信息存储及应用实验室English Version

存储安全与高可用技术

存储安全与高可用技术,研究存储安全技术、重复数据删除技术、数据备份及灾难恢复技术等。

1. 存储备份

随着信息化程度的不断深入,社会对计算机系统的依赖越来越大,但传统的计算机信息系统在诸如火灾、水灾、地震、战争或人为破坏等灾难面前非常脆弱,计算机 系统的硬件、数据、系统和服务都会受到不同程度的破坏。一旦灾难发生在通信、金融或军事系统,如果不能够及时应付灾难,恢复系统功能,将造成不可估计的损失。

在存储备份研究方向上,重点研究自组织容灾网络备份系统的体系结构、类型和实现方法,数据备份方法,以及数据快速恢复方法。

(1)  容灾网络备份系统

基于上述研究内容构建了容灾网络备份系统,该系统支持快速备份和快速恢复服务;支持安全数据传输、块设备级安全数据存储;系统中数据可根据应用采用多种智能备份方法,支持自动备份服务和VSS快照服务;实现自主远程镜像和数据组织,提供给用户远程备份数据管理接口;当有存储结点损毁时,可以实现快速恢复和不同时间点版本的恢复。

(2)  容灾网络备份系统架构

该网络备份系统使用备份代理(即客户端)、备份服务器、存储服务器三方架构搭建数据保护平台,整个系统具有良好的开放性和可扩展性;并且将命令处理和数据存储两大性能瓶颈分离,大大地增加了系统的工作效率。备份服务器和存储服务器存在于同一个局域网内,加快了信息更新的速度,提高了系统的性能;备份代理与服务器可分属于不同的广域网网段,增加了系统部署的灵活性。

HustBackup系统的整体架构图如图1所示。

1  HustBackup系统的架构

(3)  容灾网络备份系统的组成

备份服务器:由备份服务器是整个网络备份系统的指挥中枢,接受来自备份代理的作业请求,协调备份代理和存储服务器、分配相应资源共同完成备份、恢复任务。

存储服务器:存储服务器即备份的目的地,一般是具有大容量存储设备(比如RAID、磁带机等)的服务器。在每一个备份的目的地主机上安装存储服务器软件,备份时负责根据备份服务器的指挥从网络读取数据并写到指定的卷,恢复时则自动找到所需的数据送往网络。

备份代理:备份代理即备份系统的客户端,是整个系统的服务发起方。客户端为用户提供数据备份、恢复服务,并提供给用户备份数据及其他的信息查询接口,同时可以按照用户的需求定制备份计划,完成计划备份作业。

2. 广域网环境下数据容灾技术

广域网环境下数据容灾面临数据传输链路的影响(性能、安全等方面)以及数据存储空间利用率不高的问题。本研究将容错编码和复制技术相结合,同时,利用数据压缩和加密等技术,目的是提高数据在广域网上传输的安全性和可靠性,且有效利用网络带宽、提高存储系统空间利用率。

广域网环境下数据容灾系统由快照、映像文件冗余阵列、压缩、解压、加密、解密、失效检测、分布式仲裁、备份分发和恢复整合等功能模块组成。

 

 

3. 连续数据保护技术

数据丢失或者不可用所造成的损失,对企业来讲,每小时是上百万美元。数据快照(Snapshot)技术可将数据恢复到指定时间点(Assigned Point-in-time),而连续数据保护(Continuous Data Protection,简称CDP)技术可将数据恢复到任意时间点(any-point-in-time)。基于本实验室已有多叉日志存储的连续数据保护技术、重复数据删除技术、多并行度I/O流水调度技术,重点解决多节点数据去重、存储优化、快速恢复和数据一致等关键技术难题,达到容灾备份“空间省、备份快、恢复快”的目标。

4. 存储安全

随着人类社会进入信息时代,计算机已深入到社会的各行各业,越来越多的应用和计算机结合起来,互联网的无限扩展更加使得数据信息呈几何级数爆炸性增长,数字图书 馆、电子商务、医学影像、生物工程、科学计算、虚拟现实、数字化地球、网络多媒体等应用的不断发展,对建立高性能、高可靠的海量信息存储系统提出了需求, 未来的存储系统其规模将达到EB级,一些重要的应用要求存储系统带宽达到1TB/S以上。大规模高性能存储系统具有成百上千的存储设备,同时对大量用户提供并发和突发的服务,这些因素和敏感数据的存在对实现大规模存储系统的安全提出了种种挑战。本课题针对大规模高性能存储系统安全需求,研究适用于大规模高性能存储系统的可扩展和高性能的存储系统架构、安全协议、访问控制方法等,保证存储数据的完整性、可靠性和有效调用,主要研究内容包括:

大规模高性能存储系统安全架构研究

密码技术应用研究

加密存储技术研究

大规模高性能安全存储系统构建方法

(1) 基于身份的分布式安全存储架构

人类社会正变得越来越基于身份,由不同机构提供的传统的访问控制方式已经变得过时,正在被基于身份的访问控制所代替。身份决定了用户是什么能够做什么,基于身份的访问控制可以大大减少系统需维护的用户帐号和密码数量,并且可以实现大范围的集中式网络安全管理。基于身份的分布式安全存储架构如图2所示。将用户身份管理和权限管理相分离,由第三方可信中心TA标识和维护用户身份,可以与企业人力资源管理中心结合,也可以与互联网认证基础设施兼容,以到达分布式用户身份认证的高效性,存储系统只用关心身份(或角色)的权限,存储设备在接受用户访问时只需验证用户身份,依据用户身份以及本地存储的访问控制列表进行访问控制。

2  基于身份的分布式安全存储架构

 

(2) 原型系统构建

原型系统构建旨在设计和实现一个具有访问控制和加密存储功能的对象存储系统原型,为建立安全可靠的大规模高性能存储系统提供借鉴和推广应用平台。原型系统由可信中心TA、应用客户端、元数据服务器和存储设备四个组件组成,如图15所示,要求每一个用户和组件从可信中心TA获取一个身份证书,在访问系统资源前,应用客户向元数据服务器和希望访问的存储设备认证自己,并与后两者分别协商一个会话密钥,该会话密钥用于接下来的会话加密和指令保护。元数据服务器存储全局访问控制列表,存储设备存储本地访问控制列表,全局访问控制列表用于维护本地访问控制列表的一致性。为了降低由频繁改变用户权限导致的安全管理开销,系统只存储基于角色的访问控制列表。

3  原型系统

研究实现具有访问控制和加密存储功能的对象存储系统原型,为建立安全可靠的大规模高性能存储系统提供借鉴和推广应用平台。这些研究将促进整个存储技术和存储产品的发展,改变存储系统依赖于国外产品,填补国内安全高性能存储系统产品的空白,适用于金融证 券、电信电力、气象、石油、地质勘探、空间遥感、医疗服务、国防军事等高端核心领域,保障国家、企业的信息安全,有着广泛的市场前景和显著的社会效益和经济效益。 

 

 
返回顶部