CN103927489A - 一种数据可信存储的系统及其方法 - Google Patents

Abstract

本发明公开了一种数据可信存储的系统及其方法，系统主要包括可信管理中心、应用服务器、存储虚拟化安全网关和后端存储系统四个逻辑实体，可信管理中心作为可信策略的配置和管理实体，应用服务器作为发起数据访问请求的实体，存储虚拟化安全网关作为接收应用层的数据请求，并利用虚拟化技术实现虚拟端口的映射，虚拟存储设备到物理存储设备的转换地址转换以及IO请求的封装，后端存储系统提供数据存储及操作的实际物理介质。其在存储虚拟化技术基础上，通过在存储虚拟化网关或代理层加入可信技术中对数据访问的控制流程，使得对存储系统的访问请求能够经过更严格的安全检查和控制，防止非法访问或恶意的数据存取操作。

Description

一种数据可信存储的系统及其方法

技术领域

本发明涉及信息技术中的信息安全领域，尤其涉及一种对数据进行可信存储的系统和实现方法。

背景技术

云计算应用模式的出现和存储虚拟化技术的应用给后端存储系统的数据安全访问带来新的风险。首先，相对封闭的存储系统更容易暴露在外部网络攻击环境下，而传统的基于网络的安全手段很容易被旁路或被突破。其次，连接存储系统的存储服务器，应用服务器，网络设备等在被攻破后，很容易被当成攻击的跳板，使后端存储系统面临被破坏威胁。

通常数据访问主体在发起访问请求时，传统的访问控制方法只是根据访问主体是否具有权限来判断，无法知道发出请求的访问主体是否处于安全的运行环境下。即使访问的主体具有合法的权限，如果处于恶意环境中的访问主体对数据的访问，仍然会造成数据的泄露和非法访问，比如恶意程序能够在访问主体通过访问控制验证并获得数据后，攻击并截获数据。或假冒合法的访问主体身份通过访问控制的验证获得数据的访问权限。

同时传统数据安全方法只是针对数据访问过程的控制，没有对存储数据的系统自身的防护能力，因此，如果访问程序如果处于恶意环境中，即使访问程序是合法的数据访问请求，也很容易被恶意程序利用，成为攻击存储系统的。这种安全风险，传统的数据安全方法不能解决。

现有的针对存储系统的数据安全方法主要集中在采用密码技术对数据进行处理方面，比如通过密码技术进行数据的分片存储，跟身份认证相结合的密钥管理技术，利用数字证书和客户端用户密钥或文件密钥对数据进行加密并发送给云存储系统等。

现有技术主要利用密码技术在数据的加解密，密钥管理，数据分片，身份认证等方面进行设计，其本质上都是靠对数据密码保护来达到数据安全目的。对数据的密码保护对性能有一定要求，因此需要在存储系统中部署专有的加解密硬件等。其次，密码技术的关键是密钥管理。往往设计复杂的密钥管理其实用性会降低，而简单的密钥管理有很容易被攻破。因此密钥管理往往容易成为这类方案的一个弱点。密钥的配置和人为的错误也很容易造成密钥强度不高，密钥泄露等问题。

发明内容

针对上述问题，本发明提出了一种将可信计算技术和存储虚拟化技术相结合的针对存储系统的数据可信存储方法。在传统访问控制权限判断之外，增加对数据访问主体所处的运行环境的安全状态的检查和判断，使得只有处于合法运行状态下的主体在发起数据访问时，同时具备合法的权限下才能够对数据进行访问。这样能够增强数据存储过程以及存储系统自身的安全性，降低因虚拟化技术的应用所带来的安全风险。

为了解决上述技术问题，本发明采用下述的技术方案：

一种数据可信存储的系统，包括四个逻辑实体分别为可信管理中心、应用服务器、存储虚拟化安全网关和后端存储系统；

所述可信管理中心作为可信策略的配置和管理实体；所述可信管理中心负责配置、保存所有数据访问的可信存储策略及安全策略，也提供对可信策略和安全策略查询及管理的服务；可信存储策略将定义符合什么安全状态的访问请求端才允许对何种安全等级的数据进行访问，可信存储策略定义可信访问规则，包括访问目标数据的安全级别，访问请求方的安全状态和访问方式；可信存储策略依据具体的应用环境数据访问安全需求由安全管理人员制定并配置，该策略将作为可信存储服务端代理验证访问是否合法的唯一依据；

