基于云计算的计算机网络安全存储系统设计

2023-09-14 07:35王良敏
电子元器件与信息技术 2023年6期
关键词:存储系统密钥客户端

王良敏

眉山职业技术学院,四川眉山,620010

0 引言

在云计算时代,网络数据大量累积,包括商业机密、用户隐私等,对网络数据安全防护提出了更高的要求,而如何以云计算技术实现网络安全存储,也成了网络安全领域重要关注的话题,“阿里云”“腾讯云”“网络云盘”等产品层出不穷[1]。云计算技术在网络存储中的应用,可以将网络数据资源虚拟化,利用云端整合为虚拟资源池,可以有效提升数据存储与应用效率,也可以利用云计算技术精准识别安全风险问题,以数据加密与防火墙系统等技术实现海量数据的安全保障[2]。据此,本研究提出了基于云计算的计算机网络安全存储系统,以提升用户系统使用的安全性。

1 计算机网络安全存储系统的整体架构

云计算技术的应用可以突破传统存储技术在连接创建过程中的局限性,即可以避免因为服务器承载量的不断增长而导致运行效率下降问题[3],基于云计算的计算机网络安全存储系统主要包括云架构与安全数据存储,具体框架见图1。

图1 基于云计算的计算机网络安全存储系统整体架构

客户端可以通过云端接口连接到系统,并在线进行数据的上传与下载。在系统中,数据池并非独立存储空间,与系统连接,可保存云计算的各项结果数据,但数据池本身并不具备任何计算能力,因此可以设计为云系统外提供存储空间的位置。云计算服务主要集中在节点集群,并由云控制服务中心统一管理,全面保障数据池的安全性。图2为系统功能结构,用户在登录之前需要先进行账户注册,注册完成后可登录,注册信息与登录信息均通过HTTPS协议进行管理,保障用户登录的安全性。HTTPS协议将用户信息进行加密处理,服务器在接收到用户信息后进行解密,读取信息后进行加密存储。数字证书模块可以进行文件信息的认证,用户的数据上传与下载均经过加密处理,因此整个过程可完全保障文件信息的保密性。

图2 基于云计算的计算机网络安全存储系统功能架构

2 基于云计算的计算机网络安全存储系统具体设计

2.1 拓扑结构设计

基于云计算的计算机网络安全存储系统采用星型拓扑结构,具体示意图如图3所示。星型拓扑结构以控制中心作为结构的中心节点,云控制服务中心作为中心节点可以有效提升系统中云的可伸缩性,加大对不同节点的管控力度,即使不同节点为动态分配操作,也可以通过云控制服务中心在不同阶段对节点的运行状态进行精准管控,提高对各个节点的管控效率,并与数据池直接相连,可以有效提升数据传输的效率。云控制服务中心负责接收所有客户端发出的操作请求,并执行响应的操作指令,使客户端与云端实现点对点通信。

图3 星型拓扑结构示意图

2.2 节点管理模型设计

系统需要在节点管理模型中加入云计算服务,需要充分考虑用户实际需求,若用户对存储系统具有安全性的特殊要求,则需要基于黑客视域进行黑客攻击测试,并及时发现系统存在的安全风险以及云服务器的安全漏洞,并根据测试结果进行修复,提升系统安全性[4]。云控制服务中心可以通过节点管理模型进行节点分配,利用云计算技术进行节点资源的统计、预测与分配,确保不同节点处于最佳运行状态。而当已有云中节点数量达到饱和后,此时再由新客户端发出请求信息,此时控制中心将重新分配节点,并对已有节点进行初始化,以及启动新的节点,重新将已有客户端请求合理分配至各个节点中,从而使节点再次回归至最佳运行状态。而如果云中节点已经完成客户端请求以后,云服务控制中心将通过节点管理模型第一时间识别到空闲节点,并回收与释放空闲节点,保证节点信息的安全性。

