計(jì)算機(jī)網(wǎng)絡(luò)中隱私信息安全存儲(chǔ)系統(tǒng)整體架構(gòu)設(shè)計(jì)及仿真實(shí)驗(yàn)驗(yàn)證研究

湯培新

(廣州市人力資源和社會(huì)保障數(shù)據(jù)服務(wù)中心,廣東 廣州 510000)

0 引言

目前,信息數(shù)據(jù)的隱私安全已成為計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域中的研究熱點(diǎn)。董子漁[1]提出一種基于SAN技術(shù)的隱私信息安全存儲(chǔ)系統(tǒng),通過(guò)采用SAN網(wǎng)絡(luò)框架,將網(wǎng)絡(luò)信息安全存儲(chǔ)系統(tǒng)劃分為管理調(diào)控模塊、資源池模塊、安全控制模塊以及網(wǎng)絡(luò)安全模塊,通過(guò)各模塊間的調(diào)度與協(xié)作,實(shí)現(xiàn)了隱私數(shù)據(jù)的儲(chǔ)存與管理,有效提高了數(shù)據(jù)安全保護(hù)效率。但在使用中,該方法也存在存儲(chǔ)量受限的問(wèn)題,導(dǎo)致系統(tǒng)無(wú)法及時(shí)更新。許建峰等[2]提出一種基于Modbus/TCP的隱私信息安全存儲(chǔ)系統(tǒng),在硬件方面優(yōu)化計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)關(guān),實(shí)現(xiàn)了安全級(jí)DCS與非安全級(jí)DCS的Modbus/TCP協(xié)議轉(zhuǎn)換,并通過(guò)對(duì)安全信息進(jìn)行加密傳輸和口令認(rèn)證,實(shí)現(xiàn)信息安全存儲(chǔ)。此系統(tǒng)在保證隱私數(shù)據(jù)安全存儲(chǔ)效率的基礎(chǔ)上,降低了安全檢測(cè)的讀帶寬和寫(xiě)帶寬,使系統(tǒng)能夠同時(shí)執(zhí)行更多的安全存儲(chǔ)任務(wù)。但在使用中,該系統(tǒng)也存在無(wú)法壓縮數(shù)據(jù)的缺點(diǎn),造成該系統(tǒng)占用計(jì)算機(jī)網(wǎng)絡(luò)空間較大的問(wèn)題。基于此,本研究通過(guò)提出一種基于Linux系統(tǒng)的隱私信息安全存儲(chǔ)系統(tǒng),通過(guò)選取Linux系統(tǒng)作為設(shè)計(jì)核心,最大限度地發(fā)揮數(shù)據(jù)加解密技術(shù)優(yōu)勢(shì),以實(shí)現(xiàn)對(duì)iSCSI報(bào)文攜帶數(shù)據(jù)的加解密處理,達(dá)到安全存儲(chǔ)的最終目的,且所需存儲(chǔ)空間更小,更適用于實(shí)踐應(yīng)用。

1 隱私信息安全存儲(chǔ)系統(tǒng)整體架構(gòu)設(shè)計(jì)

1.1 系統(tǒng)整體設(shè)計(jì)

Linux系統(tǒng)是一種基于自由和開(kāi)放源代碼的操作系統(tǒng),具有較強(qiáng)的安全性與穩(wěn)定性,可在多種應(yīng)用平臺(tái)上運(yùn)行,并能為使用者提供眾多應(yīng)用程序的工具,以滿(mǎn)足用戶(hù)的實(shí)際操作需求。

1.1.1 控制平面設(shè)計(jì)

本系統(tǒng)控制平面設(shè)計(jì)時(shí)充分借助了Linux系統(tǒng)的IPC機(jī)制,即基于Netlink Socket的內(nèi)核態(tài)與用戶(hù)態(tài)間的雙向數(shù)據(jù)傳輸技術(shù),實(shí)現(xiàn)了數(shù)據(jù)平面數(shù)據(jù)包的高速轉(zhuǎn)發(fā),切實(shí)提高了隱私信息安全存儲(chǔ)系統(tǒng)的信息管理效率與報(bào)文處理效率[3]。結(jié)構(gòu)如圖1所示。