所述应用服务器作为发起数据访问请求的实体，应用服务器包括用于处理存储传输的IO子系统和可信存储客户端代理功能组件；所述IO子系统负责将数据访问请求转换为标准的IO传输请求，通常由应用服务器的操作系统提供，实现相应的底层设备传输驱动功能；所述可信存储客户端代理功能组件是应用服务器上的一个逻辑功能模块，可信存储客户端代理功能组件负责截获数据访问请求并对其进行处理，它和可信存储服务端代理功能组件进行交互来实现度量和可信验证功能，并利用应用服务器提供的数据传输功能将可信度量和验证的数据打包为传输协议能够理解的数据包传输到存储虚拟化安全网关；

所述存储虚拟化安全网关是位于应用服务器和后端存储系统之间的逻辑功能设备，其是存储服务器或者是服务器上的功能软件；它负责处理对后端存储系统的数据访问请求，利用虚拟化技术对访问请求进行处理，实现虚拟设备和物理设备之间的映射，用后端可识别的存储传输协议封装数据块和操作指令，并转发到后端存储系统上，存储虚拟化安全网关还将执行安全控制操作，根据可信存储服务端代理的验证结果进行访问请求的控制，也即拒绝或允许该请求；

后端存储系统提供数据存储及操作的实际物理介质；后端存储系统包括物理或虚拟的存储设备，后端存储系统是数据访问请求实际操作数据的物理或虚拟存储设备，是数据的主要存储地。

具体地，所述存储虚拟化安全网关负责接收应用层的数据请求，并利用虚拟化技术实现虚拟端口的映射，虚拟存储设备到物理存储设备的转换地址转换以及IO请求的封装；所述存储虚拟化安全网关包括虚拟存储管理模块和可信存储服务端代理功能组件，其中所述虚拟存储管理模块提供存储虚拟化技术的底层实现，负责对虚拟存储设备的管理，地址和端口映射，传输协议封装和解析等操作，并将IO请求转换为后端存储系统识别的操作指令并发送到后端存储系统；所述可信存储服务端代理功能组件是存储虚拟化安全网关上的一个逻辑功能部件，或者是独立的专用硬件设备，可信存储服务端代理功能组件则负责实施数据访问的安全控制，并实施可信策略。

具体地，所述可信存储服务端代理功能组件是负责对访问请求实施可信策略判定的逻辑功能部件，可信存储服务端代理功能组件将和可信存储客户端代理功能组件共同完成可信度量和远程验证流程，验证发起访问请求的实体是否符合可信策略和安全策略；可信存储服务端代理功能组件将获取访问请求中的可信属性，并查询可信策略服务器，根据规则验证访问请求是否来自一个符合可信策略规定的安全状态的实体；访问主体的可信属性不仅包含访问主体的身份信息，还包含访问主体所运行环境的安全状态信息，比如发出数据访问请求的应用程序，运行该应用程序的操作系统，所调用的系统组件和存储设备驱动程序等；可信存储服务端代理功能组件将验证结果发送给存储虚拟化安全网关，由其进行传输的安全控制，允许或丢弃该访问请求。

具体地，所述可信存储服务端代理功能组件包括传输处理模块，访问控制实施模块，远程验证及授权模块，其中传输处理模块同虚拟存储管理模块交互来获取来自应用服务器的数据包，并解析其中的安全属性信息，同时也负责传输访问控制模块的控制指令给虚拟存储管理模块；访问控制实施模块依据验证的结果生成允许或拒绝的控制指令；远程验证及授权模块负责同可信管理中心进行交互，它负责查询并缓存可信管理中心安全状态库和可信策略库来获取和访问请求相关的许可安全状态集合，以及可信策略，并依据访问请求中附加的安全属性信息来判断访问请求是否符合可信策略，访问请求实体的可信度量值是否符合安全状态集合的要求，如果两者都满足，则根据可信策略给与本次访问请求相应的授权，授权信息将发送到访问控制实施模块，并最终由虚拟存储管理模块实施对访问请求的控制。

