湯培新

(廣州市人力資源和社會保障數(shù)據(jù)服務中心,廣東 廣州 510000)

0 引言

目前,信息數(shù)據(jù)的隱私安全已成為計算機網絡領域中的研究熱點。董子漁[1]提出一種基于SAN技術的隱私信息安全存儲系統(tǒng),通過采用SAN網絡框架,將網絡信息安全存儲系統(tǒng)劃分為管理調控模塊、資源池模塊、安全控制模塊以及網絡安全模塊,通過各模塊間的調度與協(xié)作,實現(xiàn)了隱私數(shù)據(jù)的儲存與管理,有效提高了數(shù)據(jù)安全保護效率。但在使用中,該方法也存在存儲量受限的問題,導致系統(tǒng)無法及時更新。許建峰等[2]提出一種基于Modbus/TCP的隱私信息安全存儲系統(tǒng),在硬件方面優(yōu)化計算機網絡的網關,實現(xiàn)了安全級DCS與非安全級DCS的Modbus/TCP協(xié)議轉換,并通過對安全信息進行加密傳輸和口令認證,實現(xiàn)信息安全存儲。此系統(tǒng)在保證隱私數(shù)據(jù)安全存儲效率的基礎上,降低了安全檢測的讀帶寬和寫帶寬,使系統(tǒng)能夠同時執(zhí)行更多的安全存儲任務。但在使用中,該系統(tǒng)也存在無法壓縮數(shù)據(jù)的缺點,造成該系統(tǒng)占用計算機網絡空間較大的問題?；诖?本研究通過提出一種基于Linux系統(tǒng)的隱私信息安全存儲系統(tǒng),通過選取Linux系統(tǒng)作為設計核心,最大限度地發(fā)揮數(shù)據(jù)加解密技術優(yōu)勢,以實現(xiàn)對iSCSI報文攜帶數(shù)據(jù)的加解密處理,達到安全存儲的最終目的,且所需存儲空間更小,更適用于實踐應用。

1 隱私信息安全存儲系統(tǒng)整體架構設計

1.1 系統(tǒng)整體設計

Linux系統(tǒng)是一種基于自由和開放源代碼的操作系統(tǒng),具有較強的安全性與穩(wěn)定性,可在多種應用平臺上運行,并能為使用者提供眾多應用程序的工具,以滿足用戶的實際操作需求。

1.1.1 控制平面設計

本系統(tǒng)控制平面設計時充分借助了Linux系統(tǒng)的IPC機制,即基于Netlink Socket的內核態(tài)與用戶態(tài)間的雙向數(shù)據(jù)傳輸技術,實現(xiàn)了數(shù)據(jù)平面數(shù)據(jù)包的高速轉發(fā),切實提高了隱私信息安全存儲系統(tǒng)的信息管理效率與報文處理效率[3]。結構如圖1所示。

圖1 控制平面CPU結構

1.1.2 數(shù)據(jù)平面設計

數(shù)據(jù)平面CPU在ZOL核上運行,主要負責隱私信息安全存儲系統(tǒng)的業(yè)務邏輯處理。按照系統(tǒng)業(yè)務需求的不同,數(shù)據(jù)平面CPU共包括網絡報文處理模塊和3DES加解密模塊兩大部分,二者分別以不同的進程進行。其中,網絡報文處理進程負責為系統(tǒng)生產數(shù)據(jù),數(shù)據(jù)加解密進程則負責對數(shù)據(jù)進行加解密處理,并在處理完成后,將數(shù)據(jù)復原為最原始的報文格式,再從網口發(fā)送出去[4]。在本系統(tǒng)中,將35個CPU劃分為30個CPU進行數(shù)據(jù)包處理,5個CPU進行數(shù)據(jù)加解密處理,以構建出性能最佳的CPU分配比例。且兩個進程所使用的CPU數(shù)量也可根據(jù)系統(tǒng)的實際需求進行動態(tài)調整,使渠道隱私信息安全存儲系統(tǒng)處于最佳工作狀態(tài)。

