CN105516117A - 一种基于云计算的电力数据安全存储方法 - Google Patents
一种基于云计算的电力数据安全存储方法 Download PDFInfo
- Publication number
- CN105516117A CN105516117A CN201510874603.9A CN201510874603A CN105516117A CN 105516117 A CN105516117 A CN 105516117A CN 201510874603 A CN201510874603 A CN 201510874603A CN 105516117 A CN105516117 A CN 105516117A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- key
- storage
- storage space
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于云计算的电力数据安全存储方法,它包括如下步骤:(1)用户通过服务接口申请云存储空间并接入到云计算架构中访问数据,同时选择数据是否需要加密;(2)向用户分配云存储空间,若数据需要加密,则按照算法分配密钥,并存放该存储空间和密钥的映射关系;(3)云存储空间分配完成以后,通知用户启用云存储资源;(4)用户按照申请的业务方式接入云存储,在用户写入数据时,将通过加密处理把加密后的密文数据落地在存储系统中;(5)业务允许的合法用户读取所述云存储空间数据时,加密的数据块被解密还原成明文返回给用户接口。
Description
技术领域
本发明涉及电力系统的数据处理,更具体地说,涉及一种基于云计算的电力数据安全存储方法。
背景技术
云计算是一种大规模分布式计算模式,继承了现有分布式安全问题和技术。然而,由于云计算应用模式具有的虚拟化环境、数据高度聚合与流动性、数据控制存储与使用分离等特点,使得电力云计算环境下数据安全产生了大量新的问题,对现有信息安全技术和管理模式提出挑战。
电网无论是基础架构的共享还是资源和服务的交互使用,都符合云的本质和内涵,电力云计算的建设要最大限度的对电力资源进行统筹规划和配置,努力提高资源利用效率,力争使企业运维成本最小。
在基于电力云计算的存储平台上,用户从各个业务系统通过特定的应用程序或者现有的存储服务接口层(比如samba)接入到云计算架构中访问数据。存储服务接口层提供多接口支持,同时处理接入服务的负载均衡逻辑,接口层之后,系统又可以大致划分为四块逻辑结构:(1)系统配置管理模块,提供友好的管理交互入口,控制管理整体系统的行为;(2)存储数据加解密模块,负责处理存储平台上数据内容的安全性;(3)存储池管理模块,管理整体集群节点的运作(节点状态,存储空间,集群状态,用户配额等);(4)系统监控管理模块,负责监控审计平台整体的业务状态和行为。在这种存储环境下,数据传输运行在自建网络上,传输路径不再是安全威胁,反而数据的存储,共享的安全性要求更高,
发明内容
本发明的目的在于:提供基于云计算的电力数据安全存储方法,在云计算环境下从架构上将数据安全和控制策略分离,从而保障数据的安全。
为了实现上述目的,本发明提供了基于云计算的电力数据安全存储方法,它包括如下步骤:(1)用户通过服务接口申请云存储空间并接入到云计算架构中访问数据,同时选择数据是否需要加密;(2)向用户分配云存储空间,若数据需要加密,则按照算法分配密钥,并存放该存储空间和密钥的映射关系;(3)云存储空间分配完成以后,通知用户启用云存储资源;(4)用户按照申请的业务方式接入云存储,在用户写入数据时,将通过加密处理把加密后的密文数据落地在存储系统中;(5)业务允许的合法用户读取所述云存储空间数据时,加密的数据块被解密还原成明文返回给用户接口。
作为本发明的一种改进,步骤(4)中的加密和步骤(5)中的解密是基于存储空间和内容做的安全加解密,并在数据的写入读出时完成,同时将安全与服务接口做解耦。
作为本发明的一种改进,在步骤(1)中,还包括:(101)每个服务接口都通过自身的访问控制机制控制用户的接入,为每个用户分配访问空间,并作读写权限控制;(102)用户通过服务接口访问对应路径时,如果是合法用户,则会通过安全云储存的文件系统接口访问到正确的内容;如果是非法用户,则在访问控制层认证失败,则该用户浏览的云存储路径下是加密内容,无法获得真正的业务数据。
作为本发明的一种改进,在步骤(2)中,还包括密钥的管理步骤:(201)提供密钥管理入口,支持密钥的产生和修改;(202)当密钥生成或者修改时,执行备份操作,将密钥加密备份在安全区域,和数据存储分离;(203)通过安全通道定期同步存储空间对应的密钥,完成密钥分发;(204)当用户写入数据时,加密模块通过对应的路径密钥将数据加密处理后写入存储介质;(205)当用户读取数据时,解密模块通过对应路径将数据解密处理后,返回给用户。
作为本发明的一种改进,还包括:将存储路径的初始拥有者设定为密钥拥有者,密钥拥有者具备对密钥的管理权限;其他对存储空间路径的共享者,仅能使用密钥做加解密数据。
