一种基于资源分类的混合云数据安全存储系统及方法

技术领域

本发明涉及数据存储领域，尤其涉及一种基于资源分类的混合云数据安全存储系统及方法。

背景技术

随着云计算的快速发展和广泛应用，混合云架构成为一种常见的云服务部署模式。在大型的企业中拥有大量的数据，其中包括客户个人信息、财务数据和公司机密资料等，一般企业会采用混合云架构，把一部分数据存储在私有云，一部分数据存储在公有云，而如何有效管理和保护存储在混合云中的数据成为一大挑战。

现有技术中,中国发明专利CN107291393A中提到，利用私有云的高速存储介质建立缓存池，通过将数据迁移指令对应的数据写入到预先设置的缓存池，将私有云的部分高速存储介质容量作为混合云存储的缓存池，可以使用私有云的高速存储介质作为混合云存储的缓存，提高用户访问数据的效率。

现有的方案存在以下缺点：

1.存储资源利用率较低：将私有云的一部分高速存储介质容量作为混合云存储的缓存池，但并未针对不同类型的数据资源进行分类和优化。这可能导致存储资源的利用率较低，一些非热点或较小的数据资源仍占用高速存储介质的空间，浪费了存储资源。

2.数据安全性有限：私有云的高速存储介质建立缓存池方案主要是通过将数据迁移指令对应的数据写入到缓存池中，但并未涉及对数据的安全加密措施。这样在数据传输和存储过程中，数据的机密性和完整性无法得到充分保障，存在数据被篡改、窃取或未经授权访问的风险。

发明内容

本发明的目的在于针对现有技术的不足，提供了一种基于资源分类的混合云数据安全存储系统及方法。

为实现上述目的，本发明提供了一种基于资源分类的混合云数据安全存储系统,包括：

资源热点感知模块，用于对用户访问的资源进行实时监测和历史数据分析，动态感知资源的热点状态；

加解密模块，用于对敏感资源进行加密或解密，用于集合或配置加解密算法；

资源缓存模块，用于对资源进行分析，获取资源的大小、有效期信息，并将资源的信息存入到资源表中；再根据资源表中的热点、有效期、资源大小，判定该资源存入私有云或公有云；

资源识别调度模块，用于对用户所需的资源进行识别，获取资源是否存在、资源的有效期、存储位置、敏感性信息，再根据获取的信息调用对应的资源给用户。

进一步地，所述资源热点感知模块的处理过程为：对用户访问的资源进行抓取并进行实时监测分析，对近一周的历史数据进行分析，并根据资源和历史数据分析结果来自动调整热点资源；将近一周的访问次数排名前N名的资源自动转换为热点资源；将近24小时的数据用于实时调整热点资源，根据近24小时数据topM的资源设置热点资源标签；对有需求的特定资源设置热点资源标签，且特定资源不受排行榜的影响。

进一步地，对近一周的历史数据进行分析时，若某个资源之前为热点资源，而近一周的访问次数排名不在前N位，则去掉该资源的热点资源标签。

进一步地，所述加解密模块中，加解密算法包含AES加解密算法、SM2加解密算法。

进一步地，所述资源缓存模块的处理过程为：对资源进行分析，获取资源的大小、有效期信息，并将资源的大小、有效期信息存入到资源表中；结合资源热点感知模块，获取资源的热点信息，并存入资源表中；再根据资源表中的热点、有效期、资源大小，最终判定该资源存入私有云或公有云。

进一步地，判定资源存入私有云或公有云的条件具体为：

判断资源大小是否符合要求；若是，即资源大小大于等于size B，则判断该资源是否具备敏感性；若该资源为敏感资源，则调用加解密模块进行加密，再将该资源存入私有云；若该资源不为敏感资源，则直接将该资源存入私有云，同时将该资源的存储位置更新到资源表中；

