一种云计算数据安全标记管理方法及系统技术方案

本发明专利技术提出一种云计算数据安全标记管理方法及系统，涉及云计算及数据安全领域，该方法设置所述云数据安全标记的格式，生成新云数据安全标记，将所述新云数据安全标记分别存入客户机数据库与服务器数据库；在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存，并在所述客户机运行过程中将所述标记数据进行实时更新，同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。本发明专利技术定义了云数据安全标记的格式组成，分析了云计算数据安全标记的应用和管理中涉及的标记数据类型，并提供了一种分布式存储方案；设计三种响应方式来高效处理标记数据的创建、检索、修改和删除操作，减少对客户机执行效率的影响。

【技术实现步骤摘要】

本专利技术涉及云计算及数据安全领域，特别涉及一种云计算数据安全标记管理方法及系统。
技术介绍
云计算代表IT领域向规模化、专业化与集约化道路发展的重要趋势，是IT领域正在发生的深刻变革，云计算的动态虚拟化管理、按需服务以及多租户共享的运营模式等特点，使得云计算的安全受到了越来越广泛的关注，也已成为制约云计算技术及产业发展的重要因素，云计算安全面临诸多的挑战，其中，数据安全由于其在实际应用中的基础性地位，已经成为最亟待突破和解决的首要问题。云计算数据安全问题的根源在于数据所有权和控制权的分离，云计算的服务模式是用户将数据交给云服务商存储或委托其运行某种应用，用户失去了对其数据的控制权，在此服务模式下，恶意的云服务可以直接窃取用户的隐私数据而不被用户发现；云平台中不可信组件以及黑客、木马等恶意软件可以非法读取、泄露或篡改用户的敏感数据；云平台中虚拟机逃逸等恶意行为将导致用户数据在虚拟机之间被非授权使用，由于缺乏有力的安全管控技术支撑，用户无法确保其数据在云平台中被正确使用。《计算机信息系统安全保护等级划分准则(GB17859-1999)》中规定了计算机操作系统的5个保护等级，其中安全标记保护等级是第三等级，具有较高的保护等级，同时也是更高保护等级的基础，安全标记保护等级需要提供安全模型、安全标记信息、强制访问控制等，安全标记机制是安全标记保护等级的基础，同样也可用于保护云平台数据安全。安全标记机制为云平台安全管控提供了技术支撑，已有的数据加密方法无法保护正在运算中的数据，基于标记的访问控制机制，例如信息流控制技术，在云服务和软件读写用户数据时执行强制访问控制，防止恶意云服务和恶意软件等非法读取、泄露或篡改用户的敏感数据，也可以减少虚拟机逃逸等恶意行为的发生，保证只有用户允许的云服务和软件正常使用数据。在研究和实践过程中，本专利技术的专利技术人发现：云计算模式与以往计算模式的不同，云计算具有整合分布式资源、资源共享等特点，以往的数据安全标记管理方法不能直接使用，因此，提出针对云计算平台下的数据安全标记管理方法是急需解决的问题。专利技术专利“一种基于标记及策略的云安全管理方法”，涉及云计算安全领域。该专利技术将STE的标签与中国墙的标签进行整合，使用同一安全标记同时支持两种安全机制，通过1)标签设计及安全策略和2)安全管理模块，设计安全管理模块进行安全数据维护、安全策略配置等管理及辅助工作，使得两种安全机制可以有效地协同运行在云计算环境中，来保证云计算虚拟化平台中客户虚拟机的安全。但该专利技术专利将STE的标签与中国墙的标签进行整合，使用同一安全标记同时支持两种安全机制，与本专利技术的标记设计不同，本专利技术提供一种更加一般化的标记设计，并采用分布式存储来高效处理标记操作。
技术实现思路
针对现有技术的不足，本专利技术提出一种云计算数据安全标记管理方法及系统。本专利技术提出一种云计算数据安全标记管理方法，包括：步骤1，设置所述云数据安全标记的格式，生成新云数据安全标记，将所述新云数据安全标记分别存入客户机数据库与服务器数据库；步骤2，在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存，并在所述客户机运行过程中将所述标记数据进行实时更新，同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。所述新云数据安全标记的格式为Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets)，其中LabelIdentifier为标记标识符：用于标识所述新云数据安全标记，其值唯一不重复；PolicyIdentifier为标记策略标识符：用于标识与所述新云数据安全标记相关的安全策略；Classification为标记等级：用于描述数据的敏感程度，标记等级的取值为整数；Categories为标记类型：用于进一步细化数据的敏感程度，标记类型指定了所述新云数据安全标记对应的安全策略；PrivacyMark为标记标识：用于对所述新云数据安全标记进行补充说明，标记标识取值为字符串；TagSets为标签集：描述同一种安全属性相关信息的多个安全标签组成一个TagSet。所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份；所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。还包括服务器创建所述新云数据安全标记，并保证LabelIdentifier的唯一性，同时完成所述新云数据安全标记的初始化操作。还包括在所述客户机的数据块中创建缓存标记表，所述缓存标记表保存一定数量的预申请的标记数据，当所述缓存标记表中的标记数据少于一定数量时，向标记服务器申请一定数量的所述新云数据安全标记，以保证缓存标记表中的标记数据满足所述客户机的标记创建要求，其中每个所述客户机的所述缓存标记表存储在ClientDB中，动态运行时加载到内存中，并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后，从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记，然后创建所述新云数据安全标记并作为结果返回，同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。本专利技术还提出一种云计算数据安全标记管理系统，包括：设置格式模块，用于设置所述云数据安全标记的格式，生成新云数据安全标记，将所述新云数据安全标记分别存入客户机数据库与服务器数据库；存储模块，用于在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存，并在所述客户机运行过程中将所述标记数据进行实时更新，同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。所述新云数据安全标记的格式为Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets)，其中LabelIdentifier为标记标识符：用于标识所述新云数据安全标记，其值唯一不重复；PolicyIdentifier为标记策略标识符：用于标识与所述新云数据安全标记相关的安全策略；Classification为标记等级：用于描述数据的敏感程度，标记等级的取值为整数；Categories为标记类型：用于进一步细化数据的敏感程度，标记类型指定了所述新云数据安全标记对应的安全策略；PrivacyMark为标记标识：用于对所述新云数据安全标记进行补充说明，标记标识取值为字符串；TagSets为标签集：描述同一种安全属性相关信息的多个安全标签组成一个TagSet。所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份；所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的本文档来自技高网...

