一种基于安全控制的异地灾备系统设计与实现摘要：设计并实现了一种将实时镜像存储、系统恢复和系统监控集于一体的异地容灾系统。该系统将本地截获的写操作缓存在本地控制中心上，然后发送到远程进行重放完成异地备份。该系统通过访问控制机制解决了在传统灾难备份系统中访问控制薄弱的问题；通过差错控制保证了镜像数据的可靠性；通过密钥管理机制保证了灾备系统自身的安全。??关键词：异地容灾；镜像；恢复；访问控制；差错控制；密钥管理：TP309．1文献标志码：A：1001－3695(2007)08－0152－03随着信息社会的高速发展，数据信息正成为企业最为重要的资产，当灾难发生时对数据的保护显得尤为重要[1,2]。现在的容灾系统[3]存在成本高、系统和网络环境要求苛刻、平台相关等问题，并且系统自身和备份数据的安全均无强有力的保证。现在市场上主要的容灾产品均为国外品牌，伴随着Internet与国际互连带来的安全问题[4]，导致容灾产品的国产化势在必行。对于国内用户来说，只能而且必须依靠国内的产品解决。??针对上述问题，本文设计并实现了一种构架于Internet的基于安全控制的异地容灾系统。此系统具有如下特点：镜像策略好，对应用系统影响小；发生灾难时自动切换服务；恢复迅速；访问控制好；差错控制严格，数据备份一致性、安全性高；提供了完备的密钥管理系统。??1系统设计??1．1体系结构??该异地容灾系统的体系结构由两大部分组成，即本地应用系统和远程备份应用系统，如图1所示。??本地应用系统包含本地网关控制中心和本地应用服务器群；远程备份系统包含远程网关控制中心和备份服务器群。灾备系统将本地应用服务器群的业务，通过网关控制中心，远程镜像到备份服务器群。在备份数据的镜像过程中进行严格的差错控制，保证了备份数据的机密性、有效性和一致性。灾难发生时，由备份系统接管服务，并及时对本地应用系统进行恢复。用户对系统的管理请求采用访问控制审核，减少恶意访问。整个系统处于完备的多重密钥体系保护之下，保证了密钥自身和数据的安全。??1．2总体设计??本容灾系统结构中，控制中心模块结构类似，备份服务器和应用服务器结构简单对称。功能模块如图2所示。??1)镜像模块对于配置的每个灾备任务，在本地应用服务器进行写操作的截获，发送给本地控制中心由镜像模块进行缓存，并按序提交给远程备份系统进行写操作的重建。??2)监控模块该模块定时向任务组内设备发出查询信息，由各设备报告当前任务组运行情况进行监控。??3)服务切换模块当灾难发生时及时改变服务提供者，保证业务连续。??4)恢复模块对发生灾难的系统进行策略恢复。??5)访问控制模块对用户的管理请求进行策略匹配；对用户的身份进行审核；授予不同用户不同的权限。??6)差错控制模块对灾难备份的数据进行数据摘要计算、加密传输，保证在Internet的传输中数据的一致性、有效性和机密性。??7)密钥管理模块对系统中的密钥体系进行管理，动态更新密钥，对整个系统进行保护。??8)通信模块控制通信过程中的超时和乱序问题，保证数据传输的健壮性和备份数据的顺序传送。??此外系统记录所有的系统事件和操作，与所有的配置管理信息一起加密存放在日志数据库和灾备数据库中，保证了自身信息安全。??2系统实现??2．1灾难备份子系统??2.1.1镜像模块??远程数据镜像模块是整个灾难救援系统的核心部分。备份流程如图3所示。??图3数据备份流程当各台主机设备建立了（本地数据磁盘、缓冲磁盘、远程备份磁盘）三元关系后，一个灾备任务就被创建，控制中心启动写操作监控。??镜像过程按三个阶段进行：??1）本地分区的写操作的截获写监控驱动模块在用户文件系统与设备驱动层之间加入了一层写监控驱动，隔离了不同文件系统和设备，对用户完全透明。用户对本地应用服务器设备写入数据时，嵌入的写操作监控程序完成写操作在向设备驱动提交前的截获，并将截获的写操作副本进行封装，通过高速的本地网络发送到控制中心进行缓存，然后将写操作实际向设备驱动提交,完成对物理磁盘的写操作。??2)控制中心写操作的缓存由于通过不稳定和低速的Internet网络进行控制中心和远程备份系统通信，发送到控制中心的写操作由控制中心镜像模...