二 、云存储安全架构设计
根据云存储中数据的安全性分析,从数据传输到存储,都需要建立相应的保护措施进行层与层之间的防范。按照云存储的层次结构,通过不同的保护策略逐层对需要存储的数据进行保护,从而实现从数据传输到存储位置的全面防护。该安全架构采用信息扩散法、分散式存储管理、数据自举恢复等技术,分层实现存储数据在云存储中完成应用系统的数据安全存储管理和传输,其系统总体安全框架结构如图2所示。
XW{POL0E63MCEL.jpg)
图2面向分散式存储的云存储安全架构
2.1访问层到应用接口层的设计
通过访问控制与身份认证,采用加密技术SSL对用户存储数据进行保护,使数据在网络传输中得到较为安全的保障。用户与云存储服务器相互认证,对双方安全证书和身份进行鉴别,成功后用户代理通过安全API和云通信连接进行数据存储服务。
2.2基础管理层设计
通过信息扩散法,数据分片后在网络传输和数据存储时具有相对的保密性和安全性。在云存储的基础管理层中利用IDA思想,通过分片器把存储信息分片,使数据变成无法被其他非认证系统所识别的数据片段。对于每一个单独的数据片段来说,这些数据片段是不具有任何意义的,如果数据在网络传输过程中被他人截获,被植入的木马病毒扫描获取或在存储设备上被意外窃取,由于截取方只是获得信息的部分数据片段,截取的信息并不具有任何实际含义,这样就能够保证数据分片后不会产生保密信息泄露或扩散。此外,当这些分片后的数据放入地理位置不同的存储器中,即便被其他用户误操作提取时,也能保证需要保护的信息不会被分析出来。数据的分散式存储机制也使存储系统具备一定的容错、容灾能力,提高了信息的可用性。
分片器根据IDA算法将数据分片后,云存储服务器将每个分片数据用一个固定不变的64位句柄对其进行标识,这些句柄也是唯一的,读取数据时根据存储服务器中虚拟视图中句柄和字节范围来进行,在主服务器中建立一个数据列表,用来存储系统中的元数据,其中包括用户存储的文件名、对应的句柄号和文件大小等信息。
数据的存储无论在内容上还是在存储设备中都是分散的,当用户需要对云存储中的数据进行访问或者操作时,分散存储管理器(DSM)需要把分散的数据整合起来,提供给用户一个虚拟的视图,这些分散数据对于用户来说是透明的。用户可以根据提供的视图,对存储的数据进行管理。此外,DSM还支持对元数据的管理,便于用户对数据进行创建、检索和删除等操作。
2.3存储层设计
在存储层设计中,为了实现数据存储的安全策略,云存储中需要满足用户存储海量数据的需求,存储系统规模及存储容量都在不断增长,与存储相关的出错率将越来越高。为了确保云存储安全系统中数据存储的高可用性和可靠性,系统存储层中的设备都必须异地存放,并且互为冗余,这样能够提高设备容错能力和存储利用率。系统使用Reed-Solomon码提供任意高错误恢复技术,保证系统在发现问题后能够被迅速检测到。如果设备上的数据损坏、丢失,存储系统中自动化检测过程会发现这个问题,通过检查可用片重新计算数据片中所有的数据,根据其他存储设备中完好的数据恢复被破坏的数据。通过这样的数据自举恢复,提高了云存储系统的平均无故障时间。
2.4面向分散式存储的云存储数据存取过程
面向分散式存储的云存储用户进行数据存取的过程如图3所示,当用户(个人或企业)存取数据时,在客户端通过系统安全认证后将信息进行SSL加密,传送到Internet中,通过云存储服务器管理,用分片器将数据分片,然后再把数据片传给分散在各地物理位置不同的存储介质中去;当用户读取数据或者查询数据时,在云存储服务器通过身份验证后,用户通过分散存储管理器提供的虚拟视图,完成数据的检索或者删除等操作,此后分散存储管理器再通过设备上的记录表,对存储层中的存储设备进行相应的操作,最后将操作结果返回给用户。
A.jpg)
图3用户DSM存取过程
DSM主要负责将数据转发给分片器,记录路径并为用户建立虚拟视图,具体工作过程如下:
(1)接收用户数据的DSM请求;
(2)转发给分片器并记录数据存取路径,等待分片器返还数据状态信息;
(3)创建用户虚拟视图表。
分片器根据IDA算法进行数据分片,分片规则为每个数据片中包含的信息内容不会被泄露,其具体工作过程如下:
(1)从分散存储管理器中提取数据;
(2)根据IDA算法进行数据分片;
(3)将分片后的信息传输到各地的存储设备中;
(4)将存储完成后的状态信息(成功或者错误)、存储设备号、存储位置等返回给分散存储管理器。
存储器主要实现数据最终存取,并带有定期检测数据、自动发现存储数据错误功能,并根据其他互为冗余的存储设备数据修复受损数据,以提高信息的可用性,其工作过程如下:
(1)存储数据后同时在其他存储设备中写入校验码;
(2)向分片器返回数据存储信息;
(3)定期自动检查数据的完整性。
(责任编辑:)
