基于云存儲的數(shù)據(jù)安全策略分析與研究

引言

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，云計算成為近年來IT業(yè)研究 和應(yīng)用的熱點，受到人們越來越多的關(guān)注。云計算的出現(xiàn)改變 了傳統(tǒng)的計算模式，它不再將數(shù)據(jù)集中在本地進(jìn)行存儲和處 理，而是將數(shù)據(jù)從個人計算機(jī)轉(zhuǎn)移到互聯(lián)網(wǎng)上的大型網(wǎng)絡(luò)數(shù) 據(jù)中心進(jìn)行管理，并且按用戶的需求分配計算資源，以達(dá)到 超級計算的目標(biāo)。但是云計算的這一特點在為人們提供便捷的 同時，也給數(shù)據(jù)安全帶來了許多的隱患，因此，如何高效、安 全的存儲和傳輸來自云端的數(shù)據(jù)成為新的研究熱點。

1云存儲基礎(chǔ)

1.1云存儲的基本概念

云計算是分布式計算、效用計算、網(wǎng)格存儲和虛擬化等 傳統(tǒng)計算模式和網(wǎng)絡(luò)技術(shù)發(fā)展相結(jié)合的產(chǎn)物，是一種新型的 網(wǎng)絡(luò)服務(wù)模式。在云環(huán)境下可將繁重的計算程序通過網(wǎng)絡(luò)自 動拆分成多個子程序，再交給由多個服務(wù)器組成的運(yùn)算系統(tǒng) 進(jìn)行搜索、計算分析后再傳給用戶。通過這種模式可以將共享 的軟硬件資源和信息資源按需提供給計算機(jī)，充分發(fā)揮了其 高分布、高通用和低成本的優(yōu)勢。云存儲是基于云計算的一 種數(shù)據(jù)訪問服務(wù)，可以通俗的理解為配置了超大存儲空間的云 計算系統(tǒng)，它將網(wǎng)絡(luò)中大量不同類型的存儲設(shè)備通過相應(yīng)軟 件集合起來協(xié)同工作，共同為用戶提供數(shù)據(jù)存儲和訪問業(yè)務(wù)， 它的核心便是數(shù)據(jù)存儲和管理。隨著云存儲服務(wù)的發(fā)展，越 來越多的企業(yè)和個人享受到了其高效、快捷、低成本的服務(wù),但是它的安全問題也值得人們的關(guān)注。

1.2云存儲系統(tǒng)結(jié)構(gòu)

對于使用云存儲的終端用戶來說，云存儲不僅是一個硬 件，而且是由存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件、服務(wù)器、終端 客戶等組成的龐大系統(tǒng)。圖1所示是云存儲的系統(tǒng)結(jié)構(gòu)圖。 般來說，云存儲系統(tǒng)一般由4層組成。

存儲層：云存儲的最基礎(chǔ)部分，它可以包含多種類 型的設(shè)備，這些設(shè)備分布在不同的區(qū)域，通過網(wǎng)絡(luò)連接在一起, 能實現(xiàn)對海量數(shù)據(jù)的集中管理和狀態(tài)監(jiān)控；

基礎(chǔ)管理層：云存儲的最核心、最復(fù)雜部分，采用 分布式存儲技術(shù)和集成管理技術(shù)，不僅實現(xiàn)多設(shè)備之間的協(xié) 同工作，提供高效的數(shù)據(jù)訪問性能，而且承擔(dān)了數(shù)據(jù)加密、容災(zāi)、 備份等任務(wù)，保證了云存儲自身的穩(wěn)定和安全；

應(yīng)用接口層：云存儲中最靈活的部分，不同的云存 儲供應(yīng)商根據(jù)業(yè)務(wù)需求，開發(fā)不同的服務(wù)接口，給終端用戶提 供多樣化服務(wù)，例如視頻監(jiān)控應(yīng)用平臺，網(wǎng)絡(luò)硬盤應(yīng)用平臺等;