具体地，所述可信管理中心包括可信授权管理模块、安全状态库和可信策略库；所述安全状态库和可信策略库用于存储符合可信策略要求的安全状态值，保存一组许可的或拒绝的安全状态列表或列表的集合；可信策略库保存了访问请求主体采用何种控制方式，定义不同的安全状态级别，以及定义不同的级别或应获得的授权列表；安全状态库和可信策略库是可信存储服务端代理验证访问请求是否合法的唯一依据；所述可信授权管理模块：负责处理来自可信存储服务端代理的查询和验证请求，根据数据访问请求主体的身份标识获取并返回对应的安全状态值集合，并获取相应的可信策略。

具体地，可信存储客户端代理功能组件包括传输处理模块和可信度量模块；传输处理模块则同应用服务器上的IO子系统交互，来封装和解析传输协议层的数据包，它将可信度量模块生成的安全属性数据封装为底层传输协议可识别的数据包，以及解析来自IO子系统的应答数据包获取其中的安全数据；可信度量模块执行对发起数据访问请求的实体的可信度量过程，并将度量的结果交给传输处理模块进行封装；可信度量模块同请求实体之间可以执行符合TCG标准的远程验证协议来获取请求实体的度量值；

基于前面所述的一种数据可信存储的系统，本发明提供一种数据可信存储的方法，采用如下步骤：

(1)应用服务器接收到数据访问请求后，应用服务器上的可信存储客户端代理功能组件会获取该请求并进行处理。

(2)可信存储客户端代理功能组件解析访问请求，获取访问请求的主体身份信息；

(3)可信存储客户端代理功能组件执行远程验证协议，获取请求发起方的安全属性；如果是本地请求，则收集应用服务器上请求发起方所运行环境的可信度量值；如果是网络请求，则同网络请求发起方执行远程验证协议获取远程请求发起方的运行环境的可信度量值；

(4)可信存储客户端代理功能组件将安全属性同数据访问请求封装为底层传输协议识别的数据包；可信存储客户端代理功能组件会调用应用服务器上的IO子系统，通过存储设备驱动程序将数据包发送到存储虚拟化安全网关；

(5)存储虚拟化安全网关上的虚拟存储管理模块收到请求数据包之后会执行IO请求的处理，其中包括对虚拟设备和物理设备地址之间的转换，以及对IO请求数据包的重新封装；同时，虚拟存储管理模块同可信存储服务端模块交互，将数据包中的安全属性传输到服务端模块进行验证；

(6)可信存储服务端代理功能组件解析安全属性，获取可信度量值，计算并验证可信度量值的有效性；有效性的验证是按照可信度量值的生成方法来进行验证，一种实现方式是按照TCG中生成可信度量值的方法，可以采用日志记录的度量顺序和摘要值级联的方式进行验证；

(7)可信存储服务端代理功能组件同可信管理中心交互，查询安全状态列表和该请求主体相关的可信策略；

(8)可信管理中心返回查询结果，结果包含可信策略和许可安全状态集合；

(9)可信存储服务端代理功能组件验证可信度量值是否存在于许可的安全状态集合中，如果存在说明请求方的运行环境符合可信策略，如果不存在，则该访问将被拒绝，然后验证可信策略中的授权信息，如果访问请求不符合授权信息规定的操作授权，则该访问将被拒绝；如果同时满足安全状态和授权，则允许访问；

(10)可信存储服务端代理功能组件根据验证结果转换为虚拟存储管理模式识别的访问控制命令，并发送给虚拟存储管理模块；

(11)虚拟存储管理模块依据访问控制指令实施访问控制；

(12)如果访问被允许，则虚拟存储管理模块封装访问请求，转换为后端存储系统可识别的传输协议和操作指令，并发送到后端存储系统；

(13)后端存储系统获取指令，执行操作，并返回结果。

本发明相比于现有的安全技术手段，本发明具有如下优势：

(1)由于恶意攻击或非法访问大部分都是借助前端应用程序或利用系统的漏洞所发起，传统方法不能验证发出数据访问请求的应用系统的安全状态，只能在恶意程序发起攻击后再进行安全控制。而本发明增加了和设备软硬件状态和系统运行环境状态相关联的访问授权和验证过程，能够确保数据的访问请求来自可信的应用服务器或应用程序，安全控制的强度更高，同时也极大降低了非法访问的风险。

