WO2014059860A1

WO2014059860A1 - 一种提高云计算数据安全的方法及系统

Info

Publication number: WO2014059860A1
Application number: PCT/CN2013/084135
Authority: WO
Inventors: 赵乃岩
Original assignee: 北京卓微天成科技咨询有限公司
Priority date: 2012-10-17
Filing date: 2013-09-24
Publication date: 2014-04-24
Also published as: US20140223576A1; CN102882885A; CN102882885B

Abstract

一种提高云计算数据安全的方法及系统，属于数据安全技术领域。所述方法包括：用户为云计算服务应用实例可用的物理LUN设备建立索引信息表，根据索引信息表，设置虛拟LUN设备的虛拟LBA地址空间与实际数据存储LBA地址空间的对应规则；用户根据对应规则，建立并保存虛拟LBA地址空间与实际数据存储LBA地址空间的对应关系；根据对应关系，获取读写请求指向的虛拟LBA地址空间对应的实际数据的存储位置信息，完成I/O重定向。所述系统包括建立模块、设置模块、建立保存模块和重定向模块。本发明使数据所有者掌控元数据的生成方法、保存方法及位置，使用户数据所在的LUN设备不会被非法挂载，保障了用户数据的安全。

Description

一种提高云计算数据安全的方法及系统

技术领域

本发明涉及数据安全技术领域，特別涉及一种提高云计算数据安全的方法及系统。背景技术

云计算通过将 IT( Information Technology )资源转化为服务（IT as a Service) , 以按需付费的商业模式交付给终端用户使用，从而极大地降低了用户 IT使用成本，加速了 IT资源的交付周期，提高了运营效率。云计算推动了 IT资源的集中和共享，按照其部署和服务范畴划分，云计算可以分为私有云计算、公有云计算和混合云计算，由于其提供的 IT服务种类的不同，云计算又以以下模式体现：基础架构即服务 (IaaS, Infrastructure as a Service), 平台即服务 (PaaS, Platform as a Service), 软件即服务 (SaaS, Software as a Service), 存储即服务 (cloud storage, Storage as a Service) 等。

通过云计算，虽然用户的 IT成本可以得到降低，但是也使数据安全风险更多地集中在云计算数据中心端，具体表现在以下几个方面： 1) 多租户模式下的数据隔离和安全问题；公有云计算数据中心，处在多租户模式下，多个租户特別是彼此为竟争对手的租户的数据存储在一起会导致一定的安全风险，私有云计算数据中心也需要为各个职能部门之间的数据提供有效的数据隔离； 2) 黑客的非法入侵会导致重要数据的泄漏； 3) 云计算数据中心管理员特別是超级管理员的人为错误或者职业搡守问题可能导致用户数据的泄露等等。

目前，云计算数据安全的解决方案大致可以分为两类：

一类是针对存储即服务（即云存储），通过逻辑级別多租户的数据隔离，依赖数据加密技术保护用户的数据安全。所谓逻辑级別的隔离，主要通过云计算数据中心端保存的元数据信息实现的，例如基于对象的存储系统（Object Storage Device, OSD) , 典型的实施有 EMC Atmos, Amazon S3存储服务等；还有基于策略多租户数据安全管理方法和系统，如美国专利 US 2011/0022642 Policy Driven Cloud Storage Management and Cloud Storage Policy Router所记述。 £辑级別隔离的情况下，虽然不同用户登录后所见到的数据仅为其所授权的数据，但是为了保护数据安全，用户通常需要将数据加密后传输到云计算数据中心。

另一类是针对存储即服务之外的云计算模式，例如软件即服务（SaaS)、基础架构即服务（IaaS)、平台即服务（PaaS) 等。对于这些云计算模式，存储即服务的数据安全解决方案并不适用，这是因为，存储即服务大多是基于 Restful 协议而不是基于 SCSI协议，以数据对象或者文件为单位存取数据，数据安全性具有较高优先级（数据通常需要加密），对数据访问延迟、 I/O 性能和可靠性的要求较低；而对于其他云计算模式（即 SaaS, IaaS, PaaS等）而言，数据访问主要是基于 SCSI协议的，因此数据访问延迟性、 I/O性能及可靠性，与数据的安全性 1¾样具有相 1¾甚至更高的优先级， 1¾时为了保证数据访问 I/O性能，数据通常不能被加密，从而使得云计算的租户的数据安全完全依赖于云计算服务提供商的职业搡守和其对数据安全性保护的技术能力。对于该类云计算模式，目前的解决方案主要是通过云计算数据中心端的多租户数据物理级別隔离加之云计算服务提供商与用户签订的 SLA (Service Level Agreement, 服务水平协议）保障。所谓多租户数据物理级別的隔离主要通过云计算数据中心端划分不同 LUN 实现的。每个用户在数据中心端被分配了一个或多个独占的物理 LUN设备，其数据仅保存在该物理 LUN设备上，从而实现了不 1§]用户数据之间的物理级別隔离，典型的解决方案为 Netapp MultiStore。物理级別隔离，可以在一定程度上保证数据访问的性能及可靠性，但是，考虑到为了保证性能，数据在云计算端很难加密，由此带来的数据安全的风险则是云计算租户所不能不顾虑的。虽然与云计算服务商之间的服务合同可以在一定程度上降低以上风险，但是也无法避免，非法入侵用户或者云计算数据中心管理员仍可以在数据所有者未授权的情况下，将用户数据保存的 LUN设备非法挂载到其他终端上，进而获取数据的情况。

