基于存储元数据的云敏感数据安全保护系统及方法

专利名称：基于存储元数据的云敏感数据安全保护系统及方法
技术领域：
本发明涉及计算机安全技术，尤其涉及一种基于存储元数据的云敏感数据安全保护系统及方法，通过保证存储元数据的机密性和安全性以达到对敏感数据文件，以及普通归档数据文件安全保护的目的。
背景技术：
云存储已经成为未来存储发展的一种趋势，目前，云存储厂商正在将各类搜索、应用技术和分布式存储技术相结合，以便能够向企业提供一系列的数据服务。并且，未来的云存储发展趋势，主要还是从安全性、便携性及高效数据访问等角度进行发展。据一项云存储使用情况的调查报告显示，有79%的用户仍未使用云存储，其最主 要的原因就是云存储的数据安全问题。由此可见，数据安全成为制约云存储进一步发展的关键因素。从近年来亚马逊、谷歌等云存储发起者不断暴露的数据安全问题的情况表明单凭云服务商的安全措施不能完全保障云租户的数据安全。因此，为了进一步提高云存储的安全性，云服务商和云租户必须都参与到云安全的实践中。目前，大多数云存储数据安全解决方案还不够完善。云租户普遍倾向于将敏感数据加密后上传，防备云内外可能出现的未授权访问行为。然而，这并不能彻底解决云存储的数据安全问题，而且会产生一系列的副作用，如密钥管理安全、密文操作、加密/解密开销、数据迁移、海量数据高效检索等。云服务商提供的安全措施也只能在某种程度上减轻数据安全风险，如初级的访问控制策略只能限定一般的非法访问行为，而在面对高级的未授权访问如拥有合法云租户账号信息的黑客时则无能为力。在这种情形下，黑客虽然暂时无法获取云租户数据的有效信息，但是可以通过蛮力搜索或窃取云租户密钥来破解密文。因此，现有技术存在缺陷，而有待于改进和发展。根据研究统计，超过50%的文件系统存取访问中都是和元数据相关。在云存储环境下，云租户的数据文件大都采用分布式存储方式分片存放在云数据中心不同的存储结点，而数据检索、管理、存储都依靠元数据，而元数据占整个文件系统中数据总量的1%，其中与数据文件存储位置相关的存储元数据约占元数据总量的1/10。云存储本质上是一个分布式文件存储系统，云租户要访问存储在云服务商数据中心的数据，首先通过系统元数据和内容元数据检索到所需要数据文件的ID (即，根据文件内容生成的内容地址)，然后根据文件ID访问元数据服务器中相关数据的存储元数据，最后根据存储元数据记录的数据块地址信息去数据中心相关存储结点读取数据块并重组成完整的数据文件。在传统的存储系统中，存储元数据被弱化，而在云环境中，存储元数据已具有系统元数据同等重要的地位。因此，对云租户和云服务商而言，维护整个云存储系统数据安全，可通过有效管理约占整个云存储系统数据量1/1000的存储元数据(进行深度访问认证和安全加密)，这样可大大减少客户端或服务器端加密/解密的开销，以及客户密钥管理问题。尤其，针对大多云租户在数据中心中存储的数据都是归档数据(即，固定内容数据)，采用存储元数据访问控制和安全加密既可保证数据安全性，又便于数据的检索、管理和存储等。因为，黑客和非法用户要想访问敏感数据文件，他们必须先得到该数据文件的存储元数据。并且，采用对存储元数据的访问控制和加密与传统的安全方法结合，可实现对重要敏感数据的双重保护。当前，大多数云存储系统都只有“一道防线”，即云数据中心应用服务器的身份认证和客户端或服务器端的数据文件加密。如图3所示，客户端要访问某个文件时，首先需要进行身份认证。通常做法是云租户需要输入账号和密码，云数据中心的应用服务器比对数据库中云租户的账号信息，若两者一致，则认证通过。客户端具体的数据访问流程为1.客户端节点要访问某个数据文件时，为了获取该文件的存储位置，首先向元数据服务器发送元数据访问请求；2.元数据服务器在本地存储系统中查找该文件的元数据(包括文件的存储位置信息和文件的访问权限(读或写等信息))，并把该元数据信息返回给应用服务器；3.应用服务器收到返回结果，向对应的存储结点发送数据请求信息；4.存储结点在验证客户的访问权限之后，从本地存储设备读取相应的文件数据，并将其传送给应用服务器，再由应用服务器传到客户端，或直接由存储结点传客户端，这个数据传输过程不需要元数据服务器的干预；5.客户端在收到所有请求的数据文件后，结束本次文件访问，客户端和存储结点之间传输数据可以是明文也可是密文。并且，云租户上传云数据中心的数据大多是归档数据，归档数据大多是非结构化 或半结构化的固定内容数据(即，不再修改的数据)。这些固定内容数据具有以下特点1)数据量大、数据总量增长快；2)存取性能需求高要保证在任何时间、任何地点都能对存储的固定内容信息快速、便捷地读取。3)要求高可靠性和完整性要确保对信息内容不得有任何修改。4)要求访问与位置无关性对任何固定内容信息的访问与其物理地址/逻辑地址无关，仅与其内容有关，即根据内容定位信息的存放位置。5)要求存储信息具有持久性系统要保证用户所存信息长久保存，甚至超过磁存储设备的生命周期。从以上分析可以看出，传统的安全方式不能适应云环境下用户存储应用和安全需求，主要原因1.对云环境下，快速增长的固定内容数据不能充分满足用户访问性能需求，因为存在加密、解密开销较大，密钥管理复杂；2.当一个具有合法云租户账号和密码信息的黑客访问数据时，如果数据是明文时，云存储服务商无法将其与合法云租户区分开来；
