[发明专利]适用于存储云内的数据隔离方法

说明书

技术领域

本发明提出了一种为存储云上的数据提供隔离服务的方法，并在以HDFS(Hadoop Distributed File System)为基础架构的云存储环境下实现了数据隔离的安全机制。本发明的技术领域涉及强制访问控制，分布式存储。

背景技术

云计算作为一种新兴的技术和商业应用模式，近年来无论在业界还是学术界都获得了广泛的关注和巨大的推动。云计算为企业用户展现了美好的愿景。一方面，企业可以将其IT基础架构的管理和维护交由专业的云服务提供商负责，从而更加专注于公司本身的业务；另一方面，也是更为重要一点在于云计算提供的服务是自适应性的，具备灵活的可伸缩性。企业可以根据自身业务需求量大小租赁相应负载的云服务，不会因为公司业务需求量不足造成现有IT资源的浪费，也不会因为公司规模扩大导致旧有IT架构无法负载更大的业务量需求而需要花费昂贵的代价重新架构其IT基础设施。

云计算的模式获得了巨大的成功，但研究人员对于其的关注往往多集中于如何提高云平台的可用性、可扩展性、效率性能以及容错性等，却忽视了云平台的安全性。事实上，实现安全可靠的云平台是保证企业用户从传统模式过渡到“云模式”一个关键要素，这是由云本身的特点决定的。在“云时代”，公司的应用运行在远端的云平台上，数据也存储在云上，云底层的IT基础设施由云服务提供商统一管理。对于应用了云计算的企业用户而言，其安全界限远远超出了公司的防火墙以外，企业本身能够控制的范围是非常有限的。公司的应用及数据均涉及到公司的商业机密，一旦泄露损失难以估量，甚至可能对整个公司造成毁灭性的打击。保证云平台的安全性对于云计算的进一步推广至关重要。如果无法为云平台提供可靠的安全保障，企业用户将很难放心的享用云带来的巨大效益。

云存储在云计算体系中位于IAAS(Infrastructure as a Service)一层，主要用作云平台的存储基础设施。云存储的数据安全是云安全重要的一环。云存储出现以前，企业的数据都存储在公司内部的数据中心。“云时代”的到来使得企业将其私有数据由内部数据中心迁移到云服务提供商统一管理的公共平台以降低公司的运作成本。然而对于企业用户而言，云存储却是一把双刃剑。云存储给企业带来了收益同时也带来了安全隐患。云存储作为一种多租户的数据存储平台，存放着来自许多企业的内部私有数据。企业用户通过访问这个共享的公共平台获取属于自己公司的数据。由于云存储平台共享的特点，企业绝不希望自己的数据信息被同一平台上的其它租户窃取或者篡改。因此企业间的数据隔离是云存储亟待解决的一个重要问题。企业用户依据内部的安全需求需要对来自公司不同部门或者地域的数据进行隔离。云存储作为公共的存储平台，应该提供一种灵活多变的安全策略，它能够方便被使用云存储的企业用户定制以满足各个企业不同的安全需求。这也对云存储企业内的数据隔离提出了要求。

以下是目前可查到的与云存储或分布式存储数据隔离或者访问控制相关的专利情况。

公开号为102014133A，发明名称“在云存储环境下一种安全存储系统的实现方法”的专利提供了在云存储环境下一种安全存储系统的实现方法，其特征在于：在服务器中根据用户需求建立信任域，在其中利用公钥基础设施PKI进行身份认证，利用用户空间的文件系统FUSE，实现了存储系统与底层系统无关，利用哈希算法SHA1算法以块为单位对文件计算哈希值，再利用密钥和对称加密算法AES算法对以块为单位对文件块加密，再将文件密文上传到云存储区中的文件服务器，保证了文件的机密性和完整性，文件所有者通过在访问控制列表中指定具有对该文件进行访问的用户及其权限，在发生权限撤销操作时，将对文件进行重新加密的操作推迟，只有当用户对文件内容进行修改时，由该用户重新加密修改内容所在的文件块，系统实行了文件块密钥、安全元数据文件密钥和信任域服务器密钥三层密钥管理，既保证了权限撤销时文件的安全性，又不增加系统的管理负担。

此专利的侧重点在于保护云存储上数据的机密性和完整性，实现机制是主要是通过加密算法保护数据机密性，通过哈希值来保证数据完整性，其中也粗略的提到了简单的数据访问控制机制，数据保护的粒度较粗。不同的是，本发明的访问控制安全策略是有针对性的，根据云存储这种多租户的特殊环境制定了一系列相关的安全策略，通过强制访问控制机制，极大的保证了企业间数据的强隔离性，企业内部数据的适度隔离，并进而考虑企业数据共享的情况。可以说两者得安全目标是截然不同的。