一种云计算中心的数据保护方法、系统和可读存储介质

1.本发明涉及数据安全管理领域，具体涉及一种云计算中心的数据保护方法、装置和可读存储介质。


背景技术：

2.随着移动互联网、物联网、人工智能、大数据、等领域的不断发展，企业和用户每天的数据吞吐量呈现出指数级的增长趋势，全球正在步入数据大爆炸的时代。传统的计算和存储遇到了瓶颈，大量业务与数据上云，云计算、云存储这种新型的it资源生态已成为大数据时代的主流形态。由于“云架构”存在隐私泄露、数据滥用等安全隐患，因此云计算数据安全成为了云计算推广与普及的重要问题。
3.在目前云计算服务过程中，面临的风险主要可以分为两个方面。一方面是云计算技术层面的风险，一方面是来自云计算模式的风险。目前主要的解决方案有数据加密、权限控制、数据完整性、用户数据隔离等。
4.(1)数据加密主要通过加密算法对数据进行加密，能够有效减少网络攻击以及数据被截获之后带来的损失，但仍然无法在数据全生命周期中起到有效保护，如数据加密之前或者解密之后的阶段；
5.(2)权限控制主要对用户的控制进行数据保护，可以杜绝非系统用户使用以及人为破坏等情况，但是主要是在云中心内部对数据进行保护，在用户使用过程或者数据传输路径中，无法发挥作用；
6.(3)数据完整性校验，可以有效避免当数据跨进行网络传输时出现的数据损坏情况，确保源数据与目标数据的一致性，但是无法对源数据进行保护；
7.(4)数据隔离将云服务平台的各服务器互相隔离，减少外来攻击或者软硬件故障引起数据泄露及丢失，对源数据的存储可靠性也能进行有效提升，但是并不能防止人为误操作带来的数据丢失。


技术实现要素：

8.为解决现有技术所存在的无法对数据进行全周期保护并且数据传输路径中的薄弱点容易被攻击的问题，本发明的实施例中提出了针对云计算中心数据安全统一解决方案：
9.一种云计算中心的数据保护方法，其特征在于，包括：
10.客户端安全步骤：用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证，所述加密安全终端预先写入所述云计算中心的数据，并在身份信息与保护密钥之间建立连接，同时将生成的公钥上传区块链，以控制客户端与云计算中心的信息访问安全；
11.数据传输安全步骤：在云计算中心设置ssl vpn设备，用户登录浏览器并通过用户名和密码验证访问云计算中心，写入或读取所述加密后的数据，以控制所述数据传输的安
全；
12.边界安全和入侵防护步骤：在云计算中心边界设置防火墙、入侵检测系统ids和入侵防御系统ips，以阻断网络流量中的黑客或病毒对云计算中心的攻击；
13.云端安全步骤：所述数据通过加密容器在云计算中心进行数据处理。
14.更进一步的，所述加密安全终端采用128位哈希加密算法生成所述公钥。
15.更进一步的，所述加密安全终端的处理方法包括：
16.加密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，对所述数据进行加密并写入云计算中心的数据存储区；
17.解密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，进行解密并读取云计算中心的数据存储区，然后验证用户名进行云计算中心的认证。
18.更进一步的，所述云端安全步骤还包括：
19.s41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码；
20.s42：用户访问云计算中心，在web页面引导加载所述加密文件，所述加密文件通过所述加密密码打开，并自动生成只属于该用户的逻辑磁盘；
21.s43：通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份；
22.s44：用户退出云计算中心时，将所述逻辑磁盘卸载并还原成加密文件；
23.s45：用户需要销户时，擦除所述逻辑磁盘的数据。
24.更进一步的，所述客户端安全步骤还包括：
25.s51:通过所述加密安全终端解密获取用户申请信息；
26.s52：由区块链的成员关系服务提供者对客户端进行身份验证；
27.s53：系统通过加密安全终端获取输入的数据并进行加密签名操作；
28.s54：完成签名聚合操作，并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
29.本发明还提出了一种云计算中心的数据保护系统，包括：
