论文部分内容阅读
摘 要:在计算机数据存储中,云储存系统带给人们的便利是显而易见的,而其所面临的數据安全风险也是巨大的。本文根据当前云存储数据安全所面临的诸多问题,从技术角度来对云储存系统结构模型进行了分析,并针对其安全性提出了相应的策略。
关键词:云储存系统;结构模型;技术分析;安全策略
1.引言
云存储系统的根本目标是保证存储数据的安全性、保密性、完整性和可用性。整个存储过程中包含了数据生成、传输、保存和访问四个环节,这就给云存储信息安全以及加密技术提出了更高的要求。为了能够确保云存储的安全性和完整性,需要有针对性地对云存储的安全性进行分析,使用有效的模型来规避云存储各方面的安全问题,还可以在存储 信息时,引入云存储技术来让大数据能够更好地服务于人类和社会。
2.构建云储存系统结构模型
与传统的存储设备相比,云存储不仅仅是一个硬件,而是一个网络设备、存储设备、服务器、应用软件、公用访问接口、接入网、和客户端程序等多个部分组成的复杂系统。各部分以存储设备为核心。通过应用软件来对外提供数据存储和业务访问服务。云存储系统的结构模型由4层组成。
(1)存储层。云存储最基本的部分是存储层。存储平台设备包括FC光纤通道存储设备、NAS和iSCSI等IP存储设备、SCSI或SAS等DAS存储设备等。云存储中的存储设备分布于不同地域且数量庞大,设备之间彼此通过广域网、互联网或者FC光纤通道网络连接在一起。
(2)基础管理。作为云存储最核心的部分,基础管理也是存储实现上困难最大的一部分。云存储中多个存储设备之间的协同工作通过基础管理层的集群、分布式文件系统和网格计算等技术来实现,从而使多个存储设备对外提供同一种服务,同时也大大提高了数据的访问性能。
(3)应用接口。云存储最灵活的部分就是应用接口。根据实际业务类型,不同的云存储运营单位可以开发不同的应用服务接口,提供个性化的数据存储应用服务。
(4)访问层。授权用户可以通过标准的公用接口登录云存储系统,并能够全方位地享受云存储服务。云存储提供的访问类型和访问手段受制于云存储运营单位,单位不同,相应的访问类型和访问手段也不尽相同。
云存储技术作为数据存储虽然大势所趋,但是目前还未形成统一的标准,存储漏洞或是内部存储风险等问题仍然存在,这些因素都将会对大数据存储产生不良影响。云存储技术的广泛应用,使得所存储的数据呈现多样性和数据量大的特点,大容量、高速率,是每一个用户对系统提出的更高要求,因此,需要充分考虑用户的需求并及时进行优化升级。在未来数据存储技术的发展中,为了适应社会的发展确保不被社会所淘汰,需要进行规范管理。
3.云储存安全保护策略
3.1数据传输安全保护策略
在数据传输安全的问题上,可采用光纤传输,因为其在数据传输物理链路上做到了相对于其它材料更好的屏蔽保护措施。为了确保数据安全,通过专线或VPN技术进行公网上数据的传输。对数据进行加密传输,不仅可以保证数据的高质量加密防护,用户自主加密的模式,可以更加灵活地应对可能出现的各种安全风险。
3.2多副本保护策略
为了避免由于硬件故障而引起的数据丢失或损坏的情况发生,采用多副本策略是比较有效的方法。通过利用硬件设备对数据资源进行存储备份,在云环境下,依托于现在新型的云存储技术进行多副本管理。如果发生硬件损坏情况,导致所存储数据丢失等情况,针对于这一问题,行之有效的解决办法就是采用多副本策略。
3.3密钥策略
密钥策略的主要目的是为了能够让敏感数据不会被轻易获取。在此策略中,不仅对数据存取以及访问进行了非常严格的限制,同时还对相关敏感数据进行加密处理让其资源到加密保护。此外通过密钥管理,可以对进行加密处理的资源进行访问控制,这种密钥管理策略成为了保护数据的核心机制。通过这种核心机制,可以加强云存储平台的安全性,让平台数据不会轻易受到恶意攻击而导致数以万计的用户和企业的数据泄露。同时,也能够确保云存储服务提供商和用户的利益得到保障。
3.4引入视频监控设备加大安全保护力度
随着视频监控技术的不断发展,真实、完整地记录生活中发生的事情已是监控设备最重要的任务和功能,由此,通过视频监控技术检查云存储技术的安全性随之被应用到安全监测中去。将在资料存储的过程中录入和调出查阅的情况通过视频监控技术进行记录,这也将在一定程度上保障了资料的安全性。为了确保视频监控技术更好地服务于云存储技术,需要投入更多的精力去克服视频监控技术存在的一些弊端,如网络不够流畅、视频转放器落后、性能差等,让视频监控技术更加有效地支持云存储技术的发展。另外,多个应用接口存在于云存储视频播放系统中,这也将在很大程度上提升查找效率。
