云计算下数据安全存储技术研究

吴晓生，马 力

（广东省城乡规划设计研究院，广东 广州 510290）

0 引 言

随着科学技术的快速发展，云计算已经发展成为一种新的计算模式和研究领域。当前，云计算环境下的空间数据应用早已突破专业领域的限制，在国土、资源、环境、交通和规划等众多领域的应用日益广泛，而“智慧城市”建设更是极大地拓展了空间数据的应用范围。云计算是基于一些可配置的计算、存储资源以及计算外包机制等构建一个中心化的资源系统，进而为不同的人员提供不同的服务，如一些软硬件服务、网络服务以及存储服务等。经过对资源的有效管理，用户可以在较低成本下获得高性能和可靠的计算服务。因此，在企业运营中，如何保障数据存储的安全是重要的一环，需要结合先进的数据存储技术来实现，以此保障系统的安全运行。

1 云计算环境下数据安全存储的相关概述

云计算环境下的数据储存包含数据信息的管理与储存，在具体使用中还包含系统认证服务、安全日志审计与管理等方面的技术内容。

在多业务系统联动的云计算环境下，单点登录统一认证技术得到了普遍应用。该认证服务的具体意义在于，只需对用户进行单点登录操作与访问控制，就可有效降低在云计算开放环境中数据信息遭到一些不法分子侵入和获取的概率，缩小用户资料信息留存与管理范围，保证数据传输的安全性。对数据的存储与管理应用进行技术加密，保证用户信息安全，以此保证数据在传输中的安全性与稳定性，特别是对一些敏感数据信息的安全保障具有重要的积极影响[1]。在安全管理中，它主要利用系统中的技术模块提供支持。为了在用户的信息和权限方面实现有效管理，主要包括用户信息的注销、用户登录的权限以及一些特殊信息的权限操作等内容，以避免一些越权操作，进而保护用户的数据安全。云计算环境下的安全日志审计与管理方面，主要记录系统中的一些关键事件，然后在管理员的管理下，利用相关技术计算用户和系统的数据信息，对信息进行访问、监管和审计。另外，在具体使用环节，应当结合完善的安全日志来保证用户日志的安全性和精准性，对这些日志信息进行长期的针对性跟踪与记录，以便获得更多的信息数据，从而及时回应在使用和传输期间出现的一些危险，在最短的时间内做出有效的审计报告。

2 数据存储关键技术分析和提升措施

2.1 云计算环境海量存储

2.1.1 存储卷空间划分

基于分布式存储、对象存储系统的云计算环境，为寻求最佳高频、多并发存储读写性能，存储卷划分标准一般按16T/LUN和32T/LUN的基准，而最大一般不超过32T/LUN。随着用户的需求演进与数据的爆发式增长，存在海量存储空间需求，即存储空间达到64T/LUN、128T/LUN甚至更高。针对此类应用需求，基于云计算平台性能考虑，建议利用业务系统的虚拟存储池功能，将已挂载的多个存储卷进行合并利用。例如：合并WIN10的存储池功能和LINUX的LVM逻辑卷管理功能进行实现。

2.1.2 设计列式存储环境

列式存储模型下的空间数据按照“数据集组-数据集-数据描述-数据块”的方式组织数据。空间数据采用分块方式存储在集群中，提高了空间数据的并发读写能力。通过列式存储技术设计了固定字节长度分块、图形范围分块和要素分块3种空间数据划分策略。通过建立列式存储与空间数据模型问的映射关系，为该空间数据模型设计的空间数据引擎实现了业务逻辑与底层存储结构的分离。

2.2 数据加密技术的分析

由于云计算环境的开放性较强，因此需要保障其环境中的数据安全，同时需要优化处理一些常见的加密技术。目前，在云计算环境下，适合该环境的加密技术有三种算法。

2.2.1 AES

该算法是在3DES算法基础上衍生的一种对称加密算法，具有加密效率高、生成密钥速度块和内存需求较低的特点。在具体的对称性方面，如果在数据传输时期丢失密钥，将会严重威胁这个数据系统的安全。所以，在应用AES算法过程中，需要有效管理AES密钥，才能保障整体系统的安全[2]。

2.2.2 云端重加密

该加密方法主要是结合对云计算的实际应用来进行对数据的访问控制，具体以CP-ABE为基础，创造出一种高性能的运算加密算法[3]。在该加密方法应用期间，能够将一些重加密的负担转移到云端，并且通过这样的控制转换，可以有效减少所有管理人员的管理负担。这种动态密文访问机制能够有效提升对数据的控制效率，进而提升数据传输机密的效率与质量。

2.2.3 RSA

该算法在整个加密领域具有特殊地位，是第一个能够同时应用于数字签名和加密的技术算法，对于一些非对称加密算法具有极其重要的作用。实际应用期间，它的密钥长度能够达到一个较长的长度要求，同时在到达一定程度后，被加密的数据不能被破解，具有较高的安全性能。但是，RSA加密算法需要分解大素数，导致其机密效率不高，目前更适合于一些保密性较高的数据存储系统。

