[发明专利]一种提高对象存储安全性的方法及系统

说明书

技术领域

本发明涉及计算机存储领域，尤其涉及一种提高对象存储安全性的方法及系统。

背景技术

在云时代对象存储正在越来越多的受到关注，并得到了迅速的发展。对象存储系统相比文件系统需要更少的元数据来存储和访问文件，并且它们还减少了因存储元数据而产生的管理文件元数据的开销。这意味着对象存储能够通过增加节点而近乎无限制地扩展规模。

对象存储与传统SAN以及NAS文件存储不同，对象存储中采用扁平的数据组织结构抛弃了传统的嵌套的文件夹，避免维护庞大的目录树。在云时代，一个系统中的文件数会非常巨大，而访问这些文件时，不但访问量巨大，用户对速度的要求也非常的高。

对象存储服务取得更大发展的更大因素是取得了移动互联网的青睐，在移动端的APP中，对象存储简单的HTTP接口简化了开发者的开发流程，并且还可以为用户提供海量的存储空间。

目前的对象存储一般使用HTTP或HTTPS方式进行数据操作指令以及数据的传输。对象存储不再提供POSIX兼容的接口，而是可以非常方便地通过HTTP Restful API接口和对象进行交互:通过PUT和GET进行上传下载，通过DELETE进行删除。无论使用哪种方式对象存储服务器都存在一定的安全隐患，这主要是由于HTTP协议自身的特点所造成的。

目前提高对象存储安全性的方式一种通过使用特殊的私用指令集，这种方式不具备通用性，使用这种方式应用程序需要修改增加了使用的成本。另一种就是使用HTTPS，这种方式当遭受外部攻击时，攻击者可以给存储服务器发送大量数据上传、下载请求，造成后端集群不堪重负，甚至出现无法为正常的用户提供服务的情况，即出现了拒绝服务的情况。

发明内容

为了解决上述技术问题，本发明的目的是提供一种提高对象存储安全性的方法及系统。

本发明所采用的技术方案是：一种提高对象存储安全性的方法，其包括以下步骤：A：在使用对象存储的主机以及对象存储服务器上各安装一个代理程序，通过代理程序进行通讯；B：根据配置的策略对进行客户端代理程序和服务端代理程序之间的通讯数据进行加密、操作指令进行变换、密钥进行变换。

进一步，所述步骤A包括子步骤：A1：客户端代理程序通过本地配置程序连接对象存储服务器；A2：客户端代理将所在主机的IP地址、CPU序列号、主板序列号信息发送到服务端代理程序；A3：服务端代理程序将客户端发送的3个信息作为种子得到一组通讯密钥、以及一个指令字典，并发送给客户端代理程序；A4：客户端代理程序将接收到的信息进行解密，并保存到本地。

进一步，所述步骤B包括子步骤：B1：客户端代理程序随机选取一组指令字典，将指令转换为别名，随机选取一个通讯密钥对其加密，并将指令字典编号、通讯密钥编号以及加密后的数据发送给服务端代理程序；B2：服务端代理程序根据通讯密钥编号得到密钥，并将数据解密，根据指令字典编号得到命令与别名对应关系，得到实际命令，发送到对象存储服务器处理，服务端代理程序将结果使用相同方式发送给客户端代理程序；B3：客户端代理程序将结果解密后发送给使用对象储存的主机。

一种提高对象存储安全性的系统，其包括使用对象存储的主机和对象存储服务器，其还包括客户代理程序和服务端代理程序，所述客户端代理程序和服务端代理程序：用于使用对象存储的主机和对象存储服务器之间进行通讯，并根据配置的策略对、通讯数据进行加密、操作指令进行变换、密钥进行变换。

进一步，所述客户端代理程序包括还包括：本地配置程序和采集单元，所述本地配置程序用于：客户端代理程序通过本地配置程序连接对象存储服务器；采集单元：用于将所在主机的IP地址、CPU序列号、主板序列号信息发送到服务端代理程序；

进一步，所述服务端代理程序包括：密钥生产单元，所述密钥生成单元：用于服务端代理程序将客户端发送的3个信息作为种子得到一组通讯密钥、以及一个指令字典，并发送给客户端代理程序。

进一步，所述客户代理程序和服务端代理程序包括：随机加密单元：用于随机选取一组指令字典，将指令转换为别名，随机选取一个通讯密钥对其加密；解密单元：用于根据通讯密钥编号得到密钥，并将数据解密，根据指令字典编号得到命令与别名对应关系，得到实际命令。