一种金融级文件安全存储方法及系统与流程

1.本发明涉及一种文件存储领域，具体是一种金融级文件安全存储方法及系统。


背景技术：

2.现在的文件存储方式主要是集中式、以文件为单位的对象存储方式。这种存储的方式，文件是完整的落在服务器上的，很容易因为服务器访问的accesskey泄露导致文件被泄露出去，这是在金融领域中决不允许出现的情况。同时此种管理方式，文件只能存放在一个或几个固定区域的服务器中，若服务的对象是遍布全国的供应商、核心企业、金融机构以及律所和银行，此种文件的存储方式对用户的访问有着极大的影响，最差的情况甚至可达到数秒的文件访问延迟。


技术实现要素：

3.本发明的目的在于提供一种金融级文件安全存储方法及系统，以解决上述背景技术中提出的问题。
4.为实现上述目的，本发明提供如下技术方案：一种金融级文件安全存储方法，包括以下步骤：s1、将文件进行文件块的拆分；s2、将步骤s1中的文件块分发到文件存储中；s3、对步骤s2中的文件块进行下载时，对离开文件存储的文件进行签名。
5.作为本发明进一步的方案：所述步骤s1包括s11、将文件按照不同的文件类型、存储模式、租户策略进行文件块的拆分；s12、将文件块的metadata信息存放在去中心化的元数据中心。
6.作为本发明再进一步的方案：所述步骤s2包括：s21、对步骤s1拆分的文件块根据关注该业务文件的参与方所在区域，选择距离参与方近的区域存储引擎，将文件发送到存储引擎中相近的文件存储；s22、所述步骤s21中的文件块互为备份。
7.作为本发明再进一步的方案：所述步骤s3包括：s31、判断下载的文件类型，若文件类型是pdf类型，加载系统颁发给用户的证书对pdf文件进行签名，若文件类型是非pdf，则将用户的签名信息写入到文件字节中的特定位置；s32、对步骤s31中得到的签署文件进行加密处理。
8.一种金融级文件安全存储系统，包括拆分模块，用于将文件进行文件块的拆分；分发模块，用于将拆分模块得到的文件块分发到文件存储中；下载模块，用于对文件存储中的文件块进行下载时，对离开的文件进行签名。
9.作为本发明进一步的方案：所述拆分模块包括
文件块拆分单元，用于将文件按照不同的文件类型、存储模式、租户策略进行文件块的拆分；文件块信息放置单元，用于将文件块的metadata信息存放在去中心化的元数据中心。
10.作为本发明再进一步的方案：所述分发模块包括：文件存储单元，用于对拆分模块拆分的文件块根据关注该业务文件的参与方所在区域，选择距离参与方近的区域存储引擎，将文件发送到存储引擎中相近的文件存储；备份单元，用于对文件存储单元得到的文件块互为备份。
11.作为本发明再进一步的方案：所述下载模块包括判断单元，用于判断下载的文件类型，在文件类型是pdf类型时，加载系统颁发给用户的证书对pdf文件进行签名，在文件类型是非pdf，则将用户的签名信息写入到文件字节中的特定位置；加密单元，用于对判断单元得到的签署文件进行加密处理。
12.与现有技术相比，本发明的有益效果是：本技术采用了将文件按照一定规则进行了分块存储的方式，同时添加了离站签名的机制，保证了文件的可追溯性。文件被分块后会根据关注该文件的业务参与方被分发到距离参与方较近的区域的存储服务器中，以便用户在进行文件阅览和操作的时候能够以较快的速度给与响应。
附图说明
13.图1为金融级文件安全存储方法示意图。
14.图2为金融级文件安全存储系统示意图。
15.图3为金融级文件安全存储方法及系统中文件安全存储分发示意图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
17.请参阅图1～3，本发明实施例中，一种金融级文件安全存储方法，包括以下存储步骤：s1、将文件进行文件块的拆分，在本步骤中，包括s11、将文件按照不同的文件类型、存储模式、租户策略进行文件块的拆分；s12、将文件块的metadata信息存放在去中心化的元数据中心；即在被步骤中，将文件按照不同的文件类型、存储模式、租户等策略进行文件块的拆分，一般会按照512kb-1024kb为一个文件块进行拆分。文件分块后，将文件块的metadata信息存放在去中心化的元数据中心，以供文件重组时使用；随后进行步骤s2、将步骤s1中的文件块分发到文件存储中，在本步骤中，包括以下具体步骤，s21、对步骤s1拆分的文件块根据关注该业务文件的参与方所在区域，选择距离参与方近的区域存储引擎，将文件发送到存储引擎中相近的文件存储；s22、所述步骤s21中的文件块互为备份，即将拆分后的文件块，根据关注该业务文件的各参与方所在区域，选择距离参与方较近的大区存储引擎，将文件分发到存储引擎中相近的几个文件存储中，并且各文件块互为备份，以保证机房出现灾
