基于云計(jì)算的網(wǎng)絡(luò)安全存儲系統(tǒng)設(shè)計(jì)

劉知云

關(guān)鍵詞：云計(jì)算；網(wǎng)絡(luò)安全；存儲系統(tǒng)

0 引言

在當(dāng)今這個(gè)大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)存儲系統(tǒng)中涉及的數(shù)據(jù)量已經(jīng)較為龐大，且仍維持不斷增長的態(tài)勢。在這種情況下，網(wǎng)絡(luò)存儲系統(tǒng)中的數(shù)據(jù)信息也面臨著更多的入侵風(fēng)險(xiǎn)，為有效規(guī)避這一風(fēng)險(xiǎn)，引入云計(jì)算技術(shù)，對網(wǎng)絡(luò)安全存儲系統(tǒng)進(jìn)行優(yōu)化設(shè)計(jì)則是一個(gè)切實(shí)可行的途徑。為此，應(yīng)當(dāng)對這方面的工作作進(jìn)一步深入探究，以提升數(shù)據(jù)安全存儲水平。

1 系統(tǒng)整體架構(gòu)設(shè)計(jì)

1.1 云架構(gòu)的設(shè)計(jì)

在本次設(shè)計(jì)中，網(wǎng)絡(luò)安全存儲系統(tǒng)的云架構(gòu)采用星型拓?fù)浣Y(jié)構(gòu)進(jìn)行設(shè)計(jì)，其示意圖如圖1所示。

由圖1可知，在該結(jié)構(gòu)下，基于控制中心，不同用戶的傳輸請求均可得到有效處理，在用戶請求處理完畢后，控制中心進(jìn)一步與云端的客戶端端點(diǎn)實(shí)現(xiàn)相互通信，對相關(guān)信息予以接收和反饋。整體來看，此結(jié)構(gòu)通過“云可收縮性”加以實(shí)現(xiàn)，拓?fù)浣Y(jié)構(gòu)的節(jié)點(diǎn)數(shù)量及分配均非固定，而是結(jié)合需要進(jìn)行自動的調(diào)整[1-2]。

1.2 節(jié)點(diǎn)的管理

為實(shí)現(xiàn)對該拓?fù)浣Y(jié)構(gòu)下各個(gè)節(jié)點(diǎn)的有效管理，在本次設(shè)計(jì)中，通過節(jié)點(diǎn)的初始化處理與分配，初步構(gòu)建節(jié)點(diǎn)管理模型，通過該模型，控制中心即可對云端的數(shù)據(jù)信息資源進(jìn)行管理，再通過相應(yīng)算法，對各個(gè)節(jié)點(diǎn)予以調(diào)整。如云端存在空間節(jié)點(diǎn)，則控制中心對該“空間節(jié)點(diǎn)”進(jìn)行回收與釋放操作，對此節(jié)點(diǎn)的信息予以適當(dāng)處理[3]。

在此基礎(chǔ)上，考慮到云中各節(jié)點(diǎn)運(yùn)行的實(shí)際情況和性能之間存在一定差異，因此在本次設(shè)計(jì)中，引入合理負(fù)載均衡機(jī)制。在這一過程中，設(shè)計(jì)人員調(diào)用public clsss SSTable函數(shù)，對控制中心的各節(jié)點(diǎn)作業(yè)情況進(jìn)行分配，實(shí)現(xiàn)對作業(yè)的配發(fā)。如出現(xiàn)持續(xù)空載時(shí)間大于定義量的情況，則在數(shù)據(jù)池中進(jìn)行轉(zhuǎn)存，確保節(jié)點(diǎn)空載浪費(fèi)情況壓縮至最小水平[4-5]。

1.3 數(shù)據(jù)庫設(shè)計(jì)

在本次設(shè)計(jì)中，結(jié)合數(shù)據(jù)在安全性和穩(wěn)定性等多方面的需求，采用Oracle數(shù)據(jù)庫進(jìn)行設(shè)計(jì)，并結(jié)合實(shí)際需要，設(shè)計(jì)用戶信息表和文件信息表，分別如表1和表2所示。

由于表1中的用戶數(shù)據(jù)信息表涉及數(shù)種類型的用戶，為實(shí)現(xiàn)對不同用戶類型的識別，使用tag字段設(shè)置作進(jìn)一步識別。

2 系統(tǒng)主要功能模塊設(shè)計(jì)

