本发明专利技术公开了一种基于会话管理服务器的云存储安全管理方法,包括下列步骤:1.用户注册与登录;2.代理服务器请求认证服务;3.访问授权控制;4.Proxy开启会话服务;5.用户存储配额管理;6.数据隔离、校验和加密。采用本方法提出的方法,用户可以从云存储系统全局状态安全管理和保护数据,通过会话管理服务器,与数据库之间建立对用户信息以及文件系统信息的同步更新与查询,支持多用户的访问与授权管理,优化用户信息的配额管理。另外,基于会话管理服务器的受损数据检查与隔离策略,完成云存储系统用户的数据保护和恢复功能,还可以通过数据完整性校验和可靠的加密机制,防止用户数据被篡改。
【技术实现步骤摘要】
本专利技术涉及云存储系统的安全管理
,涉及。
技术介绍
由于云存储系统规模的巨大性、开放性和复杂性等特点,一旦其遭受恶意攻击,将会带来严重的信息安全事故。云存储系统带来极大便利和效益的同时,也引发了用户信息泄露、系统数据破坏和被滥用等安全问题,因此,云存储系统的安全管理方法就显得尤为重要。2009年,云安全联盟(Cloud Security Alliance, CSA)发布了《云计算关键领域安全指南》,主要从攻击者角度归纳了云存储环境可能面临的主要威胁,着重总结了云存储的技术架构模型、安全控制模型以及模型之间的映射关系,从用户角度阐述了可能存在的商业隐患、安全威胁,以及推荐采取的安全措施。此外,Google的Hadoop平台能够建立一个高度容错的分布式文件系统,能够安全管理各种文件,同时还支持PB级的大文件安全存储方法,但是仅限于文件级的保护,缺少对于系统的全局管控;Sun公司发布的开源云计算安全工具可为Amazon的EC2、S3以及虚拟私有云平台提供安全保护。为Amazon EC2设计的安全增强软件VMIs,包括非可执行堆栈,加密交换和默认情况下启用审核等;云安全盒(cloud safety box)能够自动对内容进行压缩、加密和拆分,简化云中加密内容的管理等,其重点在于数据的加密管理。虽然诸多组织和公司意识到了云存储系统安全的重要性,也开展了相关工作,但是针对用户数据的安全管理,特别是对于云存储系统的全局管理,缺乏有效可靠的解决方案。现有的云存储系统管理方法存在以下不足:1、缺少对特定身份的认证服务,授权访问和控制权限机制不完善;2、未能部署云存储系统全局状态管理模块;3、用户数据容易被篡改;4、未能满足授权后的用户信息和数据访问与数据库之间的同步更新需求。因此,设计一种既能满足用户数据的安全组织与管理,又能从云存储系统全局状态对数据进行高可靠管理的方法,就显得相当必要了。
技术实现思路
本专利技术提出,能够从云存储系统的全局状态安全管理用户数据。会话管理服务器负责云存储系统各代理服务器之间以及与其他组件的交互,为用户和管理者提供数据信息的查询端点,能够对用户的摘要信息进行加密管理,对受损数据进行隔离与查询,对客户端的授权对象实施下发策略。会话管理服务器与数据库之间建立对用户信息以及文件系统信息的同步更新。为了查询数据库中多用户的配额属性,会话管理服务器将云存储系统所有节点的状态保持在分布式文件系统中,对系统各节点状态的更新信息会传输到文件系统服务器中。会话管理服务器的管理策略更注重安全性和可靠性,当用户通过客户端访问文件系统时,会话管理服务器会通过MYSQL数据库获取用户信息,并转发访问请求;大量的失败请求、敏感数据、受损数据信息以及验证信息也经由会话管理服务器处理。会话管理服务器还负责数据库用户信息的管理与更新。本专利技术提出的基于会话管理服务器的云存储系统安全管理方法,其包括下列步骤:步骤1:用户向会话管理服务器进行注册,并在注册成功后进行登录;步骤2:用户在登录时,向会话管理服务器提交认证请求;步骤3:会话管理服务器在接收到所述认证请求后,查看数据库中是否存在与所述认证请求相匹配的项,如果有则认证通过;步骤4:用户身份认证通过以后,会话管理服务器发送资源页面给用户;步骤5:用户通过所述资源页面访问文件系统服务器;Proxy为用户的此次访问请求开启会话,会话管理服务器将该会话访问添加至会话列表中。