專利名稱:一種提高云計算數據安全的方法及系統的制作方法
技術領域:
本發明涉及數據安全技術領域,特別涉及一種提高云計算數據安全的方法及系統。
背景技術:
云計算通過將IT (Information Technology)資源轉化為服務(IT as aService),以按需付費的商業模式交付給終端用戶使用,從而極大地降低了用戶IT使用成本,加速了 IT資源的交付周期,提高了運營效率。云計算推動了 IT資源的集中和共享,按照其部署和服務范疇劃分,云計算可以分為私有云計算、公有云計算和混合云計算,由于其提供的IT服務種類的不同,云計算又以以下模式體現基礎架構即服務(IaaS, Infrastructure as a Service),平臺即服務(PaaS, Platform as a Service),軟件即服務(SaaS, Software as a Service),存儲即服務(cloud storage, Storage as a Service)等。通過云計算,雖然用戶的IT成本可以得到降低,但是也使數據安全風險更多地集中在云計算數據中心端,具體表現在以下幾個方面1)多租戶模式下的數據隔離和安全問題;公有云計算數據中心,處在多租戶模式下,多個租戶特別是彼此為競爭對手的租戶的數據存儲在一起會導致一定的安全風險,私有云計算數據中心也需要為各個職能部門之間的數據提供有效的數據隔離;2)黑客的非法入侵會導致重要數據的泄漏;3)云計算數據中心管理員特別是超級管理員的人為錯誤或者職業操守問題可能導致用戶數據的泄露等等。目前,云計算數據安全的解決方案大致可以分為兩類一類是針對存儲即服務(即云存儲),通過邏輯級別多租戶的數據隔離,依賴數據加密技術保護用戶的數據安全。所謂邏輯級別的隔離,主要通過云計算數據中心端保存的元數據信息實現的,例如基于對象的存儲系統(Object Storage Device, 0SD),典型的實施有EMC Atmos, Amazon S3存儲服務等;還有基于策略多租戶數據安全管理方法和系統,如美國專利 US 2011/0022642Policy Driven Cloud Storage Management and Cloud StoragePolicy Router所記述。邏輯級別隔離的情況下,雖然不同用戶登錄后所見到的數據僅為其所授權的數據,但是為了保護數據安全,用戶通常需要將數據加密后傳輸到云計算數據中心。另一類是針對存儲即服務之外的云計算模式,例如軟件即服務(SaaS)、基礎架構即服務(IaaS)、平臺即服務(PaaS)等。對于這些云計算模式,存儲即服務的數據安全解決方案并不適用,這是因為,存儲即服務大多是基于Restful協議而不是基于SCSI協議,以數據對象或者文件為單位存取數據,數據安全性具有較高優先級(數據通常需要加密),對數據訪問延遲、1/0性能和可靠性的要求較低;而對于其他云計算模式(即SaaS,IaaS, PaaS等)而言,數據訪問主要是基于SCSI協議的,因此數據訪問延遲性、1/0性能及可靠性,與數據的安全性同樣具有相同甚至更高的優先級,同時為了保證數據訪問1/0性能,數據通常不能被加密,從而使得云計算的租戶的數據安全完全依賴于云計算服務提供商的職業操守和其對數據安全性保護的技術能力。對于該類云計算模式,目前的解決方案主要是通過云計算數據中心端的多租戶數據物理級別隔離加之云計算服務提供商與用戶簽訂的SLA(Service Level Agreement,服務水平協議)保障。所謂多租戶數據物理級別的隔離主要通過云計算數據中心端劃分不同LUN實現的。每個用戶在數據中心端被分配了一個或多個獨占的物理LUN設備,其數據僅保存在該物理LUN設備上,從而實現了不同用戶數據之間的物理級別隔離,典型的解決方案為Netapp MultiStore。物理級別隔離,可以在一定程度上保證數據訪問的性能及可靠性,但是,考慮到為了保證性能,數據在云計算端很難加密,由此帶來的數據安全的風險則是云計算租戶所不能不顧慮的。雖然與云計算服務商之間的服務合同可以在一定程度上降低以上風險,但是也無法避免,非法入侵用戶或者云計算數據中心管理員仍可以在數據所有者未授權的情況下,將用戶數據保存的LUN設備非法掛載到其他終端上,進而獲取數據的情況。綜上所述,現有的云計算數據安全解決方案技術還無法解決除存儲即服務之外的云計算模式(特別是IaaS、PaaS和SaaS)的數據安全問題,即在保證數據安全的同時,兼顧數據訪問性能、可靠性等企業級云計算應用的要求。
發明內容
