一种在分布式环境下防止非法复制文件的方法 技术领域 本发明的内容涉及分布式环境下存储文件内容、 管理文件信息以及提供文件访问 的文件存储系统。具体讲述一种在分布式环境下防止非法复制文件的方法。其中, 通过使 用限制文件复制和检验访问程序的文件存取控制技术以及分布式环境下切换文件内容状 态的受限制转换技术, 实现在分布式存储系统内与分布式存储系统之外文件物理内容都不 被非法复制的目的。
背景技术 文件是存储数据信息的重要形式, 可复制性是文件的固有特征。复制操作是文件 管理系统 ( 文件系统 ) 提供的基本服务, 可增加用户使用的便捷性。通过简单的复制操作, 同一个电子文件能出现成千上万份的拷贝。但复制操作产生的使用便捷性对于信息产品 ( 影音文件、 应用软件和电子文档 ) 制造商来说, 却极大地增加了信息产品被盗版的可能。
为了减少信息产品的非法复制所引发的损失, 计算机的相关领域从文件内容访问 的角度给出了多种解决方案。 例如 : 在影音文件方面, 使用 DRM 等技术来限制播放操作的执 行; 在应用软件方面, 分别使用序列号和更新验证的手段来限制软件的安装和升级 ; 在电 子文档方面, 给文档访问增加了访问密码等验证措施。
上述方法, 有效抑制了信息产品被复制后而引发的非法内容访问, 但并没有有效 解决非法复制给信息产品产生的威胁, 使得信息产品的不正当传播和使用的风险依然存 在。另外, 针对信息产品的使用特点而设计的保护措施, 给新应用的开展和普及制造了障 碍。
中国发明专利 200910008922.6 介绍了一种在文件系统中提供自定义存取控制方 式的方法。 提供自定义存取控制方式的文件系统具有支持用户订制文件关联访问操作所对 应存取控制验证过程的功能。 首先, 文件系统提供多种用于存取控制工作的验证方法, 包括 验证访问用户、 验证访问程序, 验证访问环境等方面。 其次, 文件携带有存取控制设置信息, 用于记录与访问操作关联的验证方法及验证所需数据内容。第三, 文件系统能根据存取控 制设置信息内的设定, 针对每个访问操作调用相应的验证方法, 来实现存取控制过程自定 义的功能。
提供自定义存取控制方式的文件系统从存取访问的角度为文件内容保护工作提 供了一个基础的平台。在提供自定义存取控制方式的文件系统中, 通过指定符合需求的存 取控制验证过程, 信息产品制造商可以便捷的实现保护信息产品所含文件不被非法操作的 目的。
互联网的发展使得文件的使用和存储呈现分布式的特征。 提供自定义存取控制方 式的文件系统虽然能实现在文件系统内部对受保护文件的复制操作进行管理, 来避免非法 复制, 但由于分布式环境下文件具有移动的需求, 文件在移动过程中遭受非法复制的风险 依然没有解决。
发明内容 在分布式环境下, 如果围绕文件的物理内容制定一种内容保护机制, 来保证文件 在存储位置内和移动过程中物理内容都不会被非法复制, 将具有以下优点 :
1 保护机制围绕文件的物理内容而设计, 不针对特定应用, 具有适用性强的特点。
2 物理内容的可保护措施能降低应用程序的开发复杂度, 避免开发人员过多关心 内容保护, 进而提高开发效率。
本发明中, 分布式环境下防止非法复制文件的核心思路是 : 首先, 将文件可被应用 程序访问内容的环境限定在能限制文件复制和检验访问程序的存储位置中 ; 其次, 在能限 制文件复制和检验访问程序的存储位置之外, 文件的内容处于被处理过的状态使得程序无 法获得文件的原有内容 ; 最后, 采取措施限制被处理过的文件内容回复为被处理之前的原 有状态。
基于该思想, 在限制复制操作和检验访问程序的存储位置之外移动时, 文件内容 不能被应用程序访问。不能被程序访问的状态再加上回复原有状态又存在限制, 对文件执 行复制操作的价值大幅度降低, 进而解决了文件在移动过程中被非法复制的问题。具体在 分布式环境下控制电子防止非法复制文件的方法包括以下三个方面 :
