一种存储对象防篡改方法、装置及设备与流程

本发明涉及对象存储技术领域，更具体地说，涉及一种存储对象防篡改方法、装置、设备及计算机可读存储介质。

背景技术

随着互联网的发展，互联网数据量(非结构化数据)越来越大，因此对象存储应运而生，它适用于存储图片视频等非结构化数据，成为一种新兴的存储方式。对象存储不仅具有块存储的高速与文件存储利于共享的特点，还支持http方式的数据访问，具有较高的灵活性、部署成本低等特点，但是这种数据访问方式也带来了数据安全的风险，导致数据安全性较差，不利于对象存储应用于安全性要求较高的场景下。

综上所述，现有技术提供的对象存储的技术方案中存在数据安全性较差的问题。

技术实现要素：

本发明的目的是提供一种存储对象防篡改方法、装置、设备及计算机可读存储介质，以解决现有技术提供的对象存储的技术方案中存在的数据安全性较差的问题。

为了实现上述目的，本发明提供如下技术方案：

一种存储对象防篡改方法，包括：

创建存储桶，并设置所述存储桶的防篡改属性的各属性值，所述防篡改属性的各属性值对应保护期、非保护期及防篡改功能的开启或关闭；

接收到用户发送的数据请求时，若所述数据请求为对所述存储桶和/或所述存储桶内的存储对象进行删除和/或修改的请求，则判断所述存储桶的防篡改功能是否开启，若所述存储桶的防篡改功能为开启，则判断所述存储桶当前是否处于对应的保护期内，若是，则拒绝所述数据请求，若否，则允许所述数据请求，若所述存储桶的防篡改功能为关闭，则允许所述数据请求。

优选的，还包括：

在所述存储桶的保护期结束之前若存在需要存储至所述存储桶的存储对象，则确定该存储对象为目标对象，并设置所述目标对象的防篡改属性的各属性值；

对应的，所述方法还包括：

若所述数据请求对应所述目标对象，所述存储桶的防篡改功能为关闭或所述存储桶当前不处于对应的保护期内，则判断所述目标对象的防篡改功能是否为开启，若所述目标对象的防篡改功能为开启，则判断所述目标对象当前是否处于对应的保护期内，若是，则拒绝所述数据请求，若否，则允许所述数据请求，若所述目标对象的防篡改功能为关闭，则允许所述数据请求。

优选的，还包括：

接收管理客户端输入的属性设置命令，并基于所述属性设置命令为所述存储桶和/或所述存储桶内存储对象的防篡改属性赋值。

优选的，为所述存储桶设置防篡改属性的各属性值，包括：

为所述存储桶设置防篡改属性的各属性值，所述防篡改属性包括防篡改功能开关、第一时间段、第二时间段、开始时间及结束时间，所述防篡改功能开关的属性值为防篡改功能开启或关闭，所述第一时间段的属性值为所述存储桶创建时刻至保护期开始时刻之间的时间，所述第二时间段的属性值为所述存储桶创建时刻至保护期结束时刻之间的时间，所述开始时间的属性值为所述保护期开始时刻，所述结束时间的属性值为所述保护期结束时刻。

优选的，为所述目标对象设置防篡改属性的各属性值，包括：

确定所述目标对象的防篡改属性值包括防篡改功能开关、保护期的开始时间及结束时间，确定所述目标对象的防篡改功能开关的属性值与所述存储桶的防篡改功能开关当前的属性值相同，确定所述目标对象的开始时间的属性值为当前时刻时间与所述存储桶的第一时间段的属性值的加和，确定所述目标对象的结束时间的属性值为当前时刻时间与所述存储桶的第二时间段的属性值的加和。

