CN110474981A - 一种软件定义动态安全存储方法及装置 - Google Patents

一种软件定义动态安全存储方法及装置 Download PDF

Info

Publication number
CN110474981A
CN110474981A CN201910746345.4A CN201910746345A CN110474981A CN 110474981 A CN110474981 A CN 110474981A CN 201910746345 A CN201910746345 A CN 201910746345A CN 110474981 A CN110474981 A CN 110474981A
Authority
CN
China
Prior art keywords
node
memory node
software definition
dynamic
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910746345.4A
Other languages
English (en)
Inventor
马多耀
邓高见
李萌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongke Tianyu (suzhou) Technology Co Ltd
Original Assignee
Zhongke Tianyu (suzhou) Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongke Tianyu (suzhou) Technology Co Ltd filed Critical Zhongke Tianyu (suzhou) Technology Co Ltd
Priority to CN201910746345.4A priority Critical patent/CN110474981A/zh
Publication of CN110474981A publication Critical patent/CN110474981A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9005Buffering arrangements using dynamic buffer space allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1044Group management mechanisms 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种软件定义动态安全存储方法及装置,主要步骤包括:软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,软件定义存储节点模块随机选择要存储的目标服务器节点,数据同步模块将各个节点的最新数据同步到集群中各个节点,安全控制器对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。本发明实现了存储的动态安全防护,防止攻击者对存储路径的窃听以及对存储节点的持续探测和入侵,实现存储网络***的主动防御。