综上所述，现有的云计算数据安全解决方案技术还无法解决除存储即服务之外的云计算模式（特別是 IaaS、 PaaS和 SaaS) 的数据安全问题，即在保证数据安全的 1§]时，兼顾数据访问性能、可靠性等企业级云计算应用的要求。发明内容

为了解决现有云计算数据安全解决方案不适用于云存储之外的云计算模式，以及易被非法获取等问题，本发明提供了一种提高云计算数据安全的方法，所述方法包括：

用户为云计算服务应用实例可用的物理 LUN设备建立索 I信息表；用户建立一个虛拟 LUN设备，根据所述索引信息表，设置所述虛拟 LUN 设备的虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应规则；

用户根据所述对应规则，建立并保存数据访问虛拟 LUN设备的虛拟 LBA 地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系；根据所述对应关系，获取外部数据读写请求指向的虛拟 LBA地址空间对应的实际数据的存储位置信息，完成 I/O重定向。

所述索引信息表的内容包括 LUN设备全局 ID、云计算数据中心 ID和 LUN 设备局部 ID; 所述云计算服务应用实例包括软件即服务、基础架构即服务和平台即服务。

所述虛拟 LUN设备放置在用户端或用户信赖的第三方托管端。

所述建立并保存对应关系的步骤具体包括：

选择多个 LBA地址作为虛拟 LBA地址空间和实际 LBA地址空间的最小分割单元；

根据所述最小分割单元，将所述虛拟 LBA地址空间和实际数据存储 LBA 地址空间，分割成数量相等的虛拟 LBA地址段和实际 LBA地址段；

用户根据所述对应规则，将所述虛拟 LBA地址段与实际 LBA地址段一一对应，以及将所述虛拟 LBA地址段中的虛拟 LBA地址与其对应的实际 LBA地址段中的实际 LBA 地址进行一一对应，并根据以上对应结果建立且保存虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应关系。

所述多个 LBA地址为多个连续的、不连续的、有规律或无规律的 LBA地址。

所述根据所述对应关系，获取外部数据读写请求指向的虛拟 LBA地址空间对应的实际数据的存储位置信息，完成 I/O重定向的步骤具体包括：

根据外部数据读写请求指定的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系，查询并获取虛拟 LBA地址空间中每个虛拟 LBA地址对应的实际数据存储的 LBA地址；

根据所述索引信息表中的 LUN设备全局 ID, 查询并获取每个实际 LBA地址所对应的云计算数据中心和其对应的 LUN设备局部 ID;

根据每个实际 LBA地址对应的云计算数据中心和 LUN设备局部 ID,将外部数据读写请求转发到实际数据存储 LBA地址空间上，完成数据 I/O 请求的重定向。所述方法还包括：用户按照预置的频率更新所述对应关系。

本发明还提供了一种提高云计算数据安全的系统，包括：

建立模块，用于用户为云计算服务应用实例可用的物理 LUN设备建立索引信息表；

设置模块，用于用户建立一个虛拟 LUN设备，根据所述索引信息表，设置所述虛拟 LUN设备的虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应规则；

建立保存模块，用于用户根据所述对应规则，建立并保存数据访问虛拟 LUN 设备的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系；

重定向模块，用于根据所述对应关系，获取外部数据读写请求指向的虛拟 LBA地址空间对应的实际数据的存储位置信息，完成 I/O重定向。

所述建立保存模块包括：

选择单元，用于选择多个 LB A地址作为虛拟 LB A地址空间和实际 LB A地址空间的最小分割单元；

分割单元，用于根据所述最小分割单元，将所述虛拟 LB A地址空间和实际数据存储 LBA地址空间，分割成数量相等的虛拟 LBA地址段和实际 LBA地址段；

对应关系建立单元，用于用户根据所述对应规则，将所述虛拟 LBA地址段与实际 LBA地址段一一对应，以及将所述虛拟 LBA地址段中的虛拟 LBA地址与其对应的实际 LBA地址段中的实际 LBA地址进行一一对应，并根据以上对应结果建立且保存虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应关系。所述重定向模块包括：