(2)本发明在存储虚拟化技术应用的基础上增加了控制手段，能够很好的兼容当前的以云计算或分布式存储为特点的系统。可信存储代理作为一个逻辑功能部件可以同存储虚拟化软硬件设备整合，或者作为专用安全代理网关同存储虚拟化软硬件设备直连。

(3)本发明所提出的安全控制方法想比传统的在应用层对数据访问的控制，由于部署在数据访问的IO请求处理层，在数据块级别进行操作，对数据访问的性能影响更小。

(4)本发明直接在数据访问底层路径上进行控制，相比现有技术在设备层进行控制具有控制粒度更细。控制效果能够细化的每次IO操作。

存储虚拟化技术的应用能够突破传统物理存储资源的容量限制，解决不均衡使用带来的资源利用率不高弊端，实现存储资源按需供给，动态分配，屏蔽物理存储介质的细节，使资源池化，实现开放式环境的资源共享和高效使用。通常这种技术的应用是通过建立物理存储设备和虚拟设备的映射关系，并在前端的应用服务器和后端存储系统之间设置存储虚拟化网关或代理，利用对前端应用服务所发起的数据访问IO请求进行地址映射及转换，传输协议转换、虚拟设备驱动等操作来实现。

本发明在存储虚拟化技术基础上，通过在存储虚拟化网关或代理层加入可信技术中对数据访问的控制流程，使得对存储系统的访问请求能够经过更严格的安全检查和控制，防止非法访问或恶意的数据存取操作。本发明将在前端应用服务器和后端存储系统之间引入一个逻辑功能部件，称为可信存储代理。可信存储代理将同存储虚拟化安全网关配合，将在数据访问IO请求的级别上进行更严格的安全控制。

附图说明

图1为本发明的系统逻辑功能结构图。

图2为应用本发明其系统逻辑功能模块结构图。

图3为应用本发明的实现流程图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，本实施例一种数据可信存储的系统包括四个逻辑实体，分别为可信管理中心、应用服务器、存储虚拟化安全网关和后端存储系统。可信管理中心作为可信策略的配置和管理实体。应用服务器作为发起数据访问请求的实体，其中应用服务器中实现一个可信存储客户端代理功能组件。存储虚拟化安全网关作为接收应用层的数据请求，并利用虚拟化技术实现虚拟端口的映射，虚拟存储设备到物理存储设备的转换地址转换以及IO请求的封装。其中可信存储服务端代理功能组件则负责实施数据访问的安全控制，并实施可信策略。后端存储系统提供数据存储及操作的实际物理介质。

参照图1，对图1中各主要逻辑功能部件进行详细介绍：

1)可信管理中心：负责配置，保存所有数据访问的可信存储策略及安全策略，也提供对可信策略和安全策略查询及管理的服务。可信存储策略将定义符合什么安全状态的访问请求端才允许对何种安全等级的数据进行访问，因此除配置和管理传统的安全策略之外，可信存储策略将定义可信访问规则，包括访问目标数据的安全级别，访问请求方的安全状态，访问方式等参数。可信存储策略可以依据具体的应用环境数据访问安全需求由安全管理人员制定并配置，该策略将作为可信存储服务端代理验证访问是否合法的唯一依据。如何定义数据安全访问的策略不在本发明范围内。

2)应用服务器：主要是接收并发起数据访问请求的服务器，它可以是运行有数据访问需求应用程序发起请求，也可以接收来自其他客户端的访问请求，比如来自网络的远程客户端请求。应用服务器运行可信存储客户端代理实现对存储虚拟化安全网关访问，应用服务器还要实现IO子系统和存储系统驱动模块(比如SCSI端口驱动程序或虚拟端口驱动等)。

3)可信存储客户端代理：负责截获数据访问请求并对其进行处理。它和服务端代理进行交互来实现度量和可信验证功能，并利用应用服务器提供的数据传输功能将可信度量和验证的数据打包为传输协议能够理解的数据包传输到存储虚拟化安全网关。