优选的，还包括：

在所述存储桶结束保护期之后，将所述存储桶的防篡改功能开关的属性值设置为防篡改功能关闭。

优选的，还包括：

接收到用户发送的数据请求时，若所述数据请求不为对所述存储桶和/或所述存储桶内的存储对象进行删除和/或修改的请求，则允许该访问请求。

一种存储对象防篡改装置，包括：

创建模块，用于：创建存储桶，并设置所述存储桶的防篡改属性的各属性值，所述防篡改属性的各属性值对应保护期、非保护期及防篡改功能的开启或关闭；

第一判断模块，用于：接收到用户发送的数据请求时，若所述数据请求为对所述存储桶和/或所述存储桶内的存储对象进行删除和/或修改的请求，则判断所述存储桶的防篡改功能是否开启，若所述存储桶的防篡改功能为开启，则判断所述存储桶当前是否处于对应的保护期内，若是，则拒绝所述数据请求，若否，则允许所述数据请求，若所述存储桶的防篡改功能为关闭，则允许所述数据请求。

一种存储对象防篡改设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上任一项所述存储对象防篡改方法的步骤。

一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述存储对象防篡改方法的步骤。

本发明提供了一种存储对象防篡改方法、装置、设备及计算机可读存储介质，其中该方法包括：创建存储桶，并设置所述存储桶的防篡改属性的各属性值，所述防篡改属性的各属性值对应保护期、非保护期及防篡改功能的开启或关闭；接收到用户发送的数据请求时，若所述数据请求为对所述存储桶和/或所述存储桶内的存储对象进行删除和/或修改的请求，则判断所述存储桶的防篡改功能是否开启，若所述存储桶的防篡改功能为开启，则判断所述存储桶当前是否处于对应的保护期内，若是，则拒绝所述数据请求，若否，则允许所述数据请求，若所述存储桶的防篡改功能为关闭，则允许所述数据请求。本发明公开的技术方案中，在创建存储桶后还为存储桶设置了对应保护期、非保护期及防篡改功能的属性值，从而在用户需要对存储桶内的存储对象进行删除和/或修改的操作时，仅在存储桶未开启防篡改功能或开启了防篡改功能但是处于非保护期时允许访问，否则则不允许访问，从而使得存储桶在根据实际需要设定的可能存在数据安全隐患的特定时间段、即保护期内能够被有效保护，进而提高了对象存储系统中存储对象的数据安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种存储对象防篡改方法的流程图；

图2为本发明实施例提供的一种存储对象防篡改装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1，其示出了本发明实施例提供的一种存储对象防篡改方法的流程图，可以包括：

s11：创建存储桶，并设置存储桶的防篡改属性的各属性值，防篡改属性的各属性值对应保护期、非保护期及防篡改功能的开启或关闭。

本发明实施例提供的一种存储对象防篡改方法的执行主语可以为对应的装置，而该装置可以设置在对象存储系统中，因此本发明实施例提供的一种存储对象防篡改方法的执行主语可以为对象存储系统。需要说明的是，创建存储桶及为存储桶设置防篡改属性的各属性值可以为在客户端的触发下实现的，在对象存储系统中，存储桶用来存放对象，桶类似于文件系统中的文件夹，而对象则类似于文件，一个存储桶中可存放多个对象。

s12：接收到用户发送的数据请求时，若数据请求为对存储桶和/或存储桶内的存储对象进行删除和/或修改的请求，则判断存储桶的防篡改功能是否开启，若存储桶的防篡改功能为开启，则判断存储桶当前是否处于对应的保护期内，若是，则拒绝数据请求，若否，则允许数据请求，若存储桶的防篡改功能为关闭，则允许数据请求。

其中接收到用户发送的数据请求时时指每次接收到用户发送的数据请求都会执行步骤s12中接收到用户发送的数据请求时需执行的步骤。一般对于存储桶的访问可以包括对存储桶包含的存储对象进行查看、下载、删除及修改等操作，本申请中的保护期为仅允许对存储桶内的存储对象进行查看及下载，而不允许对存储桶内的存储对象进行删除及修改的时期，非保护期为允许对存储桶内的存储对象进行任意操作的时期。因此，在接收到用户发送的数据请求时，可以通过防篡改功能及存储桶是否处于对应的保护期的判断确定是否允许用户实现对存储桶内存储对象的删除和/或修改的操作。另外，保护期及非保护期的具体时间可以由客户端或者系统自动设定，一般来说，客户端或者系统基于历史预测会存在数据安全隐患的时间段可以设置为保护期，其他时间段则可以设置为非保护期。

