劉知云

關(guān)鍵詞：云計(jì)算；網(wǎng)絡(luò)安全；存儲(chǔ)系統(tǒng)

0 引言

在當(dāng)今這個(gè)大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)中涉及的數(shù)據(jù)量已經(jīng)較為龐大，且仍維持不斷增長(zhǎng)的態(tài)勢(shì)。在這種情況下，網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)中的數(shù)據(jù)信息也面臨著更多的入侵風(fēng)險(xiǎn)，為有效規(guī)避這一風(fēng)險(xiǎn)，引入云計(jì)算技術(shù)，對(duì)網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)進(jìn)行優(yōu)化設(shè)計(jì)則是一個(gè)切實(shí)可行的途徑。為此，應(yīng)當(dāng)對(duì)這方面的工作作進(jìn)一步深入探究，以提升數(shù)據(jù)安全存儲(chǔ)水平。

1 系統(tǒng)整體架構(gòu)設(shè)計(jì)

1.1 云架構(gòu)的設(shè)計(jì)

在本次設(shè)計(jì)中，網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)的云架構(gòu)采用星型拓?fù)浣Y(jié)構(gòu)進(jìn)行設(shè)計(jì)，其示意圖如圖1所示。

由圖1可知，在該結(jié)構(gòu)下，基于控制中心，不同用戶的傳輸請(qǐng)求均可得到有效處理，在用戶請(qǐng)求處理完畢后，控制中心進(jìn)一步與云端的客戶端端點(diǎn)實(shí)現(xiàn)相互通信，對(duì)相關(guān)信息予以接收和反饋。整體來(lái)看，此結(jié)構(gòu)通過(guò)“云可收縮性”加以實(shí)現(xiàn)，拓?fù)浣Y(jié)構(gòu)的節(jié)點(diǎn)數(shù)量及分配均非固定，而是結(jié)合需要進(jìn)行自動(dòng)的調(diào)整[1-2]。

1.2 節(jié)點(diǎn)的管理

為實(shí)現(xiàn)對(duì)該拓?fù)浣Y(jié)構(gòu)下各個(gè)節(jié)點(diǎn)的有效管理，在本次設(shè)計(jì)中，通過(guò)節(jié)點(diǎn)的初始化處理與分配，初步構(gòu)建節(jié)點(diǎn)管理模型，通過(guò)該模型，控制中心即可對(duì)云端的數(shù)據(jù)信息資源進(jìn)行管理，再通過(guò)相應(yīng)算法，對(duì)各個(gè)節(jié)點(diǎn)予以調(diào)整。如云端存在空間節(jié)點(diǎn)，則控制中心對(duì)該“空間節(jié)點(diǎn)”進(jìn)行回收與釋放操作，對(duì)此節(jié)點(diǎn)的信息予以適當(dāng)處理[3]。

在此基礎(chǔ)上，考慮到云中各節(jié)點(diǎn)運(yùn)行的實(shí)際情況和性能之間存在一定差異，因此在本次設(shè)計(jì)中，引入合理負(fù)載均衡機(jī)制。在這一過(guò)程中，設(shè)計(jì)人員調(diào)用public clsss SSTable函數(shù)，對(duì)控制中心的各節(jié)點(diǎn)作業(yè)情況進(jìn)行分配，實(shí)現(xiàn)對(duì)作業(yè)的配發(fā)。如出現(xiàn)持續(xù)空載時(shí)間大于定義量的情況，則在數(shù)據(jù)池中進(jìn)行轉(zhuǎn)存，確保節(jié)點(diǎn)空載浪費(fèi)情況壓縮至最小水平[4-5]。

1.3 數(shù)據(jù)庫(kù)設(shè)計(jì)

在本次設(shè)計(jì)中，結(jié)合數(shù)據(jù)在安全性和穩(wěn)定性等多方面的需求，采用Oracle數(shù)據(jù)庫(kù)進(jìn)行設(shè)計(jì)，并結(jié)合實(shí)際需要，設(shè)計(jì)用戶信息表和文件信息表，分別如表1和表2所示。

由于表1中的用戶數(shù)據(jù)信息表涉及數(shù)種類型的用戶，為實(shí)現(xiàn)對(duì)不同用戶類型的識(shí)別，使用tag字段設(shè)置作進(jìn)一步識(shí)別。

2 系統(tǒng)主要功能模塊設(shè)計(jì)

2.1 身份認(rèn)證模塊的設(shè)計(jì)

