[发明专利]对象存储系统及其访问控制方法和设备、存储介质

说明书

本公开涉及一种对象存储系统及其访问控制方法和设备、存储介质。该对象存储系统访问控制设备包括：由元数据服务器节点和排序节点构成的区块链网络；区块链网络，用于将对象存储系统的访问控制策略写入智能合约并运行在元数据服务器节点；并将文件数据的元数据存储在区块链的分布式账本中。本公开通过采用区块链网络作为访问授权中心且元数据上链，增强了系统可靠性及元数据的可信性与一致性。

技术领域

本公开涉及存储技术领域，特别涉及一种对象存储系统及其访问控制方法和设备、存储介质。

背景技术

对象存储是一种基于对象的新兴存储技术，是当下网络存储领域研究的热点，也是构建大型分布式系的优选方案。对象存储在功能特性上结合了NAS(Network AttachedStorage，网络附属存储)和SAN(Storage Area Network，存储区域网络)的优点，使得高性能、跨平台与数据共享的存储结构成为可能。对象存储系统的数据和元数据是分离存储，客户端需要从元数据服务器获取元数据和访问权限后才能读/写对象存储设备的对象数据。

发明内容

发明人通过研究发现：相关技术对象存储系统通过采用基于对称密钥和基于能力访问模型的访问控制中心实现系统的访问控制，该方法存在以下一些问题：使用共享对称密钥容易泄露安全性低，且产生大量的凭证增加了网络传输压力；中心化访问控制系统，系统不可靠有宕机风险，数据存在被篡改风险；数据操作行为日志依赖访问控制中心可信，难审计。

鉴于以上技术问题中的至少一项，本公开提供了一种对象存储系统及其访问控制方法和设备、存储介质，采用区块链网络作为访问授权中心且元数据上链，增强了系统可靠性及元数据的可信性与一致性。

根据本公开的一个方面，提供一种对象存储系统访问控制设备，包括：

由元数据服务器节点和排序节点构成的区块链网络；

区块链网络，用于将对象存储系统的访问控制策略写入智能合约并运行在元数据服务器节点；并将文件数据的元数据存储在区块链的分布式账本中。

在本公开的一些实施例中，客户端，用于通过区块链的智能合约验证访问权限并获取元数据；再访问对象存储设备的对象数据并进行相应操作。

在本公开的一些实施例中，区块链网络，用于将客户端对对象数据生命周期内的操作行为日志写入到区块链分布式账本中。

在本公开的一些实施例中，元数据服务节点，具备背书和记账功能，用于访问授权背书生成交易、验证交易并维护账本；排序节点，用于将交易排序生成区块。

在本公开的一些实施例中，区块链网络，用于在客户端向对象存储发起读操作请求的情况下，与客户端进行双向身份认证；通过区块链的智能合约验证客户端的访问权限，并返回元数据给客户端，以便客户端访问对象存储设备的对象数据并进行读操作；将客户端的本次读操作行为日志写入分布式账本。

在本公开的一些实施例中，区块链网络，用于在客户端向对象存储发起写操作请求的情况下，与客户端进行双向身份认证；通过区块链的智能合约验证客户端的访问权限，并返回元数据给客户端，以便客户端访问对象存储设备的对象数据并进行写操作；将客户端的本次写操作行为日志写入分布式账本；执行智能合约更新元数据。

根据本公开的另一方面，提供一种对象存储系统，包括对象存储设备和如上述任一实施例所述的对象存储系统访问控制设备。

根据本公开的另一方面，提供一种对象存储系统访问控制方法，包括：

采用元数据服务器节点和排序节点构成的区块链网络；

区块链网络将对象存储系统的访问控制策略写入智能合约并运行在元数据服务器节点；

区块链网络将文件数据的元数据存储在区块链的分布式账本中。