30.客户端安全模块401：配置用于用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证，所述加密安全终端预先写入所述云计算中心的数据，并在身份信息与保护密钥之间建立连接，同时将生成的公钥上传区块链，以控制客户端与云计算中心的信息访问安全；
31.数据传输安全模块402：配置用于用户通过浏览器访问sslvpn设备，并通过所述用户名和密码验证访问云计算中心，写入或读取所述加密后的数据，以控制所述数据传输的安全；
32.边界安全及入侵防护模块403：配置用于在云计算中心边界设置防火墙、入侵检测系统ids和入侵防御系统ips，以阻断网络流量中的黑客或病毒对云计算中心的攻击；
33.云端安全模块404：配置用于所述数据通过加密容器在云计算中心进行数据处理。
34.更进一步的，所述加密安全终端的处理方法包括：
35.加密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，对所述数据进行加密并写入云计算中心的数据存储区；
36.解密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，进行解密并读
取云计算中心的数据存储区，然后验证用户名进行云计算中心的认证。
37.更进一步的，所述云端安全模块执行的步骤还包括：
38.s41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码；
39.s42：用户访问云计算中心，在web页面引导加载所述加密文件，所述加密文件通过所述加密密码打开，并自动生成只属于该用户的逻辑磁盘；
40.s43：通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份；
41.s44：用户退出云计算中心时，将所述逻辑磁盘卸载并还原成加密文件；
42.s45：用户需要销户时，擦除所述逻辑磁盘的数据。
43.更进一步的，所述客户端安全模块执行的步骤还包括：
44.s51:通过所述加密安全终端解密获取用户申请信息；
45.s52：由区块链的成员关系服务提供者对客户端进行身份验证；
46.s53：系统通过加密安全终端获取输入的数据并进行加密签名操作；
47.s54：完成签名聚合操作，并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
48.本发明还提出了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被执行时执行如前所述的数据保护方法。
49.本发明的技术效果为：本方案通过在数据流通的各个环节设立安全通道和屏障，在数据生命周期的每个阶段对数据进行加密、隔离和安全认证，全面提高云计算中心的数据安全性。相比于传统方式，能够解决以下问题：
50.(1)降低终端对云计算环境安全风险，保证用户使用安全；
51.(2)保证用户数据在传输过程中的安全性和可靠性；
52.(3)提升云计算中心的边界安全及入侵防护能力；
53.(4)保障云计算中心的服务安全以及数据安全。
附图说明
54.包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本发明的原理。将容易认识到其它实施例和实施例的很多预期优点，因为通过引用以下详细描述，它们变得被更好地理解。附图的元件不一定是相互按照比例的。同样的附图标记指代对应的类似部件。
55.图1为本发明数据安全方案的总体示意图；
56.图2为本发明横向数据防护框架示意图；
57.图3为本发明纵向数据防护框架的示意图；
58.图4为本发明的用户访问流程图；
59.图5为根据本发明的实施例的一种云计算中心的数据保护方法的流程图；
60.图6为根据本发明的实施例的一种云计算中心的数据保护方法的加密安全终端的执行流程图；
61.图7为本发明的加密安全终端的加密过程流程图；
62.图8为本发明的加密安全终端的解密过程流程图；
63.图9为根据本发明的实施例的一种云计算中心的数据保护方法的云端安全步骤的执行流程图；
64.图10为本发明的区块链数字签名认证的流程图；
65.图11为根据本发明的实施例的一种云计算中心的数据保护方法的客户端安全步骤的执行流程图；
66.图12为根据本发明的实施例的一种云计算中心的数据保护系统的结构图；
67.图13为本发明的传输安全模块架构示意图。
具体实施方式
68.下面结合附图和实施例对本技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。