在身份認(rèn)證模塊的設(shè)計(jì)中，設(shè)計(jì)人員采用橢圓曲線，對(duì)云計(jì)算環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，以提升數(shù)據(jù)存儲(chǔ)系統(tǒng)的安全性。為此，基于如下算法生成加密數(shù)據(jù)序列，以生成代理私鑰，其公式如下：

在該公式中，gi 表示數(shù)據(jù)集中第i個(gè)要素，M為生成私鑰的數(shù)據(jù)對(duì)應(yīng)的字段長(zhǎng)度?；诖怂惴?，為初始簽名者訪問(wèn)系統(tǒng)中的數(shù)據(jù)信息構(gòu)造密鑰函數(shù)，該函數(shù)作為訪問(wèn)數(shù)據(jù)信息的唯一途徑。同時(shí)，系統(tǒng)將自動(dòng)對(duì)入侵者成功訪問(wèn)云存儲(chǔ)系統(tǒng)的概率進(jìn)行計(jì)算，如該數(shù)值處于極低的水平，則正式生成身份認(rèn)證協(xié)議。當(dāng)身份認(rèn)證協(xié)議生成后，訪問(wèn)者即可開始進(jìn)行訪問(wèn)。

2.2 數(shù)據(jù)安全檢測(cè)模塊的設(shè)計(jì)

數(shù)據(jù)安全檢測(cè)模塊的主要作用是，在目標(biāo)數(shù)據(jù)加密前，對(duì)數(shù)據(jù)安全水平進(jìn)行自動(dòng)分析，以預(yù)先識(shí)別和剔除可能存在風(fēng)險(xiǎn)的數(shù)據(jù)。在該模塊中，主要基于DS證據(jù)理論，對(duì)數(shù)據(jù)安全水平進(jìn)行評(píng)估，其計(jì)算公式如下：

在該公式中，h1（ j ）、h2（ j ）、h3（ j ）分別表示系統(tǒng)的網(wǎng)絡(luò)路徑延遲變量、延遲變化變量和網(wǎng)絡(luò)時(shí)鐘偏移量三個(gè)參數(shù)。同時(shí)，系統(tǒng)會(huì)自動(dòng)設(shè)置一個(gè)數(shù)據(jù)信任度安全閾值，并將計(jì)算結(jié)果與閾值進(jìn)行比較，如計(jì)算結(jié)果超過(guò)閾值，則證明不存在危險(xiǎn)因素，反之則視為不安全因素，并對(duì)相應(yīng)的數(shù)據(jù)予以處理。

2.3 網(wǎng)絡(luò)數(shù)據(jù)加密模塊的設(shè)計(jì)

在網(wǎng)絡(luò)數(shù)據(jù)加密模塊中，其主要基于云存儲(chǔ)安全模型，對(duì)云計(jì)算模式下的系統(tǒng)數(shù)據(jù)信息進(jìn)行加密，確保數(shù)據(jù)存儲(chǔ)和傳輸環(huán)節(jié)的安全性。在本模塊中，其主要基于以下幾個(gè)步驟加以運(yùn)行：1） 數(shù)據(jù)的傳輸和接收雙方均對(duì)橢圓曲線參數(shù)進(jìn)行還原處理，此時(shí)，數(shù)據(jù)的接收方也將基于安全通道獲得傳輸方發(fā)送的私鑰，并將其還原為初始的私鑰，返還至數(shù)據(jù)傳送一方；2） 數(shù)據(jù)傳送方對(duì)傳輸?shù)臄?shù)據(jù)和身份信息進(jìn)行散列處理，并結(jié)合傳送一方的私鑰，生成數(shù)據(jù)簽名信息；3） 基于接收方的密鑰，對(duì)目標(biāo)數(shù)據(jù)進(jìn)行加密，得到目標(biāo)數(shù)據(jù)的密文，將密文上傳至數(shù)據(jù)存儲(chǔ)系統(tǒng)中，同時(shí)向云服務(wù)器端上傳簽名內(nèi)容，以降低數(shù)據(jù)被惡意入侵和盜取的概率；4） 當(dāng)用戶通過(guò)身份驗(yàn)證后，系統(tǒng)將向用戶接收方提供一個(gè)私鑰，用以解密文件，從而獲取相應(yīng)的數(shù)據(jù)。

