一種數(shù)據(jù)可信存儲(chǔ)的系統(tǒng)及其方法技術(shù)方案
【技術(shù)實(shí)現(xiàn)步驟摘要】
一種數(shù)據(jù)可信存儲(chǔ)的系統(tǒng)及其方法
本專(zhuān)利技術(shù)涉及信息技術(shù)中的信息安全領(lǐng)域,尤其涉及一種對(duì)數(shù)據(jù)進(jìn)行可信存儲(chǔ)的系統(tǒng)和實(shí)現(xiàn)方法。
技術(shù)介紹
云計(jì)算應(yīng)用模式的出現(xiàn)和存儲(chǔ)虛擬化技術(shù)的應(yīng)用給后端存儲(chǔ)系統(tǒng)的數(shù)據(jù)安全訪問(wèn)帶來(lái)新的風(fēng)險(xiǎn)。首先,相對(duì)封閉的存儲(chǔ)系統(tǒng)更容易暴露在外部網(wǎng)絡(luò)攻擊環(huán)境下,而傳統(tǒng)的基于網(wǎng)絡(luò)的安全手段很容易被旁路或被突破。其次,連接存儲(chǔ)系統(tǒng)的存儲(chǔ)服務(wù)器,應(yīng)用服務(wù)器,網(wǎng)絡(luò)設(shè)備等在被攻破后,很容易被當(dāng)成攻擊的跳板,使后端存儲(chǔ)系統(tǒng)面臨被破壞威脅。通常數(shù)據(jù)訪問(wèn)主體在發(fā)起訪問(wèn)請(qǐng)求時(shí),傳統(tǒng)的訪問(wèn)控制方法只是根據(jù)訪問(wèn)主體是否具有權(quán)限來(lái)判斷,無(wú)法知道發(fā)出請(qǐng)求的訪問(wèn)主體是否處于安全的運(yùn)行環(huán)境下。即使訪問(wèn)的主體具有合法的權(quán)限,如果處于惡意環(huán)境中的訪問(wèn)主體對(duì)數(shù)據(jù)的訪問(wèn),仍然會(huì)造成數(shù)據(jù)的泄露和非法訪問(wèn),比如惡意程序能夠在訪問(wèn)主體通過(guò)訪問(wèn)控制驗(yàn)證并獲得數(shù)據(jù)后,攻擊并截獲數(shù)據(jù)。或假冒合法的訪問(wèn)主體身份通過(guò)訪問(wèn)控制的驗(yàn)證獲得數(shù)據(jù)的訪問(wèn)權(quán)限。同時(shí)傳統(tǒng)數(shù)據(jù)安全方法只是針對(duì)數(shù)據(jù)訪問(wèn)過(guò)程的控制,沒(méi)有對(duì)存儲(chǔ)數(shù)據(jù)的系統(tǒng)自身的防護(hù)能力,因此,如果訪問(wèn)程序如果處于惡意環(huán)境中,即使訪問(wèn)程序是合法的數(shù)據(jù)訪問(wèn)請(qǐng)求,也很容易被惡意程序利用,成為攻擊存儲(chǔ)系統(tǒng)的。這種安全風(fēng)險(xiǎn),傳統(tǒng)的數(shù)據(jù)安全方法不能解決。現(xiàn)有的針對(duì)存儲(chǔ)系統(tǒng)的數(shù)據(jù)安全方法主要集中在采用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行處理方面,比如通過(guò)密碼技術(shù)進(jìn)行數(shù)據(jù)的分片存儲(chǔ),跟身份認(rèn)證相結(jié)合的密鑰管理技術(shù),利用數(shù)字證書(shū)和客戶(hù)端用戶(hù)密鑰或文件密鑰對(duì)數(shù)據(jù)進(jìn)行加密并發(fā)送給云存儲(chǔ)系統(tǒng)等。現(xiàn)有技術(shù)主要利用密碼技術(shù)在數(shù)據(jù)的加解密,密鑰管理,數(shù)據(jù)分片,身份認(rèn)證等方面進(jìn)行設(shè)計(jì),其本質(zhì)上都是靠對(duì)數(shù)...
