一种存储系统进程访问安全保护方法和系统与流程

本发明涉及信息安全领域，更具体地，涉及一种存储系统进程访问安全保护方法和系统。

背景技术：

目前的安全策略和技术手段均集中在网络安全，计算环境的安全防范，随即现在云计算大数据的兴起，软件定义存储技术的发展，分布式文件系统存储技术快速发展，传统的应用服务器加磁盘阵列存储架构逐渐的被分布式存储架构替代。存储的物理硬件与计算设备越来越通用，也就是说存储的物理设备操作系统上也可以部署应用软件的计算系统，因此存储设备本身可能被木马和病毒或者后门软件植入，从而危害到数据，信息安全。故而从存储系统本身考虑数据安全是一个非常重要的信息安全手段，而对于判断应用程序的方式和数据加密的方式是无法防止内部人员或伪装成内部人员登录到存储系统后台中，挂载存储系统，获取或破坏存储数据。

现有中的方案是通过数据加密校验和判断第一应用程序对该数据的修改操作是否合法对数据进行保护。但是，现有方案中在软件定义架构或云平台环境中只能实现单一存储本机进行加密，且不能够全面的保护存储数据。

技术实现要素：

本发明提供一种克服上述问题的一种存储系统进程访问安全保护方法和系统。

根据本发明的一个方面，提供一种存储系统进程访问安全保护方法，包括：s1、接收目标客户端访问所述存储系统中的数据的请求，向所述目标客户端发送第一指令，以使得所述目标客户端基于所述第一指令通过对应的ip地址挂载所述存储系统，获取所有客户端的进程对应的进程名单列表；s2、根据所述进程名单列表，判断所述目标客户端访问所述存储系统中的数据对应的进程是否存在于所述进程名单列表中，若不存在，则进行报警，并关闭所述目标客户端的存储服务。

优选地，步骤s1之前还包括：s0、对每一客户端的进程进行快照和可信度分析，生成所述进程名单列表，所述进程名单列表中包括每一客户端的所有进程，并将所述进程名单列表保存至第一存储介质中。

优选地，步骤s0之前还包括：基于所有客户端，确定每一客户端处于安全环境，基于所述存储系统中安装的进程安全软件模块，和每一客户端上安装的存储系统关联软件模块，向每一客户端发送第二指令，以使得每一客户端根据所述第二指令对接所述存储系统。

优选地，步骤s2还包括：若所述目标客户端访问所述存储系统中的数据对应的进程存在于所述进程名单列表中，则为所述目标客户端分配编辑所述存储系统中的数据的权限。

优选地，步骤s0中所述第一存储介质为所述存储系统中的第一存储空间或者多个独立存储介质。

优选地，所述独立存储介质为u-key。

优选地，所述存储系统为分布式存储系统。

优选地，所述客户端包括用户客户端和管理员客户端。

优选地，步骤s2中所述若不存在，则进行报警，并关闭所述目标客户端的存储服务进一步包括：若所述目标客户端访问所述存储系统中的数据对应的进程不存在于所述进程名单列表中，则对所述目标客户端的ip地址、主板信息和mac地址进行报警，上报所述管理员客户端，并关闭所述目标客户端的存储服务。

根据本发明的另一个方面，提供一种存储系统进程访问安全保护系统，包括：列表生成模块，用于接收目标客户端访问所述存储系统中的数据的请求，向所述目标客户端发送第一指令，以使得所述目标客户端基于所述第一指令通过对应的ip地址挂载所述存储系统，获取所有客户端的进程对应的进程名单列表；判断保护模块，用于根据所述进程名单列表，判断所述目标客户端访问所述存储系统中的数据对应的进程是否存在于所述进程名单列表中，若不存在，则进行报警，并关闭所述目标客户端的存储服务。

本发明提供的一种存储系统进程访问安全保护方法和系统，通过将进程和进程名单列表中的信息进行对比，判断访问存储系统的进程是否安全，能够同时保护进程的安全以及存储数据的安全。

附图说明

图1为本发明实施例中的一种存储系统进程访问安全保护方法的流程图；

图2为本发明实施例中的实现存储系统进程访问安全保护方法的设备示意图；

图3为本发明实施例中的另一种存储系统进程访问安全保护方法的流程图；

图4为本发明实施例中的一种存储系统进程访问安全保护系统的模块图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1为本发明实施例中的一种存储系统进程访问安全保护方法的流程图，如图1所示，包括：s1、接收目标客户端访问所述存储系统中的数据的请求，向所述目标客户端发送第一指令，以使得所述目标客户端基于所述第一指令通过对应的ip地址挂载所述存储系统，获取所有客户端的进程对应的进程名单列表；s2、根据所述进程名单列表，判断所述目标客户端访问所述存储系统中的数据对应的进程是否存在于所述进程名单列表中，若不存在，则进行报警，并关闭所述目标客户端的存储服务。

