亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種面向分散式的云存儲安全架構(gòu)及其數(shù)據(jù)存取方法

文檔序號:7580362閱讀:199來源:國知局
專利名稱:一種面向分散式的云存儲安全架構(gòu)及其數(shù)據(jù)存取方法
技術(shù)領(lǐng)域
本發(fā)明屬于計算機領(lǐng)域,涉及一種云存儲安全架構(gòu)及方法,特別是一種面向分散 式的云存儲安全架構(gòu)及其數(shù)據(jù)存取方法。本發(fā)明可用于醫(yī)學圖像及醫(yī)療、航空航天、國防、 測繪、城建、石油化工、地震勘探、情報系統(tǒng)、廣播電視、電信、金融等對數(shù)據(jù)安全性、可用性 要求較高的領(lǐng)域,應用領(lǐng)域廣。
背景技術(shù)
網(wǎng)絡(luò)存儲已成為繼計算機浪潮和互聯(lián)網(wǎng)浪潮之后的第三次浪潮。隨著各行各業(yè)信 息量爆炸性增長,特別是政府機關(guān)、軍事國防、測繪、研究所、石油勘探等領(lǐng)域以及新興產(chǎn)業(yè) 都不可避免地產(chǎn)生大量涉密信息。如何有效通過網(wǎng)絡(luò)存儲重要、涉密的信息,防止其泄密、 擴散,成為企、事業(yè)單位最為關(guān)注的一個信息安全問題。在目前國內(nèi)外的研究中,對云存儲 安全方面的研究還很少。其中,Bowers提出了分布式加密系統(tǒng)(HAIL),Cachin等人通過使 用加密工具來解決數(shù)據(jù)完整性和一致性問題。國內(nèi)的清華大學、華中科技大學、國防科技 大學等科研院校也開始在云存儲技術(shù)相關(guān)領(lǐng)域進行基礎(chǔ)性研究工作。靈活性、易于使用的 服務和易于共享基礎(chǔ)設(shè)施是云計算的優(yōu)勢,然而數(shù)據(jù)通過互聯(lián)網(wǎng)在各層之間進行傳輸并存 儲,用戶對于敏感數(shù)據(jù)存取時,無法對風險進行直接控制。國內(nèi)外的大量文獻資料表明,安全存儲與管理模型的缺失是當前網(wǎng)絡(luò)存儲安全研 究中的重大缺陷。為了實現(xiàn)層次存儲的安全策略,云存儲中需要滿足用戶存儲海量數(shù)據(jù)的 需求,存儲系統(tǒng)規(guī)模及存儲容量都在不斷增長,與存儲相關(guān)的出錯率將越來越高。目前對存 儲安全的研究由于存儲系統(tǒng)和存儲應用的多樣性,以及行業(yè)應用對安全性的不同要求,造 成了信息存儲與安全管理的復雜性。但總體而言對該方面的研究存在兩種方法(1)借鑒 信息安全的C. I. A特性(機密性、完整性、可用性),為某一特定應用提出專門的實現(xiàn)思路(如 增強文件服務器的安全性、客戶端加密文件系統(tǒng)、對磁盤磁帶全盤靜態(tài)加密、客戶端直接訪 問磁盤的認證機制等),即將適用于信息安全的安全措施(如加密技術(shù)、完整性技術(shù))移植到 存儲系統(tǒng)中;安全移植技術(shù)是靜態(tài)的管理模式,需要額外的硬件支持,往往會造成系統(tǒng)性能 的降低。(2)從存儲系統(tǒng)的體系結(jié)構(gòu)入手,尋找一種安全的、高效的網(wǎng)絡(luò)存儲與安全管理模 式。如果不從系統(tǒng)和存儲管理控制的角度研究和設(shè)計安全解決方法,依然可能造成新的安 全問題。

發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)中存在的不足或缺陷,本發(fā)明的目的在于,提供一種面向分散 式的云存儲安全架構(gòu)及其數(shù)據(jù)存取方法,本發(fā)明分層實現(xiàn)存儲數(shù)據(jù)在云存儲中的安全傳 輸、存儲和管理,確保云存儲安全系統(tǒng)中數(shù)據(jù)存儲的高可用性和可靠性。為了實現(xiàn)上述目的,本發(fā)明采用如下技術(shù)解決方案
一種面向分散式的云存儲安全架構(gòu),包括云存儲服務器,一個或一個以上分散存儲管 理器,分片器,至少一個存儲設(shè)備,其中所述云存儲服務器,用以對用戶進行安全性認證;接收用戶發(fā)送的數(shù)據(jù)并解密,建立用 戶信息索引,并將解密的數(shù)據(jù)和用戶信息索引發(fā)送給分散存儲管理器;
