| 标题 | 云存储安全构架分析及关键技术研究 |
| 范文 | 李曦蔓 摘 ?要:云存储作为云计算衍生的新服务,受到很多用户的青睐,但是在数据传输过程中却不安全。本文首先介绍了数据存储的发展历程和相关概念、技术,分析了云存储在应用中的安全问题,并给出了目前解决该问题的一些关键技术和安全方案。 关键词:云存储;安全架构;关键技术 0 ?引言 信息技术的高速发展和社会经济的发展进步,使得人们对信息化的依耐性越来越高,社会也正逐步进入到"数字化"社会,然而数据的急剧膨胀,又引起了一系列的数字化的变革。企业的数据量从TB级到PB级,个人的数据量也从GB级到TB级。据不完全统计,2011年产生的数据量是1996年的180倍,而且这个数据量还会以每年60%的速度增长,这些都对传统的存储系统带来了新的挑战。云存储是近年发展起来的一种新兴技术,是在云计算概念上延伸和发展出来的一个新的概念。云计算是现在信息界中研究的热点,各大公司都在积极地研究并且推出了许多云计算服务,例如亚马逊公司在2011年仅在自己推出的云计算服务上就获取几十个亿的利润。可以预见在不久的将来就能取代现有的个人计算机,人们只需要有网络,开通一个账号就可以随时随地享受其所带来的服务。 1 ?云存储的定义 云存储是在云计算定义上的延伸和发展。云计算是分布式技术、并行技术和网格计算技术的发展和综合应用,是通过网络将庞大的计算处理程序自动地分拆成无数个较小的子程序,再交由服务器所组成的庞大系统,经计算分析之后将处理结果回传给用户。通过云计算,网络服务的提供者可以在数秒之内处理大量信息,实现强大的网络服务。云存储的定义与云计算相似,通过云计算的相关技术,将各个地区的存储设备集合起来协同工作,提供数据存储服务,由此可见云存储是云计算技术的一种应用。一般来讲,当使用某一个独立的存储设备时,得知道这个存储设备的型号、接口协议、文件访问方式、有多少磁盘容量等,得知道存储设备与服务器之间采用何种方式连接,为了保证数据的安全性,还需要对设备数据建立备份和容灾。另外,还要定期对存储系统进行监控、各个相关设备维护、软硬件更新升级等。 2 ?云存储系统架构 云存储系统与传统的存储系统不同,它不再是一个服务器、存储设备、应用软件,还包括访问接口、系统中的各种算法、存储虚拟化等多个部分组成一个庞大的系统,一般来讲只有具备一定资金实力和硬件支持的公司才能建立这样的系统。云存储系统架构由四部分组成,自上而下分别是访问层、应用接口层、基础管理层、存储层。 (1)访问层 访问层相当于系统的一个窗口,被授权的用户通过这个窗口享受云存储所带来的服务,如个人空间服务、企事业单位数据备份服务、数据归档服务、视频监控服务等,当然不同的运营商,所提供的访问类型、登录方式和提供的服务也是不相同的,那么访问层的设计也是千差万别。 (2)应用接口层 应用接口层相当于系统中的一座桥,它是基础管理层与访问层的一座桥梁,开发者可以根据用户的需求开发出不同的应用接口,如针对安防系统开发的视频监控接口、针对网络存储数据开发网络硬盘应用平台接口、针对数据备份开发的远程数据备份应用接口等,此部分设计比较灵活,而且在这层可以通过用户认证、权限管理、数据加密等技术对用户的数据进行简单的安全保护。 (3)基础管理层 基础管理层相当于系统的心脏,也是整个云存储系统的灵魂,云存储中主要的技术都应用在此层,开发者通过分布式系统、网格计算、集群系统、内容分发技术、数据加密、数据备份、数据冗余等技术,实现云存储系统各部分协同工作,使系统中存储层的各个存储设备提供相同的服务,并且需要不断地改进更新优化这一层,提供更好更优的服务。 (4)存储层 存储层相当于系统的仓库,是存储系统最基础的部分。公共平台上的云存储系统的存储设备分布在不同的区域而且数量庞大,开发者通过互联网、广域网或者光纤通道网络技术将各地的设备连接起来共同存储数据,存储设备可以是磁带、光盘、磁盘等介质。存储设备上有统一的存储设备管理系统,可以实现对硬件的状态监控和维护升级,以及存储集中管理和存储的虚拟化管理。 3 ?云存储中安全隐患 云存储突破了传统存储方式所带来的容量瓶颈和性能劣势,能够实现规模效应和弹性扩展,降低运营成本以及避免资源的浪费。