第一获取单元，用于根据外部数据读写请求指定的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系，查询并获取虛拟 LBA地址空间中每个虛拟 LBA地址对应的实际数据存储的 LBA地址；

第二获取单元，用于根据所述索引信息表中的 LUN设备全局 ID, 查询并获取每个实际 LBA地址所对应的云计算数据中心和其对应的 LUN设备局部 ID; 定向单元，用于根据每个实际 LBA地址对应的云计算数据中心和 LUN设备局部 ID, 将外部数据读写请求转发到实际数据存储 LBA地址空间上，完成数据 I/O 请求的重定向。

所述系统还包括更新模块，用于用户按照预置的频率更新所述对应关系。本发明实现了用户数据在云计算数据中心端物理级別隔离的同时，使数据所有者可以掌控元数据的生成方法、保存方法及位置信息，并且兼顾了企业级云计算服务计算对 I/O性能和可靠性的要求，从而使得即便云计算数据中心被非法入侵，用户数据所在物理 LUN设备也不会被非法挂载，用户数据也不会泄露，保障了用户数据的安全。附图说明

图 1是本发明实施例虛拟 LBA地址空间到实际数据存储 LBA地址空间的对应关系示意图；

图 2是本发明实施例第三方云计算服务对虛拟 LUN设备的访问实例一；图 3是本发明实施例第三方云计算服务对虛拟 LUN设备的访问实例二；图 4是本发明实施例的提高云计算数据安全的方法流程图；

图 5是本发明实施例的提高云计算数据安全的系统结构示意图。具体实施方式

下面结合附图和实施例，对本发明技术方案作进一步描述。

为了更加完善地解决云计算数据安全问题，本发明实施例提供了一种提高云计算数据安全的方法，该方法是由用户建立并在用户端（或用户信任的第三方托管端）保存云计算服务应用实例数据访问虛拟 LUN设备的虛拟 LBA地址空间和指定云计算数据中心的实际数据存储 LBA地址空间的对应关系；根据该对应关系获取外部数据读写请求指向的虛拟 LBA地址空间对应的实际数据的存储位置信息，进而完成用户数据访问的 I/O重定向。通过上述方法可以实现多租户数据在云计算数据中心端的物理隔离， 1§]时在数据不加密的情况下，如果数据所有者不授权 I/O请求的虛拟 LBA地址空间和指定云计算数据中心的实际数据存储 LBA地址空间的对应关系信息，数据实际内容很难被非法获取，大大地增强了用户数据的安全性。

需要说明的是，本发明实施例所指云计算及云计算服务应用实例，仅适用于除了存储即服务（或称云存储）之外的云计算模式，包括软件即服务（SaaS)、基础架构即服务（IaaS) 和平台即服务（PaaS) 等。

参见图 4，本发明实施例提供了一种提高云计算数据安全的方法，包括如下步骤：

步骤 101：用户为云计算服务应用实例可用的物理 LUN设备建立索引信息表。

首先，用户需要为其所拥有的或所租用的云计算服务应用实例，规划用来存储实际数据的物理 LUN设备。这些物理 LUN设备可以来源于云计算服务提供商（位于其指定的云计算数据中心中），或者来源于第三方存储服务提供商（为了保证数据访问性能，它们需要与云计算服务提供商构建较好的网络连接），或者来源于用户本地的数据中心。在具体应用中，第三方存储服务提供商可以包括存储即服务提供商（即云存储服务提供商），例如 Amazon S3存储服务；需要说明的是，目前的公有云存储服务多数是基于 Restful协议的以数据对象或者文件为单位的存取，而不是基于 SCSI协议的数据块的存取，为了使本发明实施例的云计算服务应用实例可以访问其数据，需要进行协议转换，即将 Restful协议转换为基于块的数据访问协议（block based protocol) , 这种协议转换已经有成功的实践，典型的有 StorSimple, TwinStrata的云存储产品与解决方案，具体细节这里不再赘述。