69.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
70.首先介绍本发明的基本原理，这有助于理解本发明的一种云计算中心的数据保护方法。图1-4是对本发明工作原理的阐释。
71.图1是本发明数据安全方案的总体示意图。
72.云计算具有两大特点，数据通过internet传输以及数据存放在云端。因此数据在传输过程中存在着被窃取、篡改等危险，而且用户亦希望能加强对云端数据的掌控。因此，本方案采用“统一安全理念”的思想，以数据流为横向，以数据生命周期为纵向来构建云计算安全防御体系。如图1所示，横轴表示数据流的走向，纵轴表示数据生命周期(数据创建、存储、使用、归档、销毁)。数据安全是云计算安全中极为重要的一部分，故数据安全管理要贯彻数据生命周期的全过程，而安全管理是由在数据流的各个环节上通过对应的技术手段及策略所支撑。
73.图2为本发明横向数据防护框架示意图。
74.横向防御主要是在数据流通各个环节上建立安全通道及屏障，这不但能有效的保护云计算中心的网络安全，也能够与安全策略相结合，很好的实现认证、访问控制以及数据处理等安全管理功能。由于客户端与云计算中心的数据交互均是通过互联网实现的，因此在开放的互联网的环境下，对数据的加密处理，访问控制是尤为重要的。如图2所示，在客户端和云计算中心的连接通道上，以数据中心为核心向外延伸出多层保护，各层具体功能如下(由外及内)：
75.证书认证保障客户端接入；
76.互联网上建立虚拟专用通道；
77.云计算中心网络边界防护；
78.入侵检测与防护；
79.服务端防ddos攻击及安全监测；
80.服务端数据备份及安全(采用数据加密，隔离，安全销毁等)。
81.通过以上多个功能的协同作用，实现了数据的加密，身份的认证以及授权。同时用于云计算中心的访问控制技术能将资源分成可读、可写及可控制三种，并以此保证数据在
云计算中心。
82.图3给出了本发明纵向数据防护框架的示意图。纵向防御以数据生命周期为主线，利用安全管理技术来保障数据生命周期的各个主要阶段的安全，主要技术路线为：
83.数据必须由有权限的用户进行创建，因此需要提供认证以及授权来保证数据来源的可靠性；
84.数据存储是用户要把数据存放到云计算中心，因此需要对数据加密来保证数据传输的安全，同时，数据写入时要根据用户的权限进行分类操作；
85.数据的使用及归档是对数据的操作，在云计算中心进行，需要云计算中心进行权限管理和数据隔离来保证用户数据的安全性和排他性；
86.数据销毁是出现在用户注销时，此时，云计算中心保证用户注销之后不会再数据中心保留任何用户相关数据以及保证数据不会被第三方恢复还原。
87.云计算中心数据的统一安全安全方案实施后，用户通过该方案对云计算中心进行访问，访问的流程如图4所示：
88.1、用户申请通过之后，云计算中心会引导用户制作一个加密文件(由加密容器生成)，并由用户设定加密密码；
89.2、用户成功访问云计算中心后，在web页面引导加载加密文件，系统自动生成只属于该用户的逻辑磁盘(对其他用户不可见)；
90.3、用户生成的逻辑磁盘上存储数据及对数据进行操作均会自动加密；
91.4、用户退出云计算中心后云计算中心自动启用磁盘卸载程序，将用户生成的逻辑磁盘卸载并还原成加密文件；
92.5、若用户完成计算服务，需要进行销户操作，云计算中心对用户的存储空间擦除，保证该存储空间不会遗留用户的使用痕迹或用户数据，最大限度的保证用户的数据安全。
93.针对客户端的安全，本发明采用加密安全狗来控制客户端的安全，通过用户名密码和区块链数字签名的双重认证机制来控制信息访问，完成纵向防御所需要的认证功能，保障接入云计算中心的用户的合法性。
94.双重认证机制是基于访问者客户端用户的身份加密终端(硬件加密)以及存放于区块链上的数字签名实现的。进行身份认证的实现主要包括用户信息本地加密存储、加密终端信息提取、客户端身份验证、区块链节点身份验证等构成。
95.事先将云计算中心的数据写入到加密安全终端的相关存储器中，采用128位aes加密算法，在身份信息与保护密钥之间建立连接，同时将生成的公钥上传区块链。用户需要访问数据中心时，先通过本地客户端接入加密终端，通过用户名密码和区块链数字签名双重认证后才能访问云计算中心。
96.根据上述工作原理，得到如图5所示的本发明的一种云计算中心的数据保护方法，包括：
