專利名稱:一種云安全數(shù)據(jù)遷移模型的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及計(jì)算機(jī)安全領(lǐng)域,尤其涉及一種云安全數(shù)據(jù)遷移模型。
背景技術(shù):
云數(shù)據(jù)遷移是指將數(shù)據(jù)從一個(gè)云系統(tǒng)轉(zhuǎn)存到另一個(gè)云系統(tǒng)中,包含私有云到公有云、公有云到私有云、公有云到公有云三種場(chǎng)景。私有云到公有云是最常見(jiàn)的一種場(chǎng)景。例如網(wǎng)絡(luò)商城如eBay、Taobao和社交網(wǎng)絡(luò)如Facebook、Myspace等在初期并沒(méi)有海量數(shù)據(jù)需要管理,因此只需采用構(gòu)建私有云甚至傳統(tǒng)的存儲(chǔ)解決方案。隨著業(yè)務(wù)的擴(kuò)大,其數(shù)據(jù)量也呈指數(shù)級(jí)增長(zhǎng),它們開(kāi)始考慮一個(gè)可行的解決方案——租用公有云的存儲(chǔ)空間,即將數(shù)據(jù)遷移到公有云中。這樣一方面克服了企 業(yè)私有云容量有限的缺陷,另一方面節(jié)約了超級(jí)數(shù)據(jù)中心的建造、運(yùn)營(yíng)和維護(hù)開(kāi)銷(xiāo),并由云 服務(wù)商的專業(yè)安全隊(duì)伍維護(hù)數(shù)據(jù)的存儲(chǔ)安全。公有云到私有云也很常見(jiàn)。假設(shè)某個(gè)企業(yè)購(gòu)買(mǎi)了亞馬遜S3的云存儲(chǔ)服務(wù),隨著該公司業(yè)務(wù)的發(fā)展,發(fā)現(xiàn)有些數(shù)據(jù)變得非常機(jī)密,因此他們考慮將數(shù)據(jù)從公有云中遷移到企業(yè)內(nèi)部的私有云中。公有云到公有云是云計(jì)算發(fā)展的趨勢(shì)。來(lái)自互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)的調(diào)查顯示,安全仍是用戶采用云服務(wù)時(shí)所需面臨的主要挑戰(zhàn)。因此,隨著云計(jì)算的推廣和普及,當(dāng)用戶發(fā)現(xiàn)自己購(gòu)買(mǎi)的云存儲(chǔ)服務(wù)暴露出安全風(fēng)險(xiǎn)時(shí),他們會(huì)將自己的數(shù)據(jù)遷移到安全等級(jí)更高的云服務(wù)商數(shù)據(jù)中心中。云存儲(chǔ)服務(wù)的一個(gè)最明顯特征是對(duì)大數(shù)據(jù)集的存儲(chǔ)管理優(yōu)化。如果用戶想從普通用戶升級(jí)為VIP用戶,那么云服務(wù)商就要對(duì)該用戶的數(shù)據(jù)采取一系列措施,如將其數(shù)據(jù)遷移到具有更快訪問(wèn)速度和更高安全等級(jí)的云存儲(chǔ)系統(tǒng)中。又假設(shè)某個(gè)企業(yè)購(gòu)買(mǎi)了亞馬遜S3的云存儲(chǔ)服務(wù),該企業(yè)總部在上海,因此亞馬遜公司會(huì)將該企業(yè)的數(shù)據(jù)部署在靠近上海的數(shù)據(jù)中心。隨著業(yè)務(wù)的發(fā)展,該企業(yè)在北京設(shè)立了辦事處,為了兼顧北京辦事處的數(shù)據(jù)訪問(wèn)速率和服務(wù)質(zhì)量,亞馬遜公司需要將該企業(yè)的相關(guān)數(shù)據(jù)備份遷移到靠近北京的數(shù)據(jù)中心。由上可見(jiàn),數(shù)據(jù)遷移是云存儲(chǔ)的一項(xiàng)重要服務(wù)。因此如何確保數(shù)據(jù)遷移的安全性,對(duì)云租戶和云服務(wù)商來(lái)說(shuō)都具有重要意義。一方面用戶不必?fù)?dān)心數(shù)據(jù)遭遇安全風(fēng)險(xiǎn)時(shí)造成的損失,享受更加便捷的數(shù)據(jù)訪問(wèn)和存儲(chǔ)服務(wù);另一方面提升了云服務(wù)商的信譽(yù)。如果數(shù)據(jù)遷移存在安全隱患,將給云租戶和云服務(wù)商造成嚴(yán)重的后果。例如網(wǎng)絡(luò)商城和社交網(wǎng)絡(luò)的賬戶信息涉及個(gè)人隱私,如果這些信息被非法竊取或篡改,對(duì)這些企業(yè)而言,將面臨災(zāi)難性的后果?,F(xiàn)有的數(shù)據(jù)遷移模型有傳統(tǒng)的數(shù)據(jù)遷移模型、HDFS或S3數(shù)據(jù)遷移模型、改進(jìn)的HDFS或S3數(shù)據(jù)遷移模型。傳統(tǒng)的數(shù)據(jù)遷移模型的實(shí)施包括兩個(gè)過(guò)程1)云租戶將數(shù)據(jù)從云服務(wù)商A的數(shù)據(jù)中心下載到本地;2)云租戶從本地將數(shù)據(jù)上傳到云服務(wù)商B的數(shù)據(jù)中心中。