物聯網環境下分布式數據存儲安全策略分析

摘要：物聯網環境下分布式數據存儲面臨訪問控制脆弱、通信安全風險和節點可信度低等安全挑戰。本文分析了阜陽經貿旅游學校的這些威脅，提出輕量級訪問控制機制、分層式安全通信協議和基于區塊鏈的分布式信任機制三種安全策略。實驗結果表明，這些策略使系統吞吐量提升30%，訪問延遲降低34.3%，安全事件檢出率達96.8%，資源占用率降低29.9%，數據完整性保障度提升17.8%，有效解決了物聯網分布式存儲的安全問題。

關鍵詞：物聯網；分布式存儲；訪問控制；通信安全；區塊鏈

引言

物聯網的廣泛應用和海量數據的爆發式增長，對分布式數據存儲提出了新的安全挑戰。分布式存儲因其高效、可擴展的特點，成為物聯網數據管理的重要支撐技術[1]。然而，以阜陽經貿旅游學校為例，物聯網環境下設備種類繁多、計算能力有限，傳統的集中式安全防護難以適應，亟須探索輕量級、高效的分布式存儲安全策略。本文將重點分析物聯網環境下分布式存儲面臨的安全威脅，提出相應的安全對策，從而為保障物聯網數據安全提供理論指導和技術參考。

1. 物聯網環境下分布式數據存儲安全威脅

1.1 數據訪問控制機制脆弱

在物聯網環境下，海量異構設備的接入導致訪問控制面臨嚴峻挑戰。一方面，傳統的自主訪問控制模型（discretionary access control，DAC）難以適應分布式場景下的靈活授權需求，如阜陽經貿旅游學校智慧校園系統須根據不同教學場景動態調整學生終端設備的訪問權限，采用DAC則極易在不同教師授課權限分配上產生訪問策略沖突[2]。另一方面，基于角色的訪問控制雖然簡化了權限分配流程，但學校物聯網中設備頻繁加入或離開網絡，如學生移動終端、實訓設備接入與斷開，使教師、學生、管理員等角色劃分與權限變更成本高昂。此外，阜陽經貿旅游學校引入的面向資源的訪問控制，雖然能根據教學環境屬性動態生成訪問策略，但在校園分布式網絡體系中同步更新各教學區域設備屬性矢量的開銷巨大。

1.2 通信安全風險

在物聯網通信過程中，數據極易遭到惡意竊取和篡改。阜陽經貿旅游學校部分物聯網設備，如教室環境監測傳感器等，資源十分有限，難以實施高強度加密。雖然學校采用輕量級密碼算法，如橢圓曲線加密算法，可以減少計算開銷，但其密鑰長度較短（如160位），安全強度不及傳統的公鑰算法（如RSA-2048）[3]。此外，在學校分布式環境中，設備間頻繁的密鑰協商和身份認證會顯著增加通信延遲。以阜陽經貿旅游學校的智慧考勤系統為例，每個教室的考勤終端每節課須上報一次數據，若校內50個教室同時發起密鑰交換請求，學校數據中心的計算負荷將劇增，影響系統實時性，甚至可能導致考勤數據延遲或丟失。

1.3 分布式節點可信度問題

在物聯網環境下，分布式存儲系統的海量節點分散于各個物理位置，其可信度難以保證。首先，阜陽經貿旅游學校的節點自身物理安全無法確保，如分布在各教學樓、實訓室的數據采集設備存在被破壞、非法接管的風險。其次，學校節點間的通信鏈路復雜，易受中間人攻擊，導致節點被惡意劫持。此外，物聯網中軟硬件漏洞也時有發生，如阜陽經貿旅游學校曾面臨的網絡安全隱患中，校園內的智能考勤設備、教學監控攝像頭等物聯網設備可能被惡意程序感染，淪為攻擊工具。一旦學校分布式存儲節點被攻陷，攻擊者即可發起數據污染攻擊，惡意篡改學生成績或教學資源庫；攻擊者還可實施拒絕服務攻擊，耗盡校園數據中心節點計算存儲資源，癱瘓學校的教務管理系統，甚至可通過控制分布在不同教學區的惡意節點串謀，在多個數據副本間造成不一致，破壞學校存儲系統的完整性與可用性，影響正常教學秩序。

2. 物聯網環境下分布式數據存儲安全策略

2.1 輕量級訪問控制機制

針對該學校物聯網環境下訪問控制機制脆弱的問題，本文提出了基于上下文感知的動態訪問控制策略。該策略整合了自主訪問控制與基于屬性的訪問控制優勢，引入信任評估模型，根據設備行為歷史動態調整訪問權限閾值[4]。具體實施流程分為三個階段：首先，建立設備信任度計算模型，對每個接入節點賦予初始信任度T0，取值范圍0.1～0.9，并根據行為記錄定期更新；其次，設計權限分級機制，將數據操作劃分為讀取、寫入、刪除三類，對應不同信任度閾值，分別為0.3、0.6、0.8；最后，構建權限調整算法，當設備信任度T變化超過預設波動范圍?T（通常取0.2）時觸發權限重評估[4]。