2.3 应用Hadoop安全机制

在该机制的1.0版本之前，一般不存在任何的数据安全保护措施。而在人们对数据安全存储的需求不断增加的背景下，需要全面完善Hadoop安全机制。在传统的系统应用期间，用户与服务之间缺少全面的保密措施和有效的认证机制，也没有指定有效的保护措施保证数据的存储安全。如果数据发生丢失或者遭到一些不法分子入侵，将无法全面保证用户的信息安全[4]。对于建立和应用完善的安全机制，主要手段是强化系统的集群化管理，保证管理的安全性。在相关技术人员对授权机制和安全认证的研究下，此研究中需要将Hadoop平台嵌入安全认证和授权机制。现阶段，安全认证与授权机制被广泛运用且发展良好。

2.3.1 Simple机制

该机制使用SAAS协议，主要内容是在用户提交访问信息动作后，需要经过一段“你是谁？”的操作，然后利用JobConf中的user.name等相关技术实施动作提交后，再利用JonTracKer核实与核对该段相关信息，保证用户的信息准确性。此外，需要检查ACL相关的配置文件，发现其是否存在访问的违法行为，并且在通过审核后获得由HSFS授予的delegation token。随后结合相关的访问检查操作，对实际情况通过token进行反映。使用期间，还需要检查用户与访问人员的一致性要求。

2.3.2 Kerberos认证机制

该认证机制是网络协议的一种，利用密钥系统为客户或者机器提供一些可靠的认证服务，其中不需要结合主机中的一些操作系统来认证相关机制和地址的信赖程度，更不会对系统中的物理安全做出要求，因此属于一种第三方服务机制的形式，本质是利用传统密码来实现相关认证服务的要求。现阶段应用的Hadoop中会应用到Kerberos认证机制，可以保障集点的稳定性[5]。在部署相关的集点中，该机制需要提前将密钥在各个节点进行分配处理，并且要求节点可靠。等到集群运行后，它的内部可靠的节点再通过密钥来实施认证处理。只要认证通过，这样的节点就可以被应用。如果节点存在假冒现象而导致其没有获得一定的密钥，那么其将难以与集群内部的节点进行联系，进而保障集群的安全性。

2.4 建立数据敏感度模型

敏感数据在云计算环境中主要指在企业或者个人中一些特殊存储的重要数据，一旦未经授权被篡改或者丢失，将会对个人、企业甚至国家造成严重威胁。云计算的主要原理是通过分布式处理办法，高效分析处理大数据。数据加密期间不仅需要考虑其安全性，还要考虑其在加密过程中的快速性，这是保证云计算环境下数据存储的重要前提[6]。

对于一些敏感数据的分类而言，它可以集合数据内容的敏感系数r来划分，具体可以分为4个等级。

（1）r=0：不敏感数据；

（2）0＜r≤0.3：轻度敏感数据；

（3）0.3＜r≤0.5：中度敏感数据；

（4）0.5＜r≤1：高度敏感数据。

在此计算环境下，可以以上述等级建立数据的敏感模型，结合安全技术的管理与应用，对用户数据进行分级保护。

2.5 提升安全数据存储的措施

2.5.1 云平台安全措施

云平台安全包括物理环境安全、网络安全、计算安全和数据处理环境安全。现阶段，业务系统数据应用具有多样性和持续性。就数据云存储的安全性问题而言，对云平台的保障十分重要，云平台基础安全需对标《等保2.0》三级标准进行建设。对于云平台数据存储，数据重点保护措施包括采用多副本、容灾备份等应用。在保障云存储平台的安全性与高效性方面，可根据实际业务体量，采用本地容灾备份或者异地灾备系统，实现云平台业务数据的高可靠性，如图1所示。

图1 容灾备份应用示意图

2.5.2 SDP软件定义边界技术

在云计算环境下，采用SDP架构作为数据访问连接，每个连接要经过多点验证和检查，以保障真实性和限制风险。通常，SDP模型中设置有定义资源访问策略的控制器，规定哪些客户端可以连接并访问不同资源。网关组件则帮助导引流量到正确的数据中心或云资源。设备和服务可使用SDP客户端，通过控制器连接并请求资源。有些SDP实现是无客户端式的，可以结合数据的传输状态进行全面分析，如果发现一些可能存在的违法行为，可以做出有效的技术防护。不仅保证了数据传输的安全性，而且能够保障数据不被外部病毒所入侵。

对于安全边界的确定，SDP提高了安全应用的灵活性。SDP支持云平台私有化部署，可以根据实际应用需求进行选择性部署。SDP应用实现的是边界防护，结合应用网关起到技术隔离作用。将应用服务器保护在网关之后，外界扫描和攻击来源无法探测到服务器地址和端口，通过SDP技术可将原有固化的边界进行模糊化，从而缩小受攻击面。

2.5.3 虚拟机隔离设定

虚拟机的主要作用是保障各个数据之间进行明确的隔离，通过SDN服务器自动下发专属子网络。因此，对用户进行访问的虚拟层具有严格的限制，需在数据传输过程中建立互相通信的虚拟机，保证数据传输的安全性。

3 结 论

云应用被广泛应用说明我国在计算机领域中取得了重大突破，需要对其应用做好全面优化处理，在保证云存储安全的基础上，解决目前面临的问题。因此，需要从数据加密、用户认证以及一些安全机制的建立方面入手，清除一些恶意攻击数据的危险因素，以此保证广大云端用户的数据安全，提升用户数据应用的体验，最终促进相关产业的综合发展。