CN104301301A - 一种基于云存储系统间的数据迁移加密方法 - Google Patents

Abstract

本发明公开了一种云存储系统间的数据迁移加密方法，涉及数据迁移和集群并行计算技术领域。本发明作用对象是两个云系统间即公有云到公有云的场景下，组合多种成熟的安全技术RBAC，访问控制规则等，得到一种安全数据迁移方法。基于身份的访问控制来实现组织的访问策略，源系统的中央节点作为主体，目的系统中央节点作为客体，需要经过访问规则即权限表达式验证后才能实现主客体间赋予相互通信。利用RBAC，主体中引入角色，客体中引入标签，如果验证通过，客体返回一个Token给角色，从而角色定义读权限(r)和写权限(w)以便和标签的文件读写。通过每个主体关联角色，角色拥有不同的读写权限来访问客体标签，根据不同的权限不会使读写过程混淆，提高效率。

Description

一种基于云存储系统间的数据迁移加密方法

技术领域

本发明提出一种云存储系统间的数据迁移加密方法，涉及数据迁移和集群并行计算技术领域。

背景技术

相关术语定义及缩略词：

云存储系统：以数据存储和管理为核心的云计算系统，分为公有云和私有云系统。

公有云：云的基础设施是由云服务提供商所拥有和管理的，设备部署在云服务商内部，用户存储的数据就不受自己控制，数据很有可能被授权给不被信任的人访问。

私有云：客户自已拥有和管理云的基础设施，并将其部署在自己的内部，只允许被授权的人进行访问。

数据迁移：移动数据从一个系统或者大量系统到新环境的过程。

源云系统：包括源中央节点和数据节点；

目的云系统：包括目的中央节点和数据节点；

中央节点：源云系统和目的云系统都有中央节点。源云系统的中央节点负责接收开始迁移数据的命令以及接受源云系统中数据节点的read请求；目的云系统的中央节点负责接收数据节点的write请求。

数据节点：源云系统和目的云系统都有数据节点。数据节点主要负责存储数据以及处理中央节点传来的处理数据请求。数据节点得到源中央节点的输入文件位置信息以及目的中央节点的输出文件位置信息，以此来进行云系统间的文件传输。

RBAC：基于角色的访问控制，为系统主体用户定义角色集合，角色之间可以层次继承，用户通过成为适当角色的成员而得到这些角色的权限，用来相互通信。

数据迁移指的是移动数据从一个系统或者大量系统到新环境的过程。安全的数据迁移是在大数据环境下一个不可忽略的问题。本发明作用对象是两个云系统间即公有云到公有云的场景下，组合多种成熟的安全技术RBAC，访问控制规则等，得到一种安全数据迁移方法。

其实云系统间的数据迁移模式在公有云到公有云之前大部分使用的是私有云和公有云之间交互的场景。最常见的网络商城如Taobao在购物节时遇到的指数级增长的数据量势必让大家的目光从私有云转向公有云——利用公有云的存储空间大以及存取速度快的优势，既能够克服私有云容量有限的缺陷，又能节约数据中心管理、运营以及维护的开销，同时可以将公有云数据统一管理，以便进行高效率的安全访问控制，来增强数据的安全性，但是同时这些迁移过程的安全隐患也是需要克服的。

首先，了解一下云存储系统的一般架构。一般一个云存储系统分为源云系统和目的云系统，源和目的系统中都由一个或多个集群组成，而每个集群都是由多个不同的节点负责存储数据，称为数据节点；有唯一一个节点负责接收和维护存储数据的源信息，称为中央节点。在源系统和目的系统中各自分别有中央节点和数据节点。源云系统负责取得用户的请求，中央节点收到请求后，将其发送给目的云系统的中央节点，中央节点认证处理，将具体操作分发给数据节点，以进行文件的读写。其过程可以简化为图1。

数据迁移主要是文件的迁移，现有的数据迁移方式是启动一个或多个在源系统的机器上可以同时访问目的系统和源系统的客户端程序，这个客户端程序的主要任务是从源系统中读取某一个要迁移的文件，然后把这个文件写到目的系统。

仔细分析这个迁移过程可以发现迁移文件的过程中存在较大安全风险，明显的一点，文件的完整性以及文件的读写权限很难被界定，假定源系统的中央节点发了一个write请求给目的系统，目的系统收到后生成token返回给源系统，如果这个token被拦截或篡改，那么不但可读或者可写的正确性无法界定而且整个发送过程都要面临重发，造成资源浪费以及安全隐患。

