一種對象存儲系統(tǒng)中基于raid5的安全認證方法
【技術領域】
[0001]本發(fā)明屬于存儲系統(tǒng)和安全認證技術領域,更具體地�,涉及一種對象存儲系統(tǒng)中基于 RAID5 (Redundant Arrays of Independent Disks 5,磁盤陣列 5)的安全認證方法���。
【背景技術】
[0002]大數(shù)據(jù)時代的到來�,使得數(shù)據(jù)變成一種無形且無價的資產(chǎn)����,其安全可靠性也逐漸被國家、企業(yè)及個人所重視和關注����。
[0003]對象存儲系統(tǒng)中可信中心((Trusted Authority,ΤΑ)主要包含用戶信息列表及證書撤銷列表(Certificate Revocat1n List�,CRL)等重要信息,當ΤΑ服務器受到黑客攻擊的時候����,會存在以下風險:
[0004]數(shù)據(jù)丟失:黑客侵入系統(tǒng)��,將用戶的信息獲取后��,從而進入對象存儲系統(tǒng)獲取用戶存入對象存儲設備(Object-based Storage Device,0SD)中的數(shù)據(jù)����,對用戶造成無法估量的經(jīng)濟損失。
[0005]數(shù)據(jù)損壞:當黑客侵入系統(tǒng)后���,對用戶數(shù)據(jù)進行篡改和損壞���,使得用戶無法正常使用0SD中的數(shù)據(jù),造成不可估量的經(jīng)濟損失���。
[0006]服務中斷:當黑客侵入TA服務器后��,植入木馬病毒使得TA服務器無法正常提供服務�,導致服務中斷�����,這將對需要不間斷提供服務的企業(yè)來說無疑是一種致命的打擊。
[0007]現(xiàn)有的對象存儲系統(tǒng)的相關工作�,都是單TA服務器提供服務,如果一旦該服務器受到攻擊���,則會造成不可估計的經(jīng)濟損失�。
【發(fā)明內(nèi)容】
[0008]針對現(xiàn)有技術的以上缺陷或改進需求��,本發(fā)明提供了一種對象存儲系統(tǒng)中基于RAID5的安全認證方法���,在對象存儲系統(tǒng)的關鍵路徑TA上部署RAID5�,其目的是提高對象存儲系統(tǒng)的安全可靠性��;在單臺TA服務器受到攻擊的情況下���,對象存儲系統(tǒng)能夠繼續(xù)向用戶提供正常服務��;如果數(shù)據(jù)丟失或損壞�,可通過RAID5的恢復機制快速恢復數(shù)據(jù)��。
[0009]為了實現(xiàn)上述目的�,本發(fā)明提供了一種對象存儲系統(tǒng)中基于RAID5的安全認證方法,包括如下步驟:
[0010](1)啟動基于RAID5的N臺ΤΑ服務器�����,等待客戶端(Client)連接,其中N為ΤΑ服務器的數(shù)量���;
[0011](2)Client端將認證請求發(fā)送至可信中心控制器(TA Controller)���,ΤΑController選擇上述多臺ΤΑ服務器中的一臺作為目標ΤΑ服務器�����;
[0012](3)被選中的目標ΤΑ服務器對Cl ient端的認證請求進行處理�,并將認證請求處理結果返回給TA Controller ;
[0013](4)TA Controller將所述認證請求處理結果按照RAID5的存取機制分散存入構成RAID5的不同磁盤中�。
[0014]本發(fā)明的一個實施例中,所述步驟(2)包括如下子步驟:
[0015](2.1)多個Client端的認證請求首先被發(fā)送至TA Controller中����,TA Controller
對認證請求進行ID編號(例如0、1�����、2......)�,然后對ID進行取模運算(ID%N)��,將編號等于取模運算結果的TA服務器作為目標TA服務器�����,上述N臺TA服務器的編號分別為1-N ;
[0016](2.2)在Client端和被選中的目標TA服務器之間建立一條連接通路����,被選中的目標TA服務器用于對Client端的認證請求進行處理��。
[0017]本發(fā)明的一個實施例中�����,所述步驟(3)包括如下子步驟:
[0018](3.1)目標TA服務器和Client端��,首先按照提前約定的參數(shù)和算法生成各自的會話秘鑰����,后續(xù)的通信過程都通過會話秘鑰進行加密傳輸;
