[发明专利]基于JAR的云数据安全管理与审计装置

说明书

本发明公开了一种基于JAR的云数据安全管理与审计装置，包括：云数据管理模块，用于实现数据所有者对数据的读写与更新，更新用户列表并日志审计操作，其中，在未授权用户查看明文数据之前，检测和终止恶意行为，并且在有人访问服务器端的数据时，通过JAR的访问策略触发自动日志记录；日志安全审计模块，用于通过Attestation的日志格式将日志存储在CSP上，并且通过链状的日志整体结构保证日志的安全性，以通过JAR的访问策略对数据访问进行查询或者对指定文件或用户行为进行查询。该装置可以通过JAR的访问策略提供自动可靠的日志记录机制，确保数据访问将生成记录并保护数据免受密钥滥用攻击，有效地实现了记录的真实性和完整性，有效提高数据的安全性。

技术领域

本发明涉及云存储及数据安全保护技术领域，特别涉及一种基于JAR(JavaArchive，Java归档文件)的云数据安全管理与审计装置。

背景技术

随着云服务的发展，越来越多的用户开始使用云存储服务。简单来说云存储是将储存资源放到云上供人存取的一种新兴方案。在数据访问方面，现有云存储技术的问题主要在于如果执行大规模数据请求或数据恢复操作，那么云存储是否可提供足够的访问性。在数据安全方面，云存储服务器早已经成为了黑客入侵的目标，CSP(Content SecurityPolicy，内容安全策略)近年来已经有数据丢失、泄漏事故报告，考虑到CSP的信誉不佳，云用户担心会失去对其数据的控制，CSP和日志记录的不可靠引发了云存储中的诸多问题。多数的云服务提供商都预备了安全防护方案，但是云存储中数据安全问题仍然客观存在，必须加以解决。

在相关技术中，作为应对CSP的问题的主要方法，日志记录能够跟踪数据使用情况，便于进行数据安全检查。作为常见的记录类型，日志由具有日志记录机制CSP生成并存储在云中。在不被信任的云中，不论是恶意用户还是CSP都有能力制造虚假或破碎的日志，防止留下泄露数据的证据。因此，如何在不信任的云中构建自动可靠的日志记录面临严峻的挑战。近年来，对不可信云中的可信云记录的研究着重于日志的完整性保护，数字签名和哈希链机制已经被引入可靠的日志记录格式中，采用自动记录机制可有效保证记录日志的真实性。

然而，最先进的自动日志记录技术仍然存在一些问题，如自动记录机制是为分布式存储系统设计的，并没有充分利用CSP的能力，对数据所有者的日志通信和存储造成巨大的负担；又例如为了保护日志内容中的用户隐私，日志加密机制在空间和时间上都是低效的，并且不可信的CSP会引发密钥滥用攻击的问题。需要说明的是，通过与CSP合谋，恶意用户可以直接访问存储在CSP上的加密数据，而不生成任何记录，并用泄漏的解密密钥对数据进行解密，造成数据的安全性低，记录的真实性和完整性差。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的目的在于提出一种基于JAR的云数据安全管理与审计装置，该装置可以确保数据访问将生成记录并保护数据免受秘钥滥用攻击，有效实现了记录的真实性和完整性，有效提高数据的安全性。

为达到上述目的，本发明实施例提出了一种基于JAR的云数据安全管理与审计装置，包括：数据管理模块，用于实现数据所有者对数据的读写与更新，更新用户列表并日志审计操作，其中，在未授权用户查看明文数据之前，检测和终止恶意行为，并且在有人访问服务器端的数据时，通过JAR的访问策略触发自动日志记录；日志安全审计模块，用于通过Attestation的日志格式将日志存储在CSP上，并且通过链状的日志整体结构保证日志的安全性，以通过所述JAR的访问策略对数据访问进行查询或者对指定文件或用户行为进行查询。

本发明实施例的基于JAR的云数据安全管理与审计装置，可以实现基于JAR的数据访问控制、面向数据操作的日志生成、日志完整性维护以及基于日志的安全审计等功能，并通过JAR的访问策略提供自动可靠的日志记录机制，确保数据访问将生成记录并保护数据免受密钥滥用攻击，有效地实现了记录的真实性和完整性，有效提高数据的安全性。