一种业务数据的处理方法及系统.pdf

本发明提供一种业务数据的处理方法及系统，其中方法包括：创建文件系统，并将创建的所述文件系统挂载到指定目录上；将所需处理的业务数据存储到所述文件系统中；对存储有所述业务数据的所述文件系统进行快照备份；根据快照备份内容，对所述文件系统实现校验。根据本方案，通过将所需处理的业务数据所对应的多个小文件，存储到挂载到指定目录上的文件系统中，使得对多个小文件整合为一个独立的大文件，在对文件系统中存储的业务数据进行校验时，由于该文件系统作为独立的一个文件，因此在执行校验操作时相对于对多个文件进行校验的时间短，从而提高了业务数据的校验时间。

1.一种业务数据的处理方法，其特征在于，包括：
创建文件系统，并将创建的所述文件系统挂载到指定目录上；
将所需处理的业务数据存储到所述文件系统中；
对存储有所述业务数据的所述文件系统进行快照备份；
根据快照备份内容，对所述文件系统实现校验。
2.根据权利要求1所述的方法，其特征在于，所述所需处理的业务数据
包括：存储数据，和/或，web网站的服务数据；
其中，所述web网站的服务数据包括：bin文件、lib文件、conf文件和
www文件。
3.根据权利要求1所述的方法，其特征在于，
在所述对存储有所述业务数据的所述文件系统进行备份之后，进一步包
括：计算所述文件系统的初始校验码；
所述根据备份内容，对所述文件系统实现校验，包括：打开所述文件系
统，读取所述文件系统中当前的业务数据，计算该当前的业务数据的目标校
验码，比较所述初始校验码和所述目标校验码，在比较结果相同时，确定所
述文件系统安全，否则，确定所述文件系统被篡改。
4.根据权利要求3所述的方法，其特征在于，在确定所述文件系统被篡
改时，进一步包括：
将所述备份内容写入到所述文件系统中，以实现对所述文件系统中的业
务数据进行恢复。
5.一种业务数据的处理系统，其特征在于，包括：
创建单元，用于创建文件系统，并将创建的所述文件系统发送给挂载单
元；
所述挂载单元，用于将所述创建单元创建的所述文件系统挂载到指定目
录上，并在挂载完成时通知处理单元；
所述处理单元，用于将所需处理的业务数据存储到所述文件系统中；
快照单元，用于对存储有所述业务数据的所述文件系统进行快照备份，
并将快照备份内容发送给校验单元；
所述校验单元，用于所述快照单元发送的根据快照备份内容，对所述文
件系统实现校验。
6.根据权利要求5所述的业务数据的处理系统，其特征在于，所述所需
处理的业务数据包括：存储数据，和/或，web网站的服务数据；
其中，所述web网站的服务数据包括：bin文件、lib文件、conf文件和
www文件。
7.根据权利要求5所述的业务数据的处理系统，其特征在于，
进一步包括：计算单元，用于计算所述文件系统的初始校验码，并将计
算的所述初始校验码发送给所述校验单元；
所述校验单元，具体用于打开所述文件系统，读取所述文件系统中当前
的业务数据，计算该当前的业务数据的目标校验码，比较所述初始校验码和
所述目标校验码，在比较结果相同时，确定所述文件系统安全，否则，确定
所述文件系统被篡改。
8.根据权利要求7所述的业务数据的处理系统，其特征在于，进一步包
括：
恢复单元，用于在所述校验单元确定所述文件系统被篡改时，将所述备
份内容写入到所述文件系统中，以实现对所述文件系统中的业务数据进行恢
复。

一种业务数据的处理方法及系统

技术领域

本发明涉及计算机信息安全技术领域，特别涉及一种业务数据的处理方法及系统。

背景技术

随着计算机技术的不断发展，已经有越来越多的用户开始推广和使用Linux作为web网站的操作系统，该操作系统的安全性也受到越来越多的挑战。由于web网站是业务的窗口，因此，容易成为病毒及各种恶意代码的攻击目标。

校验web网站业务内容是否被篡改的传统方式包括：逐个遍历该web网站业务内容所对应的多个小文件，并打开遍历到的每个小文件，并读取每个小文件的内容，利用备份数据对读取的内容以进行校验。