所述分散存儲管理器,用以接收云存儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引;將數(shù)據(jù)轉(zhuǎn) 發(fā)給分片器;為用戶建立虛擬視所述分片器,用以對分散存儲管理器發(fā)送的數(shù)據(jù)進行分片并將數(shù)據(jù)片存儲到存儲設(shè)
備;
所述存儲設(shè)備,用以存儲分片器發(fā)送的分片數(shù)據(jù),將數(shù)據(jù)存儲信息返回給分散存儲管 理器;定期檢測數(shù)據(jù)的完整性;在數(shù)據(jù)被破壞時修復受損數(shù)據(jù);
其中,所述分散存儲管理器和所述云存儲服務器通過光纖通道或路由交換機連接,所 述分片器置入分散存儲管理器內(nèi)部,所述分散存儲管理器與存儲設(shè)備通過FC或Iscsi連 接,各存儲設(shè)備之間通過NAS或SAN相連接。進一步的,所述架構(gòu)還包括客戶端,通過hternet/LAN與所述分散存儲管理器、 云存儲服務器連接,用以向所述云存儲服務器發(fā)送訪問請求;通過所述分散存儲管理器訪 問所述存儲設(shè)備。進一步的,所述數(shù)據(jù)存儲信息為存儲狀態(tài)信息、存儲設(shè)備號、數(shù)據(jù)片的存儲路徑。進一步的,所述云存儲服務器、分散存儲管理器為通用型服務器。進一步的,所述存儲設(shè)備用于對外提供文件訪問接口,所述存儲設(shè)備為FC光纖通 道存儲設(shè)備、IP存儲設(shè)備或DAS存儲設(shè)備或SAN存儲網(wǎng)絡(luò)。進一步的,該架構(gòu)中如果所述有多個分散存儲管理器,所述多個分散存儲管理器 和云存儲服務器共同組成的網(wǎng)絡(luò)為DHT分布式網(wǎng)絡(luò)。進一步的,所述云存儲服務器為用戶提供通用訪問接口,用于用戶安全認證和權(quán) 限控制管理、負載均衡和用戶元數(shù)據(jù)管理;還用于路由管理和副本管理。進一步的,所述分散存儲管理器包括有虛擬卷管理單元,所述虛擬卷管理單元包 括虛擬卷管理模塊和策略管理模塊,所述虛擬卷管理模塊用以對各個存儲設(shè)備提供的文 件訪問接口進行封裝,對外提供統(tǒng)一的卷管理操作;所述策略管理模塊用以對來自外部訪 問行為,或內(nèi)部的負載、副本、熱點、存儲設(shè)備健康狀態(tài)進行監(jiān)測,觸發(fā)相應的訪問策略。所述訪問策略包括當所述策略管理模塊監(jiān)測到訪問熱點時,就將所述訪問熱點 的數(shù)據(jù)復制多份到空閑存儲設(shè)備。一種上述面向分散式的云存儲安全架構(gòu)的數(shù)據(jù)的存儲方法,其特征在于,包括如 下步驟
當用戶存儲數(shù)據(jù)時,通過客戶端向云存儲服務器發(fā)送數(shù)據(jù)存儲請求,云存儲服務器對 用戶進行安全認證,客戶端將數(shù)據(jù)進行SSL加密并通過hternet發(fā)送到云存儲服務器;
云存儲服務器接收客戶端發(fā)送的加密數(shù)據(jù)并解密,利用倒排文字建立用戶信息索引; 云存儲服務器將用戶信息索引和解密后的數(shù)據(jù)發(fā)送給分散存儲管理器,分散存儲管理器接 收云存儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引,將數(shù)據(jù)轉(zhuǎn)發(fā)給分片器;
分片器接收分散存儲管理器發(fā)送的數(shù)據(jù),根據(jù)IDA算法將接收到的數(shù)據(jù)進行分片,得 到一個或一個以上數(shù)據(jù)片,分片器將數(shù)據(jù)片按負載均衡策略分配到存儲設(shè)備中;
存儲設(shè)備將接收到的數(shù)據(jù)片存儲,并將自身存儲的數(shù)據(jù)片的存儲路徑返回給分散存儲 管理器;分散存儲管理器根據(jù)數(shù)據(jù)片的存儲路徑將每個數(shù)據(jù)片用唯一的固定不變的64位句柄 對其進行標識,并建立用來存儲元數(shù)據(jù)的虛擬視圖,該虛擬視圖包括用戶存儲的數(shù)據(jù)的文 件名、該文件對應的句柄號和文件大小,所述文件對應的句柄號為該文件的所有數(shù)據(jù)片的 句柄號的集合。一種上述面向分散式的云存儲安全架構(gòu)的數(shù)據(jù)的讀取方法,其特征在于,包括如 下步驟