具体地，本发明实施例主要基于可部署软件的计算设备作为物理存储设备的存储系统。本实施例的执行主体是服务端，本发明实施例中的服务端为一个或多个，具体的布置按需设置。

进一步地，实施本实施例的存储系统进程访问安全保护方法包括如下设备：服务端、客户端、存储系统和网络。本发明实施例中的客户端优选为pc机。

具体地，挂载所述存储系统是指任一客户端通过对应的唯一ip地址，与存储系统建立连接。对应的ip地址是指目标客户端的ip地址。

进一步地，每一客户端均具有唯一的ip地址、主板信息和mac地址，若任一客户端访问存储系统中的数据对应的进程不存在于所述进程名单列表中，则对上述唯一信息发送至管理员客户端进行报警。

进一步地，关闭所述对应的进程的客户端的存储服务是指停止所述对应的进程的客户端对存储系统访问的进程，拒绝对应的进程的客户端访问存储系统。

本发明提供的一种存储系统进程访问安全保护方法，通过将进程和进程名单列表中的信息进行对比，判断访问存储系统的进程是否安全，能够同时保护进程的安全以及存储数据的安全。

基于上述实施例，步骤s1之前还包括：s0、对每一客户端的进程进行快照和可信度分析，生成所述进程名单列表，所述进程名单列表中包括每一客户端的所有进程，并将所述进程名单列表保存至第一存储介质中。

具体地，进程名单列表是通过数据结构的方式来保存进程信息。

具体地，快照是基于硬件编程技术的一种，针对内存进行的快速读取的技术。

本发明提供的一种存储系统进程访问安全保护方法，通过设置对于进程名单列表的利用，能够对于存储系统的来访进程进行更好的把控。

基于上述实施例，步骤s0之前还包括：基于所有客户端，确定每一客户端处于安全环境，基于所述存储系统中安装的进程安全软件模块，和每一客户端上安装的存储系统关联软件模块，向每一客户端发送第二指令，以使得每一客户端根据所述第二指令对接所述存储系统。

具体地，每一客户端处于安全环境是指每一客户端进行过杀毒，防止客户端进程被木马病毒等感染。存储系统中安装有进程安全软件模块。每一客户端上安装有存储系统关联软件模块，用于和存储系统对接。

进一步地，进程安全软件模块让存储系统自识别进程名单列表内的所有应用程序的进程，防止非列表内的应用程序的进程连接和操作，使用存储系统获取数据信息。

本发明提供的一种存储系统进程访问安全保护方法，通过设置进程安全软件模块和存储系统关联软件模块，将二者作为不可分割的整体，更好地保护进程的安全以及存储数据的安全。

基于上述实施例，步骤s2还包括：若所述目标客户端访问所述存储系统中的数据对应的进程存在于所述进程名单列表中，则为所述目标客户端分配编辑所述存储系统中的数据的权限。

具体地，本发明实施例中的编辑是指新建、删除和修改。

基于上述实施例，步骤s0中所述第一存储介质为所述存储系统中的第一存储空间或者多个独立存储介质。

具体地，存储系统中的第一存储空间是指存储系统中的一部分存储空间作为第一存储介质存储进程名单列表。

进一步地，当第一存储介质为多个独立存储介质时，使得进程名单列表的信息保存在第一存储介质的不同节点上，防止篡改。

本发明提供的一种存储系统进程访问安全保护方法，通过设置多个独立存储介质，使得进程名单列表的信息保存在第一存储介质的不同节点上，防止篡改。能够进一步地防止进程通过伪装成普通用户或者管理员用户的篡改。

基于上述实施例，所述独立存储介质为u-key。

具体地，u-key，全称usbkey。它是一种usb接口的硬件存储设备。usbkey外观与普通的u盘差不多，不同的是其内存放了单片机或智能卡芯片，usbkey有一定的存储空间，可以存储用户的私钥以及数字证书，利用usbkey内置的公钥算法可以实现对用户身份的认证。