4)存储虚拟化安全网关：它是位于前端应用服务器和后端存储系统之间的逻辑功能设备，可以是专用存储服务器也可以是服务器上专用功能软件。它负责处理对后端存储系统的数据访问请求，利用虚拟化技术对访问请求进行处理，比如虚拟设备和物理设备之间的映射，用后端可识别的存储传输协议封装数据块和操作指令，并转发到后端存储系统上。存储虚拟化安全网关还将执行安全控制操作，根据可信存储服务端代理的验证结果进行访问请求的控制，也即拒绝或允许该请求。

5)可信存储服务端代理：负责对访问请求实施可信策略判定的逻辑功能部件。服务端代理将和客户端代理共同完成可信度量和远程验证流程，验证发起访问请求的实体是否符合可信策略和安全策略。服务端代理将获取访问请求中的可信属性，并查询可信策略服务器，根据规则验证访问请求是否来自一个符合可信策略规定的安全状态的实体。访问主体的可信属性不仅仅包含访问主体的身份信息，还包含访问主体所运行环境的安全状态信息，比如发出数据访问请求的应用程序，运行该应用程序的操作系统，所调用的系统组件和存储设备驱动程序等。可信存储服务端代理将验证结果发送给存储虚拟化安全网关，由其进行传输的安全控制，允许或丢弃该访问请求。可信存储服务端代理可以是运行在存储虚拟化安全网关上的一个逻辑功能模块，也可以是独立运行在服务器或硬件上的软件程序。

6)后端存储系统(包括物理或虚拟的存储设备)：数据访问请求实际操作数据的物理或虚拟存储设备，比如存储网络SAN或分布式文件存储系统(NAS等)构成。是数据的主要存储地。通常在实际的存储系统中，还包括存储网络设备和RAID控制器等设备，本发明不考虑存储系统具体实现形式，能够兼容不同的存储系统物理或虚拟的存储设备。

如图2所示，详细介绍本实施中应用服务器、存储虚拟化安全网关以及可信管理中心各自的模块结构，具体如下：

1、应用服务器包括用于处理存储传输的IO子系统和可信存储客户端代理。

1)IO子系统负责将数据访问请求转换为标准的IO传输请求，通常由应用服务器的操作系统提供，实现相应的底层设备传输驱动功能。

2)可信存储客户端代理是应用服务器上的一个逻辑功能模块，包括传输处理模块和可信度量模块。传输处理模块则同应用服务器上的IO子系统交互，来封装和解析传输协议层的数据包。它将可信度量模块生成的安全属性数据封装为底层传输协议可识别的数据包，以及解析来自IO子系统的应答数据包获取其中的安全数据(比如执行远程验证协议的相关协议数据)。可信度量模块执行对发起数据访问请求的实体的可信度量过程。并将度量的结果交给传输处理模块进行封装。可信度量模块同请求实体之间可以执行符合TCG标准的远程验证协议来获取请求实体的度量值。

2、存储虚拟化安全网关

1)虚拟存储管理模块提供存储虚拟化技术的底层实现，负责对虚拟存储设备的管理，地址和端口映射，传输协议封装和解析等操作，并将IO请求转换为后端存储系统识别的操作指令并发送到后端存储系统。

2)可信存储服务端代理是存储虚拟化安全网关上的一个逻辑功能部件，也可以是独立的专用硬件设备(比如专用服务器设备)。可信存储服务端代理包括传输处理模块，访问控制实施模块，远程验证及授权模块。其中传输处理模块同虚拟存储管理模块交互来获取来自应用服务器的数据包，并解析其中的安全属性信息(比如可信度量值等)，同时也负责传输访问控制模块的控制指令给虚拟存储管理模块。访问控制实施模块依据验证的结果生成允许或拒绝的控制指令。

3)远程验证及授权模块负责同可信管理中心进行交互。它负责查询并缓存可信管理中心安全状态库和可信策略库来获取和访问请求相关的许可安全状态集合，以及可信策略。并依据访问请求中附加的安全属性信息来判断访问请求是否符合可信策略。访问请求实体的可信度量值是否符合安全状态集合的要求。如果两者都满足，则根据可信策略给与本次访问请求相应的授权。授权信息将发送到访问控制实施模块，并最终由虚拟存储管理模块实施对访问请求的控制。