為了解決現有云計算數據安全解決方案不適用于云存儲之外的云計算模式,以及易被非法獲取等問題,本發明提供了一種提高云計算數據安全的方法,所述方法包括用戶為云計算服務應用實例可用的物理LUN設備建立索引信息表;用戶建立一個虛擬LUN設備,根據所述索引信息表,設置所述虛擬LUN設備的虛擬LBA地址空間與實際數據存儲LBA地址空間的對應規則;用戶根據所述對應規則,建立并保存數據訪問虛擬LUN設備的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系;根據所述對應關系,獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/o重定向。所述索引信息表的內容包括LUN設備全局ID、云計算數據中心ID和LUN設備局部ID;所述云計算服務應用實例包括軟件即服務、基礎架構即服務和平臺即服務。所述虛擬LUN設備放置在用戶端或用戶信賴的第三方托管端。所述建立并保存對應關系的步驟具體包括選擇多個LBA地址作為虛擬LBA地址空間和實際LBA地址空間的最小分割單元;根據所述最小分割單元,將所述虛擬LBA地址空間和實際數據存儲LBA地址空間,分割成數量相等的虛擬LBA地址段和實際LBA地址段;用戶根據所述對應規則,將所述虛擬LBA地址段與實際LBA地址段一一對應,以及將所述虛擬LBA地址段中的虛擬LBA地址與其對應的實際LBA地址段中的實際LBA地址進行一一對應,并根據以上對應結果建立且保存虛擬LBA地址空間與實際數據存儲LBA地址空間的對應關系。所述多個LBA地址為多個連續的、不連續的、有規律或無規律的LBA地址。所述根據所述對應關系,獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/o重定向的步驟具體包括
根據外部數據讀寫請求指定的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系,查詢并獲取虛擬LBA地址空間中每個虛擬LBA地址對應的實際數據存儲的LBA地址;根據所述索引信息表中的LUN設備全局ID,查詢并獲取每個實際LBA地址所對應的云計算數據中心和其對應的LUN設備局部ID ;根據每個實際LBA地址對應的云計算數據中心和LUN設備局部ID,將外部數據讀寫請求轉發到實際數據存儲LBA地址空間上,完成數據I/O請求的重定向。所述方法還包括用戶按照預置的頻率更新所述對應關系。本發明還提供了一種提高云計算數據安全的系統,包括建立模塊,用于用戶為云計算服務應用實例可用的物理LUN設備建立索引信息表;·設置模塊,用于用戶建立一個虛擬LUN設備,根據所述索引信息表,設置所述虛擬LUN設備的虛擬LBA地址空間與實際數據存儲LBA地址空間的對應規則;建立保存模塊,用于用戶根據所述對應規則,建立并保存數據訪問虛擬LUN設備的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系;重定向模塊,用于根據所述對應關系,獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/O重定向。所述建立保存模塊包括選擇單元,用于選擇多個LBA地址作為虛擬LBA地址空間和實際LBA地址空間的最小分割單元;分割單元,用于根據所述最小分割單元,將所述虛擬LBA地址空間和實際數據存儲LBA地址空間,分割成數量相等的虛擬LBA地址段和實際LBA地址段;對應關系建立單元,用于用戶根據所述對應規則,將所述虛擬LBA地址段與實際LBA地址段——對應,以及將所述虛擬LBA地址段中的虛擬LBA地址與其對應的實際LBA地址段中的實際LBA地址進行一一對應,并根據以上對應結果建立且保存虛擬LBA地址空間與實際數據存儲LBA地址空間的對應關系。所述重定向模塊包括第一獲取單元,用于根據外部數據讀寫請求指定的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系,查詢并獲取虛擬LBA地址空間中每個虛擬LBA地址對應的實際數據存儲的LBA地址;第二獲取單元,用于根據所述索引信息表中的LUN設備全局ID,查詢并獲取每個實際LBA地址所對應的云計算數據中心和其對應的LUN設備局部ID ;定向單元,用于根據每個實際LBA地址對應的云計算數據中心和LUN設備局部ID,將外部數據讀寫請求轉發到實際數據存儲LBA地址空間上,完成數據I/O請求的重定向。所述系統還包括更新模塊,用于用戶按照預置的頻率更新所述對應關系。本發明實現了用戶數據在云計算數據中心端物理級別隔離的同時,使數據所有者可以掌控元數據的生成方法、保存方法及位置信息,并且兼顧了企業級云計算服務計算對I/o性能和可靠性的要求,從而使得即便云計算數據中心被非法入侵,用戶數據所在物理LUN設備也不會被非法掛載,用戶數據也不會泄露,保障了用戶數據的安全。
