李仲瀚

摘 要：在科學(xué)技術(shù)日新月異的背景下，云技術(shù)被廣泛應(yīng)用在社會生活的方方面面，為人們提供了便利的條件。以往運(yùn)營商在實(shí)際經(jīng)營發(fā)展過程中，僅僅只有單一的云存儲方案，不能為用戶制定個(gè)人的云存儲服務(wù)，難以滿足用戶的多樣化需求。而現(xiàn)階段，運(yùn)營商可以利用先進(jìn)的技術(shù)來設(shè)計(jì)模塊化的云存儲方案，不僅能保證用戶數(shù)據(jù)的訪問控制安全、存儲安全和傳輸安全，還能增強(qiáng)數(shù)據(jù)的完整性、可用性、機(jī)密性，為用戶提供安全可靠的網(wǎng)絡(luò)存儲服務(wù)。本文以MCSERS云存儲模型為例來分析數(shù)據(jù)加密分割的模塊化云存儲方案。

關(guān)鍵詞：數(shù)據(jù)加密分割；模塊化；云存儲方案

云計(jì)算作為信息時(shí)代下的產(chǎn)物，可以為用戶提供強(qiáng)大的計(jì)算資源和計(jì)算能力，緩解用戶終端設(shè)備的計(jì)算壓力，滿足移動(dòng)化的實(shí)際需求，進(jìn)一步推動(dòng)計(jì)算機(jī)服務(wù)的發(fā)展。目前云存儲主要是由運(yùn)營商來維護(hù)用戶數(shù)據(jù)，不能從根本上保障用戶數(shù)據(jù)的安全性和完善性，因此設(shè)計(jì)出數(shù)據(jù)加密分割的模塊化云存儲方案顯得尤為重要。

一、云存儲模型分析

對于MCSERS云存儲模型而言，其主要是利用各種公有云的技術(shù)與服務(wù)，構(gòu)建個(gè)人用戶的存儲私有云，具體如下圖1所示。該模型可分為四層，每一層都具有一定的承接關(guān)系，下層服務(wù)是構(gòu)建上層服務(wù)的基礎(chǔ)，由上至下分為是服務(wù)層、安全存儲層、安全傳輸層、節(jié)點(diǎn)層。安全存儲層利用訪問限制和數(shù)據(jù)加密等技術(shù)，對用戶數(shù)據(jù)的完整性、可用性和機(jī)密性加以保護(hù)。安全傳輸層則是在同一安全域中集中較為分散的云存儲模塊，搭建安全通信通道，保證傳輸?shù)囊恢滦约鞍踩裕行M足客戶端動(dòng)態(tài)變化和存儲模塊的特性，簡化資源使用流程，實(shí)現(xiàn)云計(jì)算資源的動(dòng)態(tài)分配。計(jì)算節(jié)點(diǎn)涉及不同的組件，如信息記錄節(jié)點(diǎn)、存儲流程控制節(jié)點(diǎn)、存儲節(jié)點(diǎn)等，不同的計(jì)算節(jié)點(diǎn)具有不同的任務(wù)流程，能夠降運(yùn)營商存儲造成的內(nèi)部威脅。

二、云端存儲層的設(shè)計(jì)

（一）架構(gòu)

為了避免惡意用戶截取云存儲數(shù)據(jù)的機(jī)密性，必須要保證云存儲端存儲和傳輸數(shù)據(jù)的合法性，將加解密設(shè)置在用戶密鑰的終端。通常MCSERS云存儲層架構(gòu)包括以下幾個(gè)方面：

1）第三方身份認(rèn)證服務(wù)提供商：其主要是對用戶終端的身份進(jìn)行認(rèn)證，可由任何節(jié)點(diǎn)接入云存儲且獲得元數(shù)據(jù)服務(wù)器的信任，并利用賬戶密鑰和賬戶身份來增強(qiáng)用戶數(shù)據(jù)的保密性。

2）存儲節(jié)點(diǎn)：其是對用戶數(shù)據(jù)分片進(jìn)行存儲，利用元數(shù)據(jù)服務(wù)器控制來讀取或存儲數(shù)據(jù)分片。

3）數(shù)據(jù)分割處理器：其對數(shù)據(jù)冗余重組和分割加以負(fù)責(zé)，具有強(qiáng)大的吞吐能力與計(jì)算機(jī)能力，適用于數(shù)據(jù)分片的交流工作；而用戶只有證明其合法性，并利用存儲指令和運(yùn)數(shù)據(jù)讀取，才能獲得元數(shù)據(jù)服務(wù)器的信任。