本专利技术的显著效果在于:本专利技术提供对云存储系统全局状态的管理以及与其他组件的操作交互,与数据库之间建立对用户信息以及文件系统信息的同步更新与查询,支持多用户的访问与授权管理,优化用户信息的配额管理。本专利技术针对云存储系统的安全性提出更可靠的安全管理策略,不仅提供身份与认证服务,还支持查看、浏览与检索用户登录情况功能,管理员可以在线强制用户退出当前的应用登录,确保云存储系统的安全性。本专利技术的受损数据处理采用多用户数据隔离策略,完成云存储系统用户的数据保护和恢复功能,检查并隔离受损数据。此外,本专利技术提供端到端的数据完整性校验,防止数据被篡改,并提供高可靠的数据加密机制。附图说明图1是本专利技术的基于会话管理服务器的云存储系统架构图;图2是本专利技术的基于会话管理服务器的安全管理方法的总体流程图;图3是本专利技术的云存储系统权限列表维护流程图。图4是本专利技术的会话管理服务器会话处理流程图。图5是本专利技术的会话管理服务器的受损数据处理流程图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术进一步详细说明。图1是基于会话管理服务器的云存储系统架构图。如图1所示,云存储系统包括Gn客户端、代理服务器、会话管理服务器和底层的分布式文件系统moosefs (简称MFS)。其中代理服务器包括:Proxy,其用于用户的分级管理,设置不同的访问权限,在客户端和文件系统之间起到中转作用;名字服务转换器NSS,其用于数据资源配置定位问题,提供了多种常见的配置数据库和名称解析机制的来源;可插入认证模块PAM,其用于提供会话的管理和记录,将系统提供的服务和该服务的认证方式分开,灵活地提供认证管理;文件系统服务器,其用于分布式文件系统的配置、调度与管理。所述会话管理服务器包括:会话管理模块和MYSQL数据库。会话管理服务器的管理策略更注重安全性和可靠性,当用户通过客户端访问所述分布式文件系统MFS时,会话管理模块会通过MYSQL数据库获取用户信息,并转发访问请求给所述分布式文件系统;大量的失败请求、敏感数据、受损数据信息以及验证信息也经由会话管理服务器处理。会话管理服务器的主要功能可以总结为:查询信息,处理失败请求,中转对象。图2是本专利技术的基于会话管理服务器的安全管理方法的总体流程图。如图2所示,本专利技术所述的基于会话管理服务器的云存储系统安全管理方法,包括下列步骤:(I)用户注册与登录。会话管理服务器实现统一的用户身份服务,实现系统的用户、角色和组织机构统一化管理。用户注册与登录的详细步骤如下:(1-1)用户通过⑶I客户端注册专有账号,并通过Proxy向会话管理服务器提交注册申请,⑶I客户端与代理服务器之间采用SSH2/SFTP作为安全认证协议,会话管理服务器接收到注册申请后将向用户返回注册成功与失败的信息。(1-2)注册成功后,用户通过GUI客户端进行登录,在登录的过程中要输入用户的相关信息,包括用户名和密码,并通过Proxy转发给会话管理服务器,会话管理服务器收到登录请求之后,对用户登录信息进行认证。(2)代理服务器请求认证服务用户的登录操作需要代理服务器向会话管理服务器发送认证请求,详细步骤包括以下几步:(2-1)Proxy在接收到用户登录请求后,通过名字服务转换器NSS和可插入认证模块PAM,向会话管理服务器提交认证请求,包括身份、权限等。其中,名字服务转换器NSS用于完成用户名称解析,以便会话管理服务器在MYSQL数据库中查询用户姓名、权限、身份等信息;可插入认证模块PAM用于记录用户的登录请求,便于向会话管理服务器添加可靠的认证方式。(2-2)会话管理服务器在接收到认证请求后,先对认证请求的内容(身份、权限等)进行摘要加密,如可以使用Openssl中的算法3AES。(2-3)会话管本文档来自技高网...