其次，用户需要为云计算服务应用实例所使用到的物理 LUN设备建立一张全局物理 LUN设备的索引信息表，如表 1所示。该索引信息表包括 LUN设备全局 ID、云计算数据中心 ID和 LUN设备局部 ID；其中， LUN设备全局 ID是建立未来虛拟 LUN设备上虛拟 LBA地址空间与实际数据保存位置对应关系的主要依据之一； 1¾时， LUN设备全局 ID和所分配的云计算数据中心 ID都是局部变量，其作用范围仅限于该用户的该虛拟 LUN设备。对于不同的用户甚至同一用户的不同（如下面步骤 102所述）虛拟 LUN设备，索引信息表所中的信息都可以不 1§]，例如： 1§]一云计算数据中心 ID在用户 A处可以被分配为 0，在用户 B处可以被分配为 1等等，这种分配方法对于保护数据所有者数据的隐私性有好处。另外，从数据安全性的考虑，该索引信息表通常保存在用户端或者用户信赖的第三方托管端。

表 1

LUN设备全局 ID 所分配的云计算数据中心 ID LUN设备局部 ID

00 0 0 01 0 1

14 1 4

25 2 5

··· ··· ··· 表 1中， LUN设备全局 ID指的是，该云计算数据中心端 LUN设备在建立 LBA地址空间对应关系过程中所使用的唯一标识，包含其对应的云计算数据中心 ID (可以是云计算服务提供商的数据中心、或者是第三方云存储服务提供商、或者是用户本地的数据中心）和该 LUN设备在该云计算数据中心端的局部 ID。

LUN设备局部 ID指的是，该 LUN设备在指定云计算数据中心范畴被分配唯一的标识，如指定存储池中指定的 LUN单元号。需要指出的是，云计算数据中心端 LUN设备，可以有不同的实现方式，可以是真实的 LUN设备，或者是通过存储虛拟化技术实现的虛拟 LUN设备，或者是第三方云存储服务提供商提供的存储空间经过 Restful到 SCSI协议转换后展示给云计算服务应用实例的 LUN设备，但是无论哪种实现方式，展现出来的都是用于数据存储的物理 LUN设备，对于本发明实施例的实现步骤没有影响。

步骤 102: 用户建立一个虛拟 LUN设备，根据全局物理 LUN设备索引信息表，设置该虛拟 LUN设备的虛拟 LBA地址空间与实际数据存储的 LBA地址空间的对应规则；用户根据该对应规则，建立并保存数据访问虛拟 LUN设备的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系。

用户需要建立一个虛拟 LUN设备用于云计算服务应用实例对数据的访问。该虛拟 LUN设备可以放置在用户端，或者其信赖的第三方托管端（如果云计算服务提供商获得了用户的授权，则云计算服务提供商也可以作为第三方托管端)。

为了保障数据的安全性，用户需要根据其实际数据安全性要求，设置 LBA 地址空间对应规则，该 LBA地址空间对应规则可以人为手动来设置或通过 LBA 地址空间对应规则设定引擎来设置。具体而言，用户在建立 LBA地址空间的对应关系过程中，可以根据虛拟 LUN设备上所保存数据的安全性要求，进行定制和选择对应规则，例如：对于安全性要求较低的数据，可以采用有规律的运算法则作为对应规则，例如：在实际 LBA地址集合（即所有可供选择的实际 LBA 地址组成的集合）建立起来以后，第 i个虛拟 LBA地址，对应于实际 LBA地址集合排在第 (i+1)位置的实际 LBA地址，如此类推；对于安全性要求较高的数据，需要使 LBA地址空间对应规则和数据访问协议转换规则唯一，并且难以被破解。在极端情况下，为了最大限度地保证元数据的安全性，可以采用虛拟 LBA地址和实际数据存储 LBA地址的真随机对应规则，将二者对应起来。以下列举一个方法以证明这种真随机对应规则方法的可行性。

假定虛拟 LUN设备上有 n个虛拟 LBA地址，需要与多个云计算数据中心存储的 n个实际数据存储 LBA地址对应起来，那么，

步骤 1.1，设定 i=l (i是自然数， i<=n)，生成真随机数 Ri ;

步骤 1.2，将剩余所有实际 LBA地址进行随机排序，产生一个长度为 (n+1-i) 的实际 LBA地址集合 IbaSet;

步骤 1.3，对应于第 i个虛拟 LBA地址的实际 LBA地址，需要通过下面的运算：

Xi= Ri mod (n+1-i) (其中 mod是取模运算）

获取 IbaSet第 Xi个实际 LBA地址；步骤 1.4，设定 i=i+l，重复步骤 1.1到步骤 1.3，循环执行直到 i=n, 所有虛拟 LBA地址与实际 LBA地址对应起来。

需要说明的是，步骤 1.1中生成真随机数的方法已经很成熟，具体实现中可以采用 Applied Cryptography Protocols, Algorithms and C Source Code issued by the Machinery Industry Press, 第 301页中给出的产生真随机数的方法，例如使用随机噪声、使用计算机时钟、 CPU 负载或网络数据包到达次数等方法来产生真随机数。