用戶通過客戶端向云存儲服務器發(fā)送數(shù)據(jù)讀取請求,云存儲服務器對用戶進行安全認
證;
云存儲服務器向分散存儲管理器發(fā)送用戶允許讀取請求;
分散存儲管理器根據(jù)虛擬視圖中的文件名、文件對應的句柄號向文件所包含的數(shù)據(jù)片 所在的存儲設(shè)備發(fā)送數(shù)據(jù)讀取請求;
存儲設(shè)備向分散存儲管理器提交數(shù)據(jù)片;
分散存儲管理器根據(jù)IDA算法的逆向運算對接收到的數(shù)據(jù)片進行合成,并校對,最后 將完整的數(shù)據(jù)文件返回給客戶端。本發(fā)明分層實現(xiàn)存儲數(shù)據(jù)在云存儲中的安全傳輸、存儲和管理,確保云存儲安全 系統(tǒng)中數(shù)據(jù)存儲的高可用性和可靠性。與現(xiàn)有技術(shù)相比,本發(fā)明具有如下優(yōu)點
1)分散存儲管理器利用虛擬視圖進行數(shù)據(jù)的邏輯保存,便于用戶對數(shù)據(jù)進行存取應用。2)采用分散存儲方式,存儲設(shè)備均為異地存放且互為冗余,提高了設(shè)備容錯能力 及最優(yōu)存儲利用率。3)通過分片器將數(shù)據(jù)進行分片,使數(shù)據(jù)變成無法被其它非認證系統(tǒng)識別的數(shù)據(jù)片 段,分片后在網(wǎng)絡(luò)傳輸和數(shù)據(jù)存儲時就具有相對的保密性和安全性。4)當用戶需要對系統(tǒng)進行擴充時,可對系統(tǒng)進行動態(tài)配置,實現(xiàn)存儲容量或帶寬 的擴展;
5)使用Reed-Solomon碼提供任意高容錯恢復技術(shù),在故障出現(xiàn)后能夠被迅速檢測到。6)分散存儲管理器檢查可用片重新計算數(shù)據(jù)段中所有的數(shù)據(jù),根據(jù)其它互為冗余 的存儲設(shè)備中完好的數(shù)據(jù)恢復受損數(shù)據(jù),提高系統(tǒng)的平均無故障時間,避免了單一硬件損 壞帶來的數(shù)據(jù)不可用。


圖1是本發(fā)明的安全架構(gòu)的結(jié)構(gòu)示意圖。圖中標號分別為1、客戶端;2、分散存儲 管理器;3、云存儲服務器;4、分片器;5、存儲設(shè)備。圖2是本發(fā)明的安全架構(gòu)的實施例結(jié)構(gòu)示意圖。圖3是本發(fā)明的數(shù)據(jù)存儲方法的流程圖。圖4是本發(fā)明的數(shù)據(jù)讀取方法的流程圖。以下結(jié)合附圖和具體實施方式
對本發(fā)明作進一步的解釋說明。
具體實施例方式本發(fā)明涉及的iSCSI接口技術(shù),中文意思是基于IP的小型計算機系統(tǒng)接口,是一種由IBM公司研究開發(fā)的,是一個供硬件設(shè)備使用的可以在IP協(xié)議的上層運行的SCSI指 令集,這種指令集合可以實現(xiàn)在IP網(wǎng)絡(luò)上運行SCSI協(xié)議,使其能夠在諸如高速千兆以太 網(wǎng)上進行路由選擇。iSCSI技術(shù)是一種新存儲技術(shù),該技術(shù)是將現(xiàn)有SCSI接口與以太網(wǎng)絡(luò) (Ethernet)技術(shù)結(jié)合,使服務器可與使用IP網(wǎng)絡(luò)的存儲設(shè)備通信。FC (光纖通道)最早應用于SAN (存儲局域網(wǎng)絡(luò)),于1988年開發(fā),用來提高存儲 設(shè)備協(xié)議的傳輸帶寬,側(cè)重于數(shù)據(jù)的快速、高效、可靠傳輸。FC擁有自己的協(xié)議層,包括 FC-O 連接物理介質(zhì)的界面、電纜等;定義編碼和解碼的標準。FC-I 傳輸協(xié)議層或數(shù)據(jù)鏈 接層,編碼或解碼信號。FC-2:網(wǎng)絡(luò)層,光纖通道的核心,定義了幀、流控制、和服務質(zhì)量 等。FC-3:定義了常用服務,如數(shù)據(jù)加密和壓縮。FC-4:協(xié)議映射層,定義了光纖通道和上 層應用之間的接口,上層應用比如串行SCSI協(xié)議,HBA的驅(qū)動提供了 FC-4的接口函數(shù)。 FC-4支持多協(xié)議,如FCP-SCSI,F(xiàn)C-IP,F(xiàn)C-VI。光纖通道的主要部分實際上是FC-2。其中 從FC-O到FC-2被稱為FC-PH,也就是“物理層”。光纖通道主要通過FC-2來進行傳輸,因 此,光纖通道也常被成為“二層協(xié)議”或者“類以太網(wǎng)協(xié)議”。參見圖1,本發(fā)明的面向分散式的云存儲安全架構(gòu),包括云存儲服務器,一個或一 個以上分散存儲管理器,分片器,至少一個存儲設(shè)備,其中
