务系统可以将用户a对应a独立存储区、用户b对应b独立存储区、用户c对应c独立存储区，当然还可以使用其他配置关系，例如将用户a对应b独立存储
区、用户b对应c独立存储区、用户c对应a独立存储区等。
51.可以理解的是，所述数据管理操作包括数据上传、数据下载、数据复制、数据共享、数据转移等，具体的实现方式使用本领域公用的技术手段即可，不做具体限定。
52.使用本发明提供的云端存储系统，在构建存储系统时，为每个用户配置独立存储区，以使用户仅可以在自己的独立存储区中上传数据以及下载数据，不会造成数据存储的映射复杂，存储位置混乱等情况，提高管理、运维效率。
53.进一步的，作为优选方案，本实施例中，所述云端存储系统还包括：
54.为每个所述独立存储区配置的可信执行环境，每个账户将私钥和公钥存储在分配的所述独立存储区对应的所述可信执行环境中；所述私钥用于做数据签名；所述公钥用于验证所述数据签名。具体的，所述可信执行环境(tee，trusted execution environment)优选使用本领域常用的方式实现，本发明不做限定，在本实施例中，所述可行执行环境与所述独立存储区构成对应的存储服务器。用户在创建账户之初，会同步生成对应的公私钥对，其中私钥掌握在用户自己手里，公钥存储在所述可信执行环境中方便对使用私钥进行签名的数据进行验证。云计算服务商为用户提供物理空间隔离的独立存储区，个人或者企业的私钥和公钥存储在可信执行环境技术里，每个物理隔离独立存储区都有属于自己的可信执行环境，可以有效的增强数据存储的可靠性。
55.可以理解的是，当对存储区中的数据进行管理操作时，只要对存储区内存储的数据进行数据移出时，均需要使用私钥进行数据签名，只要涉及到对存储区进行数据移入时，均需要使用公钥验证数据签名，若数据签名正确才能将数据存储，否则无法实现存储。所述数据移出包括所述数据管理操作中数据下载、数据复制、数据共享、数据转移等行为可能涉及到的数据移出情况；所述数据移入则包括所述数据管理操作中数据上传、数据复制、数据共享、数据转移等行为可能涉及到的数据移入情况。
56.进一步的，作为优选方案，本实施例中，所述数据管理操作包括数据上传操作；
57.所述数据上传操作包括：
58.接收签名数据；所述签名数据为通过对用户的上传数据使用所述私钥进行签名得到；具体的，所述签名数据的数据格式优选为：
[0059][0060]
进一步的，作为优选方案，本实施例中，在上传所述上传数据过程中，对所述上传数据使用对称加密算法进行加密。在上传过程，立刻对所述上传数据同时加密，保证数据的安全。
[0061]
所述数据服务模块使用公钥对所述签名数据进行签名验证，若验证通过，则生成对应的数据id，将所述上传数据存储到对应所述用户的独立存储区中的数据id项下。通过使用私钥签名、公钥验证的方式，增强数据的安全性，防止第三方对数据进行下载或使用。
[0062]
进一步的，接收签名数据步骤可以使用所述数据服务模块执行(该步骤还可以使用可信执行环境操作)，后续验证步骤使用所述可信执行环境进行执行，即使是云计算服务商也无法使用该上传数据，极大的提高了数据的安全性。
[0063]
进一步的，作为优选方案，本实施例中，所述数据管理操作包括数据下载操作；
[0064]
所述数据下载操作包括：
[0065]
接收用户的请求数据；所述请求数据包括使用私钥签名的数据id；具体的，用户发送请求数据的用户设备为移动终端或其他智能终端。所述请求数据的格式优选为：
[0066][0067]
优选的，在发送所述请求数据过程中，还会对所述数据id使用对称加密算法进行加密，提高数据传输过程中的安全性。
[0068]
所述数据服务模块对所述数据id使用公钥进行签名验证，若验证通过，则获取对应所述用户的独立存储区中所述数据id项下存储的上传数据；并对所述上传数据使用私钥签名后反馈到所述数据服务模块，以使用户通过所述数据服务模块实现数据下载，并使用公钥进行签名验证，若是验证通过，则完成下载操作。具体的，为了保证数据安全性，所述上传数据在传输过程中，均使用对称加密算法进行加密。用户的存储服务器收到所述请求数据后，用公钥对签名进行验签。验签成功，就匹配对称加密后的数据id，查找到相应数据id项下的数据密文，可行执行环境会用用户的私钥对数据id密文和数据密文做签名，反馈到数据服务模块，以使用户使用用户设备接收下载。优选的，所述请求数据的数据格式优选为：
[0069][0070]
