CN118018326B - 基于分布式存储的数据安全加密方法及系统 - Google Patents
基于分布式存储的数据安全加密方法及系统 Download PDFInfo
- Publication number
- CN118018326B CN118018326B CN202410411173.6A CN202410411173A CN118018326B CN 118018326 B CN118018326 B CN 118018326B CN 202410411173 A CN202410411173 A CN 202410411173A CN 118018326 B CN118018326 B CN 118018326B
- Authority
- CN
- China
- Prior art keywords
- data
- data storage
- storage node
- encryption
- backup
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003860 storage Methods 0.000 title claims abstract description 87
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000013500 data storage Methods 0.000 claims abstract description 276
- 238000012544 monitoring process Methods 0.000 claims abstract description 22
- 238000013439 planning Methods 0.000 claims abstract description 19
- 230000002441 reversible effect Effects 0.000 claims abstract description 12
- 238000013523 data management Methods 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 95
- 238000004891 communication Methods 0.000 claims description 92
- 230000002159 abnormal effect Effects 0.000 claims description 34
- 238000011156 evaluation Methods 0.000 claims description 18
- 238000004364 calculation method Methods 0.000 claims description 17
- 230000008260 defense mechanism Effects 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 10
- 238000007405 data analysis Methods 0.000 claims description 7
- 230000002427 irreversible effect Effects 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 238000005520 cutting process Methods 0.000 claims description 4
- 238000003012 network analysis Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 3
- 238000006467 substitution reaction Methods 0.000 claims description 3
- 238000011084 recovery Methods 0.000 abstract description 4
- 238000005336 cracking Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了基于分布式存储的数据安全加密方法及系统,涉及数据管理领域,包括:获取分布式存储数据中心的所有数据存储节点的数据信息;确定所有数据存储节点之间的关联性指标;将每一个数据分隔为普通数据点和关键数据点;采用可逆数据加密方式,得到普通加密数据和关键加密数据;将数据存储节点划分为通用空间和加密空间;规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点;将关键加密数据备份至对应的备份数据存储节点的加密空间;实时监测数据存储节点的访问情况。本发明的优点在于:极大的提高了数据中心数据存储的安全性,降低数据泄露风险,同时可实现数据的及时恢复,保证数据中心的稳定运行。
Description
技术领域
本发明涉及数据管理技术领域,具体是涉及基于分布式存储的数据安全加密方法及系统。
背景技术
分布式存储是一种数据存储技术,通过网络使用企业中的每台机器上的磁盘空间,并将这些分散的存储资源构成一个虚拟的存储设备,数据分散的存储在企业的各个角落。传统的网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系统性能的瓶颈,也是可靠性和安全性的焦点,不能满足大规模存储应用的需要。分布式网络存储系统采用可扩展的系统结构,利用多台存储服务器分担存储负荷,利用位置服务器定位存储信息,它不但提高了系统的可靠性、可用性和存取效率,还易于扩展。
现有的分布式存储的数据安全加密手段对于数据入侵缺乏动态的防护手段,数据发生泄漏时,易被不法分子采用逆向破解的方式获取完整的原始数据,对于数据的防护安全性等级不高,存在数据安全隐患。
发明内容