3.5数据的差异性保存
在云储存系统还没有应用于我们的工作生活中之前,数据一般都是在私有服务器中储存的,当时为了确保数据的安全性,我们根据数据的重要程度对其进行了分类,确定了不同数据的不同保密等级。而这种差异性的保存策略对于云储存系统也同样适用,用户可以对非常重要的数据进行自行保存,对一些普通的数据则可以直接存放在云端上,以确保数据的安全性,提高数据使用的实用性。
4.云储存技术方案分析
为了解决云存储提出可信服务器的概念,设计基于可信服务器的第三方隔离管理的机制。本研究主要从文件安全、隔离架构、数据存储以及数据访问控制四个方面进行数据的安全机制分析。
图2安全机制模型
(一)GFS文件系统
谷歌的分布式文件系统(GoogleFileSystem,GFS)是一个可扩展的分布式文件系统,用于大型的、分布式的、对大量数据进行访问的应用。如图4所示,一个GFS集群是由一个Master和大量的ChunkServer组成。Master是一个中心服务器,负责管理文件系统的名字空间以及Client对文件的访问。集群中的ChunkServer负责数据的存储。该架构仅涉及文件的操作而没有涉及用户身份认证以及个人隐私信息(如用户名、密码、Email)。 (1)GFSclient将服务所要读取的文件名與byte offset,根据系统chunk大小,换算成文件的chunk index,即文件数据所处的第几个chunk。
(2)将filename与chunk index传给master。
Master返回给client元数据信息(包含chunk handle与实际存储的chunkserver location)。然后client获取到该信息,作为key值与filename+chunkindex缓存起来。
(3)Client根据这些元数据信息,直接对chunkserver发出读请求。对于三副本而言(一份chunk存储在三台不同的chunkserver),client选择离自己最近的chunkserver(网络?),通过之前获取的元数据信息找到需要读的chunk位置以及下一个chunk位置。如果缓存的元数据信息已过期,则需要重新向master去获取一遍。
(4)Chunkserver返回给client要读的数据信息。
(二)隔离架构
基于可信服务器的云存储网络结构如图5所示,该结构主要包括云服务器、可信服务器、用户3个部分。该方案能实现用户信息管理和用户数据存储的离。TS的数据库记录注册用户的个人信息、存储的文件名等。当用户有数据要存储时必须先向TS进行认证,获得存储权限。认证通过后TS分别向云服务器和用户发送相同的对应于某个文件的存储认证码,用户用此存储认证码作为存储权限凭证,向云服务器存储数据。在该结构中,用户存储数据的数据流发生用户和云服务器之间,可信服务器只执行授权和反馈存储结果的操作,因而TS不会成为数据传输瓶颈。
(三)数据存储
用户当有数据要存储到云服务器时,需要先进行混淆分割处理,产生n*k个数据子块。用datai表示第i个数据子块,用DataIDi表示第i个数据子块的文件名。
令DataIDi=Hash(UserID*Password*Timestamp)其中i=1,2...k。其中,Hash()是一个带密钥的单向Hash函数,UserID为用户在TS注册的用户名,Password为对应的密码,Timestamp为时间戳。通过上式,每个用户的所有数据子块都可以分配唯一对应的文件名。用户存储数据的流程如图6所示。这种机制实现了用户数据存储与用户信息管理的分离,将传统服务器对用户管理的权限转移到可信服务器。
(四)数据访问控制
5.结束语
随着大数据时代的来临,云存储设备能够给人们带来极大的便利性。私有云平台的数据安全问题,传统的在线存储机制是服务器记录每个用户的信息。
因此,提升云存储设备的安全性,成为了当前云计算应用技术的重要任务之一。通过不断地加强其安全性,云存储设备才能得到更加长远的发展。因此,除了要了解云存储的安全性能以外,还需要制定出行之有效的改进措施,让云存储使用者能够对其技术所具有的价值及作用有一个深入的了解,促进我国高新技术水平的提升。
作者简介:
孙伟(1981-),男,汉族,内蒙古察呼伦贝尔人,集宁师范学院计算机学院讲师,工程硕士,研究方向:软件工程。