圖1 控制平面CPU結(jié)構(gòu)

1.1.2 數(shù)據(jù)平面設(shè)計(jì)

數(shù)據(jù)平面CPU在ZOL核上運(yùn)行,主要負(fù)責(zé)隱私信息安全存儲(chǔ)系統(tǒng)的業(yè)務(wù)邏輯處理。按照系統(tǒng)業(yè)務(wù)需求的不同,數(shù)據(jù)平面CPU共包括網(wǎng)絡(luò)報(bào)文處理模塊和3DES加解密模塊兩大部分,二者分別以不同的進(jìn)程進(jìn)行。其中,網(wǎng)絡(luò)報(bào)文處理進(jìn)程負(fù)責(zé)為系統(tǒng)生產(chǎn)數(shù)據(jù),數(shù)據(jù)加解密進(jìn)程則負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行加解密處理,并在處理完成后,將數(shù)據(jù)復(fù)原為最原始的報(bào)文格式,再?gòu)木W(wǎng)口發(fā)送出去[4]。在本系統(tǒng)中,將35個(gè)CPU劃分為30個(gè)CPU進(jìn)行數(shù)據(jù)包處理,5個(gè)CPU進(jìn)行數(shù)據(jù)加解密處理,以構(gòu)建出性能最佳的CPU分配比例。且兩個(gè)進(jìn)程所使用的CPU數(shù)量也可根據(jù)系統(tǒng)的實(shí)際需求進(jìn)行動(dòng)態(tài)調(diào)整,使渠道隱私信息安全存儲(chǔ)系統(tǒng)處于最佳工作狀態(tài)。

1.2 功能模塊設(shè)計(jì)

1.2.1 網(wǎng)絡(luò)報(bào)文處理模塊功能設(shè)計(jì)

網(wǎng)絡(luò)報(bào)文處理模塊作為隱私信息安全存儲(chǔ)系統(tǒng)的功能模塊之一,既負(fù)責(zé)從網(wǎng)口接收的報(bào)文中提取IPSAN系統(tǒng)傳輸?shù)臄?shù)據(jù);也負(fù)責(zé)將數(shù)據(jù)加解密模塊處理后的數(shù)據(jù)復(fù)原成最初接收時(shí)的報(bào)文格式,再傳輸給mPIPE,從網(wǎng)口中發(fā)送出去。詳細(xì)工作流程如圖2所示。

圖2 網(wǎng)絡(luò)報(bào)文處理模塊流程

(1)TCP重組。

TCP重組是指信息系統(tǒng)在工作時(shí),Linux內(nèi)核會(huì)依據(jù)網(wǎng)絡(luò)擁塞情況,將一段較長(zhǎng)的TCP流分割成一定長(zhǎng)度,然后再給其添加IP頭部,并重新計(jì)算校驗(yàn),最后封裝成IP數(shù)據(jù)從網(wǎng)口發(fā)送出去。通過(guò)此流程,可有效避免數(shù)據(jù)丟失的情況發(fā)生,切實(shí)保證了隱私數(shù)據(jù)傳輸?shù)陌踩浴?/p>

(2)iSCSI協(xié)議解析。

因隱私信息安全存儲(chǔ)系統(tǒng)只對(duì)IPSAN系統(tǒng)傳輸?shù)臄?shù)據(jù)加解密,其他報(bào)文直接轉(zhuǎn)發(fā),所以iSCSI協(xié)議解析的目的是從攜帶數(shù)據(jù)的iSCSI報(bào)文中獲取數(shù)據(jù),其他報(bào)文并不做處理。在協(xié)議解析時(shí),首選判定iSCSI報(bào)文類(lèi)型,若是直接進(jìn)行登錄操作、注銷(xiāo)操作的iSCSI報(bào)文,則直接轉(zhuǎn)發(fā);若是攜帶數(shù)據(jù)的iSCSI報(bào)文,則需獲取攜帶的數(shù)據(jù)以及密鑰索引(包括目標(biāo)器名稱(chēng)、邏輯單元號(hào)等),最后將所涉及的隱私數(shù)據(jù)保存在網(wǎng)絡(luò)緩存中,移交至加解密模塊對(duì)數(shù)據(jù)進(jìn)行加解密處理。