[0019](3.2)目標TA服務器獲取Client端發(fā)送的認證請求中包含的用戶名和密碼�,然后對用戶名和密碼進行合法性驗證。驗證通過后���,對比用戶信息列表中的信息���,查看是否有數(shù)據(jù)匹配����;
[0020]其中合法性驗證是指對用戶名���、密碼的格式���、長度、是否包含非法字符等進行驗證��。
[0021](3.3)如果對比中有數(shù)據(jù)匹配�����,則說明用戶信息已經(jīng)在用戶列表中���。說明已經(jīng)給用戶發(fā)送過證書且在有效期內(nèi),此時目標TA服務器拒絕為用戶生成新的證書���;如果不在用戶列表中�,說明用戶是第一次申請證書��,目標TA服務器接受Client端的認證請求;
[0022](3.4)目標TA服務器通過用戶名�、密碼生成私鑰和證書,并通過會話秘鑰將私鑰和證書加密后發(fā)送至Client端����。Client端通過自身的會話秘鑰對接收的私鑰、證書數(shù)據(jù)進行解密�,然后用私鑰對使用公鑰加密的證書進行解密,最終將證書保存在Client端本地���;
[0023](3.5)目標TA服務器將認證請求處理結果返回到TA Controller中��。
[0024]本發(fā)明的一個實施例中����,所述步驟⑷包括如下子步驟:
[0025](4.1)被選中的目標TA服務器將認證請求處理結果的數(shù)據(jù)返回給TAController�����,并保存在 TA Controller 中���;
[0026](4.2) TA controller將目標TA服務器返回的認證請求處理結果按照RAID5機制分散存入構成RAID5的不同磁盤中����,以實現(xiàn)安全存儲。
[0027]本發(fā)明的一個實施例中��,所述步驟(1)中的N取值為3��。
[0028]總體而言����,通過本發(fā)明所構思的以上技術方案與現(xiàn)有技術相比,具有以下有益效果:本發(fā)明利用冗余技術�,可以有效地解決TA單點故障的問題,提高系統(tǒng)的可靠性����;利用RAID5技術,可以使得黑客侵入某臺TA服務器��,也只能獲取部分用戶數(shù)據(jù)而非全部用戶數(shù)據(jù)��,進一步保證了用戶數(shù)據(jù)的安全性�����;利用RAID5技術���,還可對丟失和損壞的數(shù)據(jù)進行快速恢復����,保證數(shù)據(jù)的安全性和可靠性��。
【附圖說明】
[0029]圖1是本發(fā)明實施例中冗余TA對象存儲系統(tǒng)結構圖�����;
[0030]圖2是本發(fā)明實施例中TA服務器選擇流程圖��;
[0031]圖3是本發(fā)明實施例中TA服務器存儲數(shù)據(jù)流程圖�����;
[0032]圖4是本發(fā)明實施例中用戶注冊與證書頒發(fā)流程圖�。
【具體實施方式】
[0033]為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白��,以下結合附圖及實施例����,對本發(fā)明進行進一步詳細說明。應當理解���,此處所描述的具體實施例僅僅用以解釋本發(fā)明���,并不用于限定本發(fā)明����。此外�����,下面所描述的本發(fā)明各個實施方式中所涉及到的技術特征只要彼此之間未構成沖突就可以相互組合���。
[0034]如圖1所示�����,本發(fā)明方法所基于的冗余TA對象存儲系統(tǒng)結構圖詳細描述如下:
[0035]對象存儲系統(tǒng)主要包含四個部分:客戶端Client����、可信中心TA�、元數(shù)據(jù)服務器MDS、對象存儲設備0SD��。
[0036]冗余TA對象存儲系統(tǒng)是在對象存儲系統(tǒng)的基礎上���,在系統(tǒng)的關鍵路徑TA上���,搭建冗余TA,提高系統(tǒng)的可靠性���。
[0037]冗余對象存儲系統(tǒng)流程:首先Client端向TA Controller發(fā)送認證請求�,TAController首先為認證請求賦予ID���,然后對認證請求ID進行取模運算����,選擇出目標TA服務器�,并將用戶名和密碼信息發(fā)送至目標TA服務器。目標TA服