3.要满足云环境数据高可靠性和持久性，数据需要多次迁移，存在密文操作和保存密钥等问题。

发明内容
针对云环境下数据存储特点和存储安全需求，本发明提供一种基于存储元数据的云敏感数据安全保护系统及方法，通过保证存储元数据的机密性和安全性，以提升云环境中敏感数据文件访问安全和数据存储安全；本发明也可用于提升云环境中普通数据文件的访问安全和数据存储安全，达到对敏感数据文件以及普通归档数据文件安全保护的目的。本发明的技术原理云租户从云数据中心中读/写数据文件时，云端服务器必须先从元数据服务器中得到该数据文件的存储元数据，然后根据存储元数据找到相应存储结点或存储卷，最后才能对该数据文件进行读/写操作。本发明根据云租户访问数据的读/写方式，采用对数据文件的存储元数据进行二次深度认证和安全加密，以达到对数据文件安全保护目的，也可结合传统的安全方式对云环境中的敏感数据文件实现双重保护。本发明为解决其技术问题所采用的一个技术方案是提供一种基于存储元数据的云敏感数据安全保护系统，包含
云租户终端，云租户通过所述云租户终端进行数据文件的上传或下载；所述数据文件分为普通数据文件及敏感数据文件,所述普通数据文件及敏感数据文件各自包含三类元数据，即，系统元数据、内容元数据和存储元数据；
应用服务器集群，设置有多个应用服务器；每个应用服务器进一步包括身份认证模块和访问控制模块；所述身份认证模块验证云租户的账号信息是否正确；所述访问控制模块处理云租户读写操作请求的分类，普通数据文件及敏感数据文件的分类，并对准备写入的数据进行预处理；
元数据服务器集群，设置有多个元数据服务器来保存云租户所上传数据文件的所述三类元数据；所述元数据服务器进一步包括普通元数据服务器和敏感元数据服务器；所述普通元数据服务器负责普通数据文件的三类元数据的提取、编辑、保存，以及管理和维护；所述敏感元数据服务器负责对发起敏感数据操作请求的云租户的深度身份认证、敏感数据文件的三类元数据的提取、编辑、保存、管理和维护，以及敏感数据文件存储元数据的加密和 解密；
数据中心，其包括基于不同存储技术的多个存储结点，用以存储合法云租户的数据文件。三类元数据中的所述系统元数据，包括文件与目录的组织关系、文件名与文件身份证的映射关系；
所述内容元数据，包括为满足数据对象形成目的而生成的信息，以及为了有序管理数据对象而产生的信息；
所述存储元数据，包括对存储数据对象资源的描述信息，以及由数据对象根据大小分出来的若干个数据块的存储位置信息及安全属性。所述应用服务器为云租户提供各种数据协议服务接口，并根据处理云租户对普通数据文件或敏感数据文件的读写请求分类的结果，基于存储元数据对云租户的数据文件进行分片以及将数据块重组为云租户原始数据文件。所述应用服务器中的访问控制模块设置有请求分类模块，对有权限的云租户提出的请求进行处理，以提取出读请求或写请求；
所述访问控制模块设置的写预处理模块对写请求进行处理，所述写预处理模块进一步包括将准备写入的数据暂存在本地的缓存模块，以及对暂存在本地的数据进行安全扫描的安全审计模块；
所述访问控制模块还采用数据分片算法对暂存在本地的数据文件进行分片，并提取、编辑分片数据的三类元数据。所述元数据服务器中设置有元数据管理系统，供有权限的云租户对所存普通数据文件和敏感数据文件的内容元数据进行编辑。所述存储结点进一步包括身份认证模块和存储设备；所述身份认证模块认证读写请求的真实性，即是否由相应的元数据服务器签署访问权限证书；所述存储设备存储合法云租户的数据块。本发明的另一个技术方案是提供一种基于存储元数据的云敏感数据安全保护方法，能够应用于上述的安全保护系统中，所述方法包含以下步骤步骤(1)，定义云租户读/写请求的数据文件中的三类元数据，即，系统元数据、内容元数据和存储元数据；
步骤(2)，通过应用服务器将云租户上传的文件数据分成普通数据文件和敏感数据文
件；
步骤(3)，按步骤(I)和(2)的内容，当应用服务器拦截普通数据文件写请求并且身份认证通过后，提取和编辑普通数据文件的三类元数据送入普通元数据服务器中保存，文件数据则以明文或密文形式送入指定的存储结点；
当应用服务器拦截敏感数据文件写请求并且用户身份认证通过后，提取和编辑敏感数据文件的三类元数据，并将其中的存储元数据加密后与系统元数据、内容元数据一起送入敏感元数据服务器中，敏感元数据服务器再对用户进行深度身份认证且通过后将三类元数 据分类保存在数据库中，文件数据则以明文或密文形式送入指定的存储结点；
