专利名称::一种基于磁盘的快速安全存储方法和安全磁盘的制作方法
技术领域:
:本发明用于构建安全海量存储系统,解决保护海量存储系统所需时间与空间开销大造成I/O性能损失大的问题,属于存储技术和信息安全的交叉
技术领域:
,尤其涉及其中的安全海量存储系统领域。
背景技术:
:当前海量存储系统面临较严峻的安全保护问题,安全存储技术是研究和应用的热点问题。现有安全存储技术主要包括六个方面文件系统加密、新型磁盘结构、高效密钥管理系统、可恢复数据系统、安全中间件与多层安全结构系统、分区与掩码。但这些安全存储技术存在时间与空间开销大、适应能力弱和安全性差等问题,所构建的海量存储系统平均损失25%以上的I/O性能,使得所构成的海量存储系统无法投入实际应用。智能磁盘是一种新型的磁盘结构,它在磁盘系统中集成处理器,能完成数据的加解密、数据迁移、存储虚拟化和存储QoS等处理任务,能提高海量存储系统的性能,但其安全问题一直未得到很好的解决。当前基于智能磁盘所构建的安全磁盘系统主要是两个NASD和SelfSecuringStorage。NASD是CMU的PDL实验室于1999年提出的新型磁盘结构,通过增加磁盘处理能力构成智能磁盘,使得磁盘能判别用户和加解密数据;主机和认证服务器通信获得能力密钥,再和存储服务器通信获得加密密钥,最后直接和磁盘通信;使用HASH和MAC混合加密算法减少加密对性能的影响。同样是PDL实验室,采用入侵检测状态在2002年提出了SelfSecuringStorage,这时系统能以主动方式实现智能磁盘的安全。结合审计技术建立多版本磁盘数据;不断监测访问记录,发现异常就回退操作,增加对应的安全防护策略,并向其它磁盘发出安全威胁警告。这两个系统中仍然采用传统安全技术保护智能磁盘的安全,安全开销会随着数据量的增大快速增加,同时需要额外占用较多的存储空间,整体性能较低。智能磁盘是海量存储系统中的重要部件,是最底层的数据管理软件层,负责管理磁盘数据,接收和相应上层的数据访问请求。因此在智能磁盘中实现安全功能可最直接的保护海量存储系统,同时也是保护海量存储系统的最后屏障,此外在智能磁盘中实现安全功能能分散安全开销,避免出现性能瓶颈,实现安全功能的优化。但智能磁盘本身的运算功能有限,采用常用安全技术保护时,会存在时间与空间开销大的问题,严重影响海量存储系统的1/0性能。智能磁盘的安全特性分析如图1所示,现有智能磁盘的工作流程如下负责接收上层的访问请求,分析访问请求,将其转换成相应的命令,操作和管理智能磁盘中的数据。智能磁盘需完成的功能相对简单,但整个海量存储系统中需保存大量的数据,使得保护所需的时间与空间开销很大,其于安全保护相关的特性如下1、功能简单智能磁盘所需处理数据访问请求的种类较少,这给减少安全保护所需的时间与空间带来了很大的便利。2、数据量庞大在海量存储系统中,智能磁盘需要保存大量数据,采用现有安全技术时,需要生成大量的安全规则、密钥、安全标识等信息,需要大量的时间与空间开销,从而严重影响海量存储系统的I/0性能。
发明内容本发明的目的是解决现有智能磁盘中安全保护方法所存在的时间与空间开销大、I/O性能低等问题,提供一种能够快速检查磁盘中的访问请求,保护磁盘安全的快速安全存储方法和构建安全磁盘。实现本发明目的的技术方案是,一种基于磁盘的快速安全存储方法,包括下列步骤步骤1接收访问请求;步骤2分析访问请求;步骤3将访问请求转换成相应的命令;步骤4返回数据;在上述步骤2和步骤3之间增加访问请求快速检查步骤,用于检查非法访问请求,并将其丢弃。所述访问请求快速检查步骤具体可包括下列步骤(1)访问请求的转换提取访问请求中的操作命令、数据标识和智能磁盘标识,并转换为二进制字符串。(2)分析合法访问请求从合法访问请求所对应的二进制字符串中提取长度与匹配阈值相等的子串,再结合子串在二进制字符串中的位置,将子串转换为自体数。