3、可信管理中心

1)安全状态库和可信策略库：存储符合可信策略要求的安全状态值(可信度量值)，保存一组许可的或拒绝的安全状态列表或列表的集合。通常采用白名单或黑名单的机制来实现，如果采用白名单则只有在列表中的安全状态才被认为是可信的，如果采用黑名单则在列表中的会认为是不可信的。可信策略库保存了访问请求主体采用何种控制方式(白名单或黑名单)，定义不同的安全状态级别(安全状态可以对应可信的等级)，以及定义不同的级别或应获得的授权列表。安全状态库和可信策略库是可信存储服务端代理验证访问请求是否合法的唯一依据。

2)可信授权管理模块：负责处理来自可信存储服务端代理的查询和验证请求，根据数据访问请求主体的身份标识获取并返回对应的安全状态值集合，并获取相应的可信策略。

参照图3，利用前面所述的一种数据可信存储的系统，详细介绍数据可信存储的具体实现流程，步骤描述如下：

1、应用服务器接收到数据访问请求(来自网络或本地的访问请求)后，应用服务器上的可信存储客户端代理会获取该请求并进行处理。

2、客户端代理解析访问请求，获取访问请求的主体身份信息。

3、客户端代理执行远程验证协议，获取请求发起方的安全属性。如果是本地请求，则收集应用服务器上请求发起方所运行环境的可信度量值；如果是网络请求，则同网络请求发起方执行远程验证协议获取远程请求发起方的运行环境的可信度量值。远程验证协议的实现可以参考TCG规范或建议的实现方式，本发明不规定具体远程验证协议的实现方式。获取的安全属性主要包括请求方运行环境的可信度量值。请求方运行环境(也即可信度量的范围)包括但不限于设备硬件信息，BIOS，固件信息，操作系统内核、系统组件、其他同发起请求的应用程序需要用到的程序组件等。可以根据具体应用场景的安全需求制定不同的度量范围。

4、客户端代理将安全属性同数据访问请求封装为底层传输协议识别的数据包。客户端代理会调用应用服务器上的IO子系统，通过存储设备驱动程序将数据包发送到存储虚拟化安全网关。

5、存储虚拟化安全网关上的虚拟存储管理模块收到请求数据包之后会执行IO请求的处理，其中包括对虚拟设备和物理设备地址之间的转换，以及对IO请求数据包的重新封装。同时，虚拟存储管理模块同可信存储服务端模块交互，将数据包中的安全属性传输到服务端模块进行验证。

6、可信存储服务端代理解析安全属性，获取可信度量值，计算并验证可信度量值的有效性。有效性的验证是按照可信度量值的生成方法来进行验证，一种实现方式是按照TCG中生成可信度量值的方法，可以采用日志记录的度量顺序和摘要值级联的方式进行验证。

7、服务端代理同可信管理中心交互，查询安全状态列表和该请求主体相关的可信策略。

8、可信管理中心返回查询结果。结果包含可信策略和许可安全状态集合。

9、服务端代理验证可信度量值是否存在于许可的安全状态集合中，如果存在说明请求方的运行环境符合可信策略，如果不存在，则该访问将被拒绝。然后验证可信策略中的授权信息，如果访问请求不符合授权信息规定的操作授权，则该访问将被拒绝。如果同时满足安全状态和授权，则允许访问。

10、服务端代理根据验证结果转换为虚拟存储管理模式识别的访问控制命令，并发送给虚拟存储管理模块。

11、虚拟存储管理模块依据访问控制指令实施访问控制。

12、如果访问被允许，则虚拟存储管理模块封装访问请求，转换为后端存储系统可识别的传输协议和操作指令，并发送到后端存储系统。

13、后端存储系统获取指令，执行操作，并返回结果。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种数据可信存储的系统，其特征在于：包括四个逻辑实体分别为可信管理中心、应用服务器、存储虚拟化安全网关和后端存储系统； 

所述可信管理中心作为可信策略的配置和管理实体；所述可信管理中心负责配置、保存所有数据访问的可信存储策略及安全策略，也提供对可信策略和安全策略查询及管理的服务；可信存储策略将定义符合什么安全状态的访问请求端才允许对何种安全等级的数据进行访问，可信存储策略定义可信访问规则，包括访问目标数据的安全级别，访问请求方的安全状态和访问方式；可信存储策略依据具体的应用环境数据访问安全需求由安全管理人员制定并配置，该策略将作为可信存储服务端代理验证访问是否合法的唯一依据； 