1 若干个存储节点组成一个分布式存储系统, 其中每个存储节点内容提供文件存 储服务和支持文件访问接口, 并会根据文件设置执行限制文件复制和检验访问程序两方面 的访问控制工作 ;
2 文件离开所处存储节点之前, 文件需要经过转变操作而变为应用程序不可访问 的状态 ;
3 满足位于任一个存储节点内和回复检验成功的两个前提时, 处于不可访问状态 的文件才能通过回复操作回复为转变操作之前的原有形态。
在上述措施中, 应用程序不可访问的状态是指文件内容经过加密、 隐藏、 分割等手 段处理, 使得应用程序无法利用文件访问接口直接获得文件被处理前的原有内容, 简称不 可访问状态。转变操作是将文件转变为不可访问状态的操作, 回复操作是将文件由不可访 问状态回复为转变之前原有形态的操作。
存储节点为一个具有存储服务功能的存储单元, 内部包含用于记录文件的存储空 间, 并提供围绕存储空间的文件访问接口, 例如, 文件读取、 文件写入等内容访问接口以及 新建文件、 删除文件、 复制文件等文件管理接口。
存储节点的访问控制工作中, 限制文件复制是指限制文件关联的文件复制操作, 限制的角度包括限制用户、 限制软件、 限制环境等, 甚至可以禁止文件复制的发生。检验访 问程序是指检查进行内容访问的程序是否是具有文件设置中所规定的特征, 用以避免文件 内容被未知程序非法存储到其他位置。
存储节点为需要限制非法复制的文件提供转变操作和回复操作。 文件转变操作的 发生时机可以发生在离开所处存储节点的过程中, 也可以发生在离开存储节点之前, 但不 能发生在离开存储节点之后。文件回复操作可以发生在进入存储节点的过程中, 也可以发 生在进入存储节点之后, 但不能发生在进入存储节点之前。
回复检验是确保回复操作的成功执行必须符合与文件关联的回复条件。 回复条件 是指回复操作在完成次数、 发生时间以及执行环境等方面存在限制。 其中, 完成次数存在限
制是指围绕来自于同一个转变操作的不可访问状态文件在回复成功的总次数上存在限制 ; 发生时间存在限制是在回复操作的发生时间需要在规定时间范围内 ; 执行环境存在限制是 指回复操作执行的环境需要在软件、 硬件或网络等方面具备规定特征, 例如存储节点位置 等。
在回复条件方面, 文件关联的回复条件不会因为执行回复操作的存储节点变化而 变化。在回复检验方面, 在存储系统之外, 对一个文件执行复制操作所获得的新文件, 在执 行回复检验时被认为和被复制的文件为同一文件。
针对访问控制、 转变操作、 回复操作以及回复检验等工作, 存储节点内的文件携带 有特定设置信息, 具体用于 : (1) 指明完成相关工作的方式 ; (2) 指明完成相关工作所需的 数据或获得完成相关工作所需数据的途径。
基于上述方案, 在防止非法复制文件的存储系统中, 文件通过携带针对性的设置 信息便能实现在物理访问层面阻止文件遭受非法复制的目的, 并且能在分布式环境下保证 文件的正常使用。例如 :
给一个电影文件指定以下设置信息 : (1) 禁止文件复制操作发生和仅允许授权播 放器进行内容访问 ; (2) 指定转变操作和回复操作的具体工作过程 ; (3) 回复条件为回复操 作完成次数为 1。
在防止非法复制文件的存储系统的支持下, 该电影文件能具有以下特点 : (1) 在 存储系统中不会被非法复制 ; (2) 存储节点间移动时, 内容将处于无法正常播放的状态 ; (3) 移出存储节点的电影文件返回可播放状态的文件个数始终唯一。上述特点使得保护电 影文件内容的目的得以实现。
对电子文件内容有版权要求的用户 ( 软件制造商、 电影发行商、 文档所有者等 ), 若利用该类型的存储系统来传播和发行文件, 即通过指定设置信息便能实现在分布式环境 下控制非法复制文件的目的, 相比等待应用开发商提供各种应用层解决方案更加便捷。 附图说明
图 1 是存取控制设置信息记录形式的示例图。 图 2 是转变操作和回复操作的设置信息记录形式的示例图。 图 3 是附加设置数据结构内容记录形式的示例图。具体实施方式