步骤(4)，按步骤(I)、(2)和(3)的内容，当应用服务器拦截普通数据文件读请求并且身份认证通过后，直接从普通元数据服务器中获得存储元数据，然后根据存储元数据从数据中心指定的存储结点获取数据文件；
当应用服务器拦截敏感数据文件读请求并且身份认证通过后，应用服务器向敏感元数据服务器传送读请求，通过元数据服务器深度身份认证后，敏感元数据服务器解密存储元数据并传送到应用服务器，应用服务器根据存储元数据从数据中心指定的存储结点获取数据文件；应用服务器将从存储结点得到的数据块重组为完整数据文件并发送到云租户的客户端。所述方法中，云租户读数据的流程进一步包含如下过程
Al.云租户通过云租户终端向应用服务器发送I/O请求，应用服务器的身份认证模块验证其身份的合法性及相应的访问权限；
A2.认证通过后，I/O请求到达访问控制模块，首先由请求分类模块提取出读请求；
A3.读请求到达读处理模块，若读请求的数据对象为普通文件，则向普通数据文件元服务器发出元数据请求,进行操作A4 ;若读请求的数据对象为敏感数据文件，则向敏感数据文件元服务器发出元数据请求，进行操作A5 ；
A4.普通元数据服务器在接收到元数据请求后，直接在本地查询相应的元数据，并将其发送给应用服务器，进行操作A6 ；
A5.敏感数据文件元服务器在接收到元数据请求后，首先对云租户进行深度身份认证，以确定其可靠性和真实性及是否具备该敏感数据文件的读取权限；若深度认证通过，则在本地取出相应的元数据，分离出加密的存储元数据，并将其解密后发送给应用服务器，进行操作A6 ；
A6.应用服务器在接受到元数据服务器发送的存储元数据后，据此向数据中心中相应的存储结点或存储卷发出读取数据请求；
A7.存储结点的身份认证模块认证该读请求的真实性，即是否由相应的元数据服务器
签署；
AS.若认证通过，存储结点从其存储设备中取出相应的数据块，并将其发送给应用服务
器；
A9.应用服务器在接受完存储结点发送的数据块后，将这些数据块重新组装成用户原始文件数据，并将其发送给云租户终端；
AlO.云租户终端在收到所要请求的数据文件后，结束本次文件访问。所述方法中，云租户写数据的流程进一步包含如下过程
BI.云租户通过终端向应用服务器发送I/O请求，应用服务器的身份认证模块验证其身份的合法性及相应的访问权限；
B2.认证通过后，I/O请求到达访问控制模块，首先由请求分类模块提取出写请求；
B3.写请求到达写预处理模块，首先由缓存模块将准备写入的数据暂存在本地； B4.安全审计模块对暂存在本地的数据进行安全扫描，以确定云租户上传数据文件的安全性；并且，应用服务器中的访问控制模块采用数据分片算法对暂存在本地的数据文件进行分片，并提取、编辑分片数据的三类元数据；
B5.若写请求的数据对象为普通数据文件，元数据则直接转交给普通元数据服务器存储；若写请求的数据对象为敏感数据文件，元数据则转交给敏感数据文件元服务器，敏感元数据服务器还要对用户的身份进行二次认证；
B6.对普通数据文件，应用服务器将元数据发送到元数据服务器后，将分片的数据块信息按存储元数据发送到各个存储结点或存储卷；对敏感数据文件，用户通过元数据服务器二次身份认证后，应用服务器将元数据发送到元数据服务器后，将分片的数据块信息按存储元数据发送到各个存储结点或存储卷；
B7.对于敏感数据文件，敏感数据文件元数据服务器对元数据中的存储元数据进行加密后存储在对应的数据库中；
B8.存储结点的身份认证模块认证该写请求的真实性，即是否由相应的元数据服务器签署，若认证通过，存储结点将该数据块存入其存储设备或存储卷中，并将操作完成信息发送给应用服务器；
B9.应用服务器在接受完存储结点或存储卷发送的操作完成信息后，确认所有的数据块都已成功存储；
B10.若存储完毕，应用服务器向云租户终端发送数据写入成功信息；
Bll.云租户终端在收到数据写入成功的信息后，结束本次文件写入操作。所述方法中，对云租户的读写操作中三类元数据的处理进一步包含如下过程
Cl.云租户在通过应用服务器的身份认证后，按设定的访问方式发出读数据访问请求
后，进行操作C2飞5，按设定的访问方式发出写数据访问请求后，进行操作C6 C7 ；
C2.该读请求被转发到对应的元数据服务器，元数据服务器通过元数据管理系统在内容元数据库搜索与请求相匹配的所有文件；
C3.元数据管理系统根据记录的文件映射关系，找到匹配文件的存储元数据；
C4.若存储元数据是由普通元数据服务器维护和管理的未加密数据，则直接取出发送给应用服务器；
C5.若存储元数据是由敏感数据文件元服务器维护和管理的加密数据，则需要对云租户的身份进一步深度认证，认证通过后再将存储元数据解密后发送给应用服务器；