圖I是傳統(tǒng)的數(shù)據(jù)遷移模型。[0009]傳統(tǒng)的數(shù)據(jù)遷移模型存在的缺陷有1)將數(shù)據(jù)從云服務(wù)商A下載到本地,需要在本地臨時(shí)準(zhǔn)備數(shù)據(jù)存儲(chǔ)設(shè)備,這對(duì)那些擁有海量存儲(chǔ)數(shù)據(jù)的企業(yè)來(lái)說(shuō)是不現(xiàn)實(shí)的;2)數(shù)據(jù)在取回和轉(zhuǎn)存的過(guò)程中增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn),包括一般的網(wǎng)絡(luò)攻擊、repIy攻擊、middle攻擊等;3)數(shù)據(jù)在取回和轉(zhuǎn)存的過(guò)程中增加了云租戶的通信和時(shí)間開(kāi)銷(xiāo);4)對(duì)云租戶來(lái)說(shuō),不能確保云租戶數(shù)據(jù)取回后云服務(wù)商A是否留有備份或非法分析其殘留數(shù)據(jù)。圖I是傳統(tǒng)的數(shù)據(jù)遷移模型。HDFS或S3數(shù)據(jù)遷移模型的具體步驟為1)用戶A向其存儲(chǔ) 服務(wù)商(云系統(tǒng)I)發(fā)出數(shù)據(jù)遷移請(qǐng)求,請(qǐng)求包括源數(shù)據(jù)、目的地、對(duì)象;2)云系統(tǒng)I的元數(shù)據(jù)節(jié)點(diǎn)檢查用戶A是否具備其指定的數(shù)據(jù)遷移權(quán)限;3)云系統(tǒng)I的元數(shù)據(jù)節(jié)點(diǎn)向包含對(duì)象、目地路徑的云系統(tǒng)2的元數(shù)據(jù)節(jié)點(diǎn)發(fā)送寫(xiě)請(qǐng)求;4)云系統(tǒng)2的元數(shù)據(jù)節(jié)點(diǎn)檢查用戶A是否具備向?qū)懻?qǐng)求中指定路徑中寫(xiě)數(shù)據(jù)的權(quán)限;5)如果檢查通過(guò),云系統(tǒng)2的元數(shù)據(jù)節(jié)點(diǎn)與其數(shù)據(jù)節(jié)點(diǎn)生成一個(gè)write token (數(shù)據(jù)遷移時(shí)用);6)云系統(tǒng)2的元數(shù)據(jù)節(jié)點(diǎn)將生成的write token返回給云系統(tǒng)I的元數(shù)據(jù)節(jié)點(diǎn);7)云系統(tǒng)I的元數(shù)據(jù)節(jié)點(diǎn)將接收的write token分發(fā)給存有用戶A數(shù)據(jù)的數(shù)據(jù)節(jié)點(diǎn);8)云系統(tǒng)I的數(shù)據(jù)節(jié)點(diǎn)向write token指定的元數(shù)據(jù)節(jié)點(diǎn)發(fā)送數(shù)據(jù)(數(shù)據(jù)訪問(wèn)請(qǐng)求)和token ;9)云系統(tǒng)2的元數(shù)據(jù)節(jié)點(diǎn)驗(yàn)證token以確定數(shù)據(jù)塊能否寫(xiě)入;10)若驗(yàn)證通過(guò),云系統(tǒng)2的元數(shù)據(jù)節(jié)點(diǎn)會(huì)向源數(shù)據(jù)節(jié)點(diǎn)發(fā)送目標(biāo)數(shù)據(jù)節(jié)點(diǎn)的地址信息;11)源數(shù)據(jù)節(jié)點(diǎn)向目的數(shù)據(jù)節(jié)點(diǎn)寫(xiě)數(shù)據(jù)。圖2是該模型的示意圖。從上述過(guò)程中,可以看出存在3類(lèi)安全風(fēng)險(xiǎn)1)云系統(tǒng)I和云系統(tǒng)2雙方的元數(shù)據(jù)節(jié)點(diǎn)間的通信安全。安全協(xié)議或token可能在這一階段被攔截或篡改,黑客可能利用這些token假冒合法的一方欺騙另一方;2)源數(shù)據(jù)節(jié)點(diǎn)與目的元數(shù)據(jù)節(jié)點(diǎn)的通信安全。若發(fā)送的token被攔截,黑客獲得了本應(yīng)該只有源數(shù)據(jù)節(jié)點(diǎn)得知的地址信息;3)云系統(tǒng)I和云系統(tǒng)2雙方的數(shù)據(jù)節(jié)點(diǎn)通信安全。由于元數(shù)據(jù)節(jié)點(diǎn)和數(shù)據(jù)節(jié)點(diǎn)都有可能被攻擊者假冒,因此有兩種方法提高遷移的安全性實(shí)體認(rèn)證和遷移數(shù)據(jù)的保護(hù)。