圖I是本發明實施例虛擬LBA地址空間到實際數據存儲LBA地址空間的對應關系示意圖;圖2是本發明實施例第三方云計算服務對虛擬LUN設備的訪問實例一;圖3是本發明實施例第三方云計算服務對虛擬LUN設備的訪問實例二 ;圖4是本發明實施例的提高云計算數據安全的方法流程圖;
圖5是本發明實施例的提高云計算數據安全的系統結構示意圖。
具體實施例方式下面結合附圖和實施例,對本發明技術方案作進一步描述。為了更加完善地解決云計算數據安全問題,本發明實施例提供了一種提高云計算數據安全的方法,該方法是由用戶建立并在用戶端(或用戶信任的第三方托管端)保存云計算服務應用實例數據訪問虛擬LUN設備的虛擬LBA地址空間和指定云計算數據中心的實際數據存儲LBA地址空間的對應關系;根據該對應關系獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,進而完成用戶數據訪問的I/O重定向。通過上述方法可以實現多租戶數據在云計算數據中心端的物理隔離,同時在數據不加密的情況下,如果數據所有者不授權I/O請求的虛擬LBA地址空間和指定云計算數據中心的實際數據存儲LBA地址空間的對應關系信息,數據實際內容很難被非法獲取,大大地增強了用戶數據的安全性。需要說明的是,本發明實施例所指云計算及云計算服務應用實例,僅適用于除了存儲即服務(或稱云存儲)之外的云計算模式,包括軟件即服務(SaaS)、基礎架構即服務(IaaS)和平臺即服務(PaaS)等。參見圖4,本發明實施例提供了一種提高云計算數據安全的方法,包括如下步驟步驟101 :用戶為云計算服務應用實例可用的物理LUN設備建立索引信息表。首先,用戶需要為其所擁有的或所租用的云計算服務應用實例,規劃用來存儲實際數據的物理LUN設備。這些物理LUN設備可以來源于云計算服務提供商(位于其指定的云計算數據中心中),或者來源于第三方存儲服務提供商(為了保證數據訪問性能,它們需要與云計算服務提供商構建較好的網絡連接),或者來源于用戶本地的數據中心。在具體應用中,第三方存儲服務提供商可以包括存儲即服務提供商(即云存儲服務提供商),例如Amazon S3存儲服務;需要說明的是,目前的公有云存儲服務多數是基于Restful協議的以數據對象或者文件為單位的存取,而不是基于SCSI協議的數據塊的存取,為了使本發明實施例的云計算服務應用實例可以訪問其數據,需要進行協議轉換,即將Restful協議轉換為基于塊的數據訪問協議(block based protocol),這種協議轉換已經有成功的實踐,典型的有StorSimple, TwinStrata的云存儲產品與解決方案,具體細節這里不再贅述。其次,用戶需要為云計算服務應用實例所使用到的物理LUN設備建立一張全局物理LUN設備的索引信息表,如表I所示。該索引信息表包括LUN設備全局ID、云計算數據中心ID和LUN設備局部ID ;其中,LUN設備全局ID是建立未來虛擬LUN設備上虛擬LBA地址空間與實際數據保存位置對應關系的主要依據之一;同時,LUN設備全局ID和所分配的云計算數據中心ID都是局部變量,其作用范圍僅限于該用戶的該虛擬LUN設備。對于不同的用戶甚至同一用戶的不同(如下面步驟102所述)虛擬LUN設備,索引信息表所中的信息都可以不同,例如同一云計算數據中心ID在用戶A處可以被分配為0,在用戶B處可以被分配為I等等,這種分配方法對于保護數據所有者數據的隱私性有好處。另外,從數據安全性的考慮,該索引信息表通常保存在用戶端或者用戶信賴的第三方托管端。表I
權利要求
1.一種提高云計算數據安全的方法,其特征在于,所述方法包括 用戶為云計算服務應用實例可用的物理LUN設備建立索引信息表; 用戶建立一個虛擬LUN設備,根據所述索引信息表,設置所述虛擬LUN設備的虛擬LBA地址空間與實際數據存儲LBA地址空間 的對應規則; 用戶根據所述對應規則,建立并保存數據訪問虛擬LUN設備的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系; 根據所述對應關系,獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/O重定向。
2.如權利要求I所述的提高云計算數據安全的方法,其特征在于,所述索引信息表的內容包括LUN設備全局ID、云計算數據中心ID和LUN設備局部ID ;所述云計算服務應用實例包括軟件即服務、基礎架構即服務和平臺即服務。
3.如權利要求2所述的提高云計算數據安全的方法,其特征在于,所述虛擬LUN設備放置在用戶端或用戶信賴的第三方托管端。