97.客户端安全步骤：用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证，所述加密安全终端预先写入所述云计算中心的数据，并在身份信息与保护密钥之间建立连接，同时将生成的公钥上传区块链，以控制客户端与云计算中心的信息访问安全；
98.数据传输安全步骤：在云计算中心设置ssl vpn设备，用户登录浏览器并通过用户
名和密码验证访问云计算中心，写入或读取所述加密后的数据，以控制所述数据传输的安全；
99.边界安全和入侵防护步骤：在云计算中心边界设置防火墙、入侵检测系统ids和入侵防御系统ips，以阻断网络流量中的黑客或病毒对云计算中心的攻击；
100.云端安全步骤：所述数据通过加密容器在云计算中心进行数据处理。
101.通过上述数据保护方法，架构了以数据流为横向、数据生命周期为纵向的云计算算安全防御体系，全面提高从终端到云计算中心的数据安全性。
102.在本发明的一个具体实施方式中，如图6所示，所述加密安全终端的处理方法包括：
103.加密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，对所述数据进行加密并写入云计算中心的数据存储区；
104.解密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，进行解密并读取云计算中心的数据存储区，然后验证用户名进行云计算中心的认证。
105.图7示出了通过加密安全终端加密的过程，图8示出了通过加密安全终端解密的过程。
106.使用加密安全终端加密，支持将自定义的数据，写入到加密安全终端的相关存储器中；当程序运行时，读取出相应的数据，就可以判断出是否是对应的加密安全终端，达到加密的效果。
107.加密安全终端采用128位aes加密算法，在软件应用与保护密钥之间建立连接，从而防止用户信息被盗用或者用户数据的泄露。
108.运行时，云中心向保护密钥(hasp hl或hasp sl)发送加密学符串，保护密钥对字符串进行解密，并生成无法模仿的回应。如果来自保护密钥的回应正确，则云中心正常提供服务。如果保护密钥不存在或来自保护密钥的回应不正确，则访问断开。
109.在本发明的一个具体实施方式中，所述加密安全终端采用128位哈希加密算法生成所述公钥。
110.如图4和图9所示，所述云端安全步骤还包括：
111.s41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码；
112.s42：用户访问云计算中心，在web页面引导加载所述加密文件，所述加密文件通过所述加密密码打开，并自动生成只属于该用户的逻辑磁盘；
113.s43：通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份；
114.s44：用户退出云计算中心时，将所述逻辑磁盘卸载并还原成加密文件；
115.s45：用户需要销户时，擦除所述逻辑磁盘的数据。
116.客户端安全步骤中所采用的区块链数字签名认证是基于区块链技术的不可篡改、去中心化的技术特点，对数据中心访问的可信性提供了有效的控制。双重认证机制是基于访问者申请的用户名密码以及存放于区块链上的数字签名实现的。认证流程如图10所示。在区块链网络初始化阶段，完成对系统初始化访问申请、身份证书发放等工作，并对节点准入进行审核，由成员关系服务提供者服务对节点权限和身份进行划分。完成网络初始化之后，进入设客户端身份验证阶段，该部分包括数据输入、数据加密、数据签名、签名聚合、签
名验证操作构成。系统通过客户端输入的数据，进行加密签名操作，实现客户端数据与密文数据包的唯一对应标识。由上层设备完成签名聚合操作，并将聚合结果发送给区块链验证端监管节点实现客户端身份验证。在区块链节点身份验证阶段，监管节点获取数据后，通过区块链共识机制完成数据上链实现数据在网络中多节点共享，该过程网络仍对上链监管节点进行身份验证，以保证该节点的身份可信性。
117.在本发明的一个具体实施方式中，如图11所示，
118.所述客户端安全步骤还包括：
119.s51:通过所述加密安全终端解密获取用户申请信息；
120.s52：由区块链的成员关系服务提供者对客户端进行身份验证；
121.s53：系统通过加密安全终端获取输入的数据并进行加密签名操作；
122.s54：完成签名聚合操作，并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