信任度計算采用衰減函數模型，考慮時間衰減因子α（一般取0.95）和行為權重系數β（取值0.1～0.5），公式為

式中，T表示設備信任度（無量綱），α為時間衰減因子（無量綱），βi為第i類行為權重系數（無量綱），Bi為對應行為評分（取值-1至1）。該機制相較傳統基于角色的訪問控制（RBAC）減少了約37%的策略維護開銷，且支持離線環境下的權限檢查，使物聯網節點可在網絡不穩定情況下繼續執行關鍵操作，權限驗證平均延遲降至9ms以內，滿足了資源受限設備的實時性要求。該機制在動態權限分配與系統性能之間取得平衡，適應了物聯網環境中設備頻繁加入或離開的特點。

2.2 安全通信協議

針對物聯網通信過程中數據易被竊取和篡改的問題，本文設計了一種分層式輕量通信安全協議。該協議根據設備計算能力將物聯網節點分為三類：高算力節點（如網關）、中等算力節點（如智能家電）和低算力節點（如傳感器）。協議實施采用“核心－邊緣”架構，在邊緣側部署密鑰代理機制，減輕終端設備密鑰管理負擔[5]。

首先，邊緣網關與終端設備間采用改進的橢圓曲線密碼（ECC）算法進行密鑰交換，密鑰長度根據設備類型動態調整（高算力256位、中等算力192位、低算力160位）；其次，引入會話密鑰生成策略，每個通信會話的密鑰根據公式計算，即

式中，Ksession表示會話密鑰（比特），H為哈希函數，Kbase為基礎密鑰（比特），Tstamp為時間戳（秒），Nonce為隨機數（比特），l為密鑰長度（比特）。最后，協議設定密鑰更新閾值，當通信量超過閾值Vthr（通常設為1MB）或會話時長超過Tthr（設為30分鐘）時觸發密鑰更新。對低算力設備，協議采用輕量分組密碼算法如PRESENT或SIMON，密文大小僅為64位，加密速度比AES快3倍[6-7]。此外，協議實現了數據分片傳輸機制，將敏感數據按3KB劃分為多個分片，各分片通過不同路徑傳輸，確保即使單一傳輸路徑被監聽，攻擊者也無法獲取完整信息，有效降低了中間人攻擊風險，滿足了物聯網低延遲高安全需求。

2.3 分布式信任機制

針對物聯網環境下分布式存儲節點可信度難以保證的問題，提出一種基于區塊鏈的分布式信任機制。該機制利用區塊鏈去中心化、防篡改等特性，構建節點信譽評估模型，動態調整節點可信等級[6]。

首先，在區塊鏈網絡中部署智能合約，定義節點加入、退出等行為規則，并設置節點信譽初始值R0（取值0～100）；其次，節點按規則向智能合約注冊，并提交自身硬件配置、軟件版本等屬性信息；再次，節點通過行為表現，如數據存取、共識參與等，獲取信譽積分，積分根據貢獻大小分為3個等級（1～5分、6～10分、11～15分），并將積分結果上鏈[8]；最后，智能合約根據累積積分對節點信譽值進行更新，更新公式為

式中，R表示節點信譽值（無量綱），λ為平滑系數（取值0.8～0.95），S為當前累積積分（分），Smax為積分上限（取100分），n為懲罰強度因子（取值2～5）。為保證評估過程公平，引入隨機抽檢機制，以10%的概率觸發節點可信度挑戰，挑戰失敗則信譽值降至50%。當節點信譽值R跌破警戒線Rmin（通常取60）時，系統自動將其列入灰名單，限制其服務能力；當R超過優質線Rmax（取90）時，節點晉升為優質節點，承擔更多關鍵任務[9-10]。

此外，為防范惡意節點串謀作弊，提出了基于置信度的投票共識算法。每個節點根據自身信譽值獲得相應的投票權重W，權重計算公式為

投票過程中，節點先對區塊數據檢驗，然后結合自身權重與置信度閾值T（取值0.7～0.9）進行投票，獲得超過三分之二加權票數的區塊方可通過驗證，確保存儲數據的一致性與完整性。

