基于云存儲的數(shù)據(jù)安全策略分析與研究

引言

隨著網絡技術的高速發(fā)展，云計算成為近年來IT業(yè)研究 和應用的熱點，受到人們越來越多的關注。云計算的出現(xiàn)改變 了傳統(tǒng)的計算模式，它不再將數(shù)據(jù)集中在本地進行存儲和處 理，而是將數(shù)據(jù)從個人計算機轉移到互聯(lián)網上的大型網絡數(shù) 據(jù)中心進行管理，并且按用戶的需求分配計算資源，以達到 超級計算的目標。但是云計算的這一特點在為人們提供便捷的 同時，也給數(shù)據(jù)安全帶來了許多的隱患，因此，如何高效、安 全的存儲和傳輸來自云端的數(shù)據(jù)成為新的研究熱點。

1云存儲基礎

1.1云存儲的基本概念

云計算是分布式計算、效用計算、網格存儲和虛擬化等 傳統(tǒng)計算模式和網絡技術發(fā)展相結合的產物，是一種新型的 網絡服務模式。在云環(huán)境下可將繁重的計算程序通過網絡自 動拆分成多個子程序，再交給由多個服務器組成的運算系統(tǒng) 進行搜索、計算分析后再傳給用戶。通過這種模式可以將共享 的軟硬件資源和信息資源按需提供給計算機，充分發(fā)揮了其 高分布、高通用和低成本的優(yōu)勢。云存儲是基于云計算的一 種數(shù)據(jù)訪問服務，可以通俗的理解為配置了超大存儲空間的云 計算系統(tǒng)，它將網絡中大量不同類型的存儲設備通過相應軟 件集合起來協(xié)同工作，共同為用戶提供數(shù)據(jù)存儲和訪問業(yè)務， 它的核心便是數(shù)據(jù)存儲和管理。隨著云存儲服務的發(fā)展，越 來越多的企業(yè)和個人享受到了其高效、快捷、低成本的服務,但是它的安全問題也值得人們的關注。

1.2云存儲系統(tǒng)結構

對于使用云存儲的終端用戶來說，云存儲不僅是一個硬 件，而且是由存儲設備、網絡設備、應用軟件、服務器、終端 客戶等組成的龐大系統(tǒng)。圖1所示是云存儲的系統(tǒng)結構圖。 般來說，云存儲系統(tǒng)一般由4層組成。

存儲層：云存儲的最基礎部分，它可以包含多種類 型的設備，這些設備分布在不同的區(qū)域，通過網絡連接在一起, 能實現(xiàn)對海量數(shù)據(jù)的集中管理和狀態(tài)監(jiān)控；

基礎管理層：云存儲的最核心、最復雜部分，采用 分布式存儲技術和集成管理技術，不僅實現(xiàn)多設備之間的協(xié) 同工作，提供高效的數(shù)據(jù)訪問性能，而且承擔了數(shù)據(jù)加密、容災、 備份等任務，保證了云存儲自身的穩(wěn)定和安全；

應用接口層：云存儲中最靈活的部分，不同的云存 儲供應商根據(jù)業(yè)務需求，開發(fā)不同的服務接口，給終端用戶提 供多樣化服務，例如視頻監(jiān)控應用平臺，網絡硬盤應用平臺等;

訪問層：任何一個合法的用戶都可以通過標準的應 用接口登陸到云服務平臺，共享云存儲提供的服務。

2云存儲的發(fā)展現(xiàn)狀

2.1云存儲的優(yōu)勢

具體來說，云存儲具有如下優(yōu)勢：

（1）使用模式靈活，成本降低：對于業(yè)務數(shù)據(jù)量不大的 中小企業(yè)或者個人來說，構建私有數(shù)據(jù)中心耗資較大，但是 選擇租用公用云存儲，可以根據(jù)租用的空間按需付費，有效 降低了購買設備的成本。而且云存儲供應商能夠提供更專業(yè)的 存儲方案，優(yōu)化存儲性能，使用戶可以集中精力做好自己的核 心業(yè)務:

（2）支持同步升級，有效管理數(shù)據(jù)：構建私有的數(shù)據(jù)中 心不僅要購買設備和管理軟件，而且要進行系統(tǒng)的升級和維 護，這個過程存在一定的風險，同時為了防止發(fā)生意外丟失數(shù) 據(jù),必須要高效的做好數(shù)據(jù)備份和歸檔，這也存在一定的風險。 借助云存儲服務，可以將這些問題交由專業(yè)的云服務提供商來 完成，這樣不僅可以實現(xiàn)存儲服務的升級，也可將風險降到最 低限度；