LBA地址空间对应规则建立以后，需要建立虛拟 LBA地址空间与云计算数据中心的实际数据存储 LBA地址空间的对应关系。需要说明的是，云计算数据中心的实际数据存储 LBA地址空间，可能来源于多个云计算数据中心的多个物理 LUN设备，且这些云计算数据中心不限于云计算服务提供商的本地数据中心，或者远程的第三方云计算服务提供商的数据中心。

图 1示出了在 LBA地址空间对应规则建立后，云计算服务应用实例所访问虛拟 LUN设备的虛拟 LBA地址空间和云计算数据中心的实际数据存储 LBA地址空间的对应关系。

表 2

虛拟 LUN设备端虛拟 LBA地址对应实际数据存储 LBA地址 (虛拟 LUN设备 ID:虛拟 LBA地址） (LUN设备全局 ID：实际 LBA地址）

··· ···

1 : 32 00 : 48

··· …

1 : 49 25 : 94 表 2中示出了云计算服务应用实例所访问虛拟 LUN设备的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系信息，在本发明实施例中这种对应关系信息被称为元数据信息。在具体应用中，该元数据信息可以选择保存在用户端或者其信赖的第三方托管端。

需要说明的是，虛拟 LUN设备的虛拟 LBA地址空间和实际数据存储 LBA 地址空间的对应关系信息（即元数据信息）可能因用户使用不同的对应规则，而占用不同的存储空间，如果为了减小元数据信息量进而达到节省存储空间和提高性能的目的，可以采用如下方法建立并保存元数据信息：

选择多个 LBA 地址（可以是连续的 LBA 地址，例如 0x00000000、 0x00000001、 0x00000002、 0x00000003；或者是有规律的不连续的 LBA地址，例如： 0x00000000、 OxOOOOOOOA, 0x00000014、 ΟχΟΟΟΟΟΟΙΕ; 或者是无规律、不连续的、随机的 LBA地址）作为虛拟 LBA地址空间和实际 LBA地址空间的最小分割单元；根据最小分割单元，将虛拟 LBA地址空间和实际数据存储 LBA 地址空间，分割成数量相等的虛拟 LBA地址段和实际 LBA地址段；用户根据对应规则，将虛拟 LBA地址段与实际 LBA地址段一一对应起来，以及将虛拟 LBA地址段中的虛拟 LBA地址与其对应的实际 LBA地址段中的实际 LBA地址进行一一对应，并根据以上对应结果建立且保存虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应关系。

步骤 103 :当外部数据读写的请求到达虛拟 LUN设备指定的虛拟 LBA地址空间时，根据 LBA地址空间的对应关系信息，将该请求所申请的虛拟 LBA地址空间转换到实际数据存储位置，进而完成用户数据访问 I/O重定向。

在完成步骤 102后，虛拟 LUN设备的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系就建立起来了，进而所有到达虛拟 LUN设备的指定虛拟 LB A地址空间的读写 I/O请求可以被重定向到其对应的实际数据存储 LBA地址空间。

具体而言，假设有读写 I/O请求到达虛拟 LUN设备，需要经过以下步骤完成 I/O 重定向：

步骤 2.1，外部（读或者写） I/O请求到达虛拟 LUN设备的指定虛拟 LBA 地址空间，该虛拟 LBA地址空间包含至少一个虛拟 LBA地址；

步骤 2.2，根据已建立的 LBA地址空间对应信息表（如表 2)，查询并获取虛拟 LBA地址空间中每个虛拟 LBA地址对应的实际数据存储的 LBA地址；步骤 2.3，根据云计算数据中心端的全局物理 LUN设备的索引信息表（如表 1 )，根据步骤 2.2所获得的每个实际 LBA地址所对应的 LUN设备全局 ID信息，查询并获取每个实际 LBA地址所对应的云计算数据中心 ID和其对应的 LUN 设备局部 ID;

步骤 2.4，依据步骤 2.2和 2.3所获取的每个实际 LBA地址对应的云计算数据中心 ID、 LUN设备局部 ID, 将该 I/O请求转发到步骤 2.2所获取的实际数据存储 LBA地址空间上，进而完成数据 I/O 请求的重定向。

需要说明的是，到达虛拟 LUN设备的 I/O请求发起者，可以是终端用户；也可以是非云计算服务应用实例，例如本地或远程的应用实例；还可以是本地 (即私有云服务）或者远端的公有云计算服务应用实例。因为，本发明实施例的可行性决定于如何处理到达虛拟 LUN设备上的 I/O请求，而与 I/O请求的发起者无关，所以下面仅以本地或远端的云计算服务应用实例发起 I/O请求为例进一步讨论本发明的可行性。

