安全云存储系统总体框架

云存储系统的安全需求，云安全服务的新模式，能够解决云存储系统普遍存在的云存储服务商主动窥探用户数据和云存储系统遭受攻击被动泄露用户数据等主要安全问题，可为用户提供安全可靠的云存储服务。

安全云存储系统总体框架，共包含三部分，分别为云存储系统、云存储服务和云安全服务。

图1安全云存储系统总体框架

 （1）云存储系统

包括客户端和服务端，客户端直接面向用户，通过与服务端交互，完成用户登录认证、访问鉴权和数据管理等功能；服务端是云存储系统的中心，负责与客户端、云安全服务和云存储服务进行对接。服务端的功能有∶首先，通过实现用户管理、权限管理、数据管理等功能，与客户端进行交互，响应用户登录认证、访问鉴权和数据管理等请求其次，通过与云安全服务的对接获取数据加/解密、密钥管理、密文检索等安全能力，实现数据安全功能然后，通过与云存储服务的对接获取数据上传、检索、访问、下载等云存储能力，实现云存储功能。

（2）云安全服务

通过将数据加/解密、密钥管理、密文检索等安全技术以云服务的方式提供给云存储系统的服务端，使其在不需要了解技术原理、功能逻辑的情况下，便能通过相应的云安全服务接口快速获得专业的数据加/解密、密钥管理、密文检索等数据安全能力，为其免去实现复杂性的同时节省时间和维护成本。

（3）云存储服务

以接口的形式为云存储系统提供海量数据存储、检索、访问、下载等能力，可支持Amazon S3、阿里云等公有云存储，以及OpenStack Swift等私有云存储。在进行数据存储或访问操作时，用户还可采用临时授权凭证的方式，使客户端和云存储服务直接进行数据通信。首先，由客户端向服务端发送获取云存储服务临时授权的请求然后，由服务端使用云存储服务接入凭证获得云存储服务的临时授权凭证，并将其传送给客户端；这样，客户端便可使用临时授权凭证直接与云存储服务进行数据通信。这种方式能够减轻服务端的传输和计算压力，特别是在客户端向云存储平台上传大文件时，网络传输速率不会受制于服务端租用的带宽，传输速率可达到客户端和云存储平台之间通信的最大带宽。