[发明专利]一种抗访问模式泄露的数据安全隔离与共享实现方法

说明书

技术领域

本发明涉及云存储安全保密技术领域，具体涉及一种抗访问模式泄露的数据安全隔离与共享实现方法。

背景技术

随着云计算的普及，其低成本等优势吸引了越来越多的企业。由于用户数据不再由自己控制，而是存放于云服务器上，所以用户对数据安全十分重视，必须增强数据存储以及访问的安全性。

Pinkas早在2010年便详细介绍了访问模式泄露的概念以及带来的安全威胁，通过长期窃听用户行为，可以掌握用户足够次访问操作所接收数据的地址序列以及后续行动，对这些信息进行分析后发现，当用户访问某一地址序列对应的数据后，都会采取某一操作，则当用户再次访问同一地址序列的数据时，便可以高概率地推测出用户行为。但是目前已有的云数据存储方案中基本不会隐藏用户的访问模式。

用户数据存储在服务器时，为了保证安全性，必然使用各自密钥加密后再存储，这便造成了用户间数据共享的难题。

虚拟化技术实现资源池化，虽然可以通过SELinux-sVirt等机制实现资源隔离，但是依然存在被攻破的可能性。

发明内容

本发明要解决的技术问题是：针对高安全标准的企业来说，必须解决以上三方面的问题，构建实现数据安全隔离与共享的抗访问模式泄露的安全存储方案。本发明提供一种抗访问模式泄露的数据安全隔离与共享实现方法，能够实现各部门内部数据共享，各部门间数据安全隔离以及用户访问模式的隐藏。

本发明所采用的技术方案为：

一种抗访问模式泄露的数据安全隔离与共享实现方法，所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。以上三部分协作共同构建出抗访问模式泄露的数据安全隔离与共享实现方法。

为了避免SELinux-sVirt等机制实现资源隔离被攻破的风险，将需要进行数据隔离的各个部门分别分配一个或者多个独立的物理服务器，实现物理隔离，通过物理方式保证部门间数据的安全隔离。

为了实现用户数据共享，在每个部门内部设置一个代理服务器，对用户密钥加密的中间密文进行再次加密，形成最终密文存储在该部门对应的存储服务器上，且存储服务器上的密文最终是采用同一个密钥加密的。通过代理的引入，实现部门内部不同用户之间的数据共享功能。

为了隐藏用户访问模式，存储服务器上采用二叉树的形式存储数据，每次访问数据，都是访问二叉树某个叶子节点到根节点这条路径上的所有数据，成功隐藏用户访问模式。

本发明的有益效果为：

本发明成功解决用户间数据共享，虚拟化资源池化依然存在被攻破的可能性，云数据存储方案中不会隐藏用户的访问模式等三方面所带来的安全风险，通过代理的引入，实现部门内部不同用户之间的数据共享功能，通过物理方式保证部门间数据的安全隔离，采用二叉树的形式存储数据，成功隐藏用户访问模式。

附图说明

图1为本发明抗访问模式泄露的数据隔离共享方案框架图。

具体实施方式

下面参照附图所示，通过具体实施方式对本发明进一步说明：

一种抗访问模式泄露的数据安全隔离与共享实现方法，所述方法在物理隔离的基础上，借助代理加密技术实现数据安全隔离与共享，并改变数据原有的存储形式，借助二叉树的存储形式保证数据访问过程中访问模式不被泄露，进而成功保护用户隐私。以上三部分协作共同构建出抗访问模式泄露的数据安全隔离与共享实现方法。

为了避免SELinux-sVirt等机制实现资源隔离被攻破的风险，将需要进行数据隔离的各个部门分别分配一个或者多个独立的物理服务器，实现物理隔离，通过物理方式保证部门间数据的安全隔离。

为了实现用户数据共享，在每个部门内部设置一个代理服务器，对用户密钥加密的中间密文进行再次加密，形成最终密文存储在该部门对应的存储服务器上，且存储服务器上的密文最终是采用同一个密钥加密的。通过代理的引入，实现部门内部不同用户之间的数据共享功能。

为了隐藏用户访问模式，存储服务器上采用二叉树的形式存储数据，每次访问数据，都是访问二叉树某个叶子节点到根节点这条路径上的所有数据，成功隐藏用户访问模式。

如图1所示，用户可以向所在部门对应的存储服务器中存储数据，也可以访问其上的数据：