另外，上述步骤 2.4中，如果采用了第三方公有云存储服务，那么可能还需要通过第三方公有云存储的身份认证、计费等过程，才能完成数据 I/O 请求的重定向。

在本发明实施例中，本地或者远端的云计算服务应用实例，包括软件即服务（Software as a Service)、基础架构即艮务 (Infrastructure as a Service)和平台即服务 (Platform as a Service) 等模式下的云计算服务应用实例。本地云计算服务应用实例发生在内部可控私有网络（intranet) 中，即私有云计算服务；而远端的云计算服务应用实例发生在外部不可控公共网络（internet) 中，即公有云计算服务。

对于本发明实施例，虛拟 LUN设备的访问有两种典型拓朴结构： 1 ) 带内架构 (in-band architecture), 统一了数据和元数据访问路径，即数据流和控制流在同一条线路上传输，如图 2所示； 2) 带外架构，分离了数据和元数据访问路径，即数据流和控制流以不 1¾线路分开传输，如图 3 所示。用户可以根据数据访问的安全性和数据存取性能的要求，进行选择。

本发明实施例中，无论哪种拓朴结构，都需要在云计算服务应用实例端构建一个代理程序，它可以将所创建的虛拟 LUN设备展现给云计算服务应用实例，使云计算服务应用实例对数据的访问是透明的，同时该代理程序也可以实时访问元数据信息服务器获取每个虛拟 LBA地址对应的元数据信息，还可以转发虛拟 LUN设备接收的 I/O请求到实际数据存储的 LBA地址空间。以下分別阐述两种拓朴结构下数据读写 I/O重定向的实现流程。

1、带内架构，参见图 2 :

步骤 3.1，虛拟 LUN通过代理程序挂载以后，云计算服务应用实例读写 I/O 请求到达虛拟 LUN设备的指定虛拟 LBA地址空间（如果是写 I/O请求，则该请求中还应包含待写入的数据），该虛拟 LBA地址空间包含至少一个虛拟 LBA地址；步骤 3.2，代理程序将到达虛拟 LUN上的该虛拟 LBA地址空间的 I/O请求转发给用户端（或者可信赖第三方托管端）的元数据信息服务器；

步骤 3.3，用户端（或者可信赖第三方托管端）的元数据信息服务器，获取该虛拟 LBA地址空间对应的实际数据存储 LBA地址集合；并进一步根据所获取的数据访问实际 LBA地址空间信息，将数据读写 I/O请求发送到指定云计算数据中心的实际数据存储 LBA地址空间上，完成 I/O重定向，并将数据读写结果通过代理程序，返回给云计算服务应用实例（如果是读 I/O，那么需要将所读数据一并返回给云计算服务应用实例）。

步骤 3.3 中的云计算数据中心可以是云计算服务提供商端所管理的数据中心，或者是用户本地数据中心，或者是其他存储服务提供商（比如云存储服务提供商）的数据中心。

2、带外架构，参见图 3 :

步骤 4.1，虛拟 LUN通过代理程序挂载以后，第三方云计算服务读写 I/O请求到达虛拟 LUN设备的指定虛拟 LBA地址空间，该虛拟 LBA地址空间包含至少一个虛拟 LBA地址；

步骤 4.2，与该虛拟 LUN设备关联的代理程序，访问用户端（或者可信赖第三方托管端）的元数据信息服务器，获取该虛拟 LBA地址空间对应的实际数据存储的 LBA地址集合；

步骤 4.3，依据步骤 4.2所获取的数据访问实际 LBA地址空间信息，与该虛拟 LUN设备关联的代理程序将虛拟 LUN设备接收到的数据读写 I/O请求发送到指定云计算数据中心的实际数据存储 LBA地址空间上，完成 I/O重定向，并将数据读写结果返回给云计算服务应用实例（如果是读 I/O，那么需要将所读数据一并返回给云计算服务应用实例）。如果以上实施例（包括带内和带外架构）的云计算数据中心不是云计算服务提供商端管理的数据中心或者用户本地数据中心，即其他云计算服务提供商

(如云存储服务提供商）的数据中心，那么在步骤 3.3和 4.3之前，还需要根据已保存的数据服务访问设定（如认证付费等），访问该数据中心。

另外，带外架构下，云计算服务应用实例与虛拟 LUN设备交互的信息主要是元数据信息，信息数据量较小，相对于带内架构，具有更好的性能。

为了进一步提高安全性，无论是带内或者带外架构，用户均可以按照预置的频率更新虛拟 LUN设备的元数据信息（仅对未读写的 LBA地址有效）。极端情况下，可以每次访问元数据信息后，变换对应规则，更新一次元数据信息。

