WO2019174647A1

WO2019174647A1 - 磁盘阵列数据保护系统和方法

Info

Publication number: WO2019174647A1
Application number: PCT/CN2019/078506
Authority: WO
Inventors: 何小林; 栗佳慧
Original assignee: 何小林
Priority date: 2018-03-16
Filing date: 2019-03-18
Publication date: 2019-09-19
Also published as: CN108427895A

Abstract

一种磁盘阵列数据保护系统和方法，方法包括：在用于访问磁盘阵列的终端设备一侧设置应用程序访问保护模块、在磁盘阵列一侧设置磁盘阵列保护模块；应用程序访问保护模块连接磁盘阵列保护模块；在终端设备的应用程序在被允许访问磁盘阵列时，应用程序访问保护模块获取应用程序的唯一标识参数并将应用程序的唯一标识参数记录到白名单中；当终端设备的应用程序请求访问磁盘阵列时，应用程序访问保护模块获取访问请求中的应用程序的唯一标识参数；应用程序访问保护模块与磁盘阵列保护模块通讯以将应用程序的唯一标识参数发送至磁盘阵列保护模块，再由磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与直接或间接获取的白名单进行对比认证。

Description

磁盘阵列数据保护系统和方法

技术领域

本发明涉及数据安全技术领域，具体涉及一种磁盘阵列数据保护系统和方法。

背景技术

随着技术的发展，越来越多的数据以电子形式存储，因此电子数据的可靠性成为了影响数据安全性的重要环节。其中磁盘阵列(Redundant Arrays of Independent Disks，RAID)是一种具有容错(fault-tolerance)和逻辑数据备份(logical data redundancy)功能的存储技术，能够把相同的数据存储在多个硬盘的不同的地方(因此，冗余地)的方法。通过把数据放在多个硬盘上，输入输出操作能以平衡的方式交叠，改良性能。因为多个硬盘增加了平均故障间隔时间(MTBF)，储存冗余数据也增加了容错。

中国专利申请号：201710828163.2，申请日：20170914，公开号CN107562576A，公开日：20180109，名称“一种数据保护的方法”；其公开了一种保护在磁盘阵列RAID中的硬盘出现故障时保护数据不丢失和快速恢复的技术。该技术用于保护用户数据在硬件环境有损坏或者发生故障时仍然可以访问用户数据。

中国专利申请号：201710218262.9，申请日：20170405，公开号CN107194286A，公开日：20170922，名称“一种磁盘阵列存储加密系统、方法”；其公开了一种技术，是在磁盘阵列存储上通过数据加密方法，让用户通过安装在initiator端的用户认证程序发起认证请求；认证通过后可以访问存储数据。该技术使得应用程序在写入或读取数据时以数据加密的方式读取或写入数据，以达到数据存放在磁盘阵列上不被其他程序人员盗取的目的。该技术考虑到了防止数据丢失的风险，但是一旦加密方式的密钥泄露，数据马上就面临的数据泄露的风险。而且每一次写入或读取到磁盘阵列的数据都需要加密和解密对于硬件的资源浪费和磁盘阵列存储性能下降都造成了极大的浪费。

目前随着信息化的发展，每天产生的数据量也飞速增长，应用系统对存储要求的吞吐数据性能越来越高同时也会数据安全可靠，因此防止企业的核心数据泄露，同时保障应用系统的写入和读出存储数据性能，通过传统的加密等技术手段已经无法保障磁盘阵列设备既要满足存储性能要求和安全无数据泄露的风险。

发明内容

针对现有技术中的磁盘阵列存储时无法兼顾安全性和访问效率的问题，本发明实施例要解决的技术问题是提出一种磁盘阵列数据保护系统和方法，针对现有的数据类型建立更为安全有效的数据安全技术，以至少部分的解决现有技术中存在的问题。

为了解决上述问题，本发明实施例提出了一种磁盘阵列数据保护方法，包括：

在用于访问磁盘阵列的终端设备一侧设置应用程序访问保护模块、在磁盘阵列一侧设置磁盘阵列保护模块；其中所述应用程序访问保护模块连接所述磁盘阵列保护模块；

在终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数并将该应用程序的唯一标识参数记录到白名单中，所述白名单存储在应用程序访问保护模块中或磁盘阵列保护模块中或第三方设备中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数发送至磁盘阵列保护模块，再由所述磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与直接或间接获取的白名单进行对比认证以确定该应用程序是否在该白名单中。