云存儲服務器,用以對用戶進行安全性認證;接收用戶發(fā)送的數(shù)據(jù)并解密,建立用戶信 息索引,并將解密的數(shù)據(jù)和用戶信息索引發(fā)送給分散存儲管理器;云存儲服務器還為用戶 提供通用訪問接口,用于用戶安全認證和權(quán)限控制管理、負載均衡和用戶元數(shù)據(jù)(或用戶信 息索引)管理;還用于路由管理和副本管理。云存儲服務器為通用型服務器。分散存儲管理器,用以接收云存儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引;將數(shù)據(jù)轉(zhuǎn) 發(fā)給分片器;為用戶建立虛擬視圖;便于用戶讀取以及數(shù)據(jù)應用。分散存儲管理器包括有虛擬卷管理單元,所述虛擬卷管理單元包括虛擬卷管理 模塊和策略管理模塊,所述虛擬卷管理模塊用以對存儲設(shè)備提供的文件訪問接口進行封 裝,對外提供統(tǒng)一的卷管理操作;所述策略管理模塊用以對來自外部訪問行為,或內(nèi)部的 負載、副本、熱點、存儲設(shè)備健康狀態(tài)進行監(jiān)測,觸發(fā)相應的訪問策略;所述訪問策略包括 當所述策略管理模塊監(jiān)測到訪問熱點時,就將所述訪問熱點的數(shù)據(jù)復制多份到空閑存儲設(shè) 備。分散存儲管理器為通用型服務器。分片器,用以對分散存儲管理器發(fā)送的數(shù)據(jù)進行分片并將數(shù)據(jù)片存儲到存儲設(shè) 備;
存儲設(shè)備,用以存儲分片器發(fā)送的分片數(shù)據(jù),將數(shù)據(jù)存儲信息返回給分散存儲管理器; 數(shù)據(jù)存儲信息包括存儲狀態(tài)信息(成功或者錯誤)、存儲設(shè)備號、存儲位置(或存儲路徑);定 期檢測數(shù)據(jù)的完整性;在數(shù)據(jù)被破壞時修復受損數(shù)據(jù);存儲設(shè)備用于對外提供文件訪問接 口,所述存儲設(shè)備為FC光纖通道存儲設(shè)備、IP存儲設(shè)備(如NAS、iSCSI)或DAS存儲設(shè)備 (如SCSI、SAS)或SAN存儲網(wǎng)絡(luò);每個存儲設(shè)備異地設(shè)置,且互為冗余??蛻舳?,用以向所述云存儲服務器發(fā)送訪問請求;通過所述分散存儲管理器所提 供的虛擬視圖訪問所述存儲設(shè)備。其中,所述分散存儲管理器和所述云存儲服務器通過光纖通道或路由交換機連 接,所述分片器置入分散存儲管理器內(nèi)部,所述分散存儲管理器與存儲設(shè)備通過FC或 Iscsi連接,各存儲設(shè)備之間通過NAS或SAN相連接,客戶端通過hternet/LAN與所述分散存儲管理器、云存儲服務器連接。該架構(gòu)中如果所述有多個分散存儲管理器,所述多個分散存儲管理器和云存儲服 務器共同組成的網(wǎng)絡(luò)為DHT分布式網(wǎng)絡(luò)。如圖2所示,是本發(fā)明的云存儲安全構(gòu)架的一個實施例
一種面向分散式的云存儲安全架構(gòu),包括云存儲服務器,多個分散存儲管理器,分片 器,多個存儲設(shè)備,其中
云存儲服務器,用以對用戶進行安全性認證;接收用戶發(fā)送的數(shù)據(jù)并解密,建立用戶信 息索引,并將解密的數(shù)據(jù)和用戶信息索引發(fā)送給分散存儲管理器;云存儲服務器還為用戶 提供通用訪問接口,用于用戶安全認證和權(quán)限控制管理、負載均衡和用戶元數(shù)據(jù)管理;還用 于路由管理和副本管理。云存儲服務器為通用型服務器。分散存儲管理器,用以接收云存儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引;將數(shù)據(jù)轉(zhuǎn) 發(fā)給分片器;為用戶建立虛擬視圖;便于用戶讀取以及數(shù)據(jù)應用;