需要说明的是，以上发明实施例中，云计算服务应用实例所访问的虛拟 LUN 设备被放置在云计算服务提供商端，如上所述，如果云计算服务应用实例端到用户端的数据访问网络速度可以满足要求（比如 8Gbps光纤或者万兆以太网），或者用户为了数据的安全性愿意牺牲一部分数据访问性能和可靠性等其他指标，该虛拟 LUN设备还可以放置在用户端。鉴于实现方式基本相同，这里不再赘述细节。

总之，虛拟 LUN设备的访问对象无论是用户端的用户，抑或本地或者远程的应用实例（非云计算服务应用实例），抑或本地或者远程的云计算服务应用实例；在云计算服务应用实例访问模式下，无论虛拟 LUN设备放置在用户端或者是第三方云计算服务端；数据读写 I/O重定向的实现模式无论是带内架构，还是带外架构，本发明实施例都是可行的。

参见图 5，本发明实施例还提供了一种提高云计算数据安全的系统，包括：建立模块，用于用户为云计算服务应用实例可用的物理 LUN设备建立索引信息表；设置模块，用于用户建立一个虛拟 LUN设备，根据索引信息表，设置虛拟 LUN设备的虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应规则；建立保存模块，用于用户根据对应规则，建立并保存数据访问虛拟 LUN设备的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系；

重定向模块，用于根据对应关系，获取外部数据读写请求指向的虛拟 LBA 地址空间对应的实际数据的存储位置信息，完成 I/O重定向。

在本实施例中，建立保存模块包括：

分割单元，用于根据最小分割单元，将虛拟 LBA地址空间和实际数据存储 LBA地址空间，分割成数量相等的虛拟 LBA地址段和实际 LBA地址段；

对应关系建立单元，用于用户根据对应规则，将虛拟 LBA地址段与实际 LBA 地址段一一对应，以及将虛拟 LBA地址段中的虛拟 LBA地址与其对应的实际 LBA地址段中的实际 LBA地址进行一一对应，并根据以上对应结果建立且保存虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应关系。

在本实施例中，重定向模块包括：

第二获取单元，用于根据索引信息表中的 LUN设备全局 ID, 查询并获取每个实际 LBA地址所对应的云计算数据中心和其对应的 LUN设备局部 ID;

定向单元，用于根据每个实际 LBA地址对应的云计算数据中心和 LUN设备局部 ID, 将外部数据读写请求转发到实际数据存储 LBA地址空间上，完成数据 I/O 请求的重定向。

本实施例的提高云计算数据安全的系统还包括更新模块，用于用户按照预置的频率更新对应关系。

本发明实施例的方法与美国专利 US 7171453 Virtual Private Volume Method and System中所记述的方法和系统不同。美国专利通过在中间层保存一份 LUN 对应关系表保护存储服务使用方（consumer) 和提供方（provider) 的隐私性，即双方互不可见，并不是用于解决云计算数据安全的问题，与本发明实施例的技术方案不同。

本发明实施例提供的提高云计算数据安全的方法与传统的存储虛拟化方法之间也存在着明显的区別。本发明实施例的目的是为了解决云计算数据中心端的数据安全问题，其前提条件是使用存储服务的消费方（用户）之间，以及他们与存储服务提供方之间，不存在信任关系（特別是公有云计算数据中心）。数据的访问与传输可能处于一个易受到非法攻击的公有网络环境中（公有云计算艮务），虛拟 LUN设备与云计算数据中心的物理 LUN设备之间的 LBA地址对应关系信息由终端用户以指定方法生成并保存到用户指定的位置。传统的存储虛拟化方法实现的是在一个彼此信任的私有网络环境中，用户无法干预和保存用户端虛拟 LUN设备与物理 LUN设备之间的 LBA地址对应关系信息，正因为如此，基于传统的存储虛拟化技术，无论是基于主机的存储虛拟化 (host based storage virtualization) , 还是基于交换机的存储虛拟化 ( Switch based storage virtualization) , 或者基于存储设备的存储虛扣化 (Storage device based storage virtualization) , 所创建的虛拟 LUN设备可以被（非法）挂载到其他主机，访问其上的数据。与已有的云计算数据中心端数据安全解决方案相比，本发明实施例提供的提高云计算数据安全的方法具有如下优点：