訪問層：任何一個合法的用戶都可以通過標(biāo)準(zhǔn)的應(yīng) 用接口登陸到云服務(wù)平臺，共享云存儲提供的服務(wù)。

2云存儲的發(fā)展現(xiàn)狀

2.1云存儲的優(yōu)勢

具體來說，云存儲具有如下優(yōu)勢：

（1）使用模式靈活，成本降低：對于業(yè)務(wù)數(shù)據(jù)量不大的 中小企業(yè)或者個人來說，構(gòu)建私有數(shù)據(jù)中心耗資較大，但是 選擇租用公用云存儲，可以根據(jù)租用的空間按需付費，有效 降低了購買設(shè)備的成本。而且云存儲供應(yīng)商能夠提供更專業(yè)的 存儲方案，優(yōu)化存儲性能，使用戶可以集中精力做好自己的核 心業(yè)務(wù):

（2）支持同步升級，有效管理數(shù)據(jù)：構(gòu)建私有的數(shù)據(jù)中 心不僅要購買設(shè)備和管理軟件，而且要進(jìn)行系統(tǒng)的升級和維 護(hù)，這個過程存在一定的風(fēng)險，同時為了防止發(fā)生意外丟失數(shù) 據(jù),必須要高效的做好數(shù)據(jù)備份和歸檔，這也存在一定的風(fēng)險。 借助云存儲服務(wù)，可以將這些問題交由專業(yè)的云服務(wù)提供商來 完成，這樣不僅可以實現(xiàn)存儲服務(wù)的升級，也可將風(fēng)險降到最 低限度；

（3）存儲空間靈活控制：為確保給用戶提供的服務(wù)質(zhì)量, 云存儲數(shù)據(jù)中心的處理能力非常重要，面對數(shù)據(jù)量突然增大 的情況，私有數(shù)據(jù)中心難以應(yīng)付，但是云存儲服務(wù)可以借助其 服務(wù)器群集技術(shù)和虛擬化技術(shù)，對計算機(jī)的存儲資源臨時調(diào) 用，并適當(dāng)分配服務(wù)器和子存儲模塊，以此來解決問題。

2.2云存儲的安全威脅

云存儲給我們帶來了一個全新的存儲模式，用戶要想享 受云存儲服務(wù)，必然要在云環(huán)境下進(jìn)行數(shù)據(jù)傳輸，這些數(shù)據(jù) 可能是個人、公司的機(jī)密，也可能是需要重要保護(hù)的信息。因此, 云存儲的安全性尤為重要。云存儲的安全威脅主要來自以下幾 個方面:

（1）數(shù)據(jù)機(jī)密性：用戶在使用云存儲時，首先會將數(shù)據(jù) 信息上傳到云存儲服務(wù)中心，當(dāng)需要時再從服務(wù)器中下載，在 這個傳輸過程中，甚至數(shù)據(jù)存儲在服務(wù)器上的時候，都面臨 著數(shù)據(jù)泄露、被惡意竊取、篡改等的威脅，使用戶數(shù)據(jù)的機(jī) 密性受到嚴(yán)重破壞；

（2）數(shù)據(jù)的完整性：在云存儲環(huán)境下，用戶若對數(shù)據(jù)進(jìn) 行修改，服務(wù)器端也要保證相應(yīng)的更新。此外，網(wǎng)絡(luò)故障、 設(shè)備故障、病毒感染等都會使用戶數(shù)據(jù)面臨完整性被破壞的 威脅；

（3）數(shù)據(jù)隔離：傳統(tǒng)的網(wǎng)絡(luò)有物理的隔離和防護(hù)邊界, 而云環(huán)境下，存儲空間以虛擬的技術(shù)將同一物理資源分化為幾 份同時租給用戶，所以，對于不同的云用戶來說，云存儲系統(tǒng) 是一個相同的物理系統(tǒng)，因此，如何保證用戶在這個虛擬化的 系統(tǒng)中不越界處理數(shù)據(jù)信息也是云存儲提供商要解決的問題；