【技術(shù)保護(hù)點(diǎn)】
一種數(shù)據(jù)可信存儲(chǔ)的系統(tǒng),其特征在于:包括四個(gè)邏輯實(shí)體分別為可信管理中心、應(yīng)用服務(wù)器、存儲(chǔ)虛擬化安全網(wǎng)關(guān)和后端存儲(chǔ)系統(tǒng);?所述可信管理中心作為可信策略的配置和管理實(shí)體;所述可信管理中心負(fù)責(zé)配置、保存所有數(shù)據(jù)訪問(wèn)的可信存儲(chǔ)策略及安全策略,也提供對(duì)可信策略和安全策略查詢(xún)及管理的服務(wù);可信存儲(chǔ)策略將定義符合什么安全狀態(tài)的訪問(wèn)請(qǐng)求端才允許對(duì)何種安全等級(jí)的數(shù)據(jù)進(jìn)行訪問(wèn),可信存儲(chǔ)策略定義可信訪問(wèn)規(guī)則,包括訪問(wèn)目標(biāo)數(shù)據(jù)的安全級(jí)別,訪問(wèn)請(qǐng)求方的安全狀態(tài)和訪問(wèn)方式;可信存儲(chǔ)策略依據(jù)具體的應(yīng)用環(huán)境數(shù)據(jù)訪問(wèn)安全需求由安全管理人員制定并配置,該策略將作為可信存儲(chǔ)服務(wù)端代理驗(yàn)證訪問(wèn)是否合法的唯一依據(jù);?所述應(yīng)用服務(wù)器作為發(fā)起數(shù)據(jù)訪問(wèn)請(qǐng)求的實(shí)體,應(yīng)用服務(wù)器包括用于處理存儲(chǔ)傳輸?shù)腎O子系統(tǒng)和可信存儲(chǔ)客戶(hù)端代理功能組件;所述IO子系統(tǒng)負(fù)責(zé)將數(shù)據(jù)訪問(wèn)請(qǐng)求轉(zhuǎn)換為標(biāo)準(zhǔn)的IO傳輸請(qǐng)求,通常由應(yīng)用服務(wù)器的操作系統(tǒng)提供,實(shí)現(xiàn)相應(yīng)的底層設(shè)備傳輸驅(qū)動(dòng)功能;所述可信存儲(chǔ)客戶(hù)端代理功能組件是應(yīng)用服務(wù)器上的一個(gè)邏輯功能模塊,可信存儲(chǔ)客戶(hù)端代理功能組件負(fù)責(zé)截獲數(shù)據(jù)訪問(wèn)請(qǐng)求并對(duì)其進(jìn)行處理,它和可信存儲(chǔ)服務(wù)端代理功能組件進(jìn)行交互來(lái)實(shí)現(xiàn)度量和可信驗(yàn)...
【技術(shù)特征摘要】
1.一種數(shù)據(jù)可信存儲(chǔ)的系統(tǒng),其特征在于:包括四個(gè)邏輯實(shí)體分別為可信管理中心、應(yīng)用服務(wù)器、存儲(chǔ)虛擬化安全網(wǎng)關(guān)和后端存儲(chǔ)系統(tǒng);所述可信管理中心作為可信策略的配置和管理實(shí)體;所述可信管理中心負(fù)責(zé)配置、保存所有數(shù)據(jù)訪問(wèn)的可信存儲(chǔ)策略及安全策略,也提供對(duì)可信策略和安全策略查詢(xún)及管理的服務(wù);可信存儲(chǔ)策略將定義符合什么安全狀態(tài)的訪問(wèn)請(qǐng)求端才允許對(duì)何種安全等級(jí)的數(shù)據(jù)進(jìn)行訪問(wèn),可信存儲(chǔ)策略定義可信訪問(wèn)規(guī)則,包括訪問(wèn)目標(biāo)數(shù)據(jù)的安全級(jí)別,訪問(wèn)請(qǐng)求方的安全狀態(tài)和訪問(wèn)方式;可信存儲(chǔ)策略依據(jù)具體的應(yīng)用環(huán)境數(shù)據(jù)訪問(wèn)安全需求由安全管理人員制定并配置,該策略將作為可信存儲(chǔ)服務(wù)端代理驗(yàn)證訪問(wèn)是否合法的唯一依據(jù);所述應(yīng)用服務(wù)器作為發(fā)起數(shù)據(jù)訪問(wèn)請(qǐng)求的實(shí)體,應(yīng)用服務(wù)器包括用于處理存儲(chǔ)傳輸?shù)腎O子系統(tǒng)和可信存儲(chǔ)客戶(hù)端代理功能組件;所述IO子系統(tǒng)負(fù)責(zé)將數(shù)據(jù)訪問(wèn)請(qǐng)求轉(zhuǎn)換為標(biāo)準(zhǔn)的IO傳輸請(qǐng)求,由應(yīng)