然而数据是通过网络传输数据,用户无法对其中的危险进行控制,云存储自身的特点也决定了它的一些技术方面存在的一些安全问题,具体安全问题如下: (1)云存储聚集了大量的用户和重要的数据资源,所以也更容易吸引黑客的攻击。当用户通过网络传输数据,在传输过程中,如果受到攻击,如流量攻击、植入病毒、攻击服务器等,那么数据很容易被窃取、破坏和篡改,其造成影响的范围更多,后果更严重。 (2)云存储这种信息的服务模式将资源所有权、管理权以及使用权进行了分离。对于公共的服务平台,用户失去了对物理资源的直接控制,会面临着与云存储提供商协作一些安全问题,如果用户退出某个运营商的服务,那么不完整和不安全的数据删除会对用户的利益造成一定的损害。此外,如果服务供应商破产了,那么债权人也许会用设备作为抵押的资产,他们不会关心设备上存储什么数据,用户的利益也同样受到了损失。 (3)传统的基于物理安全边界的防护机制难以有效保护虚拟化环境下的用户应用和信息安全。另外云存储系统主要是通过虚拟机进行计算,一旦出现故障,如何快速定位问题所在也是一个重大的挑战。 (4)云存储中数据存储的安全性还包括最终数据存放位置,例如一些自然灾害或者人为的灾难发生时,比如停电、地震等带来的服务终端或者存储设备遭到破坏,那么如何保证数据的完整性、可用性、可恢复性、以及服务的可执行性也是一个重要的问题。 4 ?云存储中安全关键技术 (一)云存储中安全的关键技术类型 (1)公共云存储是专为大规模用户设计,由服务商提供运行,所有的组件都设置在用户端的防火墙外部,放在一个共享的基础设施里,并且是逻辑分区、多租户的,可通过安全的互联网连接进行访问。公共云存储系统能为每个客户提供数据隔离、需要可用的归档内容到数据备份以及灾难性恢复数据。客户可以根据自己所在的位置或者价格选择合适服务,公共云用户不需要物理存储硬件或者任何特殊的内部技术。 (2)私有云存储往往需要建立在公司的防火墙后面,即建立在私有的环境中,如企业、政府等,使用公司所拥有或授权的硬件和软件。如果拥有一些服务器和存储器,并将其连接在一起作为一个区域资源池运行,形成了私有云。一般由云存储服务商帮助企业搭建私有云存储系统,然后公司所有的数据保存在内部并且被内部IT员工完全控制着,这些员工可以集中存储空间来实现不同部门中的访问或者被公司内部的不同的项目团队使用,无论他们的物理位置在哪。 (3)合云是扩展至公有云的私有云,大多数是指私有云搭建好,但是很多数据资源不够用,还得动态地在公网上申请公共云作为私有云的补充,即混合云用户除了可以利用自己的既有资源,也可以利用公共云服务。存储系统的用户可以管理本地和外部资源,用户可以根据实际情况决定数据被移动到云的哪一部分,将重要的数据放入到私有云中,不太重要的公共数据放到公共云上。 (二)数据加密技术 在通信上,数据加密技术在其三个层次上实现应用:链路加密、节点加密以及端到端加密。链路加密能够保证传输数据的安全,所有的数据在传输之前进行加密,在下一个节点对接收到的数据先进行解密然后使用另一个密钥加密,再继续传输,如此下去,直到最后一个节点,由于每经过一个中间传输节点都要对数据加密解密,所以在传输过程中数据以密文的形式出现。这种方法在网络环境中使用,由于在节点上是以明文的形式存在,所以得保证所有节点是安全的,否则会泄露内容;节点机密与链路加密相似,也是在节点上先对数据解密然后加密,但是节点加密要求报头和路由信息以明文的形式传输,便于中间节点能得到处理数据的信息,这样对于攻击者分析通信业务是脆弱的;端到端加密与前两种应用不同,他使得传输的数据在从传输起点到终点都是以密文的形式存在,数据在传输时不进行解密,所以不需要要求所有节点都是安全的,只要起点和终点安全,与前两种方法相比,端到端加密更可靠也更容易设计和实现。现在,加密技术已经比较成熟,大部分加密算法还是靠复杂的数学方法保证加密的强度,这容易影响到网络的性能,需要专门建立专用网络设施。 (三)云存储系统的加固技术 数据备份是指为了防止出现误操作或者设备故障,将数据集合从主机的硬盘复制到其他存储设备的过程。