本發(fā)明涉及數(shù)據(jù)處理�,更具體的說是涉及一種基于默克爾樹的數(shù)據(jù)增量備份還原方法與系統(tǒng)����。
背景技術(shù):
1�����、隨著信息技術(shù)的快速發(fā)展�����,政府機構(gòu)����、金融行業(yè)����、醫(yī)療行業(yè)以及云計算與大數(shù)據(jù)領(lǐng)域的數(shù)據(jù)安全問題日益凸顯。各行業(yè)對數(shù)據(jù)的安全性����、完整性和可恢復性提出了更高的要求。為了應對這些挑戰(zhàn)�,不同的技術(shù)和方法被引入到信息安全防護中���,其中包括ukey加密設備的應用、基于哈希值的數(shù)據(jù)完整性驗證機制(如默克爾樹)�、以及各種文件同步和數(shù)據(jù)遷移的技術(shù)方案。
2���、現(xiàn)有離線業(yè)務數(shù)據(jù)同步用ukey及方法:此方法強調(diào)了ukey內(nèi)部加解密模塊的作用��,但在實際應用中存在局限性���,比如數(shù)據(jù)傳輸階段缺乏加密保護,增加了中途攔截的風險�����;每次備份都需要重新加密所有數(shù)據(jù)����,增加了時間和資源成本;在數(shù)據(jù)還原時缺少必要的安全驗證步驟�����,無法確保數(shù)據(jù)的一致性。現(xiàn)有的基于disk-rsync的跨集群數(shù)據(jù)遷移方法:雖然這種方法實現(xiàn)了自動化遷移流程�,但其安全性依賴于ssh協(xié)議下的密鑰管理和網(wǎng)絡安全狀況。如果本地設備受到攻擊或者密鑰管理不當�����,則可能導致嚴重的安全漏洞?���,F(xiàn)有的文件同步方法��、裝置����、設備及存儲介質(zhì):該方案主要依靠文件名和修改時間戳來生成哈希值,忽略了文件內(nèi)容本身的變化�,容易被繞過。并且���,在沒有適當?shù)陌踩胧┑那闆r下執(zhí)行云端更新操作�����,同樣會面臨數(shù)據(jù)泄露或篡改的風險����。傳統(tǒng)的數(shù)據(jù)備份方法通常依賴于全量備份,即每次備份時都將所有數(shù)據(jù)重新復制一遍�,這種方式不僅占用大量存儲空間,還需要較長時間進行備份操作�����。此外����,傳統(tǒng)備份方法缺乏足夠的安全性保障,容易受到數(shù)據(jù)泄露���、篡改或丟失的風險���,特別是在遠程備份或云端存儲環(huán)境中,數(shù)據(jù)的機密性和完整性往往難以得到有效保護���。
3����、因此��,如何提高數(shù)據(jù)備份與恢復過程的安全性和效率,保證備份數(shù)據(jù)完整性以及加解密一致性是本領(lǐng)域技術(shù)人員亟需解決的問題����。
技術(shù)實現(xiàn)思路
1、有鑒于此�����,本發(fā)明提供了一種基于默克爾樹的數(shù)據(jù)增量備份還原方法與系統(tǒng)�����,不僅提高了數(shù)據(jù)備份與恢復過程的安全性和效率�,同時也解決了長期以來困擾行業(yè)的備份數(shù)據(jù)完整性驗證以及加解密一致性的問題�����,為各行業(yè)提供了更加可靠的數(shù)據(jù)保護手段����。
2、為了實現(xiàn)上述目的�,本發(fā)明采用如下技術(shù)方案:
3、一種基于默克爾樹的數(shù)據(jù)增量備份還原方法�,包括:
4、基于ukey接收備份請求或還原請求并進行驗證,驗證通過對應生成第一指令或第二指令����;業(yè)務系統(tǒng)基于相應指令與所述ukey進行加密通信;
5��、所述ukey查詢本地是否存在第一默克爾樹�,基于查詢結(jié)果生成第一信息;
6����、所述業(yè)務系統(tǒng)基于所述第一信息確定相關(guān)數(shù)據(jù)塊,基于所述相關(guān)數(shù)據(jù)塊生成加密數(shù)據(jù)塊��、密鑰指紋和相關(guān)默克爾樹�,基于所述密鑰指紋與所述加密數(shù)據(jù)塊建立相應關(guān)聯(lián)關(guān)系;
7���、所述ukey基于所述加密數(shù)據(jù)塊和所述相關(guān)默克爾樹進行相應操作���,并保存所述關(guān)聯(lián)關(guān)系,完成相關(guān)備份操作�;