C6.应用服务器提取三类元数据，对于普通数据文件，三类元数据直接送到元数据服务器中相应的元数据库中，对于敏感数据文件，元数据服务器对云租户的身份进一步深度认证通过后，系统元数据、内容元数据和加密后的存储元数据一起送元数据服务器相对应的数据库中存储；
C7.对于普通数据文件，云租户可以直接对其内容元数据进行编辑，对于敏感数据文件，云租户必须通过元数据服务器深度身份认证后才能对其内容元数据进行编辑。本发明提供的云敏感数据安全保护系统及方法中，云存储服务商将云租户上传的数据按其指定的重要程度分为敏感数据文件和普通数据文件，普通数据文件的元数据由普通元数据服务器存储、管理和维护，而敏感数据文件的元数据则由敏感元数据服务器分开存储、管理和维护。特别地，将敏感数据文件的存储元数据加密后存储。当云租户提交的数据请求对象为普通数据时，由普通元数据文件服务器按常规方式响应；而云租户请求的对象为敏感数据文件时，并不能直接获取存储元数据，此时敏感数据文件元数据服务器需要对云租户进行深度身份认证，确保其身份的真实性和可靠性，达到保护云租户重要数据安全的目的。也可通过对数据文件加密和对存储元数据加密、访问认证等双重安全保护。本发明可通过对占整个数据量1/1000的存储元数据进行访问控制和加密的方法达到对云环境中的敏感数据文件或者一般数据文件安全保护，从而可大大减少对整个数据文件加密/解密开销，也可结合传统安全方法实现对一些重要敏感数据实现双重安全保护 的目的。这种云存储安全方法的优势在于
O极大地提高了数据安全维护的效率。只需通过维护占整个云存储数据总量1/1000的存储元数据的安全，就能保证数据文件的安全性。改变了在数据文件上构建安全机制的狭隘思想，丰富了数据安全手段。2)显著地提高了现有云存储系统中数据访问安全性。将“一道防线”升级为“双保险”。特别针对高级的未授权访问行为，如拥有合法云租户账号和密码信息的黑客，采用深度身份认证确定其可靠性和真实性。3)保障了云租户敏感数据文件的存储安全性。将敏感数据文件的存储信息如存储位置、访问权限等信息屏蔽，使得敏感数据文件的存储安全性得以保障；而云租户本身就可以对敏感数据文件用自定义加密处理后再上传，因此云租户与云服务商的安全措施“双管齐下”，极大地提高了敏感数据文件的存储安全性。4)降低了数据安全维护代价并保障了其良好的可扩展性。通过有区别、有重点、分层次地保障现有云存储系统中存储元数据的安全性，降低了数据安全维护成本。特别地，这里并不是对所有的元数据服务器进行安全维护，而是针对敏感数据文件元数据服务器。另夕卜，对云存储系统的扩展并不影响其安全性能。


图I为文件存储元数据结构；
图2为文件数据块内容地址到物理地址映射表；
图3为云存储系统数据访问模型的原理 图4为云敏感数据安全模型的结构示意 图5为元数据分类示意 图6为数据访问示意 图7为数据安全流程图。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合图示与具体实施例，进一步阐述本发明提出的一种基于存储元数据的云敏感数据安全保护系统及方法。如图5所示，本发明中将云环境下数据文件的元数据分成三类，S卩，系统元数据、内容元数据和存储元数据。其中，系统元数据包括文件与目录的组织关系、文件名与文件身份证(ID)的映射关系。内容元数据包括外部特征元数据和内部特征元数据；具体是基于组成数据对象的三要素内容、结构和背景，按照作用的不同，将这三要素划分为两类一是为满足数据对象形成目的而生成的信息，以内容为代表，如某文件的文字内容，包括关键词和摘要等，即所述内部特征元数据；二是为了有序管理数据对象而产生的信息，包括结构和背景，其中结构反映了数据对象各部分的组织情况，如文件格式等，背景则反映了文件形成过程，如某文 件创建时间、创建人、修改人、修改时间等，即所述外部特征元数据。存储元数据包括对存储数据对象资源的描述信息，以及数据对象所分的数据块的存储位置信息、安全属性等；所述数据块是指固定文件的组成单位(即，一个文件可按大小分为一个或多个数据块)。例如图I所示，在文件的存储元数据的结构中，用户ID表示该文件的所有者ID，组ID表示该文件所属的组ID，文件的MD5值主要用于文件的完整性验证；文件的访问控制信息主要用于文件访问权限设置，如读、写、修改和删除等；文件的分块信息主要包括各个数据块内容地址CA(Content Address，块内容哈希函数值)，块物理地址映射表基地址是该文件块内容地址到物理地址映射表的基地址。如图2所示的文件数据块内容地址到物理地址映射表中，DCB (Data Control Block)是各个数据块的物理地址，Size是块的大小，Lptr是该块的左相邻块的地址，Rptr是该块的右相邻块的地址。因此，根据存储元数据中记录的相关数据块的地址信息的映射关系，能够从相应的存储结点获取文件的各个数据块用于数据文件的重组。