(3)选择检测数选择能用于识别非法访问请求的检测数。(4)转换待检访问请求所对应的二进制字符串将需要检查的访问请求转换为一组待检数。(5)检查访问请求所对应的待检数查找是否存在与待检数相同的检测数,从而判断访问请求是否合法。通过上述步骤,实现在存储过程中安全保护占用时间短与空间开销小的目标。上述步骤(2)进一步包括下列步骤(2.1)定义匹配阈值r(rGN)作为提取合法访问请求和待检访问请求所对应二进制字符串中子串的长度标准。(2.2)提取合法访问请求所对应二进制字符串中所有长度与匹配阈值相等的子串。(2.3)使用公式<formula>formulaseeoriginaldocumentpage5</formula>(Si是子串中某位的值,p0sition是子串相对自体抗原左端的偏移量,i是该位相对子串左端的偏移量,1是表示自体抗原二进制字符串的长度。),结合子串在二进制字符串中的位置将所提取出的子串转换为自体数,所得的自体数均以点的形式分布于一维空间中的有限区域内。(2.4)使用B树建立自体数的索引,构建自体信息树tre。上述步骤(3)进一步包括下列步骤(3.1)查找数值区间内未包含于自体信息树trees中的数值,作为检测数,保存到检测数集中,并重复该查找过程直到选择出的检测数数量达到系统设定的值。(3.2)使用B树建立检测数的索引,构建检测信息树treed。上述步骤(4)进一步包括下列步骤(4.1)提取待检访问请求所对应的二进制字符串中所有长度与匹配阈值相等的子串。(4.2)使用公式f=/^衍0"*2'+S《*2"(Xi是子串中某位的值,p0sition是子串在待检抗原中相对左端的偏移量,i是该位相对子串左端的偏移量,l是表示待检抗原二进制字符串的长度。),结合子串在二进制字符串中的位置将所提取出的子串转换为待检数。上述步骤(5)进一步包括下列步骤(5.1)提取待检访问请求对应二进制字符串所转换出的待检数。(5.2)在检测信息树treed中查找是否包含与待检数相同的数值,如有则判断该待检访问请求为非法。(5.3)重复步骤(5.1)和(5.2),直到检查完待检访问请求对应的所有待检数,如均无与之相同的检测数,则判断该待检访问请求为合法。本发明中智能磁盘通过设置检查访问请求步骤,保护海量存储系统的安全;通过建立对访问请求的快速检查方法,构建安全磁盘,减少实现安全存储所需的时间与空间开销,降低所构成的安全海量存储系统I/O性能的损失。实现本发明目的的装置如下—种安全磁盘,包括访问请求接收装置、访问请求分析装置和返回数据装置;在上述访问请求分析装置和返回数据装置之间还有访问请求快速检查装置,用于判断所述请求接收装置所接收到访问请求是否合法,检测出非法访问请求,并将其丢弃。所述访问请求快速检查装置具体可包括下列模块访问请求转换模块用于提取访问请求中的操作命令、数据标识和智能磁盘标识,并转换为二进制字符串。分析合法访问请求模块用于从合法访问请求所对应的二进制字符串中提取长度与匹配阈值相等的子串,再结合子串在二进制字符串中的位置,将子串转换为自体数。选择检测数模块用于选择能用于识别非法访问请求的检测数。转换待检访问请求模块用于将需要检查的访问请求转换为一组待检数。检查待检数模块用于查找是否存在与待检数相同的检测数,从而判断访问请求是否合法。本发明通过在智能磁盘内设置访问请求快速检查装置,检测出非法访问请求,并将其丢弃,构建安全磁盘,既能实现安全保护功能又具有时间与空间开销小的特性。本发明的有益效果在于1、设计了访问请求快速检查方法实现时间与空间开销小的安全保护装置,解决现有安全保护方法时间与空间开销大造成较大I/O性能损失等问题,用于构成能保持较高1/O性能的安全磁盘。