在分布式环境下, 利用本发明所述防止非法复制文件的方法而实现的存储系统, 首先要具备基本的存储功能, 在存放需要被保护文件的同时, 还能提供文件访问接口。另 外, 需要在基础的存储功能之上防止非法复制操作的发生, 即避免非法获得能利用文件访 问接口直接访问原有内容的文件拷贝。下面介绍本发明的一种实施方式, 具体如下 :
存储系统
在本实施中, 存储系统由多个存储节点和若干个回复检验服务器共同组成。 其中, 回复检验服务器是用来协同存储节点完成转变操作和回复操作的网络服务器, 存储节点和 回复检验服务器之间存在有支持相互访问的网络。
在本实施中, 存储节点和回复检验服务器之间利用基于数字证书的身份识别技术来确认彼此的身份。 其中, 数字证书的发放通过第三方的证书管理系统来完成, 而颁发的证 书所代表的身份包括合法存储节点和合法回复检验服务器两个类别。
存储节点
在本实施中, 使用提供自定义存取控制方式的文件系统来搭建存储节点。存储节 点的实现方式为 : 围绕一台计算机上的部分存储空间, 使用提供自定义存取控制方式的文 件系统来提供文件存储服务。
在本实施中, 存储节点利用文件系统自带的自定义存取控制功能来实现存储节点 限制复制操作和检验访问程序的目的。具体的方式为 :
1 在文件的存取控制设置信息中, 为复制操作选择符合限制复制操作要求的检验 方法。 例如, 若要一直拒绝复制操作, 则选择一个始终返回验证失败的检验方法作为复制操 作的规定检验步骤。
2 在文件的存取控制设置信息中, 为读取操作选择符合检验访问程序要求的检验 方法。例如, 若文件只能通过 abc.exe 程序打开, 则为读取操作指定一个验证 abc.exe 程序 特征的检验方法。
在本实施中, 在提供自定义存取控制方式的文件系统内添加转变操作和回复操 作。 其中, 转变操作的核心是将文件内容加密, 而回复操作的核心是对被加密的文件内容进 行解密。由于转变操作核心为对文件加密, 从而使得本实施中不可访问状态文件形式为加 密状态文件 在本实施中, 转变操作和回复操作对应的加密过程和解密过程采用基于密钥对的 加密算法。 其中, 在加密过程中使用到的密钥为加密密钥, 在解密过程中使用到的密钥为解 密密钥。
在本实施中, 转变操作使用到的加密密钥和回复操作使用到的解密密钥都来自于 回复检验服务器, 即密钥对由回复检验服务器生成。 存储节点获得加密密钥或解密密钥后, 仅用于对应的操作执行, 对密钥不进行保存。
在本实施中, 在提供自定义存取控制方式的文件系统内为不同加密算法添加相应 的加密模块和解密模块, 用来支持转变操作和回复操作的执行。转变操作执行时会根据文 件的加密算法设置来调用相应的加密模块来完成相应加密工作。 回复操作执行时会根据文 件的加密算法设置来调用相应的解密模块来完成相应解密工作。
在本实施中, 提供自定义存取控制方式的文件系统内原有用于记录存取控制设置 信息的数据结构被保留, 但对数据结构中记录的内容进行了扩充, 记录内容被扩充的数据 结构称之为文件附加设置数据结构。
在本实施中, 文件附加设置数据结构中具体记录了三类数据信息, 分别为文件的 标识信息、 存取控制设置信息以及转变操作和回复操作的设置信息。
在本实施中, 文件的标识信息主要用于在回复检验工作中标识文件关联的回复条 件, 即文件标识相同的文件都具有相同的回复条件。
在本实施中, 文件的标识信息采用如下格式来表示 : 标识制定者类别 _ 标识制定 者标记 _ 文件序列号 _ 拷贝号。例如 : C_ABC_011198890_010、 P_Tom_011123490_011。其 中: C 和 P 代表标识制定者的身份是公司或个人 ; ABC 和 Tom 分别表示标识制定者的公司名 和人名 ; 011198890 和 011123490 是标识制定者用于区别内容不同的文件所使用的文件序
列号 ; 010 和 011 是标识制定者用来对内容相同的文件进行区别所使用的文件拷贝号。