1.2 功能模塊設計

1.2.1 網絡報文處理模塊功能設計

網絡報文處理模塊作為隱私信息安全存儲系統(tǒng)的功能模塊之一,既負責從網口接收的報文中提取IPSAN系統(tǒng)傳輸?shù)臄?shù)據(jù);也負責將數(shù)據(jù)加解密模塊處理后的數(shù)據(jù)復原成最初接收時的報文格式,再傳輸給mPIPE,從網口中發(fā)送出去。詳細工作流程如圖2所示。

圖2 網絡報文處理模塊流程

(1)TCP重組。

TCP重組是指信息系統(tǒng)在工作時,Linux內核會依據(jù)網絡擁塞情況,將一段較長的TCP流分割成一定長度,然后再給其添加IP頭部,并重新計算校驗,最后封裝成IP數(shù)據(jù)從網口發(fā)送出去。通過此流程,可有效避免數(shù)據(jù)丟失的情況發(fā)生,切實保證了隱私數(shù)據(jù)傳輸?shù)陌踩浴?/p>

(2)iSCSI協(xié)議解析。

因隱私信息安全存儲系統(tǒng)只對IPSAN系統(tǒng)傳輸?shù)臄?shù)據(jù)加解密,其他報文直接轉發(fā),所以iSCSI協(xié)議解析的目的是從攜帶數(shù)據(jù)的iSCSI報文中獲取數(shù)據(jù),其他報文并不做處理。在協(xié)議解析時,首選判定iSCSI報文類型,若是直接進行登錄操作、注銷操作的iSCSI報文,則直接轉發(fā);若是攜帶數(shù)據(jù)的iSCSI報文,則需獲取攜帶的數(shù)據(jù)以及密鑰索引(包括目標器名稱、邏輯單元號等),最后將所涉及的隱私數(shù)據(jù)保存在網絡緩存中,移交至加解密模塊對數(shù)據(jù)進行加解密處理。

1.2.2 數(shù)據(jù)加解密模塊功能設計

數(shù)據(jù)加解密模塊的本質是通過復雜的加解密算法,對計算機網絡中所傳輸?shù)碾[私數(shù)據(jù)進行加密處理。其模塊流程如圖3所示。從模塊流程中可以看出,加解密模塊首先從安全頭獲取密鑰索引,然后再從密鑰管理模塊中查詢密鑰,最后將所查詢到的密鑰和數(shù)據(jù)一起傳輸?shù)組iCA引擎中進行加解密處理,以保證隱私數(shù)據(jù)的安全性。

圖3 數(shù)據(jù)加解密模塊流程

密鑰構成及管理。本系統(tǒng)中,數(shù)據(jù)加解密模塊的核心功能是通過密鑰管理才得以實現(xiàn)的。即將解密報文中的3個域(Logic Block Address、Target ID、LUN ID)作為密鑰索引從密鑰管理模塊中查詢密鑰,有效保證了密鑰的安全性。且在系統(tǒng)中,通過將以上3個密鑰索引作為隨機數(shù)種子,調取Linux系統(tǒng)的srand函數(shù)生成一組192bit隨機字符串作為密鑰,將密鑰存儲到SQLite數(shù)據(jù)庫中,可防止黑客攻擊所造成的數(shù)據(jù)丟失,極大地提高了密鑰安全性。在實際操作時,只需在計算機本地磁盤中保存一個映射表,就可從SQLite數(shù)據(jù)庫中查找到密鑰索引所對應的密鑰,完成數(shù)據(jù)加解密處理。

2 隱私信息安全存儲系統(tǒng)仿真實驗驗證

為驗證本文提出的基于Linux系統(tǒng)的隱私信息安全存儲系統(tǒng)的應用效果,將基于SAN技術的信息安全存儲系統(tǒng)與基于Modbus/TCP的信息安全存儲系統(tǒng)作為對照組,進行仿真實驗驗證。

2.1 實驗參數(shù)設定

仿真實驗參數(shù)設定為:發(fā)送信息時的比特數(shù)1 bit、接收端與發(fā)送端之間的距離3 000 km、包速率3 pkt/s、平均時延3 ms、最大傳輸單位1 200 Byte、分組負載547 bytes。