Description

一种软件定义动态安全存储方法及装置
技术领域
本发明涉及一种安全存储方法及装置,具体涉及一种软件定义动态安全存储方法及装置,属于计算机网络安全领域。
背景技术
数据是最核心资产,存储***作为数据的保存空间,是数据保护的最后一道防线;随着存储***由本地直连向着网络化和分布式的方向发展,并被网络上的众多计算机共享,使存储***变得更易受到攻击,相对静态的存储***往往成为攻击者的首选目标,达到窃取、篡改或破坏数据的目的。
针对数据存储的信息泄露事件可谓层出不穷。2016年,美国有线电视公司时代华纳旗下约有32万用户的邮件和密码信息被黑客窃取。2017年,仅上半年被盗的数据,就已经超过了2016年全年被盗数据总量。2018年3月,Facebook被曝出8700多万用户数据泄露,一家服务总统竞选团队的数据分析公司Cambridge Analytica获得了Facebook数用户的数据,随后这些数据被非法利用发送政治广告。2018年3月末,美国运动品牌Under Armour(安德玛)表示,其旗下健身应用MyFitnessPal因存在数据漏洞而遭到黑客攻击,造成超过1.5亿用户的数据外泄。2018年8月,根据暗网中文网帖子显示,华住旗下所有酒店的数据被公开售卖,其中包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家华住旗下酒店均在其列。2019年荷兰非盈利机构GDI基金会研究人员发现,位于深圳的人脸识别公司发生大规模数据泄露事件,超过250万用户的680多万条信息记录被泄露,泄露数据包括身份证信息、人脸识别图像、24小时内的位置记录等敏感信息。
解决数据存储安全问题,传统方法是使用数据加密和认证授权管理技术。在安全存储中,利用技术手段把文件变为乱码(加密)存储,在使用文件的时候,用相同或不同的手段还原(解密)。这样,存储和使用,文件就在密文和明文状态两种方式切换。无论是对称加密还是非对称加密,密钥管理都是一个复杂的挑战,一旦密钥丢失,数据存储的安全性将荡然无存。证授权管理技术一方面依赖多因子认证等密码技术,同事还需要配置多种访问控制策略,一旦攻击者绕过认证,数据存储将以明文数据泄露。这类静态的被动防御方法很难抵抗攻击者的长期渗透和新的漏洞利用,并且对于数据存储链路中的窃听攻击毫无抵御能力。
分析可知,数据存储安全的弱点在于存储目标是静止的、防御策略是被动的。只有进行动态防御,才能抵御窃听攻击、APT攻击等威胁,软件定义网络(Software DefinedNetworking: SDN)技术,为实现数据存储安全的主动防御提供了新的方向。
发明内容
有鉴于此,本发明公开了一种软件定义动态安全存储方法及装置,主要步骤包括:定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,软件定义存储节点模块随机选择要存储的目标服务器节点,数据同步模块将各个节点的最新数据同步到集群中各个节点,安全控制器对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。本发明实现了存储的动态安全防护,防止攻击者对存储路径的窃听以及对存储节点的持续探测和入侵,实现存储网络***的主动防御。
本发明的技术方案如下:一种软件定义动态安全存储方法,其步骤包括:
1)软件定义存储路径模块对存储的链路动态调度;
2)软件定义存储节点模块随机选择要存储的目标服务器节点;
3)数据同步模块将各个节点的最新数据同步到集群中各个节点;
4)安全控制器对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。
更进一步,所述软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,从而防止在特定链路上恶意节点的数据窃听攻击和中间人攻击。
更进一步,所述软件定义存储节点模块通过如下操作实现节点目标的移动和混淆:
1) 通过虚拟化创建多样性、功能等价的多个存储节点集群,集群内存储节点IP地址为内部动态分配IP;
2)存储节点对外抽象为统一虚拟接口,用户只能通过接口进行数据存储调用;
3)在进行数据存储时,软件定义存储节点模块随机选择一个内部存储节点,将对外接口地址动态转换为内部真实的存储节点IP,在未建立存储会话时,***不创建外部接口和内部存储节点之间的转换关系。
更进一步,所述数据同步模块性将各个存储节点存储的数据通过内部接口归档、合并;
更进一步,所述安全控制器通过如下方式实现动态安全策略:
1) 将网络链路进行统一管理和抽象化管理,动态维护多条虚拟链路;
2) 对存储节点进行动态增加、删减、IP地址替换等操作,维护存储节点在网络中的身份属性;
3)根据安全需求,下发动态存储流标规则到SDN交换机,转换外部接口和存储节点内部IP的链路连通性;
4)对超时策略下发流标失效操作,对超时存储节点进行回收和清洗。
更进一步,所述安全控制器为多样性控制器冗余,多控制器随机遴选一个为主控制器,其余控制器为待机从控制器。
本发明还提出一种软件定义动态安全存储装置,包括软件定义存储路径模块、软件定义存储节点模块、数据同步模块、安全控制器,
所述软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,从而防止在特定链路上恶意节点的数据窃听攻击和中间人攻击;
所述软件定义存储节点模块通过虚拟化创建多样性、功能等价的多个存储节点集群,集群内存储节点IP地址为内部动态分配IP,在进行数据存储时,软件定义存储节点模块随机选择一个内部存储节点,将对外接口地址动态转换为内部真实的存储节点IP,在未建立存储会话时,***不创建外部接口和内部存储节点之间的转换关系,存储节点对外抽象为统一虚拟接口,用户只能通过接口进行数据存储调用,从而实现节点目标的移动和混淆;
所述数据同步模块性将各个存储节点存储的数据通过内部接口归档、合并;
所述安全控制器为多样性控制器冗余,多控制器随机遴选一个为主控制器,其余控制器为待机从控制器,对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。
本发明的有益效果为:
本发明提供了一种软件定义动态安全存储方法及装置,能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,随机选择要存储的目标服务器节点,数据同步模块将各个节点的最新数据同步到集群中各个节点,多样化安全控制器保障安全策略的可靠性。本发明实现了存储的动态安全防护,防止攻击者对存储路径的窃听以及对存储节点的持续探测和入侵,实现存储网络***的主动防御。
附图说明
附图1是本发明软件定义动态安全存储装置的架构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步描述。
本发明的一实施例中公开的软件定义动态安全存储方法,其步骤为:
1)软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,从而防止在特定链路上恶意节点的数据窃听攻击和中间人攻击;
2)软件定义存储节点模块通过虚拟化创建多样性、功能等价的多个存储节点集群,集群内存储节点IP地址为内部动态分配IP,在进行数据存储时,软件定义存储节点模块随机选择一个内部存储节点,将对外接口地址动态转换为内部真实的存储节点IP,在未建立存储会话时,***不创建外部接口和内部存储节点之间的转换关系,存储节点对外抽象为统一虚拟接口,用户只能通过接口进行数据存储调用,从而实现节点目标的移动和混淆;
3)数据同步模块性将各个存储节点存储的数据通过内部接口归档、合并;
4)安全控制器为多样性控制器冗余,多控制器随机遴选一个为主控制器,其余控制器为待机从控制器,对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。
以下通过具体的例子对附图中软件定义动态安全存储方法及装置进行进一步的说明。
如附图1所示,一种软件定义动态安全存储装置,包括软件定义存储路径模块、软件定义存储节点模块、数据同步模块、安全控制器。其主要步骤包括:
1、 所述软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,从而防止在特定链路上恶意节点的数据窃听攻击和中间人攻击;
2、所述软件定义存储节点模块通过如下操作实现节点目标的移动和混淆:
(a) 通过虚拟化创建多样性、功能等价的多个存储节点集群,集群内存储节点IP地址为内部动态分配IP;
(b)存储节点对外抽象为统一虚拟接口,用户只能通过接口进行数据存储调用;
(c)在进行数据存储时,软件定义存储节点模块随机选择一个内部存储节点,将对外接口地址动态转换为内部真实的存储节点IP,在未建立存储会话时,***不创建外部接口和内部存储节点之间的转换关系;
3、所述数据同步模块性将各个存储节点存储的数据通过内部接口归档、合并;
4、所述安全控制器通过如下方式实现动态安全策略:
(a) 将网络链路进行统一管理和抽象化管理,动态维护多条虚拟链路;
(b)对存储节点进行动态增加、删减、IP地址替换等操作,维护存储节点在网络中的身份属性;
(c)根据安全需求,下发动态存储流标规则到SDN交换机,转换外部接口和存储节点内部IP的链路连通性;
(d)对超时策略下发流标失效操作,对超时存储节点进行回收和清洗;
5、所述安全控制器进一步的特性为多样性控制器冗余,多控制器随机遴选一个为主控制器,其余控制器为待机从控制器。
以上所述本发明的具体实施方式目的是为了更好地理解本发明的使用,并不构成对本发明保护范围的限定。任何在本发明的精神和原则实质之内所做的修改、变形和等同替换等,都应属于本发明的权利要求的保护范围之内。