作为本发明的一种改进,所述服务接口为samba业务数据访问接口,一数据安全加解密模块将samba业务数据访问接口传输的数据做加解密后写入存储或者解密后返回给应用层。
与现有技术相比,本发明能够在电力云计算的存储平台上从架构上将数据安全和控制策略分离,从而保障数据的安全。
附图说明
下面结合附图和具体实施方式,对本发明的结构及其有益技术效果进行详细说明。
图1为本发明基于访问接口的安全策略示意图。
图2为本发明基于云存储密钥管理体系结构图。
图3为本发明的云存储密钥与存储空间关系图。
图4为本发明基于samba的VFS安全加解密流程图。
具体实施方式
为了使本发明的发明目的、技术方案及其有益技术效果更加清晰,以下结合附图和具体实施方式,对本发明进行进一步详细说明。应当理解的是,本说明书中描述的具体实施方式仅仅是为了解释本发明,并非为了限定本发明。
本发明基于云计算的电力数据安全存储方法在基于电力云计算的存储平台上实施,它包括如下步骤:(1)接入用户/业务向管理员(存储平台系统)申请存储空间,访问方式(samba,nfs,ftp,S3等)及数据是否需要加密(视安全等级决定);(2)管理员分配云存储空间,若数据需要加密,则勾选配置需要加密存储,系统按照算法分配密钥,并存放该存储空间和密钥的映射关系;(3)管理员分配完成以后,通知用户/业务系统启用云存储资源;(4)用户按照自己申请的业务方式接入云存储,在用户写入数据时,平台IO层将通过加密处理,把加密后的密文数据落地在本平台的存储系统中;(5)业务允许的合法用户读取该存储空间数据时,系统将加密数据块再解密还原成明文返回给用户/业务接口。
请参阅图1,核心的数据加解密是在数据的写入读出时完成的,是基于存储空间和内容做的安全加解密,并自动将安全与接口层做了解耦。在业务接口层,只需要保持现状,对接入用户做好认证,同时控制好用户对给定空间的读写权限(每个现有接口对用户的访问控制机制都有不同的支持,比如samba,S3就有不同的访问控制机制),数据的安全访问就得到了有效保证。用户的接入访问控制还原给各个接入业务接口自身的用户安全访问控制机制,如果业务系统授权了某用户具备当前路径的读写权限,那么该用户就能正确的读写数据,否则用户只能访问到加密的数据。每个业务都通过自身的访问控制机制控制用户的接入,samba、NFS、FTP、S3和其他服务为每个用户分配访问空间,并作读写权限控制;用户通过amba、NFS、FTP、S3和其他服务接口访问对应路径时,如果是合法用户,就会通过安全云储存的文件系统接口,访问到正确的内容;如果是一个非法用户,在访问控制层认证失败,则该用户浏览的云存储路径下也都是加密内容,无法获得真正的业务数据。
请参阅图2,数据加解密在数据存储层上实现,对上层应用和用户加解密功能是透明的,因此加解密中最重要的密钥也是和对应的存储空间位置相关。每个存储位置将对应一个密钥。对于存储系统的应用或者用户来说,每个存储路径一定是被某个应用或者用户使用,因此密钥管理系统可以直观的将存储空间的初始用户,作为该空间的密钥的拥有者,通过密钥拥有者,存储空间,密钥将整个加解密体系的密钥管理功能闭环起来。管理平台提供密钥管理入口,支持密钥的产生和修改;当密钥生成或者修改时,系统同时执行备份操作,将密钥加密备份在安全区域,和数据存储分离;在安全云存储集群中,通过安全通道定期同步存储空间对应的密钥,完成密钥分发;当用户或者应用系统通过存储集群写入数据时,加密模块通过对应的路径密钥将数据加密处理后写入存储介质;当用户或者应用系统通过存储集群读取数据时,解密模块通过对应路径将数据解密处理后,返回给用户或者应用系统。
请参阅图3,在本发明的方法中,密钥和传统的基于用户的密钥管理不同,提出的加解密发生在数据存储层,对上层应用或者用户来说,加解密数据是透明的,因此密钥的属主是基于存储空间路径的。将存储路径的初始拥有者设定为密钥拥有者,密钥拥有者具备对密钥的管理权限,使得在密钥管理上便于和传统的基于用户的体系对接;其他对存储空间路径的共享者,仅支持对密钥的使用(使用密钥做加解密数据)。
请参阅图4,本发明的方法是基于ceph的存储,提供了samba业务数据访问接口。但是常规的samba服务是并不支持存储数据的安全加解密。本验证平台在分析samba通信协议后,基于samba的VFS模块开发了数据的安全加解密模块。该VFS模块将samba应用接口传输的数据做加解密后写入存储或者解密后返回给应用层。samba数据读写时,通过VFS模块改写中间数据,并通过编写VFS模块来实现对数据的加解密操作(Samba的vfs源码一般在源码路径moudes下面存放,VFS模块的代码命名格式如:vfs_<module_name>.c,其中module_name为模块的名字,也是模块功能的简写;一个VFS模块的代码功能结构主要包括VFS模块的初始化、VFS函数指针结构定义、需要包含的头文件、VFS实现特定功能的函数);基于上面的VFS代码结构和加解密函数的改进,vfs加解密模块核心函数主要如表1所示:
表1核心加密函数表
该代码编译后生成VFS动态链接库my_encrypt.so并存放在VFS模块所在的位置,重启samba服务后,即可加载生效。