2.4 數(shù)據(jù)通信模塊

在本次研究中，數(shù)據(jù)通信模塊的設(shè)計(jì)又可細(xì)分為以下幾個(gè)部分。

一是服務(wù)器對(duì)數(shù)據(jù)信息的下發(fā)。在此環(huán)節(jié)中，當(dāng)用戶通過(guò)某一終端接入網(wǎng)關(guān)上線時(shí)，該終端將被賦予一個(gè)唯一的識(shí)別碼Socket_ID，該識(shí)別碼將被納入鏈表中，以實(shí)現(xiàn)服務(wù)器主動(dòng)推送實(shí)時(shí)數(shù)據(jù)的功能。如涉及數(shù)據(jù)模型的更新，則系統(tǒng)會(huì)自動(dòng)搜尋數(shù)據(jù)鏈表和數(shù)據(jù)庫(kù)中前端用戶注冊(cè)后產(chǎn)生的GID和devID兩種數(shù)據(jù)，再據(jù)此找到對(duì)應(yīng)的Socket下相應(yīng)的網(wǎng)關(guān)和設(shè)備，進(jìn)而完成數(shù)據(jù)下發(fā)。同時(shí)，在線網(wǎng)關(guān)的ID號(hào)也將存入到緩存數(shù)據(jù)庫(kù)中。

二是相關(guān)數(shù)據(jù)的上傳與下載。在數(shù)據(jù)上傳前，首先系統(tǒng)將數(shù)據(jù)上傳流程初始化，同時(shí)由網(wǎng)關(guān)客戶端對(duì)底層設(shè)備上傳的數(shù)據(jù)進(jìn)行監(jiān)聽，以獲得數(shù)據(jù)類型的信息，尋求相應(yīng)的數(shù)據(jù)處理方式。對(duì)于通信平臺(tái)的數(shù)據(jù)下載，其主要基于平臺(tái)端的JSON格式設(shè)備控制指令來(lái)進(jìn)行。具體來(lái)看，系統(tǒng)在數(shù)據(jù)下載的初始階段，會(huì)進(jìn)行初始化，監(jiān)聽平臺(tái)下發(fā)的JSON消息數(shù)據(jù)，并對(duì)不同類型的數(shù)據(jù)進(jìn)行針對(duì)性處理。其次，在數(shù)據(jù)初步處理后，基于Socket.IO協(xié)議，處理后的數(shù)據(jù)將進(jìn)一步下放至網(wǎng)關(guān)，如數(shù)據(jù)為指令消息，則通過(guò)網(wǎng)關(guān)下發(fā)給具體的底層傳感設(shè)備，執(zhí)行具體的操作，如數(shù)據(jù)為模型消息，則由平臺(tái)端返回認(rèn)證完成時(shí)相應(yīng)的設(shè)備模型和網(wǎng)關(guān)模型到網(wǎng)關(guān)中，由此最終完成平臺(tái)數(shù)據(jù)的下載。

2.5 用戶管理模塊的設(shè)計(jì)

考慮到網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)對(duì)數(shù)據(jù)安全要求較高，且不同類型的用戶存在著不同的需求，應(yīng)當(dāng)賦予不同得操作權(quán)限，為此，設(shè)計(jì)人員引入系統(tǒng)管理模塊，對(duì)各類權(quán)限進(jìn)行分別設(shè)置。在該模塊下，用戶必須注冊(cè)賬號(hào)并輸入正確的賬號(hào)密碼后，方可登錄系統(tǒng)進(jìn)行訪問(wèn)，這種設(shè)計(jì)方法將有效提升系統(tǒng)的安全性。在此基礎(chǔ)上，為進(jìn)一步提高系統(tǒng)的安全性，在模塊設(shè)計(jì)過(guò)程中，采用密碼加密算法，構(gòu)建數(shù)字和大小寫字母的混合密碼模式，并確保密碼長(zhǎng)度在10位或更高，有效降低了密碼被暴力破解的可能。另一方面，為實(shí)現(xiàn)對(duì)相關(guān)用戶賬戶行為的管理，設(shè)計(jì)人員進(jìn)一步采用get_user_monitor_data（self）函數(shù)進(jìn)行監(jiān)控，以實(shí)時(shí)查看用戶的操作行為，避免用戶出現(xiàn)非法操作等問(wèn)題。

2.6 數(shù)據(jù)信息的顯示

一方面，在數(shù)據(jù)顯示功能上，設(shè)計(jì)人員應(yīng)用Real?TimePage_Load（）函數(shù)，控制系統(tǒng)內(nèi)數(shù)據(jù)的顯示和隱藏，并使用send函數(shù)進(jìn)行數(shù)據(jù)的分流處理與顯示；另一方面，考慮到該系統(tǒng)涉及海量數(shù)據(jù)的傳輸和更新，因此應(yīng)用UpdateQueueValue函數(shù)，對(duì)數(shù)據(jù)進(jìn)行排列與更新。

3 系統(tǒng)測(cè)試分析環(huán)節(jié)