云环境下的数据文件根据其重要程度，被分为普通数据文件和敏感数据文件；则，存储元数据可以分为普通数据文件的存储元数据和敏感数据文件的存储元数据。而敏感数据文件存储元数据，负责屏蔽敏感数据的存储信息如数据块构成、存储位置、安全属性和访问权限等。本发明重点即在于通过对云环境下的敏感数据文件的存储元数据进行加密和访问控制，使非授权用户不能访问和破坏敏感数据文件。如图4所示，本发明所述基于存储元数据的云敏感数据安全保护系统中，云环境包括云租户，应用服务器集群、元数据服务器集群和数据中心。其中，云租户是购买了云存储服务的实体，通过客户端(或称终端)能够享有上传、下载等数据服务。应用服务器集群具有多个应用服务器，且每个应用服务器包括身份认证模块和访问控制模块；身份认证模块验证云租户账号信息是否正确；访问控制模块处理请求的分类(如读操作或写操作)，以及读/写数据进行分类(如分为普通数据文件和敏感文件数据)，并且还对准备写入的数据进行预处理。具体的，应用服务器会为云租户提供各种数据服务接口，并将云租户的请求信息分类，如读、写等；读/写又分为普通数据文件读/写及敏感数据文件读/写。应用服务器还根据存储元数据对云租户文件数据进行分片以及将数据块重组为云租户原始数据文件。在对云租户上传的数据按安全等级如粒度的粗细进行分片，分片算法按安全等级也呈多样化如轮转法、哈希法等。同时，应用服务器中的访问控制模块可供云租户选择上传文件属于普通数据文件还是敏感数据文件。元数据服务器集群具有元数据服务器，用以保存云租户上传数据文件的三类元数据(系统元数据、内容元数据和存储元数据)。元数据服务器进一步包括普通元数据服务器和敏感元数据服务器；普通元数据负责普通数据文件的读写操作和普通数据文件元数据的管理和维护；敏感元数据服务器负责敏感数据文件的读写操作和敏感数据文件元数据的安全管理和维护。敏感元数据服务器进一步包括深度身份认证模块，负责对发起敏感数据文件操作请求的实体进行深度认证，以确定其是否具备相应的操作权限。数据中心包括多种不同种类的存储结点或存储卷，主要存储合法云租户的数据文件。存储结点进一步包括身份认证模块和存储设备；身份认证模块认证读写请求的真实性，即是否由相应的元数据服务器签署访问权限证书；存储设备存储合法云租户的数据块。
配合参见图6、图7所示，本发明所述基于存储元数据的云敏感数据安全保护方法，具体包含以下步骤
步骤(I )，定义云环境下用户读/写请求文件的三类元数据(即，系统元数据、内容元数据和存储元数据)的分类方法，以及内容元数据和存储元数据结构，以及三类元数据的提取、编辑方式。这三类元数据的具体定义及其数据结构，可以参见上文的描述，此处不再赘述。步骤(2)，定义云环境下普通数据文件和敏感数据文件的分类方法。云数据中心应用服务器(面向云租户)的文件分类模块，将云租户上传的文件数据分成普通数据文件和敏感数据文件。步骤(3)，按步骤(I)和(2)的内容，当云数据中心的应用服务器拦截普通数据文件写请求并且身份认证通过后，提取和编辑三类元数据送入普通元数据服务器中保存，文件数据则以明文或密文形式送入指定存储结点。当云数据中心的应用服务器拦截敏感数据文件写请求并且用户身份认证通过后，提取和编辑三类元数据并将存储元数据加密后与系统元数据、内容元数据一起送入敏感元数据服务器中，敏感元数据服务器在对用户进行深度身份认证且通过后将三类元数据分类保存在数据库中，文件数据则以明文或密文形式送入指定存储结点。步骤(4)，按步骤(I)、(2)和(3)的内容，当云数据中心的应用服务器拦截普通数据文件读请求并且身份认证通过后，直接从普通元数据服务器中获得存储元数据，然后根据存储元数据从数据中心指定的结点获取数据文件。当云数据中心的应用服务器拦截敏感数据文件读请求并且身份认证通过后，应用服务器向敏感元数据服务器传送读请求，通过元数据服务器深度身份认证后，敏感元数据服务器解密存储元数据并传送到应用服务器，应用服务器根据存储元数据从数据中心指定的存储结点获取数据文件。应用服务器将从存储结点得到的数据块重组为完整数据文件并发送到云租户的客户端。基于本发明的上述方法，介绍云租户读数据的一种具体应用实例，参见图6，其流程如下Al.云租户通过终端向应用服务器发送I/O请求，应用服务器的身份认证模块验证其身份的合法性及相应的访问权限；
A2.认证通过后，I/O请求到达访问控制模块，首先由请求分类模块提取出读请求；
A3.读请求到达读处理模块，若读请求的数据对象为普通文件，则向普通数据文件元服务器发出元数据请求,进行操作A4 ;若读请求的数据对象为敏感数据文件，则向敏感数据文件元服务器发出元数据请求，进行操作A5 ；
A4.普通元数据服务器在接收到元数据请求后，直接在本地查询相应的元数据，并将其发送给应用服务器，进行操作A6 ；