Claims (7)

1.一种软件定义动态安全存储方法,其步骤包括:
1)软件定义存储路径模块对存储的链路动态调度;
2)软件定义存储节点模块随机选择要存储的目标服务器节点;
3)数据同步模块将各个节点的最新数据同步到集群中各个节点;
4)安全控制器对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。
2.如权利要求1所述的软件定义动态安全存储方法,其特征在于,所述软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,从而防止在特定链路上恶意节点的数据窃听攻击和中间人攻击。
3.如权利要求1所述的软件定义动态安全存储方法,其特征在于,所述软件定义存储节点模块通过如下操作实现节点目标的移动和混淆:
1) 通过虚拟化创建多样性、功能等价的多个存储节点集群,集群内存储节点IP地址为内部动态分配IP;
2)存储节点对外抽象为统一虚拟接口,用户只能通过接口进行数据存储调用;
3)在进行数据存储时,软件定义存储节点模块随机选择一个内部存储节点,将对外接口地址动态转换为内部真实的存储节点IP,在未建立存储会话时,***不创建外部接口和内部存储节点之间的转换关系。
4.如权利要求1所述的软件定义动态安全存储方法,其特征在于,所述数据同步模块性将各个存储节点存储的数据通过内部接口归档、合并。
5.如权利要求1所述的软件定义动态安全存储方法,其特征在于,所述安全控制器通过如下方式实现动态安全策略:
1) 将网络链路进行统一管理和抽象化管理,动态维护多条虚拟链路;
2) 对存储节点进行动态增加、删减、IP地址替换等操作,维护存储节点在网络中的身份属性;
3)根据安全需求,下发动态存储流标规则到SDN交换机,转换外部接口和存储节点内部IP的链路连通性;
4)对超时策略下发流标失效操作,对超时存储节点进行回收和清洗。
6.如权利要求1或5所述的软件定义动态安全存储方法,其特征在于,所述安全控制器为多样性控制器冗余,多控制器随机遴选一个为主控制器,其余控制器为待机从控制器。
7.一种软件定义动态安全存储装置,包括软件定义存储路径模块、软件定义存储节点模块、数据同步模块、安全控制器,
所述软件定义存储路径模块能够创建多条虚拟链路并在进行存储数据时随机选择一条链路,从而防止在特定链路上恶意节点的数据窃听攻击和中间人攻击;
所述软件定义存储节点模块通过虚拟化创建多样性、功能等价的多个存储节点集群,集群内存储节点IP地址为内部动态分配IP,在进行数据存储时,软件定义存储节点模块随机选择一个内部存储节点,将对外接口地址动态转换为内部真实的存储节点IP,在未建立存储会话时,***不创建外部接口和内部存储节点之间的转换关系,存储节点对外抽象为统一虚拟接口,用户只能通过接口进行数据存储调用,从而实现节点目标的移动和混淆;
所述数据同步模块性将各个存储节点存储的数据通过内部接口归档、合并;
所述安全控制器为多样性控制器冗余,多控制器随机遴选一个为主控制器,其余控制器为待机从控制器,对存储路径、存储节点动态维护和扩展,非周期性进行新增、淘汰和清洗,对存储节点和网络交换机下发策略。
CN201910746345.4A 2019-08-13 2019-08-13 一种软件定义动态安全存储方法及装置 Pending CN110474981A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910746345.4A CN110474981A (zh) 2019-08-13 2019-08-13 一种软件定义动态安全存储方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910746345.4A CN110474981A (zh) 2019-08-13 2019-08-13 一种软件定义动态安全存储方法及装置