其中，所述白名单存储在磁盘阵列一侧的磁盘阵列保护模块中，此时磁盘阵列保护模块为直接获取白名单；

在终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数，且该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数记录到存储在白名单中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数与存储在磁盘阵列保护模块中的白名单进行对比认证以确定该应用程序是否在该白名单中。

其中，所述应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数记录到存储在白名单中，具体包括：

应用程序访问保护模块将被允许访问磁盘阵列的应用程序的唯一标识参数发送到磁盘阵列保护模块，所述磁盘阵列保护模块将其存储的白名单相应进行更新。

其中，应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数与存储在磁盘阵列保护模块中的白名单进行对比认证以确定该应用程序是否在该白名单中，具体包括：

应用程序访问保护模块将获取的访问请求中的应用程序的唯一标识参数发送到磁盘阵列保护模块；磁盘阵列保护模块将该唯一标识参数与其存储的白名单对比以进行认证。

其中，所述白名单存储在应用程序访问保护模块中，此时磁盘阵列保护模块为间接获取白名单；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该访问请求中的应用程序的唯一标识参数和已存储的白名单均发送至磁盘阵列保护模块，再由所述磁盘阵列保护模块对两者进行对比认证以确定该应用程序是否在该白名单中。

其中，所述白名单存储在第三方设备中，此时磁盘阵列保护模块为间接获取白名单；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该访问请求中的应用程序的唯一标识参数发送至磁盘阵列保护模块，已存储的白名单也由第三方设备发送至磁盘阵列保护模块，再由所述磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与白名单进行对比认证以确定该应用程序是否在该白名单中。

其中，所述方法还包括：

当磁盘阵列保护模块对接收到的唯一标识参数认证成功后，允许该应用程序读取磁盘阵列；当磁盘阵列保护模块对接收到的唯一标识参数认证失败后，向所述磁盘阵列保护模块返回失败反馈，并将该认证过程进行存储以进行后续的追溯审计。

为了达到上述目的，本发明实施例还提出了一种磁盘阵列数据保护系统，包括：设置在用于访问磁盘阵列的终端设备一侧的应用程序访问保护模块、设置在磁盘阵列一侧的磁盘阵列保护模块，其中所述应用程序访问保护模块连接所述磁盘阵列保护模块；

当终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数并将该应用程序的唯一标识参数记录到白名单中，所述白名单存储在应用程序访问保护模块中或磁盘阵列保护模块中或第三方设备中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数发送至磁盘阵列保护模块，所述磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与直接或间接获取的白名单进行对比认证以确定该应用程序是否在该白名单中。

其中，所述白名单存储在磁盘阵列一侧的磁盘阵列保护模块中；

当终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数，且该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数记录到存储在白名单中；

本发明的上述技术方案的有益效果如下：上述技术方案提出了一种磁盘阵列数据保护系统和方法，通过在终端设备侧和磁盘阵列侧各设置一个保护模块以用于存储/更新白名单，并以此作为应用程序认证的基础。在应用程序获得授权能够访问磁盘阵列时，这两个保护模块自动将该应用程序更新到白名单中。当任何应用程序发起访问磁盘阵列的访问请求时，都需要通过白名单来进行认证以确保该应用程序已经获得了授权。

附图说明

图1为本发明实施例的方法流程示意图；

图2为本发明实施例的系统模块示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

如图1所示的，本发明实施例提出了一种磁盘阵列数据保护方法，包括：

上述方案中，既可以由终端设备一侧设置应用程序访问保护模块来维护白名单，也可以由磁盘阵列一侧的磁盘阵列保护模块来维护白名单。而白名单可以存储在终端设备一侧设置应用程序访问保护模块内，也可以存储在磁盘阵列一侧设置磁盘阵列保护模块内，还可以存储在一个第三方设备内。当然，最经济且安全的方式是存储在磁盘阵列一侧的磁盘阵列保护模块中，并由磁盘阵列一侧的磁盘阵列保护模块通过白名单对访问请求进行认证。