A5.敏感数据文件元服务器在接收到元数据请求后，首先对云租户进行深度身份认证，以确定其可靠性和真实性及是否具备该敏感数据文件的读取权限；若深度认证通过，则在本地取出相应的元数据，分离出加密的存储元数据，并将其解密后发送给应用服务器，进行操作A6。 A6.应用服务器在接受到元数据服务器发送的存储元数据后，据此向数据中心中相应的存储结点或存储卷发出读取数据请求；
A7.存储结点的身份认证模块认证该读请求的真实性，即是否由相应的元数据服务器
签署；
AS.若认证通过，存储结点从其存储设备中取出相应的数据块，并将其发送给应用服务
器；
A9.应用服务器在接受完存储结点发送的数据块后，将这些数据块重新组装成用户原始文件数据，并将其发送给云租户终端；
A10.云租户终端在收到所要请求的数据文件后，结束本次文件访问。在本发明上述方法中，云租户向云存储系统写入数据的一种具体应用实例，参见图6，其流程如下
BI.云租户通过终端向应用服务器发送I/O请求，应用服务器的身份认证模块验证其身份的合法性及相应的访问权限；
B2.认证通过后，I/O请求到达访问控制模块，首先由请求分类模块提取出写请求；
B3.写请求到达写预处理模块，首先由缓存模块将准备写入的数据暂存在本地；
B4.安全审计模块对暂存在本地的数据进行一系列安全扫描，如内容检测和病毒扫描等，以确定云租户上传数据文件的安全性。并且，应用服务器中的访问控制模块采用数据分片算法(如轮转法)对暂存在本地的数据文件进行分片，并提取、编辑分片数据的三类元数据；
B5.若写请求的数据对象为普通数据文件，元数据则直接转交给普通元数据服务器存储；若写请求的数据对象为敏感数据文件，元数据则转交给敏感数据文件元服务器，敏感元数据服务器还要对用户的身份进行二次认证；
B6.对普通数据文件，应用服务器将元数据发送到元数据服务器后，将分片的数据块信息按存储元数据发送到各个存储结点或存储卷。对敏感数据文件，用户通过元数据服务器二次身份认证后，应用服务器将元数据发送到元数据服务器后，将分片的数据块信息按存储元数据发送到各个存储结点或存储卷。B7.对于敏感数据文件，敏感数据文件元数据服务器对元数据中的存储元数据进行加密后存储在对应的数据库中；
B8.存储结点的身份认证模块认证该写请求的真实性，即是否由相应的元数据服务器签署，若认证通过，存储结点将该数据块存入其存储设备或存储卷中，并将操作完成信息发送给应用服务器；
B9.应用服务器在接受完存储结点或存储卷发送的操作完成信息后，确认所有的数据块都已成功存储；
BlO.若存储完毕，应用服务器向云租户终端发送数据写入成功信息；
Bll.云租户终端在收到数据写入成功的信息后，结束本次文件写入操作。参见图7所示，在上述的读/写操作中，对元数据的操作流程具体包含如下步骤 Cl.云租户在通过应用服务器的身份认证后，对按某种设定的访问方式(如关键词方
式)发出读数据访问请求后，进行操作C2 C5 ;对按设定的访问方式发出写数据访问请求后，进行操作C6飞7 ；
C2.该读请求被转发到对应的元数据服务器，元数据服务器通过元数据管理系统在内容元数据库搜索与该关键词匹配的所有文件；
C3.元数据管理系统根据记录的文件映射关系，找到匹配文件的存储元数据；
C4.若存储元数据是由普通元数据服务器维护和管理的未加密数据，则直接取出发送给应用服务器；
C5.若存储元数据是由敏感数据文件元服务器维护和管理的加密数据，则需要对云租户的身份进一步深度认证，认证通过后再将存储元数据解密后发送给应用服务器。C6.应用服务器提取三类元数据，对于普通数据文件，三类元数据直接送到元数据服务器中相应的元数据库中，对于敏感数据文件，元数据服务器对云租户的身份进一步深度认证通过后，系统元数据、内容元数据和加密后的存储元数据一起送元数据服务器相对应的数据库中存储；
C7.对于普通数据文件，云租户可以直接对其内容元数据进行编辑，对于敏感数据文件，云租户必须通过元数据服务器深度身份认证后才能对其内容元数据进行编辑。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等同物界定。
权利要求
1.一种基于存储元数据的云敏感数据安全保护系统，其特征在于，包含 云租户终端，云租户通过所述云租户终端进行数据文件的上传或下载；所述数据文件分为普通数据文件及敏感数据文件,所述普通数据文件及敏感数据文件各自包含三类元数据，即，系统元数据、内容元数据和存储元数据； 应用服务器集群，设置有多个应用服务器；每个应用服务器进一步包括身份认证模块和访问控制模块；所述身份认证模块验证云租户的账号信息是否正确；所述访问控制模块处理云租户读写操作请求的分类，普通数据文件及敏感数据文件的分类，并对准备写入的数据进行预处理； 元数据服务器集群，设置有多个元数据服务器来保存云租户所上传数据文件的所述三类元数据；所述元数据服务器进一步包括普通元数据服务器和敏感元数据服务器；所述普通元数据服务器负责普通数据文件的三类元数据的提取、编辑、保存，以及管理和维护；所述敏感元数据服务器负责对发起敏感数据操作请求的云租户的深度身份认证、敏感数据文件的三类元数据的提取、编辑、保存、管理和维护，以及敏感数据文件存储元数据的加密和解密； 数据中心，其包括基于不同存储技术的多个存储结点，用以存储合法云租户的数据文件。
