[发明专利]一种面向拟态防御系统的数据加密存储方法

说明书

本发明公开了一种面向拟态防御系统的数据加密存储方法，该方法包括：输入代理模块接收用户的数据读写请求，将用户设置转换封装后上送策略控制器并按照策略分发到异构云存储平台；经策略控制器综合分析后，制定并分发多重签名策略、加密策略、碎片化策略、签名认证策略到异构云存储平台；异构云存储平台按照下发策略进行数据的多重签名、碎片、加密操作或重组、解密、认证操作并上送裁决器；裁决器对签名认证进行裁决，并上送策略调度器；输出代理模块将操作信息进行处理转换后报送给用户。该方法提升了数据安全性，也可针对不同的数据安全需求合理制定不同的安全策略，满足了用户对于数据存储性能的要求。

技术领域

本发明涉及加密存储技术领域，特别是涉及一种面向拟态防御系统的数据加密存储方法。

背景技术

传统的数据加密存储服务侧重于云存储的功能性，以提升存储容量和吞吐量为主要目标。对于云存储平台中数据的安全性，以传统的防御技术为主。缺乏防御入侵者利用平台本身的漏洞和后门进行数据破解和篡改的内生安全特性。面向的云储存平台也是具有固定技术架构传统云存储平台，不能适用于具备拟态防御特性的云存储平台。

发明内容

本发明针对现有云存储平台不能防御基于未知漏洞和后门的数据存储安全问题，提供一种面向拟态防御系统的数据加密存储方法，该方法不仅能兼容现有存储架构，还能提升存储数据的安全性。

本发明是通过以下技术方案来实现的：一种面向拟态防御系统的数据加密存储方法，所述拟态防御系统包括输入代理模块、策略调度器、异构云存储平台、裁决器和输出代理模块，所述数据加密存储方法具体包括以下步骤：

(1)当用户进行文件写操作时，包括以下子步骤：

(1.1)输入代理模块接收用户请求，进行解包分析处理，将用户设定的数据文件存储属性和用户信息进行封装后上送至策略调度器，所述策略调度器将用户数据文件分发给处于活跃状态的异构云存储平台，并将自身的运行状态反馈到策略调度器；

(1.2)所述策略调度器根据异构云存储平台上送的用户数据文件存储属性、碎片算法组和加密算法组的安全性-复杂度映射关系表进行综合分析后，下发文件碎片、加密策略以及子群签名策略到异构云存储平台；

(1.3)所述异构云存储平台根据策略调度器的策略对用户数据文件进行子群签名认证，并使用对应的碎片算法和加密算法对数据文件进行冗余安全存储，并将资源消耗情况、系统运行情况和自身负载状态反馈到策略调度器。

(1.4)所述输出代理模块再将经过转换处理的操作信息反馈给用户。

(2)当用户进行文件读操作时，包括以下子步骤：

(2.1)所述输入代理模块接收用户请求，进行解包分析处理，将用户请求进行处理封装后，上送至所述策略调度器；

(2.2)所述策略调度器下发解密重组策略以及子群签名验证策略到处于活跃态的异构云存储平台的子集；

(2.3)所述异构云存储平台接收到策略调度器下发的策略后，重组解密用户数据文件，并由3个以上执行体对所述用户数据文件进行签名验证，签名验证的结果上送给裁决器裁决，再将裁决结果上送到所述策略调度器，策略调度器根据裁决结果下发相应策略到异构云存储平台；

(2.4)所述输出代理模块再将经过转换处理的操作信息反馈给用户。

进一步地，步骤1.1中，所述用户设定的文件存储属性包括文件密级要求和吞吐量要求。

进一步地，步骤1.3中，所述异构云存储平台均需要使用成员密钥对数据文件进行签名验证，且由其中一台异构云存储平台对用户数据文件进行碎片加密操作，并向策略调度器反馈自身运行状态和该策略执行的性能度量结果。

进一步地，步骤2.2中，策略调度器下发的子群签名验证策略包括独立签名验证和聚合签名验证策略。