首先,涉及數(shù)據(jù)遷移的雙方元數(shù)據(jù)節(jié)點(diǎn)都需要進(jìn)行某種安全認(rèn)證。解決思路使用SSL協(xié)議建立安全通道,用于傳輸后面的安全參數(shù)如數(shù)據(jù)加密密鑰、MAC、隨機(jī)密鑰等,也用于源數(shù)據(jù)節(jié)點(diǎn)向目地元數(shù)據(jù)節(jié)點(diǎn)傳送ticket等。其次,目地系統(tǒng)的元數(shù)據(jù)節(jié)點(diǎn)有權(quán)對(duì)源數(shù)據(jù)節(jié)點(diǎn)進(jìn)行認(rèn)證。認(rèn)證不通過(guò),就不能向目的系統(tǒng)中寫(xiě)入數(shù)據(jù)。最后,發(fā)送和接受雙方都要對(duì)遷移的數(shù)據(jù)執(zhí)行某種安全措施(特別是保證其機(jī)密性)。解決方案數(shù)據(jù)需要用一個(gè)臨時(shí)密鑰加密,并將密文用預(yù)先設(shè)定的算法計(jì)算其MAC。具體體現(xiàn)在以下三個(gè)方面1) SSL階段。為兩個(gè)系統(tǒng)建立一個(gè)安全通道,并傳輸安全參數(shù)臨時(shí)會(huì)話密鑰(MAC計(jì)算時(shí)用)、隨機(jī)密鑰(對(duì)稱加密時(shí)用)、最低權(quán)限的數(shù)據(jù)遷移ticket ;2)最低權(quán)限的數(shù)據(jù)遷移ticket。主要考慮攻擊者可能會(huì)截獲ticket (也就是上面所說(shuō)的token),對(duì)數(shù)據(jù)遷移造成危害。軟件級(jí)的安全并不能阻止這種情況的發(fā)生,但是可以降低其帶來(lái)的影響。即使攻擊者通過(guò)物理手段截獲了 ticket,他所能做的也非常有限。例如,可以設(shè)計(jì)ticket為一次性的,一旦數(shù)據(jù)節(jié)點(diǎn)的ticket被目地系統(tǒng)的元數(shù)據(jù)節(jié)點(diǎn)認(rèn)證通過(guò),該ticket就過(guò)期作廢了。一旦系統(tǒng)中存在兩個(gè)相同的ticket請(qǐng)求認(rèn)證,表明存在攻擊者。這時(shí),需要及時(shí)反饋給遷移管理者。這里可以用源ID、目的ID來(lái)作為ticket (—旦一個(gè)ID認(rèn)證通過(guò),立即被銷(xiāo)毀);3)數(shù)據(jù)加密處理。原來(lái)的數(shù)據(jù)形式為“數(shù)據(jù)塊+hash值”,只能用于檢測(cè)數(shù)據(jù)的完整性?,F(xiàn)在的數(shù)據(jù)形式“數(shù)據(jù)塊+hash值+MAC碼(hash值和隨機(jī)碼計(jì)算所得)”,可保證遷移數(shù)據(jù)的完整性、機(jī)密性和防篡改。改進(jìn)的HDFS或S3數(shù)據(jù)遷移模型的遷移過(guò)程如下1)用戶A身份通過(guò)認(rèn)證后,源HDFS的MDM (遷移決策模塊,融合在元數(shù)據(jù)節(jié)點(diǎn)中)向目的HDFS的元數(shù)據(jù)節(jié)點(diǎn)中的MDM發(fā)出SSL連接請(qǐng)求。此后雙方元數(shù)據(jù)節(jié)點(diǎn)會(huì)協(xié)商后續(xù)的安全參數(shù);2)接受到源元數(shù)據(jù)節(jié)點(diǎn)的遷移請(qǐng)求后,目的元數(shù)據(jù)節(jié)點(diǎn)生成一個(gè)會(huì)話密鑰(Kdn,用于源元數(shù)據(jù)節(jié)點(diǎn)與目的元數(shù)據(jù)節(jié)點(diǎn)的通信)、一個(gè)隨機(jī)數(shù)(Dhash,用于雙重hash計(jì)算)。然后目的元數(shù)據(jù)節(jié)點(diǎn)將Kdh和Dhash發(fā)送給源元數(shù)據(jù)節(jié)點(diǎn);3)源元數(shù)據(jù)節(jié)點(diǎn)在分配遷移任務(wù)給數(shù)據(jù)節(jié)點(diǎn)后,然后向目的元數(shù)據(jù)節(jié)點(diǎn)發(fā)送ticket請(qǐng)求(包括DataNode的IP地址列表);4)目的元數(shù)據(jù)節(jié)點(diǎn)的MDM生成一系列的ticket,并用Kdst (只被目的元數(shù)據(jù)節(jié)點(diǎn)所知)加密每個(gè)ticket,然后向源元數(shù)據(jù)節(jié)點(diǎn)返回加密形式的 tickets (tickets { IP, Kdst {ticket (s, ip, filepath) }} ) ;5)源元數(shù)據(jù)節(jié)點(diǎn)接收到加密的tickets后,向每個(gè)數(shù)據(jù)節(jié)點(diǎn)分發(fā)ticket、Kdn、Dhash ;6)分發(fā)完畢后,SSL連接終止。