如果主机出现故障,则其他存储设备就会代替主机,使系统继续工作。目前常见的备份方式有定期磁带备份、远程数据库备份、网络数据镜像备份以及远程镜像磁盘备份等。定期磁带备份是指将数据定期地传送到远程备份中心制作完整的备份磁带,即将磁带作为长期存储数据的存储介质,要求在系统与磁带库之间建立通信链路。远程数据库备份是指在备份系统中建立一个重要数据库的镜像拷贝,利用通信线路进行日志传输,将这些数据库日志传输到备份系统中,保证备份系统中的数据库与系统中的数据库中的数据保持同步性。网络数据镜像备份是指通过对系统数据库数据和重要的数据与目标文件采取跟踪,同时对所产生的操作日志采取网络实时传送的方式传送到备份系统中,然后备份系统根据操作日志更新备份系统的数据,保证备份数据与系统数据的同步性。远程镜像磁盘备份是指通过磁盘控制技术和高速光纤通信线路将镜像磁盘配置于与系统较远的地方,镜像磁盘和主磁盘中的数据都保持着实时同步或者实时异步的方式。 (四)异常流量监管技术 云存储系统中的数据是通过网络进行传输,所以常常会有流量型攻击、应用层攻击以及各种病毒感染数据。流量攻击是指用大数据、大流量等方式来击垮网络设备和服务器,故意制造大量无法完成的请求来快速消耗服务器资源,使得受害的主机或者网络无法接收并处理外界请求,降低服务的效率。具体的表现方式有:通过制造大量无用的数据,造成网络阻塞,使得主机无法与外界通信;利用被攻击的机器提供服务或者传输协议上重复连接的缺陷,反复发出重复服务请求,使得主机无法处理正常的请求;利用主机提供服务程序或者传输协议本身缺陷,反复发送攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态或者死机。对于异常流量,完全杜绝目前是不可能的,但是可以做到抵御大部分,如果适当地采取措施加大攻击者的攻击成本,那么有可能使得攻击者无法继续攻击而放弃。通常采用协议格式认证、流量统计、会话清洗等技术对异常流量进行清洗和过滤。 网络中的病毒其实就是一个程序,一般都是自动执行或者在一定条件下执行(双击、定时等),执行病毒程序就会按照程序的指令进行相应的数据删除等一系列工作,造成电脑软件或者硬件损坏。对于病毒的防治主要采用DPI技术进行检测,其主要原理是事先采集恶意程序样本,提取出相应代码的特征,然后放到DPI库中,并不断地更新。网络设备通过检测网络中的代码是否与DPI库中的代码相同来确定是否是恶意病毒,如果是就采取相应的措施将病毒清除。如果将来真正的进入云时代,用户的数据放入到服务商提供的资源池中,实现资源共享,对于DPI库也会更新最新的恶意病毒,所有的用户系统中都会有同一个最新的DPI库。除此之外,云存储系统还可以通过用户认证、权限管理等安全方面措施来确保整个系统的安全性。 5 ?总结 云存储是近年发展起来的一种新兴技术,是在云计算概念上延伸和发展出来的一个新的概念。云存储系统是将分布式文件系统、网络技术、集群应用到云计算中,因此也就拥有这些技术的优点,如内聚性、透明性、灵活性、可扩展性等,也因为其是集中式的数据管理,克服了备份困难的缺点,使得数据更加可靠。本文主要介绍了云存储的定义、组织架构以及目前解决云存储中安全问题的关键技术,对今后的相关理论研究具有极大的指导作用。 参考文献: [1]邢继元,张义德.计算机存储技术的发展现状和趋势[J].科协论坛,2008(2):87-89. [2] Ke Zhou, Ze Deng. Put mass storage into Grid. Proceedings of the 2006 IEEE/SMC International Conference on System of Systems Engineering. 2006:189-192. [3]冯丹.网络存储关键技术的研究及进展[J].移动通信,2009,33(11):35-39. [4] 张伟阳.浅析云存储安全问题[J].中国科技纵横,2011(16):121. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。