8、所述業(yè)務系統(tǒng)基于所述第二指令和還原請求向所述ukey發(fā)送還原數(shù)據(jù)id和第二默克爾樹��;
9、所述ukey基于所述還原數(shù)據(jù)id�、所述第一默克爾樹和所述第二默克爾樹得到加密變更數(shù)據(jù)塊及其第二信息;
10�����、所述業(yè)務系統(tǒng)基于所述第二信息依次進行還原驗證和完整性驗證��,通過后基于加密變更數(shù)據(jù)塊進行還原�����,完成數(shù)據(jù)還原操作����。
11����、優(yōu)選的,業(yè)務系統(tǒng)基于相應指令與所述ukey進行加密通信����,具體包括:
12、所述業(yè)務系統(tǒng)基于所述第一指令或第二指令生成公私鑰對����,并將公鑰發(fā)送至所述ukey����;
13����、所述ukey生成密鑰并基于所述公鑰加密,得到加密密鑰�,并將所述加密密鑰發(fā)送至所述業(yè)務系統(tǒng);
14�、所述業(yè)務系統(tǒng)基于私鑰對所述加密密鑰解密,得到所述密鑰���;
15���、所述業(yè)務系統(tǒng)基于所述密鑰對所述相關(guān)數(shù)據(jù)塊加密后發(fā)送至所述ukey,實現(xiàn)了所述業(yè)務系統(tǒng)與所述ukey之間的加密通信����。
16、優(yōu)選的�,基于查詢結(jié)果生成第一信息,具體包括:
17�����、所述ukey基于所述查詢結(jié)果判斷,若本地不存在所述第一默克爾樹���,則判定為首次備份操作�,將所述加密密鑰作為第一相關(guān)信息發(fā)送至所述業(yè)務系統(tǒng)���;
18��、若本地存在所述第一默克爾樹��,則判定為增量備份操作����,將所述加密密鑰和所述第一默克爾樹作為第二相關(guān)信息發(fā)送至所述業(yè)務系統(tǒng)����;
19�����、所述第一信息包括所述第一相關(guān)信息或所述第二相關(guān)信息�。
20��、優(yōu)選的��,所述業(yè)務系統(tǒng)基于所述第一信息確定相關(guān)數(shù)據(jù)塊�����,具體包括:
21����、所述業(yè)務系統(tǒng)基于所述第一信息進行判斷��,若接收到所述第一相關(guān)信息���,則將原始數(shù)據(jù)塊作為第一數(shù)據(jù)塊�;
22�、若接收到所述第二相關(guān)信息,則基于所述第一默克爾樹與自身維護的第二默克爾樹進行完整性對比����,判斷對比結(jié)果是否一致,若一致�����,則表明此次備份與上次備份相比未發(fā)生改變,備份結(jié)束并發(fā)送結(jié)束通知���;
23�����、若不一致�����,則自頂向下比較所述第一默克爾樹和所述第二默克爾樹的節(jié)點�����,定位得到不一致的葉子結(jié)點���,基于所述葉子結(jié)點確定自上次備份以來發(fā)生變化的數(shù)據(jù)塊作為第二數(shù)據(jù)塊;
24����、所述相關(guān)數(shù)據(jù)塊包括所述第一數(shù)據(jù)塊或所述第二數(shù)據(jù)塊���。
25��、優(yōu)選的�����,基于所述相關(guān)數(shù)據(jù)塊生成加密數(shù)據(jù)塊�����、密鑰指紋和相關(guān)默克爾樹���,具體包括:
26�����、所述業(yè)務系統(tǒng)基于所述密鑰進行哈希計算得到所述相應密鑰指紋���;
27、所述業(yè)務系統(tǒng)基于所述第一數(shù)據(jù)塊或所述第二數(shù)據(jù)塊對應生成第一相關(guān)默克爾樹或第二相關(guān)默克爾樹���;
28��、所述相關(guān)默克爾樹包括所述第一相關(guān)默克爾樹或所述第二相關(guān)默克爾樹��;
29��、所述業(yè)務系統(tǒng)基于所述密鑰對所述第一數(shù)據(jù)塊或所述第二數(shù)據(jù)塊進行加密�,對應得到第一加密數(shù)據(jù)塊或第二加密數(shù)據(jù)塊;
30���、所述加密數(shù)據(jù)塊包括所述第一加密數(shù)據(jù)塊或所述第二加密數(shù)據(jù)塊����。
31�����、優(yōu)選的����,基于所述密鑰指紋與所述加密數(shù)據(jù)塊建立相應關(guān)聯(lián)關(guān)系,具體包括:
32��、所述業(yè)務系統(tǒng)基于基于所述密鑰指紋與所述第一加密數(shù)據(jù)塊或第二加密數(shù)據(jù)塊進行關(guān)聯(lián)��,對應得到第一關(guān)聯(lián)關(guān)系或第二關(guān)聯(lián)關(guān)系����;
33�����、所述相應關(guān)聯(lián)關(guān)系包括所述第一關(guān)聯(lián)關(guān)系或所述第二關(guān)聯(lián)關(guān)系;
34����、業(yè)務系統(tǒng)基于所述第一數(shù)據(jù)塊或所述第二數(shù)據(jù)塊進行哈希計算,對應生成第一哈希值或第二哈希值��;
35��、所述第一哈希值或所述第二哈希值作為數(shù)據(jù)塊哈希值發(fā)送至所述ukey���。
36��、優(yōu)選的���,所述ukey基于所述加密數(shù)據(jù)塊和所述相關(guān)默克爾樹進行相應操作,具體包括:
37��、所述ukey基于接收到的加密數(shù)據(jù)塊進行判斷��;
38�、若接收到所述第一加密數(shù)據(jù)塊����,則所述ukey保存所述第一加密數(shù)據(jù)塊和所述第一相關(guān)默克爾樹�����,將所述第一相關(guān)默克爾樹標記為所述第一默克爾樹���;
39����、若接收到所述第二加密數(shù)據(jù)塊�,則所述ukey保存所述第二加密數(shù)據(jù)塊,并基于所述第二相關(guān)默克爾樹對本地存儲的所述第一默克爾樹進行更新����。
40、優(yōu)選的�,所述ukey基于所述還原數(shù)據(jù)id、所述第一默克爾樹和所述第二默克爾樹得到加密變更數(shù)據(jù)塊及其第二信息�,具體包括:
41、所述ukey基于所述第一默克爾樹與所述第二默克爾樹中與所述還原數(shù)據(jù)id相關(guān)的子樹進行對比�,基于對比結(jié)果確定得到發(fā)生變化的加密數(shù)據(jù)塊作為所述加密變更數(shù)據(jù)塊;
42�、基于所述加密變更數(shù)據(jù)塊的id與所述關(guān)聯(lián)關(guān)系查詢得到關(guān)聯(lián)密鑰�����;
43����、基于所述公鑰對所述關(guān)聯(lián)密鑰加密��,得到加密關(guān)聯(lián)密鑰�����;
44��、基于所述加密變更數(shù)據(jù)塊獲取對應的數(shù)據(jù)塊哈希值�;
45����、所述加密關(guān)聯(lián)密鑰和所述數(shù)據(jù)塊哈希值共同組成所述第二信息。
46����、優(yōu)選的,所述業(yè)務系統(tǒng)基于所述第二信息依次進行還原驗證和完整性驗證���,具體包括:
47��、所述業(yè)務系統(tǒng)基于所述私鑰對所述加密關(guān)聯(lián)密鑰解密�,得到關(guān)聯(lián)密鑰并進行哈希計算,得到第一密鑰指紋��,基于所述加密變更數(shù)據(jù)塊的id關(guān)聯(lián)的第二密鑰指紋與所述第一密鑰指紋進行一致性對比��,若一致��,則還原驗證通過�����,否則����,還原驗證不通過,還原失?����?��;
48����、還原驗證通過后,所述業(yè)務系統(tǒng)基于所述關(guān)聯(lián)密鑰對所述加密變更數(shù)據(jù)塊解密���,得到變更數(shù)據(jù)塊�����,基于所述變更數(shù)據(jù)塊進行哈希計算,得到相關(guān)哈希值�;
49、所述業(yè)務系統(tǒng)基于所述相關(guān)哈希值與所述對應的數(shù)據(jù)塊哈希值比對�����,并判斷比對結(jié)果是否一致��,若一致���,則通過完整性驗證�����,否則�����,完整性驗證不通過�,停止還原操作。
50�����、一種基于默克爾樹的數(shù)據(jù)增量備份還原系統(tǒng)���,包括:連接驗證模塊�、判斷模塊����、數(shù)據(jù)處理模塊、數(shù)據(jù)備份模塊�����、數(shù)據(jù)傳輸模塊���、數(shù)據(jù)獲取模塊和數(shù)據(jù)還原模塊�;
51、所述連接驗證模塊�����,用于基于ukey接收備份請求或還原請求并進行驗證�����,驗證通過對應生成第一指令或第二指令�����;業(yè)務系統(tǒng)基于相應指令與所述ukey進行加密通信��;