进一步的，作为优选方案，本实施例中，所述云端存储系统还包括：
[0071]
区块链；优选的，所述区块链中还存储有每个用户的公钥。
[0072]
智能合约模块，用于将针对数据的所有操作行为生成对应的操作记录并存储在所述区块链中；所述操作行为包括上传数据行为、下载请求行为、下载数据行为、数据复制行为。
[0073]
具体的，在数据上传步骤中，所述区块链和所述智能合约模块的具体功能为：
[0074]
数据服务模块接受到用户的数据上传事件后，将上传事件作为存证存在区块链里，数据服务模块调用所述智能合约模块，通过用户id hash匹配到区块链里的用户公钥，对签名数据里的签名进行验签，验签成功，智能合约将匹配用户的存储服务器路径，并将这个事件在区块链做存证。智能合约模块将上传的签名数据转发给用户的存储服务器，并同时把转发事件做存证。即，在本实施例中，所述数据服务模块主要起到连接用户设备并启动所述智能合约模块的功能，同时，将接收到的签名数据发送到所述区块链中，所述智能合约将进行第一轮数据鉴签，同时将上传操作行为存储在区块链中，同时将转发事件(操作行为)也存档是保证只要是对数据进行的处理均进行存档，使所有的行为均有迹可循，实现数据上传过程的变动存档。
[0075]
在数据下载步骤中，所述区块链和所述智能合约模块的具体功能为：
[0076]
数据服务模块收到用户的请求数据，并将下载请求事件通过区块链做存证。数据服务模块调用所述智能合约模块，通过用户id hash匹配，应验证数据id的签名，验签成功后，将下载请求事件存证。智能合约将下载事件数据报文(即请求数据)转发给用户的存储服务器，并将转发事件存证。提高了数据被下载时的安全性，实现数据下载过程的变动存档。
[0077]
当存储服务器在接收到所述请求数据后，用公钥对签名进行验签。验签成功，匹配对称加密后的数据id，查找到相应数据id对应的数据密文，可信执行环境会用用户的私钥对数据id密文和数据密文做签名。将数据密文传输给数据服务模块。
[0078]
数据服务收到所述数据密文后，通过区块链做存证。同时数据服务模块调用智能合约模块，通过用户id hash，匹配区块链里的用户的公钥，对所述数据密文做验签。验签成功，将事件存证。智能合约模块将所述数据密文转发给到用户设备。
[0079]
基于云计算服务商提供的空间隔离存储空间、数据上传下载服务、区块链、智能合约技术，运用本发明提供的云端存储系统，每个用户在云服务商都有自己的物理隔离的存储空间，自己的数据加密存储，云服务商和第三方无法获取用户的隐私数据。区块链和智能合约提供可信存证功能，证明云服务商没有将用户数据拷贝或者转发给其他第三方。用户的数据可以安全存储，并对数据有完全的控制权，用户数据不会泄露给云计算服务商和其他第三方。
[0080]
本发明还提供一种云端存储设备，使用前述任一实施例所述的云端存储系统。
[0081]
本发明还提供一种应用于前述任一实施例所述的云端存储系统的云端存储方法，包括：
[0082]
每个用户在对应的独立存储区中进行数据管理操作；其中，云端存储系统具有多个相互隔离的独立存储区。
[0083]
进一步的，作为优选方案，本实施例中，所述数据管理操作包括数据上传操作和数据下载操作；
[0084]
所述数据上传操作包括：
[0085]
接收签名数据；所述签名数据为对通过用户上传的上传数据使用所述私钥进行签名得到；
[0086]
所述数据服务模块使用公钥对所述签名数据进行签名验证，若验证通过，则生成对应的数据id，将所述上传数据存储到对应所述用户的独立存储区中的数据id项下；
[0087]
所述数据下载操作包括：
[0088]
接收用户的请求数据；所述请求数据包括使用私钥签名的数据id；
[0089]
所述数据服务模块对所述数据id使用公钥进行签名验证，若验证通过，则获取对应所述用户的独立存储区中所述数据id项下存储的上传数据；并对所述上传数据使用私钥签名后进行反馈，以使用户收到所述上传数据后，使用公钥进行签名验证，若是验证通过，则完成下载操作。
[0090]
进一步的，作为优选方案，本实施例中，还包括：
[0091]
将针对数据的所有操作行为生成对应的操作记录并存储在所述区块链中；所述操作行为包括上传数据行为、下载请求行为、下载数据行为、数据复制行为。
[0092]
可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。