分散存儲管理器包括有虛擬卷管理單元,所述虛擬卷管理單元包括虛擬卷管理模塊 和策略管理模塊,所述虛擬卷管理模塊用以對SAN存儲網(wǎng)絡(luò)設(shè)備提供的文件訪問接口進行 封裝,對外提供統(tǒng)一的卷管理操作;所述策略管理模塊用以對來自外部訪問行為,或內(nèi)部的 負載、副本、熱點、存儲設(shè)備健康狀態(tài)進行監(jiān)測,觸發(fā)相應的訪問策略;所述訪問策略包括 當所述策略管理模塊監(jiān)測到訪問熱點時,就將所述訪問熱點的數(shù)據(jù)復制多份到空閑存儲設(shè) 備。分散存儲管理器為通用型服務器。分片器,用以對分散存儲管理器發(fā)送的數(shù)據(jù)進行分片并將數(shù)據(jù)片存儲到存儲設(shè) 備;
存儲設(shè)備,用以存儲分片器發(fā)送的分片數(shù)據(jù),將數(shù)據(jù)存儲信息返回給分片器,數(shù)據(jù)存儲 信息包括存儲狀態(tài)信息(成功或者錯誤)、存儲設(shè)備號、數(shù)據(jù)片的存儲路徑;定期檢測數(shù)據(jù)的 完整性;在數(shù)據(jù)被破壞時修復受損數(shù)據(jù);存儲設(shè)備用于對外提供文件訪問接口,存儲設(shè)備 為SAN存儲網(wǎng)絡(luò)??蛻舳耍靡韵蛩鲈拼鎯Ψ掌靼l(fā)送訪問請求;通過所述分散存儲管理器所提 供的虛擬視圖訪問所述存儲設(shè)備。其中,多個分散存儲管理器和云存儲服務器組成網(wǎng)絡(luò)為DHT分布式網(wǎng)絡(luò)。分散存儲管理器和云存儲服務器通過光纖通道或路由交換機連接,分片器置入分 散式存儲管理器內(nèi)部,DHT分布式網(wǎng)絡(luò)與存儲設(shè)備通過Iscsi連接,客戶端通過Internet/ LAN與所述分散存儲管理器、云存儲服務器連接。多個存儲設(shè)備異地設(shè)置且互為冗余,存儲 設(shè)備之間通過SAN交換機組成SAN存儲網(wǎng)絡(luò)。如圖3所示,應用上述面向分散式的云存儲安全架構(gòu)的數(shù)據(jù)存儲方法,包括如下 步驟
當用戶存儲數(shù)據(jù)時,通過客戶端向云存儲服務器發(fā)送數(shù)據(jù)存儲請求,云存儲服務器對 用戶進行安全認證,客戶端將數(shù)據(jù)進行SSL加密并通過hternet發(fā)送到云存儲服務器 ’云 存儲服務器接收客戶端發(fā)送的加密數(shù)據(jù)并解密,利用倒排文字建立用戶信息索引,云存儲 服務器將用戶信息索引和解密后的數(shù)據(jù)發(fā)送給分散存儲管理器;分散存儲管理器接收云存 儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引,將數(shù)據(jù)轉(zhuǎn)發(fā)給分片器;分片器接收分散存儲管理器 發(fā)送的數(shù)據(jù),根據(jù)IDA算法將接收到的數(shù)據(jù)進行分片,得到一個或一個以上數(shù)據(jù)片,分片器將數(shù)據(jù)片按負載均衡策略分配到存儲設(shè)備中;存儲設(shè)備將接收到的數(shù)據(jù)片存儲,并將自身 存儲的數(shù)據(jù)片的存儲路徑返回給分散存儲管理器;分散存儲管理器根據(jù)數(shù)據(jù)片的存儲路徑 將每個數(shù)據(jù)片用唯一的固定不變的64位句柄對其進行標識,并建立用來存儲元數(shù)據(jù)的虛 擬視圖,該虛擬視圖包括用戶存儲的數(shù)據(jù)的文件名、該文件對應的句柄號和文件大小,所述 文件對應的句柄號為該文件的所有數(shù)據(jù)片的句柄號的集合。如圖4所示,應用上述面向分散式的云存儲安全架構(gòu)的數(shù)據(jù)讀取方法,包括如下 步驟