即：

应用程序访问保护模块将被允许访问磁盘阵列的应用程序的唯一标识参数发送到磁盘阵列保护模块，所述磁盘阵列保护模块将其存储的白名单相应进行更新；

进一步的，为了提高磁盘阵列的整体安全性，可以设置日志以记录认证失败的以便于进行追溯。即：所述方法还包括：

同时，本发明实施例还提出了一种如图2所示的磁盘阵列数据保护系统，包括：设置在用于访问磁盘阵列的终端设备一侧的应用程序访问保护模块、设置在磁盘阵列一侧的磁盘阵列保护模块，其中所述应用程序访问保护模块连接所述磁盘阵列保护模块；

由上述描述可以看出，本发明实施例提供了一种磁盘阵列数据保护技术，在使用磁盘阵列进行存储数据时，既保证在应用系统存入和读取磁盘阵列的数据性能，又保证了数据不被安全不被盗取破坏技术。上述技术方案是基于市场上磁盘阵列的架构的存储，在原有的磁盘阵列上部署控制磁盘阵列保护模块，用于存储应用程序的白名单策略，以建立唯一的数据传输可信链机制。同时，在需要访问磁盘阵列的终端设备(例如服务器或PC主机)上相应的部署一个应用程序访问保护模块。

在工作时，每一允许访问磁盘阵列的应用程序都被记录到白名单中，然后访问磁盘阵列的将应用程序的名单实时传输给后端的处理程序，最终形成一个可以访问磁盘阵列的存储的白名单。一旦形成这个白名单后无法修改，下发给需要访问磁盘阵列的服务器或PC主机上同时启动应用程序访问保护模块，当一旦应用程序访问保护模块发现预要访问的应用程序不在白名单中，立即返回给应用程序无权限访问结果，同时记录该访问的发生时间作为后续的追溯审计。

上述技术方案涉及到以下几个主体/模块，各个主体之间的连接关系如图1所示。

使用磁盘阵列的客户端：应用服务器，PC主机，移动端。

软件模块：读写磁盘阵列的所有应用程序。

通用磁盘阵列设备。

存放白名单的介质：

其中，该方法的主要步骤包括：

步骤1：在需要访问磁盘阵列的客户端安装应用程序访问保护模块，并确保可以访问到白名单表策略。

步骤2：获取到白名单的列表，启动应用端与磁盘阵列连接的协议。

步骤3：检测待访问的磁盘阵列的应用程序是否在白名单列表内，验证通过访问存储数据，验证失败后拒绝访问

步骤4：在管理界面中可以实时查看到每个客户端或PC电脑对数据文件的操作、修改、删除等进行记录。

上述方案可以使用对存入或读取磁盘阵列数据进行加密或其他的技术手段保护数据安全的手段，本发明不进行限定。

本技术是基于磁盘阵列的存储基础上构建一个应用程序与磁盘阵列存储可信写入或读取数据安全通道白名单策略，只有被用户认为是正常的应用程序且放入白名单中的程序才能放到的磁盘阵列的数据，其他的不在白名单里面的程序不管是合法的程序还是非法的程序都无法访问的磁盘阵列中的数据，有效的防止了数据被其他程序盗取。因为在数据存储和读出时不需要对数据进行加密等手段，降低了cpu运算的压力，保障了数据存放和读取磁盘阵列的性能。

上述技术方案在磁盘阵列存储设备上构建一个应用程序访问保护模块，可以保障只有在白名单认证的程序可以访问磁盘阵列的数据。

应用程序访问保护模块可以实时查看到每个客户端或PC电脑对次磁盘阵列数据文件的操作、修改、删除等进行记录，并提供回溯历史版本和审计数据记录下载。

保护应用程序可以访问的磁盘阵列的白名单可以存放在磁盘阵列上也可以保存在另外的介质上(如一台服务器上，u盘，光盘等)。

保护的应用程序可以部署在linux、Windows、Mac、国产操作系统等。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种磁盘阵列数据保护方法，其特征在于，包括：

