[发明专利]一种分布式存储的安全系统及方法

权利要求书

1.一种分布式存储的安全系统，其特征在于，该系统包括：客户端、认证中心、元数据服务器、数据服务器；其中，

所述客户端，用于客户端向认证中心发送认证请求，客户端向元数据服务器发送元数据请求，客户端向数据服务器发送数据请求；

所述认证中心，用于收到所述认证请求后，对登录客户端的用户进行身份认证，认证通过后生成用于客户端访问元数据服务器的凭证T1；

所述元数据服务器，用于收到来自客户端携带凭证T1的元数据请求后对所述客户端进行身份认证，认证通过后为判断出的具有访问权限的用户生成用于客户端访问数据服务器的凭证T2；

所述数据服务器，用于收到来自客户端携带凭证T2的数据请求后对所述客户端进行身份认证，认证通过后将用户想访问的数据返回客户端。

2.根据权利要求1所述的系统，其特征在于，该系统还包括安全策略单元；

所述元数据服务器，进一步用于根据所述用户的用户标识调用所述安全策略单元进行访问控制，获得与用户标识对应的访问权限，来判断所述用户是否具有访问用户想访问的数据的访问权限；

所述安全策略单元，用于存储和维护所述用户标识与所述用户标识所具有的访问权限的对应关系。

3.根据权利要求2所述的系统，其特征在于，所述元数据服务器，进一步用于采用与认证中心共享的、相同的系统密钥和相同的凭证计算算法计算出凭证T，通过将获得的所述凭证T1与计算获得的凭证T进行匹配实现所述身份认证，当所述凭证T1与所述凭证T一致时，匹配成功，通过认证。

4.根据权利要求3所述的系统，其特征在于，所述数据服务器，进一步用于采用与元数据服务器共享的、相同的系统密钥和相同的凭证计算算法计算出所述凭证T’，通过将获得的所述凭证T2与计算获得的凭证T’进行匹配实现所述身份认证，当所述凭证T2与所述凭证T’一致时，匹配成功，通过认证。

5.根据权利要求1所述的系统，其特征在于，所述认证中心、所述元数据服务器、所述数据服务器三者共享相同的系统密钥和相同的凭证计算算法的情况下，

所述元数据服务器，进一步采用三者共享的、相同的系统密钥和相同的凭证计算算法计算出凭证T，通过将获得的所述凭证T1与计算获得的凭证T进行匹配实现所述身份认证，当所述凭证T1与所述凭证T一致时，匹配成功，通过认证；

所述数据服务器，进一步用于采用三者共享的、相同的系统密钥和相同的凭证计算算法计算出所述凭证T’，通过将获得的所述凭证T2与计算获得的凭证T’进行匹配实现所述身份认证，当所述凭证T2与所述凭证T’一致时，匹配成功，通过认证；

其中，所述凭证T1与所述T2相等；所述凭证T与所述凭证T’相等。

6.根据权利要求4或5所述的系统，其特征在于，该系统还包括：管理维护接口，用于存储和维护所述系统密钥，系统密钥更改后需由认证中心认证，认证中心认证允许系统密钥更改后，将更改后的系统密钥在元数据服务器和数据服务器之间分发。

7.根据权利要求1至5中任一项所述的系统，其特征在于，所述元数据服务器，进一步用于在系统中每个数据块包含多个副本的情况下，生成所述凭证T2时，采用的方式包括：元数据服务器针对每个副本所在的数据服务器分别生成一个凭证；或者，元数据服务器针对每个副本所在的数据服务器生成统一的能访问所有副本数据块的凭证。

8.一种分布式存储的安全方法，其特征在于，该方法包括：

客户端向认证中心发送认证请求，认证中心收到所述认证请求后，对登录客户端的用户进行身份认证，认证通过后生成凭证T1；

客户端向元数据服务器发送元数据请求，元数据服务器收到来自客户端携带凭证T1的元数据请求后对所述客户端进行身份认证，认证通过后为判断出的具有访问权限的用户生成凭证T2；

客户端向数据服务器发送数据请求，数据服务器收到来自客户端携带凭证T2的数据请求后对所述客户端进行身份认证，认证通过后将用户想访问的数据返回客户端。

9.根据权利要求8所述的方法，其特征在于，所述判断具体包括：元数据服务器根据与所述用户的用户标识对应的访问权限，来判断所述用户是否具有访问用户想访问的数据的访问权限。