用戶通過客戶端向云存儲服務器發(fā)送數(shù)據(jù)讀取請求,該數(shù)據(jù)讀取請求中包含有用戶需 要讀取的文件名,云存儲服務器對用戶進行安全認證;云存儲服務器向分散存儲管理器發(fā) 送允許讀取請求,該用戶允許讀取請求中包含有用戶需要讀取的文件名;分散存儲管理器 根據(jù)虛擬視圖中的文件名、文件對應的句柄號向文件所包含的數(shù)據(jù)片所在的存儲設(shè)備發(fā)送 數(shù)據(jù)讀取請求;存儲設(shè)備向分散存儲管理器提交數(shù)據(jù)片,分散存儲管理器根據(jù)IDA算法的 逆向運算對接收到的數(shù)據(jù)片進行合成,并校對,最后將完整的數(shù)據(jù)文件返回給客戶端。分片器利用IDA算法把存儲數(shù)據(jù)進行分片,使數(shù)據(jù)變成無法被其它非認證系統(tǒng)所 識別的數(shù)據(jù)片。每一個單獨的數(shù)據(jù)片是不具有任何意義的,如果數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被 他人截獲或在存儲設(shè)備上被意外竊取,由于截取方只是獲得信息的部分數(shù)據(jù)片,截取的信 息并不具有任何實際含義,這樣就能夠保證數(shù)據(jù)分片后是不會產(chǎn)生保密信息泄露或擴散 的。此外,當這些分片后的數(shù)據(jù)放入地理位置不同的存儲設(shè)備中,即便被其它用戶誤操作提 取時,也能保證需要保護的信息不會被分析出來。為了確保云存儲安全架構(gòu)中數(shù)據(jù)存儲的高可用性和可靠性,配置異地存儲設(shè)備, 且各存儲設(shè)備互為冗余。在物理意義上,數(shù)據(jù)分散存儲在異地且互為冗余的各存儲設(shè)備,因 此是分散的;在邏輯意義上,分散存儲管理器建立起數(shù)據(jù)與存儲設(shè)備中數(shù)據(jù)片相對應的虛 擬視圖。當用戶對云中的數(shù)據(jù)進行訪問或者操作時,這些分散的數(shù)據(jù)片對于用戶來說是透 明的,分散存儲管理器根據(jù)虛擬視圖對數(shù)據(jù)進行創(chuàng)建、檢索和刪除等操作。數(shù)據(jù)的分散存儲 也使存儲系統(tǒng)具備一定的容錯、容災能力,提高了信息的可用性。系統(tǒng)使用Reed-Solomon碼提供任意高容錯恢復技術(shù),保證系統(tǒng)在發(fā)現(xiàn)問題后能 夠被迅速檢測到。如果存儲設(shè)備上的數(shù)據(jù)損壞、丟失,存儲設(shè)備自動化檢測過程會發(fā)現(xiàn)這個 問題,通過檢測可用片重新計算數(shù)據(jù)段中所有的數(shù)據(jù),根據(jù)其它存儲設(shè)備中完好的數(shù)據(jù)恢 復被破壞的數(shù)據(jù)。通過這樣的數(shù)據(jù)自舉恢復,顯著提高了云存儲安全架構(gòu)的平均無故障時 間(MTBF)。本發(fā)明的特性
1)傳輸安全性
云存儲是通過網(wǎng)絡(luò)來傳輸數(shù)據(jù)的,其中包括網(wǎng)絡(luò)中的惡意攻擊等造成服務中斷、數(shù)據(jù) 破壞、信息被竊取等,信息擴散法使得數(shù)據(jù)在分片后在網(wǎng)絡(luò)傳輸和數(shù)據(jù)存儲時就具有相對 的保密性和安全性。通過分片器把存儲信息進行分片,使數(shù)據(jù)變成無法被其它非認證系統(tǒng) 所識別的數(shù)據(jù)片段。由于截取方只是獲得信息的分片,截取的信息并不具有任何實際含義, 這樣就能夠保證數(shù)據(jù)分片后不會產(chǎn)生泄露。2)高可用性
為了確保云存儲安全系統(tǒng)中數(shù)據(jù)存儲的高可用性和可靠性,系統(tǒng)的存儲層中設(shè)備異地存放,并且互為冗余,提高設(shè)備容錯能力和最優(yōu)的存儲利用率。使用Reed-Solomon碼提供 任意高錯誤恢復技術(shù)。設(shè)備上的數(shù)據(jù)損壞、丟失,存儲系統(tǒng)中自動化檢測過程會發(fā)現(xiàn)并檢查 可用片重新計算數(shù)據(jù)段中所有的數(shù)據(jù),通過其它存儲設(shè)備恢復被破壞的數(shù)據(jù),提高系統(tǒng)的 平均無故障時間。數(shù)據(jù)的分散存儲使存儲系統(tǒng)具備一定的容錯、容災能力,使得數(shù)據(jù)具有高 可用性。 3)數(shù)據(jù)的全面防護