根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行适当的变更和修改。因此,本发明并不局限于上面揭示和描述的具体实施方式,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对本发明构成任何限制。
Claims (6)
1.一种基于云计算的电力数据安全存储方法,其特征在于,它包括如下步骤:
(1)用户通过服务接口申请云存储空间并接入到云计算架构中访问数据,同时选择数据是否需要加密;
(2)向用户分配云存储空间,若数据需要加密,则按照算法分配密钥,并存放该存储空间和密钥的映射关系;
(3)云存储空间分配完成以后,通知用户启用云存储资源;
(4)用户按照申请的业务方式接入云存储,在用户写入数据时,将通过加密处理把加密后的密文数据落地在存储系统中;
(5)业务允许的合法用户读取所述云存储空间数据时,加密的数据块被解密还原成明文返回给用户接口。
2.根据权利要求1基于云计算的电力数据安全存储方法,其特征在于,步骤(4)中的加密和步骤(5)中的解密是基于存储空间和内容做的安全加解密,并在数据的写入读出时完成,同时将安全与服务接口做解耦。
3.根据权利要求1基于云计算的电力数据安全存储方法,其特征在于,在步骤(1)中,还包括:
(101)每个服务接口都通过自身的访问控制机制控制用户的接入,为每个用户分配访问空间,并作读写权限控制;
(102)用户通过服务接口访问对应路径时,如果是合法用户,则会通过安全云储存的文件系统接口访问到正确的内容;如果是非法用户,则在访问控制层认证失败,则该用户浏览的云存储路径下是加密内容,无法获得真正的业务数据。
4.根据权利要求1基于云计算的电力数据安全存储方法,其特征在于,在步骤(2)中,还包括密钥的管理步骤:
(201)提供密钥管理入口,支持密钥的产生和修改;
(202)当密钥生成或者修改时,执行备份操作,将密钥加密备份在安全区域,和数据存储分离;
(203)通过安全通道定期同步存储空间对应的密钥,完成密钥分发;
(204)当用户写入数据时,加密模块通过对应的路径密钥将数据加密处理后写入存储介质;
(205)当用户读取数据时,解密模块通过对应路径将数据解密处理后,返回给用户。
5.根据权利要求4基于云计算的电力数据安全存储方法,其特征在于,还包括:将存储路径的初始拥有者设定为密钥拥有者,密钥拥有者具备对密钥的管理权限;其他对存储空间路径的共享者,仅能使用密钥做加解密数据。
6.根据权利要求1基于云计算的电力数据安全存储方法,其特征在于,所述服务接口为samba业务数据访问接口,一数据安全加解密模块将samba业务数据访问接口传输的数据做加解密后写入存储或者解密后返回给应用层。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510874603.9A CN105516117A (zh) | 2015-12-02 | 2015-12-02 | 一种基于云计算的电力数据安全存储方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510874603.9A CN105516117A (zh) | 2015-12-02 | 2015-12-02 | 一种基于云计算的电力数据安全存储方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105516117A true CN105516117A (zh) | 2016-04-20 |
Family
ID=55723754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510874603.9A Pending CN105516117A (zh) | 2015-12-02 | 2015-12-02 | 一种基于云计算的电力数据安全存储方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105516117A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330869A (zh) * | 2016-08-15 | 2017-01-11 | 江苏敏捷科技股份有限公司 | 一种基于云应用的数据安全保护系统和方法 |
| CN106385454A (zh) * | 2016-09-18 | 2017-02-08 | 安徽爱她有果电子商务有限公司 | 一种基于云储存的网络计算存储系统 |
| CN107682329A (zh) * | 2017-09-26 | 2018-02-09 | 国网上海市电力公司 | 一种电力数据传输存储方法及装置 |
| CN108322451A (zh) * | 2018-01-12 | 2018-07-24 | 深圳壹账通智能科技有限公司 | 数据处理方法、装置、计算机设备和存储介质 |
| CN109543415A (zh) * | 2018-11-20 | 2019-03-29 | 南方电网科学研究院有限责任公司 | 一种安全操作系统架构 |