123.用户需要访问数据中心时，先通过本地客户端接入加密终端，解密获取用户申请信息。在区块链对节点准入进行审核，由成员关系服务提供者服务对节点权限和身份进行划分。完成网络初始化之后，进入设客户端身份验证阶段，该部分包括数据输入、数据加密、数据签名、签名聚合、签名验证操作构成。系统通过加密终端获取输入的数据，进行加密签名操作，实现客户端数据与密文数据包的唯一对应标识。完成签名聚合操作，并将聚合结果发送给区块链验证端监管节点实现客户端身份验证。
124.在区块链节点身份验证阶段，监管节点获取数据后，通过区块链共识机制完成数据上链实现数据在网络中多节点共享，该过程网络仍对上链监管节点进行身份验证，以保证该节点的身份可信性。
125.通过链上身份认证之后，用户就可以从客户端接入数据中心进行访问。
126.进一步参考图12，作为对上述图5所述方法的实现，本技术还提供了一种云计算中心的数据保护系统的一个实施例，该实施例与图5所述方法的实施例相对应，该系统具体可以包含在各种电子设备中。
127.一种云计算中心的数据保护系统，包括：
128.客户端安全模块401：配置用于用户在客户端通过加密安全终端与云计算中心的数据进行用户名密码和区块链数字签名的双重认证，所述加密安全终端预先写入所述云计算中心的数据，并在身份信息与保护密钥之间建立连接，同时将生成的公钥上传区块链，以控制客户端与云计算中心的信息访问安全；
129.数据传输安全模块402：配置用于用户通过浏览器访问sslvpn设备，并通过所述用户名和密码验证访问云计算中心，写入或读取所述加密后的数据，以控制所述数据传输的安全；
130.边界安全及入侵防护模块403：配置用于在云计算中心边界设置防火墙、入侵检测系统ids和入侵防御系统ips，以阻断网络流量中的黑客或病毒对云计算中心的攻击；
131.云端安全模块404：配置用于所述数据通过加密容器在云计算中心进行数据处理。
132.对于客户端而言，客户端是数据流(横向防御)的起点，也是数据创建之处(纵向防御)。此外，客户端是整个数据安全中最薄弱的一个环节，许多黑客和入侵者都常以终端作为攻击数据中心的跳板，比如像aurora，hydraq等新一代的高持续性安全威胁均是从终端
入手的。因此，客户端安全是云计算环境安全防护，不容忽视的一环。
133.针对客户端的安全，本方案采用加密安全终端及用户密码和区块链数字签名的双重认证机制来控制信息访问，完成纵向防御所需要的认证功能，保障接入云计算中心的用户的合法性。双重认证机制是通过部署在云计算中心的ssl vpn实现的，云计算中心制作证书并写入到优盘中分发给用户，用户利用浏览器进行ssl安全连接，用户通过证书才能成功访问云计算中心的资源，当用户成功接入后需要输入正确的用户名、密码以及区块链的数字签名，才能完成客户端对云计算中心的访问。
134.对于数据传输过程而言，云计算的数据在公网传输过程中可能被侦听，因此用户的敏感信息存在被泄密的安全风险。为了保证用户数据在传输过程中的安全性和可靠性，本方案采用ssl vpn技术来保证传输的安全。ssl用公钥加密通过ssl连接传输的数据来工作。ssl协议制定了在应用程序协议之间进行数据交换的安全机制。ssl vpn指使用者利用浏览器内建的ssl封包处理功能，用浏览器连回企业内部ssl vpn服务器，然后透过网络封包转向的方式，让用户可以在远程计算机执行应用程序，读取企业内部数据。数据传输安全模块402可以实现安全易用且配置简单的远程访问，从而降低用户数据丢失的风险。具体架构如图13所示。ssl vpn位于防火墙的dmz区，这使系统只开放ssl vpn设备，对外只开放https协议。远程用户从公网访问ssl vpn设备，在用户名和密码验证成功之后，根据设备上对其开放的权限来访问云计算中心的内部资源。
135.数据传输安全模块402不仅保证了横向防御的传输安全，同时也为数据存储提供了加密保障。通过ssl vpn，使云计算中心与用户之间建立了一条虚拟专用通道，从而用户与中心进行交互的时候避免被窃听或数据截获，保证了传输过程中的数据安全。
136.对于云计算中心的边界，vpn只能保证用户能安全地传输到数据中心，而对于网络恶意流量针对云计算中心的攻击却是无能为力，保障云计算中心的网络安全，免受黑客、病毒的攻击是为用户提供安全计算服务的前提。所述边界安全及入侵防护模块403一方面是在云计算中心边界部署防火墙，阻挡来自外界的异常流量，同时辅以入侵防护系统来进行深度检测，另一方面在云计算中心内部进行实时监控，监测异常行为，及时发现病毒。