（4）訪問控制:用戶通過訪問層接口向服務(wù)器發(fā)出請求時, 云存儲供應(yīng)商會先鑒別用戶身份的合法性，然后再驗證用戶 訪問和操作數(shù)據(jù)信息的權(quán)限，以防止非法用戶的侵害。

3云存儲的安全策略

3.1數(shù)據(jù)加密

為防止云客戶端的數(shù)據(jù)信息被盜取，或者被內(nèi)部人員非 法泄露，一般都會對數(shù)據(jù)的訪問采用加密技術(shù)。當(dāng)前比較成 熟的加密技術(shù)一般分為對稱加密算法（DES）和非對稱加密算 法（RSA）兩類［3］。其中對稱加密是對數(shù)據(jù)進(jìn)行加密和解密 時使用相同的密鑰加密算法，這種加密方式安全性不高，但 是加密方式訪問速度快，一般在發(fā)送方需要加密海量數(shù)據(jù)時 使用。非對稱加密算法中加密和解密時使用不同的密鑰，加 密時使用公鑰（公開加密密鑰），而解密時則使用私鑰（保密 解密公鑰）。數(shù)據(jù)傳輸?shù)碾p方都可以利用公鑰加密信息，但是 只有使用相應(yīng)的私鑰才能解密由該公鑰加密的信息，這種加密 方式安全性較高，但是加密和解密的時間長，速度慢，適合 于對少量數(shù)據(jù)進(jìn)行加密。

結(jié)合兩種加密方式的優(yōu)缺點，我們可以用兩者相結(jié)合的 方式來保證云用戶數(shù)據(jù)的安全性。當(dāng)用戶向云服務(wù)器發(fā)出請求 時，服務(wù)器首先生成一個RSA公鑰/私鑰對，然后把公鑰發(fā) 送給用戶。此時，用戶端已生成自己的DES密鑰，并使用服 務(wù)器端發(fā)送的RSA公鑰加密自己的DES密鑰，并把加密后的 DES密鑰發(fā)送給服務(wù)器端，然后服務(wù)器端再用RSA私鑰來解 密用戶端發(fā)送的DES密鑰。這樣，數(shù)據(jù)在傳輸過程中即使被 截取，沒有DES密鑰便無法獲取原始數(shù)據(jù)；假若DES密鑰 泄露，經(jīng)過RSA公鑰加密，而解密私鑰仍保存在服務(wù)器端, 截取者仍無法獲取原始數(shù)據(jù)，這樣的雙重加密大大提高了數(shù) 據(jù)的安全性。

3.2身份認(rèn)證及訪問策略

隨著云客戶的不斷增加，云端存儲的數(shù)據(jù)信息量也不斷 增大，如果用戶身份被假冒，很可能造成數(shù)據(jù)信息被泄露或被 惡意篡改、刪除等后果。因此，用戶在使用云存儲服務(wù)時，不 僅要通過云服務(wù)供應(yīng)商的身份認(rèn)證，還要遵循一定的訪問控 制策略。傳統(tǒng)的以用戶名和口令作為單一憑證的身份認(rèn)證已經(jīng) 不能滿足云客戶的安全需求，許多云供應(yīng)商開始采用基于多種 安全憑證的聯(lián)合身份認(rèn)證。用戶可以先提供姓名和口令，然后 再提供由云服務(wù)供應(yīng)商提供的動態(tài)驗證碼，確保用戶身份的 合法性。此外，用戶使用多個云服務(wù)商提供的服務(wù)，會產(chǎn)生很 多的口令，而使用聯(lián)合身份認(rèn)證只需認(rèn)證一次，避免了數(shù)據(jù)頻 繁穿梭云間帶來的不必要阻礙。在安全訪問策略方面，我們 要靈活區(qū)分和支持不同客戶的動態(tài)安全需求，首先要保證云端 不同客戶之間數(shù)據(jù)的強(qiáng)隔離性，使得一個用戶不得越權(quán)訪問其 他用戶的數(shù)據(jù)；其次，還要保障云客戶自己內(nèi)部收據(jù)的適當(dāng)隔離，例如，企業(yè)客戶可以根據(jù)自己的安全需求靈活制定訪問控 制策略，隔離內(nèi)部不同部門和區(qū)域的數(shù)據(jù)；同時也可以引入虛 擬組織，實現(xiàn)不同用戶之間的數(shù)據(jù)共享或限制沖突用戶之間的 數(shù)據(jù)共享電