| CN109586924A (zh) * | 2019-01-02 | 2019-04-05 | 大连理工大学 | 一种基于云计算的智能配电网数据安全传输方法 |
| CN109784079A (zh) * | 2019-01-28 | 2019-05-21 | 广州供电局有限公司 | 一种用于电力行业的用户数据保护方法 |
| CN110880986A (zh) * | 2019-10-30 | 2020-03-13 | 烽火通信科技股份有限公司 | 一种基于Ceph的高可用NAS存储系统 |
| CN112134943A (zh) * | 2020-09-21 | 2020-12-25 | 李波 | 一种物联网云存储系统及方法 |
| CN112579549A (zh) * | 2020-12-14 | 2021-03-30 | 浪潮云信息技术股份公司 | CephFS文件协议共享系统、构建方法及实现方法 |
| CN114257606A (zh) * | 2021-12-13 | 2022-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
| CN115171279A (zh) * | 2022-07-07 | 2022-10-11 | 杭州正华电子科技有限公司 | 远程电表卡付费管理方法、系统和可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102611711A (zh) * | 2012-04-09 | 2012-07-25 | 中山爱科数字科技股份有限公司 | 一种云数据安全存储方法 |
| CN103107995A (zh) * | 2013-02-06 | 2013-05-15 | 中电长城网际系统应用有限公司 | 一种云计算环境数据安全存储系统和方法 |
| CN104767745A (zh) * | 2015-03-26 | 2015-07-08 | 浪潮集团有限公司 | 一种云端数据安全保护方法 |
| CN105100248A (zh) * | 2015-07-30 | 2015-11-25 | 国家电网公司 | 一种基于数据加密和访问控制的云存储安全实现方法 |
-
2015
- 2015-12-02 CN CN201510874603.9A patent/CN105516117A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102611711A (zh) * | 2012-04-09 | 2012-07-25 | 中山爱科数字科技股份有限公司 | 一种云数据安全存储方法 |
| CN103107995A (zh) * | 2013-02-06 | 2013-05-15 | 中电长城网际系统应用有限公司 | 一种云计算环境数据安全存储系统和方法 |
| CN104767745A (zh) * | 2015-03-26 | 2015-07-08 | 浪潮集团有限公司 | 一种云端数据安全保护方法 |
| CN105100248A (zh) * | 2015-07-30 | 2015-11-25 | 国家电网公司 | 一种基于数据加密和访问控制的云存储安全实现方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330869A (zh) * | 2016-08-15 | 2017-01-11 | 江苏敏捷科技股份有限公司 | 一种基于云应用的数据安全保护系统和方法 |
| CN106385454A (zh) * | 2016-09-18 | 2017-02-08 | 安徽爱她有果电子商务有限公司 | 一种基于云储存的网络计算存储系统 |
| CN107682329A (zh) * | 2017-09-26 | 2018-02-09 | 国网上海市电力公司 | 一种电力数据传输存储方法及装置 |
| CN108322451B (zh) * | 2018-01-12 | 2020-09-22 | 深圳壹账通智能科技有限公司 | 数据处理方法、装置、计算机设备和存储介质 |
| CN108322451A (zh) * | 2018-01-12 | 2018-07-24 | 深圳壹账通智能科技有限公司 | 数据处理方法、装置、计算机设备和存储介质 |
| CN109543415A (zh) * | 2018-11-20 | 2019-03-29 | 南方电网科学研究院有限责任公司 | 一种安全操作系统架构 |
| CN109586924A (zh) * | 2019-01-02 | 2019-04-05 | 大连理工大学 | 一种基于云计算的智能配电网数据安全传输方法 |
| CN109784079A (zh) * | 2019-01-28 | 2019-05-21 | 广州供电局有限公司 | 一种用于电力行业的用户数据保护方法 |
| CN110880986A (zh) * | 2019-10-30 | 2020-03-13 | 烽火通信科技股份有限公司 | 一种基于Ceph的高可用NAS存储系统 |