（3）存儲空間靈活控制：為確保給用戶提供的服務質量, 云存儲數(shù)據(jù)中心的處理能力非常重要，面對數(shù)據(jù)量突然增大 的情況，私有數(shù)據(jù)中心難以應付，但是云存儲服務可以借助其 服務器群集技術和虛擬化技術，對計算機的存儲資源臨時調 用，并適當分配服務器和子存儲模塊，以此來解決問題。

2.2云存儲的安全威脅

云存儲給我們帶來了一個全新的存儲模式，用戶要想享 受云存儲服務，必然要在云環(huán)境下進行數(shù)據(jù)傳輸，這些數(shù)據(jù) 可能是個人、公司的機密，也可能是需要重要保護的信息。因此, 云存儲的安全性尤為重要。云存儲的安全威脅主要來自以下幾 個方面:

（1）數(shù)據(jù)機密性：用戶在使用云存儲時，首先會將數(shù)據(jù) 信息上傳到云存儲服務中心，當需要時再從服務器中下載，在 這個傳輸過程中，甚至數(shù)據(jù)存儲在服務器上的時候，都面臨 著數(shù)據(jù)泄露、被惡意竊取、篡改等的威脅，使用戶數(shù)據(jù)的機 密性受到嚴重破壞；

（2）數(shù)據(jù)的完整性：在云存儲環(huán)境下，用戶若對數(shù)據(jù)進 行修改，服務器端也要保證相應的更新。此外，網絡故障、 設備故障、病毒感染等都會使用戶數(shù)據(jù)面臨完整性被破壞的 威脅；

（3）數(shù)據(jù)隔離：傳統(tǒng)的網絡有物理的隔離和防護邊界, 而云環(huán)境下，存儲空間以虛擬的技術將同一物理資源分化為幾 份同時租給用戶，所以，對于不同的云用戶來說，云存儲系統(tǒng) 是一個相同的物理系統(tǒng)，因此，如何保證用戶在這個虛擬化的 系統(tǒng)中不越界處理數(shù)據(jù)信息也是云存儲提供商要解決的問題；

（4）訪問控制:用戶通過訪問層接口向服務器發(fā)出請求時, 云存儲供應商會先鑒別用戶身份的合法性，然后再驗證用戶 訪問和操作數(shù)據(jù)信息的權限，以防止非法用戶的侵害。

3云存儲的安全策略

3.1數(shù)據(jù)加密

為防止云客戶端的數(shù)據(jù)信息被盜取，或者被內部人員非 法泄露，一般都會對數(shù)據(jù)的訪問采用加密技術。當前比較成 熟的加密技術一般分為對稱加密算法（DES）和非對稱加密算 法（RSA）兩類［3］。其中對稱加密是對數(shù)據(jù)進行加密和解密 時使用相同的密鑰加密算法，這種加密方式安全性不高，但 是加密方式訪問速度快，一般在發(fā)送方需要加密海量數(shù)據(jù)時 使用。非對稱加密算法中加密和解密時使用不同的密鑰，加 密時使用公鑰（公開加密密鑰），而解密時則使用私鑰（保密 解密公鑰）。數(shù)據(jù)傳輸?shù)碾p方都可以利用公鑰加密信息，但是 只有使用相應的私鑰才能解密由該公鑰加密的信息，這種加密 方式安全性較高，但是加密和解密的時間長，速度慢，適合 于對少量數(shù)據(jù)進行加密。

結合兩種加密方式的優(yōu)缺點，我們可以用兩者相結合的 方式來保證云用戶數(shù)據(jù)的安全性。當用戶向云服務器發(fā)出請求 時，服務器首先生成一個RSA公鑰/私鑰對，然后把公鑰發(fā) 送給用戶。此時，用戶端已生成自己的DES密鑰，并使用服 務器端發(fā)送的RSA公鑰加密自己的DES密鑰，并把加密后的 DES密鑰發(fā)送給服務器端，然后服務器端再用RSA私鑰來解 密用戶端發(fā)送的DES密鑰。這樣，數(shù)據(jù)在傳輸過程中即使被 截取，沒有DES密鑰便無法獲取原始數(shù)據(jù)；假若DES密鑰 泄露，經過RSA公鑰加密，而解密私鑰仍保存在服務器端, 截取者仍無法獲取原始數(shù)據(jù)，這樣的雙重加密大大提高了數(shù) 據(jù)的安全性。