上述的过程中涉及的实体都存在安全风险。第一，源系统和目的系统双方的中央节点的通信安全，请求可以被拦截或篡改；第二，源数据节点和目的中央节点Token以及读写文件的权限被篡改，拦截者可以得到源中央节点的地址信息以及读写请求。第三，两个系统间的数据节点传输文件时的读权限或者写权限也会被拦截或篡改，如果一方本来读文件变成写文件，大量数据的涌入会导致数据的混乱以致数据瘫痪。

公开号为CN101329709B，发明名称“一种用于数据安全迁移的系统及方法”的专利，介绍一种用于数据安全迁移的系统及方法，作用对象是移动存储设备。移动存储设备在进行数据迁移时需进行密码认证，使用者在使用次数范围内使用该设备，且将该设备上进行的操作动作进行记录。该发明实现了移动存储设备的专物专用，并提供了较为有效的安全防范方法，使得数据迁移能够安全可靠进行。但该专利作用对象是移动设备，本专利是讲求两个不同云系统间的数据迁移问题。

公开号CN202663444U，实用新型名称为“一种云安全数据迁移模型”的专利，提出一种新的模型，利用第三方审计的数据完整性检验功能，检验云系统中云租户的数据完整性状况，并加入访问控制模块用于验证云租户是否具备具体相应的操作权限。该专利主要是改进原有的HDFS以及S3数据迁移模型，降低了数据迁移过程中的安全风险，增强了运租户对数据迁移的控制力。但该专利通过加入云租户以及第三方审计平台增加了成本而且侧重的是建立迁移模型，本专利是基于角色的访问控制，利用RBAC的特点，构建一系列标签及角色权限控制，并未像该专利侧重于第三方平台以及模型的改进上。

发明内容

本发明的目的是在两个云系统间即公有云到公有云的场景下，组合多种成熟的安全技术RBAC，访问控制规则等，得到一种安全数据迁移方法。

具体地说，本发明是采用以下的技术方案来实现的：一种基于云存储系统间的数据迁移加密方法，其特征在于，基于身份的访问控制来实现系统间的安全访问策略，包括如下步骤：

为系统主体即源中央节点和客体即目的中央节点分别设计主体安全标签和设计客体安全标签；

同时结合基于角色的访问控制RBAC，通过给每个主体标签关联一组角色，即源中央节点可以通过数据节点对目的节点进行访问，而角色拥有不同的读权限(r)和写权限(w)来访问客体，每个角色的每种权限是一个逻辑表达式，表达式由客体的tag和运算符&&、||、！组合而成；

通过定义访问控制规则，加上对权限表达式来确定主体是否有访问客体的权限，如果验证通过，客体返回一个Token给角色，从而角色定义读权限(r)和写权限(w)以便和标签的文件读写，通过每个主体关联角色，角色拥有不同的读写权限来访问客体标签；

当角色有访问权限时，源云系统的中央节点便可以和目的云系统的中央节点进行通信及数据交互，源云系统的数据节点即角色，可以由前面定义的读写权限对目的云系统的数据节点即标签，进行相应的读写操作；否则，无法进行访问。

上述技术方案的进一步特征在于，所述设计主体安全标签，利用层次化RBAC模型，即角色之间可以继承，对于已经存在的角色权限不用重复定义，将源中央节点作为主体，数据节点作为角色，角色之间可以是层次化的角色树关系也可以是是并列的角色关系，可以根据读写权限来进行判断，高等级的读写权限继承自低等级的读写权限；每个源系统之间的中央节点和数据节点的组织都是基于一定层次的模型，每个层次有不同的角色，拥有不同的权限，为了区分源系统里的角色定义，可以在源中央节点安全标签加上源数据节点的标签，云存储中访问控制的主体标签的定义如下<source,role₁,role₂，……role_n>。

上述技术方案的进一步特征在于，所述设计客体安全标签，对客体设计一个安全标签，对应于主体中层次结构，可以得出一个层次化的标签树，如同对角色树的定义一般，tag树也是一种倒继承模式，每一层次有不同的标签，拥有不同的权限，也表示不同的安全等级；需要给客体安全标签加上目的数据节点的标签，客体安全标签可以定义为<des,tag₁,tag₂，……tag_n>。

上述技术方案的进一步特征在于，所述权限表达式的构造通过

实体：{定义的层次化的tag树}；

谓词：{逻辑与(&&)，逻辑或(||)，逻辑非(！)}；

表达式(expression)：常量|实体|(expression)|！expression|expression&&expression|expression||expression；

权限(perm)：表达式(expression)；

角色(role)：<perm_r，perm_w>实现。

上述技术方案的进一步特征在于，所述访问控制规则对读写权限定义了两套访问控制规则，其中s表示主体，o表示客体；

子role集合用son_role(s)表示，父亲role集合用parent_role(s)表示，而将son_role(s)和parent_role(s)的并集表示为union_role(s)；

子tag集合用son_tag(o)表示，父亲role集合用parent_tag(o)表示，而将son_tag(o)和parent_tag(o)的并集记为union_tag(o)；

包括r访问控制规则，s对o有r权限，当且仅当满足以下条件：

1)source(s)＝des(o)，成功了就返回Token给角色，

2)收到Token后，判断存在k，k是其中某一个role，属于union_role(s)，使得在union_tag(o)值均为true时，perm_r(k)的逻辑表达式的值为true；

和w访问控制规则，s对o有w权限，当且仅当满足以下条件：

1)source(s)＝des(o)，成功了就返回Token给角色，

2)收到Token后，判断存在k，k是其中某一个role。属于union_role(s)，使得在union_tag(o)值均为true时，perm_w(k)的逻辑表达式的值为true。

本发明的有益效果如下：保障公有云到公有云系统间的数据迁移安全。保障源系统和目的系统双方的中央节点的通信安全，防止请求被拦截或篡改。防止源数据节点和目的中央节点Token以及读写文件的权限被篡改。防止两个系统间的数据节点传输文件时的读权限或者写权限被拦截或篡改，否则如果一方本来读文件变成写文件，大量数据的涌入会导致数据的混乱以致数据瘫痪。通过每个主体关联角色，角色拥有不同的读写权限来访问客体标签，根据不同的权限不会使读写过程混淆，提高效率。

附图说明

图1是云存储系统的文件读写示意图。

图2是本方法发明的整体设计框架；

图3是主体安全标签设计的一个层次化的角色树；

图4是客体安全标签设计的一个层次化的标签树。

具体实施方式

先简要叙述下本发明的解决方案：第一，基于身份的访问控制来实现组织的访问策略，源系统的中央节点作为主体，目的系统中央节点作为客体，需要经过访问规则即权限表达式验证后才能实现主客体间赋予相互通信。第二，利用RBAC，主体中引入角色，客体中引入标签，如果验证通过，客体返回一个Token给角色，从而角色定义读权限(r)和写权限(w)以便和标签的文件读写。第三，通过每个主体关联角色，角色拥有不同的读写权限来访问客体标签，根据不同的权限不会使读写过程混淆，提高效率。

本发明的安全策略是一个以强制访问控制机制为主，为系统主体(源中央节点)和客体(目的中央节点)分别设计安全标签；同时结合基于角色的访问控制机制，通过给每个主体标签关联一组角色(即源中央节点可以通过数据节点对目的节点进行访问)，而角色拥有不同的读写权限来访问客体。每个角色的每种权限是一个逻辑表达式，表达式由客体的tag和运算符(&&，||，！)组合而成。通过定义一组访问规则，加上对权限表达式来确定主体是否有访问客体的权限。整体设计框架如图2所示。

主体安全标签的设计：

源系统中的中央节点作为主体，RBAC中核心概念是角色，角色是一种语义概念，在阐述访问策略时经常用到。RBAC将权限与角色进行了关联，通过给主体赋予角色从而使用户拥有角色的权限。用户和角色之间、角色和权限之间都是多对多的关系。本发明利用层次化RBAC模型，即角色之间可以继承，对于已经存在的角色权限不用重复定义。现在将源中央节点作为主体，数据节点作为角色，角色之间可以是层次化的角色树关系也可以是是并列的角色关系，可以根据读写权限来进行判断，高等级的读写权限继承自低等级的读写权限，例如只可读继承自只可读或可写。不同层次之间角色的继承是反过来的，即上面是子角色，而下面一层是父角色。可以认为在源系统中能找到一个最终子角色，它拥有所有父角色的权限，可读可写可被读可被写等。由图3可知，一个子角色可以有多个父角色，及其可以继承多个父角色的权限。这里将其定位完全继承，即子角色将完全继承父角色的权限。