1.2.2 數(shù)據(jù)加解密模塊功能設(shè)計(jì)

數(shù)據(jù)加解密模塊的本質(zhì)是通過(guò)復(fù)雜的加解密算法,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中所傳輸?shù)碾[私數(shù)據(jù)進(jìn)行加密處理。其模塊流程如圖3所示。從模塊流程中可以看出,加解密模塊首先從安全頭獲取密鑰索引,然后再?gòu)拿荑€管理模塊中查詢(xún)密鑰,最后將所查詢(xún)到的密鑰和數(shù)據(jù)一起傳輸?shù)組iCA引擎中進(jìn)行加解密處理,以保證隱私數(shù)據(jù)的安全性。

圖3 數(shù)據(jù)加解密模塊流程

密鑰構(gòu)成及管理。本系統(tǒng)中,數(shù)據(jù)加解密模塊的核心功能是通過(guò)密鑰管理才得以實(shí)現(xiàn)的。即將解密報(bào)文中的3個(gè)域(Logic Block Address、Target ID、LUN ID)作為密鑰索引從密鑰管理模塊中查詢(xún)密鑰,有效保證了密鑰的安全性。且在系統(tǒng)中,通過(guò)將以上3個(gè)密鑰索引作為隨機(jī)數(shù)種子,調(diào)取Linux系統(tǒng)的srand函數(shù)生成一組192bit隨機(jī)字符串作為密鑰,將密鑰存儲(chǔ)到SQLite數(shù)據(jù)庫(kù)中,可防止黑客攻擊所造成的數(shù)據(jù)丟失,極大地提高了密鑰安全性。在實(shí)際操作時(shí),只需在計(jì)算機(jī)本地磁盤(pán)中保存一個(gè)映射表,就可從SQLite數(shù)據(jù)庫(kù)中查找到密鑰索引所對(duì)應(yīng)的密鑰,完成數(shù)據(jù)加解密處理。

2 隱私信息安全存儲(chǔ)系統(tǒng)仿真實(shí)驗(yàn)驗(yàn)證

為驗(yàn)證本文提出的基于Linux系統(tǒng)的隱私信息安全存儲(chǔ)系統(tǒng)的應(yīng)用效果,將基于SAN技術(shù)的信息安全存儲(chǔ)系統(tǒng)與基于Modbus/TCP的信息安全存儲(chǔ)系統(tǒng)作為對(duì)照組,進(jìn)行仿真實(shí)驗(yàn)驗(yàn)證。

2.1 實(shí)驗(yàn)參數(shù)設(shè)定

仿真實(shí)驗(yàn)參數(shù)設(shè)定為:發(fā)送信息時(shí)的比特?cái)?shù)1 bit、接收端與發(fā)送端之間的距離3 000 km、包速率3 pkt/s、平均時(shí)延3 ms、最大傳輸單位1 200 Byte、分組負(fù)載547 bytes。

2.2 存儲(chǔ)量測(cè)試結(jié)果

存儲(chǔ)量在計(jì)算機(jī)數(shù)據(jù)結(jié)構(gòu)中是指算法執(zhí)行過(guò)程時(shí)所需的最大存儲(chǔ)空間,也指在SQLite數(shù)據(jù)庫(kù)中存儲(chǔ)數(shù)據(jù)的多少,計(jì)算公式為:存儲(chǔ)量=存儲(chǔ)單位個(gè)數(shù)×存儲(chǔ)字長(zhǎng)。設(shè)定主存地址寄存器為18位、主存數(shù)據(jù)寄存器為36位,在依據(jù)按字尋址范圍為6 k的情況下,測(cè)試不同隱私信息安全存儲(chǔ)系統(tǒng)數(shù)據(jù)存儲(chǔ)量。測(cè)試結(jié)果如圖4所示。

