[发明专利]广域虚拟数据空间账户动态映射机制与数据安全管控方法

说明书

本发明提出了一种广域虚拟数据空间账户动态映射机制与数据安全管控方法，基于全局统一账户与超算中心本地账户多样化映射机制，实现了一套账户动态映射机制，并基于账户动态映射机制通过对账户数据空间的隔离与权限控制，实现账户数据空间的隔离与安全访问。首先，通过研究全局统一账户与本地账户的映射关系，实现了一套动态的账户映射机制，解决了虚拟账户与本地账户的均衡映射问题，支持全局账户的统一管理和访问；其次，基于账户动态映射机制，通过数据空间进行隔离，以及空间权限管理，实现用户空间的安全管控。本方法解决了虚拟数据空间账户与超算中心本地账户分配不均衡的问题，并通过用户空间的隔离与权限管理，实现用户空间的安全访问。

技术领域

本发明公开了一种广域虚拟数据空间账户动态映射机制与数据安全管控方法，涉及跨域虚拟账户的映射机制与账户数据安全管控，属于计算机技术领域。

背景技术

当前在国家高性能计算环境中，各个超算中心都有独立的账户管理体系，形式涵盖了令牌、虚拟专用网络、访问秘钥等多种形式，并且在超算中心之间相互独立，应用各自管理的方式，这为广域环境下多超算中心的统一账户安全管控带来了挑战。为了多个超算中心存储资源的统一管理，就需要设计一套合理的跨域虚拟数据空间来统一管理并调度各个超算中心的计算资源与存储资源。为了满足跨域虚拟数据空间对全局资源的统一调度和安全管理需求，针对广域高性能计算环境中账户统一管理和账户数据安全管理的问题，实现了广域虚拟数据空间中账户动态映射机制与基于该账户映射机制下的账户安全管控方法。

目前比较有代表性的账户映射机制有：SAMBA账户映射机制以及中国国家网格账户映射机制。

Samba是面向Linux和Unix环境的Windows互操作性套件，是一个基于SMB协议的软件。它可以实现不同操作系统(Windows、Linux、UNIX)之间文件共享，适用于在包括Linux、Unix、Windows、macOS及其他操作系统的异构环境下的文件共享工作，由客户端和服务器程序组成。能够实现跨系统的文件共享，但是Samba并没有提供复杂的账户管理机制，主要是一对一的将Windows与Linux的账户进行转换，但是这难以解决当前广域虚拟数据空间中超算中心账户池与虚拟数据空间账户池分配不均衡的问题。

中国国家网格是由国家863计划重大专项支持，聚合了高性能计算和事务处理能力的新一代信息基础设施。网格为地理上广泛分布的用户提供计算资源共享服务。其中用户的计算节点不区分本地账户与网格账户，通过提供一批本地操作系统如Linux/unix的账号，在用户访问资源时通过网格账户与本地账户的转换来实现的，是以账户为中心的。因此，必须为网格账号映射至少一个合适的本地账号。但是网格系统往往是一种固定的账户映射关系，即是网格账户与固定的本地账户的映射关系，并且往往提供的是一对一或者一对多的网格账户与本地账户之间的映射，并不存在多对多的账户映射机制，而这同样难以满足当前广域虚拟数据空间中虚拟账户池与超算中心本地账户池分配不均衡的问题。

综上所述，目前针对广域虚拟数据空间中虚拟账户池与超算中心本地账户池分布不均衡的问题，需要提出一套合理的动态映射机制，以解决虚拟数据空间账户与本地账户之间多对多的映射机制。并基于账户动态映射机制，通过对账户数据空间的隔离，实现账户数据空间的安全管控方法。