有關云數(shù)據(jù)安全存儲技術分析

崔 嘉

（海軍航空工程學院，山東 煙臺 264001）

有關云數(shù)據(jù)安全存儲技術分析

崔 嘉

（海軍航空工程學院，山東 煙臺 264001）

隨著互聯(lián)網(wǎng)的發(fā)展，云計算技術逐漸得到了廣泛關注，然而隨著大數(shù)據(jù)與云存儲技術的結合，云存儲的安全性問題也開始凸顯。本文針對云數(shù)據(jù)存儲面臨的安全問題進行了分析，并對云數(shù)據(jù)安全存儲的技術架構進行了研究和設計。

云數(shù)據(jù)；安全存儲；技術架構

0　引 言

云計算的智能資源池分配技術為公司的管理和設施的簡化提供了極大的便利，然而在云計算飛速發(fā)展的同時，云數(shù)據(jù)的存儲安全問題也日益突出。隱私文件泄露、安全漏洞等云安全問題也頻頻出現(xiàn)。解決云數(shù)據(jù)安全問題的研究方向主要包括數(shù)據(jù)加密技術、訪問控制技術和云安全審計技術。本文通過對當前云服務安全技術進行分析，提出云數(shù)據(jù)安全存儲的解決方案。

1　云存儲系統(tǒng)概述

云存儲指的是將客戶端數(shù)據(jù)通過互聯(lián)網(wǎng)傳送到遠程服務器上并按照一定的規(guī)則進行儲存。云服務器通過集群應用或者是分布式文件系統(tǒng)將各種各樣的存儲設備高度集中起來，通過云服務器統(tǒng)一進行協(xié)調和調度。

云存儲系統(tǒng)架構大致可以劃分為應用層、基礎層、存儲層和接口層4個層次。應用層主要為各種應用的運行提供環(huán)境和支持，這也是整個系統(tǒng)中最為重要的一個層次?；A層和硬件聯(lián)系最為緊密，整個系統(tǒng)的可靠性和穩(wěn)定性都離不開基礎層的支撐。存儲層主要是存儲用戶通過互聯(lián)網(wǎng)遠程傳輸過來的數(shù)據(jù)信息。接口層可以視為存儲器的一扇大門，只有通過重重驗證的用戶才能通過各自的接口對數(shù)據(jù)進行存儲或讀取。

2　云安全存儲面臨的技術問題

2.1 云數(shù)據(jù)加密與銷毀處理

通過對云存儲數(shù)據(jù)進行加密能夠有效防止個人數(shù)據(jù)泄露。一般是通過專門的加密算法對數(shù)據(jù)進行加密處理，然后生成的密匙會存儲在專門的存儲介質中，只有通過認證的用戶，才有機會訪問該存儲介質。通過密匙對存儲在存儲器上的數(shù)據(jù)進行解密，然后將解密的數(shù)據(jù)發(fā)送到實例化卷標中，從而實現(xiàn)對數(shù)據(jù)的加密存儲和解密讀取。然而這種訪問技術顯然會消耗更多的服務器資源和等待時間。

云存儲服務器上還存在數(shù)據(jù)銷毀問題。有時用戶看似簡單地將數(shù)據(jù)從界面上“刪除”，這種刪除只是將數(shù)據(jù)標志刪除，從而讓系統(tǒng)不再顯示該數(shù)據(jù)。其實在硬盤等存儲介質中，該數(shù)據(jù)會一直保留，知道有新的數(shù)據(jù)占用源數(shù)據(jù)磁道才會覆蓋原數(shù)據(jù)，才會徹底地刪除。一旦有人通過恢復軟件將數(shù)據(jù)進行恢復，那么這將會對用戶的個人隱私構成極大的安全隱患。

2.2 數(shù)據(jù)間的相互隔離

在傳統(tǒng)的系統(tǒng)存儲過程中，都會根據(jù)資源的類別和資源的重要程度進行層次分明的邊界劃分，這種模塊化的環(huán)境中不會產(chǎn)生邊界模糊的問題。在云存儲過程中，由于采用了高度復雜的虛擬化技術和控制技術，以及大量的設備高度集成，導致邊界劃分的復雜度加大，越來越難以判定。傳統(tǒng)的網(wǎng)絡邊界正面臨新的挑戰(zhàn)。

2.3 數(shù)據(jù)鏈路層的安全性和可靠性

用戶通過互聯(lián)網(wǎng)向云服務器發(fā)送數(shù)據(jù)或請求時，很有可能會被黑客劫持請求信息或者嗅探網(wǎng)絡數(shù)據(jù)包，從而導致用戶隱私的泄露。然而云服務器又不能脫離網(wǎng)絡而存在，因此，在互聯(lián)網(wǎng)傳輸數(shù)據(jù)的安全性有待解決。

2.4 云存儲服務器的安全防護

云存儲服務器防護一般分為物理安全防護和服務器安全防護兩大類。物理安全防護一般指的是通過對服務器設備等硬件上的保護。物理上的破壞對網(wǎng)絡和數(shù)據(jù)造成的影響完全不亞于其他安全風險。

對于服務器操作系統(tǒng)而言，其受到的安全威脅主要有兩種。一種是來自服務器內部的安全漏洞，另一種是惡意病毒的攻擊。除勤打補丁，加裝殺毒軟件和防火墻外，還能使用虛擬化網(wǎng)絡技術進行物理上的數(shù)據(jù)隔離，以維護數(shù)據(jù)的安全。

2.5 云數(shù)據(jù)恢復與遷移

當云服務器死機或者物理服務器發(fā)生損壞時，需要將服務器數(shù)據(jù)轉移到其他備用服務器中，不僅要遷移系統(tǒng)設置備份，還要遷移服務器存儲的數(shù)據(jù)信息。因此在遷移過程中，需要確保數(shù)據(jù)的完整性和可靠性。

