本发明涉及计算机安全领域,具体涉及一种云计算数据安全的系统。
背景技术:
云计算通过将it资源转化为服务,以按需付费的商业模式交付给终端用户使用,从而极大地降低了用户it使用成本,加速了it资源的交付周期,提高了运营效率。
通过云计算,虽然用户的it成本可以得到降低,但是也使数据安全风险更多地集中在云计算数据中心端,具体表现在以下几个方面:1)多租户模式下的数据隔离和安全问题;公有云计算数据中心,处在多租户模式下,多个租户特别是彼此为竞争对手的租户的数据存储在一起会导致一定的安全风险,私有云计算数据中心也需要为各个职能部门之间的数据提供有效的数据隔离;2)黑客的非法入侵会导致重要数据的泄漏;3)云计算数据中心管理员特别是超级管理员的人为错误或者职业操守问题可能导致用户数据的泄露等等。
因此提高云计算数据系统安全性能刻不容缓。
技术实现要素:
本发明的目的在于克服现有技术中存在的上述问题,提供一种虚拟主机云端托管安全系统,提高一种提高云计算数据系统安全性能。
为实现上述技术目的,达到上述技术效果,本发明是通过以下技术方案实现:
一种虚拟主机云端托管安全系统,包括:
建立单元,用于用户为云计算服务应用实例可用的物理逻辑单元设备建立索引信息表;
设置单元,用于用户建立一个虚拟逻辑单元号设备,根据所述索引信息表,设置所述虚拟逻辑单元号设备的虚拟逻辑区块地址空间与实际数据存储逻辑区块地址空间的对应规则;
建立保存单元,用于用户根据所述对应规则,建立并保存数据访问虚拟逻辑单元号设备的虚拟逻辑区块地址空间与指定云计算数据中心的实际数据存储逻辑区块地址空间的对应关系;
重定向单元,用于根据所述对应关系,获取外部数据读写请求指向的虚拟逻辑区块地址空间对应的实际数据的存储位置信息,完成i/o重定向;所述建立保存单元包括:
选择单元,用于选择多个逻辑区块地址作为虚拟逻辑区块地址空间和实际逻辑区块地址空间的最小分割模块;
分割单元,用于根据所述最小分割模块,将所述虚拟逻辑区块地址空间和实际数据存储逻辑区块地址空间,分割成数量相等的虚拟逻辑区块地址段和实际逻辑区块地址段;
对应关系建立单元,用于用户根据所述对应规则,将所述虚拟逻辑区块地址段与实际逻辑区块地址段对应,以及将所述虚拟逻辑区块地址段中的虚拟逻辑区块地址与其对应的实际逻辑区块地址段中的实际逻辑区块地址进行对应,并根据以上对应结果建立且保存虚拟逻辑区块地址空间与实际数据存储逻辑区块地址空间的对应关系。
进一步地,所述重定向单元包括:
第一获取模块,用于根据外部数据读写请求指定的虚拟逻辑区块地址空间与指定云计算数据中心的实际数据存储逻辑区块地址空间的对应关系,查询并获取虚拟逻辑区块地址空间中每个虚拟逻辑区块地址对应的实际数据存储的逻辑区块地址;
第二获取模块,用于根据所述索引信息表中的逻辑单元号设备全id,查询并获取每个实际逻辑区块地址所对应的云计算数据中心和其对应的逻辑单元号设备局部id;
定向模块,用于根据每个实际逻辑区块地址对应的云计算数据中心和逻辑单元号设备局部id,将外部数据读写请求转发到实际数据存储逻辑区块地址空间上,完成数据i/o请求的重定向。
进一步地,所述系统还包括更新单元,用于用户按照预置的频率更新所述对应关系。
本发明的收益效果是:
实现了用户数据在云计算数据中心端物理级别隔离的同时,使数据所有者可以掌控元数据的生成方法、保存方法及位置信息,并且兼顾了企业级云计算服务计算对i/o性能和可靠性的要求,从而使得即便云计算数据中心被非法入侵,用户数据所在物理逻辑单元设备也不会被非法挂载,用户数据也不会泄露,保障了用户数据的安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述云端托管安全系统的结构图;
图2为本发明所述重定向单元的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1-2所示,本发明为一种虚拟主机云端托管安全系统,包括:
建立单元,用于用户为云计算服务应用实例可用的物理逻辑单元设备建立索引信息表;
设置单元,用于用户建立一个虚拟逻辑单元号设备,根据索引信息表,设置虚拟逻辑单元号设备的虚拟逻辑区块地址空间与实际数据存储逻辑区块地址空间的对应规则;
建立保存单元,用于用户根据对应规则,建立并保存数据访问虚拟逻辑单元号设备的虚拟逻辑区块地址空间与指定云计算数据中心的实际数据存储逻辑区块地址空间的对应关系;
重定向单元,用于根据对应关系,获取外部数据读写请求指向的虚拟逻辑区块地址空间对应的实际数据的存储位置信息,完成i/o重定向;建立保存单元包括:
选择单元,用于选择多个逻辑区块地址作为虚拟逻辑区块地址空间和实际逻辑区块地址空间的最小分割模块;
分割单元,用于根据最小分割模块,将虚拟逻辑区块地址空间和实际数据存储逻辑区块地址空间,分割成数量相等的虚拟逻辑区块地址段和实际逻辑区块地址段;
对应关系建立单元,用于用户根据对应规则,将虚拟逻辑区块地址段与实际逻辑区块地址段对应,以及将虚拟逻辑区块地址段中的虚拟逻辑区块地址与其对应的实际逻辑区块地址段中的实际逻辑区块地址进行对应,并根据以上对应结果建立且保存虚拟逻辑区块地址空间与实际数据存储逻辑区块地址空间的对应关系。
进一步地,重定向单元包括:
第一获取模块,用于根据外部数据读写请求指定的虚拟逻辑区块地址空间与指定云计算数据中心的实际数据存储逻辑区块地址空间的对应关系,查询并获取虚拟逻辑区块地址空间中每个虚拟逻辑区块地址对应的实际数据存储的逻辑区块地址;
第二获取模块,用于根据索引信息表中的逻辑单元号设备全id,查询并获取每个实际逻辑区块地址所对应的云计算数据中心和其对应的逻辑单元号设备局部id;
定向模块,用于根据每个实际逻辑区块地址对应的云计算数据中心和逻辑单元号设备局部id,将外部数据读写请求转发到实际数据存储逻辑区块地址空间上,完成数据i/o请求的重定向。
进一步地,系统还包括更新单元,用于用户按照预置的频率更新对应关系。
本实施例的一个具体应用为:
实现了用户数据在云计算数据中心端物理级别隔离的同时,使数据所有者可以掌控元数据的生成方法、保存方法及位置信息,并且兼顾了企业级云计算服务计算对i/o性能和可靠性的要求,从而使得即便云计算数据中心被非法入侵,用户数据所在物理逻辑单元设备也不会被非法挂载,用户数据也不会泄露,保障了用户数据的安全。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料过着特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。