[发明专利]一种基于业务隔离存储的海量存储数据保护系统及方法

权利要求书

1.一种基于业务隔离存储的海量存储数据保护系统，其特征在于，包括，

业务系统，配置有若干并提供待存储业务数据；

分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；

密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。

2.根据权利要求1所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述业务系统在将业务数据存储前，首先将待存储的业务数据Data分成多块，数据分块采用block_m来表示，即Data={block₁，block₂，…，block_m}，其中m=业务数据Data的大小除以系统块大小，系统块大小则由管理员自定义设置。

3.根据权利要求1所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述密钥管理服务器KMS提供的密钥进行加密时，根据DataNode节点获取的数据分块确定，即：业务系统首先将数据分块发送给对应的DataNode节点；DataNode节点再与密钥管理服务器KMS进行通信，获取对应的数据加密密钥key，然后对数据分块进行加密。

4.根据权利要求3所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述密钥对数据分块进行加密采用的加密算法包括DES算法、商用对称加密算法。

5.根据权利要求1-4任一所述的一种基于业务隔离存储的海量存储数据保护系统，其特征在于，所述密钥管理服务器KMS提供的密钥进行解密时，根据DataNode节点存储的数据分块确定，即：用户通过业务系统与NameNode节点进行通信获取数据分块与DataNode的对应关系，然后根据用户需要读取的数据，发送数据分块读取请求到DataNode节点，由DataNode节点根据用户id从密钥管理服务器KMS获取其对应的密钥，对密文数据分块进行解密，并将解密后的数据返回给业务系统由用户读取。

6.一种基于业务隔离存储的海量存储数据保护方法，其特征在于，基于上述系统，其实现过程为，

一、首先业务系统将待存储的业务数据上传到分布式文件系统HDFS的DataNode节点；

二、由DataNode节点依据业务系统的id与密钥管理服务器KMS进行通信获取对应业务系统的密钥，完成数据的加密操作；

三、当业务系统读取数据时，由DataNode节点依据业务系统的id与密钥管理服务器KMS进行通信获取对应业务系统的密钥，完成数据的解密操作，然后将数据返回给用户。

7.根据权利要求6所述的一种基于业务隔离存储的海量存储数据保护方法，其特征在于，在步骤一之前，还包括系统初始化的步骤，在该步骤中，密钥管理服务器KMS初始化系统初始参数：密钥管理服务器KMS读取业务系统配置文件获取业务系统的数量BussNum及业务系统的安全等级SecLevel，并构建密钥key_n和业务系统buss_n之间的映射关系，其中n取值为1……BussNum，密钥key_n的长度由业务系统安全等级SecLevel决定，即业务系统的安全等级越高，密钥长度越长。