一种实现数据安全存储及数据访问控制的系统及其方法【
技术领域:
】[0001]本发明涉及信息技术中的存储安全领域,特别是涉及一种保证关键数据安全存储以及访问控制的系统及其方法。【
背景技术:
】[0002]随着云计算技术的发展,虚拟化技术在存储系统中的广泛应用,存储系统的物理存储介质统一为资源池的形式向外提供服务。虚拟化技术屏蔽了底层的数据存储的细节,使数据存放的物理位置和逻辑位置无关,用户能够获得比实际存储容量更大的虚拟存储空间,而用户只需要关心数据在应用层的表现形式,而不用关系底层存储的细节。但虚拟化技术的应用同时也会带来数据安全风险。应用层数据通过各种访问控制手段,在逻辑上是隔离的。但虚拟化技术屏蔽了应用层数据的具体属性和细节,,不同业务系统的数据在物理介质上往往是集中存放。负责处理虚拟存储管理的设备由于无法获知数据的具体安全属性,因此在实际存储时,会主要考虑底层物理存储介质的性能和扩展能力,而忽视了业务数据的安全属性。这样就给具有不同安全等级的业务数据带来风险。比如高敏感级的数据和普通数据在物理设备层是混合在一起存放的。在普通的应用环境下,这种存储方式能够满足需要,但在高安全需求的应用环境下,需要对不同敏感等级和安全等级的数据进行更强的隔离,甚至是物理隔离,现有的存储虚拟化技术就无法满足需求。[0003]当前,存储虚拟化技术已经为存储厂家广泛运用。其中一种实现方法是,通过一个专门的存储网关,来管理后端所有的存储设备,把所有存储设备的容量资源整合在一起,组成一个统一的逻辑虚拟存储池,然后从这个统一的存储池中来分配容量(表现为以卷的形式)给应用服务器使用。特别是云计算的发展,使得虚拟存储技术持续升温,因为云计算的存储设备数量庞大,正需要这样一套整合的机制,来简化管理和提高存储效率。[0004]然而,当存储虚拟化技术广泛应用于云计算中同时,也存在潜在的安全风险。通过存储虚拟化技术,不同的业务数据在逻辑上是隔离的,但在物理上却很有可能存放在同一物理设备上。但是数据之间存在着敏感级别差异,有些数据至关重要,敏感级别很高,有些数据敏感级别一般。如果敏感级别高的数据被第三方知悉将造成很大损失。像虚拟存储技术这种不管是什么数据,全都一视同仁,甚至存储在同一物理设备上的做法,对敏感级别高的数据保存非常不利,造成极大隐患。[0005]现有的针对数据安全存储可以概括为三种方案:一是应用层的数据访问控制,二是从网络层划分安全域,三是利用密码技术对数据进行分片。下面分别描述这些技术。[0006]应用层数据访问控制技术是目前在存储系统中比较常用的安全技术,可以针对不同敏感级的数据利用访问控制列表(ACL)定义不同的访问权限,以达到数据之间的逻辑隔离。这类技术还包括权限管理,采用密钥或证书对数据的访问进行限制等。这类实现方案相关专利众多,但这类方案由于解决问题的层次和角度不同,和本发明并没有直接可比性,不在列举。[0007]利用VLAN等二层网络技术以及网络层的访问控制技术(IPtables等)可以将存储系统的网络进行划分形成不同的子网,使针对存储系统的管理流量,数据流程分离,并且不同的业务数据之间在不同的网段传输。这种技术本质是属于网络安全技术,应用于存储网络中可以一定程度上防止来自外部网络的攻击行为,增强存储系统的安全性。[0008]数据分片技术是将数据块通过一定的算法分成不同的片段并保存在分布式存储环境中,在访问时在通过算法进行组合。只获取独立的片段是无法获知整个数据块内容,目的是保护数据泄露,在数据存储和传输中都能提高其安全性。比如专利号为CN201110034475.9所提出的一种面向分散式的云存储安全架构及其数据存取方法,其是通过分片器把存储信息进行分片,使数据变成无法被其它非认证系统所识别的数据片段,分片后在网络传输和数据存储时就具有相对的保密性和安全性。[0009]但上述技术方案从本质上讲和本发明所采用的技术思路并不相同,因此无法解决上面所提到的问题。其中,应用层的访问控制技术主要针对数据的访问权限,从应用层控制对数据的访问。这类方案不考虑数据在实际物理存储位置上的具体存放形式。即使敏感级高的数据具有更严格的权限控制,也只是在逻辑层也即是在存储虚拟化的上层进行控制,不能在存储虚拟化下层物理存储位置上进行隔离,因此不能解决不同敏感级的数据在底层混合存放的问题。