所述应用服务器作为发起数据访问请求的实体，应用服务器包括用于处理存储传输的IO子系统和可信存储客户端代理功能组件；所述IO子系统负责将数据访问请求转换为标准的IO传输请求，通常由应用服务器的操作系统提供，实现相应的底层设备传输驱动功能；所述可信存储客户端代理功能组件是应用服务器上的一个逻辑功能模块，可信存储客户端代理功能组件负责截获数据访问请求并对其进行处理，它和可信存储服务端代理功能组件进行交互来实现度量和可信验证功能，并利用应用服务器提供的数据传输功能将可信度量和验证的数据打包为传输协议能够理解的数据包传输到存储虚拟化安全网关； 

所述存储虚拟化安全网关是位于应用服务器和后端存储系统之间的逻辑功能设备，其是存储服务器或者是服务器上的功能软件；它负责处理对后端存储系统的数据访问请求，利用虚拟化技术对访问请求进行处理，实现虚拟设备和物理设备之间的映射，用后端可识别的存储传输协议封装数据块和操作指令，并转发到后端存储系统上，存储虚拟化安全网关还将执行安全控制操作，根据可信存储服务端代理的验证结果进行访问请求的控制，也即拒绝或允许该请求； 

后端存储系统提供数据存储及操作的实际物理介质；后端存储系统包括物理或虚拟的存储设备，后端存储系统是数据访问请求实际操作数据的物理或虚拟存储设备，是数据的主要存储地。 

2.根据权利要求1所述的数据可信存储的系统，其特征在于：所述存储虚拟化安全网关负责接收应用层的数据请求，并利用虚拟化技术实现虚拟端口的映射，虚拟存储设备到物理存储设备的转换地址转换以及IO请求的封装；所述存储虚拟化安全网关包括虚拟存储管理模块和可信存储服务端代理功能组件，其中所述虚拟存储管理模块提供存储虚拟化技术的底层实现，负责对虚拟存储设备的管理，地址和端口映射，传输协议封装和解析等操作，并将IO请求转换 为后端存储系统识别的操作指令并发送到后端存储系统；所述可信存储服务端代理功能组件是存储虚拟化安全网关上的一个逻辑功能部件，或者是独立的专用硬件设备，可信存储服务端代理功能组件则负责实施数据访问的安全控制，并实施可信策略。 

3.根据权利要求2所述的数据可信存储的系统，其特征在于：所述可信存储服务端代理功能组件是负责对访问请求实施可信策略判定的逻辑功能部件，可信存储服务端代理功能组件将和可信存储客户端代理功能组件共同完成可信度量和远程验证流程，验证发起访问请求的实体是否符合可信策略和安全策略；可信存储服务端代理功能组件将获取访问请求中的可信属性，并查询可信策略服务器，根据规则验证访问请求是否来自一个符合可信策略规定的安全状态的实体；访问主体的可信属性不仅包含访问主体的身份信息，还包含访问主体所运行环境的安全状态信息，比如发出数据访问请求的应用程序，运行该应用程序的操作系统，所调用的系统组件和存储设备驱动程序等；可信存储服务端代理功能组件将验证结果发送给存储虚拟化安全网关，由其进行传输的安全控制，允许或丢弃该访问请求。 

4.根据权利要求3所述的数据可信存储的系统，其特征在于：所述可信存储服务端代理功能组件包括传输处理模块，访问控制实施模块，远程验证及授权模块，其中传输处理模块同虚拟存储管理模块交互来获取来自应用服务器的数据包，并解析其中的安全属性信息，同时也负责传输访问控制模块的控制指令给虚拟存储管理模块；访问控制实施模块依据验证的结果生成允许或拒绝的控制指令；远程验证及授权模块负责同可信管理中心进行交互，它负责查询并缓存可信管理中心安全状态库和可信策略库来获取和访问请求相关的许可安全状态集合，以及可信策略，并依据访问请求中附加的安全属性信息来判断访问请求是否符合可信策略，访问请求实体的可信度量值是否符合安全状态集合的要求，如果两者都满足，则根据可信策略给与本次访问请求相应的授权，授权信息将发送到访问控制实施模块，并最终由虚拟存储管理模块实施对访问请求的控制。 