2.1 身份認(rèn)證模塊的設(shè)計(jì)

在身份認(rèn)證模塊的設(shè)計(jì)中，設(shè)計(jì)人員采用橢圓曲線，對云計(jì)算環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，以提升數(shù)據(jù)存儲系統(tǒng)的安全性。為此，基于如下算法生成加密數(shù)據(jù)序列，以生成代理私鑰，其公式如下：

在該公式中，gi 表示數(shù)據(jù)集中第i個(gè)要素，M為生成私鑰的數(shù)據(jù)對應(yīng)的字段長度?；诖怂惴ǎ瑸槌跏己灻咴L問系統(tǒng)中的數(shù)據(jù)信息構(gòu)造密鑰函數(shù)，該函數(shù)作為訪問數(shù)據(jù)信息的唯一途徑。同時(shí)，系統(tǒng)將自動對入侵者成功訪問云存儲系統(tǒng)的概率進(jìn)行計(jì)算，如該數(shù)值處于極低的水平，則正式生成身份認(rèn)證協(xié)議。當(dāng)身份認(rèn)證協(xié)議生成后，訪問者即可開始進(jìn)行訪問。

2.2 數(shù)據(jù)安全檢測模塊的設(shè)計(jì)

數(shù)據(jù)安全檢測模塊的主要作用是，在目標(biāo)數(shù)據(jù)加密前，對數(shù)據(jù)安全水平進(jìn)行自動分析，以預(yù)先識別和剔除可能存在風(fēng)險(xiǎn)的數(shù)據(jù)。在該模塊中，主要基于DS證據(jù)理論，對數(shù)據(jù)安全水平進(jìn)行評估，其計(jì)算公式如下：

在該公式中，h1（ j ）、h2（ j ）、h3（ j ）分別表示系統(tǒng)的網(wǎng)絡(luò)路徑延遲變量、延遲變化變量和網(wǎng)絡(luò)時(shí)鐘偏移量三個(gè)參數(shù)。同時(shí)，系統(tǒng)會自動設(shè)置一個(gè)數(shù)據(jù)信任度安全閾值，并將計(jì)算結(jié)果與閾值進(jìn)行比較，如計(jì)算結(jié)果超過閾值，則證明不存在危險(xiǎn)因素，反之則視為不安全因素，并對相應(yīng)的數(shù)據(jù)予以處理。

2.3 網(wǎng)絡(luò)數(shù)據(jù)加密模塊的設(shè)計(jì)

在網(wǎng)絡(luò)數(shù)據(jù)加密模塊中，其主要基于云存儲安全模型，對云計(jì)算模式下的系統(tǒng)數(shù)據(jù)信息進(jìn)行加密，確保數(shù)據(jù)存儲和傳輸環(huán)節(jié)的安全性。在本模塊中，其主要基于以下幾個(gè)步驟加以運(yùn)行：1） 數(shù)據(jù)的傳輸和接收雙方均對橢圓曲線參數(shù)進(jìn)行還原處理，此時(shí)，數(shù)據(jù)的接收方也將基于安全通道獲得傳輸方發(fā)送的私鑰，并將其還原為初始的私鑰，返還至數(shù)據(jù)傳送一方；2） 數(shù)據(jù)傳送方對傳輸?shù)臄?shù)據(jù)和身份信息進(jìn)行散列處理，并結(jié)合傳送一方的私鑰，生成數(shù)據(jù)簽名信息；3） 基于接收方的密鑰，對目標(biāo)數(shù)據(jù)進(jìn)行加密，得到目標(biāo)數(shù)據(jù)的密文，將密文上傳至數(shù)據(jù)存儲系統(tǒng)中，同時(shí)向云服務(wù)器端上傳簽名內(nèi)容，以降低數(shù)據(jù)被惡意入侵和盜取的概率；4） 當(dāng)用戶通過身份驗(yàn)證后，系統(tǒng)將向用戶接收方提供一個(gè)私鑰，用以解密文件，從而獲取相應(yīng)的數(shù)據(jù)。

