一种基于业务隔离存储的海量存储数据保护系统及方法技术方案

本发明专利技术公开了一种基于业务隔离存储的海量存储数据保护系统及方法，包括业务系统，配置有若干并提供待存储业务数据；分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。该一种基于业务隔离存储的海量存储数据保护系统及方法与现有技术相比，可以有效防止用户对海量存储数据的访问及解析，即使数据被用户非法访问，也无法正确解析其中的数据，可以有效地保护海量存储数据的安全。

A mass storage data protection system and method based on business isolation storage

The invention discloses a mass storage data protection system and method based on service isolated storage, including a service system configured with a number of business data to be stored; a distributed file system HDFS including NameNode nodes, DataNode nodes, NameNode nodes, DataNode nodes are connected to the above-mentioned service system, NameNode nodes. The node stores and provides the corresponding relationship between the data to be stored and the DataNode node, and the DataNode node stores the corresponding business data to be stored in the business system; the key management server KMS communicates with the DataNode node and provides the key for it, and encrypts and decrypts the stored business data by sending the key to the DataNode node . Compared with the existing technology, this data protection system and method based on service isolated storage can effectively prevent users from accessing and parsing massive storage data. Even if the data is illegally accessed by users, it can not parse the data correctly, and can effectively protect the security of massive storage data.

【技术实现步骤摘要】
一种基于业务隔离存储的海量存储数据保护系统及方法
本专利技术涉及数据安全
，尤具体地说是一种实用性强、基于业务隔离存储的海量存储数据保护系统及方法。
技术介绍
云计算系统借助虚拟机化技术来实现资源的动态分配、弹性部署，虚拟化技术通过对硬件资源的抽象封装实现了系统级的隔离，为不同安全等级的应用和服务提供了互不影响的运行环境，也为系统安全监控软件部署提供了有利条件。云存储是在云计算的基础上实现的具有弹性伸缩能力的存储服务，当用户上传自身明文数据到海量存储系统时，包括系统管理员的用户很容易对海量存储数据进行访问及解析，导致数据容易被用户非法访问，存储数据的安全性无法得到有效保护。为实现多租户的数据隔离，本本专利技术专利提出了一种基于业务隔离存储的海量存储数据保护技术。
技术实现思路
本专利技术的技术任务是针对以上不足之处，提供一种实用性强、基于业务隔离存储的海量存储数据保护系统及方法。一种基于业务隔离存储的海量存储数据保护系统，包括，业务系统，配置有若干并提供待存储业务数据；分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。所述业务系统在将业务数据存储前，首先将待存储的业务数据Data分成多块，数据分块采用blockm来表示，即Data={block1，block2，…，blockm}，其中m=业务数据Data的大小除以系统块大小，系统块大小则由管理员自定义设置。所述密钥管理服务器KMS提供的密钥进行加密时，根据DataNode节点获取的数据分块确定，即：业务系统首先将数据分块发送给对应的DataNode节点；DataNode节点再与密钥管理服务器KMS进行通信，获取对应的数据加密密钥key，然后对数据分块进行加密。所述密钥对数据分块进行加密采用的加密算法包括DES算法、商用对称加密算法。所述密钥管理服务器KMS提供的密钥进行解密时，根据DataNode节点存储的数据分块确定，即：用户通过业务系统与NameNode节点进行通信获取数据分块与DataNode的对应关系，然后根据用户需要读取的数据，发送数据分块读取请求到DataNode节点，由DataNode节点根据用户id从密钥管理服务器KMS获取其对应的密钥，对密文数据分块进行解密，并将解密后的数据返回给业务系统由用户读取。一种基于业务隔离存储的海量存储数据保护方法，基于上述系统，其实现过程为，步骤一、首先业务系统将待存储的业务数据上传到分布式文件系统HDFS的DataNode节点；步骤二、由DataNode节点依据业务系统的id与密钥管理服务器KMS进行通信获取对应业务系统的密钥，完成数据的加密操作；步骤三、当业务系统读取数据时，由DataNode节点依据业务系统的id与密钥管理服务器KMS进行通信获取对应业务系统的密钥，完成数据的解密操作，然后将数据返回给用户。在步骤一之前，还包括系统初始化的步骤，在该步骤中，密钥管理服务器KMS初始化系统初始参数：密钥管理服务器KMS读取业务系统配置文件获取业务系统的数量BussNum及业务系统的安全等级SecLevel，并构建密钥keyn和业务系统bussn之间的映射关系，其中n取值为1……BussNum，密钥keyn的长度由业务系统安全等级SecLevel决定，即业务系统的安全等级越高，密钥长度越长。所述步骤一中，待存储的业务数据以数据块的形式上传到DataNode节点：业务系统在将业务数据存储前，首先将待存储的业务数据Data分成多块，数据分块采用blockm来表示，即Data={block1，block2，…，blockm}，其中m=业务数据Data的大小除以系统块大小，系统块大小则由管理员自定义设置。所述步骤二中对数据进行加密的具体过程为：首先业务系统与NameNode节点进行通信获取数据分块与DataNode节点的对应关系；然后将数据分块发送给对应的数据节点DataNode；由DataNode节点与密钥管理服务器KMS进行通信，获取该业务系统的数据加密密钥，然后对数据分块block进行加密；最后将加密的数据分块复制到其他DataNode上。所述步骤三中对数据进行解密的具体过程为：当用户需要读取自身的数据时，首先业务系统与NameNode节点进行通信获取数据分块与DataNode的对应关系；然后用户在业务系统中输入需要读取的数据请求，业务系统发送数据分块读取请求到DataNode节点；由DataNode节点根据用户id获取其对应的密钥，对密文数据分块进行解密，返回给用户读取。本专利技术的一种基于业务隔离存储的海量存储数据保护系统及方法，具有以下优点：本专利技术的一种基于业务隔离存储的海量存储数据保护系统及方法，能够提供海量存储数据的隔离存储防护，用于多业务系统、多租户的存储隔离场景，实现多业务系统、多租户的存储数据隔离，保证多业务系统数据集中存储的安全性，不会由于单个业务系统失效或者被破坏而导致其他业务系统数据无法正常读取，实用性强，适用范围广泛，易于推广。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。附图1为本专利技术的实现示意图。具体实施方式为了使本
的人员更好地理解本专利技术的方案，下面结合具体实施方式对本专利技术作进一步的详细说明。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。如附图1所示，一种基于业务隔离存储的海量存储数据保护系统，包括，业务系统，配置有若干并提供待存储业务数据；分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。所述业务系统在将业务数据存储前，首先将待存储的业务数据Data分成多块，数据分块采用blockm来表示，即Data={block1，block2，…，blockm}，其中m=业务数据Data的大小除以系统块大小，系统块大小则由管理员自定义设置。所述密钥管理服务器KMS提供的密钥进行加密时，根据DataNode节点获取的数据分块确定，即：业务系统首先将数据分块发送给对应的DataNode节点；DataNode节点再与密钥管理服务器KMS进行通信，获取对应的数据本文档来自技高网...