4.如權利要求3所述的提高云計算數據安全的方法,其特征在于,所述建立并保存對應關系的步驟具體包括 選擇多個LBA地址作為虛擬LBA地址空間和實際LBA地址空間的最小分割單元; 根據所述最小分割單元,將所述虛擬LBA地址空間和實際數據存儲LBA地址空間,分割成數量相等的虛擬LBA地址段和實際LBA地址段; 用戶根據所述對應規則,將所述虛擬LBA地址段與實際LBA地址段一一對應,以及將所述虛擬LBA地址段中的虛擬LBA地址與其對應的實際LBA地址段中的實際LBA地址進行一一對應,并根據以上對應結果建立且保存虛擬LBA地址空間與實際數據存儲LBA地址空間的對應關系。
5.如權利要求4所述的提高云計算數據安全的方法,其特征在于,所述多個LBA地址為多個連續的、不連續的、有規律或無規律的LBA地址。
6.如權利要求5所述的提高云計算數據安全的方法,其特征在于,所述根據所述對應關系,獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/O重定向的步驟具體包括 根據外部數據讀寫請求指定的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系,查詢并獲取虛擬LBA地址空間中每個虛擬LBA地址對應的實際數據存儲的LBA地址; 根據所述索引信息表中的LUN設備全局ID,查詢并獲取每個實際LBA地址所對應的云計算數據中心和其對應的LUN設備局部ID ; 根據每個實際LBA地址對應的云計算數據中心和LUN設備局部ID,將外部數據讀寫請求轉發到實際數據存儲LBA地址空間上,完成數據I/O請求的重定向。
7.如權利要求6所述的提高云計算數據安全的方法,其特征在于,所述方法還包括用戶按照預置的頻率更新所述對應關系。
8.一種提高云計算數據安全的系統,其特征在于,包括 建立模塊,用于用戶為云計算服務應用實例可用的物理LUN設備建立索引信息表; 設置模塊,用于用戶建立一個虛擬LUN設備,根據所述索引信息表,設置所述虛擬LUN設備的虛擬LBA地址空間與實際數據存儲LBA地址空間的對應規則; 建立保存模塊,用于用戶根據所述對應規則,建立并保存數據訪問虛擬LUN設備的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系; 重定向模塊,用于根據所述對應關系,獲取外部數據讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/O重定向。
9.如權利要求8所述的提高云計算數據安全的系統,其特征在于,所述建立保存模塊包括 選擇單元,用于選擇多個LBA地址作為虛擬LBA地址空間和實際LBA地址空間的最小分表I]單兀; 分割單元,用于根據所述最小分割單元,將所述虛擬LBA地址空間和實際數據存儲LBA 地址空間,分割成數量相等的虛擬LBA地址段和實際LBA地址段; 對應關系建立單元,用于用戶根據所述對應規則,將所述虛擬LBA地址段與實際LBA地址段一一對應,以及將所述虛擬LBA地址段中的虛擬LBA地址與其對應的實際LBA地址段中的實際LBA地址進行一一對應,并根據以上對應結果建立且保存虛擬LBA地址空間與實際數據存儲LBA地址空間的對應關系。
10.如權利要求9所述的提高云計算數據安全的系統,其特征在于,所述重定向模塊包括 第一獲取單元,用于根據外部數據讀寫請求指定的虛擬LBA地址空間與指定云計算數據中心的實際數據存儲LBA地址空間的對應關系,查詢并獲取虛擬LBA地址空間中每個虛擬LBA地址對應的實際數據存儲的LBA地址; 第二獲取單元,用于根據所述索引信息表中的LUN設備全局ID,查詢并獲取每個實際LBA地址所對應的云計算數據中心和其對應的LUN設備局部ID ; 定向單元,用于根據每個實際LBA地址對應的云計算數據中心和LUN設備局部ID,將外部數據讀寫請求轉發到實際數據存儲LBA地址空間上,完成數據I/O請求的重定向。
11.如權利要求10所述的提高云計算數據安全的系統,其特征在于,所述系統還包括更新模塊,用于用戶按照預置的頻率更新所述對應關系。
全文摘要
本發明公開了一種提高云計算數據安全的方法及系統,屬于數據安全技術領域。所述方法包括用戶為云計算服務應用實例可用的物理LUN設備建立索引信息表,根據索引信息表,設置虛擬LUN設備的虛擬LBA地址空間與實際數據存儲LBA地址空間的對應規則;用戶根據對應規則,建立并保存虛擬LBA地址空間與實際數據存儲LBA地址空間的對應關系;根據對應關系,獲取讀寫請求指向的虛擬LBA地址空間對應的實際數據的存儲位置信息,完成I/O重定向。所述系統包括建立模塊、設置模塊、建立保存模塊和重定向模塊。本發明使數據所有者掌控元數據的生成方法、保存方法及位置,使用戶數據所在的LUN設備不會被非法掛載,保障了用戶數據的安全。
文檔編號H04L29/06GK102882885SQ20121039382
公開日2013年1月16日 申請日期2012年10月17日 優先權日2012年10月17日
發明者趙乃巖 申請人:北京卓微天成科技咨詢有限公司