在本实施中, 文件关联的存取控制设置信息在沿用提供自定义存取控制方式的文 件系统原有存取控制设置信息的记录方法之外, 针对转变操作和回复操作增加了记录两个 操作关联存取控制设置信息所需的标记。具体可参加下面的例子 :
一个文件记录的内容为公司电话薄, 属于 ABC 公司所有。 ABC 公司希望该电话薄不 能被复制, 并且希望读取电话薄的内容时必须使用名为 DocReader.exe 的软件工具。另外, ABC 公司希望针对电话薄文件的转变操作和回复操作必须通过网络认证。
满足上述要求的存取控制设置信息如图 1。其中因为转变操作和回复操作而新增 的标记含义如下 :
reversion 用于标记回复操作 ;
transform 用于标记转变操作。
图 1 中, 验证方法标记字符串 static_user_majie_refuseall 所代表的验证方法 具有始终返回验证失败的功能, 用来拒绝复制操作的执行。
在本实施中, 转变操作和回复操作的设置信息主要是包括操作执行过程所使用 的加密算法、 协同工作的回复检验服务器以及回复检验用到的回复条件。转变操作和回 复操作的设置信息利用 xml 标记语言来记录内容。例如, 图 2 中所记录的内容为一个文 件所携带的转变操作和回复操作的设置信息, 其含义为 : (1) 回复检验服务器的 ip 地址为 202.204.125.66 ; (2) 使用 RSA 加密算法 ; (3) 回复条件包括执行回复操作的最晚日期为 2009 年 12 月 31 日、 只能成功执行一次回复操作以及存储节点的 ip 地址必须属于中国等三 个方面。图 2 中新增标记的含义简要如下 :
transform and reversion control 用于标记整个转变操作和回复操作的设置信息; server 用于标记回复检验服务器的 IP 地址 ;
algorithm 用于标记转变操作和回复操作所使用的加密算法 ;
condition 用于标记与一项回复条件有关的内容 ;
type 用于标记一项回复条件的类型。
在本实施中, 文件附加设置数据结构的内容都使用 xml 标记语言进行记录, 具体 记录形式如图 3, 其中新增标记的含义简要如下 :
file setting 用于标记整个文件附加设置数据结构的内容 ;
file ID 用于标记文件的标识信息。
在本实施中, 需要控制非法复制的文件必须在文件附加设置数据结构中指定文件 的标识信息, 同时必须在转变操作和回复操作关联的设置部分当中指定回复条件。
在本实施中, 文件附加设置数据结构是对自定义存取控制方式的文件系统中原存 取控制设置数据结构所进行的内容扩充, 从而文件附加设置数据结构也作为文件的一部分 存在, 其存储形式和自定义存取控制方式的文件系统中原存取控制设置数据结构的存储形 式相同。
在本实施中, 提供自定义存取控制方式文件系统中原有围绕存取控制设置信息的 访问操作演变为围绕文件附加设置数据结构内信息的访问操作, 例如, 原有存储控制设置 信息的读取操作含义变为文件附加设置数据结构内信息的读取操作。
本实施中, 提供自定义存取控制方式文件系统中原有围绕存取控制设置信息的访 问操作所关联存取控制要求的记录方式被用于记录围绕文件附加设置数据结构内信息的 访问操作所关联的存取控制要求。例如, 原来存取控制设置信息中使用 readconfig 来标识 针对存取控制设膏信息的读取操作, 而在本实施中, readconfig 用于标识针对文件附加设 置结构内容的读取操作。
在本实施中, 存取验证控制模块读取存取控制设置信息内容时, 首先完成存储控 制设置信息在文件附加设置数据结构中定位工作, 然后完成存取控制设置信息的内容读 取。
