[发明专利]一种存储目标器以及面向存储目标器的存储安全保护方法

说明书

技术领域

本发明用于解决保护大型存储系统安全的问题，属于存储技术和信息安全的交叉技术领域，尤其涉及一种存储目标器以及面向存储目标器的存储安全保护方法。

背景技术

当前存储系统面临较严峻的安全保护问题，安全存储技术是研究和应用的热点问题。现有安全存储技术主要包括六个方面：文件系统加密、新型磁盘结构、高效密钥管理系统、可恢复数据系统、安全中间件与多层安全结构系统、分区与掩码。文件系统加密采用在文件系统层中对文件数据加密的方法保证存储系统中数据的保密性，但存在效率低、安全保护功能弱、容易被攻击者跳过和适应系统变化能力差等问题。在新型磁盘结构方面，主要是PDL实验室提出的NASD和Self Securing Storage，以主动方式保护磁盘中数据的安全性，但其存在需要使用智能磁盘、磁盘负担重、缺乏整体安全防护等问题。PASIS系统中将文件分成N部分存放在不同的存储设备中，使用P-M-N算法，要求访问者得到多于M部分数据才能访问文件数据，系统中只要有P部分安全的数据就能恢复整个文件数据，但由于该系统采用冗余换取数据安全性，系统开销大，存储效率低。安全中间件系统SiRiUS可应用于任何网络存储系统，通过截获和转换访问数据系统调用实现安全功能，但该类系统存在系统效率低，安全性差等问题。SAN系统中可以使用分区与掩码的方法实现系统安全，有主机、交换机和存储控制器三个层次的实现方法，但其存在专用性强等问题，不能适应系统环境的变化。总的来说现有安全存储技术存在专效率低的问题，存储系统I/O性能损失平均在25％以上，无法满足大型存储系统高性能的需求。

存储目标器是大型存储系统中的重要部件，负责接收上层的数据访问请求，访问和管理磁盘数据，包含最接近底层磁盘的管理软件层。也是保护存储系统数据安全性的最直接和最后的屏障，同时在此实现安全功能能有效地避免存储系统的I/O性能瓶颈，分散安全开销，实现安全存储系统性能的优化。但存储目标器本身的运算功能有限，虚报保护的数据量非常庞大，采用常用安全技术会造成较大的安全开销，严重影响存储系统的I/O性能。

存储目标器的安全特性分析

如图1所示，现有的存储目标器的工作流程如下：负责接收上层的数据访问请求，分析数据访问请求，将其转换成相应的命令，操作和管理磁盘数据。存储目标器需完成的功能相对简单，但大型存储系统中磁盘保存的数据量非常庞大，所需的安全保护开销很大，其安全特性如下：

1、功能简单

存储系统中的命令数量很有限，存储目标器所需处理的数据访问请求种类也较少，相应的安全保护开销也较小，这给实现高效安全保护系统带来了很大的便利。

2、数据量庞大

存储系统需要保存海量数据，采用现有安全技术时，几乎需要给每个数据单元都生成相应的安全规则、密钥、安全标识等信息，安全数据量非常庞大，造成安全系统效率较低，严重影响了安全存储系统的I/O性能。

发明内容

本发明的目的是解决现有安全存储系统存在的安全开销大、I/O性能低等问题，提供一种面向存储目标器的使用快速人工免疫算法，实现海量数据的存储安全保护方法，以及一种既能实现安全保护目的又能减少安全存储系统的I/O性能损失的安全存储目标器。

实现本发明目的的技术方案是，一种面向存储目标器的存储安全保护方法，包括下列步骤：1、接收数据访问请求；2、分析数据访问请求，3、将请数据访问求转换成相应的命令；4、返回数据；在上述步骤2和步骤3之间还有安全检测步骤，用于检测非法数据访问请求，并将其丢弃。

所述安全检测步骤具体可包括下列步骤：

(1)安全信息提取：提取操作命令、数据标识和目标器标识信息；

(2)安全信息转换：将操作命令转换成三位的二进制串，目标器标识转换成五位的二进制串，数据标识转+换成八位的二进制串，共使用16位二进制串表示一个数据访问请求中的安全信息，从而将数据访问请求转换成16位的访问串；

(3)挑选检测器：选择能识别非法数据访问请求的检测器；

(4)检查访问串：判断访问串是否与检测器匹配，决定访问串对应的数据访问请求是否为合法。

上述步骤(3)进一步包括下列步骤：

(3.1)定义匹配阈值r(r∈N)作为判断检测器与自体(存储系统中的合法访问串)是否匹配的标准；

(3.2)当存储系统中的数据发生变化时，将新增和被删除自体(总称为差异自体)分别保存于SA与SD中，生成能识别差异自体的差异检测元。

上述步骤(4)进一步包括下列步骤：