然而，对于web网站业务内容的小文件个数较多，而对文件执行打开操作时所需耗费的时间又较长，因此，传统方式会影响校验效率。

发明内容

本发明提供一种业务数据的处理方法及系统，以降低业务数据的校验时间。

第一方面，本发明实施例提供了一种业务数据的处理方法，包括：

创建文件系统，并将创建的所述文件系统挂载到指定目录上；

将所需处理的业务数据存储到所述文件系统中；

对存储有所述业务数据的所述文件系统进行快照备份；

根据快照备份内容，对所述文件系统实现校验。

优选地，所述所需处理的业务数据包括：存储数据，和/或，web网站的服务数据；

其中，所述web网站的服务数据包括：bin文件、lib文件、conf文件和www文件。

优选地，

在所述对存储有所述业务数据的所述文件系统进行备份之后，进一步包括：计算所述文件系统的初始校验码；

所述根据备份内容，对所述文件系统实现校验，包括：打开所述文件系统，读取所述文件系统中当前的业务数据，计算该当前的业务数据的目标校验码，比较所述初始校验码和所述目标校验码，在比较结果相同时，确定所述文件系统安全，否则，确定所述文件系统被篡改。

优选地，在确定所述文件系统被篡改时，进一步包括：

将所述备份内容写入到所述文件系统中，以实现对所述文件系统中的业务数据进行恢复。

第二方面，本发明实施例还提供了一种业务数据的处理系统，包括：

创建单元，用于创建文件系统，并将创建的所述文件系统发送给挂载单元；

所述挂载单元，用于将所述创建单元创建的所述文件系统挂载到指定目录上，并在挂载完成时通知处理单元；

所述处理单元，用于将所需处理的业务数据存储到所述文件系统中；

快照单元，用于对存储有所述业务数据的所述文件系统进行快照备份，并将快照备份内容发送给校验单元；

所述校验单元，用于所述快照单元发送的根据快照备份内容，对所述文件系统实现校验。

优选地，所述所需处理的业务数据包括：存储数据，和/或，web网站的服务数据；

其中，所述web网站的服务数据包括：bin文件、lib文件、conf文件和www文件。

优选地，

进一步包括：计算单元，用于计算所述文件系统的初始校验码，并将计算的所述初始校验码发送给所述校验单元；

所述校验单元，具体用于打开所述文件系统，读取所述文件系统中当前的业务数据，计算该当前的业务数据的目标校验码，比较所述初始校验码和所述目标校验码，在比较结果相同时，确定所述文件系统安全，否则，确定所述文件系统被篡改。

优选地，进一步包括：

恢复单元，用于在所述校验单元确定所述文件系统被篡改时，将所述备份内容写入到所述文件系统中，以实现对所述文件系统中的业务数据进行恢复。

本发明实施例提供了一种业务数据的处理方法及系统，通过将所需处理的业务数据所对应的多个小文件，存储到挂载到指定目录上的文件系统中，使得对多个小文件整合为一个独立的大文件，在对文件系统中存储的业务数据进行校验时，由于该文件系统作为独立的一个文件，因此在执行校验操作时相对于对多个文件进行校验的时间短，从而提高了业务数据的校验时间。

附图说明

图1是本发明实施例提供的方法流程图；

图2是本发明实施例提供的另一方法流程图；

图3是本发明实施例提供的逻辑架构图；

图4是本发明实施例提供的系统硬件架构图；

图5是本发明实施例提供的系统结构示意图；

图6是本发明实施例提供的另一系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种业务数据的处理方法，该方法可以包括以下步骤：

步骤101：创建文件系统，并将创建的所述文件系统挂载到指定目录上；

步骤102：将所需处理的业务数据存储到所述文件系统中；

步骤103：对存储有所述业务数据的所述文件系统进行快照备份；

步骤104：根据快照备份内容，对所述文件系统实现校验。

根据本方案，通过将所需处理的业务数据所对应的多个小文件，存储到挂载到指定目录上的文件系统中，使得对多个小文件整合为一个独立的大文件，在对文件系统中存储的业务数据进行校验时，由于该文件系统作为独立的一个文件，因此在执行校验操作时相对于对多个文件进行校验的时间短，从而提高了业务数据的校验时间。

在本发明一个优选实施例中，该方案不仅可以适用于存储设备中所存储的数据的校验，也可以适用于web网站的服务数据的校验，对于web网站的服务数据可以包括：bin文件、lib文件、conf文件和www文件。