在本实施中, 经由转变操作而得到的加密状态文件其记录格式如下 : (1) 第一部 分为记录用于标记加密状态文件的格式标示符, 具体为是用 3 个字节并记录内容为 HAM 的 3 个字符 ; (2) 第二部分为记录文件附加设置数据结构的大小, 具体为使用 4 个字节来记录 一个整数 ; (3) 第三部分为记录文件附加设置数据结构内容, 其字节数取决于之前所记录 的文件附加设置数据结构的大小 ; (4) 第四部分为记录文件内容被加密后的大小, 具体为 使用 8 个字节来记录一个整数 ; (5) 第五部分为记录被加密后的文件内容, 其字节数取决于 之前记录文件内容加密后的大小 ; (6) 第六部分为加密所使用密钥对的标记号, 具体为使 用四个字节来记录一个整数 ; (7) 第七部分为整个加密状态文件的 MD5, 具体为占用 16 个字 节。 在本实施中, 加密状态文件的文件名采用在原文名后面增加 .ham 后缀的形式。例 如, 文件名为 hello.dvd 的文件, 加密后文件名变为 hello.dvd.ham。
在本实施中, 执行回复操作的文件如果后缀形式为 .ham, 则回复操作执行完毕, 回 复的文件名称将去掉 .ham 后缀。 例如, 文件名为 hello.dvd.ham, 则回复成功后文件名变为 hello.dvd。
在本实施中, 原有文件所携带的文件附加设置数据结构已经被记录在加密状态文 件内, 加密状态文件本身不再被赋予与原有文件关联的文件附加设置数据结构。
在本实施中, 回复操作在回复文件内容的同时, 也将加密状态文件中所携带的文 件附加设置数据结构一起回复。
在本实施中, 转变操作或回复操作执行成功后, 即在得到加密状态文件或者原有 文件之后, 执行转变操作或回复操作的文件将被删除。
在本实施中, 对文件附加设置数据结构中要求限制非法复制的文件执行移动操作 和复制操作分别存在以下情况 : (1) 移动操作的目标位置为存储节点之外, 移动操作工作 流程为先对文件执行转变操作来获得加密状态文件, 然后将加密状态文件移动到存储节点 外; (2) 复制操作的目标位置为存储节点之外时, 复制操作的工作流程为先在存储节点之 内获得文件的复制文件, 然后对文件的复制文件执行转变操作来获得加密状态文件, 最后 再将该加密状态文件移动到存储节点外。
在本实施中, 经由转变操作而变成加密状态的文件被复制或移动入存储节点后, 用户通过手动调用回复操作, 可将文件内容回复为能被应用程序直接访问原有内容的状 态。
在本实施中, 已经通过转变操作变为加密状态的文件不会被再次执行转变操作。 具体的方式为文件系统会在执行转变操作之前对文件的格式进行判断, 即为加密状态文件
格式的文件不用再次完成转变操作。
在本实施中, 文件读取模块如果发现被读取文件的格式为加密状态文件, 则不在 继续执行读取动作, 并向调用文件读取模块的应用程序提示发生错误。
在本实施中, 需要限制非法复制的文件如果在文件附加设置数据结构中未指定回 复检验服务器或者未指定加密算法, 则存储节点使用默认的回复检验服务器或默认的加密 算法。默认的回复检验服务器和默认的加密算法纪录在存储节点的设置信息中。
在本实施中, 所有存储节点上记录的默认回复检验服务器和默认加密算法都相 同。
在本实施中, 如果执行转变操作时, 存储节点无法支持文件附加设置数据结构中 指定的加密算法或者无法访问文件附加设置数据结构中指定的回复检验服务器, 则相应文 件的转变操作执行失败。
在本实施中, 如果执行回复操作时, 存储节点无法支持加密状态文件中所含附加 设置数据结构指定的加密算法或者无法访问加密状态文件中所含附加设置数据结构中指 定的回复检验服务器, 则相应文件的回复操作执行失败。
在本实施中, 存储节点能根据回复检验服务器的要求而提供存储节点当前的软 件、 硬件以及网络等环境信息。
回复检验服务器
在本实施中, 回复检验服务器会记录以下信息 : (1) 文件标识信息 ; (2) 文件转变 操作和回复操作所用加密算法 ; (3) 文件所关联的回复条件 ; (4) 加密状态的文件所具有的 识别信息 ; (5) 加密状态的文件所对应的密钥对以及密钥对标识号 ; (6) 支持回复检验的其 他信息。
