云存储安全需求及实现解析

时间:2022-09-03 11:24:18

云存储安全需求及实现解析

1前言

云计算技术进过了多年的实践探索与理论发展,已经变得日益成熟,已经成为了互联网时代的主要技术之一。云计算技术与传统服务器-客户端模式完全不同,它主要是利用互联网的优势、虚拟化特征、整合分布式计算,大大降低了运维成本、设备成本,也提高了服务的可靠性,日益成为了IT市场新的宠儿,以易扩展、按需提供服务的方式来占领市场。而云存储(CloudStorage)则是一种新型数据访问服务,它以数据管理和数据存储为核心,在云计算的基础上发展起来的。云存储有机地结合了存储硬件设备和应用软件,向终端用户并非提供单纯的存储设备,而是提供存储服务,这完全不同于传统存储应用模式。随着云存储服务的快速发展,已经有越来越多的个人和企业体会到受益于云存储所带来的综合成本下降、便捷与高效。但是值得注意的是,云存储安全问题也越来越受到人们的重视。本文就云存储安全需求及实现进行分析。

2云存储系统架构

全球网络存储工业协会(SNIA)早在2009年4月就已经开始组建云存储技术工作组,日前已经了云数据管理接口(CDMI)规范(第一版),初步规范了元数据、队列、性能、数据对象、计费、计算、容器。云存储系统是一个复杂系统,由客户端程序、接入网、存储设备、公用访问接口、应用软件、服务器、存储设备、网络设备等组成,可以为用户提供多种网络在线存储服务,还可以对外提供高效、可靠、安全的业务访问服务和数据存储服务。云存储系统中最基础的部分就是数据存储层,主要是由不同类型的网络设备和存储设备组成。数据存储层可以实现海量数据的状态监控、存储设备管理、统一管理等。值得注意的是,云存储系统中最复杂、最为核心的部分就是数据管理层。数据管理层采用分布式存储技术和集群技术来负责计费、数据容灾、备份、加密,还可以提供高可扩展性、高可用性的服务,协调多存储设备工作。而数据服务层是利用云存储资源进行应用开发的关键部分,云存储提供商通过数据服务层为用户提供统一的协议和编程接口,进行应用程序的开发。

3云存储安全需求

由于云存储还是一个较为新鲜的话题,目前国内外学术界对于云存储安全的研究还比较少。美国学者XiaosongLou等提出的安全防护方法是采用数据毒化的版权保护方法,对用户的合法主要通过签名和时间戳来进行判断,一旦发现访问用户为非法用户,那么就会迅速地对非法用户的计算能力进行消耗,同时以不可用链接来对他所保护文件的请求进行回应。JeremieTharaud等提出用嵌入水印的方法来对电子医疗信息云存储系统进行保护。为了有效地避免医疗信息被篡改,对于电子医疗信息的使用者和分发者在使用信息时提取水印进行验证。TamleekAli等改进了UCON模型,整个数据安全保护模型基于云计算来进行使用控制,且还定义了一系列的共同保护文件,如认证模块、访问控制模块、文件管理模块等。Bowers等提出了分布式加密系统;Kaiwang等人为了有效地保证数据的完整性及可审计性,将标识用户信息的水印嵌入到数据片中。Cachin等为了解决数据一致性和完整性的问题,采用了加密工具。与此同时,北京邮电大学、中国科技大学、国防科技大学、哈尔滨工业大学、华中科技大学、清华大学等高校也陆续开展了一系列云存储安全保护的工作。云存储安全需求主要有:数据备份安全性、安全性分级安全性、存储安全性、访问安全性。

3.1数据备份安全性

数据存储的方式无论发展到何种阶段,出现何种变化,数据备份的地位都是极为重要的。完整的数据备份能够保障任何意外中损坏、丢失的数据都可以在最短时间内得以恢复,从而避免出现损失。值得注意的是,也务必要保障数据备份安全,使之不会出现问题。数据备份通常是根据用户的不用需要来灵活选择备份的位置。若想提高数据备份可靠性,那么可以将其放在独立于云外的存储系统中;若想提高数据备份恢复效率,那么可以将其放在云中。

3.2安全性分级安全性

存储于云端的数据对于用户和企业而言,都需要采取一定的分级保护。如个人信用卡信息、个人银行卡信息、客户列表等数据往往需要高级别的安全保护,而如一些音乐文件或者企业对外宣传档案等没有什么保护价值的数据则不需要任何的安全保护,或者只需要一些低级别的安全保护。但实际在互联网中,很多情况远远比数据本身的分类更加复杂。某一段时间内数据对于数据的创建者而言极为重要,需要采取高级别的安全保护;而之后则为了让更多的用户可以利用、下载这些数据,而降低数据安全保护级别。或者对于一些用户设置为禁止访问,而对一些特定的用户群设置为开放访问。所以,在云存储建设过程中,应该根据数据不同的安全保护需求来采取相应的安全分级措施。