根據(jù)云存儲中數(shù)據(jù)的安全性分析,從數(shù)據(jù)傳輸?shù)酱鎯?,都建立相應的保護措施進行層 與層之間的防范。按照云存儲的層次結(jié)構(gòu),在客戶端到接口層通過進行訪問控制與身份認 證,對用戶存儲數(shù)據(jù)使用加密技術(shù)SSL來保護用戶數(shù)據(jù),使數(shù)據(jù)在網(wǎng)絡(luò)傳輸中得到保障;在 管理層,通過分片器將數(shù)據(jù)分片后,數(shù)據(jù)的存儲無論在內(nèi)容上還是存儲設(shè)備中都是分散的, 這樣可以數(shù)據(jù)被防止意外竊取后,仍不能得出信息的有效信息;在存儲層,設(shè)備都是存儲在 異地并互為冗余,具有一定的容錯能力和最優(yōu)的存儲利用率。通過這些保護策略逐層對需 要存儲的數(shù)據(jù)進行保護,實現(xiàn)從數(shù)據(jù)傳輸?shù)酱鎯ξ恢玫娜娣雷o。
權(quán)利要求
1.一種面向分散式的云存儲安全架構(gòu),其特征在于,包括云存儲服務器,一個或一個以 上分散存儲管理器,分片器,至少一個存儲設(shè)備,其中所述云存儲服務器,用以對用戶進行安全性認證;接收用戶發(fā)送的數(shù)據(jù)并解密,建立用 戶信息索引,并將解密的數(shù)據(jù)和用戶信息索引發(fā)送給分散存儲管理器;所述分散存儲管理器,用以接收云存儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引;將數(shù)據(jù)轉(zhuǎn) 發(fā)給分片器;為用戶建立虛擬視圖;所述分片器,用以對分散存儲管理器發(fā)送的數(shù)據(jù)進行分片并將數(shù)據(jù)片存儲到存儲設(shè)備;所述存儲設(shè)備,用以存儲分片器發(fā)送的分片數(shù)據(jù),將數(shù)據(jù)存儲信息返回給分散存儲管 理器;定期檢測數(shù)據(jù)的完整性;在數(shù)據(jù)被破壞時修復受損數(shù)據(jù);其中,所述分散存儲管理器和所述云存儲服務器通過光纖通道或路由交換機連接,所 述分片器置入分散存儲管理器內(nèi)部,所述分散存儲管理器與存儲設(shè)備通過FC或Iscsi連 接,各存儲設(shè)備之間通過NAS或SAN相連接。
2.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,所述架構(gòu)還包括 客戶端,通過hternet/LAN與所述分散存儲管理器、云存儲服務器連接,用以向所述云存儲服務器發(fā)送訪問請求;通過所述分散存儲管理器訪問所述存儲設(shè)備。
3.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,所述數(shù)據(jù)存儲信 息為存儲狀態(tài)信息、存儲設(shè)備號、數(shù)據(jù)片的存儲路徑。
4.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,所述云存儲服務 器、分散存儲管理器為通用型服務器。
5.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,所述存儲設(shè)備用 于對外提供文件訪問接口,所述存儲設(shè)備為FC光纖通道存儲設(shè)備、IP存儲設(shè)備或DAS存儲 設(shè)備或SAN存儲網(wǎng)絡(luò)。
6.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,該架構(gòu)中如果所 述有多個分散存儲管理器,所述多個分散存儲管理器和云存儲服務器共同組成的網(wǎng)絡(luò)為 DHT分布式網(wǎng)絡(luò)。
7.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,所述云存儲服務 器為用戶提供通用訪問接口,用于用戶安全認證和權(quán)限控制管理、負載均衡和用戶元數(shù)據(jù) 管理;還用于路由管理和副本管理。