为解决上述技术问题,提供一种基于分布式存储的数据安全加密方法及系统,本技术方案解决了上述的现有的分布式存储的数据安全加密手段对于数据入侵缺乏动态的防护手段,数据发生泄漏时,易被不法分子采用逆向破解的方式获取完整的原始数据,对于数据的防护安全性等级不高,存在数据安全隐患的问题。
为达到以上目的,本发明采用的技术方案为:
一种基于分布式存储的数据安全加密方法,包括:
获取分布式存储数据中心的所有数据存储节点的数据信息;
基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标;
对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点;
采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据;
将数据存储节点划分为通用空间和加密空间,将普通加密数据存储至通用空间,将关键加密数据存储至加密空间;
基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点;
将关键加密数据备份至对应的备份数据存储节点的加密空间;
实时监测数据存储节点的访问情况,判断是否存在异常访问行为,若是,则启动数据中心防御机制,若否,则不做响应。
优选的,所述基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标具体包括:
确定分布式存储数据中心中的所有的数据通讯节点;
基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标;
确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点;
将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标;
其中,所述关联性指标计算公式具体为:,
式中,为第i个数据通讯节点对应的关联性指标,/>为第i个数据通讯节点下连通的数据存储节点总数,/> 为数据通讯节点总数,/> 为所有数据通讯节点下连通的数据存储节点总数中的最大值,/>为所有数据通讯节点下连通的数据存储节点总数中的最小值。
优选的,所述基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点具体包括:
确定数据存储节点中的关键加密数据的总量;
确定每个数据存储节点的备份空间剩余容量;
基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件;
建立评价公式;
确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点;
其中,所述数据备份条件的表达式为:,
式中,为向第j个数据存储节点备份的关键加密数据的总量,/>为第j个数据存储节点的备份空间剩余容量,/>为备份所需的数据存储节点总数,/>为数据存储节点中的关键加密数据的总量;
所述评价公式为:,
式中,为评价公式输出值,/> 为数据存储节点与备份的第j个数据存储节点之间关联性指标。
优选的,所述将关键加密数据备份至对应的备份数据存储节点的加密空间具体包括:
构建普通加密数据和与普通加密数据对应的关键加密数据的唯一性代号码;
确定关键加密数据对应的备份数据存储节点,并向备份数据存储节点存入关键加密数据的备份数据;
对备份数据存储节点中关键加密数据的备份数据附加唯一性代号码。
优选的,所述实时监测数据存储节点的访问情况,判断是否存在异常访问行为具体包括:
基于已知的数据存储节点入侵攻击的手段提取恶意行为特征,组成恶意行为特征库;
对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征;
对每一个访问行为特征从恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,若否,则判断数据存储节点不存在异常访问行为。
优选的,所述数据中心防御机制具体为:
将对应数据存储节点的加密空间内所有关键加密数据采用不可逆数据加密方式处理成深度加密数据,切断对应数据存储节点的备份数据存储节点的通讯网络;
排查异常访问行为;
确定异常访问行为解除后,基于备份数据存储节点中每个关键加密数据和对应数据存储节点中的深度加密数据的唯一性代号码,进行对应数据存储节点中的深度加密数据的替换,恢复数据存储节点的正常运行。
进一步的,提出一种基于分布式存储的数据安全加密系统,用于实现如上述的基于分布式存储的数据安全加密方法,包括:
数据分析模块,所述数据分析模块用于获取分布式存储数据中心的所有数据存储节点的数据信息,并对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点;
存储节点分析模块,所述存储节点分析模块用于基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标;
数据预加密模块,所述数据预加密模块与所述数据分析模块电性连接,所述数据预加密模块用于采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据;
存储节点划分模块,所述存储节点划分模块用于将数据存储节点划分为通用空间和加密空间;
数据管理模块,所述数据管理模块与所述存储节点分析模块和数据预加密模块电性连接,所述数据管理模块用于基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点,并将关键加密数据备份至对应的备份数据存储节点的加密空间;
数据监测模块,所述数据监测模块用于实时监测数据存储节点的访问情况,判断是否存在异常访问行为,若是,则启动数据中心防御机制,若否,则不做响应。
可选地,所述存储节点分析模块包括:
通讯网络分析单元,所述通讯网络分析单元用于确定分布式存储数据中心中的所有的数据通讯节点,并基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标;