本发明公开的技术方案中，在创建存储桶后还为存储桶设置了对应保护期、非保护期及防篡改功能的属性值，从而在用户需要对存储桶内的存储对象进行删除和/或修改的操作时，仅在存储桶未开启防篡改功能或开启了防篡改功能但是处于非保护期时允许访问，否则则不允许访问，从而使得存储桶在根据实际需要设定的可能存在数据安全隐患的特定时间段、即保护期内能够被有效保护，进而提高了对象存储系统中存储对象的数据安全性。

本发明实施例提供的一种存储对象防篡改方法，还可以包括：

在存储桶的保护期结束之前若存在需要存储至存储桶的存储对象，则确定该存储对象为目标对象，并设置目标对象的防篡改属性的各属性值；

对应的，方法还可以包括：

若数据请求对应目标对象，存储桶的防篡改功能为关闭或存储桶当前不处于对应的保护期内，则判断目标对象的防篡改功能是否为开启，若目标对象的防篡改功能为开启，则判断目标对象当前是否处于对应的保护期内，若是，则拒绝数据请求，若否，则允许数据请求，若目标对象的防篡改功能为关闭，则允许数据请求。

需要说明的是，存储桶的保护期结束之前可以包括保护期之前和保护期之中的各时刻时间，此时需要加入的存储对象，也需设置对应于保护期、非保护期及防篡改功能的属性值，从而在用户需要对该存储对象实现修改和/或删除时，不仅需要通过存储桶防篡改功能及所处时期(保护期或非保护期)的判断，还需通过上述步骤实现对存储对象防篡改功能及所处时间的判断，从而进一步保证了存储对象的安全性。

另外，需要说明的是，本发明中对于不同对象防篡改功能、保护期及非保护期的概念相同，区别在于具体的赋值不同，也即存储桶具有自身对应的防篡改功能、保护期及非保护期，而存储对象也具有自身对应的防篡改功能、保护期及非保护期；对应的，判断存储桶是否处于对应保护期中的对应保护期即为存储桶自身对应的保护期，判断存储对象是否处于对应保护期中的对应保护期即为存储对象自身对应的保护期。

本发明实施例提供的一种存储对象防篡改方法，还可以包括：

接收管理客户端输入的属性设置命令，并基于属性设置命令为存储桶和/或存储桶内存储对象的防篡改属性赋值。

需要说明的是，本申请中可以设置一个在任意时期均可以对存储桶内存储对象实现各项操作的管理者、即管理客户端，对应的，接收到用户发送的数据请求之后，还可以判断发送数据请求的用户是否为管理客户端，如果是，则允许数据请求，否则，则执行若数据请求为对存储桶和/或存储桶内的存储对象进行删除和/或修改的请求，则判断存储桶的防篡改功能是否开启的步骤及后续步骤，从而使得方案更符合用户需求。而管理客户端可以随时实现对各项防篡改属性的属性值修改，因此其可以将各项防篡改属性的属性值携带于属性设置命令中输入，以指示将属性设置命令中各项属性值赋值给存储桶和/或存储桶内存储对象的对应防篡改属性，从而使得方案更加灵活。

本发明实施例提供的一种存储对象防篡改方法，为存储桶设置防篡改属性的各属性值，可以包括：

为存储桶设置防篡改属性的各属性值，防篡改属性包括防篡改功能开关、第一时间段、第二时间段、开始时间及结束时间，防篡改功能开关的属性值为防篡改功能开启或关闭，第一时间段的属性值为存储桶创建时刻至保护期开始时刻之间的时间，第二时间段的属性值为存储桶创建时刻至保护期结束时刻之间的时间，开始时间的属性值为保护期开始时刻，结束时间的属性值为保护期结束时刻。

需要说的是，上述五个防篡改属性的属性值可以为kv值，即一个key对应一个value，具体来说，上述五个防篡改属性可以表示如下：

(1)bucket_use_worm:true(false)