52�����、所述第一判斷模塊���,用于基于所述ukey查詢本地是否存在第一默克爾樹,基于查詢結(jié)果生成第一信息����;
53、所述數(shù)據(jù)處理模塊����,用于通過所述業(yè)務系統(tǒng)基于所述第一信息確定相關(guān)數(shù)據(jù)塊����,基于所述相關(guān)數(shù)據(jù)塊生成加密數(shù)據(jù)塊�、密鑰指紋和相關(guān)默克爾樹,基于所述密鑰指紋與所述加密數(shù)據(jù)塊建立相應關(guān)聯(lián)關(guān)系����;
54、所述數(shù)據(jù)備份模塊����,用于通過所述ukey基于所述加密數(shù)據(jù)塊和所述相關(guān)默克爾樹進行相應操作,并保存所述關(guān)聯(lián)關(guān)系���,完成相關(guān)備份操作���;
55、所述數(shù)據(jù)傳輸模塊�����,用于通過所述業(yè)務系統(tǒng)基于所述第二指令和還原請求向所述ukey發(fā)送還原數(shù)據(jù)id和第二默克爾樹;
56����、所述數(shù)據(jù)獲取模塊,用于通過所述ukey基于所述還原數(shù)據(jù)id�����、所述第一默克爾樹和所述第二默克爾樹得到加密變更數(shù)據(jù)塊及其第二信息�����;
57����、所述數(shù)據(jù)還原模塊,用于通過所述業(yè)務系統(tǒng)基于所述第二信息依次進行還原驗證和完整性驗證���,通過后基于加密變更數(shù)據(jù)塊進行還原,完成數(shù)據(jù)還原操作����。
58、經(jīng)由上述的技術(shù)方案可知�����,與現(xiàn)有技術(shù)相比,本發(fā)明公開提供了一種基于默克爾樹的數(shù)據(jù)增量備份還原方法與系統(tǒng)����,具有以下有益效果:
59、1��、高效增量備份機制:本發(fā)明通過構(gòu)建數(shù)據(jù)塊的默克爾樹����,能夠只備份發(fā)生了變化的數(shù)據(jù),從而實現(xiàn)增量備份����,顯著提高了備份的效率。
60��、2��、高效數(shù)據(jù)選區(qū)還原機制:本發(fā)明提供了靈活和高效的數(shù)據(jù)還原方案�����。支持數(shù)據(jù)選區(qū)還原����,允許用戶根據(jù)實際需求自由選擇目標數(shù)據(jù)區(qū)域進行部分數(shù)據(jù)的恢復����,避免了不必要的全量數(shù)據(jù)還原�;采用差異還原的理念,系統(tǒng)僅恢復與備份文件內(nèi)容不一致的數(shù)據(jù)塊��,從而顯著減少了還原所需的時間和資源消耗�,大幅提升了還原效率;用戶可以更加精準和高效地進行數(shù)據(jù)恢復�,滿足各種復雜場景下的數(shù)據(jù)恢復需求。
61���、3�、數(shù)據(jù)加密傳輸與存儲:本發(fā)明采用sm2非對稱加密技術(shù)�,實現(xiàn)了數(shù)據(jù)傳輸過程中的高度機密性,確保只有授權(quán)接收方能夠解密和讀取數(shù)據(jù)�,有效防止了數(shù)據(jù)在傳輸過程中被竊取或篡改。此外��,本發(fā)明還結(jié)合ukey硬件設備對數(shù)據(jù)進行加密存儲����,即使攻擊者獲得了ukey,也無法直接訪問或破解存儲的敏感數(shù)據(jù)�����。
62��、4����、數(shù)據(jù)防篡改安全機制:本發(fā)明在備份還原過程中利用默克爾樹的特性來保障數(shù)據(jù)安全;任何數(shù)據(jù)塊的修改都會導致其對應哈希值變化��,進而改變樹根哈希值���;在還原時能夠檢測數(shù)據(jù)的完整性���,提供了高效、可靠的完整性檢查機制�����,確保數(shù)據(jù)沒有被篡改�。
63、5���、數(shù)據(jù)加解密一致性:在加密解密操作中���,如果密鑰管理不當����,可能會導致加密和解密不一致�����,從而影響數(shù)據(jù)的正確恢復���。本發(fā)明為確保加密解密過程的一致性����,通過生成密鑰指紋并在還原時進行驗證���,從而有效避免了密鑰管理中的潛在風險����,確保數(shù)據(jù)能夠被準確還原����。