每個(gè)任務(wù)執(zhí)行器使用Kdn和時(shí)間戳加密每個(gè)加密了的ticket,并將這個(gè)雙重加密的ticket發(fā)送到目的元數(shù)據(jù)節(jié)點(diǎn);7)目的元數(shù)據(jù)節(jié)點(diǎn)解密tickets,并更新每個(gè)ticket里的時(shí)間戳,然后返回與每個(gè)源數(shù)據(jù)節(jié)點(diǎn)對(duì)應(yīng)數(shù)據(jù)節(jié)點(diǎn)的IP地址信息;8)每個(gè)源數(shù)據(jù)節(jié)點(diǎn)接收到目的數(shù)據(jù)節(jié)點(diǎn)的IP地址后,會(huì)用會(huì)話密鑰(Kdn)加密每個(gè)將要遷移的數(shù)據(jù)塊,得到第一個(gè)hash值(hashl),hash2則用Dhash計(jì)算得到。然后源數(shù)據(jù)節(jié)點(diǎn)向目的數(shù)據(jù)節(jié)點(diǎn)發(fā)送雙重加密形式的數(shù)據(jù)塊(數(shù)據(jù)塊+hashl+hash2)。圖3是該模型的示意圖。改進(jìn)的HDFS或S3數(shù)據(jù)遷移模型可以保證數(shù)據(jù)遷移過(guò)程中的完整性和機(jī)密性,但是仍然存在不足,體現(xiàn)在1)云租戶數(shù)據(jù)從源云系統(tǒng)遷移后,是否存在數(shù)據(jù)備份或數(shù)據(jù)殘 留,云服務(wù)商是否存在非法分析用戶數(shù)據(jù)的可能;2)對(duì)源、目的云系統(tǒng)缺乏監(jiān)督機(jī)制,一旦發(fā)生數(shù)據(jù)遷移安全糾紛,容易造成云服務(wù)商互相推卸責(zé)任的局面,云租戶無(wú)法確定是哪方的過(guò)錯(cuò)。例如,當(dāng)云租戶數(shù)據(jù)從云系統(tǒng)A安全地遷移到云系統(tǒng)B后,云系統(tǒng)A會(huì)刪除該云租戶遷移數(shù)據(jù)的元數(shù)據(jù)及所有數(shù)據(jù)備份。由于某種原因,用戶數(shù)據(jù)到達(dá)云系統(tǒng)B后被非法刪除或篡改,此時(shí)云服務(wù)商B為了保持自己的商業(yè)信譽(yù),會(huì)咬定說(shuō)是數(shù)據(jù)在云系統(tǒng)A中被非法刪除或修改后才遷移過(guò)來(lái)的。在這種情況下,云租戶無(wú)法確切知道到底是哪方的責(zé)任,即便云租戶知道是云服務(wù)商B的過(guò)錯(cuò),也無(wú)法維護(hù)自己的權(quán)益,因?yàn)樵谱鈶裟貌怀隹煽康淖C據(jù)。3)不支持動(dòng)態(tài)數(shù)據(jù)更新操作,例如修改或刪除部分遷移中的數(shù)據(jù),用戶只能在遷移前或遷移結(jié)束后才能操作遷移數(shù)據(jù),給用戶使用帶來(lái)不便。
實(shí)用新型內(nèi)容本實(shí)用新型的目的是提供一種云安全數(shù)據(jù)遷移模型,以降低數(shù)據(jù)遷移過(guò)程中的安全風(fēng)險(xiǎn)。本實(shí)用新型為解決其技術(shù)問(wèn)題所采用的技術(shù)方案是,一種云安全數(shù)據(jù)遷移模型,包括云租戶、第三方審計(jì)、源云系統(tǒng)、目的云系統(tǒng);第三方審計(jì),其包括數(shù)據(jù)完整性檢驗(yàn)功能,用于檢驗(yàn)云系統(tǒng)中云租戶的數(shù)據(jù)完整性狀況;[0024]源云系統(tǒng),其包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn);目的云系統(tǒng),其包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn);元數(shù)據(jù)節(jié)點(diǎn),其包括訪問(wèn)控制模塊、遷移決策模塊、整個(gè)云系統(tǒng)的元數(shù)據(jù);訪問(wèn)控制模塊用于驗(yàn)證云租戶是否具備相應(yīng)的操作權(quán)限;遷移決策模塊用于生成和提交云租戶數(shù)據(jù)遷移請(qǐng)求;元數(shù)據(jù)節(jié)點(diǎn)用于管理所有云租戶 的數(shù)據(jù);數(shù)據(jù)節(jié)點(diǎn)用于存放所有云租戶的實(shí)際數(shù)據(jù)及其備份。云租戶是購(gòu)買(mǎi)了源云服務(wù)商與目的云服務(wù)商的存儲(chǔ)服務(wù)的實(shí)體,具備向源云系統(tǒng)中讀寫(xiě)數(shù)據(jù)和向目的云系統(tǒng)遷移數(shù)據(jù)的權(quán)限。