本研究为内蒙古自治区高等学院科学研究资助项目,项目名称“在云计算环境下基于CDIO教学理念构造的自主学习平台的研究”,项目计划编号为NJZY17370。
关键词:云储存系统;结构模型;技术分析;安全策略
1.引言
云存储系统的根本目标是保证存储数据的安全性、保密性、完整性和可用性。整个存储过程中包含了数据生成、传输、保存和访问四个环节,这就给云存储信息安全以及加密技术提出了更高的要求。为了能够确保云存储的安全性和完整性,需要有针对性地对云存储的安全性进行分析,使用有效的模型来规避云存储各方面的安全问题,还可以在存储 信息时,引入云存储技术来让大数据能够更好地服务于人类和社会。
2.构建云储存系统结构模型
与传统的存储设备相比,云存储不仅仅是一个硬件,而是一个网络设备、存储设备、服务器、应用软件、公用访问接口、接入网、和客户端程序等多个部分组成的复杂系统。各部分以存储设备为核心。通过应用软件来对外提供数据存储和业务访问服务。云存储系统的结构模型由4层组成。
(1)存储层。云存储最基本的部分是存储层。存储平台设备包括FC光纤通道存储设备、NAS和iSCSI等IP存储设备、SCSI或SAS等DAS存储设备等。云存储中的存储设备分布于不同地域且数量庞大,设备之间彼此通过广域网、互联网或者FC光纤通道网络连接在一起。
(2)基础管理。作为云存储最核心的部分,基础管理也是存储实现上困难最大的一部分。云存储中多个存储设备之间的协同工作通过基础管理层的集群、分布式文件系统和网格计算等技术来实现,从而使多个存储设备对外提供同一种服务,同时也大大提高了数据的访问性能。
(3)应用接口。云存储最灵活的部分就是应用接口。根据实际业务类型,不同的云存储运营单位可以开发不同的应用服务接口,提供个性化的数据存储应用服务。
(4)访问层。授权用户可以通过标准的公用接口登录云存储系统,并能够全方位地享受云存储服务。云存储提供的访问类型和访问手段受制于云存储运营单位,单位不同,相应的访问类型和访问手段也不尽相同。
云存储技术作为数据存储虽然大势所趋,但是目前还未形成统一的标准,存储漏洞或是内部存储风险等问题仍然存在,这些因素都将会对大数据存储产生不良影响。云存储技术的广泛应用,使得所存储的数据呈现多样性和数据量大的特点,大容量、高速率,是每一个用户对系统提出的更高要求,因此,需要充分考虑用户的需求并及时进行优化升级。在未来数据存储技术的发展中,为了适应社会的发展确保不被社会所淘汰,需要进行规范管理。
3.云储存安全保护策略
3.1数据传输安全保护策略
在数据传输安全的问题上,可采用光纤传输,因为其在数据传输物理链路上做到了相对于其它材料更好的屏蔽保护措施。为了确保数据安全,通过专线或VPN技术进行公网上数据的传输。对数据进行加密传输,不仅可以保证数据的高质量加密防护,用户自主加密的模式,可以更加灵活地应对可能出现的各种安全风险。
3.2多副本保护策略
为了避免由于硬件故障而引起的数据丢失或损坏的情况发生,采用多副本策略是比较有效的方法。通过利用硬件设备对数据资源进行存储备份,在云环境下,依托于现在新型的云存储技术进行多副本管理。如果发生硬件损坏情况,导致所存储数据丢失等情况,针对于这一问题,行之有效的解决办法就是采用多副本策略。
3.3密钥策略
密钥策略的主要目的是为了能够让敏感数据不会被轻易获取。在此策略中,不仅对数据存取以及访问进行了非常严格的限制,同时还对相关敏感数据进行加密处理让其资源到加密保护。此外通过密钥管理,可以对进行加密处理的资源进行访问控制,这种密钥管理策略成为了保护数据的核心机制。通过这种核心机制,可以加强云存储平台的安全性,让平台数据不会轻易受到恶意攻击而导致数以万计的用户和企业的数据泄露。同时,也能够确保云存储服务提供商和用户的利益得到保障。
3.4引入视频监控设备加大安全保护力度
随着视频监控技术的不断发展,真实、完整地记录生活中发生的事情已是监控设备最重要的任务和功能,由此,通过视频监控技术检查云存储技术的安全性随之被应用到安全监测中去。将在资料存储的过程中录入和调出查阅的情况通过视频监控技术进行记录,这也将在一定程度上保障了资料的安全性。为了确保视频监控技术更好地服务于云存储技术,需要投入更多的精力去克服视频监控技术存在的一些弊端,如网络不够流畅、视频转放器落后、性能差等,让视频监控技术更加有效地支持云存储技术的发展。另外,多个应用接口存在于云存储视频播放系统中,这也将在很大程度上提升查找效率。
3.5数据的差异性保存