3.2身份認證及訪問策略

隨著云客戶的不斷增加，云端存儲的數(shù)據(jù)信息量也不斷 增大，如果用戶身份被假冒，很可能造成數(shù)據(jù)信息被泄露或被 惡意篡改、刪除等后果。因此，用戶在使用云存儲服務時，不 僅要通過云服務供應商的身份認證，還要遵循一定的訪問控 制策略。傳統(tǒng)的以用戶名和口令作為單一憑證的身份認證已經 不能滿足云客戶的安全需求，許多云供應商開始采用基于多種 安全憑證的聯(lián)合身份認證。用戶可以先提供姓名和口令，然后 再提供由云服務供應商提供的動態(tài)驗證碼，確保用戶身份的 合法性。此外，用戶使用多個云服務商提供的服務，會產生很 多的口令，而使用聯(lián)合身份認證只需認證一次，避免了數(shù)據(jù)頻 繁穿梭云間帶來的不必要阻礙。在安全訪問策略方面，我們 要靈活區(qū)分和支持不同客戶的動態(tài)安全需求，首先要保證云端 不同客戶之間數(shù)據(jù)的強隔離性，使得一個用戶不得越權訪問其 他用戶的數(shù)據(jù)；其次，還要保障云客戶自己內部收據(jù)的適當隔離，例如，企業(yè)客戶可以根據(jù)自己的安全需求靈活制定訪問控 制策略，隔離內部不同部門和區(qū)域的數(shù)據(jù)；同時也可以引入虛 擬組織，實現(xiàn)不同用戶之間的數(shù)據(jù)共享或限制沖突用戶之間的 數(shù)據(jù)共享電

3.3虛擬機安全策略

云服務的出租單位是虛擬機，因此虛擬化安全也是云存 儲安全的重要部分。虛擬化安全的目標是確保數(shù)據(jù)的隔離性, 包括每個物理機上的不同云服務商之間的數(shù)據(jù)隔離，以及虛 擬數(shù)據(jù)和物理設備之間的隔離間。為保證隔離效果我們可從 虛擬化軟件安全和虛擬服務器安全兩方面入手。虛擬化軟件 一般直接部署在裸機上，它的主要作用是保障客戶的虛擬機 在多用戶的情況下對重要數(shù)據(jù)進行相互隔離，因此，要對所 有授權用戶訪問虛擬軟件層時進行嚴格限制。在安裝虛擬服務 器時，為從邏輯上隔離各虛擬服務器，可為每臺虛擬服務器 分配單獨的硬盤分區(qū)。同時，盡量使用多核處理器，并劃分高 速緩存，以此來隔離CPU和緩存。其次，為保障傳輸過程的 安全，需要建立互相通信的虛擬機的網絡連接方式選擇VPN 方式。除了物理隔離方式，選用自動監(jiān)控策略也是虛擬機安全 的一個必要環(huán)節(jié)，監(jiān)控程序不僅要盡量避開用戶的隱私數(shù)據(jù), 還要在虛擬機出現(xiàn)問題時發(fā)出警報或進行糾錯。

3.4動態(tài)防火墻策略

云防火墻不僅操作簡單，而且具有強大的抗攻擊能力, 可抵抗200 Gb以上的流量工具，同時它自身還帶有過濾和清 洗功能，提高了數(shù)據(jù)傳輸?shù)陌踩?。為了抵御外部和內部的?擊，我們可以采用動態(tài)防火墻技術，即根據(jù)數(shù)據(jù)信息的傳輸 的狀態(tài)進行主動和實時檢測，然后對這些數(shù)據(jù)進行分析，發(fā) 現(xiàn)其中的非法行為。動態(tài)的防火墻技術安全性能更高，不僅能 發(fā)現(xiàn)外部的入侵行為，而且對來自內部的非法和惡意破壞也有 防范作用。

3.5云平臺安全策略

為確保云存儲服務的高效性和安全性，云平臺的安全也 非常重要。首先要確保云平臺物理設備的安全，避免水災、火 災等自然災害以及人為破壞，同時還要做好備份和恢復工作, 一旦發(fā)生意外情況，能及時處理數(shù)據(jù)，保證數(shù)據(jù)的安全。其次, 還要定期為云平臺的服務器進行漏洞檢查，系統(tǒng)升級，加強 監(jiān)測較薄弱的端口。

4結語

云計算帶來的云存儲服務，為用戶帶來了新的數(shù)據(jù)存儲 方式和資源共享模式，方便了人們的生活和工作，但云環(huán)境面 臨的挑戰(zhàn)還很多，如何確保云存儲的安全，將隨著學術界的 研究和商界的應用逐步得到解決。

20211121_619a11cecd9f4__基于云存儲的數(shù)據(jù)安全策略分析與研究