源云系統(tǒng)是為云租戶提供云存儲(chǔ)和云安全服務(wù)的實(shí)體,當(dāng)云租戶提出數(shù)據(jù)遷移要求時(shí),源云系統(tǒng)能夠安全地將云租戶數(shù)據(jù)轉(zhuǎn)存到其指定的目的云系統(tǒng)中,此外,能接受第三方審計(jì)的安全監(jiān)督。目的云系統(tǒng)是為云租戶提供云存儲(chǔ)和云安全服務(wù)的實(shí)體,當(dāng)云租戶提出數(shù)據(jù)遷移要求時(shí),目的云系統(tǒng)能夠接收來(lái)自云租戶指定的源云系統(tǒng)的數(shù)據(jù),此外,能接受第三方審計(jì)的安全監(jiān)督。第三方審計(jì)能檢查云租戶位于云系統(tǒng)中數(shù)據(jù)的完整性的實(shí)體,當(dāng)云租戶提出數(shù)據(jù)遷移要求時(shí),能夠?qū)υ丛葡到y(tǒng)數(shù)據(jù)的遷出、目的云系統(tǒng)數(shù)據(jù)的遷入以及遷移結(jié)束后源云系統(tǒng)對(duì)遷移數(shù)據(jù)的元數(shù)據(jù)及其數(shù)據(jù)備份的完全刪除進(jìn)行安全審計(jì),此外,在審計(jì)過(guò)程中對(duì)云租戶數(shù)據(jù)完全透明,即無(wú)法分析出審計(jì)數(shù)據(jù)的真實(shí)信息。第三方審計(jì)能夠同時(shí)處理多個(gè)云租戶提交的數(shù)據(jù)遷移審計(jì)任務(wù),即進(jìn)行批審計(jì)。第三方審計(jì)為云租戶和云服務(wù)商雙方所信賴,類(lèi)似現(xiàn)實(shí)生活中的公證和監(jiān)察機(jī)構(gòu)。第三方審計(jì)滿足三個(gè)要求1)可以在不需要本地備份的情況下對(duì)云系統(tǒng)中云租戶的數(shù)據(jù)進(jìn)行完整性檢驗(yàn);2)在完整性檢驗(yàn)過(guò)程中,對(duì)云租戶數(shù)據(jù)完全透明,即無(wú)法分析出審計(jì)數(shù)據(jù)的真實(shí)信息;3)支持?jǐn)?shù)據(jù)動(dòng)態(tài)更新,云租戶可以對(duì)云系統(tǒng)中的相關(guān)數(shù)據(jù)隨時(shí)更新,如增力口、修改和刪除等;4)能同時(shí)處理多個(gè)云租戶的數(shù)據(jù)遷移審計(jì)請(qǐng)求。云租戶在遷移數(shù)據(jù)前,可以先向第三方審計(jì)提交遷移安全審計(jì)請(qǐng)求,請(qǐng)求內(nèi)容包括源云系統(tǒng)、目的云系統(tǒng)和要審計(jì)的數(shù)據(jù)。第三方審計(jì)會(huì)對(duì)云租戶要審計(jì)的數(shù)據(jù)作一份全面的數(shù)據(jù)完整性檢查,并將檢查報(bào)告附加在審計(jì)通知書(shū)中發(fā)送給云租戶。在收到第三方審計(jì)的審計(jì)通知書(shū)后,云租戶對(duì)自己的數(shù)據(jù)的完整性有了清晰的認(rèn)識(shí),如果超出了云租戶的接受范圍,云租戶會(huì)與源云服務(wù)商交涉,達(dá)成一致協(xié)議。隨后云租戶向源云服務(wù)商提交數(shù)據(jù)遷移請(qǐng)求,源云系統(tǒng)在確認(rèn)云租戶的身份和權(quán)限后,開(kāi)始向目的云系統(tǒng)和第三方審計(jì)發(fā)出請(qǐng)求。之所以由源云系統(tǒng)向第三方審計(jì)發(fā)出遷移請(qǐng)求,主要是為了杜絕源云系統(tǒng)在遷移到云租戶指定的目的云系統(tǒng)的同時(shí),將云租戶數(shù)據(jù)遷入到某個(gè)“秘密地”,用作日后非法分析。第三方審計(jì)對(duì)比云租戶提交的安全審計(jì)請(qǐng)求和源云系統(tǒng)提交的遷移請(qǐng)求,若兩個(gè)請(qǐng)求中指定的目的云系統(tǒng)一致,則表明安全,否則說(shuō)明存在安全風(fēng)險(xiǎn),應(yīng)立刻向云租戶報(bào)告這一情況。待通過(guò)目的云系統(tǒng)的一系列認(rèn)證后,源云系統(tǒng)正式向目的云系統(tǒng)遷移數(shù)據(jù),與此同時(shí)第三方審計(jì)也開(kāi)始對(duì)整個(gè)遷移過(guò)程數(shù)據(jù)的完整性予以檢查。這里,第三方審計(jì)的功能包括I)對(duì)源云系統(tǒng)數(shù)據(jù)的遷出予以審計(jì);2)對(duì)目的云系統(tǒng)數(shù)據(jù)的遷入予以審計(jì);3)對(duì)源云系統(tǒng)遷移數(shù)據(jù)的元數(shù)據(jù)及數(shù)據(jù)備份的安全刪除予以審計(jì);4)對(duì)目的云系統(tǒng)中遷入的數(shù)據(jù)完整性予以審計(jì)。