Publications (1)

Publication Number Publication Date
CN110474981A true CN110474981A (zh) 2019-11-19

Family

ID=68510600

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910746345.4A Pending CN110474981A (zh) 2019-08-13 2019-08-13 一种软件定义动态安全存储方法及装置

Country Status (1)

Country Link
CN (1) CN110474981A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105391690A (zh) * 2015-10-19 2016-03-09 中国科学院信息工程研究所 一种基于pof的网络窃听防御方法和***
CN105511805A (zh) * 2015-11-26 2016-04-20 深圳市中博科创信息技术有限公司 集群文件***的数据处理方法和装置
CN106407214A (zh) * 2015-08-02 2017-02-15 郑建锋 分布式存储方法与***
CN109067758A (zh) * 2018-08-23 2018-12-21 江苏大学 一种基于多路径的sdn网络数据传输隐私保护***及其方法
CN109314724A (zh) * 2016-08-09 2019-02-05 华为技术有限公司 云计算***中虚拟机访问物理服务器的方法、装置和***
US20190104207A1 (en) * 2017-09-29 2019-04-04 Fungible, Inc. Network access node virtual fabrics configured dynamically over an underlay network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106407214A (zh) * 2015-08-02 2017-02-15 郑建锋 分布式存储方法与***
CN105391690A (zh) * 2015-10-19 2016-03-09 中国科学院信息工程研究所 一种基于pof的网络窃听防御方法和***
CN105511805A (zh) * 2015-11-26 2016-04-20 深圳市中博科创信息技术有限公司 集群文件***的数据处理方法和装置
CN109314724A (zh) * 2016-08-09 2019-02-05 华为技术有限公司 云计算***中虚拟机访问物理服务器的方法、装置和***
US20190104207A1 (en) * 2017-09-29 2019-04-04 Fungible, Inc. Network access node virtual fabrics configured dynamically over an underlay network
CN109067758A (zh) * 2018-08-23 2018-12-21 江苏大学 一种基于多路径的sdn网络数据传输隐私保护***及其方法

Similar Documents

Publication Publication Date Title
CN105103488B (zh) 借助相关联的数据的策略施行
CN105051750B (zh) 用于加密文件***层的***和方法
CN109246137A (zh) 基于区块链的海上作战数据的安全防护方法及装置
KR20230157929A (ko) 원격 액세스 제한 지갑으로부터 암호화폐 이체
CN101938497B (zh) 多级保密文档组设置方法及其文件访问控制和密钥管理用户终端、服务终端、***和方法
CN109003083A (zh) 一种基于区块链的ca认证方法、装置及电子设备
CN111464503B (zh) 基于随机多维变换的网络动态防御方法、装置及***
CN105656864B (zh) 基于tcm的密钥管理***及管理方法
CN106034104A (zh) 用于网络应用访问的验证方法、装置和***
CN106104562A (zh) 机密数据安全储存和恢复***及方法
US10122708B2 (en) Systems and methods for deployment of mission plans using access control technologies
CN102724215A (zh) 基于用户登录密码安全存放用户密钥并提高云平台数据安全的方法
US9516059B1 (en) Using mock tokens to protect against malicious activity
CN110380859A (zh) 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和***
CN111901338A (zh) 一种应用区块链的数据安全保护方法
CN110365472A (zh) 基于非对称密钥池对的量子通信服务站数字签名方法、***
Nakouri et al. A new biometric-based security framework for cloud storage
CN110176989A (zh) 基于非对称密钥池的量子通信服务站身份认证方法和***
Jasim et al. Cryptographic cloud computing environment as a more trusted communication environment
CN110474981A (zh) 一种软件定义动态安全存储方法及装置
CN114124392B (zh) 支持访问控制的数据可控流通方法、***、设备和介质
CN109687960A (zh) 基于多个公共非对称密钥池的抗量子计算代理云存储方法和***
Kim et al. Data block management scheme based on secret sharing for HDFS
Sandıkkaya et al. Design and formal verification of a cloud compliant secure logging mechanism
Jacob et al. A security analysis of the emerging P2P-based personal cloud platform maidsafe

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191119

RJ01 Rejection of invention patent application after publication