在本发明一个优选实施例中，为了确定业务数据是否安全，可以对当前的业务数据进行校验，而校验的方式可以是直接打开文件系统，并读取该文件系统中的当前的业务数据，通过遍历该当前的业务数据以及遍历快照备份数据，以及将遍历到的数据进行比较，以确定该当前的业务数据的安全性。

为了进一步提高校验效率，可以预先计算存储有业务数据的文件系统的初始校验码，在对当前的业务数据进行校验时，可以直接打开文件系统，并读取该文件系统中当前的业务数据，并计算该当前的业务数据的目标校验码，通过比较该目标校验码和初始校验码来确定当前的业务数据是否安全。

本实施例可以实现对存储设备中存储的大量数据进行校验，也可以对web网站的服务数据进行校验。为使本发明的目的、技术方案和优点更加清楚，下面以对web网站的服务数据为例，结合附图及具体实施例对本发明作进一步地详细描述。

如图2所示，本发明实施例提供了一种业务数据的处理方法，该方法可以包括以下步骤：

步骤201：利用入接口命令创建文件系统web_apache_fs。

其中，运行环境是Linux操作系统，例如，Centos6.0。

文件系统是操作系统用于明确存储设备(常见的是磁盘，也有基于NANDFlash的固态硬盘)或分区上的文件的方法和数据结构，即在存储设备上组织文件的方法。其中，文件系统由三部分组成：文件系统的接口，对对象操纵和管理的软件集合，对象及属性。

其中，文件系统的类型分为很多种，例如，FAT、NTFS、CDFS、exFAT等，本实施例以FS类型的文件系统为例，创建针对web网站的服务数据的文件系统web_apache_fs。

其中，创建文件系统可以通过如下一种形式的代码来实现：

#ddif＝/dev/zeroof＝web_apache_fsbs＝1kcount＝2000

#losetup/dev/loop5web_apache_fs

#mkfs.ext3/dev/loop5

步骤202：将创建的文件系统web_apache_fs挂载到指定目录/mnt中。

由于文件系统相当于一个存储设备，因此，如果需要对文件系统中的内容进行读写，需要将文件系统挂载到一个不为空的目录中。

在本实施例中，该指定目录可以是/mnt，也可以是dm。

其中，将文件系统进行挂载的方式可以通过如下一种形式的代码来实现：

#mount/dev/loop5/mnt/web

其中，该代码实现的是利用mount命令将文件系统挂载到/mnt目录下。

在本实施例中，文件系统挂载到目录/mnt之后，该目录/mnt中之前存储的内容不可读。且为了保证该文件系统能够存储后续所需处理的业务数据，需要将文件系统格式化。

请参考图3，为本实施例提供的逻辑架构图。

步骤203：部署目标web网站，以将部署的web网站的服务数据存储到文件系统中。

在本实施例中，部署目标web网站的目的是创建可以在前端设备上展示web页面的服务数据。web网站的服务数据可以包括：bin文件、lib文件、conf文件和www文件。

其中，可以通过如下方式实现对web网站的部署。

S1：获取web网站的部署工具，例如，httpd-2.4.4.tar.bz2。

S2：对部署工具解压缩，可以通过如下代码实现：

#tar-xvfhttpd-2.4.4.tar.bz2

S3：利用部署工具对web网站进行配置，其中，配置的服务数据需要在后续过程中存储到挂载后的文件系统中。

该步骤可以通过如下代码实现：#./configure--prefix＝/mnt/web

S4：对配置数据进行编译，可以利用如下代码实现：#makeinstall

S5：将配置的web网站的服务数据存储到文件系统中。

步骤204：快照备份文件系统web_apache_fs。

为了实现对后续过程中文件系统中业务数据的校验，需要先对文件系统进行备份，在本实施例中，可以使用快照方式对文件系统进行备份。

其中，快照方式可以包括即写即拷快照和分割镜像快照两种方式。

步骤205：计算文件系统web_apache_fs的初始校验值。

在本实施例中，可以通过校验值的方式实现对业务数据的校验，其中，该校验值可以是MD5值、哈希值或其他用于表述唯一性的值。

步骤206：对文件系统web_apache_fs中的业务数据进行校验，在校验通过时，确定该文件系统中业务数据安全，否则，执行步骤207。

在本实施例中，对文件系统中业务数据的校验方式可以包括以下两种方式：

1、通过校验码的方式实现对文件系统中业务数据的校验，该方式可以包括以下步骤：

S1：打开该文件系统。

S2：读取该文件系统中当前的业务数据。

S3：计算该当前的业务数据的目标校验码。

S4：比较该初始校验码和该目标校验码，在比较结果相同时，确定该文件系统安全，否则，确定该文件系统被篡改。

2、通过遍历文件系统和快照备份内容的方式实现对文件系统中业务数据的校验，该方式可以包括：

S1：打开该文件系统。

S2：读取该文件系统中当前的业务数据。

S3：遍历该当前的业务数据以及遍历快照备份数据，以及将遍历到的数据进行比较，若在比较过程中包括遍历到的该当前的业务数据与快照备份数据不相同时，则确定该当前的业务数据被篡改。