2.4 數(shù)據(jù)通信模塊

在本次研究中，數(shù)據(jù)通信模塊的設(shè)計(jì)又可細(xì)分為以下幾個(gè)部分。

一是服務(wù)器對數(shù)據(jù)信息的下發(fā)。在此環(huán)節(jié)中，當(dāng)用戶通過某一終端接入網(wǎng)關(guān)上線時(shí)，該終端將被賦予一個(gè)唯一的識別碼Socket_ID，該識別碼將被納入鏈表中，以實(shí)現(xiàn)服務(wù)器主動推送實(shí)時(shí)數(shù)據(jù)的功能。如涉及數(shù)據(jù)模型的更新，則系統(tǒng)會自動搜尋數(shù)據(jù)鏈表和數(shù)據(jù)庫中前端用戶注冊后產(chǎn)生的GID和devID兩種數(shù)據(jù)，再據(jù)此找到對應(yīng)的Socket下相應(yīng)的網(wǎng)關(guān)和設(shè)備，進(jìn)而完成數(shù)據(jù)下發(fā)。同時(shí)，在線網(wǎng)關(guān)的ID號也將存入到緩存數(shù)據(jù)庫中。

二是相關(guān)數(shù)據(jù)的上傳與下載。在數(shù)據(jù)上傳前，首先系統(tǒng)將數(shù)據(jù)上傳流程初始化，同時(shí)由網(wǎng)關(guān)客戶端對底層設(shè)備上傳的數(shù)據(jù)進(jìn)行監(jiān)聽，以獲得數(shù)據(jù)類型的信息，尋求相應(yīng)的數(shù)據(jù)處理方式。對于通信平臺的數(shù)據(jù)下載，其主要基于平臺端的JSON格式設(shè)備控制指令來進(jìn)行。具體來看，系統(tǒng)在數(shù)據(jù)下載的初始階段，會進(jìn)行初始化，監(jiān)聽平臺下發(fā)的JSON消息數(shù)據(jù)，并對不同類型的數(shù)據(jù)進(jìn)行針對性處理。其次，在數(shù)據(jù)初步處理后，基于Socket.IO協(xié)議，處理后的數(shù)據(jù)將進(jìn)一步下放至網(wǎng)關(guān)，如數(shù)據(jù)為指令消息，則通過網(wǎng)關(guān)下發(fā)給具體的底層傳感設(shè)備，執(zhí)行具體的操作，如數(shù)據(jù)為模型消息，則由平臺端返回認(rèn)證完成時(shí)相應(yīng)的設(shè)備模型和網(wǎng)關(guān)模型到網(wǎng)關(guān)中，由此最終完成平臺數(shù)據(jù)的下載。

2.5 用戶管理模塊的設(shè)計(jì)

考慮到網(wǎng)絡(luò)安全存儲系統(tǒng)對數(shù)據(jù)安全要求較高，且不同類型的用戶存在著不同的需求，應(yīng)當(dāng)賦予不同得操作權(quán)限，為此，設(shè)計(jì)人員引入系統(tǒng)管理模塊，對各類權(quán)限進(jìn)行分別設(shè)置。在該模塊下，用戶必須注冊賬號并輸入正確的賬號密碼后，方可登錄系統(tǒng)進(jìn)行訪問，這種設(shè)計(jì)方法將有效提升系統(tǒng)的安全性。在此基礎(chǔ)上，為進(jìn)一步提高系統(tǒng)的安全性，在模塊設(shè)計(jì)過程中，采用密碼加密算法，構(gòu)建數(shù)字和大小寫字母的混合密碼模式，并確保密碼長度在10位或更高，有效降低了密碼被暴力破解的可能。另一方面，為實(shí)現(xiàn)對相關(guān)用戶賬戶行為的管理，設(shè)計(jì)人員進(jìn)一步采用get_user_monitor_data（self）函數(shù)進(jìn)行監(jiān)控，以實(shí)時(shí)查看用戶的操作行為，避免用戶出現(xiàn)非法操作等問題。

2.6 數(shù)據(jù)信息的顯示

一方面，在數(shù)據(jù)顯示功能上，設(shè)計(jì)人員應(yīng)用Real?TimePage_Load（）函數(shù)，控制系統(tǒng)內(nèi)數(shù)據(jù)的顯示和隱藏，并使用send函數(shù)進(jìn)行數(shù)據(jù)的分流處理與顯示；另一方面，考慮到該系統(tǒng)涉及海量數(shù)據(jù)的傳輸和更新，因此應(yīng)用UpdateQueueValue函數(shù)，對數(shù)據(jù)進(jìn)行排列與更新。

3 系統(tǒng)測試分析環(huán)節(jié)