2、针对智能磁盘的特点,通过将合法访问请求转换为一组自体数,生成数值型的检测数,并建立索引,减少使用传统二进制字符串形式检测器检查访问请求所需的时间与空间开销,从而避免所构成的安全磁盘存在I/O性能大幅下降的问题。3、在智能磁盘中增加访问请求快速检查装置,构成安全磁盘,能有效地避免性能瓶颈,分散安全保护所需时间与空间开销,为构成安全海量存储系统提供良好的基础。图1是现有技术中智能磁盘的结构图图2是本发明实施例1安全磁盘的结构图图3是本发明实施例1检查访问请求的流程图图4是本发明实施例1安全磁盘原型系统的结构图图5是本发明实施例2安全磁盘读数据时I/O性能的测试结果图图6是本发明实施例2安全磁盘写数据时I/O性能的测试结果图具体实施方式实施例1如图2所示,一种安全磁盘,包括接收访问请求装置、执行访问请求装置和返回数据装置;在分析访问请求装置和执行访问请求装置之间还有快速访问控制装置,用于判断安全磁盘所接收到的访问请求是否合法性,检查出非法访问请求,将其丢弃。本实施例在现有智能磁盘的基础上,增加快速访问控制装置,构成安全磁盘。快速访问控制装置包括访问请求转换模块、分析合法访问请求模块、选择检测数模块、转换待检访问请求模块和检查待检数模块等主要功能,其结构如图3所示。快速访问控制装置中各功能的说明如表1所示。表1快速访问控制装置中的功能模块<table>tableseeoriginaldocumentpage7</column></row><table><table>tableseeoriginaldocumentpage8</column></row><table>实施例2如图2所示,一种基于磁盘的快速安全存储方法,包括下列步骤1、访问请求接收;2、访问请求分析;3、执行访问请求;4、返回数据;在步骤2和步骤3之间还有访问请求快速检查步骤,用于识别出非法访问请求,并将其丢弃。如图3所示,访问请求快速检查步骤具体可包括下列步骤(1)访问请求转换提取访问请求中的操作命令、数据标识和智能磁盘标识,并转换为二进制字符串。(2)分析合法访问请求从合法访问请求所对应的二进制字符串中提取长度与匹配阈值相等的子串,再结合子串在二进制字符串中的位置,将子串转换为自体数(3)选择检测数选择能用于识别非法访问请求的检测数。(4)转换待检访问请求将需要检查的访问请求转换为一组待检数。(5)检查待检数查找是否存在与待检数相同的检测数,从而判断访问请求是否合法。下面详细描述本发明各功能的实现方法,给出其中的关键算法和结构。1、访问请求转换步骤不同海量存储系统中智能磁盘所接收的访问请求格式、命令种类等各不相同,但所有的访问请求均包含操作命令、数据标识和智能磁盘标识等信息,可依据这些信息判断访问请求的合法性。访问请求转换功能负责将这三类信息从访问请求中提取出来,并转换为二进制字符串,为检查访问请求的合法性提供基础。2、分析合法访问请求步骤为了生成能识别出非法访问请求的检测器,需要分析合法访问请求。现有算法中一般使用二进制字符串表示访问请求,会造成生成检测器和检查访问请求所需时间与空间开销大等问题。本发明将合法访问请求所对应的二进制字符串转换为一组自体数。具体步骤如下①定义匹配阈值r(rGN)作为提取合法访问请求和待检访问请求所对应二进制字符串中子串的长度标准。②提取合法访问请求所对应二进制字符串中所有长度与匹配阈值相等的子串。使用公式,=戶础0"*2、SC''(Si是子串中某位的值,p0Siti0n是子串相对自体抗原左端的偏移量,i是该位相对子串左端的偏移量,1是表示自体抗原二进制字符串的长度。),结合子串在二进制字符串中的位置将所提取出的子串转换为自体数,所得的自体数均以点的形式分布于一维空间中的有限区域内。使用B树建立自体数的索引,构建自体信息树trees。3、选择检测数步骤选择检测数功能负责能用于识别非法访问请求的检测数。现有算法中一般使用二进制字符串表示检测器,存在生成检测器时间与空间开销大、难以保证准确性等问题。