[0010]网络层的安全控制技术主要控制存储网络中各设备的接入,以及通过划分VLAN等子网的方式将不同的网络流量进行隔离。因此是一种设备层和数据流量的隔离,不能真正控制数据具体的存储位置。这类技术也不能根据数据不同的敏感级对其进行网络上的访问控制。[0011]数据分片存储技术是对数据块本身的一种分布式存储的处理,它既能用来加强数据隐私保护,也能用于提高数据存储的性能,增加数据冗余,提高数据可靠性等。因此数据分片技术并不是根据数据的安全属性或敏感级进行分片,其分片算法主要关注数据如何分片获得更好的保密性和传输性能,不考虑具体存储位置,因此也就不能解决混合存储的问题。事实上,数据分片技术反而会增加不同业务数据混合存储的概率,反而会增加不同敏感级的数据块存储在一起的风险。[0012]由上述分析可见,目前已有的数据安全技术并没有解决由于虚拟化技术的应用所带来的不同敏感级数据混合存储的安全问题。因此,需要有新的技术方案来解决该问题。【
发明内容】[0013]针对现有技术中存在的技术问题,本发明提出一种实现数据安全存储及数据访问控制的系统及其方法,应用存储虚拟化和访问控制相结合的安全技术方案,通过将存储系统中的数据划分为不同的存储安全域,可以使不同敏感级别的数据,在数据存储的过程中即满足逻辑隔离,又能具有物理位置的隔离。从而解决数据混合存储带来的安全风险,满足更高安全需求的应用环境。[0014]本发明采用下述的技术方案:[0015]一种实现数据安全存储及数据访问控制的系统,其特征在于:包括四个部分分别为发起请求的应用服务器,存储安全网关,安全策略服务器和后端存储系统;[0016]所述应用服务器负责接收来自网络上的数据访问请求,并发起对后端存储系统的数据访问请求;[0017]所述存储安全网关负责实现安全域管理,数据安全域划分、隔离及访问控制功能;存储安全网关是一个逻辑功能部件,其是通过软件实现的功能模块或者是硬件方式的网关设备;存储安全网关同存储虚拟化网关直连,如果存储安全网关是软件实现的功能模块,则作为存储虚拟化网关的一个功能部件实现;如果存储安全网关是硬件方式的网关设备,则同存储虚拟化网关直接连接;[0018]所述安全策略服务器用于保存并管理所有数据安全域策略,接受来自存储安全网关的查询并响应;[0019]所述后端存储系统包括物理或虚拟的存储设备,后端存储系统是数据的主要存储地,主要由存储网络设备,存储控制器以及存储介质构成;后端存储系统包含存储设备,存储设备是指具体的物理的或虚拟的存储介质,比如实际的物理磁盘。[0020]其中,应用服务器发起数据访问请求,请求携带数据的敏感级等安全属性信息,存储安全网关获取请求中的敏感级信息,判断该敏感级对应的安全域,并建立数据块的安全域索引;存储安全网关将安全域信息转换为存储虚拟化网关识别的虚拟地址,再由虚拟化网关转换为对应的物理地址,最终数据将被保存在物理地址上对应的安全域中;数据访问请求如果是读取数据,则存储安全网关获取当前访问请求方的安全等级以及被访问数据的敏感级,并查询安全策略服务器,获取该访问请求方对应的安全策略,判断是否允许访问;在数据迀移或复制过程中,存储安全网关监控数据块的迀移源地址和目的地址,如果和地址所对应的安全域策略相违背,则会通知存储虚拟化网关阻止迀移发生,并在相同等级的安全域之间或安全域内部进行迀移和复制。[0021]具体地,所述存储安全网关包括设备信息管理模块、安全域管理模块、数据迀移监控模块、数据敏感度判定模块和数据访问控制模块;[0022]所述设备信息管理模块负责管理存储设备信息并计算所接入的后端存储系统中物理存储介质的安全属性值;所述设备信息管理模块会事先维护一个列表,其中记录所有存储设备品牌、设备类型、和对应权重及值,作为计算设备安全属性值的输入项;首先,设备信息管理模块将自动获取并管理后端存储系统接入的每个存储设备的信息,并利用该信息计算出设备对应的安全属性值,同时维护和管理存储设备安全属性值列表;该安全属性值将作为安全域管理模块的输入项,作为划分安全域的依据;纳入管理的每个存储设备的信息包括设备品牌,存储容量,存储介质类型和RAID信息;[0023]所述安全域管理模块负责维护和管理由存储设备虚拟地址空间到安全域之间当前第1页1 2 3 4