数据安全:面向分散式存储的云安全架构
本文针对云存储系统和应用过程中的数据安全性问题,提出了一种面向分散式存储的云存储安全架构。该架构采用信息扩散法、分散存储管理、数据自举恢复等技术,分层实现存储数据在云存储中完成应用系统的数据安全存储管理和传输。仿真侧试表明,该架构在保证数据高安全性的同时提高了系统的整体性能。
随着信息科技的现代化发展,人们对计算能力的要求也不断提高,作为与计算密不可分的存储技术,也伴随着计算模型的升级,从最初的单机存储、网络存储、分布式存储发展到现在的云存储。云存储是在
云计算概念上延伸发展出来的一个新概念,是实现云计算的系统架构中重要组成部分之一。与云计算类似,云存储是指通过集群应用、网格技术或分布式文件系统等功能,将网络中大量不同类型的存储设备通过
虚拟化
软件集合起来协同工作,共同对外提供
数据存储和业务访问功能,是对虚拟化存储资源的管理和使用。
尽管很多研究机构认为云计算提供了可靠安全的数据存储中心,但安全问题依然是云存储中存在的主要问题之一。从用户角度考虑,数据的保存都交给云存储供应商,因此数据的可用性及安全性也成为云存储系统突出的问题。在2010年3月召开的云计算中国峰会(ThecloudComputingChinaCongress-CCCC2010)中指出,随着云计算技术的逐步成熟,
云安全问题将日益突出,云计算的数据安全正在成为人们关注的重要问题。
目前,在国内外的研究中,对云存储安全方面的研究还比较少。Bowers等提出了分布式加密系统,Cachin等通过使用加密工具来解决数据完整性和一致性问题,研究数据可恢复机制,典型的包括Weatherspoon的Antiquity与Kotla的SafeSrore,Antiquity是OceanStore的最新改进版本,它被设计用于文件系统和备份的应用程序存储服务系统。国内清华大学、华中科技大学、国防科技大学等科研院校也开始在云存储技术相关领域进行基础性研究工作。如何在复杂的网络环境中保障数据发布及存储服务中的隐私,实现云存储对用户数据的安全性与可信性,是目前亟需解决的问题。
1云存储系统安全威胁分析
1.1云存储系统结构
从实际应用和服务的角度考虑,云存储首先利用了网络,其次它可以按需分配,此外它的虚拟化主要用于存储和数据管理。与传统的存储相比,云存储不仅是一个硬件,而且是一个由网络设备、存储设备、
服务器、应用软件、公用访问接口、接入网和客户端程序等多个部分组成的复杂系统。各部分以存储设备为核心,通过应用软件来对外提供数据存储和业务访问服务。云存储系统的体系结构有以下4层,如图1所示。
.jpg)
图1云存储系统结构
(1)存储层是云存储最基础的部分,它由各种各样的存储设备和网络设备组成。同时,还有一个存储管理系统,负责对硬件设备的集中管理、状态监控以及维护升级等。
(2)基础管理层是云存储最为核心的部分,也是最复杂的部分。基础管理层大量采用了集群管理技术和分布式存储系统的成熟方法,在实现良好的可扩展性的同时,也满足了可用性及性能的需求,它还负责数据加密、备份及容灾等任务。
(3)应用接口层是利用云存储资源进行应用开发的关键部分。云存储供应商通过应用接口层对客户提供统一的协议和编程接口,以进行应用程序的开发。通常这种协议都是基于网络的跨平台协议。
(4)访问层是基于云存储开发的应用程序的入口。任何一个授权用户都可以通过标准的公用应用接口来登录云存储系统,共享云存储所提供的服务。
1.2云存储系统安全分析
灵活性、易于使用的服务和易于共享基础设施是云计算的优势,然而数据通过
互联网在各层之间进行传输并存储,用户对于敏感数据存取时,无法对风险进行直接控制。可以说,云存储自身的特点决定了它在现有的技术方面存在一些安全问题,具体表现如下。
(1)传统的安全域划分无效。由于云存储中服务必须是可伸缩的,对外部来讲并不是透明的,因此云存储中无法清晰地定义安全边界及保护设备,为具体保护措施的实施增加了一定的难度。
(2)云存储是通过网络来传输数据的,其中包括网络中的恶意攻击等造成的服务中断、数据破坏、信息被窃取和篡改等,对实现数据的安全存储造成一定的影响,数据的安全通信、访问认证与保密性也是有待解决的问题。
(3)数据存储的安全性防护包括最终存储数据的存放位置、数据完整性、数据间分散存放等。此外,即使数据采用加密技术,也只是在网络上加密传输,数据在处理和存储时也需要保护。
(4)数据的可靠性、可用性。数据在存储系统的容错性、可恢复性和完整性面临一些问题,如何避免在灾难(停电、地震、水灾、火灾等)发生时带来的服务中断乃至数据介质被直接破坏等问题。
(5)如何实现数据之间的逻辑卷管理、
存储虚拟化管理和多链路冗余管理将会是一个巨大的难题,也将是整个云存储架构的性能瓶颈,而且还会带来后期容量和性能扩展难等一系列问题。
由此可见,数据的安全性问题贯穿于整个云架构的各个层次,单独讨论云存储在某一层中的安全性是毫无意义的。总体而言,对该方面的研究存在两种思路:
①借鉴信息安全的C.I.A特性(机密性、完整性、可用性),为某一特定应用提出专门的实现思路(如增强文件服务器的安全性、客户端加密文件系统、对磁盘磁带全盘静态加密、客户端直接访问磁盘的认证机制等),即将适用于信息安全的措施(如加密技术、完整性技术)移植到存储系统中;
②从存储系统的体系结构入手,寻找安全高效的网络存储与安全管理模式。为此,本文设计了一种面向分散式分片存储管理来解决云存储和应用过程中的数据安全性问题。
2云存储安全架构设计
根据云存储中数据的安全性分析,从数据传输到存储,都需要建立相应的保护措施进行层与层之间的防范。按照云存储的层次结构,通过不同的保护策略逐层对需要存储的数据进行保护,从而实现从数据传输到存储位置的全面防护。该安全架构采用信息扩散法、分散式存储管理、数据自举恢复等技术,分层实现存储数据在云存储中完成应用系统的数据安全存储管理和传输,其系统总体安全框架结构如图2所示。
.jpg)
图2面向分散式存储的云存储安全架构
2.1访问层到应用接口层的设计
通过访问控制与身份认证,采用加密技术SSL对用户存储数据进行保护,使数据在网络传输中得到较为安全的保障。用户与
云存储服务器相互认证,对双方安全证书和身份进行鉴别,成功后用户代理通过安全API和云通信连接进行数据存储服务。
2.2基础管理层设计
.jpg)
责编:罗信
微信扫一扫实时了解行业动态
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
推荐圈子
|
DB2数据的导入(Import)_导出(Expo..
Cognos 中国社区——Cognos 10.2...|
|