圖4 3種隱私信息安全存儲(chǔ)系統(tǒng)存儲(chǔ)量測(cè)試結(jié)果

從存儲(chǔ)量數(shù)據(jù)結(jié)果中可以看出:第一,當(dāng)按字尋址范圍達(dá)到6 000 k時(shí),本文所提出的基于Linux系統(tǒng)的隱私信息安全存儲(chǔ)系統(tǒng)的存儲(chǔ)量可達(dá)到60 GB,基于SAN技術(shù)的信息安全存儲(chǔ)系統(tǒng)存儲(chǔ)量為54 GB,基于Modbus/TCP的信息安全存儲(chǔ)系統(tǒng)存儲(chǔ)量為57 GB,大小排序?yàn)楸疚乃岢龅南到y(tǒng)>基于Modbus/TCP的系統(tǒng)>基于SAN技術(shù)的系統(tǒng)。第二,隨著按字尋址范圍的增大,本文所提出系統(tǒng)的存儲(chǔ)量大小要普遍優(yōu)于其他兩種隱私信息安全存儲(chǔ)系統(tǒng)。由此可見(jiàn),本文所提出的基于Linux系統(tǒng)的隱私信息安全存儲(chǔ)系統(tǒng)存儲(chǔ)量要明顯優(yōu)于另外兩個(gè)存儲(chǔ)系統(tǒng)。根本原因在于本文所提出的隱私信息安全存儲(chǔ)系統(tǒng)在設(shè)計(jì)初始,就通過(guò)設(shè)計(jì)數(shù)據(jù)加解密模塊功能,對(duì)所要傳輸?shù)碾[私信息進(jìn)行了加密與解密,以此提高了隱私信息數(shù)據(jù)存儲(chǔ)量,避免了信息存儲(chǔ)遺漏。

2.3 系統(tǒng)內(nèi)存測(cè)試結(jié)果

隱私信息安全存儲(chǔ)系統(tǒng)在運(yùn)行時(shí),CPU占用率越低,說(shuō)明系統(tǒng)運(yùn)行效果更好,表示系統(tǒng)具有較強(qiáng)的并發(fā)能力,可支持多個(gè)流程同時(shí)運(yùn)行。設(shè)定最大儲(chǔ)存數(shù)據(jù)大小為600 GB,測(cè)試不同隱私信息安全存儲(chǔ)系統(tǒng)CPU占用情況。測(cè)試結(jié)果如圖5所示。

圖5 3種隱私信息安全存儲(chǔ)系統(tǒng)系統(tǒng)內(nèi)存測(cè)試結(jié)果

從圖5中可以看出,當(dāng)計(jì)算機(jī)儲(chǔ)存數(shù)據(jù)量達(dá)到600 GB時(shí),本文所提出的基于Linux系統(tǒng)的隱私信息安全存儲(chǔ)系統(tǒng)的CPU占用速率為10.12%,基于SAN技術(shù)的信息安全存儲(chǔ)系統(tǒng)的CPU占用率為11.23%,基于Modbus/TCP的信息安全存儲(chǔ)系統(tǒng)的CPU占用率為11.97%,且隨著存儲(chǔ)數(shù)據(jù)的增大,本文提出系統(tǒng)的CPU占用率要明顯低于其他兩個(gè)系統(tǒng),說(shuō)明基于Linux的系統(tǒng)具有較好的并發(fā)性能,能支持多個(gè)流程同時(shí)運(yùn)行,保障了數(shù)據(jù)的順利傳輸。

3 結(jié)語(yǔ)

綜上所述,通過(guò)仿真實(shí)驗(yàn)驗(yàn)證可以得出,本文所設(shè)計(jì)的基于Linux系統(tǒng)的隱私信息安全存儲(chǔ)系統(tǒng),存儲(chǔ)量較高為60 GB,安全存儲(chǔ)占用系統(tǒng)內(nèi)存較低為10.12%。真正通過(guò)設(shè)計(jì)控制平面CPU和數(shù)據(jù)平面CPU的合理分配與網(wǎng)絡(luò)報(bào)文處理模塊與數(shù)據(jù)加解密模塊的功能,實(shí)現(xiàn)了數(shù)據(jù)鏈的合理傳輸、數(shù)據(jù)的加密與解密,切實(shí)增強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)中隱私信息安全的存儲(chǔ)效果,極大地提高了隱私信息的安全性,為通信傳輸提供了科學(xué)的安全保障,具有較強(qiáng)的實(shí)踐推廣價(jià)值。