维护分布式存储系统数据可信的系统及方法与流程

本发明涉及一种维护分布式存储系统数据可信的系统及方法，属于信息安全技术领域。

背景技术：

现有的大规模分布式存储系统通常能够较好地维护数据的完整性和一致性，却无法避免甚至监控数据发生被盗窃和被篡改的情况，数据的安全性和可信度无法得到保证。利用现有的可信技术，通过在可信的主机上建立起可信的存储系统，可以保证存储数据的可信。

可信技术作为可信存储系统的基础，提供了一个安全的硬件平台以及远程验证机制。可信是指以安全芯片为基础，建立终端平台信任，然后通过远程证明，建立终端间信任，将信任延伸到网络。在一个可信环境中，系统执行的任务都是预期之中的，一旦系统出现预期之外的状况，可信链中将会反映出故障部件，将其标注为不可信。

可信计算平台通过可信平台模块对BIOS等底层代码以及操作系统关键代码等进行度量，将度量得到的完整性数据包括度量值列表和度量摘要分别保存在系统的安全存储区和可信芯片内部。平台提供完整性度量，可信的第三方则通过远程证明对其身份与状态进行认证。这种自我监测，外界认证的方式能够使远程的用户了解平台的安全状况，方便用户和管理者及时做出响应。

然而仅仅基于可信计算平台无法保证数据的可信状态。当少量的服务器由于意外或者受到攻击等情况变为不可信状态时，一方面希望存储系统保持稳定性，允许偶发性的单机故障影响，故不应将存储系统整体标记为不可用或不可信；另一方面，此时存储系统可能尚未监测到该服务器的异常状态，仍向不可信服务器写入数据，导致其存储数据不可信；因而，被动地依据硬件到软件的可信状态无法完全保证存储数据的可信。

技术实现要素：

鉴于上述原因，本发明的目的在于提供一种维护分布式存储系统数据可信的系统及方法，系统从硬件安全，存储系统软件安全，存储数据安全三个层次度量整个系统的可信状态，对于用户的存储数据，通过验证存储数据的存储节点的可信状态，将数据写入可信的存储节点，而将不可信的存储节点暂时退出系统，保证整个系统的稳定可靠性及存储数据的安全可信性。

为实现上述目的，本发明采用以下技术方案：

一种维护分布式存储系统数据可信的系统，包括：

安装有可信平台模块的若干存储节点，

存储节点定时从存储系统硬件层次、存储系统软件层次、用户数据层次三个层次对系统进行可信验证。

进一步的，

从存储系统硬件层次进行可信验证包括，每个存储节点均安装所述可信平台模块；每个存储节点定时进行可信度量，通过可信第三方获取对应的完整性报告进行验证，禁止系统中不可信节点与其他存储节点进行数据交互，新加入的存储节点通过可信验证才能继续验证存储系统的可信性。

从存储系统软件层次进行可信验证包括，对存储系统软件代码进行验证，对存储系统软件的运行状态进行验证，对存储系统的访问状态进行验证。

从用户数据层次进行可信验证包括，所有数据均基于属性进行封装，存储节点之间传输数据时，存储节点通过远程认证并处于可信状态才能进行数据解封装。

用户数据层次的可信验证还包括，客户端安装可信平台模块，存储系统仅向通过验证的客户端提供数据。

基于上述维护分布式存储系统数据可信的系统实现的维护数据可信的方法，包括：

存储系统选择主节点和多个副节点，将其中一个副节点作为延迟副节点，

向主节点发送包括用户数据的数据写请求，主节点将用户数据发送至各副节点；

该主节点进行可信验证，

若主节点可信验证通过，主节点将用户数据发送至延迟副节点，主节点对各副节点及延迟副节点进行数据维护；若主节点可信验证不通过，将主节点列为不可信节点，将延迟副节点作为新的主节点，重新向该新的主节点发送数据写请求。

所述不可信节点暂时退出存储系统，禁止其与存储系统中的其它存储节点进行数据交互。

对所述新的主节点进行可信验证，若其可信验证不通过，数据写入失败并发出告警，退出写数据操作。

所述主节点可信验证不通过，副节点重新从存储系统中选择一个副节点。

本发明的优点是：

本发明公开的维护分布式存储系统数据可信的系统及方法，分布式存储系统中每台主机安装有可信平台模块，系统从硬件安全，存储系统软件安全，存储数据安全三个层次度量整个系统的可信状态；通过验证用户存储数据的存储节点的可信状态，将数据写入可信的存储节点，而将不可信的存储节点暂时退出系统，故障解决后快速恢复，可保证整个系统的稳定可靠性及存储数据的安全可信性，同时，系统对于潜在的威胁能够主动察觉并防御，进一步提高了系统安全性。