在云储存系统还没有应用于我们的工作生活中之前,数据一般都是在私有服务器中储存的,当时为了确保数据的安全性,我们根据数据的重要程度对其进行了分类,确定了不同数据的不同保密等级。而这种差异性的保存策略对于云储存系统也同样适用,用户可以对非常重要的数据进行自行保存,对一些普通的数据则可以直接存放在云端上,以确保数据的安全性,提高数据使用的实用性。
4.云储存技术方案分析
为了解决云存储提出可信服务器的概念,设计基于可信服务器的第三方隔离管理的机制。本研究主要从文件安全、隔离架构、数据存储以及数据访问控制四个方面进行数据的安全机制分析。
图2安全机制模型
(一)GFS文件系统
谷歌的分布式文件系统(GoogleFileSystem,GFS)是一个可扩展的分布式文件系统,用于大型的、分布式的、对大量数据进行访问的应用。如图4所示,一个GFS集群是由一个Master和大量的ChunkServer组成。Master是一个中心服务器,负责管理文件系统的名字空间以及Client对文件的访问。集群中的ChunkServer负责数据的存储。该架构仅涉及文件的操作而没有涉及用户身份认证以及个人隐私信息(如用户名、密码、Email)。 (1)GFSclient将服务所要读取的文件名與byte offset,根据系统chunk大小,换算成文件的chunk index,即文件数据所处的第几个chunk。
(2)将filename与chunk index传给master。
Master返回给client元数据信息(包含chunk handle与实际存储的chunkserver location)。然后client获取到该信息,作为key值与filename+chunkindex缓存起来。
(3)Client根据这些元数据信息,直接对chunkserver发出读请求。对于三副本而言(一份chunk存储在三台不同的chunkserver),client选择离自己最近的chunkserver(网络?),通过之前获取的元数据信息找到需要读的chunk位置以及下一个chunk位置。如果缓存的元数据信息已过期,则需要重新向master去获取一遍。
(4)Chunkserver返回给client要读的数据信息。
(二)隔离架构
基于可信服务器的云存储网络结构如图5所示,该结构主要包括云服务器、可信服务器、用户3个部分。该方案能实现用户信息管理和用户数据存储的离。TS的数据库记录注册用户的个人信息、存储的文件名等。当用户有数据要存储时必须先向TS进行认证,获得存储权限。认证通过后TS分别向云服务器和用户发送相同的对应于某个文件的存储认证码,用户用此存储认证码作为存储权限凭证,向云服务器存储数据。在该结构中,用户存储数据的数据流发生用户和云服务器之间,可信服务器只执行授权和反馈存储结果的操作,因而TS不会成为数据传输瓶颈。
(三)数据存储
用户当有数据要存储到云服务器时,需要先进行混淆分割处理,产生n*k个数据子块。用datai表示第i个数据子块,用DataIDi表示第i个数据子块的文件名。
令DataIDi=Hash(UserID*Password*Timestamp)其中i=1,2...k。其中,Hash()是一个带密钥的单向Hash函数,UserID为用户在TS注册的用户名,Password为对应的密码,Timestamp为时间戳。通过上式,每个用户的所有数据子块都可以分配唯一对应的文件名。用户存储数据的流程如图6所示。这种机制实现了用户数据存储与用户信息管理的分离,将传统服务器对用户管理的权限转移到可信服务器。
(四)数据访问控制
5.结束语
随着大数据时代的来临,云存储设备能够给人们带来极大的便利性。私有云平台的数据安全问题,传统的在线存储机制是服务器记录每个用户的信息。
因此,提升云存储设备的安全性,成为了当前云计算应用技术的重要任务之一。通过不断地加强其安全性,云存储设备才能得到更加长远的发展。因此,除了要了解云存储的安全性能以外,还需要制定出行之有效的改进措施,让云存储使用者能够对其技术所具有的价值及作用有一个深入的了解,促进我国高新技术水平的提升。
作者简介:
孙伟(1981-),男,汉族,内蒙古察呼伦贝尔人,集宁师范学院计算机学院讲师,工程硕士,研究方向:软件工程。
本研究为内蒙古自治区高等学院科学研究资助项目,项目名称“在云计算环境下基于CDIO教学理念构造的自主学习平台的研究”,项目计划编号为NJZY17370。