在本实施中, 文件处于加密状态时的识别信息, 包括文件大小、 MD5 以及文件若干 位置上的文件内容。 其中, 文件若干位置上的文件内容涉及位置信息、 位置上的文件内容以 及位置上文件内容的大小等三方面。
在本实施中, 支持回复检验的其他信息是指回复条件判断过程中需要用到的其它 数据信息, 例如, 在回复条件限制文件成功执行回复操作的最大次数时, 需要记录来文件当 前已成功执行回复操作的次数。
在本实施中, 回复检验服务器上存在负责生成密钥对的功能模块, 用来保证各存 储节点的加密算法能正确工作。 密钥对的生成时机为每次转变操作向回复检验服务器索要 加密密钥时。
在本实施中, 如果回复检验服务器的密钥对生成模块不能支持文件转变操作和回 复操作所用加密算法, 回复检验服务器将拒绝为存储节点提供加密密钥, 即拒绝存储节点 继续执行转变操作。
本实施中, 回复检验服务器每生成一对密钥对后, 都会为该密钥对指定一个密钥 对标记号。密钥对标记号具有以下性质 : (1) 为一个整数类型的数据 ; (2) 同一文件的不同 转变操作所关联的密钥对标记号不能相同, 其中同一文件是指具有相同文件标识信息的文 件。
在本实施中, 文件头次执行转变操作时, 回复检验服务器会要求来索要加密密钥 的存储节点提供位于文件附加设置数据结构中的文件标识信息、 文件转变操作和回复操作所用加密算法以及文件关联回复条件等信息, 并进行记录。
在本实施中, 如果执行转变操作的文件所携带的附加设置数据结构中指定的回复 条件无法支持, 回复检验服务器会拒绝存储节点的执行转变操作的请求。
在本实施中, 回复检验服务器支持的回复条件包括以下三个类别 :
1 限制来自于同一个转变操作的加密状态文件所能成功执行回复操作的最大次 数;
2 限制加密状态文件能成功执行回复操作的时间范围, 即回复操作执行时间不在 规定的时间范围内时回复操作将被拒绝 ;
3 要求文件执行回复操作时所处存储节点在软件、 硬件或网络等方面具备规定特 征, 例如存储节点的 IP 位置等。
在本实施中, 来自同一转变操作的加密状态文件是通过文件标识信息和密钥对标 识号来唯一确定的, 即文件标识信息和密钥对标记号都一样的文件被认为是来自于同一转 变操作的加密状态文件。
转变操作、 回复操作和回复检验
在本实施中, 文件转变操作执行的主要步骤为 :
1 转变操作的存取控制检验 ; 2 从文件附加设置数据结构中获得回复检验服务器和加密算法 ; 3 向回复检验服务器索要加密密钥以及密钥对标识号 ; 4 调用加密模块完成文件内容的加密, 生成加密状态文件, 并删除原有文件 ; 5 向回复检验服务器提交加密状态文件的识别信息。 在本实施中, 文件回复操作执行的主要步骤为 : 1 回复操作的存取控制检验 ; 2 验证文件的完整性 ; 3 从加密状态文件内所包含文件附加设置数据结构中获得回复检验服务器和加密算法 ; 4 向回复检验服务器索要解密密钥 ;
5 调用解密模块完成文件内容的解密以及生成原有文件, 并删除加密状态文件。
在本实施中, 转变操作执行过程中向回复检验服务器索要加密密钥以及密钥对标 识号的工作过程主要步骤为 :
1 存储节点与回复检验服务器建立连接 ;
2 存储节点与回复检验服务器利用数字证书技术确认彼此身份 ;
3 存储节点向回复检验服务器提交被执行转变操作的文件所具有的文件标识信 息;
4 回复检验服务器生成密钥对和密钥对标记号 ;
5 回复服务器将加密密钥和密钥对标记号返回给存储节点。
在本实施中, 转变操作执行过程中向回复检验服务器提交加密状态文件识别信息 主要包括文件大小、 MD5 以及若干位置的文件内容, 提交的工作过程主要步骤为 :
1 存储节点向回复检验服务器提交加密状态文件的文件大小和 MD5 ;
2 回复检验服务器记录加密状态文件的文件大小和 MD5 ;
3 回复检验服务器随机选取不超过文件大小的若干位置以及指定对应位置的数据大小 ; 4 回复检验服务器将选取的位置和关联的数据大小告知存储节点 ;