3. 安全策略的效果驗證分析

3.1 實驗設計

為驗證所提出的三種安全策略在物聯網環境下的有效性，本研究構建了一個模擬物聯網場景的實驗平臺。實驗目標是評估輕量級訪問控制機制、安全通信協議和分布式信任機制在提升系統安全性和性能方面的綜合效果。實驗平臺由50個物聯網節點組成，其中包括5個高算力網關（4核心CPU，4GB RAM）、15個中等算力設備（2核心CPU，1GB RAM）和30個低算力傳感器節點（單核心CPU，512MB RAM以下）。變量設置方面，實驗組采用本文提出的三種安全策略，對照組采用傳統安全方案（傳統RBAC訪問控制、固定密鑰AES-128加密和中心化信任管理）。實驗操作分三個階段進行：第一階段（0～30分鐘）模擬正常網絡環境；第二階段（31～60分鐘）引入20%節點異常行為；第三階段（61～90分鐘）模擬網絡攻擊場景，包括中間人攻擊和5%惡意節點注入。為保證實驗準確性，控制實驗環境溫度為22±2℃，網絡帶寬恒定在100Mbps，每組實驗重復執行5次取平均值。數據分析采用SPSS 25.0軟件，使用t檢驗分析兩組方案差異顯著性（plt;0.05表示顯著）。評價指標包括：（1）系統吞吐量（預期提升20%以上）；（2）平均訪問延遲（預期降低30%以上）；（3）安全事件檢出率（預期達到95%以上）；（4）系統資源占用率（預期降低25%以上）；（5）數據完整性保障度（預期提升15%以上）。實驗共產生數據集18GB，包含系統日志、性能監控數據和安全事件記錄。

3.2 結果討論

通過對實驗數據的統計分析，本研究獲得了性能對比結果，如表1所示。從表中可以清晰地看出，本文提出的安全策略相比傳統方案在各項指標上均有顯著提升。

輕量級訪問控制機制顯著降低了系統資源占用率（從68.4%降至47.9%），同時將訪問延遲從47.5ms降至31.2ms，優于預期30%的降低目標。這主要歸功于基于信任度的動態權限調整算法減少了65%的策略沖突，避免了頻繁的中央服務器查詢。安全通信協議通過分層式架構和會話密鑰生成策略，使系統吞吐量提升了30%，從1240請求/秒增至1612請求/秒，超過預期20%的提升目標。特別是在第三階段模擬網絡攻擊場景中，本文方案的數據完整性保障度達到97.3%，相比傳統方案的82.6%提升了17.8%，表明分片傳輸機制有效抵御了中間人攻擊。最令人滿意的是安全事件檢出率達到96.8%，超過預期95%的目標值，t檢驗結果（p=0.002lt;0.05）表明這一提升具有統計學顯著性。基于區塊鏈的分布式信任機制成功識別出所有5%的惡意注入節點，并將其信譽值降至警戒線以下，有效防止了數據污染。

以上的分析表明，三種安全策略協同作用，在保障安全性的同時提升了系統性能，成功解決了物聯網環境下分布式數據存儲面臨的核心安全挑戰。

結語

針對阜陽經貿旅游學校物聯網環境下分布式數據存儲安全問題，本文提出了三種安全策略并驗證了其有效性。基于上下文感知的動態訪問控制機制解決了權限管理難題，分層式輕量通信協議有效保障了數據傳輸安全，基于區塊鏈的分布式信任機制提高了節點可信度。實驗表明，這些策略在提升系統安全性的同時，顯著改善了系統性能指標。未來工作將聚焦于進一步優化算法效率，探索邊緣計算與人工智能技術在物聯網安全中的應用，以及研究跨域分布式存儲場景下的安全協同機制，應對日益復雜的物聯網安全挑戰。

參考文獻：

[1]郭瑞苗.數字信息存儲在數字圖書館中的應用研究[J].信息記錄材料，2024，25（12）：154-156.

[2]陳迪，陳云虹，文志軍，等.基于分布式區塊鏈的醫用影像數據存儲與傳輸策略[J].電子設計工程，2024，32（16）：174-177，182.

[3]李俊曉，張小琳，石靜.基于區塊鏈增強的車輛邊緣計算網絡安全數據存儲和共享[J].計算機與現代化，2024（7）：69-75.

[4]王卓瑜，王磊，陸婷，等.基于逆向運算法的海量大數據安全存儲方法[J].兵工自動化，2024，43（7）：23-26.

[5]彭青梅.基于數據傳輸與分布式存儲的安全機制研究[J].網絡空間安全，2024，15（2）：117-120.

[6]韓澤華，董愛強，郭曉娟，等.基于混合云架構的分布式協同信息共享平臺設計[J].電氣自動化，2024，46（2）：83-87.

[7]張艾森.基于云計算的智能高端裝備遠程運維管控系統設計[J].設備管理與維修，2024（2）：155-157.

[8]岳茹.云計算環境下的數據存儲與管理技術研究[J].科技資訊，2023，21（21）：29-32.

[9]王愛兵.基于區塊鏈的社區矯正系統數據分布式安全存儲方法[J].電腦知識與技術，2023，19（28）：63-65.

[10]邵文莎，于倩.區塊鏈在學分銀行數據安全治理中的應用研究[J].中國教育信息化，2023，29（9）：82-90.

作者簡介：吳玉瓊，本科，一級教師，595290511@qq.com，研究方向：信息技術教學。