2.如权利要求I所述基于存储元数据的云敏感数据安全保护系统，其特征在于， 三类元数据中的所述系统元数据，包括文件与目录的组织关系、文件名与文件身份证的映射关系； 所述内容元数据，包括为满足数据对象形成目的而生成的信息，以及为了有序管理数据对象而产生的信息； 所述存储元数据，包括对存储数据对象资源的描述信息，以及由数据对象根据大小分出来的若干个数据块的存储位置信息及安全属性。
3.如权利要求I所述基于存储元数据的云敏感数据安全保护系统，其特征在于， 所述应用服务器为云租户提供各种数据协议服务接口，并根据处理云租户对普通数据文件或敏感数据文件的读写请求分类的结果，基于存储元数据对云租户的数据文件进行分片以及将数据块重组为云租户原始数据文件。
4.如权利要求3所述基于存储元数据的云敏感数据安全保护系统，其特征在于， 所述应用服务器中的访问控制模块设置有请求分类模块，对有权限的云租户提出的请求进行处理，以提取出读请求或写请求； 所述访问控制模块设置的写预处理模块对写请求进行处理，所述写预处理模块进一步包括将准备写入的数据暂存在本地的缓存模块，以及对暂存在本地的数据进行安全扫描的安全审计模块； 所述访问控制模块还采用数据分片算法对暂存在本地的数据文件进行分片，并提取、编辑分片数据的三类元数据。
5.如权利要求I所述基于存储元数据的云敏感数据安全保护系统，其特征在于， 所述元数据服务器中设置有元数据管理系统，供有权限的云租户对所存普通数据文件和敏感数据文件的内容元数据进行编辑。
6.如权利要求I所述基于存储元数据的云敏感数据安全保护系统，其特征在于，所述存储结点进一步包括身份认证模块和存储设备；所述身份认证模块认证读写请求的真实性，即是否由相应的元数据服务器签署访问权限证书；所述存储设备存储合法云租户的数据块。
7.一种基于存储元数据的云敏感数据安全保护方法，其特征在于，能够应用于如权利要求1飞中任意一项所述的安全保护系统中，所述方法包含以下步骤 步骤(I)，定义云租户读/写请求的数据文件中的三类元数据，即，系统元数据、内容元数据和存储元数据； 步骤(2)，通过应用服务器将云租户上传的文件数据分成普通数据文件和敏感数据文件； 步骤(3)，按步骤(I)和(2)的内容，当应用服务器拦截普通数据文件写请求并且身份认证通过后，提取和编辑普通数据文件的三类元数据送入普通元数据服务器中保存，文件数据则以明文或密文形式送入指定的存储结点； 当应用服务器拦截敏感数据文件写请求并且用户身份认证通过后，提取和编辑敏感数据文件的三类元数据，并将其中的存储元数据加密后与系统元数据、内容元数据一起送入敏感元数据服务器中，敏感元数据服务器再对用户进行深度身份认证且通过后将三类元数据分类保存在数据库中，文件数据则以明文或密文形式送入指定的存储结点； 步骤(4)，按步骤(I)、(2)和(3)的内容，当应用服务器拦截普通数据文件读请求并且身份认证通过后，直接从普通元数据服务器中获得存储元数据，然后根据存储元数据从数据中心指定的存储结点获取数据文件； 当应用服务器拦截敏感数据文件读请求并且身份认证通过后，应用服务器向敏感元数据服务器传送读请求，通过元数据服务器深度身份认证后，敏感元数据服务器解密存储元数据并传送到应用服务器，应用服务器根据存储元数据从数据中心指定的存储结点获取数据文件；应用服务器将从存储结点得到的数据块重组为完整数据文件并发送到云租户的客户端。
8.如权利要求7所述基于存储元数据的云敏感数据安全保护方法，其特征在于， 所述方法中，云租户读数据的流程进一步包含如下过程 Al.云租户通过云租户终端向应用服务器发送I/O请求，应用服务器的身份认证模块验证其身份的合法性及相应的访问权限； A2.认证通过后，I/O请求到达访问控制模块，首先由请求分类模块提取出读请求； A3.读请求到达读处理模块，若读请求的数据对象为普通文件，则向普通数据文件元服务器发出元数据请求,进行操作A4 ;若读请求的数据对象为敏感数据文件，则向敏感数据文件元服务器发出元数据请求，进行操作A5 ； A4.普通元数据服务器在接收到元数据请求后，直接在本地查询相应的元数据，并将其发送给应用服务器，进行操作A6 ； A5.敏感数据文件元服务器在接收到元数据请求后，首先对云租户进行深度身份认证，以确定其可靠性和真实性及是否具备该敏感数据文件的读取权限；若深度认证通过，则在本地取出相应的元数据，分离出加密的存储元数据，并将其解密后发送给应用服务器，进行操作A6 ； A6.应用服务器在接受到元数据服务器发送的存储元数据后，据此向数据中心中相应的存储结点或存储卷发出读取数据请求； A7.存储结点的身份认证模块认证该读请求的真实性，即是否由相应的元数据服务器签署； AS.若认证通过，存储结点从其存储设备中取出相应的数据块，并将其发送给应用服务器； A9.应用服务器在接受完存储结点发送的数据块后，将这些数据块重新组装成用户原始文件数据，并将其发送给云租户终端； AlO.云租户终端在收到所要请求的数据文件后，结束本次文件访问。