3.3虛擬機(jī)安全策略

云服務(wù)的出租單位是虛擬機(jī)，因此虛擬化安全也是云存 儲安全的重要部分。虛擬化安全的目標(biāo)是確保數(shù)據(jù)的隔離性, 包括每個物理機(jī)上的不同云服務(wù)商之間的數(shù)據(jù)隔離，以及虛 擬數(shù)據(jù)和物理設(shè)備之間的隔離間。為保證隔離效果我們可從 虛擬化軟件安全和虛擬服務(wù)器安全兩方面入手。虛擬化軟件 一般直接部署在裸機(jī)上，它的主要作用是保障客戶的虛擬機(jī) 在多用戶的情況下對重要數(shù)據(jù)進(jìn)行相互隔離，因此，要對所 有授權(quán)用戶訪問虛擬軟件層時進(jìn)行嚴(yán)格限制。在安裝虛擬服務(wù) 器時，為從邏輯上隔離各虛擬服務(wù)器，可為每臺虛擬服務(wù)器 分配單獨的硬盤分區(qū)。同時，盡量使用多核處理器，并劃分高 速緩存，以此來隔離CPU和緩存。其次，為保障傳輸過程的 安全，需要建立互相通信的虛擬機(jī)的網(wǎng)絡(luò)連接方式選擇VPN 方式。除了物理隔離方式，選用自動監(jiān)控策略也是虛擬機(jī)安全 的一個必要環(huán)節(jié)，監(jiān)控程序不僅要盡量避開用戶的隱私數(shù)據(jù), 還要在虛擬機(jī)出現(xiàn)問題時發(fā)出警報或進(jìn)行糾錯。

3.4動態(tài)防火墻策略

云防火墻不僅操作簡單，而且具有強(qiáng)大的抗攻擊能力, 可抵抗200 Gb以上的流量工具，同時它自身還帶有過濾和清 洗功能，提高了數(shù)據(jù)傳輸?shù)陌踩浴榱说钟獠亢蛢?nèi)部的攻 擊，我們可以采用動態(tài)防火墻技術(shù)，即根據(jù)數(shù)據(jù)信息的傳輸 的狀態(tài)進(jìn)行主動和實時檢測，然后對這些數(shù)據(jù)進(jìn)行分析，發(fā) 現(xiàn)其中的非法行為。動態(tài)的防火墻技術(shù)安全性能更高，不僅能 發(fā)現(xiàn)外部的入侵行為，而且對來自內(nèi)部的非法和惡意破壞也有 防范作用。

3.5云平臺安全策略

為確保云存儲服務(wù)的高效性和安全性，云平臺的安全也 非常重要。首先要確保云平臺物理設(shè)備的安全，避免水災(zāi)、火 災(zāi)等自然災(zāi)害以及人為破壞，同時還要做好備份和恢復(fù)工作, 一旦發(fā)生意外情況，能及時處理數(shù)據(jù)，保證數(shù)據(jù)的安全。其次, 還要定期為云平臺的服務(wù)器進(jìn)行漏洞檢查，系統(tǒng)升級，加強(qiáng) 監(jiān)測較薄弱的端口。

4結(jié)語

云計算帶來的云存儲服務(wù)，為用戶帶來了新的數(shù)據(jù)存儲 方式和資源共享模式，方便了人們的生活和工作，但云環(huán)境面 臨的挑戰(zhàn)還很多，如何確保云存儲的安全，將隨著學(xué)術(shù)界的 研究和商界的應(yīng)用逐步得到解決。

20211121_619a11cecd9f4__基于云存儲的數(shù)據(jù)安全策略分析與研究