云計算下數據安全存儲技術研究

吳曉生，馬 力

（廣東省城鄉規劃設計研究院，廣東 廣州 510290）

0 引 言

隨著科學技術的快速發展，云計算已經發展成為一種新的計算模式和研究領域。當前，云計算環境下的空間數據應用早已突破專業領域的限制，在國土、資源、環境、交通和規劃等眾多領域的應用日益廣泛，而“智慧城市”建設更是極大地拓展了空間數據的應用范圍。云計算是基于一些可配置的計算、存儲資源以及計算外包機制等構建一個中心化的資源系統，進而為不同的人員提供不同的服務，如一些軟硬件服務、網絡服務以及存儲服務等。經過對資源的有效管理，用戶可以在較低成本下獲得高性能和可靠的計算服務。因此，在企業運營中，如何保障數據存儲的安全是重要的一環，需要結合先進的數據存儲技術來實現，以此保障系統的安全運行。

1 云計算環境下數據安全存儲的相關概述

云計算環境下的數據儲存包含數據信息的管理與儲存，在具體使用中還包含系統認證服務、安全日志審計與管理等方面的技術內容。

在多業務系統聯動的云計算環境下，單點登錄統一認證技術得到了普遍應用。該認證服務的具體意義在于，只需對用戶進行單點登錄操作與訪問控制，就可有效降低在云計算開放環境中數據信息遭到一些不法分子侵入和獲取的概率，縮小用戶資料信息留存與管理范圍，保證數據傳輸的安全性。對數據的存儲與管理應用進行技術加密，保證用戶信息安全，以此保證數據在傳輸中的安全性與穩定性，特別是對一些敏感數據信息的安全保障具有重要的積極影響[1]。在安全管理中，它主要利用系統中的技術模塊提供支持。為了在用戶的信息和權限方面實現有效管理，主要包括用戶信息的注銷、用戶登錄的權限以及一些特殊信息的權限操作等內容，以避免一些越權操作，進而保護用戶的數據安全。云計算環境下的安全日志審計與管理方面，主要記錄系統中的一些關鍵事件，然后在管理員的管理下，利用相關技術計算用戶和系統的數據信息，對信息進行訪問、監管和審計。另外，在具體使用環節，應當結合完善的安全日志來保證用戶日志的安全性和精準性，對這些日志信息進行長期的針對性跟蹤與記錄，以便獲得更多的信息數據，從而及時回應在使用和傳輸期間出現的一些危險，在最短的時間內做出有效的審計報告。

2 數據存儲關鍵技術分析和提升措施

2.1 云計算環境海量存儲

2.1.1 存儲卷空間劃分

基于分布式存儲、對象存儲系統的云計算環境，為尋求最佳高頻、多并發存儲讀寫性能，存儲卷劃分標準一般按16T/LUN和32T/LUN的基準，而最大一般不超過32T/LUN。隨著用戶的需求演進與數據的爆發式增長，存在海量存儲空間需求，即存儲空間達到64T/LUN、128T/LUN甚至更高。針對此類應用需求，基于云計算平臺性能考慮，建議利用業務系統的虛擬存儲池功能，將已掛載的多個存儲卷進行合并利用。例如：合并WIN10的存儲池功能和LINUX的LVM邏輯卷管理功能進行實現。

2.1.2 設計列式存儲環境

列式存儲模型下的空間數據按照“數據集組-數據集-數據描述-數據塊”的方式組織數據。空間數據采用分塊方式存儲在集群中，提高了空間數據的并發讀寫能力。通過列式存儲技術設計了固定字節長度分塊、圖形范圍分塊和要素分塊3種空間數據劃分策略。通過建立列式存儲與空間數據模型問的映射關系，為該空間數據模型設計的空間數據引擎實現了業務邏輯與底層存儲結構的分離。

2.2 數據加密技術的分析

由于云計算環境的開放性較強，因此需要保障其環境中的數據安全，同時需要優化處理一些常見的加密技術。目前，在云計算環境下，適合該環境的加密技術有三種算法。

2.2.1 AES

該算法是在3DES算法基礎上衍生的一種對稱加密算法，具有加密效率高、生成密鑰速度塊和內存需求較低的特點。在具體的對稱性方面，如果在數據傳輸時期丟失密鑰，將會嚴重威脅這個數據系統的安全。所以，在應用AES算法過程中，需要有效管理AES密鑰，才能保障整體系統的安全[2]。

2.2.2 云端重加密

該加密方法主要是結合對云計算的實際應用來進行對數據的訪問控制，具體以CP-ABE為基礎，創造出一種高性能的運算加密算法[3]。在該加密方法應用期間，能夠將一些重加密的負擔轉移到云端，并且通過這樣的控制轉換，可以有效減少所有管理人員的管理負擔。這種動態密文訪問機制能夠有效提升對數據的控制效率，進而提升數據傳輸機密的效率與質量。

2.2.3 RSA

該算法在整個加密領域具有特殊地位，是第一個能夠同時應用于數字簽名和加密的技術算法，對于一些非對稱加密算法具有極其重要的作用。實際應用期間，它的密鑰長度能夠達到一個較長的長度要求，同時在到達一定程度后，被加密的數據不能被破解，具有較高的安全性能。但是，RSA加密算法需要分解大素數，導致其機密效率不高，目前更適合于一些保密性較高的數據存儲系統。

