[发明专利]一种面向拟态防御系统的数据加密存储方法

权利要求书

1.一种面向拟态防御系统的数据加密存储方法，其特征在于，所述拟态防御系统包括输入代理模块、策略调度器、异构云存储平台、裁决器和输出代理模块，所述数据加密存储方法具体包括以下步骤：

(1)当用户进行文件写操作时，包括以下子步骤：

(1.1)输入代理模块接收用户请求，进行解包分析处理，将用户设定的数据文件存储属性和用户信息进行封装后上送至策略调度器，所述策略调度器将用户数据文件分发给处于活跃状态的异构云存储平台，并将自身的运行状态反馈到策略调度器；

(1.2)所述策略调度器根据异构云存储平台上送的用户数据文件存储属性、碎片算法组和加密算法组的安全性-复杂度映射关系表进行综合分析后，下发文件碎片、加密策略以及子群签名策略到异构云存储平台；

(1.3)所述异构云存储平台根据策略调度器的策略对用户数据文件进行子群签名认证，并使用对应的碎片算法和加密算法对数据文件进行冗余安全存储，并将资源消耗情况、系统运行情况和自身负载状态反馈到策略调度器；

(1.4)所述输出代理模块再将经过转换处理的操作信息反馈给用户；

(2)当用户进行文件读操作时，包括以下子步骤：

(2.1)所述输入代理模块接收用户请求，进行解包分析处理，将用户请求进行处理封装后，上送至所述策略调度器；

(2.2)所述策略调度器下发解密重组策略以及子群签名验证策略到处于活跃态的异构云存储平台的子集；

(2.3)所述异构云存储平台接收到策略调度器下发的策略后，重组解密用户数据文件，并由3个以上执行体对所述用户数据文件进行签名验证，签名验证的结果上送给裁决器裁决，再将裁决结果上送到所述策略调度器，策略调度器根据裁决结果下发相应策略到异构云存储平台；

(2.4)所述输出代理模块再将经过转换处理的操作信息反馈给用户。

2.根据权利要求1所述数据加密存储方法，其特征在于，步骤1.1中，所述用户设定的文件存储属性包括文件密级要求和吞吐量要求。

3.根据权利要求1所述数据加密存储方法，其特征在于，步骤1.3中，所述异构云存储平台均需要使用成员密钥对数据文件进行签名验证，且由其中一台异构云存储平台对用户数据文件进行碎片加密操作，并向策略调度器反馈自身运行状态和该策略执行的性能度量结果。

4.根据权利要求1所述数据加密存储方法，其特征在于，步骤2.2中，策略调度器下发的子群签名验证策略包括独立签名验证和聚合签名验证策略。

5.根据权利要求1所述数据加密存储方法，其特征在于，步骤2.3中，异构云存储平台重组解密用户数据文件前，对文件元数据的完整性进行校验。

6.根据权利要求1所述数据加密存储方法，其特征在于，步骤2.3中，策略调度器根据裁决器上送的裁决结果下发相应策略包括下线指定的异构云平台、激活指定的处于未活跃状态的异构云平台、启用备份数据进行加密重组操作、向用户返回用户数据。

7.根据权利要求1所述数据加密存储方法，其特征在于，步骤2.3中，所述裁决结果包括签名验证正常、签名验证异常及异常的云存储平台标识。

8.根据权利要求1所述数据加密存储方法，其特征在于，步骤1.4或2.4中，所述经过转换处理的操作信息包括命令执行状态和执行时间；若所述输出代理模块未在规定时间内收到异构云平台的用户反馈信息，则向用户上报超时错误。