由于打开一个大文件是一次打开操作，打开多个小文件是多次打开操作，因此，本实施例通过将多个小文件生成一个文件系统，仅执行一次打开操作，即可实现对文件系统内业务数据的校验，从而降低了校验时间。

在本实施例中，可以设定一个时间段，例如，1小时，每隔该时间段，执行一次对文件系统内业务数据的校验，以保证web网站的业务数据的安全性。

步骤207：快照备份数据写入文件系统中，以恢复安全的业务数据。

在本实施例中，为了保证文件系统中业务数据的安全性，当确定文件系统中的业务数据被篡改时，需要利用该快照备份数据实现对业务数据的恢复。

针对上述步骤，为了程序的易实施性，本实施例可以将上述步骤做成一个安装包，安装到Linux操作系统上，应用程序方式运行。

如图4、图5所示，本发明实施例提供了一种业务数据的处理系统。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图4所示，为本发明实施例业务数据的处理系统所在设备的一种硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图5所示，作为一个逻辑意义上的装置，是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的业务数据的处理系统包括：

创建单元501，用于创建文件系统，并将创建的所述文件系统发送给挂载单元；

所述挂载单元502，用于将所述创建单元创建的所述文件系统挂载到指定目录上，并在挂载完成时通知处理单元；

所述处理单元503，用于将所需处理的业务数据存储到所述文件系统中；

快照单元504，用于对存储有所述业务数据的所述文件系统进行快照备份，并将快照备份内容发送给校验单元；

所述校验单元505，用于所述快照单元发送的根据快照备份内容，对所述文件系统实现校验。

在本发明一个优选实施例中，所述所需处理的业务数据包括：存储数据，和/或，web网站的服务数据；

其中，所述web网站的服务数据包括：bin文件、lib文件、conf文件和www文件。

在本发明一个优选实施例中，请参考图6，该业务数据的处理系统进一步包括：

计算单元601，用于计算所述文件系统的初始校验码，并将计算的所述初始校验码发送给所述校验单元505；

所述校验单元505，具体用于打开所述文件系统，读取所述文件系统中当前的业务数据，计算该当前的业务数据的目标校验码，比较所述初始校验码和所述目标校验码，在比较结果相同时，确定所述文件系统安全，否则，确定所述文件系统被篡改。

进一步包括：

恢复单元602，用于在所述校验单元确定所述文件系统被篡改时，将所述备份内容写入到所述文件系统中，以实现对所述文件系统中的业务数据进行恢复。

综上，本发明实施例至少可以实现如下有益效果：

1、在本发明实施例中，通过将所需处理的业务数据所对应的多个小文件，存储到挂载到指定目录上的文件系统中，使得对多个小文件整合为一个独立的大文件，在对文件系统中存储的业务数据进行校验时，由于该文件系统作为独立的一个文件，因此在执行校验操作时相对于对多个文件进行校验的时间短，从而提高了业务数据的校验时间。

2、在本发明实施例中，在所需处理的业务数据遭受攻击或破坏时，可以迅速检查出来，如果导致web网站的业务无法正常运行时，可以通过快照的方式立刻恢复web网站的正常运行，还可以检查出哪些文件被破坏，并且对系统资源cpu和内存没有任何损失。

3、在本发明实施例中，通过对文件系统进行完整性计算，以实现对整个文件系统进行校验，并将该校验值存入数据库，便于读取，定时通过该校验值进行对文件系统进行校验，从而可以保证web网站被快速发现篡改。

4、在本发明实施例中，通过将文件系统通过mount挂载的方式，以实现对文件系统的快速遍历，可以进一步保证web网站被快速发现篡改。

5、在本发明实施例中，对于易用性方面，本方案可以不需要设置，通过模块加载程序即可实现。

上述设备内的各单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。