【技术实现步骤摘要】
本专利技术涉及计算机安全技术,尤其涉及一种,通过保证存储元数据的机密性和安全性以达到对敏感数据文件,以及普通归档数据文件安全保护的目的。
技术介绍
云存储已经成为未来存储发展的一种趋势,目前,云存储厂商正在将各类搜索、应用技术和分布式存储技术相结合,以便能够向企业提供一系列的数据服务。并且,未来的云存储发展趋势,主要还是从安全性、便携性及高效数据访问等角度进行发展。据一项云存储使用情况的调查报告显示,有79%的用户仍未使用云存储,其最主 要的原因就是云存储的数据安全问题。由此可见,数据安全成为制约云存储进一步发展的关键因素。从近年来亚马逊、谷歌等云存储发起者不断暴露的数据安全问题的情况表明单凭云服务商的安全措施不能完全保障云租户的数据安全。因此,为了进一步提高云存储的安全性,云服务商和云租户必须都参与到云安全的实践中。目前,大多数云存储数据安全解决方案还不够完善。云租户普遍倾向于将敏感数据加密后上传,防备云内外可能出现的未授权访问行为。然而,这并不能彻底解决云存储的数据安全问题,而且会产生一系列的副作用,如密钥管理安全、密文操作、加密/解密开销、数据迁移、海量数据高效检索等。云服务商提供的安全措施也只能在某种程度上减轻数据安全风险,如初级的访问控制策略只能限定一般的非法访问行为,而在面对高级的未授权访问如拥有合法云租户账号信息的黑客时则无能为力。在这种情形下,黑客虽然暂时无法获取云租户数据的有效信息,但是可以通过蛮力搜索或窃取云租户密钥来破解密文。因此,现有技术存在缺陷,而有待于改进和发展。根据研究统计,超过50%的文件系统存取访问中都是和元数据相关。在 ...
【技术保护点】
一种基于存储元数据的云敏感数据安全保护系统,其特征在于,包含:云租户终端,云租户通过所述云租户终端进行数据文件的上传或下载;所述数据文件分为普通数据文件及敏感数据文件,所述普通数据文件及敏感数据文件各自包含三类元数据,即,系统元数据、内容元数据和存储元数据;应用服务器集群,设置有多个应用服务器;每个应用服务器进一步包括身份认证模块和访问控制模块;所述身份认证模块验证云租户的账号信息是否正确;所述访问控制模块处理云租户读写操作请求的分类,普通数据文件及敏感数据文件的分类,并对准备写入的数据进行预处理;元数据服务器集群,设置有多个元数据服务器来保存云租户所上传数据文件的所述三类元数据;所述元数据服务器进一步包括普通元数据服务器和敏感元数据服务器;所述普通元数据服务器负责普通数据文件的三类元数据的提取、编辑、保存,以及管理和维护;所述敏感元数据服务器负责对发起敏感数据操作请求的云租户的深度身份认证、敏感数据文件的三类元数据的提取、编辑、保存、管理和维护,以及敏感数据文件存储元数据的加密和解密;数据中心,其包括基于不同存储技术的多个存储结点,用以存储合法云租户的数据文件。
【技术特征摘要】
1.一种基于存储元数据的云敏感数据安全保护系统,其特征在于,包含 云租户终端,云租户通过所述云租户终端进行数据文件的上传或下载;所述数据文件分为普通数据文件及敏感数据文件,所述普通数据文件及敏感数据文件各自包含三类元数据,即,系统元数据、内容元数据和存储元数据; 应用服务器集群,设置有多个应用服务器;每个应用服务器进一步包括身份认证模块和访问控制模块;所述身份认证模块验证云租户的账号信息是否正确;所述访问控制模块处理云租户读写操作请求的分类,普通数据文件及敏感数据文件的分类,并对准备写入的数据进行预处理; 元数据服务器集群,设置有多个元数据服务器来保存云租户所上传数据文件的所述三类元数据;所述元数据服务器进一步包括普通元数据服务器和敏感元数据服务器;所述普通元数据服务器负责普通数据文件的三类元数据的提取、编辑、保存,以及管理和维护;所述敏感元数据服务器负责对发起敏感数据操作请求的云租户的深度身份认证、敏感数据文件的三类元数据的提取、编辑、保存、管理和维护,以及敏感数据文件存储元数据的加密和解密; 数据中心,其包括基于不同存储技术的多个存储结点,用以存储合法云租户的数据文件。