在用于访问磁盘阵列的终端设备一侧设置应用程序访问保护模块、在磁盘阵列一侧设置磁盘阵列保护模块；其中所述应用程序访问保护模块连接所述磁盘阵列保护模块；

在终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数并将该应用程序的唯一标识参数记录到白名单中，所述白名单存储在应用程序访问保护模块中或磁盘阵列保护模块中或第三方设备中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数发送至磁盘阵列保护模块，再由所述磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与直接或间接获取的白名单进行对比认证以确定该应用程序是否在该白名单中。
根据权利要求1所述的磁盘阵列数据保护方法，其特征在于，所述白名单存储在磁盘阵列一侧的磁盘阵列保护模块中；

在终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数，且该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数记录到存储在白名单中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数与存储在磁盘阵列保护模块中的白名单进行对比认证以确定该应用程序是否在该白名单中。
根据权利要求2所述的磁盘阵列数据保护方法，其特征在于，所述应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数记录到存储在白名单中，具体包括：

应用程序访问保护模块将被允许访问磁盘阵列的应用程序的唯一标识参数发送到磁盘阵列保护模块，所述磁盘阵列保护模块将其存储的白名单相应进行更新。
根据权利要求2所述的磁盘阵列数据保护系统，其特征在于，应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数与存储在磁盘阵列保护模块中的白名单进行对比认证以确定该应用程序是否在该白名单中，具体包括：

应用程序访问保护模块将获取的访问请求中的应用程序的唯一标识参数发送到磁盘阵列保护模块；磁盘阵列保护模块将该唯一标识参数与其存储的白名单对比以进行认证。
根据权利要求1所述的磁盘阵列数据保护系统，其特征在于，所述白名单存储在应用程序访问保护模块中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该访问请求中的应用程序的唯一标识参数和已存储的白名单均发送至磁盘阵列保护模块，再由所述磁盘阵列保护模块对两者进行对比认证以确定该应用程序是否在该白名单中。
根据权利要求1所述的磁盘阵列数据保护系统，其特征在于，所述白名单存储在第三方设备中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该访问请求中的应用程序的唯一标识参数发送至磁盘阵列保护模块，已存储的白名单也由第三方设备发送至磁盘阵列保护模块，再由所述磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与白名单进行对比认证以确定该应用程序是否在该白名单中。
根据权利要求1-6任一项所述的磁盘阵列数据保护方法，其特征在于，所述方法还包括：

当磁盘阵列保护模块对接收到的唯一标识参数认证成功后，允许该应用程序读取磁盘阵列；当磁盘阵列保护模块对接收到的唯一标识参数认证失败后，向所述磁盘阵列保护模块返回失败反馈，并将该认证过程进行存储以进行后续的追溯审计。
一种磁盘阵列数据保护系统，其特征在于，包括：

设置在用于访问磁盘阵列的终端设备一侧的应用程序访问保护模块、设置在磁盘阵列一侧的磁盘阵列保护模块，其中所述应用程序访问保护模块连接所述磁盘阵列保护模块；

当终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数并将该应用程序的唯一标识参数记录到白名单中，所述白名单存储在应用程序访问保护模块中或磁盘阵列保护模块中或第三方设备中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数发送至磁盘阵列保护模块，所述磁盘阵列保护模块将该访问请求中的应用程序的唯一标识参数与直接或间接获取的白名单进行对比认证以确定该应用程序是否在该白名单中。
根据权利要求8所述的磁盘阵列数据保护系统，其特征在于，所述白名单存储在磁盘阵列一侧的磁盘阵列保护模块中；

在终端设备的应用程序在被允许访问磁盘阵列时，该应用程序访问保护模块获取所述应用程序的唯一标识参数，且该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数记录到存储在白名单中；

当终端设备的应用程序请求访问磁盘阵列时，该应用程序访问保护模块获取该访问请求中的应用程序的唯一标识参数；该应用程序访问保护模块与所述磁盘阵列保护模块通讯以将该应用程序的唯一标识参数与存储在磁盘阵列保护模块中的白名单进行对比认证以确定该应用程序是否在该白名单中。