基于上述实施例，所述存储系统为分布式存储系统。

具体地，分布式存储系统，是将数据分散存储在多台独立的设备上。传统的网络存储系统采用集中的存储服务器存放所有数据，存储服务器成为系统性能的瓶颈，也是可靠性和安全性的焦点，不能满足大规模存储应用的需要。分布式网络存储系统采用可扩展的系统结构，利用多台存储服务器分担存储负荷，利用位置服务器定位存储信息，它不但提高了系统的可靠性、可用性和存取效率，还易于扩展。

本发明提供的一种存储系统进程访问安全保护方法，通过设置存储系统为分布式存储系统，能够聚焦于现在发展迅猛的分布式存储系统。

基于上述实施例，所述客户端包括用户客户端和管理员客户端。

基于上述实施例，步骤s2中所述若不存在，则进行报警，并关闭所述目标客户端的存储服务进一步包括：若所述目标客户端访问所述存储系统中的数据对应的进程不存在于所述进程名单列表中，则对所述目标客户端的ip地址、主板信息和mac地址进行报警，上报所述管理员客户端，并关闭所述目标客户端的存储服务。

作为一个优选实施例，图2为本发明实施例中的实现存储系统进程访问安全保护方法的设备示意图，图3为本发明实施例中的另一种存储系统进程访问安全保护方法的流程图，本实施例请参见图2和图3。

首先，基于所有客户端，确定每一客户端处于安全环境，基于所述存储系统中安装的进程安全软件模块，和每一客户端上安装的存储系统关联软件模块，向每一客户端发送第二指令，以使得每一客户端根据所述第二指令对接所述存储系统。

其次，对每一客户端的进程进行快照和可信度分析，生成所述进程名单列表，所述进程名单列表中包括每一客户端的所有进程，并将所述进程名单列表保存至第一存储介质中。所述第一存储介质为所述存储系统中的第一存储空间或者多个独立存储介质。

然后，接收目标客户端访问所述存储系统中的数据的请求，向所述目标客户端发送第一指令，以使得所述目标客户端基于所述第一指令通过对应的ip地址挂载所述存储系统，获取所有客户端的进程对应的进程名单列表。

在最后，根据所述进程名单列表，判断所述目标客户端访问所述存储系统中的数据对应的进程是否存在于所述进程名单列表中。若所述目标客户端访问所述存储系统中的数据对应的进程不存在于所述进程名单列表中，则对所述目标客户端的ip地址、主板信息和mac地址进行报警，上报所述管理员客户端，并关闭所述目标客户端的存储服务。若所述目标客户端访问所述存储系统中的数据对应的进程存在于所述进程名单列表中，则为所述目标客户端分配编辑所述存储系统中的数据的权限。

需要说明的是，本实施例的执行主体为服务端，存储系统优选为分布式存储系统，客户端包括用户客户端和管理员客户端。

基于上述实施例，本发明实施例中还提供了一种存储系统进程访问安全保护系统，图4为本发明实施例中的一种存储系统进程访问安全保护系统的模块图，如图4所示，系统包括：列表生成模块，用于接收目标客户端访问所述存储系统中的数据的请求，向所述目标客户端发送第一指令，以使得所述目标客户端基于所述第一指令通过对应的ip地址挂载所述存储系统，获取所有客户端的进程对应的进程名单列表；判断保护模块，用于根据所述进程名单列表，判断所述目标客户端访问所述存储系统中的数据对应的进程是否存在于所述进程名单列表中，若不存在，则进行报警，并关闭所述目标客户端的存储服务。

本发明提供的一种存储系统进程访问安全保护方法和系统，通过将进程和进程名单列表中的信息进行对比，判断访问存储系统的进程是否安全，能够同时保护进程的安全以及存储数据的安全。通过设置对于进程名单列表的利用，能够对于存储系统的来访进程进行更好的把控。通过设置进程安全软件模块和存储系统关联软件模块，将二者作为不可分割的整体，更好地保护进程的安全以及存储数据的安全。通过设置多个独立存储介质，使得进程名单列表的信息保存在第一存储介质的不同节点上，防止篡改。能够进一步地防止进程通过伪装成普通用户或者管理员用户的篡改。通过设置存储系统为分布式存储系统，能够聚焦于现在发展迅猛的分布式存储系统。本发明防止存储数据被木马病毒破坏盗取时，使用存储本身的账号，其他的操作系统或者关闭杀死防护软件模块来窃取数据，避免了其他的类似于防护软件突然宕机导致的数据不可访问，提升存储系统的高可靠性。节省了服务器的计算压力。

最后，本发明的方法仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。