[发明专利]维护分布式存储系统数据可信的系统及方法

说明书

技术领域

本发明涉及一种维护分布式存储系统数据可信的系统及方法，属于信息安全技术领域。

背景技术

现有的大规模分布式存储系统通常能够较好地维护数据的完整性和一致性，却无法避免甚至监控数据发生被盗窃和被篡改的情况，数据的安全性和可信度无法得到保证。利用现有的可信技术，通过在可信的主机上建立起可信的存储系统，可以保证存储数据的可信。

可信技术作为可信存储系统的基础，提供了一个安全的硬件平台以及远程验证机制。可信是指以安全芯片为基础，建立终端平台信任，然后通过远程证明，建立终端间信任，将信任延伸到网络。在一个可信环境中，系统执行的任务都是预期之中的，一旦系统出现预期之外的状况，可信链中将会反映出故障部件，将其标注为不可信。

可信计算平台通过可信平台模块对BIOS等底层代码以及操作系统关键代码等进行度量，将度量得到的完整性数据包括度量值列表和度量摘要分别保存在系统的安全存储区和可信芯片内部。平台提供完整性度量，可信的第三方则通过远程证明对其身份与状态进行认证。这种自我监测，外界认证的方式能够使远程的用户了解平台的安全状况，方便用户和管理者及时做出响应。

然而仅仅基于可信计算平台无法保证数据的可信状态。当少量的服务器由于意外或者受到攻击等情况变为不可信状态时，一方面希望存储系统保持稳定性，允许偶发性的单机故障影响，故不应将存储系统整体标记为不可用或不可信；另一方面，此时存储系统可能尚未监测到该服务器的异常状态，仍向不可信服务器写入数据，导致其存储数据不可信；因而，被动地依据硬件到软件的可信状态无法完全保证存储数据的可信。

发明内容

鉴于上述原因，本发明的目的在于提供一种维护分布式存储系统数据可信的系统及方法，系统从硬件安全，存储系统软件安全，存储数据安全三个层次度量整个系统的可信状态，对于用户的存储数据，通过验证存储数据的存储节点的可信状态，将数据写入可信的存储节点，而将不可信的存储节点暂时退出系统，保证整个系统的稳定可靠性及存储数据的安全可信性。

为实现上述目的，本发明采用以下技术方案：

一种维护分布式存储系统数据可信的系统，包括：

安装有可信平台模块的若干存储节点，

存储节点定时从存储系统硬件层次、存储系统软件层次、用户数据层次三个层次对系统进行可信验证。

进一步的，

从存储系统硬件层次进行可信验证包括，每个存储节点均安装所述可信平台模块；每个存储节点定时进行可信度量，通过可信第三方获取对应的完整性报告进行验证，禁止系统中不可信节点与其他存储节点进行数据交互，新加入的存储节点通过可信验证才能继续验证存储系统的可信性。

从存储系统软件层次进行可信验证包括，对存储系统软件代码进行验证，对存储系统软件的运行状态进行验证，对存储系统的访问状态进行验证。

从用户数据层次进行可信验证包括，所有数据均基于属性进行封装，存储节点之间传输数据时，存储节点通过远程认证并处于可信状态才能进行数据解封装。

用户数据层次的可信验证还包括，客户端安装可信平台模块，存储系统仅向通过验证的客户端提供数据。

基于上述维护分布式存储系统数据可信的系统实现的维护数据可信的方法，包括：

存储系统选择主节点和多个副节点，将其中一个副节点作为延迟副节点，

向主节点发送包括用户数据的数据写请求，主节点将用户数据发送至各副节点；

该主节点进行可信验证，

若主节点可信验证通过，主节点将用户数据发送至延迟副节点，主节点对各副节点及延迟副节点进行数据维护；若主节点可信验证不通过，将主节点列为不可信节点，将延迟副节点作为新的主节点，重新向该新的主节点发送数据写请求。

所述不可信节点暂时退出存储系统，禁止其与存储系统中的其它存储节点进行数据交互。

对所述新的主节点进行可信验证，若其可信验证不通过，数据写入失败并发出告警，退出写数据操作。

所述主节点可信验证不通过，副节点重新从存储系统中选择一个副节点。

本发明的优点是：