节点通讯确定单元,所述节点通讯确定单元用于确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点,并将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标。
可选地,所述数据管理模块包括:
条件规划单元,所述条件规划单元用于确定数据存储节点中的关键加密数据的总量和确定每个数据存储节点的备份空间剩余容量,并基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件;
备份规划单元,所述备份规划单元用于建立评价公式,并确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点。
可选地,所述数据监测模块包括:
异常特征学习单元,所述异常特征学习单元用于基于已知的数据存储节点入侵攻击的手段提取恶意行为特征,组成恶意行为特征库;
行为监测单元,所述行为监测单元用于对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征,并对每一个访问行为特征从恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,若否,则判断数据存储节点不存在异常访问行为。
与现有技术相比,本发明的有益效果在于:
本发明将分布式存储数据中心的所有数据存储节点的存储空间划分为通用空间和加密空间,同时将数据进行分隔为普通数据点和关键数据点,将关键等级高的关键数据点存入加密空间中,当外部攻击手段突破至通用空间中时,即时启动防御机制,将加密空间中的关键数据点采用不可逆加密方式进行转换成不可恢复加密数据,采用此种方式,即使不法分子盗取存储节点的全部存储数据依旧无法通过逆向破解的方式获取完整的原始数据,极大的提高了数据中心数据存储的安全性,降低数据泄露风险;
本发明将数据存储节点的加密空间中存储的关键加密数据进行备份,并在备份时,采用与当前数据存储节点间的通讯距离最远的一个或多个数据存储节点进行备份存储,如此,在数据存储节点遭受攻击时,有足够的时间切断备份数据存储节点的通讯网络,进而降低备份数据存储节点中的备份数据的泄露风险,同时在攻击行为解除后,可通过备份的关键加密数据对数据存储节点的加密空间进行数据恢复,保证数据中心的正常运行。
附图说明
图1为本方案提出的基于分布式存储的数据安全加密方法流程图;
图2为本方案中的确定所有数据存储节点之间的关联性指标的方法流程图;
图3为本方案中的规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点的方法流程图;
图4为本方案中的将关键加密数据备份至对应的备份数据存储节点的加密空间的方法流程图;
图5为本方案中的实时监测数据存储节点的访问情况,判断是否存在异常访问行为的方法流程图;
图6为本方案中的数据中心防御机制的方法流程图。
具体实施方式
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
参照图1所示,一种基于分布式存储的数据安全加密方法,包括:
获取分布式存储数据中心的所有数据存储节点的数据信息;
基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标;
对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点,其中,若原始数据不存在关键数据点,则从原始数据中随机提取若干个字符段,作为关键数据点;
采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据,其中,可逆数据加密方式可以为AES加密方式;
将数据存储节点划分为通用空间和加密空间,将普通加密数据存储至通用空间,将关键加密数据存储至加密空间,其中,通过预认证即可访问通用空间,预认证手段可根据数据中心的数据自由设置,例如人机认证等较为简单的认证方式,当需要访问加密空间时,则需要进行身份验证,身份验证可以是密码认证、生物特征认证等认证方式;
基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点;
将关键加密数据备份至对应的备份数据存储节点的加密空间;
实时监测数据存储节点的访问情况,判断是否存在异常访问行为,若是,则启动数据中心防御机制,若否,则不做响应。
本方案将分布式存储数据中心的所有数据存储节点的存储空间划分为通用空间和加密空间,同时将数据进行分隔为普通数据点和关键数据点,将关键等级高的关键数据点存入加密空间中,当外部攻击手段突破至通用空间中时,即时启动防御机制,将加密空间中的关键数据点采用不可逆加密方式进行转换成不可恢复加密数据,采用此种方式,即使不法分子盗取存储节点的全部存储数据依旧无法通过逆向破解的方式获取完整的原始数据,极大的提高了数据中心数据存储的安全性,降低数据泄露风险。
参照图2所示,基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标包括:
确定分布式存储数据中心中的所有的数据通讯节点;
基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标;
确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点;
将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标;
其中,关联性指标计算公式具体为:,
式中,为第i个数据通讯节点对应的关联性指标,/>为第i个数据通讯节点下连通的数据存储节点总数,/>为数据通讯节点总数,/>为所有数据通讯节点下连通的数据存储节点总数中的最大值,/>为所有数据通讯节点下连通的数据存储节点总数中的最小值。