用服務(wù)器的操作系統(tǒng)提供,實(shí)現(xiàn)相應(yīng)的底層設(shè)備傳輸驅(qū)動(dòng)功能;所述可信存儲(chǔ)客戶(hù)端代理功能組件是應(yīng)用服務(wù)器上的一個(gè)邏輯功能模塊,可信存儲(chǔ)客戶(hù)端代理功能組件負(fù)責(zé)截獲數(shù)據(jù)訪問(wèn)請(qǐng)求并對(duì)其進(jìn)行處理,它和可信存儲(chǔ)服務(wù)端代理功能組件進(jìn)行交互來(lái)實(shí)現(xiàn)度量和可信驗(yàn)證功能,并利用應(yīng)用服務(wù)器提供的數(shù)據(jù)傳輸功能將可信度量和驗(yàn)證的數(shù)據(jù)打包為傳輸協(xié)議能夠理解的數(shù)據(jù)包傳輸?shù)酱鎯?chǔ)虛擬化安全網(wǎng)關(guān);所述存儲(chǔ)虛擬化安全網(wǎng)關(guān)是位于應(yīng)用服務(wù)器和后端存儲(chǔ)系統(tǒng)之間的邏輯功能設(shè)備,其是存儲(chǔ)服務(wù)器或者是服務(wù)器上的功能軟件;它負(fù)責(zé)處理對(duì)后端存儲(chǔ)系統(tǒng)的數(shù)據(jù)訪問(wèn)請(qǐng)求,利用虛擬化技術(shù)對(duì)訪問(wèn)請(qǐng)求進(jìn)行處理,實(shí)現(xiàn)虛擬設(shè)備和物理設(shè)備之間的映射,用后端可識(shí)別的存儲(chǔ)傳輸協(xié)議封裝數(shù)據(jù)塊和操作指令,并轉(zhuǎn)發(fā)到后端存儲(chǔ)系統(tǒng)上,存儲(chǔ)虛擬化安全網(wǎng)關(guān)還將執(zhí)行安全控制操作,根據(jù)可信存儲(chǔ)服務(wù)端代理的驗(yàn)證結(jié)果進(jìn)行訪問(wèn)請(qǐng)求的控制,也即拒絕或允許該請(qǐng)求;后端存儲(chǔ)系統(tǒng)提供數(shù)據(jù)存儲(chǔ)及操作的實(shí)際物理介質(zhì);后端存儲(chǔ)系統(tǒng)包括物理或虛擬的存儲(chǔ)設(shè)備,后端存儲(chǔ)系統(tǒng)是數(shù)據(jù)訪問(wèn)請(qǐng)求實(shí)際操作數(shù)據(jù)的物理或虛擬存儲(chǔ)設(shè)備,是數(shù)據(jù)的主要存儲(chǔ)地;所述存儲(chǔ)虛擬化安全網(wǎng)關(guān)負(fù)責(zé)接收應(yīng)用層的數(shù)據(jù)請(qǐng)求,并利用虛擬化技術(shù)實(shí)現(xiàn)虛擬端口的映射,虛擬存儲(chǔ)設(shè)備到物理存儲(chǔ)設(shè)備的轉(zhuǎn)換地址轉(zhuǎn)換以及IO請(qǐng)求的封裝;所述存儲(chǔ)虛擬化安全網(wǎng)關(guān)包括虛擬存儲(chǔ)管理模塊和可信存儲(chǔ)服務(wù)端代理功能組件,其中所述虛擬存儲(chǔ)管理模塊提供存儲(chǔ)虛擬化技術(shù)的底層實(shí)現(xiàn),負(fù)責(zé)對(duì)虛擬存儲(chǔ)設(shè)備的管理,地址和端口映射,傳輸協(xié)議封裝和解析操作,并將IO請(qǐng)求轉(zhuǎn)換為后端存儲(chǔ)系統(tǒng)識(shí)別的操作指令并發(fā)送到后端存儲(chǔ)系統(tǒng);所述可信存儲(chǔ)服務(wù)端代理功能組件是存儲(chǔ)虛擬化安全網(wǎng)關(guān)上的一個(gè)邏輯功能部件,或者是獨(dú)立的專(zhuān)用硬件設(shè)備,可信存儲(chǔ)服務(wù)端代理功能組件則負(fù)責(zé)實(shí)施數(shù)據(jù)訪問(wèn)的安全控制,并實(shí)施可信策略;所述可信存儲(chǔ)服務(wù)端代理功能組件是負(fù)責(zé)對(duì)訪問(wèn)請(qǐng)求實(shí)施可信策略判定的邏輯功能部件,可信存儲(chǔ)服務(wù)端代理功能組件將和可信存儲(chǔ)客戶(hù)端代理功能組件共同完成可信度量和遠(yuǎn)程驗(yàn)證流程,驗(yàn)證發(fā)起訪問(wèn)請(qǐng)求的實(shí)體是否符合可信策略和安全策略;可信存儲(chǔ)服務(wù)端代理功能組件將獲取訪問(wèn)請(qǐng)求中的可信屬性,并查詢(xún)可信策略服務(wù)器,根據(jù)規(guī)則驗(yàn)證訪問(wèn)請(qǐng)求是否來(lái)自一個(gè)符合可信策略規(guī)定的安全狀態(tài)的實(shí)體;訪問(wèn)主體的可信屬性不僅包含訪問(wèn)主體的身份信息,還包含訪問(wèn)主體所運(yùn)行環(huán)境的安全狀態(tài)信息,比如發(fā)出數(shù)據(jù)訪問(wèn)請(qǐng)求的應(yīng)用程序,運(yùn)行該應(yīng)用程序的操作系統(tǒng),所調(diào)用的系統(tǒng)組件和存儲(chǔ)設(shè)備驅(qū)動(dòng)程序;可信存儲(chǔ)服務(wù)端代理功能組件將驗(yàn)證結(jié)果發(fā)送給存儲(chǔ)虛擬化安全網(wǎng)關(guān),由其進(jìn)行傳輸?shù)陌踩刂疲试S或丟棄該訪問(wèn)請(qǐng)求。2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)可信存儲(chǔ)的系統(tǒng),其特征在于:所述可信存儲(chǔ)服務(wù)端代理功能組件包括傳輸處理模塊,訪問(wèn)控制實(shí)施模塊,遠(yuǎn)程驗(yàn)證及授權(quán)模塊,其中傳輸處理模塊同虛擬存儲(chǔ)管理模塊交互來(lái)獲取來(lái)自應(yīng)用服務(wù)器的數(shù)據(jù)包,并解析其中的安全屬性信息,同時(shí)也負(fù)責(zé)傳輸訪問(wèn)控制模塊的控制指令給虛擬存儲(chǔ)管理模塊;訪問(wèn)控制實(shí)施模塊依據(jù)驗(yàn)證的結(jié)果生成允許或拒絕的控制指令;遠(yuǎn)程驗(yàn)證及授權(quán)模塊負(fù)責(zé)同可信管理中心進(jìn)行交互,它負(fù)責(zé)查詢(xún)并緩存可信管理中心安全狀態(tài)...
【專(zhuān)利技術(shù)屬性】
技術(shù)研發(fā)人員:陳幼雷,郭偉,董唯元,
申請(qǐng)(專(zhuān)利權(quán))人:陳幼雷,
類(lèi)型:發(fā)明
國(guó)別省市:北京;11
-
暫無(wú)相關(guān)專(zhuān)利
- 存儲(chǔ)設(shè)備的快速數(shù)據(jù)保護(hù)制造技術(shù)
- 基于共享存儲(chǔ)器的數(shù)據(jù)通信同步方法技術(shù)
- 用于比較存儲(chǔ)器中數(shù)據(jù)模式的設(shè)備及方法技術(shù)
- 數(shù)據(jù)存儲(chǔ)方法技術(shù)
- 讀取對(duì)象存儲(chǔ)系統(tǒng)中數(shù)據(jù)的方法以及裝置制造方法及圖紙
- 用于企業(yè)供應(yīng)鏈的數(shù)據(jù)存儲(chǔ)方法技術(shù)
- 用于存儲(chǔ)數(shù)據(jù)的方法及系統(tǒng)技術(shù)方案
- 數(shù)據(jù)存儲(chǔ)方法技術(shù)
- 數(shù)據(jù)存儲(chǔ)方法技術(shù)
- 數(shù)據(jù)存儲(chǔ)裝置制造方法及圖紙
- 存儲(chǔ)系統(tǒng)中的數(shù)據(jù)處理方法、裝置和系統(tǒng)制造方法及圖紙
- 數(shù)據(jù)存儲(chǔ)器室外固定裝置制造方法及圖紙
- 提高存儲(chǔ)器單元的數(shù)據(jù)保持力的方法技術(shù)
- 用于光纖安防大數(shù)據(jù)存儲(chǔ)的方法技術(shù)
- 基于共享存儲(chǔ)器的數(shù)據(jù)通信同步方法技術(shù)
- 用于比較存儲(chǔ)器中數(shù)據(jù)模式的設(shè)備及方法技術(shù)
- 用于存儲(chǔ)數(shù)據(jù)的方法及系統(tǒng)技術(shù)方案
- 大數(shù)據(jù)存儲(chǔ)型無(wú)線路由器制造技術(shù)
- 用于遠(yuǎn)程存儲(chǔ)的數(shù)據(jù)的保護(hù)方案制造技術(shù)
- 具有數(shù)據(jù)診斷和存儲(chǔ)功能的網(wǎng)絡(luò)交換裝置制造方法及圖紙
還沒(méi)有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。