基于云存储的数据优化调度方法技术

本发明专利技术提供了一种基于云存储的数据优化调度方法，该方法包括：对云计算平台中的部分节点进行可信重构；云平台根据租户的身份及其所需的服务，为租户定制服务使用策略；对于计算任务，云平台接口将租户计算任务的描述文件提交给集群控制器，如果租户虚拟机镜像文件被加密，则禁止开启租户虚拟机；对于数据存储或操作任务，云平台接口将租户存储任务的描述文件交给存储控制器；存储控制器对数据服务器发送指令，进行数据的存储、取回或读写。本发明专利技术提出了一种基于云存储的数据优化调度方法，为数据安全存储机制的正确执行提供了保障。

【技术实现步骤摘要】
基于云存储的数据优化调度方法
本专利技术涉及分布式存储，特别涉及一种基于云存储的数据优化调度方法。
技术介绍
在云计算服务模式下，租户将数据和应用托管至云平台，云服务的透明性使租户失去对数据的控制，由于服务器可信性不易评估，因此，数据安全问题成为云平台下租户的首要担忧。云计算是根据租户的服务请求对数据进行相关操作，因此，租户和云之间的身份认证是保证数据不被非法租户冒名访问的前提。租户通过身份认证后，可以使用云提供的数据存储和计算服务。租户将大量数据存储到云平台并委托服务器对数据进行计算，本地并不存储数据的副本，当租户发现数据完整性被破坏时，只能寄希望于服务器的灾备机制。对于在计算服务中的动态数据，由于云计算具有多租户的特点，租户通过服务进程对数据访问和计算，共享访问的进程载体成为权限的集中点，共享漏洞威胁需采取针对租户维度的权限隔离机制。如果发生了数据安全事件，租户如何对服务器追踪是一个关键问题，目前的机制需要云服务的细节，较难实现。另外由于缺乏可信基础机制，安全机制可能被攻击、篡改，无法发挥作用。
技术实现思路
为解决上述现有技术所存在的问题，本专利技术提出了一种基于云存储的数据优化调度方法，包括：对云计算平台中的部分节点进行可信重构，基于外接可信智能卡和安全Hypervisor建立信任传递机制，保证云计算平台上部署的其它安全模块具有可信的执行环境；云平台根据租户的身份及其所需的服务，为租户定制服务使用策略，一旦租户通过身份认证，则按照预定义安全策略使用云服务；对于计算任务，云平台接口将租户计算任务的描述文件提交给集群控制器，当集群控制器将虚拟机镜像文件调度到不可信节点时，如果租户虚拟机镜像文件被加密，则禁止开启租户虚拟机；对于数据存储或操作任务，云平台接口将租户存储任务的描述文件交给存储控制器；存储控制器对数据服务器发送指令，进行数据的存储、取回或读写；租户将数据存储至云平台之前，首先利用云存储系统的分布式存储模块对数据进行预处理，当租户要确认云中存储数据的安全性时，再次调用分布式存储模块来验证。优选地，所述方法还包括：对动态数据的计算任务，集群控制器根据各主节点的资源状态信息将任务分散调度到空闲的主节点上，由云存储系统的软件虚拟化模块防止动态数据的隐私性和完整性被破坏。优选地，所述安全云存储系统包括TPM计算平台，所述TPM计算平台由外接可信智能卡为起点对服务器的节点建立信任链，构建基于虚拟化架构计算平台，为认证、数据保护的执行提供可信基础。优选地，所述安全云存储系统还包括跨域认证模块，用于基于已有的租户身份证书和私有云来实现租户与公有云的双向认证。优选地，所述安全云存储系统的分布式存储模块，用于提供对静态存储数据的完整性验证和数据恢复功能，并在数据泄露时追踪发生泄露的服务器。优选地，所述安全云存储系统的软件虚拟化模块用于通过追踪应用程序中的隐私数据、操作系统中的隐私文件，实现对租户动态数据的保护。优选地，所述安全云存储系统还包括身份管理agent，用于与TPM计算平台的节点进行交互，对可信节点的身份进行管理，并对租户身份信息进行管理和保护。本专利技术相比现有技术，具有以下优点：本专利技术提出了一种基于云存储的数据优化调度方法，为数据安全存储机制的正确执行提供了保障。附图说明图1是根据本专利技术实施例的基于云存储的数据优化调度方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定，并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了一种基于云存储的数据优化调度方法。图1是根据本专利技术实施例的基于云存储的数据优化调度方法流程图。本专利技术的方法通过为租户提供全面的数据安全保护的安全云存储系统来实现，首先构建基于安全机制的TPM计算平台，在该平台之上对租户对数据的访问进行安全高效的身份认证，提供对存储的数据的保护机制和验证机制，并且提供多租户之间细粒度的数据隔离和控制。为标记体系和数据流规则进行形式化建模、数据对象标记和追踪控制的实现机制。在代码层，实现符合安全策略的执行点定位和监控；在操作系统层，基于统一的安全策略模型提供对上层应用的支撑，将租户信息作为应用上下文语义传递至操作系统层，实现了细粒度的数据控制和保护。安全云存储系统包括TPM计算平台、跨域认证模块、分布式存储模块、软件虚拟化模块以及身份管理agent。首先由外接可信智能卡为起点对服务器的节点建立信任链，构建基于虚拟化架构的TPM计算平台，为认证、数据保护的执行提供可信基础；跨域认证模块基于已有的租户身份证书和私有云，实现租户与公有云的双向认证；分布式存储模块提供对静态存储数据的完整性验证和数据恢复功能，并在数据泄露时追踪发生泄露的服务器；软件虚拟化模块通过追踪应用程序中的隐私数据、操作系统中的隐私文件，实现对租户动态数据的保护；身份管理agent与TPM计算平台的节点进行交互，对可信节点的身份进行管理，并对租户身份信息进行管理和保护。云平台根据租户的身份及其所需的服务，为租户定制服务使用策略，一旦租户通过身份认证，则按照预定义安全策略使用云服务。服务器首先对云计算平台中的部分节点进行可信重构，基于外接可信智能卡和安全Hypervisor建立信任传递机制，保证云计算平台上部署的其它安全模块具有可信的执行环境，不会被恶意代码破坏。以下结合租户使用服务的流程，说明安全云存储系统的工作流程：当租户要使用云服务时，输入口令进行身份认证，由跨域认证模块和身份管理agent实现租户和云之间的双向认证。双向身份认证通过后，租户通过云平台接口提交自己的任务需求，当租户提交了任务需求后，该任务涉及到的对计算资源或存储资源的使用需要由租户策略服务器进行授权。如果租户任务的所有操作均被允许，则根据服务请求的类型分别进行处理。对于计算任务，云平台接口将对租户计算任务的描述文件提交给集群控制器，由于租户虚拟机镜像文件被加密，即使集群控制器将虚拟机镜像文件调度到不可信节点，也无法开启租户虚拟机。对于数据存储或操作任务，云平台接口将租户存储任务的描述文件交给存储控制器。对存储或访问静态数据的任务，存储控制器对数据服务器发送指令，进行数据的存储、取回或读写等操作。租户将数据存储至云平台之前，首先利用分布式存储模块对数据进行预处理。当租户要确认云中存储数据的安全性时，再次调用分布式存储模块来验证。对动态数据的计算任务，集群控制器将根据各主节点的资源状态信息将任务分散调度到空闲的主节点上，并负责网络的配置，计算任务下发后，数据在虚拟机中被计算，软件虚拟化模块防止动态数据的隐私性和完整性被云应用安全漏洞或其他恶意租户破坏。对于可信重构，采用智能卡设备作为可信平台控制模块，为可信计算功能提供了硬件基础。多系统引导装载程序在引导前，对Xen的源码和Dom0的源码进行编译。在加载Xen形式的VMM时，多系统引导装载程序将顺序执行如下的命令，包括设置根设备，装载VMM系统内核映像，为Dom0的内核映射装载一个初本文档来自技高网...