可以理解的是,分布式存储通常使用企业中的每台机器上的磁盘空间作为数据存储节点,并通过网络通讯将所有数据存储节点进行数据连通,企业的网络通讯通常呈层级分布,每个层级设置多个不同的数据通讯节点,数据通讯节点间实现互联,构成企业内网,数据通讯节点接入的数据存储节点越多,则说明数据通讯节点层级越高,两个数据存储节点间的通讯距离越远,相对应的数据存储节点间关联性越小,基于此,本方案基于数据通讯节点接入的数据存储节点数量来计算关联性指标,关联性指标越小,则说明数据存储节点间关联性越小。
参照图3所示,基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点具体包括:
确定数据存储节点中的关键加密数据的总量;
确定每个数据存储节点的备份空间剩余容量;
基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件;
建立评价公式;
确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点;
其中,数据备份条件的表达式为:,
式中,为向第j个数据存储节点备份的关键加密数据的总量,/>为第j个数据存储节点的备份空间剩余容量,/>为备份所需的数据存储节点总数,/>为数据存储节点中的关键加密数据的总量;
评价公式为:,
式中,为评价公式输出值,/>为数据存储节点与备份的第j个数据存储节点之间关联性指标。
可以理解的是,两个数据存储节点间的通讯距离越远,则通过其中一个数据存储节点的通讯网络攻击另一个数据存储节点的所需时间越长,基于此,本方案基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件,以保证数据存储节点的备份空间足够进行关键数据的备份,并通过构建评价公式来筛选出采用与当前数据存储节点间的通讯距离最远的一个或多个数据存储节点进行备份存储,如此,在数据存储节点遭受攻击时,有足够的时间切断备份数据存储节点的通讯网络,进而降低备份数据存储节点中的备份数据的泄露风险。
参照图4所示,将关键加密数据备份至对应的备份数据存储节点的加密空间具体包括:
构建普通加密数据和与普通加密数据对应的关键加密数据的唯一性代号码;
确定关键加密数据对应的备份数据存储节点,并向备份数据存储节点存入关键加密数据的备份数据;
对备份数据存储节点中关键加密数据的备份数据附加唯一性代号码。
唯一性代号码与原始数据相关,采用唯一性代号码可构建普通加密数据-关键加密数据-关键加密数据的备份数据间的一一映射关系,为数据调取和数据备份提供匹配依据。
参照图5所示,实时监测数据存储节点的访问情况,判断是否存在异常访问行为具体包括:
基于已知的数据存储节点入侵攻击的手段提取恶意行为特征,组成恶意行为特征库,其中,数据存储节点入侵攻击为恶意代码、间谍软件、网络蠕虫和已知病毒的其中一种或多种;
对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征;
对每一个访问行为特征从恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,若否,则判断数据存储节点不存在异常访问行为。
参照图6所示,数据中心防御机制具体为:
将对应数据存储节点的加密空间内所有关键加密数据采用不可逆数据加密方式处理成深度加密数据,切断对应数据存储节点的备份数据存储节点的通讯网络,其中,不可逆数据加密方式可以为MD5加密方式;
排查异常访问行为;
确定异常访问行为解除后,基于备份数据存储节点中每个关键加密数据和对应数据存储节点中的深度加密数据的唯一性代号码,进行对应数据存储节点中的深度加密数据的替换,恢复数据存储节点的正常运行。
本方案在外部攻击手段突破至通用空间中时,即时启动防御机制,将加密空间中的关键数据点采用不可逆加密方式进行转换成不可恢复加密数据,同时切断备份数据存储节点的通讯网络,进而降低备份数据存储节点中的备份数据的泄露风险,在攻击行为解除后,可通过备份的关键加密数据对数据存储节点的加密空间进行数据恢复,保证数据中心的正常运行,实现数据中心的高效数据防护和数据恢复,有效的保证数据中心的数据安全性和数据中心的运行稳定性。
进一步的,基于与上述基于分布式存储的数据安全加密方法相同的发明构思,本方案提出一种基于分布式存储的数据安全加密系统,包括:
数据分析模块,数据分析模块用于获取分布式存储数据中心的所有数据存储节点的数据信息,并对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点;
存储节点分析模块,存储节点分析模块用于基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标;
数据预加密模块,数据预加密模块与数据分析模块电性连接,数据预加密模块用于采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据;
存储节点划分模块,存储节点划分模块用于将数据存储节点划分为通用空间和加密空间;
数据管理模块,数据管理模块与存储节点分析模块和数据预加密模块电性连接,数据管理模块用于基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点,并将关键加密数据备份至对应的备份数据存储节点的加密空间;
数据监测模块,数据监测模块用于实时监测数据存储节点的访问情况,判断是否存在异常访问行为,若是,则启动数据中心防御机制,若否,则不做响应。
存储节点分析模块包括:
通讯网络分析单元,通讯网络分析单元用于确定分布式存储数据中心中的所有的数据通讯节点,并基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标;
节点通讯确定单元,节点通讯确定单元用于确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点,并将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标。