3.1 系統(tǒng)性能測(cè)試

為探究本次所設(shè)計(jì)的基于云計(jì)算的網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)在性能方面的優(yōu)勢(shì)，首先對(duì)其進(jìn)行性能測(cè)試，并與傳統(tǒng)的DES安全存儲(chǔ)系統(tǒng)同時(shí)進(jìn)行對(duì)比測(cè)試。在測(cè)試環(huán)節(jié)中，基于LoadRunner測(cè)試工具，模擬多個(gè)虛擬用戶同時(shí)訪問(wèn)安全存儲(chǔ)系統(tǒng)的情況，首先對(duì)CPU占用率指標(biāo)進(jìn)行測(cè)試，測(cè)試結(jié)果如表3所示。

從表3中的數(shù)據(jù)可知，隨著虛擬用戶數(shù)量的增加，兩個(gè)系統(tǒng)的CPU占用率都呈現(xiàn)出不斷上升的態(tài)勢(shì)，但相對(duì)而言，本次所設(shè)計(jì)的數(shù)據(jù)存儲(chǔ)系統(tǒng)的CPU占用率處于偏低的水平，而在虛擬用戶數(shù)量達(dá)到1 000時(shí)，傳統(tǒng)的DES系統(tǒng)的占用率已經(jīng)突破了33%，對(duì)于系統(tǒng)CPU的負(fù)擔(dān)也相對(duì)較重，此時(shí)本次設(shè)計(jì)的數(shù)據(jù)存儲(chǔ)系統(tǒng)的優(yōu)勢(shì)相對(duì)更為突出。

3.2 系統(tǒng)安全性測(cè)試

在基本性能測(cè)試完成后，測(cè)試人員進(jìn)一步對(duì)系統(tǒng)進(jìn)行安全測(cè)試。在此環(huán)節(jié)的測(cè)試中，測(cè)試人員共計(jì)進(jìn)行五次測(cè)試，每次測(cè)試均隨機(jī)選取20個(gè)數(shù)據(jù)包，每個(gè)數(shù)據(jù)包的大小均在350MB左右，且其中均含有一定量的風(fēng)險(xiǎn)數(shù)據(jù)內(nèi)容。通過(guò)向本次設(shè)計(jì)的系統(tǒng)發(fā)送數(shù)據(jù)包，對(duì)系統(tǒng)的攔截情況進(jìn)行測(cè)試，最終的測(cè)試結(jié)果如表4所示。

從表中的數(shù)據(jù)可知，在發(fā)送含有風(fēng)險(xiǎn)內(nèi)容的數(shù)據(jù)包過(guò)程中，該系統(tǒng)對(duì)風(fēng)險(xiǎn)內(nèi)容實(shí)現(xiàn)了100%的有效攔截，這表明身份認(rèn)證步驟達(dá)到了預(yù)期效果。如身份認(rèn)證環(huán)節(jié)不正確則無(wú)法進(jìn)行數(shù)據(jù)的傳輸與存儲(chǔ)。同時(shí)也可據(jù)此表中數(shù)據(jù)得知，當(dāng)數(shù)據(jù)包數(shù)量發(fā)生變化時(shí)，系統(tǒng)的風(fēng)險(xiǎn)數(shù)據(jù)信息檢測(cè)能力并未受到影響，在各種情況下均可取得相對(duì)較優(yōu)的檢測(cè)效果。

4 結(jié)束語(yǔ)

總而言之，在云計(jì)算技術(shù)不斷發(fā)展和推廣應(yīng)用的背景下，將云計(jì)算技術(shù)融入網(wǎng)絡(luò)數(shù)據(jù)安全存儲(chǔ)系統(tǒng)的設(shè)計(jì)中，以提升其數(shù)據(jù)安全水平，具有重要的理論與現(xiàn)實(shí)意義。因此，在實(shí)際工作中，應(yīng)當(dāng)結(jié)合實(shí)際需要，引入云計(jì)算技術(shù)，對(duì)網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)進(jìn)行優(yōu)化設(shè)計(jì)，確保其數(shù)據(jù)存儲(chǔ)能力和安全性等多方面的指標(biāo)均滿足要求。當(dāng)然，由于各種原因的限制，本次研究的基于云計(jì)算的網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)難免存在一定的不足之處，因此在今后的工作中，將考慮引入智能技術(shù)等新技術(shù)，對(duì)此系統(tǒng)作進(jìn)一步的優(yōu)化改進(jìn)，確保網(wǎng)絡(luò)數(shù)據(jù)信息安全質(zhì)量進(jìn)一步提升，進(jìn)而推動(dòng)互聯(lián)網(wǎng)的穩(wěn)定發(fā)展。