2.如权利要求I所述基于存储元数据的云敏感数据安全保护系统,其特征在于, 三类元数据中的所述系统元数据,包括文件与目录的组织关系、文件名与文件身份证的映射关系; 所述内容元数据,包括为满足数据对象形成目的而生成的信息,以及为了有序管理数据对象而产生的信息; 所述存储元数据,包括对存储数据对象资源的描述信息,以及由数据对象根据大小分出来的若干个数据块的存储位置信息及安全属性。3.如权利要求I所述基于存储元数据的云敏感数据安全保护系统,其特征在于, 所述应用服务器为云租户提供各种数据协议服务接口,并根据处理云租户对普通数据文件或敏感数据文件的读写请求分类的结果,基于存储元数据对云租户的数据文件进行分片以及将数据块重组为云租户原始数据文件。4.如权利要求3所述基于存储元数据的云敏感数据安全保护系统,其特征在于, 所述应用服务器中的访问控制模块设置有请求分类模块,对有权限的云租户提出的请求进行处理,以提取出读请求或写请求; 所述访问控制模块设置的写预处理模块对写请求进行处理,所述写预处理模块进一步包括将准备写入的数据暂存在本地的缓存模块,以及对暂存在本地的数据进行安全扫描的安全审计模块; 所述访问控制模块还采用数据分片算法对暂存在本地的数据文件进行分片,并提取、编辑分片数据的三类元数据。5.如权利要求I所述基于存储元数据的云敏感数据安全保护系统,其特征在于, 所述元数据服务器中设置有元数据管理系统,供有权限的云租户对所存普通数据文件和敏感数据文件的内容元数据进行编辑。6.如权利要求I所述基于存储元数据的云敏感数据安全保护系统,其特征在于,所述存储结点进一步包括身份认证模块和存储设备;所述身份认证模块认证读写请求的真实性,即是否由相应的元数据服务器签署访问权限证书;所述存储设备存储合法云租户的数据块。7.一种基于存储元数据的云敏感数据安全保护方法,其特征在于,能够应用于如权利要求1飞中任意一项所述的安全保护系统中,所述方法包含以下步骤 步骤(I),定义云租户读/写请求的数据文件中的三类元数据,即,系统元数据、内容元数据和存储元数据; 步骤(2),通过应用服务器将云租户上传的文件数据分成普通数据文件和敏感数据文件; 步骤(3),按步骤(I)和(2)的内容,当应用服务器拦截普通数据文件写请求并且身份认证通过后,提取和编辑普通数据文件的三类元数据送入普通元数据服务器中保存,文件数据则以明文或密文形式送入指定的存储结点; 当应用服务器拦截敏感数据文件写请求并且用户身份认证通过后,提取和编辑敏感数据文件的三类元数据,并将其中的存储元数据加密后与系统元数据、内容元数据一起送入敏感元数据服务器中,敏感元数据服务器再对用户进行深度身份认证且通过后将三类元数据分类保存在数据库中,文件数据则以明文或密文形式送入指定的存储结点; 步骤(4),按步骤(I)、(2)和(3)的内容,当应用服务器拦截普通数据文件读请求并且身份认证通过后,直接从普通元数据服务器中获得存储元数据,然后根据存储元数据从数据中心指定的存储结点获取数据文件; 当应用服务器拦截敏感数据文件读请求并且身份认证通过后,应用服务器向敏感元数据服务器传送读请求,通过元数据服务器深度身份认证后,敏感元数据服务器解密存储元数据并传送到应用服务器,应用服务器根据存储元数据从数据中心指定的存储结点获取数据文件;应用服务器将从存储结点得到的数据块重组为完整数据文件并发送到云租户的客户端。8.如权利要求7所述基于存储元数据的云敏感数据安全保护方法,其特征在于, 所述方法中,云租户读数据的流程进一步包...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。