WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

新闻资讯 > 存储安全 > 正文
基于云计算的大数据存储安全的研究
作者: 王猛 2018-01-29 13:51 【云南邮电规划设计院有限公司】

随着云计算水平的逐渐提升,大数据处理及存储方面工作可以更加顺利地开展,为用户对不同终端进行操作和数据的处理带来更多方便。但是数据安全问题的出现对其发展产生一定影响,数据冗余过多、丢失以及窃取一类的问题为企业及用户利益造成负面影响。本文对基于云计算的大数据存储安全相关内容及技术进行研究分析,以供技术人员进行参考。

1、大数据完整性校验研究

对数据进行使用、传输以及存储时,保证数据不被非法篡改是保持数据完整性的重要内容,进而使信息内外保持一致。当大数据在云端进行存储时,可能受到窃取、非法接入等方面的威胁,自身完整性同样受到影响:其一,云计算中心出现元数据丢弃和错误的问题;其二,用户进行备份存储时存在较多的冗余,对数据一致性造成影响,由此可见完整性校验技术的应用非常必要。

过去对云存储进行完整性校验时,用户需要进行本地操作,通过计算和设置哈希值为上传的文件提供更多保护,哈希值存储于本地后向云存储服务器上传文件,待完成完整性的验证工作之后,对整个文件进行下载,将原有的哈希值和新计算出的值进行对比,完成验证工作。此技术具有稳定和简单的优势,但是与大数据环境下的存储安全工作并不相符,基于此,技术人员需要对数据量较大的情况进行考虑,避免每次进行下载时加重链路负荷,对检测效率造成影响。技术人员需要对整个数据复制方面的工作进行避免,最终实现远程完整性校验,通常情况下将此项技术分成PDP与POR两种。

在可取回性证明中,需要对挑战应答模式进行应用,通过编码纠错和“哨兵”(带密钥哈希函数生成的哨兵)的插入对其进行处理,验证工作对哨兵数量提出一定要求,对哨兵完整性的检验文件的完整性,同时根据编码纠错能够在一定程度上对文件的取回提供帮助。该技术能够避免大量数据的复制,同时哨兵方面的存储量成本较低,挑战应答模式也无需进行过多的计算。在POR思想指导下,能够对层次架构进行调整,借助挑战应答方式和二维RS编码进行完整性保护。文件数据产生认证元,在挑战响应时期,仿照随机方式进行部分数据块的抽取,借助认证元的检验对数据完整情况进行了解,但是此方式导致服务器存储开销增加。“L-P OR”算法能够通过可靠第三方对数据可取回性进行检查,在损坏至一定程度便可以对数据恢复操作进行执行,最终通过认证信息的直接插入对额外认证元数据开销进行控制。通过冗余的降低、检验机制和数据实时更新的方式,能够实现存储效率的改善,并且能够使数据保持较好的一致性,服务器承受的压力及存储负荷较小。

2、云端安全接入研究

与传统数据关系有所不同,云计算下数据拥有者和云服务提供者出现角色功能分离的情况,通常商业机构提供云服务,并且结构并不包含在信任范围内,传统认证方式无法达到安全接入需要,此时人们提出可靠安全接入模型,用户发送相应的数据请求,获取证书及密钥后进行云端接入,但是此方式需要要求数据拥有者一直在线,在通信受限的情况下无法提供服务。基于此人们设计优化方案对其进行处理:数据拥有者具有“能力表”,对用户操作权限方面进行存储,用户接入时对其是否处于能力表中进行判断,若未在其中便将其视为不可信,对其接入进行拒绝,相反需要为用户提供反馈信息,例如密钥等。数据拥有者的加密操作能够避免将信息泄露至云端,并且在离线情况下同样可以提供服务。

此外,代理重加密和属性加密组合的方式同样能够打破“永远在线”方面的限制,云端完成私钥分配及更新一类的工作,主机负担有所减少;此外还可以站在客户端方向对云计算的安全域进行定义,提供共享数据方案;基于M e r k l e哈希树对控制策略进行制定,能够使T PM性能有所提升,通过量化方式对用户信任度进行了解,通过数学公式能够统计动态的信任度,然而因证书颁发机制及加密方面的欠缺导致仅可将该技术应用于私密度较小的大批文件接入控制工作中。