本发明针对存储系统的特点,使用数值表示检测器,设计检测数选择算法,减少生成检测数所需的时间与空间开销、保证检查访问请求时具有较高的准确性。下面给出选择检测数的具体步骤①查找数值区间内未包含于自体信息树tre中的数值,作为检测数,保存到检测数集中,并重复该查找过程直到选择出的检测数数量达到系统设定的值。②使用B树建立检测数的索引,构建检测信息树treed。4、转换待检访问请求步骤转换待检访问请求功能负责将需要检查的访问请求转换为一组待检数。其中关键的是改变待检访问请求的表示方式,从而为减少检查访问请求所需的时间与空间开销奠定基础。本发明将所对应的二进制字符串转换为一组数值形式的待检数,具体的步骤如下①提取待检访问请求所对应的二进制字符串中所有长度与匹配阈值相等的子串。②使用公式1'=/70^'0"^+Sx,,2'—''(Xi是子串中某位的值,position是子串在待检抗原中相对左端的偏移量,i是该位相对子串左端的偏移量,l是表示待检抗原二进制字符串的长度。),结合子串在二进制字符串中的位置将所提取出的子串转换为待检数。5、检查访问请求所对应的待检数步骤检查访问请求所对应的待检数功能负责查找是否存在与待测数相同的检测数,从而判断访问请求是否合法。本发明的具体步骤如下①提取待检访问请求对应二进制字符串所转换出的待检数。②在检测信息树treed中查找是否包含与待检数相同的数值,如有则判断该待检访问请求为非法。③重复步骤①和②,直到检查完待检访问请求对应的所有待检数,如均无与之相同的检测数,则判断该待检访问请求为合法。本发明在用于存储区域网的开源分布式文件系统Lustre上的智能磁盘模块中,实现快速访问控制模块,构建安全磁盘的原型系统,系统结构如图4所示。使用通用测试工具测试其性能,并进行分析。Lustre运行于Li皿x平台,由主机(Client)、元数据服务器(MDS)和智能磁盘(0ST)三类部件组成。测试本发明时三个模块均运行于同一台计算机中,系统的配置如表l所示。表1测试环境的配置操作系统RedHatLi丽企业版4存储区域网系统Lustre-l.4.8CPUPIV2.OG(双核)内存512M硬盘SATA10000转测试工具Iozone使用Iozone做为测试工具,测试读性能时分别使用大小为4K、8K、16K、32K、64K、128K、256K和512K数据块读512K的文件,测试写性能时分别使用大小为4K、8K、16K、32K、64K、128K、256K、512K和1024K的数据块写1M的文件,测试结果如图5和图6所示。实现安全磁盘原型系统后,Lustre系统的读性能仅下降了10%左右,系统的写性能仅下降了8%左右,验证了本发明所使用的方法算法实现的快速访问控制模块在检查访问请求时,所需的时间和空间开销较小,对存储区域网系统的I/O性能影响小,是解决安全磁盘I/O性能损失过大问题的一种有效方法。权利要求一种安全磁盘,包括接收访问请求装置、分析访问请求装置和返回数据装置;其特征在于,在上述分析访问请求装置和执行访问请求装置之间还有快速访问控制装置,用于判断所述请求接收装置所接收到的访问请求是否合法性,检查出非法访问请求,将其丢弃。2.根据权利要求1所述的安全磁盘,其特征在于,所述快速访问控制装置具体包括下列模块(1)访问请求转换模块提取访问请求中的操作命令、数据标识和智能磁盘标识,并转换为二进制字符串;(2)分析合法访问请求模块从合法访问请求所对应的二进制字符串中提取长度与匹配阈值相等的子串,再结合子串在二进制字符串中的位置,将子串转换为自体数;(3)选择检测数模块选择能用于识别非法访问请求的检测数;(4)转换待检访问请求模块将需要检查的访问请求转换为一组待检数;(5)检查待检数模块查找是否存在与待检数相同的检测数,从而判断访问请求是否合法。