判断资源有效期是否符合要求；若是，即资源有效期大于等于period h，则判断该资源是否具备敏感性，若该资源为敏感资源，则调用加解密模块进行加密，再将该资源存入私有云；若该资源不为敏感资源，则直接将该资源存入私有云，同时将该资源的存储位置更新到资源表中；

判断资源是否为热点资源；若是，则判断该资源是否具备敏感性，如该资源为敏感资源，则调用加解密模块进行加密，之后将该资源存入私有云；若该资源不为敏感资源，则直接将该资源存入私有云，同时把该资源的存储位置更新到资源表中；

若资源大小、有效期均不符合要求、且资源不为热点资源，则再判断该资源是否具备敏感性，如该资源为敏感资源，则调用加解密模块进行加密，再将其存入公有云；若该资源不为敏感资源，则直接将其存入公有云，同时将其存储位置更新到资源表中。

进一步地，所述资源识别调度模块的处理过程为：首先判断资源是否在资源表内，若否，则用户向互联网进行访问资源，同时触发资源缓存流程；若是，则根据资源表中的信息判断资源有效期、存储位置以及敏感性信息；若该资源在有效期内，则根据该资源的存储位置判定其是在公有云还是私有云中，然后获取对应的资源；最后根据是否敏感的标签判断该资源是否需要解密，再把资源返回给客户；若不在有效期内，则让用户从互联网上获取资源，同时触发缓存模块中的更新资源机制。

为实现上述目的，本发明还提供了一种基于资源分类的混合云数据安全存储方法，混合云包括公有云和私有云，所述方法包括：

收到用户的上传消息时：对用户上传的资源进行分析，判断资源的大小、有效期是否符合要求，再判断资源是否为热度资源；若资源的大小、有效期有其中一项符合要求或资源为热度资源，则再判断该资源是否为敏感资源，若该资源为敏感则进行加密，否则不进行任何操作，再将该资源存入私有云中，同时记录资源信息和存储位置到资源表；若资源大小、有效期均不符合要求，且资源不是热度资源，则再判断该资源是否为敏感资源，若该资源为敏感则进行加密，否则不进行任何操作，最后存入公有云中，同时记录资源信息和存储位置到资源表；

收到资源下载消息时：分析用户所需资源，获取混合云中资源的大小、有效期、存储位置和资源敏感性信息；判断该资源是否在混合云中，若不在，则用户直接访问互联网获取资源；若在，则从资源的信息中，判断资源是否在有效期内；若不在有效期内，则进行资源更新；若在有效期内，则判断资源是在公有云还是在私有云中，并在对应的位置上获取资源；然后判断该资源是否为敏感资源，若是，则对该资源进行解密之后提供给用户，否则直接提供给用户。

进一步地，所述资源的大小符合要求时，资源的大小不小于size B。

进一步地，所述资源的有效期符合要求时，资源的有效期不小于period h。

与现有技术相比，本发明有如下有益效果：

1、数据安全性提升：本发明通过加解密算法模块，根据不同的需求设置不同的加解密算法，有效保护敏感数据的机密性和完整性，抵御数据泄露和篡改的风险。

2、网络带宽缓解：通过资源分类将热点资源、大资源、有效期长的资源存储在私有云中，减轻了对网络带宽的压力，提供更好的用户体验。

3、灵活性和扩展性：本发明具有灵活的资源分类配置和加解密算法配置，可以根据实际需求进行调整和扩展，适应不同的业务场景和数据需求。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明系统的框架示意图；

图2是本发明方法中数据资源上传至混合云的流程图；

图3是本发明方法中从混合云中获取数据资源的流程图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

在本发明使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本发明范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面结合附图，对本发明进行详细说明。在不冲突的情况下，下述的实施例及实施方式中的特征可以相互组合。

本发明通过对上传和下载的资源数据经过细粒度的资源分类，把大资源、热度资源、有效期长的资源存储在私有云，其他资源存储在公有云，提升私有云、公有云的存储资源利用率，缓解带宽压力，提升用户体验；根据不同需求，对数据资源采用不同的加解密算法，在保证用户体验的同时，有效对数据进行保护。