137.云计算中心网络边界安全定位在传输层与网络层的安全上，此模块把安全信任网络与非安全网络进行隔离，并提供对多种畸形报文攻击的防御。同时针对应用高流量做深度分析与检测，配合特征库和用户规则，进行有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，对分布在网络中的各种流量进行有效的管理，深层次保护网络边界的安全。
138.对于云端的数据安全保护，云端安全模块404包括服务安全以及数据安全两部分。服务安全是云计算中心能够为用户提供持续可靠服务，尽量避免服务器因各种因素宕机、控制服务资源保证用户体验。数据安全是云计算中心通过技术手段保证用户的数据安全。
139.数据安全是纵向防御的主要内容。纵向防御是以数据生命周期为主线，而云端的数据处理则是数据生命周期的主要部分。在云模式下，用户对数据的存储、修改、归档都是在云端进行。该模块的数据安全可以通过以下几个方法实现：
140.数据隔离——云计算中心所提供的存储时位于高度整合的大容量存储空间上，同一时刻必然存在多个用户访问，因此，必须对各个用户的数据有效区域进行隔离。
141.数据加密——数据存放在云计算中心，通过数据加密可以保证用户对数据的控
制。
142.数据备份——以保证数据在丢失或操作失误时能够及时恢复。
143.数据销毁——用户完成租期之后，必须有安全可靠的退出机制，其中最主要的就是数据销毁，并保证不可恢复。
144.在本发明的一个具体实施方式中，所述加密安全终端的处理方法包括：
145.加密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，对所述数据进行加密并写入云计算中心的数据存储区；
146.解密步骤：从客户端请求访问云计算中心，当通过密码验证成功时，进行解密并读取云计算中心的数据存储区，然后验证用户名进行云计算中心的认证。
147.在本发明的一个具体实施方式中，所述云端安全模块404执行的步骤还包括：
148.s41:通过加密容器对传输到云计算中心的数据生成加密文件并由用户设置加密密码；
149.s42：用户访问云计算中心，在web页面引导加载所述加密文件，所述加密文件通过所述加密密码打开，并自动生成只属于该用户的逻辑磁盘；
150.s43：通过加密容器对所述逻辑磁盘的数据修改并进行加密和备份；
151.s44：用户退出云计算中心时，将所述逻辑磁盘卸载并还原成加密文件；
152.s45：用户需要销户时，擦除所述逻辑磁盘的数据。
153.在本发明的一个具体实施方式中，
154.所述客户端安全模块执行的步骤还包括：
155.s51:通过所述加密安全终端解密获取用户申请信息；
156.s52：由区块链的成员关系服务提供者对客户端进行身份验证；
157.s53：系统通过加密安全终端获取输入的数据并进行加密签名操作；
158.s54：完成签名聚合操作，并将聚合结果发送给区块链验证端监管节点以实现客户端身份验证。
159.在本发明的一个具体实施方式中，所述云端安全模块404还包括在云端设置的集群安全监测模块和防ddos攻击模块。
160.所述集群安全监测模块和防ddos攻击模块为云端提供服务安全。服务安全包括如图1所示的集群安全监测及防ddos攻击两个部件，主要实现：
161.实时流量监测
162.服务器状态监测
163.服务器进程连接监测
164.ddos攻击防护
165.日志及审计
166.实时流量监测、服务器状态监测以及进程连接监测能及时发现异常安全行为，确保服务器安全。基于ndis中间驱动技术的智能攻击防护提供包括syn/ack flood、udp flood、icmp flood、tcp flood等在内的一系列流行的ddos攻击，保证用户能够正常使用服务器，提高服务的健壮性。
167.为了描述的方便，描述以上系统时以功能分为各种单元分别描述。当然，在实施本技术时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
168.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例或者实施例的某些部分所述的方法。
169.根据本发明的一种云计算中心的数据保护方法、系统和可读存储介质，架构了以数据流为横向、数据生命周期为纵向的云计算安全防御体系，全面提高从终端到云计算中心的数据安全性。
170.最后所应说明的是：以上实施例仅以说明而非限制本发明的技术方案，尽管参照上述实施例对本发明进行了详细说明，本领域的普通技术人员应当理解：依然可以对本发明进行修改或者等同替换，而不脱离本发明的精神和范围的任何修改或局部替换，其均应涵盖在本发明的权利要求范围当中。