2.3 應用Hadoop安全機制

在該機制的1.0版本之前，一般不存在任何的數據安全保護措施。而在人們對數據安全存儲的需求不斷增加的背景下，需要全面完善Hadoop安全機制。在傳統的系統應用期間，用戶與服務之間缺少全面的保密措施和有效的認證機制，也沒有指定有效的保護措施保證數據的存儲安全。如果數據發生丟失或者遭到一些不法分子入侵，將無法全面保證用戶的信息安全[4]。對于建立和應用完善的安全機制，主要手段是強化系統的集群化管理，保證管理的安全性。在相關技術人員對授權機制和安全認證的研究下，此研究中需要將Hadoop平臺嵌入安全認證和授權機制。現階段，安全認證與授權機制被廣泛運用且發展良好。

2.3.1 Simple機制

該機制使用SAAS協議，主要內容是在用戶提交訪問信息動作后，需要經過一段“你是誰？”的操作，然后利用JobConf中的user.name等相關技術實施動作提交后，再利用JonTracKer核實與核對該段相關信息，保證用戶的信息準確性。此外，需要檢查ACL相關的配置文件，發現其是否存在訪問的違法行為，并且在通過審核后獲得由HSFS授予的delegation token。隨后結合相關的訪問檢查操作，對實際情況通過token進行反映。使用期間，還需要檢查用戶與訪問人員的一致性要求。

2.3.2 Kerberos認證機制

該認證機制是網絡協議的一種，利用密鑰系統為客戶或者機器提供一些可靠的認證服務，其中不需要結合主機中的一些操作系統來認證相關機制和地址的信賴程度，更不會對系統中的物理安全做出要求，因此屬于一種第三方服務機制的形式，本質是利用傳統密碼來實現相關認證服務的要求。現階段應用的Hadoop中會應用到Kerberos認證機制，可以保障集點的穩定性[5]。在部署相關的集點中，該機制需要提前將密鑰在各個節點進行分配處理，并且要求節點可靠。等到集群運行后，它的內部可靠的節點再通過密鑰來實施認證處理。只要認證通過，這樣的節點就可以被應用。如果節點存在假冒現象而導致其沒有獲得一定的密鑰，那么其將難以與集群內部的節點進行聯系，進而保障集群的安全性。

2.4 建立數據敏感度模型

敏感數據在云計算環境中主要指在企業或者個人中一些特殊存儲的重要數據，一旦未經授權被篡改或者丟失，將會對個人、企業甚至國家造成嚴重威脅。云計算的主要原理是通過分布式處理辦法，高效分析處理大數據。數據加密期間不僅需要考慮其安全性，還要考慮其在加密過程中的快速性，這是保證云計算環境下數據存儲的重要前提[6]。

對于一些敏感數據的分類而言，它可以集合數據內容的敏感系數r來劃分，具體可以分為4個等級。

（1）r=0：不敏感數據；

（2）0＜r≤0.3：輕度敏感數據；

（3）0.3＜r≤0.5：中度敏感數據；

（4）0.5＜r≤1：高度敏感數據。

在此計算環境下，可以以上述等級建立數據的敏感模型，結合安全技術的管理與應用，對用戶數據進行分級保護。

2.5 提升安全數據存儲的措施

2.5.1 云平臺安全措施

云平臺安全包括物理環境安全、網絡安全、計算安全和數據處理環境安全。現階段，業務系統數據應用具有多樣性和持續性。就數據云存儲的安全性問題而言，對云平臺的保障十分重要，云平臺基礎安全需對標《等保2.0》三級標準進行建設。對于云平臺數據存儲，數據重點保護措施包括采用多副本、容災備份等應用。在保障云存儲平臺的安全性與高效性方面，可根據實際業務體量，采用本地容災備份或者異地災備系統，實現云平臺業務數據的高可靠性，如圖1所示。

圖1 容災備份應用示意圖

2.5.2 SDP軟件定義邊界技術

在云計算環境下，采用SDP架構作為數據訪問連接，每個連接要經過多點驗證和檢查，以保障真實性和限制風險。通常，SDP模型中設置有定義資源訪問策略的控制器，規定哪些客戶端可以連接并訪問不同資源。網關組件則幫助導引流量到正確的數據中心或云資源。設備和服務可使用SDP客戶端，通過控制器連接并請求資源。有些SDP實現是無客戶端式的，可以結合數據的傳輸狀態進行全面分析，如果發現一些可能存在的違法行為，可以做出有效的技術防護。不僅保證了數據傳輸的安全性，而且能夠保障數據不被外部病毒所入侵。

對于安全邊界的確定，SDP提高了安全應用的靈活性。SDP支持云平臺私有化部署，可以根據實際應用需求進行選擇性部署。SDP應用實現的是邊界防護，結合應用網關起到技術隔離作用。將應用服務器保護在網關之后，外界掃描和攻擊來源無法探測到服務器地址和端口，通過SDP技術可將原有固化的邊界進行模糊化，從而縮小受攻擊面。

2.5.3 虛擬機隔離設定

虛擬機的主要作用是保障各個數據之間進行明確的隔離，通過SDN服務器自動下發專屬子網絡。因此，對用戶進行訪問的虛擬層具有嚴格的限制，需在數據傳輸過程中建立互相通信的虛擬機，保證數據傳輸的安全性。

3 結 論

云應用被廣泛應用說明我國在計算機領域中取得了重大突破，需要對其應用做好全面優化處理，在保證云存儲安全的基礎上，解決目前面臨的問題。因此，需要從數據加密、用戶認證以及一些安全機制的建立方面入手，清除一些惡意攻擊數據的危險因素，以此保證廣大云端用戶的數據安全，提升用戶數據應用的體驗，最終促進相關產業的綜合發展。