(2)x-amz-meta-lock-delay-begin:3600

(3)x-amz-meta-lock-delay-end:7200

(4)x-amz-meta-lock-begin:1527070218

(5)x-amz-meta-lock-end:1527073456

其中，(1)为防篡改功能开关，当value值为true时，防篡改功能开启，当value值为false时，防篡改功能关闭。(2)为第一时间段，具体为存储桶或存储对象创建时刻至存储桶或存储对象进入保护期时刻之间的时间，单位可以为秒，其值设置为3600表示从存储桶或存储对象创建时起，一个小时后进入保护期。(3)为第二时间段，具体为存储桶或存储对象创建时刻至存储桶或存储对象保护期结束时刻之间的时间，单位可以为秒，其值设置为7200表示从存储桶或存储对象创建时起，两个小时后结束保护期。(4)为开始时间，value值为linux时间戳，表示存储桶或存储对象进入保护期的绝对时间(即时刻时间)。(5)为结束时间，value值为linux时间戳，表示存储桶或存储对象结束保护期的绝对时间(即时刻时间)。

通过上述五项防篡改属性可以准确确定出存储桶或存储对象的防篡改功能设置、保护期及非保护期。另外需要说明的是，存储桶和存储桶内存储对象可以分成三个阶段的可操作权限，其中延时保护期和关闭保护期组成非保护期：

1：延时保护期：由存储桶或存储对象创建时刻开始至存储桶或存储对象进入保护期之前时刻之间的时间，延时保护期内可以对存储桶或存储对象进行删除、修改、查看、下载等操作；

2：保护期：保护期内仅支持对存储桶或存储对象的查看和下载操作，将不能对存储桶或存储对象执行删除或修改操作。

3：关闭保护期：保护期结束之后的时间，关闭保护期内对存储桶或存储对象进行删除、修改、查看、下载等操作。

本发明实施例提供的一种存储对象防篡改方法，为目标对象设置防篡改属性的各属性值，可以包括：

确定目标对象的防篡改属性值包括防篡改功能开关、保护期的开始时间及结束时间，确定目标对象的防篡改功能开关的属性值与存储桶的防篡改功能开关当前的属性值相同，确定目标对象的开始时间的属性值为当前时刻时间与存储桶的第一时间段的属性值的加和，确定目标对象的结束时间的属性值为当前时刻时间与存储桶的第二时间段的属性值的加和。

在存储桶的延时保护期及保护期需存储至存储桶的存储对象的防篡改属性设置可以按照上述方式实现，具体来说，存储对象将继承存储桶的bucket_use_worm属性，并根据当前时刻时间与桶的x-amz-meta-lock-delay-begin，x-amz-meta-lock-delay-end两个属性值相加，得到该存储对象的x-amz-meta-lock-begin，x-amz-meta-lock-end属性值。该存储对象共有3个防篡改属性，而存储桶是5个放篡改属性值。具体的计算公式如下：time_now(当前时刻时间)+x-amz-meta-lock-delay-begin(第一时间段)＝x-amz-meta-lock-begin(目标对象的开始时间)，x-amz-meta-lock-end计算方法同理可得出。从而简化了存储对象的属性值赋值。

本发明实施例提供的一种存储对象防篡改方法，还可以包括：

在存储桶结束保护期之后，将存储桶的防篡改功能开关的属性值设置为防篡改功能关闭。

在存储桶结束保护期之后可以将bucket_use_worm的属性值置为false，即关闭防篡改功能。由此，确定存储桶无需再实现防篡改功能，减少了对应防篡改功能是否开启的判断步骤的不必要实现，提高了数据访问效率。对应的，在存储桶内的存储对下结束保护期之后也可以关闭防篡改功能；当然也可以根据实际需要进行其他设置，均在本发明的保护范围之内。