5.根据权利要求1所述的数据可信存储的系统，其特征在于：所述可信管理中心包括可信授权管理模块、安全状态库和可信策略库；所述安全状态库和可信策略库用于存储符合可信策略要求的安全状态值，保存一组许可的或拒绝的安全状态列表或列表的集合；可信策略库保存了访问请求主体采用何种控制方式，定义不同的安全状态级别，以及定义不同的级别或应获得的授权列表； 安全状态库和可信策略库是可信存储服务端代理验证访问请求是否合法的唯一依据；所述可信授权管理模块：负责处理来自可信存储服务端代理的查询和验证请求，根据数据访问请求主体的身份标识获取并返回对应的安全状态值集合，并获取相应的可信策略。 

6.根据权利要求1所述的数据可信存储的系统，其特征在于：可信存储客户端代理功能组件包括传输处理模块和可信度量模块；传输处理模块则同应用服务器上的IO子系统交互，来封装和解析传输协议层的数据包，它将可信度量模块生成的安全属性数据封装为底层传输协议可识别的数据包，以及解析来自IO子系统的应答数据包获取其中的安全数据；可信度量模块执行对发起数据访问请求的实体的可信度量过程，并将度量的结果交给传输处理模块进行封装；可信度量模块同请求实体之间可以执行符合TCG标准的远程验证协议来获取请求实体的度量值。 

7.一种数据可信存储的方法，其特征在于采用如下步骤： 

(1)应用服务器接收到数据访问请求后，应用服务器上的可信存储客户端代理功能组件会获取该请求并进行处理。 

(2)可信存储客户端代理功能组件解析访问请求，获取访问请求的主体身份信息； 

(3)可信存储客户端代理功能组件执行远程验证协议，获取请求发起方的安全属性；如果是本地请求，则收集应用服务器上请求发起方所运行环境的可信度量值；如果是网络请求，则同网络请求发起方执行远程验证协议获取远程请求发起方的运行环境的可信度量值； 

(4)可信存储客户端代理功能组件将安全属性同数据访问请求封装为底层传输协议识别的数据包；可信存储客户端代理功能组件会调用应用服务器上的IO子系统，通过存储设备驱动程序将数据包发送到存储虚拟化安全网关； 

(5)存储虚拟化安全网关上的虚拟存储管理模块收到请求数据包之后会执行IO请求的处理，其中包括对虚拟设备和物理设备地址之间的转换，以及对IO请求数据包的重新封装；同时，虚拟存储管理模块同可信存储服务端模块交互，将数据包中的安全属性传输到服务端模块进行验证； 

(6)可信存储服务端代理功能组件解析安全属性，获取可信度量值，计算并验证可信度量值的有效性；有效性的验证是按照可信度量值的生成方法来进 行验证，一种实现方式是按照TCG中生成可信度量值的方法，可以采用日志记录的度量顺序和摘要值级联的方式进行验证； 

(7)可信存储服务端代理功能组件同可信管理中心交互，查询安全状态列表和该请求主体相关的可信策略； 

(8)可信管理中心返回查询结果，结果包含可信策略和许可安全状态集合； 

(9)可信存储服务端代理功能组件验证可信度量值是否存在于许可的安全状态集合中，如果存在说明请求方的运行环境符合可信策略，如果不存在，则该访问将被拒绝，然后验证可信策略中的授权信息，如果访问请求不符合授权信息规定的操作授权，则该访问将被拒绝；如果同时满足安全状态和授权，则允许访问； 

(10)可信存储服务端代理功能组件根据验证结果转换为虚拟存储管理模式识别的访问控制命令，并发送给虚拟存储管理模块； 

(11)虚拟存储管理模块依据访问控制指令实施访问控制； 

(12)如果访问被允许，则虚拟存储管理模块封装访问请求，转换为后端存储系统可识别的传输协议和操作指令，并发送到后端存储系统； 

(13)后端存储系统获取指令，执行操作，并返回结果。