附图说明

图1是本发明的系统结构示意图。

图2是本发明的信号流向示意图，主节点经可信验证为可信节点。

图3是本发明的信号流向示意图，主节点经可信验证为不可信节点。

具体实施方式

以下结合附图和实施例对本发明作进一步详细的说明。

如图1所示，本发明公开的维护分布式存储系统数据可信的系统，包括若干存储节点，每个存储节点安装有可信平台模块(TPM：Trusted Platform Module)，每个存储节点均验证其主机运行时的可信状态，确保物理环境的安全，每个存储节点定时验证报告整个存储系统软件的可信状态，例如存储系统的操作系统或者存储系统软件是否被篡改等，同时验证用户数据的完整性，以保证存储系统的可信性。可信验证过程包括如下三个层次：

一、验证存储系统硬件层次(包括操作系统)的可信状态：

1)每个存储节点的主机均安装有可信平台模块；

2)每个存储节点的主机定时进行可信度量，并通过可信第三方获取该主机对应的完整性报告进行验证；

3)禁止系统中不可信节点与其他节点通信或交换数据，一旦不可信节点进行数据交互，即发出告警并进行下一层次的验证；

4)存储系统中添加新的存储节点(Host)，新的存储节点需通过可信验证才能继续验证存储系统的可信性；

二、验证存储系统软件层次上的可信状态：

1)对存储系统软件代码进行验证，即通过可信第三方获取代码完整性度量结果，对存储系统软件的运行状态进行验证(允许软件更新，不因为版本问题报告不可信状态)；

2)对存储系统的访问状态进行验证，以判断存储系统软件的运行状态是否存在异常；根据存储系统实际应用场景设置，如整个存储系统访问超过50％的数据或者修改10％的数据将引起系统安全告警；

三、用户数据层次上的可信状态：

1)所有数据均基于属性进行封装，使得数据在存储系统上能够保持机密性。当不同的存储节点之间需要传输数据时，存储节点需通过远程认证并且满足可信状态才能够对数据解除封装；

2)对于安全性要求特别严格的用户，可在其客户端加装可信平台模块，并要求存储系统仅向通过验证的客户端提供数据；对于未安装可信平台模块的普通用户则无需远程验证，采用传统的密钥验证即可；

3)存储系统为用户保证并提供数据的可信性。

在上述维护分布式存储系统数据可信的系统中，当个别的存储节点因受到攻击或其它异常情况而呈不可信状态时，考虑到整个存储系统的稳定性，一方面，存储系统中除不可信节点外的大部分存储节点应保持正常运行状态，不应受不可信节点的影响而导致整个存储系统不可用或不可信；另一方面，不可信节点不再继续正常使用，防止写入不可信节点的数据成为不可信数据。

鉴于此，本发明在上述维护分布式存储系统数据可信的系统的基础上，还提供一种维护数据可信的方法，该方法包括：

如图2所示，用于存储数据的主节点经可信验证为可信节点的情况下，具体包括如下步骤：

S10：用户向分布式存储系统执行写用户数据操作；

S11：从分布式存储系统中选择主节点、副节点与延迟副节点；

根据用户数据从分布式存储系统中确定主节点与多个副节点，并从多个副节点中确定其中一个作为延迟副节点。

S12：向主节点发送数据写请求，该数据写请求包括用户数据；主节点将用户数据发送至各副节点；

S13：主节点与可信第三方进行可信验证过程；

可信验证过程包括上述存储系统硬件层次、存储系统软件层次、用户数据层次三个层次的可信验证。

S14：主节点可信验证通过，主节点将用户数据发送至延迟副节点，后续由主节点维护各副节点及延迟副节点。

如图3所示，主节点经可信验证为不可信节点的情况下，具体包括如下步骤：

S20：用户向分布式存储系统执行写用户数据操作；

S21：从分布式存储系统中选择主节点、副节点与延迟副节点；

S22：向主节点发送数据写请求，该数据写请求包括用户数据；主节点将用户数据发送至各副节点；

S23：主节点与可信第三方进行可信验证过程；

S24：主节点可信验证未通过，将该主节点列入不可信节点，该不可信节点暂时退出分布式存储系统，使其不具有数据交互功能，直至其恢复可信状态；

S25：将延迟副节点作为新的主节点，向该新的主节点发送数据写请求，新的主节点将用户数据发送至各副节点；

副节点也可重新选择一个新的副节点。

S26：新的主节点与可信第三方进行可信验证过程，若可信验证通过，后续由新的主节点维护各副节点；若可信验证仍不通过，则数据写入失败并发出告警，退出写数据操作。

上所述是本发明的较佳实施例及其所运用的技术原理，对于本领域的技术人员来说，在不背离本发明的精神和范围的情况下，任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变，均属于本发明保护范围之内。