本发明实施例提供的一种存储对象防篡改方法，还可以包括：

接收到用户发送的数据请求时，若数据请求不为对存储桶和/或存储桶内的存储对象进行删除和/或修改的请求，则允许该访问请求。

如果用户发送的数据请求不为对存储桶和/或存储桶内的存储对象进行删除和/或修改的请求，则可以直接允许该请求，方便了用户的操作。

本发明实施例提供的技术方案提高了对象存储的数据保护能力，扩展了扩展了对象存储的应用场景，加强了对象存储的适应性。

本发明实施例还提供了一种存储对象防篡改装置，如图2所示，可以包括：

创建模块11，用于：创建存储桶，并设置存储桶的防篡改属性的各属性值，防篡改属性的各属性值对应保护期、非保护期及防篡改功能的开启或关闭；

第一判断模块12，用于：接收到用户发送的数据请求时，若数据请求为对存储桶和/或存储桶内的存储对象进行删除和/或修改的请求，则判断存储桶的防篡改功能是否开启，若存储桶的防篡改功能为开启，则判断存储桶当前是否处于对应的保护期内，若是，则拒绝数据请求，若否，则允许数据请求，若存储桶的防篡改功能为关闭，则允许数据请求。

本发明实施例提供的一种存储对象防篡改装置，还可以包括：

确定模块，用于：在存储桶的保护期结束之前若存在需要存储至存储桶的存储对象，则确定该存储对象为目标对象，并设置目标对象的防篡改属性的各属性值；

第二判断模块，用于：若数据请求对应目标对象，存储桶的防篡改功能为关闭或存储桶当前不处于对应的保护期内，则判断目标对象的防篡改功能是否为开启，若目标对象的防篡改功能为开启，则判断目标对象当前是否处于对应的保护期内，若是，则拒绝数据请求，若否，则允许数据请求，若目标对象的防篡改功能为关闭，则允许数据请求。

本发明实施例提供的一种存储对象防篡改装置，还可以包括：

赋值模块，用于：接收管理客户端输入的属性设置命令，并基于属性设置命令为存储桶和/或存储桶内存储对象的防篡改属性赋值。

本发明实施例提供的一种存储对象防篡改装置，创建模块可以包括：

设置单元，用于：为存储桶设置防篡改属性的各属性值，防篡改属性包括防篡改功能开关、第一时间段、第二时间段、开始时间及结束时间，防篡改功能开关的属性值为防篡改功能开启或关闭，第一时间段的属性值为存储桶创建时刻至保护期开始时刻之间的时间，第二时间段的属性值为存储桶创建时刻至保护期结束时刻之间的时间，开始时间的属性值为保护期开始时刻，结束时间的属性值为保护期结束时刻。

本发明实施例提供的一种存储对象防篡改装置，确定模块可以包括：

确定单元，用于：确定目标对象的防篡改属性值包括防篡改功能开关、保护期的开始时间及结束时间，确定目标对象的防篡改功能开关的属性值与存储桶的防篡改功能开关当前的属性值相同，确定目标对象的开始时间的属性值为当前时刻时间与存储桶的第一时间段的属性值的加和，确定目标对象的结束时间的属性值为当前时刻时间与存储桶的第二时间段的属性值的加和。

本发明实施例提供的一种存储对象防篡改装置，还可以包括：

修改模块，用于：在存储桶结束保护期之后，将存储桶的防篡改功能开关的属性值设置为防篡改功能关闭。

本发明实施例提供的一种存储对象防篡改装置，还可以包括：

允许访问模块，用于：接收到用户发送的数据请求时，若数据请求不为对存储桶和/或存储桶内的存储对象进行删除和/或修改的请求，则允许该访问请求。

本发明实施例还提供了一种存储对象防篡改设备，可以包括：

存储器，用于存储计算机程序；

处理器，用于执行计算机程序时实现如上任一项存储对象防篡改方法的步骤。

本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上任一项存储对象防篡改方法的步骤。

需要说明的是，本发明实施例提供的一种存储对象防篡改装置、设备及计算机可读存储介质中相关部分的说明请参见本发明实施例提供的一种存储对象防篡改方法中对应部分的详细说明，在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。