【技术保护点】
一种基于会话管理服务器的云存储系统安全管理方法,其包括下列步骤:步骤1:用户向会话管理服务器进行注册,并在注册成功后进行登录;步骤2:用户在登录时,向会话管理服务器提交认证请求;步骤3:会话管理服务器在接收到所述认证请求后,查看数据库中是否存在与所述认证请求相匹配的项,如果有则认证通过;步骤4:用户身份认证通过以后,会话管理服务器发送资源页面给用户;步骤5:用户通过所述资源页面访问文件系统服务器;Proxy为用户的此次访问请求开启会话,会话管理服务器将该会话访问添加至会话列表中。
【技术特征摘要】
1.一种基于会话管理服务器的云存储系统安全管理方法,其包括下列步骤: 步骤1:用户向会话管理服务器进行注册,并在注册成功后进行登录; 步骤2:用户在登录时,向会话管理服务器提交认证请求; 步骤3:会话管理服务器在接收到所述认证请求后,查看数据库中是否存在与所述认证请求相匹配的项,如果有则认证通过; 步骤4:用户身份认证通过以后,会话管理服务器发送资源页面给用户; 步骤5:用户通过所述资源页面访问文件系统服务器;ProXy为用户的此次访问请求开启会话,会话管理服务器将该会话访问添加至会话列表中。2.按权利要求1所述的方法,其特征在于,步骤I具体包括: 步骤11:用户通过客户端进行注册,并通过Proxy向会话管理服务器提交注册请求;步骤12:会话管理服务器接收到所述注册请求后,通过Proxy向用户返回注册成功或失败的消息; 步骤13:用户在注册成功后,通过客户端进行登录。3.按权利要求1所述的方法,其特征在于,步骤2具体包括: 步骤21:用户登录时,向Proxy提交登录请求; 步骤22 =Proxy在接收到用户的登录请求后,通过名字服务转换器进行用户名称解析,还通过可插入认证模块用于用户登录信息的记录,然后向会话管理服务器提交认证请求。4.按权利要求1所述的方法,其特征在于,步骤3具体包括: 步骤31:会话管理服务器接收到所述认证请求后,对所述认证请求包含的请求内容进行摘要加密; 步骤32:会话管理服务器根据所述加密后的摘要数据,查看数据库中是否存在与所述认证请求的请求内容相匹配的项,如果存在则认证通过,并向客户端返回用户信息。5.按权利要求1所述的方法,其特征在于,步骤4还包括: 步骤41:当会话管理服务器发送资源页面给用户后,用户修改个人信息; 步骤42:当用户提交修改后的个人信息后,系统管理员定义和修改用户的身份和权限,或删除用户信息并强制在线用户退出。6.按权利要求1所述的方法,其特征在于,步骤5具体包括: 步骤51:用户接收到所述资源页面后,通过Proxy向会话管理服务器发送文件系统服务器的访问操作请求; 步骤52:会话管理服务器接收到所述访问操作请求后,确定用户是否具有相应的操作权限; 步骤53:在用户具有相应的操作权限时,会话管理服务器发送授权...
【专利技术属性】
技术研发人员:王飞跃,邹哲峰,孔庆杰,熊刚,朱凤华,
申请(专利权)人:中国科学院自动化研究所,东莞中国科学院云计算产业技术创新与育成中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。