8.如權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu),其特征在于,所述分散存儲管 理器包括有虛擬卷管理單元;所述虛擬卷管理單元包括虛擬卷管理模塊和策略管理模塊,所述虛擬卷管理模塊用 以對存儲設(shè)備提供的文件訪問接口進行封裝,對外提供統(tǒng)一的卷管理操作;所述策略管理 模塊用以對來自外部訪問行為,或內(nèi)部的負載、副本、熱點、存儲設(shè)備健康狀態(tài)進行監(jiān)測,觸 發(fā)相應的訪問策略;所述訪問策略包括當所述策略管理模塊監(jiān)測到訪問熱點時,就將所述訪問熱點的數(shù) 據(jù)復制多份到空閑存儲設(shè)備。
9.一種權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu)的數(shù)據(jù)的存儲方法,其特征在 于,包括如下步驟當用戶存儲數(shù)據(jù)時,通過客戶端向云存儲服務器發(fā)送數(shù)據(jù)存儲請求,云存儲服務器對 用戶進行安全認證,客戶端將數(shù)據(jù)進行SSL加密并通過hternet發(fā)送到云存儲服務器;云存儲服務器接收客戶端發(fā)送的加密數(shù)據(jù)并解密,利用倒排文字建立用戶信息索引; 云存儲服務器將用戶信息索引和解密后的數(shù)據(jù)發(fā)送給分散存儲管理器,分散存儲管理器接 收云存儲服務器發(fā)送的數(shù)據(jù)和用戶信息索引,將數(shù)據(jù)轉(zhuǎn)發(fā)給分片器;分片器接收分散存儲管理器發(fā)送的數(shù)據(jù),根據(jù)IDA算法將接收到的數(shù)據(jù)進行分片,得 到一個或一個以上數(shù)據(jù)片,分片器將數(shù)據(jù)片按負載均衡策略分配到存儲設(shè)備中;存儲設(shè)備將接收到的數(shù)據(jù)片存儲,并將自身存儲的數(shù)據(jù)片的存儲路徑返回給分散存儲 管理器;分散存儲管理器根據(jù)數(shù)據(jù)片的存儲路徑將每個數(shù)據(jù)片用唯一的固定不變的64位句柄 對其進行標識,并建立用來存儲元數(shù)據(jù)的虛擬視圖,該虛擬視圖包括用戶存儲的數(shù)據(jù)的文 件名、該文件對應的句柄號和文件大小,所述文件對應的句柄號為該文件的所有數(shù)據(jù)片的 句柄號的集合。
10. 一種權(quán)利要求1所述的面向分散式的云存儲安全架構(gòu)的數(shù)據(jù)的讀取方法,其特征 在于,包括如下步驟用戶通過客戶端向云存儲服務器發(fā)送數(shù)據(jù)讀取請求,云存儲服務器對用戶進行安全認證;云存儲服務器向分散存儲管理器發(fā)送用戶允許讀取請求;分散存儲管理器根據(jù)虛擬視圖中的文件名、文件對應的句柄號向文件所包含的數(shù)據(jù)片 所在的存儲設(shè)備發(fā)送數(shù)據(jù)讀取請求;存儲設(shè)備向分散存儲管理器提交數(shù)據(jù)片;分散存儲管理器根據(jù)IDA算法的逆向運算對接收到的數(shù)據(jù)片進行合成,并校對,最后 將完整的數(shù)據(jù)文件返回給客戶端。
全文摘要
本發(fā)明公開了一種面向分散式的云存儲安全架構(gòu)及其數(shù)據(jù)存取方法,云存儲安全架構(gòu)由云存儲服務器、分散存儲管理器、分片器和存儲設(shè)備組成分散存儲管理器、云存儲服務器分別與客戶端連接;分散存儲管理器和云存儲服務器通過光纖通道或路由交換機連接,分片器置入分散存儲管理器內(nèi)部,分散存儲管理器與存儲設(shè)備通過FC或Iscsi連接,各存儲設(shè)備之間通過NAS或SAN相連接。本發(fā)明存儲設(shè)備異地存放且互為冗余,提高了設(shè)備容錯能力及最優(yōu)存儲利用率;通過分片器把存儲信息進行分片,使數(shù)據(jù)變成無法被其它非認證系統(tǒng)所識別的數(shù)據(jù)片段,分片后在網(wǎng)絡(luò)傳輸和數(shù)據(jù)存儲時就具有相對的保密性和安全性;采用的存儲設(shè)備及服務器均是性價比較高的設(shè)備,使得成本低廉。
文檔編號H04L29/08GK102088491SQ20111003447
公開日2011年6月8日 申請日期2011年2月1日 優(yōu)先權(quán)日2011年2月1日
發(fā)明者盧才武, 張志霞, 段中興, 邊根慶, 邵必林, 陳永鋒, 顧清華, 駱正山, 黃光球 申請人:西安建筑科技大學
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1