【技术保护点】
1.一种基于业务隔离存储的海量存储数据保护系统，其特征在于，包括，业务系统，配置有若干并提供待存储业务数据；分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。

【技术特征摘要】
1.一种基于业务隔离存储的海量存储数据保护系统，其特征在于，包括，业务系统，配置有若干并提供待存储业务数据；分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。2.根据权利要求1所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述业务系统在将业务数据存储前，首先将待存储的业务数据Data分成多块，数据分块采用blockm来表示，即Data={block1，block2，…，blockm}，其中m=业务数据Data的大小除以系统块大小，系统块大小则由管理员自定义设置。3.根据权利要求1所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述密钥管理服务器KMS提供的密钥进行加密时，根据DataNode节点获取的数据分块确定，即：业务系统首先将数据分块发送给对应的DataNode节点；DataNode节点再与密钥管理服务器KMS进行通信，获取对应的数据加密密钥key，然后对数据分块进行加密。4.根据权利要求3所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述密钥对数据分块进行加密采用的加密算法包括DES算法、商用对称加密算法。5.根据权利要求1-4任一所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述密钥管理服务器KMS提供的密钥进行解密时，根据DataNode节点存储的数据分块确定，即：用户通过业务系统与NameNode节点进行通信获取数据分块与DataNode的对应关系，然后根据用户需要读取的数据，发送数据分块读取请求到DataNode节点，由DataNode节点根据用户id从密钥管理服务器KMS获取其对应的密钥，对密文数据分块进行解密，并将解密后的数据返回给业务系统由用户读取。6.一种基于业务隔离存储的海量存储数据保护方法，其特征在于，基于上述系统，其实现过程为，一、首先业务系统将待存储的业务数据上传到分布式文件系统HDFS的DataNode节点；二、...

【专利技术属性】
技术研发人员：孙大军，元河清，孙晓妮，陈小龙，
申请(专利权)人：山东超越数控电子股份有限公司，
类型：发明
国别省市：山东,37