技術領域

本發明涉及計算機存儲領域，尤其涉及一種提高對象存儲安全性的方法及系統。

背景技術

在云時代對象存儲正在越來越多的受到關注，并得到了迅速的發展。對象存儲系統相比文件系統需要更少的元數據來存儲和訪問文件，并且它們還減少了因存儲元數據而產生的管理文件元數據的開銷。這意味著對象存儲能夠通過增加節點而近乎無限制地擴展規模。

對象存儲與傳統SAN以及NAS文件存儲不同，對象存儲中采用扁平的數據組織結構拋棄了傳統的嵌套的文件夾，避免維護龐大的目錄樹。在云時代，一個系統中的文件數會非常巨大，而訪問這些文件時，不但訪問量巨大，用戶對速度的要求也非常的高。

對象存儲服務取得更大發展的更大因素是取得了移動互聯網的青睞，在移動端的APP中，對象存儲簡單的HTTP接口簡化了開發者的開發流程，并且還可以為用戶提供海量的存儲空間。

目前的對象存儲一般使用HTTP或HTTPS方式進行數據操作指令以及數據的傳輸。對象存儲不再提供POSIX兼容的接口，而是可以非常方便地通過HTTP Restful API接口和對象進行交互:通過PUT和GET進行上傳下載，通過DELETE進行刪除。無論使用哪種方式對象存儲服務器都存在一定的安全隱患，這主要是由于HTTP協議自身的特點所造成的。

目前提高對象存儲安全性的方式一種通過使用特殊的私用指令集，這種方式不具備通用性，使用這種方式應用程序需要修改增加了使用的成本。另一種就是使用HTTPS，這種方式當遭受外部攻擊時，攻擊者可以給存儲服務器發送大量數據上傳、下載請求，造成后端集群不堪重負，甚至出現無法為正常的用戶提供服務的情況，即出現了拒絕服務的情況。

發明內容

為了解決上述技術問題，本發明的目的是提供一種提高對象存儲安全性的方法及系統。

本發明所采用的技術方案是：一種提高對象存儲安全性的方法，其包括以下步驟：A：在使用對象存儲的主機以及對象存儲服務器上各安裝一個代理程序，通過代理程序進行通訊；B：根據配置的策略對進行客戶端代理程序和服務端代理程序之間的通訊數據進行加密、操作指令進行變換、密鑰進行變換。

進一步，所述步驟A包括子步驟：A1：客戶端代理程序通過本地配置程序連接對象存儲服務器；A2：客戶端代理將所在主機的IP地址、CPU序列號、主板序列號信息發送到服務端代理程序；A3：服務端代理程序將客戶端發送的3個信息作為種子得到一組通訊密鑰、以及一個指令字典，并發送給客戶端代理程序；A4：客戶端代理程序將接收到的信息進行解密，并保存到本地。

進一步，所述步驟B包括子步驟：B1：客戶端代理程序隨機選取一組指令字典，將指令轉換為別名，隨機選取一個通訊密鑰對其加密，并將指令字典編號、通訊密鑰編號以及加密后的數據發送給服務端代理程序；B2：服務端代理程序根據通訊密鑰編號得到密鑰，并將數據解密，根據指令字典編號得到命令與別名對應關系，得到實際命令，發送到對象存儲服務器處理，服務端代理程序將結果使用相同方式發送給客戶端代理程序；B3：客戶端代理程序將結果解密后發送給使用對象儲存的主機。

一種提高對象存儲安全性的系統，其包括使用對象存儲的主機和對象存儲服務器，其還包括客戶代理程序和服務端代理程序，所述客戶端代理程序和服務端代理程序：用于使用對象存儲的主機和對象存儲服務器之間進行通訊，并根據配置的策略對、通訊數據進行加密、操作指令進行變換、密鑰進行變換。

進一步，所述客戶端代理程序包括還包括：本地配置程序和采集單元，所述本地配置程序用于：客戶端代理程序通過本地配置程序連接對象存儲服務器；采集單元：用于將所在主機的IP地址、CPU序列號、主板序列號信息發送到服務端代理程序；

進一步，所述服務端代理程序包括：密鑰生產單元，所述密鑰生成單元：用于服務端代理程序將客戶端發送的3個信息作為種子得到一組通訊密鑰、以及一個指令字典，并發送給客戶端代理程序。

進一步，所述客戶代理程序和服務端代理程序包括：隨機加密單元：用于隨機選取一組指令字典，將指令轉換為別名，隨機選取一個通訊密鑰對其加密；解密單元：用于根據通訊密鑰編號得到密鑰，并將數據解密，根據指令字典編號得到命令與別名對應關系，得到實際命令。