数据安全:面向分散式存储的云安全架构

来源: 万方数据
2011/12/8 10:08:25
本文针对云存储系统和应用过程中的数据安全性问题,提出了一种面向分散式存储的云存储安全架构。该架构采用信息扩散法、分散存储管理、数据自举恢复等技术,分层实现存储数据在云存储中完成应用系统的数据安全存储管理和传输。仿真侧试表明,该架构在保证数据高安全性的同时提高了系统的整体性能。

分享到: 新浪微博 腾讯微博
本文关键字: 分散式存储 云存储
通过信息扩散法,数据分片后在网络传输和数据存储时具有相对的保密性和安全性。在云存储的基础管理层中利用IDA思想,通过分片器把存储信息分片,使数据变成无法被其他非认证系统所识别的数据片段。对于每一个单独的数据片段来说,这些数据片段是不具有任何意义的,如果数据在网络传输过程中被他人截获,被植入的木马病毒扫描获取或在存储设备上被意外窃取,由于截取方只是获得信息的部分数据片段,截取的信息并不具有任何实际含义,这样就能够保证数据分片后不会产生保密信息泄露或扩散。此外,当这些分片后的数据放入地理位置不同的存储器中,即便被其他用户误操作提取时,也能保证需要保护的信息不会被分析出来。数据的分散式存储机制也使存储系统具备一定的容错、容灾能力,提高了信息的可用性。
分片器根据IDA算法将数据分片后,云存储服务器将每个分片数据用一个固定不变的64位句柄对其进行标识,这些句柄也是唯一的,读取数据时根据存储服务器中虚拟视图中句柄和字节范围来进行,在主服务器中建立一个数据列表,用来存储系统中的元数据,其中包括用户存储的文件名、对应的句柄号和文件大小等信息。
数据的存储无论在内容上还是在存储设备中都是分散的,当用户需要对云存储中的数据进行访问或者操作时,分散存储管理器(DSM)需要把分散的数据整合起来,提供给用户一个虚拟的视图,这些分散数据对于用户来说是透明的。用户可以根据提供的视图,对存储的数据进行管理。此外,DSM还支持对元数据的管理,便于用户对数据进行创建、检索和删除等操作。
2.3存储层设计
在存储层设计中,为了实现数据存储的安全策略,云存储中需要满足用户存储海量数据的需求,存储系统规模及存储容量都在不断增长,与存储相关的出错率将越来越高。为了确保云存储安全系统中数据存储的高可用性和可靠性,系统存储层中的设备都必须异地存放,并且互为冗余,这样能够提高设备容错能力和存储利用率。系统使用Reed-Solomon码提供任意高错误恢复技术,保证系统在发现问题后能够被迅速检测到。如果设备上的数据损坏、丢失,存储系统中自动化检测过程会发现这个问题,通过检查可用片重新计算数据片中所有的数据,根据其他存储设备中完好的数据恢复被破坏的数据。通过这样的数据自举恢复,提高了云存储系统的平均无故障时间。
2.4面向分散式存储的云存储数据存取过程
面向分散式存储的云存储用户进行数据存取的过程如图3所示,当用户(个人或企业)存取数据时,在客户端通过系统安全认证后将信息进行SSL加密,传送到Internet中,通过云存储服务器管理,用分片器将数据分片,然后再把数据片传给分散在各地物理位置不同的存储介质中去;当用户读取数据或者查询数据时,在云存储服务器通过身份验证后,用户通过分散存储管理器提供的虚拟视图,完成数据的检索或者删除等操作,此后分散存储管理器再通过设备上的记录表,对存储层中的存储设备进行相应的操作,最后将操作结果返回给用户。
图3用户DSM存取过程
DSM主要负责将数据转发给分片器,记录路径并为用户建立虚拟视图,具体工作过程如下:
(1)接收用户数据的DSM请求;
(2)转发给分片器并记录数据存取路径,等待分片器返还数据状态信息;
(3)创建用户虚拟视图表。
分片器根据IDA算法进行数据分片,分片规则为每个数据片中包含的信息内容不会被泄露,其具体工作过程如下:
(1)从分散存储管理器中提取数据;
(2)根据IDA算法进行数据分片;
(3)将分片后的信息传输到各地的存储设备中;
(4)将存储完成后的状态信息(成功或者错误)、存储设备号、存储位置等返回给分散存储管理器。
存储器主要实现数据最终存取,并带有定期检测数据、自动发现存储数据错误功能,并根据其他互为冗余的存储设备数据修复受损数据,以提高信息的可用性,其工作过程如下:
(1)存储数据后同时在其他存储设备中写入校验码;
(2)向分片器返回数据存储信息;
(3)定期自动检查数据的完整性。
3系统分析与验证
用户保存数据时,系统首先在访问层实现用户身份认证、授权、防止非法访问和越权访问,并将保存数据进行加密,当数据在访问层和应用接口层被拦截时,拦截者不会得到有效的数据信息。
数据在基础管理层被分片后,每个信息中单独的片段也是无效的,在数据从基础管理层到存储层传输的过程中,假设此时数据被拦截(木马病毒扫描获取),截获者得到的只是数据片段,无法对数据的有效性加以分析。
在数据最终存放的存储层中,分片的数据也因为其单独被获取后,获取者由于没有完整的分片数据信息,并且即使得到所有数据分片,也因其没有数据合成的方法,最终不能得到完整的数据。此外,当数据被破坏时,存储层中互为冗余的数据也可将其恢复,保证了数据的安全性和可用性。
可以看出,本系统根据云存储的层次结构,通过相应的保护策略逐层对数据进行保护,从数据传输到存储,都建立了相应的保护措施进行云存储层以及层与层之间的防范,实现了数据的全面防护,防止了需要保密的数据泄漏后造成不必要的损失。该方法在Windows环境下通过系统仿真加以了认证。
4结论
由于云计算的复杂性以及用户的动态性,云存储主要存在数据间分开存放、数据恢复、数据加密、数据完整性保护等问题。本文提出的云存储安全架构对于数据保密性要求高、基于内容存储的用户,在安全性、可靠性和可用性方面具有较大的优势,具备一定的容灾、数据恢复及容错能力。然而,这些需要通过空间和时间上的代价来满足安全性需求。因此,根据本文提出的安全架构特点,通过增强动态分析明确最佳的性能所在,优化数据存取路径,提高数据整体读取性能,以实现更具有存储空间效率的存储策略,增强云存储服务效率等,将是我们下一步要研究的重点问题。
共2页: [1]2 下一页
责编:罗信
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map