云存储系统是存储技术和云计算技术相结合的产物,处于整个用户信息系统的核心,因此它与网络安全领域所面临的安全问题有很大区别。云计算平台的安全存储系统的目标是实现高效的网络云存储安全系统,为用户应用提供安全的存储服务和实用的性能保证。安全的存储服务是指存储系统能够根据不同用户的需求提供相应级别的存储资源;实用的性能保证则要解决在云存储系统加了安全控制之后,能提供可以实用的系统性能。 目前互联网领域内的安全技术发展很迅猛,小管是基于硬件的还是基于软件的,一些已经相当成热。与互联网有关的安全技术包括很多,例如,对消息传输时进行加密以及用户认证所用的技术,如使用基于X.509标准的PKI与PMI体系进行数字加密的技术、动态密码技术等;数据备份,数据审计技术也是相当成熟。这些技术也可以在云存储安全中也会广泛使用。但在有效整合现有成熟技术,创新发展云计算平台的存储安全技术方面还远远不够。大多数都是停留在理论研究层面上,极少存在工程应用上。 4 技术方案
仓库管理流程
云存储系统与传统存储系统相比从性能需求来看,云存储服务首先需要考虑的是数据的安全、可靠、效率等指标,而且由于用户规模大、服务范围广、网络环境复杂多变等特点,实现高质量的云存储服
务必将面临更大的技术挑战。因此云存储模式也有一定安全问题,首先是身份验证和访问限制问题,由于鉴别的措施太弱,导致数据或者存储信息可能会被假冒和窃取。第二个风险是数据存储和传输保密性问题。企业的经营数据和个人的数据,如果放到这个云端存储以后无法保证信息在存储和传输过程中的保密性,可能发生大量的商业信息和隐私泄露的问题。第三是数据隔离问题。前面提到了云计算最重要的一个核心就是云的虚拟化问题,对不同的云用户来说,后面云存储的系统是一个相同的物理系统,不再像传统网络一样有物理的隔离和防护边界,就存在虚拟系统被越界访问等无法保证信息隔离性的问题。第四就是应用安全对于运行在云存储平台之上的云应用,未遵循安全规则或存在应用安全漏洞就可能导致云存储数据被非法访问或破坏等问题。第五就是由于网络环境下的应用节点规模和不断变化的用户负载要求可能导致后台数据维护难,数据易丢失、损坏等问题。
研究面向服务的云存储安全体系结构,满足网络公共服务的质量保障,具有较高的安全可
靠性,解决大规模存储系统中大量用户的身份认证问题,以支持数据的安全传输、储存与访问。针对云平台多用户多虚拟域的特性,研发虚拟机的隔离技术将云计算环境的内存空间与普通环境进行充分隔离。研发具有自销毁特性的数据加密和数据安全共享技术。
研究适用于云备份的软件架构,应对网络环境下的潜在应用节点规模和不断变化的用户负载要求,研发云备份数据存储组织模式及管理技术,从存储容量、I/O性能、可用性、可管理性、可扩展性及降
低能耗等多角度综合考虑,研发可扩展的云备份恢复软件系统,核心技术和产品研究成果要形成自主知识产权。
5 技术路线
云存储安全系统体系设计
●研发虚拟机隔离、多用户隔离技术及验证技术;
为解决虚拟系统以及用户不被越界访问等无法保证信息隔离性的问题,同时解决用户的身
份验证的安全问题。研发虚拟机隔离、多用户隔离及验证技术。主要通过对虚拟机隔离从逻辑上实现如传统网络模式下的物理隔离和防护边界,防止系统被越界访问以及相关隔离性的问题。通过多用户隔离技术及验证技术将多用户进行逻辑隔离,同时通过IKE加密证书认证保证用户身份验证的安全性。
●研发共享虚拟化资源池的数据保护和自销毁技术
为解决数据共享安全性问题,有效防止用户数据出错或泄漏。研发共享虚拟化资源池的数据保护和自销毁技术。对共享虚拟化资源池的数据,采用相关纠错技术和数据冗余备份技术保证资源池数据安全可靠。在资源池数据使用完毕后对数据进行自销毁,有效防止数据泄漏,同时提高了资源池的利用率。异形耐火砖
●支持存储容量在线扩展和系统集合带宽可扩展;正弦波发生器
为解决因存储容量不足带来的数据安全问题以及带宽限制带来的数据传输问题。本系统提供支持存储容量在线扩展和系统集合带宽可扩展,通过存储在线扩展技术在保证云存储应用的前提下有效防止