【技术保护点】
一种云计算数据安全标记管理方法，其特征在于，包括：步骤1，设置所述云数据安全标记的格式，生成新云数据安全标记，将所述新云数据安全标记分别存入客户机数据库与服务器数据库；步骤2，在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存，并在所述客户机运行过程中将所述标记数据进行实时更新，同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。

【技术特征摘要】
1.一种云计算数据安全标记管理方法，其特征在于，包括：步骤1，设置所述云数据安全标记的格式，生成新云数据安全标记，将所述新云数据安全标记分别存入客户机数据库与服务器数据库；步骤2，在所述客户机启动时将包括所述新云数据安全标记的客户机标记数据加载到内存，并在所述客户机运行过程中将所述标记数据进行实时更新，同时将包括所述新云数据安全标记的服务器标记数据更新在服务器的数据库中。2.如权利要求1所述的元计算安全标记管理方法，其特征在于，所述新云数据安全标记的格式为Label(labelIdentifier,policyIdentifier,classification,categories,privacyMark,tagSets)，其中LabelIdentifier为标记标识符：用于标识所述新云数据安全标记，其值唯一不重复；PolicyIdentifier为标记策略标识符：用于标识与所述新云数据安全标记相关的安全策略；Classification为标记等级：用于描述数据的敏感程度，标记等级的取值为整数；Categories为标记类型：用于进一步细化数据的敏感程度，标记类型指定了所述新云数据安全标记对应的安全策略；PrivacyMark为标记标识：用于对所述新云数据安全标记进行补充说明，标记标识取值为字符串；TagSets为标签集：描述同一种安全属性相关信息的多个安全标签组成一个TagSet。3.如权利要求1所述的云计算数据安全标记管理方法，其特征在于，所述客户机标记数据包括所述客户机的所述新云数据安全标记、所述客户机的所述新云数据安全标记相关联的数据、所述客户机的缓存数据、所述本客户机的环境数据与云计算平台的环境数据的备份；所述服务器标记数据包括每个所述客户机的所述新云数据安全标记的备份、每个所述客户机的所述新云数据安全标记相关联的数据的备份、每个所述客户机缓存数据的备份、每个所述客户机环境数据的备份以及云计算平台的环境数据。4.如权利要求1所述的云计算数据安全标记管理方法，其特征在于，还包括服务器创建所述新云数据安全标记，并保证LabelIdentifier的唯一性，同时完成所述新云数据安全标记的初始化操作。5.如权利要求1所述的云计算数据安全标记管理方法，其特征在于，还包括在所述客户机的数据块中创建缓存标记表，所述缓存标记表保存一定数量的预申请的标记数据，当所述缓存标记表中的标记数据少于一定数量时，向标记服务器申请一定数量的所述新云数据安全标记，以保证缓存标记表中的标记数据满足所述客户机的标记创建要求，其中每个所述客户机的所述缓存标记表存储在ClientDB中，动态运行时加载到内存中，并实时更新所述客户机的数据库。在接收到创建所述新云数据安全标记的请求后，从所述缓存标记表中取出从服务器预先申请的所述新云数据安全标记，然后创建所述新云数据安全标记并作为结果返回，同时将所述新云数据安全标记标记的创建信息同步到ClientDB与ServerDB。6.一种...

【专利技术属性】
技术研发人员：金舒原，郭小兵，何晓位，王燕霞，
申请(专利权)人：中国科学院计算技术研究所，
类型：发明
国别省市：北京;11