[发明专利]一种保障信息安全的计算机系统及其方法

摘要

本发明提供了一种保障信息安全的计算机系统及其方法，包括：通过所述云存储集群提供文件级共享与访问控制机制，将文件分成内容数据和安全元数据存储在云存储集群中；利用认证节点认证用户身份，将密钥分发给合法用户获得数据明文，利用密钥分发机制将待访问的文件的密钥分发给合法用户；将用户的身份证书存储在客户端，认证节点端只存储认证节点加密密钥和认证节点签名密钥，当文件发生改变时，直到文件被修改时才对被修改的内容重新加密。本发明在普通网络和云存储环境中保证了数据的私有性、完整性以及访问控制的安全性，降低了对云存储集群的安全依赖，逻辑结构简单，可扩展性高。

主权项

一种在计算机系统中保障信息安全的处理方法，所述计算机系统包括云存储集群，客户端，认证节点,其特征在于：通过所述云存储集群向用户提供文件级共享与访问控制机制，将用户视图中的一个文件分成两个文件存储在云存储集群中，该两个文件分别为内容数据和安全元数据，利用认证节点认证用户身份，处理用户的文件访问请求，将密钥分发给合法用户，文件所有者指定文件能够被指定用户进行特定权限的访问，并且只有合法授权的用户才能获得数据明文，并且利用密钥管理机制使用户在使用计算机系统时，不在本地存储任何文件密钥，利用密钥分发机制将待访问的文件的密钥分发给合法用户；将用户的身份证书存储在客户端，在认证节点端只存储两个对称密钥，即认证节点加密密钥和认证节点签名密钥，利用两个对称密钥，完成对称密钥加解密，计算消息验证码；通过客户端处理用户的请求，执行文件操作，同时完成文件数据加解密和完整性检验，客户端与认证节点通信，来获取密钥；当计算机系统中的文件发生改变时，该系统直到文件被修改时才对被修改的内容重新加密，系统中的加密和解密运算都使用对称加解密，同时通过缓存机制来避免重复的计算开销和I/O开销，其中所述内容数据中存储文件密文，安全元数据中存储了内容数据相关的安全信息，该安全信息包括读写控制块，根散列链表和散列树。