2.2 存儲量測試結果

存儲量在計算機數(shù)據(jù)結構中是指算法執(zhí)行過程時所需的最大存儲空間,也指在SQLite數(shù)據(jù)庫中存儲數(shù)據(jù)的多少,計算公式為:存儲量=存儲單位個數(shù)×存儲字長。設定主存地址寄存器為18位、主存數(shù)據(jù)寄存器為36位,在依據(jù)按字尋址范圍為6 k的情況下,測試不同隱私信息安全存儲系統(tǒng)數(shù)據(jù)存儲量。測試結果如圖4所示。

圖4 3種隱私信息安全存儲系統(tǒng)存儲量測試結果

從存儲量數(shù)據(jù)結果中可以看出:第一,當按字尋址范圍達到6 000 k時,本文所提出的基于Linux系統(tǒng)的隱私信息安全存儲系統(tǒng)的存儲量可達到60 GB,基于SAN技術的信息安全存儲系統(tǒng)存儲量為54 GB,基于Modbus/TCP的信息安全存儲系統(tǒng)存儲量為57 GB,大小排序為本文所提出的系統(tǒng)>基于Modbus/TCP的系統(tǒng)>基于SAN技術的系統(tǒng)。第二,隨著按字尋址范圍的增大,本文所提出系統(tǒng)的存儲量大小要普遍優(yōu)于其他兩種隱私信息安全存儲系統(tǒng)。由此可見,本文所提出的基于Linux系統(tǒng)的隱私信息安全存儲系統(tǒng)存儲量要明顯優(yōu)于另外兩個存儲系統(tǒng)。根本原因在于本文所提出的隱私信息安全存儲系統(tǒng)在設計初始,就通過設計數(shù)據(jù)加解密模塊功能,對所要傳輸?shù)碾[私信息進行了加密與解密,以此提高了隱私信息數(shù)據(jù)存儲量,避免了信息存儲遺漏。

2.3 系統(tǒng)內存測試結果

隱私信息安全存儲系統(tǒng)在運行時,CPU占用率越低,說明系統(tǒng)運行效果更好,表示系統(tǒng)具有較強的并發(fā)能力,可支持多個流程同時運行。設定最大儲存數(shù)據(jù)大小為600 GB,測試不同隱私信息安全存儲系統(tǒng)CPU占用情況。測試結果如圖5所示。

圖5 3種隱私信息安全存儲系統(tǒng)系統(tǒng)內存測試結果

從圖5中可以看出,當計算機儲存數(shù)據(jù)量達到600 GB時,本文所提出的基于Linux系統(tǒng)的隱私信息安全存儲系統(tǒng)的CPU占用速率為10.12%,基于SAN技術的信息安全存儲系統(tǒng)的CPU占用率為11.23%,基于Modbus/TCP的信息安全存儲系統(tǒng)的CPU占用率為11.97%,且隨著存儲數(shù)據(jù)的增大,本文提出系統(tǒng)的CPU占用率要明顯低于其他兩個系統(tǒng),說明基于Linux的系統(tǒng)具有較好的并發(fā)性能,能支持多個流程同時運行,保障了數(shù)據(jù)的順利傳輸。

3 結語

綜上所述,通過仿真實驗驗證可以得出,本文所設計的基于Linux系統(tǒng)的隱私信息安全存儲系統(tǒng),存儲量較高為60 GB,安全存儲占用系統(tǒng)內存較低為10.12%。真正通過設計控制平面CPU和數(shù)據(jù)平面CPU的合理分配與網絡報文處理模塊與數(shù)據(jù)加解密模塊的功能,實現(xiàn)了數(shù)據(jù)鏈的合理傳輸、數(shù)據(jù)的加密與解密,切實增強了計算機網絡中隱私信息安全的存儲效果,極大地提高了隱私信息的安全性,為通信傳輸提供了科學的安全保障,具有較強的實踐推廣價值。