难时，文件可恢复，其中存储区域的选择会依照业务参与方注册的使用地址，结合我们维护的存储大区域进行选择；随后进行步骤s3、对步骤s2中的文件块进行下载时，对离开文件存储的文件进行签名，其中本步骤包括步骤s3包括：s31、判断下载的文件类型，若文件类型是pdf类型，加载系统颁发给用户的证书对pdf文件进行签名，若文件类型是非pdf，则将用户的签名信息写入到文件字节中的特定位置；s32、对步骤s31中得到的签署文件进行加密处理，即是在文件下载时，对离站的文件进行签名，使用隐写或pdf签名的技术将下载的用户的基本信息和下载原因签署到文件中，并判断下载的文件的类型，如果下载的文件是pdf类型的情况下，我们会加载系统颁发给用户的pkcs#12证书对pdf进行签名，对于非pdf类型的文件，我们会将用户的签名信息写入到文件字节中的特定位置，随后在签名后会使用各租户配置的加密策略对文件进行加密处理，现在针对各个参与方提供了rsa2048、sm4、aes等加密算法对文件进行加密的支持，所以一旦出现文件泄露时，可以根据文件的签名信息对文件进行追溯，可以快速定位到文件泄露的源头，保障各个参与方的信息安全，最后本技术还包括客户端，即业务客户端程序根据业务场景的需要从基础文件服务下载或上传文件，文件处理引擎会根据租户声明的策略从就近的文件存储中获取文件块，在服务端或客户端重组签名后交给用户使用。
18.请参阅图1～3，本发明实施例中，一种金融级文件安全存储系统，包括拆分模块、分发模块和下载模块，其中拆分模块用于将文件进行文件块的拆分，其中拆分模块包括文件块拆分单元和文件块信息放置单元，文件块拆分单，用于将文件按照不同的文件类型、存储模式、租户策略进行文件块的拆分；文件块信息放置单元用于将文件块的metadata信息存放在去中心化的元数据中心；分发模块用于将拆分模块得到的文件块分发到文件存储中，其中分发模块包括文件存储单元和备份单元，其中文件存储单元，用于对拆分模块拆分的文件块根据关注该业务文件的参与方所在区域，选择距离参与方近的区域存储引擎，将文件发送到存储引擎中相近的文件存储；备份单元，用于对文件存储单元得到的文件块互为备份；下载模块用于对文件存储中的文件块进行下载时，对离开的文件进行签名，其中下载模块包括判断单元和加密单元，其中判断单元用于判断下载的文件类型，在文件类型是pdf类型时，加载系统颁发给用户的证书对pdf文件进行签名，在文件类型是非pdf，则将用户的签名信息写入到文件字节中的特定位置；加密单元用于对判断单元得到的签署文件进行加密处理。
19.在本实施例中结合现有市场上的文件分发的技术，创造了一个文件安全存储和分发的策略。在存储策略中，考虑到安全性的需求，将文件按照一定规则进行了分块存储，同时添加了离站签名的机制，保证了文件的可追溯性。文件被分块后会根据关注该文件的业务参与方被分发到距离参与方较近的区域的存储服务器中，以便用户在进行文件阅览和操作的时候能够以较快的速度给与响应。经过优化，即便是存储服务的accesskey不慎泄露，也无法从无序的文件块中拼凑出完整的文件，文件的安全性得到了极大的保证。将文件块提前就近分发到业务参与方区域后，文件的访问延迟大大降低，平均延迟仅在300毫秒左右，得到了数倍的提升，用户的体验得到了极大地改善。
20.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权
利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
21.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。