3.1 系統(tǒng)性能測試

為探究本次所設(shè)計(jì)的基于云計(jì)算的網(wǎng)絡(luò)安全存儲系統(tǒng)在性能方面的優(yōu)勢，首先對其進(jìn)行性能測試，并與傳統(tǒng)的DES安全存儲系統(tǒng)同時(shí)進(jìn)行對比測試。在測試環(huán)節(jié)中，基于LoadRunner測試工具，模擬多個(gè)虛擬用戶同時(shí)訪問安全存儲系統(tǒng)的情況，首先對CPU占用率指標(biāo)進(jìn)行測試，測試結(jié)果如表3所示。

從表3中的數(shù)據(jù)可知，隨著虛擬用戶數(shù)量的增加，兩個(gè)系統(tǒng)的CPU占用率都呈現(xiàn)出不斷上升的態(tài)勢，但相對而言，本次所設(shè)計(jì)的數(shù)據(jù)存儲系統(tǒng)的CPU占用率處于偏低的水平，而在虛擬用戶數(shù)量達(dá)到1 000時(shí)，傳統(tǒng)的DES系統(tǒng)的占用率已經(jīng)突破了33%，對于系統(tǒng)CPU的負(fù)擔(dān)也相對較重，此時(shí)本次設(shè)計(jì)的數(shù)據(jù)存儲系統(tǒng)的優(yōu)勢相對更為突出。

3.2 系統(tǒng)安全性測試

在基本性能測試完成后，測試人員進(jìn)一步對系統(tǒng)進(jìn)行安全測試。在此環(huán)節(jié)的測試中，測試人員共計(jì)進(jìn)行五次測試，每次測試均隨機(jī)選取20個(gè)數(shù)據(jù)包，每個(gè)數(shù)據(jù)包的大小均在350MB左右，且其中均含有一定量的風(fēng)險(xiǎn)數(shù)據(jù)內(nèi)容。通過向本次設(shè)計(jì)的系統(tǒng)發(fā)送數(shù)據(jù)包，對系統(tǒng)的攔截情況進(jìn)行測試，最終的測試結(jié)果如表4所示。

從表中的數(shù)據(jù)可知，在發(fā)送含有風(fēng)險(xiǎn)內(nèi)容的數(shù)據(jù)包過程中，該系統(tǒng)對風(fēng)險(xiǎn)內(nèi)容實(shí)現(xiàn)了100%的有效攔截，這表明身份認(rèn)證步驟達(dá)到了預(yù)期效果。如身份認(rèn)證環(huán)節(jié)不正確則無法進(jìn)行數(shù)據(jù)的傳輸與存儲。同時(shí)也可據(jù)此表中數(shù)據(jù)得知，當(dāng)數(shù)據(jù)包數(shù)量發(fā)生變化時(shí)，系統(tǒng)的風(fēng)險(xiǎn)數(shù)據(jù)信息檢測能力并未受到影響，在各種情況下均可取得相對較優(yōu)的檢測效果。

4 結(jié)束語

總而言之，在云計(jì)算技術(shù)不斷發(fā)展和推廣應(yīng)用的背景下，將云計(jì)算技術(shù)融入網(wǎng)絡(luò)數(shù)據(jù)安全存儲系統(tǒng)的設(shè)計(jì)中，以提升其數(shù)據(jù)安全水平，具有重要的理論與現(xiàn)實(shí)意義。因此，在實(shí)際工作中，應(yīng)當(dāng)結(jié)合實(shí)際需要，引入云計(jì)算技術(shù)，對網(wǎng)絡(luò)安全存儲系統(tǒng)進(jìn)行優(yōu)化設(shè)計(jì)，確保其數(shù)據(jù)存儲能力和安全性等多方面的指標(biāo)均滿足要求。當(dāng)然，由于各種原因的限制，本次研究的基于云計(jì)算的網(wǎng)絡(luò)安全存儲系統(tǒng)難免存在一定的不足之處，因此在今后的工作中，將考慮引入智能技術(shù)等新技術(shù)，對此系統(tǒng)作進(jìn)一步的優(yōu)化改進(jìn)，確保網(wǎng)絡(luò)數(shù)據(jù)信息安全質(zhì)量進(jìn)一步提升，進(jìn)而推動互聯(lián)網(wǎng)的穩(wěn)定發(fā)展。