一种云端多租户数据存储安全隔离方法
【专利摘要】本发明提供一种云端多租户数据存储安全隔离方法,多租户数据存储采用隔离分散式存储,当租户申请数据存储空间时,调用运营商提供的存储软件API并根据用户的ID标识,为用户划分的特定的虚拟存储区域,每个租户的存储区域是相对独立、相对隔离的,租户在使用私有数据时,分布式存储软件会根据用户的ID标识,从物理层磁盘阵列中的私有空间中收集租户数据,集中为用户提供数据服务,对于租户来说,系统对数据的隔离分散存储过程是自动完成的,对云端多租户数据在物理存储盘阵的卷级透明加解密,实现云计算环境中多租户数据的安全隔离,解决云服务提供商管理员非授权查看、篡改、删除租户敏感数据的问题。
【专利说明】-种云端多租户数据存储安全隔离方法
【技术领域】
[0001] 本发明涉及计算机应用【技术领域】,具体地说是一种云端多租户数据存储安全隔 离方法。
【背景技术】
[0002] 随着云计算快速发展及商业模式发生的变化,"数据"作为生存的基石,种类繁多、 应用复杂、频发的被泄露等呈现出数据安全问题日益显著,放到云端的数据安全成为用户 最为担心的问题,主要聚焦在两个方面:一是担心云运营商或云运维人员非法查看、使用或 泄露云端数据;二是担心其他租户非授权访问自身数据,或担心租户使用模式下数据迁移 或服务取消后,租户数据删除不彻底,引发关键数据泄露隐患。目前国内外市场数据安全类 产品种类繁多,主要是解决传统的数据安全问题,云计算带来的多租户数据安全问题亟需 应对。
【发明内容】
[0003] 本发明提出的基于云端多租户数据存储隔离安全套件采取租户数据加密及分布 式租户安全存储技术,从云计算租户的实际应用角度考虑,根据租户的实际需求,为租户 分配独立的物理存储空间,为租户数据之间的隔离提供物理卷级的隔离,这不仅能从根本 上保障不同租户间私有数据的安全性,还能防止非法租户对其他租户数据的窃取、篡改和 破坏,真正解决多租户数据隔离的问题。
[0004] 本发明的目的是按以下方式实现的,多租户数据存储采用隔离分散式存储,当租 户申请数据存储空间时,调用运营商提供的存储软件API并根据用户的ID标识,为用户划 分的特定的虚拟存储区域,每个租户的存储区域是相对独立、相对隔离的,租户在使用私有 数据时,分布式存储软件会根据用户的ID标识,从物理层磁盘阵列中的私有空间中收集租 户数据,集中为用户提供数据服务,对于租户来说,系统对数据的隔离分散存储过程是自动 完成的,对云端多租户数据在物理存储盘阵的卷级透明加解密,实现云计算环境中多租户 数据的安全隔离,解决云服务提供商管理员非授权查看、篡改、删除租户敏感数据的问题, 具体步骤如下: 1) 通过为用户划分独立的逻辑存储分区来实现租户之间的数据隔离,利用分布式存储 软件提供的接口,将每个租户的数据信息存储在独立的逻辑存储区域中,每个租户数据模 型的更改不会影响其他租户的数据; 2) 针对租户私有区域进行比特级的数据加解密,提供对虚机、操作系统、业务软件、业 务数据进行统一保护,并提供虚拟硬盘加密服务,有效保障每个租户特有数据的安全性; 3) 在数据服务层,利用PaaS平台数据服务提供的接口,针对数据超市的大数据,提供 数据授权访问和异常检测的服务,保证数据服务使用的安全性。
[0005] 本发明的目的有益效果是: 通过为用户划分独立的逻辑存储分区来实现租户之间的数据存储隔离,提高租户私有 数据的安全性,本发明还提供密钥管理机制,租户可以根据需要对私有空间数据进行加解 密。对于租户来说,系统对数据的隔离分散存储过程是自动完成的,对云端多租户数据在物 理存储盘阵的卷级透明加解密,实现云计算环境中多租户数据的安全隔离,解决云服务提 供商管理员非授权查看、篡改、删除租户敏感数据的问题。
【专利附图】
【附图说明】
[0006] 图1是基于云端多租户数据隔离的原理示意图。
【具体实施方式】
[0007] 参照说明书附图对本发明的云端多租户数据存储安全隔离方法,作以下详细地说 明。
[0008] 当云租户A想要存取1G数据时,首先根据需要将私有数据通过多租户数据存储隔 离套件的密钥机制进行加密,当租户虚拟机通过系统安全认证后建立SSL加密连接,将加 密信息传到云端数据中心,云端存储软件根据特定算法,将数据进行分片处理,例如每片大 小为128M,则将数据分为8份,然后在将数据传给分散在各地物理位置不同的隔离空间中。 当租户读取数据或者查询数据时,在云存储服务器通过身份验证后,租户通过分散存储管 理器提供的虚拟视图,完成数据的查询、读取或删除等操作,此后分散存储管理器通过设备 上的记录表,对存储设备进行相应的操作,最后将操作结果返回给租户。
[0009] 除说明书所述的技术特征外,均为本专业技术人员的已知技术。
【权利要求】
1. 一种云端多租户数据存储安全隔离方法,其特征在于多租户数据存储采用隔离分 散式存储,当租户申请数据存储空间时,调用运营商提供的存储软件API并根据用户的ID 标识,为用户划分的特定的虚拟存储区域,每个租户的存储区域是相对独立、相对隔离的, 租户在使用私有数据时,分布式存储软件会根据用户的ID标识,从物理层磁盘阵列中的私 有空间中收集租户数据,集中为用户提供数据服务,对于租户来说,系统对数据的隔离分散 存储过程是自动完成的,对云端多租户数据在物理存储盘阵的卷级透明加解密,实现云计 算环境中多租户数据的安全隔离,解决云服务提供商管理员非授权查看、篡改、删除租户敏 感数据的问题,具体步骤如下: 1) 通过为用户划分独立的逻辑存储分区来实现租户之间的数据隔离,利用分布式存储 软件提供的接口,将每个租户的数据信息存储在独立的逻辑存储区域中,每个租户数据模 型的更改不会影响其他租户的数据; 2) 针对租户私有区域进行比特级的数据加解密,提供对虚机、操作系统、业务软件、业 务数据进行统一保护,并提供虚拟硬盘加密服务,有效保障每个租户特有数据的安全性; 3) 在数据服务层,利用PaaS平台数据服务提供的接口,针对数据超市的大数据,提供 数据授权访问和异常检测的服务,保证数据服务使用的安全性。
【文档编号】H04L9/32GK104104513SQ201410348937
【公开日】2014年10月15日 申请日期:2014年7月22日 优先权日:2014年7月22日
【发明者】赵媛, 蔡一兵, 宋桂香 申请人:浪潮电子信息产业股份有限公司