3.—种基于磁盘的快速安全存储方法,包括下列步骤①访问请求接收;②访问请求分析;③执行访问请求;④返回数据;其特征在于,在所述步骤②和步骤③之间还有访问请求快速检查步骤,用于识别出非法访问请求,并将其丢弃。4.根据权利要求3所述的访问请求快速检查方法,其特征在于,所述访问请求快速检查步骤具体可包括下列步骤(1)访问请求转换提取访问请求中的操作命令、数据标识和智能磁盘标识,并转换为二进制字符串;(2)分析合法访问请求从合法访问请求所对应的二进制字符串中提取长度与匹配阈值相等的子串,再结合子串在二进制字符串中的位置,将子串转换为自体数;(3)选择检测数选择能用于识别非法访问请求的检测数;(4)转换待检访问请求将需要检查的访问请求转换为一组待检数;(5)检查待检数查找是否存在与待检数相同的检测数,从而判断访问请求是否合法。5.根据权利要求4所述的访问请求快速检查方法,其特征在于,上述步骤(2)进一步包括下列步骤(2.1)定义匹配阈值r(rGN)作为提取合法访问请求和待检访问请求所对应二进制字符串中子串的长度标准;(2.2)提取合法访问请求所对应二进制字符串中所有长度与匹配阈值相等的子串;(2.3)使用公式^=戶础0"*2、Z《,*2"'其中,Si是子串中某位的值,p0Siti0n是子串相对自体抗原左端的偏移量,i是该位相对子串左端的偏移量,1是表示自体抗原二进制字符串的长度;结合子串在二进制字符串中的位置将所提取出的子串转换为自体数,所得的所有自体数均以点的形式分布于一维空间中的有限区域内;(2.4)使用B树建立自体数的索引,构建自体信息树tree。6.根据权利要求4所述的访问请求快速检查方法,其特征在于,上述步骤(3)进一步包括下列步骤(3.1)查找数值区间内未包含于自体信息树trees中的数值,作为检测数,保存到检测数集中,并重复该查找过程直到选择出的检测数数量达到系统设定的值;(3.2)使用B树建立检测数的索引,构建检测信息树tree。7.根据权利要求4所述的访问请求快速检查方法,其特征在于,上述步骤(4)进一步包括下列步骤(4.1)提取待检访问请求所对应的二进制字符串中所有长度与匹配阈值相等的子串;(4.2)使用公式1'=戶础0"*2'+J]V,'其中,Xi是子串中某位的值,position是子串在待检抗原中相对左端的偏移量,i是该位相对子串左端的偏移量,1是表示待检抗原二进制字符串的长度,结合子串在二进制字符串中的位置将所提取出的子串转换为待检数。8.根据权利要求4所述的访问请求快速检查方法,其特征在于,上述步骤(5)进一步包括下列步骤(5.1)提取待检访问请求对应二进制字符串所转换出的待检数;(5.2)在检测信息树treed中查找是否包含与待检数相同的数值,如有则判断该待检访问请求为非法;(5.3)重复步骤(5.1)和(5.2),直到检查完待检访问请求对应的所有待检数,如均无与之相同的检测数,则判断该待检访问请求为合法。全文摘要本发明提出了一种基于磁盘的快速安全存储方法和安全磁盘。基于磁盘的快速安全存储方法中,首先将合法访问请求转换为一组数值型的自体数,在此基础上选择数值型的检测数,并使用B树建立索引;在智能磁盘接受到一个访问请求后,将其转换为一组待检数,查找有无与该组待检数相同的检测数,如存在相同值则判断该访问请求为非法并丢弃;由此实现了访问请求快速检查模块,构建了安全磁盘的原型系统,使用通用测试工具测试验证了该方法具有时间与空间开销小和安全性好等特性。该发明针对智能磁盘中访问请求的特点,减少了检查访问请求所需的时间与空间开销,实现了快速检查访问请求的功能。文档编号G06F3/06GK101788891SQ20101012407公开日2010年7月28日申请日期2010年3月15日优先权日2010年3月15日发明者牛德姣,蔡涛,鞠时光申请人:江苏大学