因存储容量不足带来的数据安全问题。系统采用带宽扩展算法提高数据传输率,有效防止数据在传输过程中丢失。
●支持用户并发访问和异构存储设备;
为解决多个用户同时发出多个请求请求同一服务,本系统支持用户并发访问,具体支持包括检测并发用户数,平衡大量并发访问服务请求,防止服务器抛弃部分请求。该系统支持异构存储设备具体是通过整合不同存储设备,将其虚拟化一个缓冲池使云存储的性能和稳定性达到一个很好的折中点,同时可降低维护投入。
●提供包括存储访问控制在内的多种存储安全方法;
为解决数据访问权限问题,防止用户数据在使用过程外泄本系统提供包括存储访问控制在内的多种存储安全方法。具体分为:USB 存储设备存储访问控制,云存储密文访问存储控制,基于角的存储访问控制,SAN安全访问存储访问控制,审计入侵检测。
●提供端到端的数据完整性校验和具有自销毁特性的数据
加密机制;
云存储模式通过公网进行数据通信易遭受网络攻击,导致数据被篡改,数据泄漏,破解等问题,改系统提供端到端的数据完整性校验和有自毁特性的数据加密机制。其中具体包括:端到端数据的奇偶校验,循环冗余校验等技术。通过对传输数据加密可以有效防止数据泄漏,数据加密机制增加自销毁特性则保证解密密钥在使用后及时自销毁,可有效防止数据被破解,保护数据安全。无线投票系统
云备份系统软件
●支持在线数据备份与恢复;
针对海量数据存储及备份需求,云备份系统软件支持在线数据备份与恢复。依据全备份,差分备份,增量备份三种备份方式,兼顾三者的优势。采用基于SAN架构的LAN-Free的数据备份恢复模式,在服务器之间以及服务器和存储设备之间建立高速的数据传输链路。在SAN内进行大量数据的数据传输,复制,备份时不再占用宝贵的LAN资源,使得LAN的带宽得到极大的释放,服务器能以更高的效率为客户端服务。
●支持多应用节点和多介质节点,并发备份功能;
针对云存储应用节点和介质节点零散,地域分布广特点,云备份系统软件支持多应用节点和多介质节点的数据备份,主要通过对节点远程维护管理进行数据备份。保证各个应用节点和介质节点的数据安全。同时支持并发备份功能,提高数据备份效率。
●支持Oracle、SQLServer、国产数据库等主流数据库的在
线备份;
为保证云存储的可扩展性,可移植性。云备份系统软件支持Oracle、SQLServer、国产数据库等主流数据库的在线备份。
●支持多级别数据恢复功能;
依据数据的不同丢失情况,都能保证数据能正常恢复,云备份系统软件支持多级别数据恢复功能。主要包括:磁盘阵列RAID数据恢复,硬盘数据恢复,硬盘物理故障的数据恢复,U盘数据恢复,Unix 数据恢复。
●提供适合备份传输、存储和恢复的数据压缩算法和数据组
织方法
鉴于提备份的传输、存储和处理效率问题,云备份系统软件提供适合备份传输、存储和恢复的数据压缩算法和数据组织方法。主要采用在线备份传输,存储和恢复技术,数据压缩则主要基于Lempel-Ziv (LZ)无损存储压缩算法,优化数据组织结构,可针对解压速度与压缩率进行优化。
云审计系统
●远程数据完整性验证;压花器
针对远程数据与云存储数据中心距离相对较远,传输过程中数据可能会出现失真,出错等问题。鉴于云存储基于USB接口的远程数据采集和基于Internet的远程数据采集这两种数据采集模式。云审计系统支持远程数据完整性验证,通过结合包括外键、约束、规则、和触发器等方法,并针对不同的具体情况用不同的方法进行,相互交叉使用,相互不缺从而保证远程数据的完整性。
●提供数据隐私保护;
为解决云存储中数据隐私泄密问题,云审计系统提供数据隐私保护。主要采用分布式数据隐私保护K-均值聚类算法和分布式数据隐私保护BIRCH聚类算法,以及面向查询服务的数据隐私保护算法。从而保证用户数据的隐私安全。
●支持动态数据操作和多用户数据批量审计;
为保证云存储数据库的高效率运用,满足多用户并发访问的前提
下,保证数据库的审计安全,云审计系统支持动态数据操作和多用户数据批量审计。通过操作系统的静态和动态数据分配策略对数据进行动态操作,对多用户并发访问进行集中批量审计,保证审计效率。