4）元數(shù)據(jù)服務(wù)器：其是云端儲存的代理管理節(jié)點(diǎn)，能夠分配編號用戶數(shù)據(jù)；同時(shí)用戶需要實(shí)現(xiàn)申請服務(wù)器，然后配置好腳本后接入到云存儲域中。

5）用戶終端：用戶可以借助終端節(jié)點(diǎn)來登錄云存儲域，并與元數(shù)據(jù)服務(wù)器相連，將元數(shù)據(jù)服務(wù)器接入到瀏覽器或終端使用軟件中，通過第三方身份認(rèn)證服務(wù)后可以使用所提供的存儲服務(wù)。

（二）服務(wù)流程

用戶在MCSERS云存儲方案中可以任意終端為依據(jù)，接入云存儲域來讀取或存儲數(shù)據(jù)，當(dāng)然這一過程需經(jīng)過如下步驟：

1）元數(shù)據(jù)服務(wù)器通過第三方身份認(rèn)證服務(wù)來認(rèn)證用戶身份，確認(rèn)通信實(shí)體為數(shù)據(jù)擁有者后，由信任終端發(fā)出數(shù)據(jù)存儲讀取指令。

2）認(rèn)證完用戶終端之后，用戶可發(fā)出數(shù)據(jù)存儲指令，這時(shí)元數(shù)據(jù)服務(wù)器可為用戶分配一個(gè)計(jì)算節(jié)點(diǎn)，以此當(dāng)成數(shù)據(jù)分割處理器，如果用戶接受則可借助用戶密鑰來簽名此次會話，然后發(fā)送至服務(wù)器，繼而確認(rèn)有效性，提供存儲位置服務(wù)。

3）在數(shù)據(jù)分割處理器中上傳加密后的數(shù)據(jù)，并在存儲數(shù)據(jù)分片中使用有效存儲節(jié)點(diǎn)地址，記錄好相關(guān)的分片信息。

4）處理器發(fā)出數(shù)據(jù)讀取操作與分片存儲之后，元數(shù)據(jù)服務(wù)器應(yīng)將操作認(rèn)證信息發(fā)送至存儲節(jié)點(diǎn)，當(dāng)存儲節(jié)點(diǎn)確認(rèn)操作有效后可讀取和存儲數(shù)據(jù)分片。

以MCSERS云存儲流程為例，在同一VPN實(shí)例內(nèi)，用戶即便滿足加入實(shí)例的條件，也有可能無法滿足訪問數(shù)據(jù)的條件，這就需要單獨(dú)認(rèn)證處理用戶終端的身份。用戶終端相元數(shù)據(jù)服務(wù)器發(fā)送認(rèn)證請求和必要信息，當(dāng)其接收到請求后進(jìn)行賬戶加密處理，然后相應(yīng)的IdP通過解密來認(rèn)證身份，并相元數(shù)據(jù)服務(wù)器返回信息真?zhèn)?。通常云存儲端讀取過程如下：用戶終端以用戶數(shù)據(jù)編號為依據(jù)提出讀取申請，元數(shù)據(jù)服務(wù)器選取數(shù)據(jù)分片后發(fā)送至處理器，繼而結(jié)合所獲取的讀取許可證發(fā)出認(rèn)證信息，認(rèn)證成功后返還相應(yīng)分片，由數(shù)據(jù)分割服務(wù)器重組數(shù)據(jù)分片后返還給用戶終端，最終保證數(shù)據(jù)的完整性與可用性。

三、結(jié)語

模塊化的云存儲方案設(shè)計(jì)可以保證存儲過程的靈活性以及選擇的多樣性，適用于分布式的云存儲場景。而基于MCSERS的云存儲方案主要是利用云端VPN服務(wù)，在統(tǒng)一的安全域中維護(hù)存儲組件，保證數(shù)據(jù)的安全傳輸，并通過用戶身份驗(yàn)證來嚴(yán)格管理權(quán)限，以免用戶數(shù)據(jù)分片被非法人員獲取，增強(qiáng)用戶數(shù)據(jù)的保密性。本文構(gòu)架的方案適用于云服務(wù)運(yùn)營商，可以有效提高網(wǎng)絡(luò)存儲服務(wù)的可靠性及安全性，便于用戶在不同運(yùn)營商之間進(jìn)行數(shù)據(jù)的存儲及遷移。

參考文獻(xiàn)：

[1] 鄭洪英，王博，陳劍勇.實(shí)現(xiàn)加密和分割的數(shù)據(jù)云存儲方案[J].深圳信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014，01：40-45.

[2] 呂從東，韓臻，馬威.云存儲服務(wù)端數(shù)據(jù)存儲加密機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2014，06：1-5.