最后,當(dāng)數(shù)據(jù)遷移結(jié)束后,源云系統(tǒng)和目的云系統(tǒng)會(huì)向云租戶提交數(shù)據(jù)遷移完成報(bào)告,第三方審計(jì)也會(huì)向云租戶提交遷移審計(jì)報(bào)告。云租戶將遷移審計(jì)報(bào)告作為藍(lán)本,對(duì)比源、目的云系統(tǒng)提交的報(bào)告,若內(nèi)容一致,表明數(shù)據(jù)遷移安全,否則,云租戶會(huì)以此為據(jù)維護(hù)自己的權(quán)益。最后,云租戶可以繼續(xù)委托第三方審計(jì)對(duì)目的云系統(tǒng)中的遷移數(shù)據(jù)進(jìn)行完整性監(jiān)察。這種云安全數(shù)據(jù)遷移模型的優(yōu)勢(shì)在于I)克服了傳統(tǒng)的數(shù)據(jù)遷移模型所有缺陷,云租戶不必親自下載遷移數(shù)據(jù)后又重新上傳到目的云系統(tǒng);2)消除了 HDFS或S3數(shù)據(jù)遷移模型遷移過(guò)程中的所有安全風(fēng)險(xiǎn);3)克服了改進(jìn)的HDFS或S3數(shù)據(jù)遷移模型對(duì)源、目的云系統(tǒng)缺乏監(jiān)督的缺陷,一旦發(fā)生數(shù)據(jù)遷移安全糾紛,第三方審計(jì)能很快確定事故起因,為云租戶提供維護(hù)自身權(quán)益的 有力證據(jù);4)克服了已有三種模型無(wú)法解決用戶與云系統(tǒng)間的數(shù)據(jù)安全糾紛的缺陷;5)克服了已有三種模型無(wú)法確定數(shù)據(jù)遷移完成后源云系統(tǒng)是否完全刪除遷移數(shù)據(jù)的元數(shù)據(jù)及其所有數(shù)據(jù)備份的不足;6)解決了已有三種模型中源云系統(tǒng)可能在遷移過(guò)程中秘密將云租戶數(shù)據(jù)轉(zhuǎn)移到某個(gè)地方的問(wèn)題,即一份是遷移到云租戶指定的目的云系統(tǒng),另一份是源云系統(tǒng)事先計(jì)劃的某個(gè)地點(diǎn);7)克服了已有三種模型在數(shù)據(jù)遷移過(guò)程中云租戶無(wú)法動(dòng)態(tài)更新遷移數(shù)據(jù)的缺陷,即遷移過(guò)程中云租戶對(duì)遷移數(shù)據(jù)不具備訪問(wèn)權(quán)限;8)克服了已有三種數(shù)據(jù)遷移模型在數(shù)據(jù)安全遷移到目的云系統(tǒng)后缺乏后續(xù)完整性監(jiān)督的不足;9)克服了已有三種模型中云租戶對(duì)數(shù)據(jù)遷移過(guò)程完全透明的缺陷,第三方審計(jì)為云租戶提供數(shù)據(jù)遷移的完整報(bào)告,増強(qiáng)了云租戶對(duì)數(shù)據(jù)遷移的控制力;10)第三方審計(jì)可以同時(shí)處理多個(gè)數(shù)據(jù)遷移請(qǐng)求,即進(jìn)行批審計(jì),不僅節(jié)約了云租戶的時(shí)間、人力和物力開(kāi)銷(xiāo),而且節(jié)約了社會(huì)資源,符合云計(jì)算的發(fā)展理念,為進(jìn)一步擴(kuò)大云規(guī)模經(jīng)濟(jì)具有重要意義。
圖I是傳統(tǒng)的數(shù)據(jù)遷移模型結(jié)構(gòu)示意圖;圖2是HDFS或S3的數(shù)據(jù)遷移模型結(jié)構(gòu)示意圖;圖3是改進(jìn)的HDFS或S3的數(shù)據(jù)遷移模型結(jié)構(gòu)示意圖;圖4是本實(shí)用新型提出的云安全數(shù)據(jù)遷移模型的結(jié)構(gòu)示意圖。
具體實(shí)施方式
為了使本實(shí)用新型實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解,下面結(jié)合圖示與具體實(shí)施例,進(jìn)一步闡述本實(shí)用新型。參考圖3、圖4,本實(shí)用新型提出的云安全數(shù)據(jù)遷移模型包括云租戶、第三方審計(jì)、源云系統(tǒng)、目的云系統(tǒng);第三方審計(jì)包括數(shù)據(jù)完整性檢驗(yàn)功能,用于檢驗(yàn)云系統(tǒng)中云租戶的數(shù)據(jù)完整性狀況;源云系統(tǒng)包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn);目的云系統(tǒng)包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn);元數(shù)據(jù)節(jié)點(diǎn)包括訪問(wèn)控制模塊、遷移決策模塊、整個(gè)云系統(tǒng)的元數(shù)據(jù);訪問(wèn)控制模塊用于驗(yàn)證云租戶是否具備相應(yīng)的操作權(quán)限;遷移決策模塊用于生成和提交云租戶數(shù)據(jù)遷移請(qǐng)求;元數(shù)據(jù)節(jié)點(diǎn)用于管理所有云租戶的數(shù)據(jù);數(shù)據(jù)節(jié)點(diǎn)用于存放所有云租戶的實(shí)際數(shù)據(jù)及其備份。