数据拥有者对接入请求的检验和反馈方式对存储安全影响极大,在线情况下能够对安全接入进行控制,然而由于密钥更新、大量分配等工作为主机带来较重的负荷,无法在通信受阻情况下进行服务。在第三方云服务器下通过接入控制能够减少主机负担,同时辅之以重加密技术能够防止泄露问题,然而此技术的动态性较差,灵活性不高,不能迅速及时为其制定有效的解决对策。在对I P网络中客户端部署过程中,Windows平台与Un i x平台之间的软件功能与安装程序存在着很大的差距,这对用户端部署工作的正常进行来

说造成了很大的影响。再加上现有I P网络中软件程序种类较多,其内部结构复杂,软件部署不再局限于单机部署。要想提升客户端部署工作质量与效率,可以通过多机互联部署的形式进行部署操作,只有这样才能保证部署工作可以顺利进行下去,方便用户对其的操作、控制。

OMA技术的出现可以有效地对IP网络在运行期间存在的故障问题进行检测,将所得出来的检测结果传送给CUP,同时还应该将其发送到消息发送设备中,只有这样才能更好地实现OA,协议报文的发送,从而让更多的人通过直观的形式了解IP网络的运行状况。

OMA技术共有以下几种模块组成,这些模块对于OMA逻辑实现来说起到了非常重要的作用。

(1)MPI模块:其在运行时主要负责OAM模块中所有配置装备的分析,将所得出来的分析结果进行整合,并将其合理分配,为整个I P网络的稳定运行提供良好的保障基础。IP网络各个模块在运行期间可以根据自身的运行现状安装对应的中断上报探针,为整个IP网络的安全、稳定运行提供良好的保障基础。另外,IP网络中的软件设备在运行期间还可以通过MPI接口对整个设备装置的运行状况进行读取,保证其可以稳定地运行下去。

(2)RCV-HP模块:其在实际运行期间可以接收到来自转发模块中的OMA报文,并对其进行全方面分析,识别整个报文类型,将所得出来的分析结果放入到IP网络对应的文档中,之后再由专业系统处理、生成。

(3)RCV-POC模块:对于实现ETH-OMA、MPLS-OAM、BFD、APS等各项软件的安全、稳定运行来说起到了非常重要的作用,同时还能提升整个IP网络的可靠性,更好地满足用户的使用需求。

(4)AL ARM模块:该模块在实际运行期间可以有效地实现各种告警报文的生成,找出IP网络在运行期间存在的问题,并及时为其制定有效的解决对策,为整个网络的安全、稳定运行提供良好的保障基础。

3、数据加密研究

不可信第三方的云计算平台中,服务器的故障会导致数据泄露的问题,此外非法接入同样导致数据篡改及窃取等方面风险提升。基于此需要通过拆分和加密方式的处理,之后对其进行上传,下载时需要解密,即使出现丢失的情况也不会对真实信息进行泄露,例如基于代理及属性的加密等:首先,KP-ABE及CP-ABE便是基于属性数据加密策略的典型代表,前者通过树结构描述访问的方式进行处理,在Ac(密文及属性集)符合Au(树的叶节点集)方可进行解密;后者密文通过树结构描述方式进行处理,信息发送者能够对用户控制方案进行确定,当Au符合方案规定方可解密[ 4 ]。通过证书代理重加密技术中的双线性配对技术,能够对密文及冲突攻击进行抵御,并且不存在证书颁发管理方面的麻烦,泄密的风险较少,因此可对此技术进行合理应用。

构建秘密共享技术下的云计算安全模型,某些需要可信第三方的支持,某些则不需要。上述技术延展性极佳,即使处于复杂的多服务器条件下依旧具有较高的安全性及效率。此外通过比特交错文件系统能够对文件进行拆分,在提高存储安全的同时能够使输入输出吞吐速率大幅度提升。另外,基于三维空间拆分置乱的云灾难数据机密性保护技术ES SA同样可以通过置乱、映射以及拆分等操作对数据进行处理,借助结构恢复的复杂性为存储安全提供保障,避免向云系统工作人员及攻击者泄密。根据各类数据机密等级、云架构模型以及共享模式,技术人员可以应用各类加密技术,提高存储安全的同时能够对网络资源进行科学合理的分配。

4、结语

随着社会不断的发展,我国信息技术水平逐渐提高,IP网络技术在各个领域中得到了广泛的应用,并取得了良好的应用效果。要想提升IP网络在运行时的可靠性、稳定性,就应该提高对IP网络可靠性设计与实现的重视,从最常用的OMA软件入手,根据IP网络运行现状对OMA软件中的数据管理、应用、采集层对IP网络中的ASIC技术与RTL编码进行实现,只有这样才能保证IP网络可以安全、稳定地运行下去。


标签:存储安全 公有云 

LecVideo