数据管理模块包括:
条件规划单元,条件规划单元用于确定数据存储节点中的关键加密数据的总量和确定每个数据存储节点的备份空间剩余容量,并基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件;
备份规划单元,备份规划单元用于建立评价公式,并确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点。
数据监测模块包括:
异常特征学习单元,异常特征学习单元用于基于已知的数据存储节点入侵攻击的手段提取恶意行为特征,组成恶意行为特征库;
行为监测单元,行为监测单元用于对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征,并对每一个访问行为特征从恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,若否,则判断数据存储节点不存在异常访问行为。
上述基于分布式存储的数据安全加密系统的使用过程为:
步骤一:数据分析模块获取分布式存储数据中心的所有数据存储节点的数据信息,并对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点;
步骤二:存储节点分析模块调用通讯网络分析单元确定分布式存储数据中心中的所有的数据通讯节点,并基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标,之后通过节点通讯确定单元确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点,并将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标;
步骤三:数据预加密模块采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据;
步骤四:存储节点划分模块将数据存储节点划分为通用空间和加密空间;
步骤五:数据管理模块调用条件规划单元确定数据存储节点中的关键加密数据的总量和确定每个数据存储节点的备份空间剩余容量,并基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件,并通过备份规划单元建立评价公式,确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点;
步骤六:数据监测模块通过实时监测数据存储节点的访问情况,行为监测单元用于对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征,并对每一个访问行为特征从异常特征学习单元学习的恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,启动数据中心防御机制,若否,则判断数据存储节点不存在异常访问行为,不做响应。
综上所述,本发明的优点在于:极大的提高了数据中心数据存储的安全性,降低数据泄露风险,同时可实现数据的及时恢复,保证数据中心的稳定运行。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。本发明要求的保护范围由所附的权利要求书及其等同物界定。
Claims (2)
1.一种基于分布式存储的数据安全加密方法,其特征在于,包括:
获取分布式存储数据中心的所有数据存储节点的数据信息;
基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标;
对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点;
采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据;
将数据存储节点划分为通用空间和加密空间,将普通加密数据存储至通用空间,将关键加密数据存储至加密空间;
基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点;
将关键加密数据备份至对应的备份数据存储节点的加密空间;
实时监测数据存储节点的访问情况,判断是否存在异常访问行为,若是,则启动数据中心防御机制,若否,则不做响应;
所述基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标具体包括:
确定分布式存储数据中心中的所有的数据通讯节点;
基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标;
确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点;
将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标;
其中,所述关联性指标计算公式具体为:,
式中,为第i个数据通讯节点对应的关联性指标,/>为第i个数据通讯节点下连通的数据存储节点总数,/>为数据通讯节点总数,/>为所有数据通讯节点下连通的数据存储节点总数中的最大值,/>为所有数据通讯节点下连通的数据存储节点总数中的最小值;
所述基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点具体包括:
确定数据存储节点中的关键加密数据的总量;
确定每个数据存储节点的备份空间剩余容量;
基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件;
建立评价公式;
确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点;
其中,所述数据备份条件的表达式为:,
式中,为向第j个数据存储节点备份的关键加密数据的总量,/>为第j个数据存储节点的备份空间剩余容量,/>为备份所需的数据存储节点总数,/>为数据存储节点中的关键加密数据的总量;