根據(jù)這種云安全數(shù)據(jù)遷移模型,云環(huán)境下數(shù)據(jù)遷移的具體過(guò)程如下I.云租戶向第三方審計(jì)提交遷移安全審計(jì)請(qǐng)求(包括源云系統(tǒng)、目的云系統(tǒng)); 2.第三方審計(jì)檢查位于源云系統(tǒng)中遷移數(shù)據(jù)的完整性,生成遷移前的數(shù)據(jù)完整性報(bào)告,返回給云租戶;3.云租戶查看報(bào)告后,若一切正常則向源云系統(tǒng)發(fā)出數(shù)據(jù)遷移請(qǐng)求(包括要遷移的數(shù)據(jù)、目的云系統(tǒng)、第三方審計(jì)等);4.源云系統(tǒng)向目的云系統(tǒng)和第三方審計(jì)發(fā)出遷移請(qǐng)求;5.第三方審計(jì)獲取遷移請(qǐng)求中的目的云系統(tǒng),并將其與云租戶提交的遷移安全審計(jì)請(qǐng)求中的指定的目的云系統(tǒng)比對(duì),若兩者不一致,則表明源云系統(tǒng)存在秘密轉(zhuǎn)移云租戶數(shù)據(jù)的行為,此時(shí)第三方審計(jì)需要及時(shí)向云租戶報(bào)告這一情況;否則,第三方審計(jì)正式對(duì)源云系統(tǒng)和目的云系統(tǒng)進(jìn)行安全遷移審計(jì);6.待收到目的云系統(tǒng)的許可信息后,源云系統(tǒng)開(kāi)始向目的云系統(tǒng)遷移數(shù)據(jù)(數(shù)據(jù)遷移過(guò)程由改進(jìn)的HDFS或S3數(shù)據(jù)遷移模型給出);7.數(shù)據(jù)遷移完畢,目的云系統(tǒng)向云租戶和源云系統(tǒng)發(fā)送數(shù)據(jù)接收完畢信息(包括開(kāi)始時(shí)間、結(jié)束時(shí)間、數(shù)據(jù)量、源云系統(tǒng)等);8.源云系統(tǒng)在收到目的云系統(tǒng)的數(shù)據(jù)接收完畢信息后,開(kāi)始安全刪除云租戶的遷移數(shù)據(jù),并向云租戶發(fā)送數(shù)據(jù)遷移完畢信息(包括開(kāi)始時(shí)間、結(jié)束時(shí)間、數(shù)據(jù)量、目的云系統(tǒng),遷移數(shù)據(jù)刪除信息等);9.第三方審計(jì)向云租戶發(fā)送遷移審計(jì)報(bào)告(包括源云系統(tǒng)、目的云系統(tǒng)、開(kāi)始時(shí)間、結(jié)束時(shí)間、數(shù)據(jù)量、源云系統(tǒng)遷移數(shù)據(jù)刪除信息等);10.云租戶將源云系統(tǒng)與目的云系統(tǒng)提交的信息與第三方審計(jì)的審計(jì)結(jié)果對(duì)比,若一致,則表明數(shù)據(jù)遷移安全,否則,說(shuō)明存在欺騙云租戶的行為。11.云租戶可以繼續(xù)委托第三方審計(jì)對(duì)目的云系統(tǒng)中的遷移數(shù)據(jù)進(jìn)行完整性監(jiān)察。以上顯示和描述了本實(shí)用新型的基本原理、主要特征和本實(shí)用新型的優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解,本實(shí)用新型不受上述實(shí)施例的限制,上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本實(shí)用新型的原理,在不脫離本實(shí)用新型精神和范圍的前提下本實(shí)用新型還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本實(shí)用新型范圍內(nèi)。本實(shí)用新型要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等同物界定。
