[发明专利]一种基于业务隔离存储的海量存储数据保护系统及方法

说明书

本发明公开了一种基于业务隔离存储的海量存储数据保护系统及方法，包括业务系统，配置有若干并提供待存储业务数据；分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。该一种基于业务隔离存储的海量存储数据保护系统及方法与现有技术相比，可以有效防止用户对海量存储数据的访问及解析，即使数据被用户非法访问，也无法正确解析其中的数据，可以有效地保护海量存储数据的安全。

技术领域

本发明涉及数据安全技术领域，尤具体地说是一种实用性强、基于业务隔离存储的海量存储数据保护系统及方法。

背景技术

云计算系统借助虚拟机化技术来实现资源的动态分配、弹性部署，虚拟化技术通过对硬件资源的抽象封装实现了系统级的隔离，为不同安全等级的应用和服务提供了互不影响的运行环境，也为系统安全监控软件部署提供了有利条件。

云存储是在云计算的基础上实现的具有弹性伸缩能力的存储服务，当用户上传自身明文数据到海量存储系统时，包括系统管理员的用户很容易对海量存储数据进行访问及解析，导致数据容易被用户非法访问，存储数据的安全性无法得到有效保护。

为实现多租户的数据隔离，本本发明专利提出了一种基于业务隔离存储的海量存储数据保护技术。

发明内容

本发明的技术任务是针对以上不足之处，提供一种实用性强、基于业务隔离存储的海量存储数据保护系统及方法。

一种基于业务隔离存储的海量存储数据保护系统，包括，

业务系统，配置有若干并提供待存储业务数据；

分布式文件系统HDFS，包括NameNode节点、DataNode节点，NameNode节点、DataNode节点均连接上述业务系统，NameNode节点存储并提供待存储数据与DataNode节点的对应关系，DataNode节点存储业务系统中对应的待存储业务数据；

密钥管理服务器KMS，与DataNode节点通信连接并为其提供密钥，通过将密钥发送给DataNode节点完成对待存储业务数据的加解密。

所述业务系统在将业务数据存储前，首先将待存储的业务数据Data分成多块，数据分块采用block_m来表示，即Data={block₁，block₂，…，block_m}，其中m=业务数据Data的大小除以系统块大小，系统块大小则由管理员自定义设置。

所述密钥管理服务器KMS提供的密钥进行加密时，根据DataNode节点获取的数据分块确定，即：业务系统首先将数据分块发送给对应的DataNode节点；DataNode节点再与密钥管理服务器KMS进行通信，获取对应的数据加密密钥key，然后对数据分块进行加密。

所述密钥对数据分块进行加密采用的加密算法包括DES算法、商用对称加密算法。

所述密钥管理服务器KMS提供的密钥进行解密时，根据DataNode节点存储的数据分块确定，即：用户通过业务系统与NameNode节点进行通信获取数据分块与DataNode的对应关系，然后根据用户需要读取的数据，发送数据分块读取请求到DataNode节点，由DataNode节点根据用户id从密钥管理服务器KMS获取其对应的密钥，对密文数据分块进行解密，并将解密后的数据返回给业务系统由用户读取。