所述评价公式为:,
式中,为评价公式输出值,/>为数据存储节点与备份的第j个数据存储节点之间关联性指标;
所述将关键加密数据备份至对应的备份数据存储节点的加密空间具体包括:
构建普通加密数据和与普通加密数据对应的关键加密数据的唯一性代号码;
确定关键加密数据对应的备份数据存储节点,并向备份数据存储节点存入关键加密数据的备份数据;
对备份数据存储节点中关键加密数据的备份数据附加唯一性代号码;
所述实时监测数据存储节点的访问情况,判断是否存在异常访问行为具体包括:
基于已知的数据存储节点入侵攻击的手段提取恶意行为特征,组成恶意行为特征库;
对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征;
对每一个访问行为特征从恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,若否,则判断数据存储节点不存在异常访问行为;
所述数据中心防御机制具体为:
将对应数据存储节点的加密空间内所有关键加密数据采用不可逆数据加密方式处理成深度加密数据,切断对应数据存储节点的备份数据存储节点的通讯网络;
排查异常访问行为;
确定异常访问行为解除后,基于备份数据存储节点中每个关键加密数据和对应数据存储节点中的深度加密数据的唯一性代号码,进行对应数据存储节点中的深度加密数据的替换,恢复数据存储节点的正常运行。
2.一种基于分布式存储的数据安全加密系统,其特征在于,用于实现如权利要求1所述的基于分布式存储的数据安全加密方法,包括:
数据分析模块,所述数据分析模块用于获取分布式存储数据中心的所有数据存储节点的数据信息,并对分布式存储数据中心中的数据进行关键点提取,将每一个数据分隔为普通数据点和关键数据点;
存储节点分析模块,所述存储节点分析模块用于基于分布式存储数据中心的所有数据存储节点的通讯连接状态,确定所有数据存储节点之间的关联性指标;
数据预加密模块,所述数据预加密模块与所述数据分析模块电性连接,所述数据预加密模块用于采用可逆数据加密方式,对分布式存储数据中心中的所有数据的普通数据点和关键数据点进行加密计算,得到普通加密数据和关键加密数据;
存储节点划分模块,所述存储节点划分模块用于将数据存储节点划分为通用空间和加密空间;
数据管理模块,所述数据管理模块与所述存储节点分析模块和数据预加密模块电性连接,所述数据管理模块用于基于所有数据存储节点之间的关联性指标和每个数据存储节点加密空间内存储的关键加密数据,规划确定每个数据存储节点加密空间内存储的关键加密数据的备份数据存储节点,并将关键加密数据备份至对应的备份数据存储节点的加密空间;
数据监测模块,所述数据监测模块用于实时监测数据存储节点的访问情况,判断是否存在异常访问行为,若是,则启动数据中心防御机制,若否,则不做响应;
所述存储节点分析模块包括:
通讯网络分析单元,所述通讯网络分析单元用于确定分布式存储数据中心中的所有的数据通讯节点,并基于关联性指标计算公式,计算每一个数据通讯节点对应的关联性指标;
节点通讯确定单元,所述节点通讯确定单元用于确定两个数据存储节点所共享的数据通讯节点,记为互通数据通讯节点,并将该互通数据通讯节点对应的关联性指标记为两个数据存储节点之间的关联性指标;
所述数据管理模块包括:
条件规划单元,所述条件规划单元用于确定数据存储节点中的关键加密数据的总量和确定每个数据存储节点的备份空间剩余容量,并基于数据存储节点中的关键加密数据的总量和每个数据存储节点的备份空间剩余容量构建数据备份条件;
备份规划单元,所述备份规划单元用于建立评价公式,并确定在数据备份条件限制下,使评价公式输出值最小时,数据存储节点对应的至少一个备份数据存储节点;
所述数据监测模块包括:
异常特征学习单元,所述异常特征学习单元用于基于已知的数据存储节点入侵攻击的手段提取恶意行为特征,组成恶意行为特征库;
行为监测单元,所述行为监测单元用于对数据存储节点的所有访问行为进行行为特征提取,得到若干个访问行为特征,并对每一个访问行为特征从恶意行为特征库中进行遍历比对,判断是否存在与访问行为特征匹配的恶意行为特征,若是,则判断数据存储节点存在异常访问行为,若否,则判断数据存储节点不存在异常访问行为。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410411173.6A CN118018326B (zh) | 2024-04-08 | 2024-04-08 | 基于分布式存储的数据安全加密方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410411173.6A CN118018326B (zh) | 2024-04-08 | 2024-04-08 | 基于分布式存储的数据安全加密方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN118018326A CN118018326A (zh) | 2024-05-10 |
CN118018326B true CN118018326B (zh) | 2024-06-07 |
Family
ID=90954955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410411173.6A Active CN118018326B (zh) | 2024-04-08 | 2024-04-08 | 基于分布式存储的数据安全加密方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN118018326B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019179625A1 (en) * | 2018-03-22 | 2019-09-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Distributed data storage network nodes and methods |