5 存储节点在加密状态文件的对应位置截取相应大小的文件内容, 并返回给回复 检验服务器 ;
6 回复检验服务器记录所选取的位置、 选取的大小以及对应的文件内容。
在本实施中, 回复操作执行过程中向回复检验服务器索要解密密钥的工作过程主 要步骤为 :
1 存储节点与连接网络单元建立连接 ;
2 存储节点与回复检验服务器利用数字证书技术确认彼此身份 ;
3 存储节点向回复检验服务器提供被执行回复操作的文件标识信息和密钥对标记 号;
4 回复检验服务器利用记录的加密状态文件识别信息来确认存储节点拥有加密状 态文件 ;
5 回复检验服务器进行回复条件判断 ;
6 回复检验服务器返回解密密钥。
在本实施中, 回复操作执行过程中向回复检验服务器索要解密密钥时, 回复检验 服务器利用记录的加密状态文件识别信息来确认存储节点拥有加密状态文件的工作过程 为:
1 存储节点向回复检验服务器提供文件大小和 MD5 ;
2 回复检验服务器将收到的文件大小和 MD5 与所记录的文件大小和 MD5 进行匹 配;
3 回复检验服务器将在转变操作时所记录的选取位置和对应大小返回给存储节 点;
4 存储节点从加密状态文件上对应位置上提取给定大小的内容, 并将内容返回给 回复检验服务器 ;
5 回复检验服务器将收到的内容和所记录的内容进行匹配。
在本实施中, 转变操作和回复操作的执行过程中, 存储节点和回复检验服务器间 的网络访问连接在建立之后, 一直持续到操作执行完毕或者回复检验服务器拒绝相应操作 执行。
在本实施中, 回复检验服务器针对所支持的回复条件, 分别实现对应回复条件关 联的判断流程。 回复检验服务器进行回复条件判断时会根据每项回复条件中记录的类别分 别调用相应的判断流程来完成回复条件判断。
在本实施中, 回复检验服务器进行回复条件判断时, 会分别对所记录的各项回复 条件进行判断。在所有回复条件都成立时, 回复检验服务器批准回复操作的执行。
在本实施中, 回复条件关联的判断流程所用到的数据来自于两个方面 : (1) 回复 条件所记录的用于表征回复条件成立条件的数据 ; (2) 回复检验服务器为支持回复条件判 断所维护的数据或者向存储节点索要的数据。
在本实施中, 回复检验服务器为支持回复条件判断而维护的数据包括当前回复操
作成功完成次数。 当前回复操作成功完成次数是指来自于同一转变操作的加密状态文件已 成功执行回复操作的次数, 而来自于同一转变操作的加密状态文件是指具有相同文件标识 信息和相同密钥对标记号的加密状态文件。 当前回复操作成功完成次数主要用于回复条件 限制文件成功执行回复操作最大次数的情况。 在回复检验服务器向存储节点传递完解密密 钥后, 当前回复操作成功完成次数的数值会增加 1。
在本实施中, 回复检验服务器为支持回复条件判断而向存储节点索要的数据包括 存储节点的软件、 硬件或者网络环境的信息, 主要用于回复条件为回复操作执行环境的情 况。在回复条件类型为回复操作执行环境限制的情况下, 回复条件判断工作开始时回复检 验服务器会向存储节点索要对应的信息。在存储节点提供对应的信息之后, 回复条件判断 的工作才会继续执行。 若存储节点无法提供对应的信息, 则回复检验执行失败, 回复操作拒 绝执行。
在本实施中, 存储节点在执行转变操作或回复操作时, 如果根据文件设置而访问 的回复检验服务器不能利用数字证书技术来证明其合法回复检验服务器的身份, 则相应的 转变操作或回复操作将执行失败。
在本实施中, 回复检验服务器在响应访问时, 如果访问的存储节点不能利用数字 证书技术来证明其合法存储节点的身份, 则拒绝完成随后的回复检验或者提供加密密钥。 此外, 尽管以上揭示了本发明的一种实施方案, 但本发明并不局限在特定的形式 或所揭示的形式。 本领域技术人员在熟读本申请后能够理解, 在不脱离本发明的内容、 范围 和精神的前提下而获得的等效事物也在本发明的覆盖范围中。