| CN112134943A (zh) * | 2020-09-21 | 2020-12-25 | 李波 | 一种物联网云存储系统及方法 |
| CN112134943B (zh) * | 2020-09-21 | 2023-08-22 | 李波 | 一种物联网云存储系统及方法 |
| CN112579549A (zh) * | 2020-12-14 | 2021-03-30 | 浪潮云信息技术股份公司 | CephFS文件协议共享系统、构建方法及实现方法 |
| CN114257606A (zh) * | 2021-12-13 | 2022-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
| CN114257606B (zh) * | 2021-12-13 | 2024-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
| CN115171279A (zh) * | 2022-07-07 | 2022-10-11 | 杭州正华电子科技有限公司 | 远程电表卡付费管理方法、系统和可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105516117A (zh) | 一种基于云计算的电力数据安全存储方法 | |
| US11108753B2 (en) | Securing files using per-file key encryption | |
| US11240024B2 (en) | Cryptographic key management using key proxies and generational indexes | |
| US10691817B2 (en) | Encryption for distributed storage and processing | |
| CN102170440B (zh) | 适用于存储云间数据安全迁移的方法 | |
| US9516016B2 (en) | Storage array password management | |
| CN108900483B (zh) | 云存储细粒度访问控制方法、数据上传和数据访问方法 | |
| CN102394894B (zh) | 一种基于云计算的网络虚拟磁盘文件安全管理方法 | |
| JP6414863B2 (ja) | 仮想化システムにおける暗号復号方法および装置、およびシステム | |
| US20120216052A1 (en) | Efficient volume encryption | |
| CN104104692B (zh) | 一种虚拟机加密方法、解密方法及加解密控制系统 | |
| US8719923B1 (en) | Method and system for managing security operations of a storage server using an authenticated storage module | |
| US9576144B2 (en) | Secured file system management | |
| CN104023085A (zh) | 一种基于增量同步的安全云存储系统 | |
| US11068606B2 (en) | Secured encrypted shared cloud storage | |
| Shetty et al. | Data security in Hadoop distributed file system | |
| US9514325B2 (en) | Secured file system management | |
| AU2016203740A1 (en) | Simultaneous state-based cryptographic splitting in a secure storage appliance | |
| US11418331B1 (en) | Importing cryptographic keys into key vaults | |
| CN112199431B (zh) | 一种基于元数据进行数据共享的方法及数据共享系统 | |
| AU2016210698A1 (en) | Storage security using cryptographic splitting | |
| CN110633125A (zh) | 一种基于云平台存储的集成管理平台及管理方法 | |
| CN106161654A (zh) | 一种云教育系统 | |
| CN117234427B (zh) | 数据读写方法、装置、设备、系统、存储介质及存储系统 | |
| Jogdand et al. | CSaaS-a multi-cloud framework for secure file storage technology using open ZFS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160420 |