【技术保护点】
一种基于云存储的数据优化调度方法，应用于在云存储系统中对租户数据进行保护，其特征在于，包括：对云计算平台中的部分节点进行可信重构，基于外接可信智能卡和安全Hypervisor建立信任传递机制，保证云计算平台上部署的其它安全模块具有可信的执行环境；云平台根据租户的身份及其所需的服务，为租户定制服务使用策略，一旦租户通过身份认证，则按照预定义安全策略使用云服务；对于计算任务，云平台接口将租户计算任务的描述文件提交给集群控制器，当集群控制器将虚拟机镜像文件调度到不可信节点时，如果租户虚拟机镜像文件被加密，则禁止开启租户虚拟机；对于数据存储或操作任务，云平台接口将租户存储任务的描述文件交给存储控制器；存储控制器对数据服务器发送指令，进行数据的存储、取回或读写；租户将数据存储至云平台之前，首先利用云存储系统的分布式存储模块对数据进行预处理，当租户要确认云中存储数据的安全性时，再次调用分布式存储模块来验证。

【技术特征摘要】
1.一种基于云存储的数据优化调度方法，应用于在云存储系统中对租户数据进行保护，其特征在于，包括：对云计算平台中的部分节点进行可信重构，基于外接可信智能卡和安全Hypervisor建立信任传递机制，保证云计算平台上部署的其它安全模块具有可信的执行环境；云平台根据租户的身份及其所需的服务，为租户定制服务使用策略，一旦租户通过身份认证，则按照预定义安全策略使用云服务；对于计算任务，云平台接口将租户计算任务的描述文件提交给集群控制器，当集群控制器将虚拟机镜像文件调度到不可信节点时，如果租户虚拟机镜像文件被加密，则禁止开启租户虚拟机；对于数据存储或操作任务，云平台接口将租户存储任务的描述文件交给存储控制器；存储控制器对数据服务器发送指令，进行数据的存储、取回或读写；租户将数据存储至云平台之前，首先利用云存储系统的分布式存储模块对数据进行预处理，当租户要确认云中存储数据的安全性时，再次调用分布式存储模块来验证。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：对动态数据的计算任务，集群控制器根据各主节点的资源状态信息将任务分散调...

【专利技术属性】
技术研发人员：赖真霖，文君，
申请(专利权)人：成都四象联创科技有限公司，
类型：发明
国别省市：四川,51