3.3存储安全性

云存储是在云端集中存储大量的数据,若云存储系统不具备良好的自我保护、自我防御、自我预警的功能,那么很容易在非法入侵或者黑客攻击的情况下,用户重要数据被恶意窃取、篡改,甚至还有可能会全部丢失用户数据,甚至还有可能会让整个云存储服务崩溃。应该基于构建云存储入手,可采取软件硬件结合、单独采用软件,或者单独采用硬件的方式来保护数据存储的安全。为了获得相对安全的基础存储系统,可以采取一些提高数据存储安全的方式,如分布式文件系统安全技术、PGP技术、自加密磁盘技术等。3.4访问安全性众所周知,云存储服务具有较大的灵活性,无论采用何种终端设备,都能够利用同一账户访问该账户所存储的数据。而一旦黑客盗取了用户的账户密码,那么很轻易就对账户内的数据进行销毁、篡改、复制,而用户却毫不知情,这样一来,就给用户带来了较大的损失。因此,所有数据存储云都必须认真考虑用户账户的安全问题。笔者认为可以采用数字签名、数字认证、动态密码等方法来保证用户账户的安全。

4如何有效实现云存储安全

4.1加强信息加密算法的应用

众所周知,各种密码算法就构成了云存储数据信息加密,没有安全的密码算法,那么必然就不会存在云存储数据信息安全,密码算法是云存储数据信息安全的重要基础之一,传统的加密系统只是采用同一个密钥来进行解密和加密,是一种对称加密,对称加密算法包括AES下一代对称密钥系统、IDEA加密算法、DES算法。而加密系统发展到现在,又出现了一种非对称加密方法,被称为公开密钥,包括单向杂凑函数密码、DSA数字签名技术和RSA公开密钥密码技术等,解密者和加密者拥有各自不同的一套密钥。在云存储中,目前应用最为频繁的算法就是PGP混合加密算法、RSA公开密钥密码技术算法和DES算法等。

4.2云防火墙

云防火墙为各种规模的网站提供最先进的网站安全保护和网站性能提升服务,通过一个简单的DNS变化(配置版通过一个IP地址),通过您网站的流量无缝地路由到了湖盟云防火墙的全球分布式网络系统中。智能异形实时传入流量,阻塞最新的网络威胁:从复杂的SQL注入攻击,恶意的机器人攻击,垃圾邮件发送者和阻挠多个千兆DDoS攻击。同时,传出的流量是加速和优化后通过湖盟云防火墙的全球CDN,更快的加载时间,展示给浏览者。有助于落实又快又可以扩展的部署,方法是采用以安全配置文件为基础的模板驱动型动态策略管理通过XMLAPI以编程的方式与第三方管理和协调工具集成,从而增强管理的灵活性对网络管理员、服务器管理员和安全管理员等角色都提供了相应的管理界面,从而协助确保实现协作监管。云防火墙有5个显著的特点——(1)强大的抗攻击架构,可以抗200G以上流量的攻击。(2)操作简单。把被攻击的网站或者服务器IP地址接到云端网络,就可以立即实现抗攻击功能。(3)高安全性。各云端节点采用同构可互换等架构措施,节点仅服务对应的区域,源服务器隐藏在云端后面,云防火墙具备过滤及清洗功能。(4)高可扩展性。云防火墙的规模可以动态伸缩,满足应用和用户规模增长的需要。(5)计费合理。不按带宽收费,不加收任何初始配置费用,按照攻击流量计费,比硬件防火墙可节省50倍成本。

4.3开展云存储安全专题培训

通过云存储安全专题培训,能够进一步地让广大用户了解到云存储安全的重要性,还掌握到云存储安全防范的基本方法,培训对促进企事业单位云存储安全管理和提升云存储安全运行环境具有积极的意义。培训中,教员不仅应该从理论上介绍云存储安全隐患的相关知识,还应该结合安全案例,用现场演示的方式,向大家介绍漏洞攻击、密码破解、识别钓鱼网站、木马窃取资料和云存储网络监听等基本攻击手段,以及用户遭受黑客攻击云存储后产生的损失,使大家切身体验到云存储安全的重要性、普遍性和危害性。

4.4同态加密

同态加密是一种特殊的加密体系,由RIVESTR等提出,使得对密文进行代数运算得到的结果与对明文进行等价运算后再加密所得结果一致,而且整个过程中无需对数据进行解密。该技术如果实现,将很好地解决把数据及其操作委托给云服务时的数据机密性问题。

5结语

总之,云储存提高了系统的扩充性、可靠性、高效率、方便性、共享性,但是又使得遭受黑客攻击的可能性进一步增加,云存储安全问题关系到互联网的未来发展,具有较大的经济价值和社会效益,值得深入探讨。

本文作者:朱义勇工作单位:顺德职业技术学院电子与信息工程系