本发明提供了一种基于资源分类的混合云数据安全存储系统及方法，通过细粒度的资源分类，资源上传经过对资源的大小、有效期、热度、敏感性等信息的分析，资源下载经过对资源有效期、位置、敏感性等信息的分析，实现对数据资源的有效管理和安全保护，提高存储资源利用率，提升用户的访问体验，提升数据存储的安全性。

本发明提供的一种基于资源分类的混合云数据安全存储系统，如图1所示，包括客户端和服务端：

客户端包括用户请求模块，用户请求模块用于将用户发送的请求传递到服务端，随即服务端会对用户发送的请求进行解析。

服务端主要包括资源热点感知模块、加解密模块、资源缓存模块、资源识别调度模块等四个模块。

资源热点感知模块，利用实时监测和历史数据分析，动态感知资源的热点状态，同时，热点的阈值(N、M)可以根据实际情况进行配置。

具体地，对用户访问的资源进行抓取并进行实时监测分析，对近一周的历史数据进行分析，并根据资源和历史数据分析结果来自动调整热点资源；将访问次数排名前N名的资源自动转换为热点资源，本实施例中N为100，N还可以设置为其他的整数值，同时，如果某个资源之前为热点资源，而此次排名不在前N位时，则去掉热点资源的标签。最近一周的数据可以用于自动调整热点资源，实时24小时的数据便于实时调整热点资源，可根据24小时数据topM的资源设置热点资源标签，本实施例中M为10，M还可以设置为其他的整数值，此外，还可以对特定资源(可根据需求设置某资源为特定资源)设置热点资源标签。具体设置规则如下：

1、一周数据中，排名前N的资源自动切换为热点资源；

2、一周数据中，若某资源之前为热点资源，而最新的一周数据掉出热点资源前N的排名，则取消热点资源标签；

3、根据24小时内的访问数据排行榜，把topM(24小时排行榜排名前M)的资源设置为热点资源，并进行实时更新；

4、所有热点资源最少保留时间为24小时，每天凌晨1点会定时对热点资源根据一周数据排行榜以及24小时排行榜标准进行调整；

5、对特定资源(根据需求设置)的设置，不仅可以为其设置热点资源标签，还可设置其保持热点资源的时间，且不受凌晨1点调整排行榜的影响。

加解密模块，对混合云中存储的敏感资源数据进行加密或解密，加解密模块集合了不同的算法，包括常用的AES加解密算法、SM2加解密算法等，并且后续可以集成更多的所需加解密算法，例如以后可能会出现的轻量级抗量子加解密算法；根据实际情况可以配置加解密算法，配置加密算法过程为：通过algorithm的参数进行设置加解密算法，设置完成后，加解密模块就会根据设置的加解密算法提供服务。敏感资源根据匹配敏感资源信息表将对应的是否敏感的标签存入到资源表中，其中，每个敏感资源将md5值作为唯一标签，md5值包含资源url、资源的content-type和资源的content-length。

资源缓存模块，结合资源热点感知模块，判定资源是否是热点资源，再根据配置信息中的有效期、资源大小等信息，最终判定该资源是存入私有云还是公有云。

对资源进行分析，获取资源的大小、有效期信息，并将资源对应的信息存入到资源表中。结合资源热点感知模块，资源会被标注上是否为热点资源，同时也会存入到资源表中。再根据资源表中的热点、有效期、资源大小等信息，最终判定该资源是存入私有云还是公有云。判定条件具体为：

如果某资源大小符合要求，即该资源大小不小于size B值，这里的size B值可以自行设置，默认值为1024B；再判断该资源是否具备敏感性，具备敏感性即为敏感资源；如该资源为敏感资源，则调用加解密模块进行加密，之后将该资源存入私有云；如该资源不为敏感资源，则直接将该资源存入私有云，同时把该资源的存储位置更新到资源表中；

如果某资源有效期符合要求，即该资源有效期不小于period h值，这里的periodh值可以自行设置，默认值为2h；再判断该资源是否具备敏感性，如该资源为敏感资源，则调用加解密模块进行加密，之后将该资源存入私有云；如该资源不为敏感资源，则直接将该资源存入私有云，同时把该资源的存储位置更新到资源表中；

如果某资源为热点资源，则再判断该资源是否具备敏感性，如该资源为敏感资源，则调用加解密模块进行加密，之后将该资源存入私有云；如该资源不为敏感资源，则直接将该资源存入私有云，同时把该资源的存储位置更新到资源表中；

如果某资源大小不符合要求，有效期也不符合要求，并且该资源不为热点资源，则再判断该资源是否具备敏感性，如该资源为敏感资源，则调用加解密模块进行加密，再将其存入公有云；如该资源不为敏感资源，则直接将其存入公有云，同时把其存储位置更新到资源表中。

资源识别调度模块，对用户所需的资源进行识别，获取资源是否存在、有效期、位置、敏感性等特性，再根据获取的信息调用对应的资源给用户。

具体地，首先判断资源是否在资源表内，如果不在资源表内，则用户向互联网进行访问资源，同时触发资源缓存流程；如果资源在资源表中，根据资源表中的信息判断资源有效期、位置以及敏感等信息；如果该资源在有效期内，则根据该资源的位置判定其是在公有云还是私有云中，然后获取对应的资源；最后根据是否敏感的标签判断该资源是否需要解密，再把资源返回给客户；如果该资源不在有效期内，则让用户从互联网上获取资源，同时触发缓存模块中的更新资源机制。

本发明提供的一种基于资源分类的混合云数据安全存储方法，包括：

如图2所示，收到用户的上传消息时，资源上传至混合云的流程如下：

解析资源，利用资源缓存模块对用户端上传的资源进行分析；其中包括资源的大小、资源的有效期，根据预先设置的值进行判断是否符合要求，其中，资源的大小默认值size B为1024B，资源的有效期默认值period h为2h，这两个值均可自行设置；如果资源的大小不小于size B或资源的有效期不小于period h，则该资源符合要求，否则不符合要求；然后通过资源热度感知模块判断该资源是否为热度资源；如果该资源的大小、有效期、热度有其中一项符合要求，即资源的大小是否大于等于size，资源的有效期是否大于等于period，资源是否为热点资源，则再判断该资源是否为敏感资源，若该资源为敏感则加密，否则不进行操作，最后存入私有云中，同时记录资源信息和存储位置到资源表；如果该资源大小、有效期、热度均不符合要求，则再判断该资源是否为敏感资源，若该资源为敏感则加密，否则不进行操作，最后存入公有云中；同时记录资源信息和存储位置到资源表。

如图3所示，收到资源下载消息时，从混合云中获取数据资源的流程如下：

分析用户请求模块所需资源，利用资源识别调用模块进行匹配资源，获取混合云中资源的有效期、资源大小、资源位置信息以及资源敏感性等信息；如果资源不在混合云中，则用户直接访问互联网获取资源；如果资源在混合云中，则从资源的信息中，判断资源是否在有效期内；如果不在有效期内，则触发资源缓存模块进行资源更新；如果在有效期内，则判断资源是在公有云还是在私有云中，并在对应的位置上获取资源；最后判断资源是否是敏感资源，如果是，进行解密之后提供给用户；否则直接提供给用户。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

以上实施例仅用于说明本发明的设计思想和特点，其目的在于使本领域内的技术人员能够了解本发明的内容并据以实施，本发明的保护范围不限于上述实施例。所以，凡依据本发明所揭示的原理、设计思路所作的等同变化或修饰，均在本发明的保护范围之内。