每个源系统之间的中央节点和数据节点的组织都是基于一定层次的模型，每个层次有不同的角色，拥有不同的权限。为了区分源系统里的角色定义，可以在源中央节点安全标签加上源数据节点的标签。云存储中访问控制的主体安全标签的定义如下<source,role₁,role₂，……role_n>。

客体安全标签的设计：

主体都有对应的客体，在这里就对应为目的系统的中央节点，而客体的标签就是目的系统的数据节点。那么为了进行安全的访问控制，对客体设计一个安全标签，对应于主体中层次结构，可以得出一个层次化的标签树，如同上面对角色树的定义一般，这里的tag树也是一种倒继承模式，每一层次有不同的标签，拥有不同的权限，也表示不同的安全等级。如图4所示，tag1和tag2表示不同的等级，由于该结构的倒装继承，tag2是tag1的父亲节点。同理可以认为在目的系统中可以找个一个最终子标签，它拥有所有父标签的的权限，可读可写可被读可被写。一个子标签可以有多个父标签，及其可以继承多个父标签的权限。这里将其定位完全继承，即子标签将完全继承父标签的权限。

如同主体安全标签定义一样，需要给客体安全标签加上目的数据节点的标签，因此客体安全标签可以定义为<des,tag₁,tag₂，……tag_n>。

访问控制规则的定义：

由于引入了继承的RBAC的模型，因此需要对角色的权限进行定义。这里为每个角色制定2种权限，分别是读权限(r)和写权限(w),即为role：(perm_r，perm_w)。r：对文件拥有读权限；w:对文件拥有写权限。

权限表达式的构造方法：   (式1.1)

实体：{定义的层次化的tag树}

谓词：{逻辑与(&&)，逻辑或(||)，逻辑非(！)}

表达式(expression)：常量|实体|(expression)|！expression|expression&&expression|expression||expression

权限(perm)：表达式(expression)

角色(role)：<perm_r，perm_w>；

计算权限的方法：客体有关联的tag_k(k＝1，2，3...n)，将这些tag_k和逻辑运算符(&&，||，！)组合起来，构成不同的权限表达式。由于每个角色的读或写权限是一个中序的逻辑表达式，由逻辑运算符(！)，(&&)，(||)和客体tag字符串组成。判定权限时，将主体要访问的客体所拥有的tag作为真值带入表达式，客体不具有的tag作为假值，然后计算表达式的值，得出主体是否有访问权限。其中逻辑运算符优先级为：(！)>(&&)>(||)，从左到右计算,中间可以使用括号来改变表达式的运算次序。基于之前层次化的模型定义，这里的一个子角色会自动继承其父亲角色的所有权限。

访问控制规则是整个策略的核心，这里对读写权限定义了两套访问规则。此处s表示主体，o表示客体。

关于层次化角色树的继承说明：主体安全标签<source,role₁,tole₂……role_n>中已经定义的子role集合用son_role(s)表示，父亲role集合用parent_role(s)表示，而将son_role(s)和parent_role(s)的并集表示为union_role(s)。

关于层次化标签树的继承说明：客体安全标签<des,tag₁,tag₂，……tag_n>中已经明确定义的子tag集合用son_tag(o)表示，父亲role集合用parent_tag(o)表示，而将son_tag(o)和parent_tag(o)的并集记为union_tag(o)。

下面定义相应的读和写的访问控制规则,通过(式1.1)逻辑表达式的真假来决定主客体之间访问权限。这里用s表示主体，o表示客体。

r访问控制规则：

s对o有r权限，当且仅当满足以下条件：

1)source(s)＝des(o),成功了就返回Token给角色。

2)收到Token后，判断存在k(k是其中某一个role)属于union_role(s)，使得在union_tag(o)值均为true时，perm_r(k)的逻辑表达式的值为true。

w访问控制规则：

s对o有w权限，当且仅当满足以下条件：

1)source(s)＝des(o)，成功了就返回Token给角色。

2)收到Token后，判断存在k(k是其中某一个role)属于union_role(s)，使得在union_tag(o)值均为true时，perm_w(k)的逻辑表达式的值为true。