9.如权利要求8所述基于存储元数据的云敏感数据安全保护方法，其特征在于， 所述方法中，云租户写数据的流程进一步包含如下过程 BI.云租户通过终端向应用服务器发送I/O请求，应用服务器的身份认证模块验证其身份的合法性及相应的访问权限； B2.认证通过后，I/O请求到达访问控制模块，首先由请求分类模块提取出写请求； B3.写请求到达写预处理模块，首先由缓存模块将准备写入的数据暂存在本地； B4.安全审计模块对暂存在本地的数据进行安全扫描，以确定云租户上传数据文件的安全性；并且，应用服务器中的访问控制模块采用数据分片算法对暂存在本地的数据文件进行分片，并提取、编辑分片数据的三类元数据； B5.若写请求的数据对象为普通数据文件，元数据则直接转交给普通元数据服务器存储；若写请求的数据对象为敏感数据文件，元数据则转交给敏感数据文件元服务器，敏感元数据服务器还要对用户的身份进行二次认证； B6.对普通数据文件，应用服务器将元数据发送到元数据服务器后，将分片的数据块信息按存储元数据发送到各个存储结点或存储卷；对敏感数据文件，用户通过元数据服务器二次身份认证后，应用服务器将元数据发送到元数据服务器后，将分片的数据块信息按存储元数据发送到各个存储结点或存储卷； B7.对于敏感数据文件，敏感数据文件元数据服务器对元数据中的存储元数据进行加密后存储在对应的数据库中； B8.存储结点的身份认证模块认证该写请求的真实性，即是否由相应的元数据服务器签署，若认证通过，存储结点将该数据块存入其存储设备或存储卷中，并将操作完成信息发送给应用服务器； B9.应用服务器在接受完存储结点或存储卷发送的操作完成信息后，确认所有的数据块都已成功存储； B10.若存储完毕，应用服务器向云租户终端发送数据写入成功信息； Bll.云租户终端在收到数据写入成功的信息后，结束本次文件写入操作。
10.如权利要求9所述基于存储元数据的云敏感数据安全保护方法，其特征在于， 所述方法中，对云租户的读写操作中三类元数据的处理进一步包含如下过程 Cl.云租户在通过应用服务器的身份认证后，按设定的访问方式发出读数据访问请求后，进行操作C2 C5 ;按设定的访问方式发出写数据访问请求后，进行操作C6 C7 ； C2.读请求被转发到对应的元数据服务器，元数据服务器通过元数据管理系统在内容元数据库搜索与请求相匹配的所有文件；C3.元数据管理系统根据记录的文件映射关系，找到匹配文件的存储元数据； C4.若存储元数据是由普通元数据服务器维护和管理的未加密数据，则直接取出发送给应用服务器； C5.若存储元数据是由敏感数据文件元服务器维护和管理的加密数据，则需要对云租户的身份进一步深度认证，认证通过后再将存储元数据解密后发送给应用服务器； C6.应用服务器提取三类元数据，对于普通数据文件，三类元数据直接送到元数据服务 器中相应的元数据库中，对于敏感数据文件，元数据服务器对云租户的身份进一步深度认证通过后，系统元数据、内容元数据和加密后的存储元数据一起送元数据服务器相对应的数据库中存储； C7.对于普通数据文件，云租户可以直接对其内容元数据进行编辑，对于敏感数据文件，云租户必须通过元数据服务器深度身份认证后才能对其内容元数据进行编辑。
全文摘要
本发明提出一种基于存储元数据的云敏感数据安全保护系统及方法，将云环境下的元数据分为系统元数据、内容元数据和关于数据文件存储位置信息的存储元数据三类，并按重要程度将云环境下的数据文件分为普通数据文件和敏感数据文件，通过对云环境下的敏感数据文件的存储元数据进行加密和访问控制，使非授权用户不能访问和破坏敏感数据文件；该方法也可与客户端加密和服务器端加密等传统的安全方法结合，对敏感数据文件实现双重保护；该方法也可用于云环境中的一般数据文件的安全保护。由于只对占总数据较小比例的存储元数据访问认证和加密保护，与传统在客户端或服务器端加密的安全保护方法相比有更高的效率，更适合于云租户的归档数据的安全保护。
文档编号H04L29/06GK102833346SQ201210326130
公开日2012年12月19日 申请日期2012年9月6日 优先权日2012年9月6日
发明者韩德志 申请人:上海海事大学