1. 实现了用户数据在云计算数据中心端物理级別隔离的 1¾时，使数据所有者可以掌控元数据（即虛拟 LUN设备和云计算数据中心端物理 LUN设备之间的 LBA地址对应关系信息）的生成方法、保存方法及位置（本地或者可信赖的第三方托管端），从而使得即便云计算数据中心被非法入侵，用户数据所在 LUN 设备也不会被非法挂载，用户数据也不会泄露，保障了用户数据的安全。

2. 在元数据以真随机方法生成的情况下，用户对应的 LUN设备在云计算数据中心端，即便被非法挂载，也无法获得其内容，保障了用户数据的安全性。

在实际应用中，本实施例中所涉及的各个功能模块及单元，均可以由运行在计算机硬件上的计算机程序实现，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的硬件指的是包含一个或者多个处理器和存储介质的服务器或者台式计算机、笔记本电脑等；所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM) 或随机存储记忆体 (Random Access Memory, RAM) 等；所述计算机程序由不限于（、 C++等计算机语言实现。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种提高云计算数据安全的方法，其特征在于，所述方法包括：用户为云计算服务应用实例可用的物理 LUN设备建立索引信息表；用户建立一个虛拟 LUN设备，根据所述索引信息表，设置所述虛拟 LUN 设备的虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应规则；

2、如权利要求 1所述的提高云计算数据安全的方法，其特征在于，所述索引信息表的内容包括 LUN设备全局 ID、云计算数据中心 ID和 LUN设备局部 ID; 所述云计算服务应用实例包括软件即服务、基础架构即服务和平台即服务。

3、如权利要求 2所述的提高云计算数据安全的方法，其特征在于，所述虛拟 LUN设备放置在用户端或用户信赖的第三方托管端。

4、如权利要求 3所述的提高云计算数据安全的方法，其特征在于，所述建立并保存对应关系的步驟具体包括：

选择多个 LB A地址作为虛拟 LB A地址空间和实际 LB A地址空间的最小分割单元；

5、如权利要求 4所述的提高云计算数据安全的方法，其特征在于，所述多个 LBA地址为多个连续的、不连续的、有规律或无规律的 LBA地址。

6、如权利要求 5所述的提高云计算数据安全的方法，其特征在于，所述根据所述对应关系，获取外部数据读写请求指向的虛拟 LBA地址空间对应的实际数据的存储位置信息，完成 I/O重定向的步驟具体包括：

根据所述索引信息表中的 LUN设备全局 ID, 查询并获取每个实际 LBA地址所对应的云计算数据中心和其对应的 LUN设备局部 ID；

根据每个实际 LBA地址对应的云计算数据中心和 LUN设备局部 ID, 将外部数据读写请求转发到实际数据存储 LBA地址空间上，完成数据 I/O 请求的重定向。

7、如权利要求 6所述的提高云计算数据安全的方法，其特征在于，所述方法还包括：用户按照预置的频率更新所述对应关系。

8、一种提高云计算数据安全的系统，其特征在于，包括：

9、如权利要求 8所述的提高云计算数据安全的系统，其特征在于，所述建立保存模块包括：

分割单元，用于根据所述最小分割单元，将所述虛拟 LBA地址空间和实际数据存储 LBA地址空间，分割成数量相等的虛拟 LBA地址段和实际 LBA地址段；

对应关系建立单元，用于用户根据所述对应规则，将所述虛拟 LBA地址段与实际 LBA地址段一一对应，以及将所述虛拟 LBA地址段中的虛拟 LBA地址与其对应的实际 LBA地址段中的实际 LBA地址进行一一对应，并根据以上对应结果建立且保存虛拟 LBA地址空间与实际数据存储 LBA地址空间的对应关系。

10、如权利要求 9 所述的提高云计算数据安全的系统，其特征在于，所述重定向模块包括：

第一获取单元，用于根据外部数据读写请求指定的虛拟 LBA地址空间与指定云计算数据中心的实际数据存储 LBA地址空间的对应关系，查询并获取虛拟 LBA地址空间中每个虛拟 LBA地址对应的实际数据存储的 LBA地址；第二获取单元，用于根据所述索引信息表中的 LUN设备全局 ID, 查询并获取每个实际 LBA地址所对应的云计算数据中心和其对应的 LUN设备局部 ID；定向单元，用于根据每个实际 LBA地址对应的云计算数据中心和 LUN设备局部 ID, 将外部数据读写请求转发到实际数据存储 LBA地址空间上，完成数据 I/O 请求的重定向。

11、如权利要求 10所述的提高云计算数据安全的系统，其特征在于，所述系统还包括更新模块，用于用户按照预置的频率更新所述对应关系。