当s对o有访问权限时，源云系统的中央节点便可以和目的云系统的中央节点进行通信及数据交互，源云系统的数据节点(即角色)可以由前面定义的读写权限对目的云系统的数据节点(即标签)进行相应的读写操作。否则，s无法对o进行访问。

虽然本发明已以较佳实施例公开如上，但实施例并不是用来限定本发明的。在不脱离本发明之精神和范围内，所做的任何等效变化或润饰，同样属于本发明之保护范围。因此本发明的保护范围应当以本申请的权利要求所界定的内容为标准。

Claims (5)

1.一种基于云存储系统间的数据迁移加密方法，其特征在于，基于身份的访问控制来实现系统间的安全访问策略，包括如下步骤：

为系统主体即源中央节点和客体即目的中央节点分别设计主体安全标签和设计客体安全标签；

同时结合基于角色的访问控制RBAC，通过给每个主体标签关联一组角色，即源中央节点可以通过数据节点对目的节点进行访问，而角色拥有不同的读权限(r)和写权限(w)来访问客体，每个角色的每种权限是一个逻辑表达式，表达式由客体的tag和运算符&&、||、！组合而成；

通过定义访问控制规则，加上对权限表达式来确定主体是否有访问客体的权限，如果验证通过，客体返回一个Token给角色，从而角色定义读权限(r)和写权限(w)以便和标签的文件读写，通过每个主体关联角色，角色拥有不同的读写权限来访问客体标签；

当角色有访问权限时，源云系统的中央节点便可以和目的云系统的中央节点进行通信及数据交互，源云系统的数据节点即角色，可以由前面定义的读写权限对目的云系统的数据节点即标签，进行相应的读写操作；否则，无法进行访问。

2.根据权利要求1所述的数据迁移加密方法，其特征在于，所述设计主体安全标签，利用层次化RBAC模型，即角色之间可以继承，对于已经存在的角色权限不用重复定义，将源中央节点作为主体，数据节点作为角色，角色之间可以是层次化的角色树关系也可以是是并列的角色关系，可以根据读写权限来进行判断，高等级的读写权限继承自低等级的读写权限；每个源系统之间的中央节点和数据节点的组织都是基于一定层次的模型，每个层次有不同的角色，拥有不同的权限，为了区分源系统里的角色定义，可以在源中央节点安全标签加上源数据节点的标签，云存储中访问控制的主体标签的定义如下<source,role₁,role₂，……role_n>。

3.根据权利要求1所述的数据迁移加密方法，其特征在于，所述设计客体安全标签，对客体设计一个安全标签，对应于主体中层次结构，可以得出一个层次化的标签树，如同对角色树的定义一般，tag树也是一种倒继承模式，每一层次有不同的标签，拥有不同的权限，也表示不同的安全等级；需要给客体安全标签加上目的数据节点的标签，客体安全标签可以定义为<des,tag₁,tag₂，……tag_n>。

4.根据权利要求1所述的数据迁移加密方法，其特征在于，所述权限表达式的构造通过

实体：{定义的层次化的tag树}；

谓词：{逻辑与(&&)，逻辑或(||)，逻辑非(！)}；

表达式(expression)：常量|实体|(expression)|！expression|expression&&expression|expression||expression；

权限(perm)：表达式(expression)；

角色(role)：<perm_r，perm_w>实现。

5.根据权利要求1所述的数据迁移加密方法，其特征在于，所述访问控制规则对读写权限定义了两套访问控制规则，其中s表示主体，o表示客体；

子role集合用son_role(s)表示，父亲role集合用parent_role(s)表示，而将son_role(s)和parent_role(s)的并集表示为union_role(s)；

子tag集合用son_tag(o)表示，父亲role集合用parent_tag(o)表示，而将son_tag(o)和parent_tag(o)的并集记为union_tag(o)；

包括r访问控制规则，s对o有r权限，当且仅当满足以下条件：

1)source(s)＝des(o)，成功了就返回Token给角色，

2)收到Token后，判断存在k，k是其中某一个role，属于union_role(s)，使得在union_tag(o)值均为true时，perm_r(k)的逻辑表达式的值为true；

和w访问控制规则，s对o有w权限，当且仅当满足以下条件：

1)source(s)＝des(o)，成功了就返回Token给角色，

2)收到Token后，判断存在k，k是其中某一个role。属于union_role(s)，使得在union_tag(o)值均为true时，perm_w(k)的逻辑表达式的值为true。