權(quán)利要求1.一種云安全數(shù)據(jù)遷移模型,其特征在于,包括 云租戶、第三方審計(jì)、源云系統(tǒng)、目的云系統(tǒng); 第三方審計(jì),其包括數(shù)據(jù)完整性檢驗(yàn)功能,用于檢驗(yàn)云系統(tǒng)中云租戶的數(shù)據(jù)完整性狀況; 源云系統(tǒng),其包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn); 目的云系統(tǒng),其包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn); 元數(shù)據(jù)節(jié)點(diǎn),其包括訪問(wèn)控制模塊、遷移決策模塊、整個(gè)云系統(tǒng)的元數(shù)據(jù); 訪問(wèn)控制模塊用于驗(yàn)證云租戶是否具備相應(yīng)的操作權(quán)限; 遷移決策模塊用于生成和提交云租戶數(shù)據(jù)遷移請(qǐng)求; 元數(shù)據(jù)節(jié)點(diǎn)用于管理所有云租戶的數(shù)據(jù); 數(shù)據(jù)節(jié)點(diǎn)用于存放所有云租戶的實(shí)際數(shù)據(jù)及其備份。
2.如權(quán)利要求I所述的一種云安全數(shù)據(jù)遷移模型,其特征在于,云租戶是購(gòu)買(mǎi)了源云服務(wù)商與目的云服務(wù)商的存儲(chǔ)服務(wù)的實(shí)體,具備向源云系統(tǒng)中讀寫(xiě)數(shù)據(jù)和向目的云系統(tǒng)遷移數(shù)據(jù)的權(quán)限。
3.如權(quán)利要求I所述的一種云安全數(shù)據(jù)遷移模型,其特征在于,源云系統(tǒng)是為云租戶提供云存儲(chǔ)和云安全服務(wù)的實(shí)體,當(dāng)云租戶提出數(shù)據(jù)遷移要求時(shí),源云系統(tǒng)能夠安全地將云租戶數(shù)據(jù)轉(zhuǎn)存到其指定的目的云系統(tǒng)中,此外,能接受第三方審計(jì)的安全監(jiān)督。
4.如權(quán)利要求I所述的一種云安全數(shù)據(jù)遷移模型,其特征在于,目的云系統(tǒng)是為云租戶提供云存儲(chǔ)和云安全服務(wù)的實(shí)體,當(dāng)云租戶提出數(shù)據(jù)遷移要求時(shí),目的云系統(tǒng)能夠接收來(lái)自云租戶指定的源云系統(tǒng)的數(shù)據(jù),此外,能接受第三方審計(jì)的安全監(jiān)督。
5.如權(quán)利要求I所述的一種云安全數(shù)據(jù)遷移模型,其特征在于,第三方審計(jì)能檢查云租戶位于云系統(tǒng)中數(shù)據(jù)的完整性的實(shí)體,當(dāng)云租戶提出數(shù)據(jù)遷移要求時(shí),能夠?qū)υ丛葡到y(tǒng)數(shù)據(jù)的遷出、目的云系統(tǒng)數(shù)據(jù)的遷入以及遷移結(jié)束后源云系統(tǒng)對(duì)遷移數(shù)據(jù)的元數(shù)據(jù)及其數(shù)據(jù)備份的完全刪除進(jìn)行安全審計(jì),此外,在審計(jì)過(guò)程中對(duì)云租戶數(shù)據(jù)完全透明,即無(wú)法分析出審計(jì)數(shù)據(jù)的真實(shí)信息。
6.如權(quán)利要求I所述的一種云安全數(shù)據(jù)遷移模型,其特征在于,第三方審計(jì)能夠同時(shí)處理多個(gè)云租戶提交的數(shù)據(jù)遷移審計(jì)任務(wù),即進(jìn)行批審計(jì)。
專利摘要本實(shí)用新型提出一種云安全數(shù)據(jù)遷移模型,其包括云租戶、第三方審計(jì)、源云系統(tǒng)、目的云系統(tǒng);第三方審計(jì)包括數(shù)據(jù)完整性檢驗(yàn)功能,用于檢驗(yàn)云系統(tǒng)中云租戶的數(shù)據(jù)完整性狀況;源云系統(tǒng)包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn);目的云系統(tǒng)包括元數(shù)據(jù)節(jié)點(diǎn),數(shù)據(jù)節(jié)點(diǎn);元數(shù)據(jù)節(jié)點(diǎn)包括訪問(wèn)控制模塊、遷移決策模塊、整個(gè)云系統(tǒng)的元數(shù)據(jù);訪問(wèn)控制模塊用于驗(yàn)證云租戶是否具備相應(yīng)的操作權(quán)限;遷移決策模塊用于生成和提交云租戶數(shù)據(jù)遷移請(qǐng)求;元數(shù)據(jù)節(jié)點(diǎn)用于管理所有云租戶的數(shù)據(jù);數(shù)據(jù)節(jié)點(diǎn)用于存放所有云租戶的實(shí)際數(shù)據(jù)及其備份。該模型克服了現(xiàn)有數(shù)據(jù)遷移模型的不足,降低了數(shù)據(jù)遷移過(guò)程中的安全風(fēng)險(xiǎn),増強(qiáng)了云租戶對(duì)數(shù)據(jù)遷移的控制力。
文檔編號(hào)H04L29/08GK202663444SQ201220314858
公開(kāi)日2013年1月9日 申請(qǐng)日期2012年6月29日 優(yōu)先權(quán)日2012年6月29日
發(fā)明者韓德志, 聶雄丁, 畢坤, 李楠楠, 吳帥 申請(qǐng)人:上海海事大學(xué)