3　云存儲安全架構分析

3.1 云存儲四層邏輯模型分析

3.1.1 存儲層

一般而言，隨著存儲容量的增加，存儲設備出現(xiàn)壞道或者存儲數(shù)據(jù)出現(xiàn)損壞的概率也會變大。通過分散式存儲方式能夠有效地提高存儲效率和存儲穩(wěn)定性。

3.1.2 管理層

管理層主要是針對分散式存儲數(shù)據(jù)進行管理的。作用就是對這些數(shù)據(jù)進行統(tǒng)一的整理，并通過地址指針將分散的數(shù)據(jù)模塊統(tǒng)一起來，結合為整體性數(shù)據(jù)。這樣一是確保存儲數(shù)據(jù)的高效性。如果將一整段數(shù)據(jù)段存放區(qū)域，往往不能對存儲介質的性能完全發(fā)揮出來，而且在存取時對地址的提取效率不是很高，分布式存儲技術則能避免這些問題。二是數(shù)據(jù)安全，通過碎片式的存儲技術能夠對數(shù)據(jù)形成一定的加密能力，這種無規(guī)律的分布方式是很難被破解的。

3.1.3 接口層

接口層主要是指存儲設備的入口，用戶想要存取數(shù)據(jù)，必須通過接口層驗證身份信息。這種服務器二次訪問控制能夠對服務器數(shù)據(jù)形成二次保護。通過接口層對數(shù)據(jù)訪問和數(shù)據(jù)傳輸進行保護，實現(xiàn)安全數(shù)據(jù)存取。

3.2 云存儲過程分析

云存儲過程主要通過3個步驟實現(xiàn)。首先，用戶將數(shù)據(jù)傳輸?shù)竭h程服務器。遠程服務器的分片器對數(shù)據(jù)完整性進行驗證，然后通過分片器將整個數(shù)據(jù)按照一定的規(guī)則，將數(shù)據(jù)發(fā)送到分布式存儲設備中。用戶申請讀取數(shù)據(jù)時，通過接口層的雙重驗證機制進行身份認證，認證通過后，通過分片管理器將該用戶的存儲信息進行整合。通過整合的信息會被放在一個實例化的臨時磁盤中，為用戶提供讀取操作。

3.3 云數(shù)據(jù)加密與檢索

在存儲敏感性較高的數(shù)據(jù)時，服務器應該對這些數(shù)據(jù)加密，以保證網(wǎng)絡數(shù)據(jù)的安全性和隱私性。這種加密技術應該適應云計算端到端的加密模式，密匙要求具有存活周期長和加密算法共享。可以通過線性搜索算法實現(xiàn)云數(shù)據(jù)加密檢索。

該算法通過對稱加密算法對用戶數(shù)據(jù)和相關信息進行加密，并生成一連串的偽隨機序列和校驗序列，通過偽隨機序列號對已加密完成的設備進行二次加密。用戶在實際搜索時，提交的是被加密數(shù)據(jù)的序列信息，服務器通過對這些序列信息進行校驗匹配，如果校驗匹配成功，則顯示用戶搜索數(shù)據(jù)，否則不回復數(shù)據(jù)。

3.4 用戶訪問控制分析

用戶在訪問云計算服務器時，需要對用戶權限進行相關的驗證。目前，驗證機制主要有Cookies驗證和Session會話驗證兩種方式。例如：在眾多的網(wǎng)絡節(jié)點之間，設置節(jié)點之間的認證機制，當客戶端進行登錄驗證時，使用多種混合驗證方式，避免使用單一的加密方式，這樣能夠在很大程度上避免用戶權限繞過事件的發(fā)生。

4　結 語

隨著云計算的發(fā)展，云安全存儲技術也面臨著更大的挑戰(zhàn)。這種挑戰(zhàn)不僅是技術上的挑戰(zhàn)，還有標準化、規(guī)范化的挑戰(zhàn)，另外，由于云計算仍屬于新興產(chǎn)業(yè)，相關的法律政策仍不健全，對于網(wǎng)絡入侵事件的處罰力度依然不夠明確，人們仍需不斷地進行安全技術創(chuàng)新，并且應該通過各個產(chǎn)業(yè)、各個部門的共同發(fā)展，協(xié)同促進云計算的發(fā)展和云安全存儲的進步。

主要參考文獻

［1］王尚平，王育民，王曉峰，等.基于零知識證明的前向安全數(shù)字簽名方案［J］.通信學報，2003（9）.

［2］許德武，陳偉.基于橢圓曲線的數(shù)字簽名和加密算法［J］.計算機工程，2011（4）.

［3］倪琴琴，孫衛(wèi)真，劉崢.ZFS文件系統(tǒng)Snapshot技術的分析［J］.計算機教育，2009（14）.

［4］敖一峰.磁盤級的ZFS數(shù)據(jù)跟蹤與隱藏技術［D］.上海:上海交通大學，2010.

［5］陳康，鄭緯民.云計算:系統(tǒng)實例與研究現(xiàn)狀［J］.軟件學報，2009（5）.

［6］申麗君.云存儲及其安全性研究［J］.電腦知識與技術，2011（16）.

［7］馮登國，張敏，張妍，等.云計算安全研究［J］.軟件學報，2011（1）.

［8］楊正洪.云計算和物聯(lián)網(wǎng)［M］.北京:清華大學出版社，2011.

［9］張健.全球云計算安全研究綜述［J］.電信網(wǎng)技術，2010（9）.

10.3969/j.issn.1673 - 0194.2016.10.098

TP333；TP309

A

1673-0194（2016）10-0140-02

2016-04-02