CN112261017A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种面向云计算环境的服务器异常行为监测管理方法 |
WO2023096027A1 (ko) * | 2021-11-24 | 2023-06-01 | 케이디시스 주식회사 | 보안성이 향상된 데이터 백업 시스템 |
CN117313122A (zh) * | 2023-09-21 | 2023-12-29 | 上海汉邦链网科技有限公司 | 一种基于区块链的数据共享与交换管理系统 |
CN117439823A (zh) * | 2023-12-20 | 2024-01-23 | 深圳市智安网络有限公司 | 云端数据智能化权限认证安全防护方法及系统 |
-
2024
- 2024-04-08 CN CN202410411173.6A patent/CN118018326B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019179625A1 (en) * | 2018-03-22 | 2019-09-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Distributed data storage network nodes and methods |
CN112261017A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种面向云计算环境的服务器异常行为监测管理方法 |
WO2023096027A1 (ko) * | 2021-11-24 | 2023-06-01 | 케이디시스 주식회사 | 보안성이 향상된 데이터 백업 시스템 |
CN117313122A (zh) * | 2023-09-21 | 2023-12-29 | 上海汉邦链网科技有限公司 | 一种基于区块链的数据共享与交换管理系统 |
CN117439823A (zh) * | 2023-12-20 | 2024-01-23 | 深圳市智安网络有限公司 | 云端数据智能化权限认证安全防护方法及系统 |
Non-Patent Citations (2)
Title |
---|
反取证中匿名网络和分布式存储技术研究;姜旭航;《桂林电子科技大学硕士论文》;20240216;全文 * |
数据库安全威胁及数据备份恢复技术研究;龚媛媛;;硅谷;20110323(第06期);118 * |
Also Published As
Publication number | Publication date |
---|---|
CN118018326A (zh) | 2024-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108351946B (zh) | 用于匿名化日志条目的系统和方法 | |
CN110268406B (zh) | 密码安全性 | |
CN112329042A (zh) | 一种大数据安全存储系统及方法 | |
JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
CN111526020A (zh) | 一种安全共享方法 | |
CN108229162B (zh) | 一种云平台虚拟机完整性校验的实现方法 | |
CN114942729A (zh) | 一种计算机系统的数据安全存储与读取方法 | |
CN110543775A (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
CN114707166A (zh) | 数据存储和读取方法、装置、设备及存储介质 | |
CN118018326B (zh) | 基于分布式存储的数据安全加密方法及系统 | |
CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
CN109240804B (zh) | 虚拟机的磁盘资源的管理方法和装置 | |
CN105162765B (zh) | 一种基于断尾求生的云数据安全实现方法 | |
CN111475690A (zh) | 字符串的匹配方法和装置、数据检测方法、服务器 | |
CN116467388A (zh) | 一种基于区块链的共享文件一致性维护系统及方法 | |
CN113572860B (zh) | 泄密数据的追踪方法、装置、存储系统、设备及存储介质 | |
US11853454B1 (en) | Systems and methods for preparing a secure search index for securely detecting personally identifiable information | |
CN111931218A (zh) | 一种用于客户端数据安全防护装置和防护方法 | |
CN117972730B (zh) | 一种电子信息数据交互的低风险安全控制方法及系统 | |
KR102499947B1 (ko) | 하드웨어보안모듈을 이용한 암호키 및 스마트컨트랙트 이행 관리시스템 | |
KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
CN116305071B (zh) | 一种基于人工智能的账号密码安全系统 | |
Gao et al. | Similarity-based Secure Deduplication for IIoT Cloud Management System | |
CN111586044B (zh) | 一种针对隐私泄漏的网络数据防护方法及对应的防火墙 | |
CN111242770B (zh) | 风险设备识别方法、装置、电子设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |