本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體地，涉及一種安全增強(qiáng)的數(shù)據(jù)備份與恢復(fù)系統(tǒng)。

背景技術(shù)：

對于涉密信息系統(tǒng)，國家標(biāo)準(zhǔn)將備份與恢復(fù)納入了運(yùn)行安全的范疇，但是國家相關(guān)的保密標(biāo)準(zhǔn)對如何備份、備份數(shù)據(jù)在備份系統(tǒng)中如何存儲(chǔ)、備份數(shù)據(jù)如何還原等沒有明確的要求。由于常規(guī)備份系統(tǒng)只看重?cái)?shù)據(jù)的可用性和完整性，缺乏對數(shù)據(jù)保密性的防護(hù)措施，數(shù)據(jù)的備份和還原操作沒有控制措施，備份系統(tǒng)的各管理員沒有強(qiáng)制權(quán)限劃分和權(quán)限制約，因此，在涉密系統(tǒng)中被層層保護(hù)的數(shù)據(jù)一旦備份到備份系統(tǒng)中，就存在被非法訪問、非法還原的風(fēng)險(xiǎn)。

在這種情況下，若只是建立備份和恢復(fù)策略及預(yù)案，通過管理手段實(shí)現(xiàn)對備份數(shù)據(jù)的保護(hù)和備份、恢復(fù)操作的控制，很明顯，是遠(yuǎn)遠(yuǎn)不夠的。本發(fā)明解決常規(guī)備份與恢復(fù)系統(tǒng)安全性方面的不足，滿足涉密單位高安全性需求的安全、易用的備份與恢復(fù)系統(tǒng)。

目前市場上有一些比較成熟的備份恢復(fù)產(chǎn)品，但無論是國內(nèi)產(chǎn)品還是國外產(chǎn)品，往往只注重功能的多樣性、性能的高效性和產(chǎn)品的穩(wěn)定性，對產(chǎn)品的安全性考慮很少，例如身份認(rèn)證采用用戶名密碼方式；對用戶沒有互相制約的權(quán)限管控，導(dǎo)致潛在超級(jí)用戶的存在；備份恢復(fù)任務(wù)與用戶信息關(guān)聯(lián)性弱，導(dǎo)致合法用戶可以備份或恢復(fù)其他用戶的數(shù)據(jù)；數(shù)據(jù)存儲(chǔ)不安全，沒有對備份數(shù)據(jù)進(jìn)行數(shù)據(jù)保護(hù)，沒有數(shù)據(jù)完整性校驗(yàn)；備份或恢復(fù)操作直接由操作員發(fā)起，沒有任何的審批流程等。

由此可見，現(xiàn)有備份恢復(fù)產(chǎn)品在安全性方面考慮不足給涉密信息系統(tǒng)的備份與恢復(fù)帶來很多安全問題，無法滿足涉密信息系統(tǒng)的實(shí)際使用需求。

綜上所述，本申請發(fā)明人在實(shí)現(xiàn)本申請發(fā)明技術(shù)方案的過程中，發(fā)現(xiàn)上述技術(shù)至少存在如下技術(shù)問題：

在現(xiàn)有技術(shù)中，現(xiàn)有的數(shù)據(jù)備份恢復(fù)系統(tǒng)存在安全性較差的技術(shù)問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供了一種安全增強(qiáng)的數(shù)據(jù)備份與恢復(fù)系統(tǒng)，解決了現(xiàn)有的數(shù)據(jù)備份恢復(fù)系統(tǒng)存在安全性較差的技術(shù)問題，實(shí)現(xiàn)了系統(tǒng)設(shè)計(jì)合理，安全性較高，確保備份數(shù)據(jù)的保密性，以及備份與恢復(fù)操作的安全可控的技術(shù)效果。

為解決上述技術(shù)問題，本申請?zhí)峁┝艘环N安全增強(qiáng)的數(shù)據(jù)備份與恢復(fù)系統(tǒng)，所述系統(tǒng)包括：

安全基礎(chǔ)平臺(tái)、管理控制臺(tái)、通信模塊、任務(wù)管理模塊、數(shù)據(jù)備份模塊、數(shù)據(jù)恢復(fù)模塊、備份組件；其中，管理控制臺(tái)通過通信模塊與任務(wù)管理模塊建立連接，通過任務(wù)管理模塊創(chuàng)建數(shù)據(jù)備份或恢復(fù)任務(wù)；通過數(shù)據(jù)備份模塊或數(shù)據(jù)恢復(fù)模塊與備份組件建立連接，進(jìn)行數(shù)據(jù)備份或恢復(fù)；所述安全基礎(chǔ)平臺(tái)用于對系統(tǒng)用戶進(jìn)行身份認(rèn)證、對系統(tǒng)賬戶進(jìn)行安全管理、對用戶操作進(jìn)行安全管理、對數(shù)據(jù)備份或恢復(fù)任務(wù)執(zhí)行進(jìn)行安全控制、對系統(tǒng)進(jìn)行安全審計(jì)。

其中，本系統(tǒng)中的管理控制臺(tái)、通信模塊、任務(wù)管理模塊、數(shù)據(jù)備份模塊、數(shù)據(jù)恢復(fù)模塊、備份組件用于實(shí)現(xiàn)數(shù)據(jù)備份與恢復(fù)操作功能，安全基礎(chǔ)平用于保障系統(tǒng)的安全性。

本系統(tǒng)是一種滿足高保密、高安全應(yīng)用需求的備份與恢復(fù)系統(tǒng)，包括了安全基礎(chǔ)平臺(tái)、各種備份組件和管理控制臺(tái)，所述的安全基礎(chǔ)平臺(tái)包括了身份認(rèn)證、用戶操作安全控制、任務(wù)執(zhí)行安全控制、安全審計(jì)等安全功能，在確保系統(tǒng)具有開放性、可管理性、高性能、對生產(chǎn)系統(tǒng)影響小以及數(shù)據(jù)可恢復(fù)性的基礎(chǔ)上，避免了通用備份產(chǎn)品存在的安全隱患，確保備份數(shù)據(jù)的保密性以及備份與恢復(fù)操作的安全可控。

進(jìn)一步的，所述安全基礎(chǔ)平臺(tái)包括：身份認(rèn)證模塊、訪問控制模塊、安全審計(jì)模塊；其中：

身份認(rèn)證模塊：用于進(jìn)行基于數(shù)字證書的USB KEY用戶身份認(rèn)證；用于完成備份恢復(fù)目標(biāo)機(jī)的身份驗(yàn)證；用于備份服務(wù)器身份驗(yàn)證；

訪問控制模塊：用于對系統(tǒng)的用戶角色進(jìn)行劃分，不同的角色設(shè)置不同的權(quán)限；

安全審計(jì)模塊：用于查看系統(tǒng)管理員和安全管理員的所有行為日志；對于操作員的行為審計(jì)，由系統(tǒng)管理員來執(zhí)行；系統(tǒng)后臺(tái)的日志由系統(tǒng)管理員來查看。

進(jìn)一步的，所述訪問控制模塊具體用于：

將用戶劃分為管理用戶和操作員，管理用戶包括：系統(tǒng)管理員、安全管理員和安全審計(jì)員；

系統(tǒng)管理員創(chuàng)建部門、用戶，創(chuàng)建的用戶賬號(hào)經(jīng)過安全管理員審批后生效使用，劃分存儲(chǔ)空間，設(shè)置策略模板，查看操作員的任務(wù)執(zhí)行情況；

安全管理員對系統(tǒng)管理員的用戶創(chuàng)建、操作員的客戶端綁定請求、操作員的備份恢復(fù)任務(wù)創(chuàng)建行為進(jìn)行審批；

安全審計(jì)員審計(jì)系統(tǒng)管理員和安全管理員的操作行為；

操作員提交自己的用戶帳戶與目標(biāo)計(jì)算機(jī)的綁定請求，安全管理員進(jìn)行審批；

操作員創(chuàng)建備份恢復(fù)任務(wù)并提交安全管理員進(jìn)行審批。

進(jìn)一步的，安全基礎(chǔ)平臺(tái)對審批信息進(jìn)行簽名驗(yàn)證的具體過程為：

客戶端發(fā)送審批信息簽名驗(yàn)證請求；

備份服務(wù)器根據(jù)審批信息中的UUID到數(shù)據(jù)庫中查詢相關(guān)信息；

數(shù)據(jù)庫返回審批信息、用戶的證書序列號(hào)和審批信息的簽名值；

備份服務(wù)器向LDAP服務(wù)器提交用戶的證書序列號(hào)，查詢用戶的相關(guān)信息；

LDAP服務(wù)器返回用戶的公鑰信息到備份服務(wù)器；

備份服務(wù)器將用戶的公鑰信息、當(dāng)前的審批信息以及該審批信息的簽名值提交給安全網(wǎng)關(guān)；

安全網(wǎng)關(guān)對當(dāng)前任務(wù)的審批信息進(jìn)行簽名驗(yàn)證，并返回驗(yàn)證結(jié)果；

備份服務(wù)器根據(jù)安全網(wǎng)關(guān)的驗(yàn)證結(jié)果進(jìn)行判定，若簽名驗(yàn)證通過，再將當(dāng)前用戶信息、目標(biāo)機(jī)的指紋信息、UUID和審批信息中的相關(guān)信息進(jìn)行比較，若信息一致，則簽名驗(yàn)證通過。

進(jìn)一步的，日志審計(jì)包括：日志級(jí)別定義、日志過濾及檢索條件定義、報(bào)表分析、報(bào)表導(dǎo)出、日志上傳。

進(jìn)一步的，日志級(jí)別定義為四個(gè)等級(jí)，分別為：提示、普通、重要及警告；提示級(jí)別的日志記錄日常程序日志和系統(tǒng)日志，由系統(tǒng)管理員查看；普通級(jí)別的日志記錄操作員執(zhí)行任務(wù)的結(jié)果；重要級(jí)別的日志記錄對系統(tǒng)數(shù)據(jù)安全有影響的操作，該級(jí)別日志由安全審計(jì)員查看；警告級(jí)別日志記錄用戶違反操作規(guī)則或者造成了系統(tǒng)不安全的行為，該級(jí)別由安全審計(jì)員查看。

進(jìn)一步的，所述備份組件包括：

文件的備份與恢復(fù)模塊：用于文件的備份與恢復(fù)，包括：文件的完全備份、增量備份以及差異備份；本機(jī)或異機(jī)恢復(fù)、原路徑或指定路徑恢復(fù)；

數(shù)據(jù)庫備份與恢復(fù)模塊：用于數(shù)據(jù)庫備份與恢復(fù)；

操作系統(tǒng)備份與恢復(fù)模塊：用于操作系統(tǒng)備份與恢復(fù)；

虛擬機(jī)備份與恢復(fù)模塊：用于虛擬機(jī)備份與恢復(fù)。

進(jìn)一步的，所述文件的備份與恢復(fù)模塊包括：服務(wù)端、客戶端和WEB平臺(tái)；Web平臺(tái)統(tǒng)一管理服務(wù)端和分配客服端用戶存儲(chǔ)容量；服務(wù)端通過Web界面來進(jìn)行管理和分配客戶端用戶存儲(chǔ)容量，客戶端通過Web界面為用戶提供操作。

進(jìn)一步的，所述虛擬機(jī)備份與恢復(fù)模塊具體用于：

對虛擬宿主機(jī)進(jìn)行虛擬機(jī)掃描，自動(dòng)發(fā)現(xiàn)虛擬機(jī)并生成虛擬機(jī)列表；

實(shí)現(xiàn)虛擬機(jī)的整機(jī)備份和增量備份，并根據(jù)設(shè)定的閾值進(jìn)行自動(dòng)合并；

進(jìn)行虛擬機(jī)本宿主機(jī)恢復(fù)、跨宿主機(jī)恢復(fù)；

進(jìn)行虛擬機(jī)文件級(jí)備份與恢復(fù)。

進(jìn)一步的，虛擬機(jī)備份與恢復(fù)模塊包括：WEB控制臺(tái)、備份恢復(fù)服務(wù)器端；用戶通過WEB控制臺(tái)查看虛擬化中心、宿主機(jī)、客戶機(jī)信息，配置備份恢復(fù)任務(wù)，監(jiān)控備份恢復(fù)任務(wù)執(zhí)行進(jìn)度、結(jié)果；備份恢復(fù)服務(wù)器端提供數(shù)據(jù)庫、WEB服務(wù)器、日志審計(jì)、任務(wù)狀態(tài)配置和狀態(tài)管理功能。

本申請?zhí)峁┑囊粋€(gè)或多個(gè)技術(shù)方案，至少具有如下技術(shù)效果或優(yōu)點(diǎn)：

針對備份與恢復(fù)操作全過程設(shè)計(jì)的安全增強(qiáng)模型及安全增強(qiáng)基礎(chǔ)平臺(tái)，在安全增強(qiáng)平臺(tái)之上構(gòu)建備份與恢復(fù)功能，可以避免通用備份產(chǎn)品存在的安全隱患，確保備份數(shù)據(jù)的保密性以及備份與恢復(fù)操作的安全可控。

附圖說明

此處所說明的附圖用來提供對本發(fā)明實(shí)施例的進(jìn)一步理解，構(gòu)成本申請的一部分，并不構(gòu)成對本發(fā)明實(shí)施例的限定；

圖1是本申請中安全增強(qiáng)的數(shù)據(jù)備份與恢復(fù)系統(tǒng)的架構(gòu)示意圖；

圖2是本申請中系統(tǒng)安全模型示意圖；

圖3是本申請中基于數(shù)字證書的USB KEY身份認(rèn)證示意圖；

圖4是本申請中備份服務(wù)器身份認(rèn)證流程示意圖；

圖5是本申請中數(shù)字簽名技術(shù)實(shí)現(xiàn)原理示意圖；

圖6是本申請中簽名驗(yàn)證原理示意圖；

圖7是本申請中文件備份模塊組成示意圖；

圖8是本申請中數(shù)據(jù)庫備份恢復(fù)功能模塊示意圖；

圖9是本申請中操作系統(tǒng)備份模塊結(jié)構(gòu)示意圖；

圖10是本申請中虛擬機(jī)備份恢復(fù)功能模塊示意圖。

具體實(shí)施方式

本發(fā)明提供了一種安全增強(qiáng)的數(shù)據(jù)備份與恢復(fù)系統(tǒng)，解決了現(xiàn)有的數(shù)據(jù)備份恢復(fù)系統(tǒng)存在安全性較差的技術(shù)問題，實(shí)現(xiàn)了系統(tǒng)設(shè)計(jì)合理，安全性較高，確保備份數(shù)據(jù)的保密性，以及備份與恢復(fù)操作的安全可控的技術(shù)效果。

為了能夠更清楚地理解本發(fā)明的上述目的、特征和優(yōu)點(diǎn)，下面結(jié)合附圖和具體實(shí)施方式對本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)描述。需要說明的是，在相互不沖突的情況下，本申請的實(shí)施例及實(shí)施例中的特征可以相互組合。

在下面的描述中闡述了很多具體細(xì)節(jié)以便于充分理解本發(fā)明，但是，本發(fā)明還可以采用其他不同于在此描述范圍內(nèi)的其他方式來實(shí)施，因此，本發(fā)明的保護(hù)范圍并不受下面公開的具體實(shí)施例的限制。

實(shí)施例一：

系統(tǒng)的架構(gòu)如圖1所示，主要由安全增強(qiáng)基礎(chǔ)平臺(tái)、各種備份組件和管理控制臺(tái)組成。安全增強(qiáng)基礎(chǔ)平臺(tái)主要實(shí)現(xiàn)用戶身份認(rèn)證、用戶管理、操作流程發(fā)起和審批、日志審計(jì)以及其它管理功能。在安全增強(qiáng)平臺(tái)之上，集成文件、數(shù)據(jù)庫、操作系統(tǒng)以及虛擬機(jī)的備份與恢復(fù)組件，并通過基于Web的管理控制臺(tái)完成備份任務(wù)的創(chuàng)建和操作。

1、安全模型設(shè)計(jì)

實(shí)現(xiàn)一個(gè)完整的備份或恢復(fù)操作，分為兩個(gè)階段，第一階段是合法用戶依據(jù)授權(quán)創(chuàng)建備份或恢復(fù)任務(wù)，第二階段是備份或恢復(fù)任務(wù)經(jīng)審批后在后臺(tái)的執(zhí)行階段。針對這兩個(gè)階段，從用戶操作安全和任務(wù)執(zhí)行安全兩個(gè)角度建立安全模型，安全模型如圖2所示。

(1)用戶操作安全模型

用戶操作安全模型用來保障用戶操作過程的安全，禁止非法用戶登錄，防止合法用戶越權(quán)操作，確保用戶操作行為可審計(jì)、可追溯，通過用戶登錄驗(yàn)證、登錄后的權(quán)限控制、合法權(quán)限下的操作審批、所有行為的事后審計(jì)四個(gè)環(huán)節(jié)建立用戶操作安全模型，具體內(nèi)容如下所示：

a)身份認(rèn)證：實(shí)現(xiàn)基于數(shù)字證書的USB KEY身份認(rèn)證和基于Windows域的集成身份認(rèn)證；

b)靜態(tài)授權(quán)：用戶劃分為管理員和操作員，管理員又分為系統(tǒng)管理員、安全管理員和安全審計(jì)員三個(gè)角色，各種角色之間的權(quán)限相互制約，管理員無權(quán)查看操作員具體的備份數(shù)據(jù)，操作員只能查看自己的備份信息；

c)動(dòng)態(tài)授權(quán)：系統(tǒng)管理員創(chuàng)建用戶賬號(hào)、操作員客戶端綁定、操作員創(chuàng)建備份與恢復(fù)任務(wù)等必須經(jīng)過安全管理員的審批；

d)安全審計(jì)：安全審計(jì)員對管理員的操作行為進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)違規(guī)操作并可事后追查，系統(tǒng)管理員對操作員的任務(wù)執(zhí)行情況進(jìn)行審計(jì)，出現(xiàn)問題時(shí)，可以根據(jù)日志追溯到問題源頭，幫助操作員及時(shí)發(fā)現(xiàn)問題、解決問題。

(2)任務(wù)執(zhí)行安全模型

任務(wù)執(zhí)行安全模型用來保護(hù)任務(wù)安全運(yùn)行，驗(yàn)證備份服務(wù)器和應(yīng)用服務(wù)器的合法性，防止備份數(shù)據(jù)在傳輸過程中被嗅探或篡改，保護(hù)備份數(shù)據(jù)的存儲(chǔ)安全等，主要包括以下幾個(gè)方面：

a)備份服務(wù)器的身份驗(yàn)證：在數(shù)據(jù)備份前，對備份服務(wù)器的合法性進(jìn)行認(rèn)證，防止數(shù)據(jù)備份到偽造的備份服務(wù)器上，造成數(shù)據(jù)泄露；

b)備份數(shù)據(jù)傳輸安全：在備份與恢復(fù)過程中，對傳輸數(shù)據(jù)進(jìn)行保護(hù)，防止數(shù)據(jù)在傳輸過程中被嗅探或篡改；

c)備份數(shù)據(jù)存儲(chǔ)安全：在備份過程中，對備份數(shù)據(jù)進(jìn)行存儲(chǔ)時(shí)，采取數(shù)據(jù)保護(hù)措施，確保數(shù)據(jù)即使被竊取也打不開；

d)備份數(shù)據(jù)防篡改：在恢復(fù)過程中，提取備份數(shù)據(jù)進(jìn)行恢復(fù)操作時(shí)，檢查備份數(shù)據(jù)在恢復(fù)時(shí)間點(diǎn)和備份完成時(shí)間點(diǎn)數(shù)據(jù)的特征值是否一致，確保恢復(fù)的可用性；

e)恢復(fù)目標(biāo)機(jī)身份驗(yàn)證：在恢復(fù)操作開始前，對恢復(fù)目標(biāo)機(jī)進(jìn)行合法性驗(yàn)證，確保是原機(jī)恢復(fù)或是可靠的異機(jī)恢復(fù)。

2、安全增強(qiáng)基礎(chǔ)平臺(tái)

安全增強(qiáng)基礎(chǔ)平臺(tái)是安全增強(qiáng)模型的具體實(shí)現(xiàn)，在這個(gè)平臺(tái)之上構(gòu)建各個(gè)備份與恢復(fù)功能模塊的組件，確保備份與恢復(fù)整個(gè)操作過程的安全可控。安全增強(qiáng)基礎(chǔ)平臺(tái)包括身份驗(yàn)證(用戶身份驗(yàn)證、目標(biāo)機(jī)身份驗(yàn)證、備份服務(wù)器身份驗(yàn)證)、授權(quán)管理(靜態(tài)授權(quán)和動(dòng)態(tài)授權(quán))、審批票據(jù)以及數(shù)據(jù)保護(hù)等模塊。

(1)身份認(rèn)證

基于數(shù)字證書的USB KEY用戶身份認(rèn)證

采用安全網(wǎng)關(guān)來實(shí)現(xiàn)簽名驗(yàn)證，將備份服務(wù)器部署在安全網(wǎng)關(guān)后面。用戶在客戶端插入U(xiǎn)SB Key，調(diào)用客戶端身份認(rèn)證ActiveX控件后，將身份認(rèn)證信息提交給安全認(rèn)證網(wǎng)關(guān)，安全認(rèn)證網(wǎng)關(guān)進(jìn)行用戶身份識(shí)別和驗(yàn)證，驗(yàn)證通過后將用戶的相關(guān)數(shù)據(jù)(Cookie)通過安全通道傳遞給備份與恢復(fù)系統(tǒng)使用。身份認(rèn)證的原理如圖3所示。

①備份目標(biāo)機(jī)身份驗(yàn)證

完成備份恢復(fù)目標(biāo)機(jī)的身份驗(yàn)證，涉及到三個(gè)階段：

a)目標(biāo)機(jī)在安裝安全基礎(chǔ)平臺(tái)代理的時(shí)候自動(dòng)生成機(jī)器指紋，生成的機(jī)器指紋和目標(biāo)計(jì)算機(jī)具有一一對應(yīng)的關(guān)系；

b)用戶創(chuàng)建備份恢復(fù)任務(wù)時(shí)，將備份恢復(fù)任務(wù)和機(jī)器指紋進(jìn)行綁定，任務(wù)審批通過后，將任務(wù)信息、機(jī)器指紋、審批信息生成一張審批票據(jù)并保存；

c)用戶啟動(dòng)備份恢復(fù)任務(wù)的時(shí)候，系統(tǒng)檢查目標(biāo)計(jì)算機(jī)的機(jī)器指紋是否和審批票據(jù)中的目標(biāo)計(jì)算機(jī)的機(jī)器指紋信息一致，如果檢查結(jié)果不一致，系統(tǒng)拒絕啟動(dòng)任務(wù)，并生成報(bào)警信息。

②備份服務(wù)器身份驗(yàn)證

備份目標(biāo)機(jī)第一次和備份服務(wù)器建立長連接時(shí)，上傳自己的機(jī)器指紋和公鑰信息，備份服務(wù)器接收到備份目標(biāo)機(jī)的機(jī)器指紋后，創(chuàng)建密碼因子，密碼因子由用戶身份信息、目標(biāo)機(jī)指紋信息、備份服務(wù)器指紋信息通過單向散列算法計(jì)算得到。

備份服務(wù)器用自己的私鑰，對該密碼因子進(jìn)行簽名，簽名完成后，將簽名信息以及自己的公鑰信息通過備份目標(biāo)機(jī)的公鑰進(jìn)行加密，加密后下發(fā)給備份目標(biāo)機(jī)，備份目標(biāo)機(jī)將接收到的信息在本地加密存儲(chǔ)。

以后備份目標(biāo)機(jī)每次和備份服務(wù)器建立連接時(shí)，會(huì)對備份服務(wù)器的身份進(jìn)行認(rèn)證，認(rèn)證流程如圖4所示。具體過程為：

a)備份目標(biāo)機(jī)和備份服務(wù)器建立長連接；

b)備份目標(biāo)機(jī)上傳自己的機(jī)器指紋和公鑰信息；

c)備份服務(wù)器接收到備份目標(biāo)機(jī)的機(jī)器指紋后，創(chuàng)建密碼因子，并用自己的私鑰對密碼因子進(jìn)行簽名；

d)備份服務(wù)器將簽名信息和自己的公鑰信息通過備份目標(biāo)機(jī)的公鑰進(jìn)行加密；

e)備份服務(wù)器將加密后的信息下發(fā)給備份目標(biāo)機(jī)；

f)備份目標(biāo)機(jī)接收到備份服務(wù)器下發(fā)的信息后，通過自己的私鑰解密信息，將解密后獲得的備份服務(wù)器簽名信息和第一次獲取的簽名信息進(jìn)行比對，驗(yàn)證密碼因子是否一致，如果一致，確認(rèn)備份服務(wù)器身份可靠，可以進(jìn)行后續(xù)操作。

(2)訪問控制

為了避免出現(xiàn)特權(quán)用戶以及濫用職權(quán)，系統(tǒng)按角色進(jìn)行授權(quán)。對用戶賬戶進(jìn)行劃分，分屬于不同的角色，不允許單個(gè)用戶擁有多個(gè)管理員角色。管理員的角色互相監(jiān)督、相互制約。操作員的行為嚴(yán)格受控，只能在與自己賬戶綁定的目標(biāo)機(jī)上操作，不得隨意創(chuàng)建備份與恢復(fù)任務(wù)。訪問控制模型主要體現(xiàn)在以下幾個(gè)方面：

a)用戶劃分為管理用戶(系統(tǒng)管理員、安全管理員和安全審計(jì)員)和操作員；

b)系統(tǒng)管理員創(chuàng)建部門、用戶，創(chuàng)建的用戶賬號(hào)經(jīng)過安全管理員的審批后才能生效使用，劃分存儲(chǔ)空間，設(shè)置策略模板等，查看操作員的任務(wù)執(zhí)行情況；

c)安全管理員對三個(gè)行為進(jìn)行審批(系統(tǒng)管理員的用戶創(chuàng)建、操作員的客戶端綁定請求、操作員的備份恢復(fù)任務(wù)創(chuàng)建)；

d)安全審計(jì)員審計(jì)系統(tǒng)管理員和安全管理員的操作行為；

e)操作員提交自己的用戶帳戶與目標(biāo)計(jì)算機(jī)的綁定請求，安全管理員進(jìn)行審批，審批通過后操作員才能操作目標(biāo)計(jì)算機(jī)；

f)操作員創(chuàng)建備份恢復(fù)任務(wù)并提交安全管理員進(jìn)行審批，審批通過后操作員才能執(zhí)行相應(yīng)的備份恢復(fù)任務(wù)。

三種類別的操作需要安全管理員進(jìn)行審批后才能執(zhí)行，這三種類別的操作分別為：系統(tǒng)管理員創(chuàng)建用戶、用戶和目標(biāo)計(jì)算機(jī)的綁定、操作員創(chuàng)建備份與恢復(fù)任務(wù)。為確保審批的有效性和不可抵賴性，對這三種類別操作的審批信息采用基于PKI的數(shù)字簽名技術(shù)鑒定審批信息來源于某個(gè)特定的實(shí)體。

系統(tǒng)管理員創(chuàng)建用戶時(shí)，后臺(tái)自動(dòng)生成審批流程，并將流程推送給安全管理員。安全管理員對系統(tǒng)管理員創(chuàng)建的用戶信息進(jìn)行審批，插入自己的USB KEY，對審批信息進(jìn)行簽名。

用戶在客戶端安裝備份代理時(shí)，輸入用戶賬號(hào)和備份恢復(fù)目標(biāo)機(jī)名，代理將備份恢復(fù)目標(biāo)機(jī)的相關(guān)信息生成指紋信息，并將用戶賬號(hào)和目標(biāo)計(jì)算機(jī)的機(jī)器指紋等信息上傳給備份服務(wù)器。備份服務(wù)器接收后，在后臺(tái)自動(dòng)生成審批流程。安全管理員對用戶和目標(biāo)計(jì)算機(jī)的綁定情況進(jìn)行審批，并對審批信息進(jìn)行簽名。

用戶創(chuàng)建備份和恢復(fù)任務(wù)后，將備份和恢復(fù)任務(wù)提交給安全管理員進(jìn)行審批，審批信息中包含了用戶信息、備份恢復(fù)目標(biāo)機(jī)機(jī)器指紋、備份恢復(fù)任務(wù)UUID等。安全管理員對用戶創(chuàng)建的備份恢復(fù)任務(wù)進(jìn)行審批，并對審批信息進(jìn)行簽名。

安全管理員對審批信息簽名后，提交審批結(jié)果，系統(tǒng)將簽名信息保存在數(shù)據(jù)庫中。數(shù)字簽名技術(shù)實(shí)現(xiàn)的原理如圖5所示。

當(dāng)新創(chuàng)建的用戶啟用時(shí)、新加入的目標(biāo)機(jī)使用時(shí)以及用戶啟動(dòng)備份或恢復(fù)任務(wù)時(shí)，系統(tǒng)后臺(tái)自動(dòng)對相應(yīng)的審批信息進(jìn)行簽名驗(yàn)證，確保審批信息的完整性驗(yàn)證通過后，將審批信息中的相關(guān)信息(包括用戶身份信息、機(jī)器指紋信息、UUID和審批結(jié)果等等)和實(shí)際操作的內(nèi)容進(jìn)行比較，如果有一項(xiàng)不一致，系統(tǒng)拒絕用戶啟用、目標(biāo)機(jī)加入和任務(wù)啟動(dòng)，并生成報(bào)警信息，審批信息簽名驗(yàn)證原理如圖6所示，具體實(shí)現(xiàn)過程如下所示：

a)客戶端發(fā)送審批信息簽名驗(yàn)證請求；

b)備份服務(wù)器根據(jù)審批信息中的UUID到數(shù)據(jù)庫中查詢相關(guān)信息；

c)數(shù)據(jù)庫返回審批信息、用戶的證書序列號(hào)和審批信息的簽名值；

d)備份服務(wù)器向LDAP服務(wù)器提交用戶的證書序列號(hào)，查詢用戶的相關(guān)信息；

e)LDAP服務(wù)器返回用戶的公鑰信息到備份服務(wù)器；

f)備份服務(wù)器將用戶的公鑰信息、當(dāng)前的審批信息以及該審批信息的簽名值提交給安全網(wǎng)關(guān)；

g)安全網(wǎng)關(guān)對當(dāng)前任務(wù)的審批信息進(jìn)行簽名驗(yàn)證，并返回驗(yàn)證結(jié)果；

h)備份服務(wù)器根據(jù)安全網(wǎng)關(guān)的驗(yàn)證結(jié)果進(jìn)行判定，如果簽名驗(yàn)證通過，再將當(dāng)前用戶信息、目標(biāo)機(jī)的指紋信息、UUID和審批信息中的相關(guān)信息進(jìn)行比較，如果信息一致，則簽名驗(yàn)證通過，可以執(zhí)行后續(xù)操作。

(3)安全審計(jì)

為約束系統(tǒng)管理員和安全管理員的行為，安全審計(jì)員可查看這兩員的所有行為日志；對于操作員的行為審計(jì)，由系統(tǒng)管理員來執(zhí)行，可以更準(zhǔn)確的幫助用戶分析任務(wù)的執(zhí)行情況、備份數(shù)據(jù)需要的空間、存儲(chǔ)的位置等，指導(dǎo)用戶備份與恢復(fù)的操作；系統(tǒng)后臺(tái)的日志由系統(tǒng)管理員來查看，才能分析出服務(wù)器、存儲(chǔ)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)問題、優(yōu)化性能。

日志審計(jì)的核心功能模塊主要包括日志級(jí)別定義、日志過濾及檢索條件定義、報(bào)表分析、報(bào)表導(dǎo)出以及日志上傳等。

日志級(jí)別定義為四個(gè)等級(jí)，分別是提示、普通、重要及警告。提示級(jí)別的日志記錄一些簡單的程序日志和系統(tǒng)日志，包括備份服務(wù)器開關(guān)機(jī)、備份存儲(chǔ)空間變化、存儲(chǔ)設(shè)備空間不足等提示信息，一般由系統(tǒng)管理員查看等；普通級(jí)別的日志記錄操作員執(zhí)行任務(wù)的結(jié)果，即業(yè)務(wù)日志，如備份恢復(fù)任務(wù)啟停、任務(wù)執(zhí)行成功、失敗等，一般由操作員和系統(tǒng)管理員查看等；重要級(jí)別的日志記錄對系統(tǒng)數(shù)據(jù)安全有影響的操作，如用戶登錄系統(tǒng)、進(jìn)行數(shù)據(jù)備份恢復(fù)、安全管理員的審批行為等，該級(jí)別日志由安全審計(jì)員審計(jì)；警告級(jí)別日志記錄用戶違反操作規(guī)則或者造成了系統(tǒng)不安全的行為，如多次嘗試密碼、攻擊備份系統(tǒng)等，該級(jí)別由安全審計(jì)員查看。

日志過濾及檢索條件定義可以根據(jù)用戶角色和級(jí)別實(shí)現(xiàn)自動(dòng)過濾，減少用戶尤其是審計(jì)員的負(fù)擔(dān)；也可以根據(jù)一個(gè)或多個(gè)條件，例如日志類型、操作類型、操作用戶、操作結(jié)果、操作時(shí)間等快速檢索相關(guān)日志。

報(bào)表分析按條件進(jìn)行審計(jì)內(nèi)容匯總，匯總內(nèi)容可以打印，也可以導(dǎo)出，方便事后追溯及存檔。

日志記錄支持syslog協(xié)議，系統(tǒng)可將日志信息傳送到綜合日志審計(jì)系統(tǒng)進(jìn)行統(tǒng)一存儲(chǔ)和分析，傳送內(nèi)容信息為[Module][LogID][Type][User]{Message}。

備份與恢復(fù)功能

(1)文件備份與恢復(fù)

文件備份與恢復(fù)實(shí)現(xiàn)以下功能：

a)支持任意文件/目錄(包括隱藏文件及文件夾、系統(tǒng)文件夾、空文件及空文件夾名稱超長的文件及文件夾、以字符命名的文件及文件夾等)的備份與恢復(fù))；

b)實(shí)現(xiàn)文件的完全備份、增量備份以及差異備份；

c)實(shí)現(xiàn)打開文件備份；

d)實(shí)現(xiàn)本機(jī)/異機(jī)恢復(fù)、原路徑/指定路徑恢復(fù)。

文件備份模塊由服務(wù)端、客戶端和WEB平臺(tái)組成。Web平臺(tái)統(tǒng)一管理服務(wù)端和分配客服端用戶存儲(chǔ)容量。服務(wù)端可以通過Web界面來進(jìn)行管理和分配客戶端用戶存儲(chǔ)容量，客戶端通過基于Flex技術(shù)的類Web界面為用戶提供操作的便利。文件備份組件的模塊結(jié)構(gòu)如圖7所示。

(2)數(shù)據(jù)庫備份與恢復(fù)

數(shù)據(jù)庫備份與恢復(fù)實(shí)現(xiàn)以下功能：

a)支持不同操作系統(tǒng)平臺(tái)下的數(shù)據(jù)庫備份與恢復(fù)，包括Windows、Linux、Unix以及中標(biāo)麒麟等操作系統(tǒng)；

b)支持多種數(shù)據(jù)庫的備份與恢復(fù)，包括Oracle、SQL Server、MySQL以及達(dá)夢數(shù)據(jù)庫等；

c)支持同一數(shù)據(jù)庫不同版本的備份與恢復(fù)；

d)支持?jǐn)?shù)據(jù)庫不同數(shù)據(jù)文件類型的備份，包括配置文件、控制文件、數(shù)據(jù)文件、日志文件等；

e)支持多種備份方式，包括全備份、增量備份、累積增量備份等；

f)支持多種恢復(fù)方式，包括完全恢復(fù)、不完全恢復(fù)、基于時(shí)間點(diǎn)的恢復(fù)、基于日志序列號(hào)的恢復(fù)、災(zāi)難恢復(fù)、本機(jī)恢復(fù)、異機(jī)恢復(fù)等；

g)支持?jǐn)?shù)據(jù)庫在線備份，且不影響業(yè)務(wù)系統(tǒng)的運(yùn)行；

h)實(shí)現(xiàn)Oracle的logminer功能直觀顯示，方便用戶盡快找到恢復(fù)點(diǎn)。

數(shù)據(jù)庫備份與恢復(fù)的模塊包括三部分：WEB管理控制臺(tái)、客戶端數(shù)據(jù)庫備份與恢復(fù)代理以及備份服務(wù)器端功能模塊，模塊結(jié)構(gòu)如圖8所示。

WEB管理控制臺(tái)提供給用戶簡單的圖形化界面操作，其中包括數(shù)據(jù)庫的掃描與注冊、創(chuàng)建數(shù)據(jù)庫備份與恢復(fù)任務(wù)，展示監(jiān)控任務(wù)流量、任務(wù)進(jìn)度、任務(wù)其他詳情等?？蛻舳藗浞菖c恢復(fù)代理解析數(shù)據(jù)庫備份與恢復(fù)語句、調(diào)用數(shù)據(jù)庫的相關(guān)接口等。備份服務(wù)器端模塊主要包括備份信息的記錄、備份集文件的存儲(chǔ)、日志詳情、數(shù)據(jù)庫操作、授權(quán)管理、任務(wù)狀態(tài)管理等功能集合。

(3)操作系統(tǒng)備份與恢復(fù)

操作系統(tǒng)備份與恢復(fù)實(shí)現(xiàn)以下功能：

a)操作系統(tǒng)實(shí)現(xiàn)Windows、Linux、Unix等的完全備份、增量備份；

b)操作系統(tǒng)恢復(fù)實(shí)現(xiàn)本機(jī)恢復(fù)、異機(jī)恢復(fù)以及大規(guī)模快速部署等恢復(fù)；

c)實(shí)現(xiàn)P2P、P2V以及V2V等操作系統(tǒng)恢復(fù)。

操作系統(tǒng)備份的模塊包括三部分：WEB管理控制臺(tái)、客戶端操作系統(tǒng)備份代理以及備份服務(wù)器端功能模塊，模塊結(jié)構(gòu)如圖9所示。

WEB管理控制臺(tái)提供給用戶簡單的圖形化界面操作，其中包括操作系統(tǒng)的掃描與注冊、創(chuàng)建操作系統(tǒng)備份與恢復(fù)任務(wù)，展示監(jiān)控任務(wù)流量、任務(wù)進(jìn)度、任務(wù)其他詳情等?？蛻舳瞬僮飨到y(tǒng)備份代理提供用戶主機(jī)操作系統(tǒng)信息的索引結(jié)構(gòu)、掃描分區(qū)目錄詳情、管理卷快照、磁盤級(jí)IO操作、安全網(wǎng)絡(luò)鏈路的數(shù)據(jù)傳輸、恢復(fù)鏡像的引導(dǎo)與加載等。備份服務(wù)器端模塊主要包括備份信息的記錄、備份集文件的存儲(chǔ)、日志詳情、數(shù)據(jù)庫操作、授權(quán)管理、任務(wù)狀態(tài)管理等功能集合。

(4)虛擬機(jī)備份與恢復(fù)

虛擬機(jī)備份與恢復(fù)實(shí)現(xiàn)以下功能：

a)對虛擬宿主機(jī)進(jìn)行虛擬機(jī)掃描，自動(dòng)發(fā)現(xiàn)虛擬機(jī)并生成虛擬機(jī)列表；

b)實(shí)現(xiàn)虛擬機(jī)的整機(jī)備份和增量備份，并根據(jù)設(shè)定的閾值進(jìn)行自動(dòng)合并；

c)支持虛擬機(jī)本宿主機(jī)恢復(fù)、跨宿主機(jī)恢復(fù)；

d)支持虛擬機(jī)文件級(jí)備份與恢復(fù)。

虛擬機(jī)備份的模塊結(jié)構(gòu)包括兩部分，一是WEB控制臺(tái)，二是備份恢復(fù)服務(wù)器端。用戶通過WEB控制臺(tái)查看虛擬化中心、宿主機(jī)、客戶機(jī)信息，配置備份恢復(fù)任務(wù)，監(jiān)控備份恢復(fù)任務(wù)執(zhí)行進(jìn)度、結(jié)果等。服務(wù)端模塊提供數(shù)據(jù)庫、WEB服務(wù)器、日志審計(jì)、任務(wù)狀態(tài)配置和狀態(tài)管理等功能。備份代理模塊部署在備份服務(wù)端，通過網(wǎng)絡(luò)通信接口提供虛擬化中心連接、宿主機(jī)客戶機(jī)信息掃描、備份存儲(chǔ)設(shè)備設(shè)置與管理、虛擬機(jī)備份及恢復(fù)等操作。虛擬機(jī)備份恢復(fù)的功能模塊如圖10所示。

本申請?zhí)峁┑囊粋€(gè)或多個(gè)技術(shù)方案，至少具有如下技術(shù)效果或優(yōu)點(diǎn)：

針對備份與恢復(fù)操作全過程設(shè)計(jì)的安全增強(qiáng)模型及安全增強(qiáng)基礎(chǔ)平臺(tái)，在安全增強(qiáng)平臺(tái)之上構(gòu)建備份與恢復(fù)功能，可以避免通用備份產(chǎn)品存在的安全隱患，確保備份數(shù)據(jù)的保密性以及備份與恢復(fù)操作的安全可控。

盡管已描述了本發(fā)明的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對這些實(shí)施例作出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。