2.3 人员角色管理模块

人员角色管理模块可以对所有客户端进行维护与管理,主要负责客户端账户激活与授权、角色删除、权限收回、创建权限、账户角色授予。管理人员可通过该模块的查阅功能浏览已完成注册的用户账户信息,若无误则可进行激活操作,激活后的账户可拥有一般系统使用权限。若账户未激活,则用户无法登录系统,也无法执行系统操作。而激活后的用户不再使用系统后,管理人员则可对应进行角色删除操作。同时,管理人员还可以进行权限管理,对于不同需求用户,管理人员可界定其不同角色,角色与功能接口一一对应,为了便于操作,可在人员角色管理模块设置检索功能。

2.4 动态加密与解密框架

数据加密模块具有数据拦截功能,业务逻辑层处理的数据在存储到数据库以前,数据加密模块需要对其进行拦截,采用数据加密技术生成数据密[5]。此外,系统在收到客户端发出的请求以后,数据加密模块同样需要对数据库发出的密文数据进行解密与再加密处理,之后再建立客户端与节点间的一对一通信。在这一过程中,数据加密模块还需要配置相应的解密技术,系统的数据密钥可以对应生成算法密钥,可以在用户数据访问过程中利用算法密钥进行密文数据的解密。数据加密模块拥有对主密钥的管理权限,还可以对数据密钥进行生成与分发。为了确保整个通信过程的安全性,系统采用二级加密方式,Rsa算法主密钥可以对nes算法数据密钥进行加密,而Rsa算法私钥可以对加密数据进行解密处理,从而获取到相应的数据,以二级加密方式实现数据的加解密[6]。

此外,整个加解密过程采用动态加密与上传方式,云端加密程序在用户数据访问前,从公钥库获取到用于接收数据的ras公钥。在加密时,数据加密模块通过Des密钥生成器生成用于进行信息检验的密钥,以云计算技术选择数值N,利用元数据N字节读取数据,并利用随机密钥对数据进行加密,从而获取到对应的密文。之后,通过密钥利用接收端公钥成对密文进行加密,并存储到云端。此时,客户端开始进行响应操作,重新生成随机Des密钥以及随机输入,并按照上述流程进行数据包发送,保证整个过程处于动态加密状态。这一过程中,可以实现不同阶段的数据加密处理,所有密钥均对应一段加密数据,并均采用接收端公钥对数据进行加密处理,并按照密钥数据存储到云中节点。同时,系统在数据传输过程中,对数据包结构同样采取了加密处理,所有数据包均可以通过加密处理,形成与之对应的密钥与密文,并采用云计算技术进行密文长度的随机生成。不同数据包随机生成的密文长度存在差异,在分数包为S时传输数据,此过程中生成数据包的加密密钥,从而可以有效避免数据接收端的解析中在中断后无法进行续传的问题。

2.5 文档安全存储模块

文档安全存储模块包括文档服务器、备份服务器与管理端三个部分。文档服务器是核心部分,可以面向客户端请求提供对应的服务内容,对响应速度要求较高,可以快速响应客户请求。用户账户数据均通过文档服务器创建用户文件夹,用户在登录系统以后,可以对用户文件夹进行删除与创建操作,同时还可以支持批量上传与下载,提高用户操作的便利性。此外,用户操作时的操作信息将全部存储至后台数据库,管理人员可以通过登录系统进行查阅,具体功能架构见图4。

图4 文件服务器功能架构

为了有效提升系统的安全性,避免因为非法用户的入侵或服务器损坏而导致文档内容受到破坏,系统中还配置了备份服务器,备份服务器作为文档服务器的备份,实时同步用户数据与用户文档数据。若是文档服务器发生故障后,可以快速切换到备份服务器继续向用户提供文件夹阅览、上传与下载服务,可以有效保障系统的正常运行,而且对用户数据安全性具有充分保障。管理端可支持管理人员操作,需要管理人员登录管理人员账号才能运行,管理端可维护用户数据,而且有权进行用户与单位树管理。此外,管理端软件还可对用户访问用户文件夹的操作进行授权处理与日志审计。用户的访问行为不得超过管理端软件的授权范围,且不能超过其用户文件夹范围。日志审计主要包含用户行为审计与用户本身审计。系统在客户端软件中采用定时检测的方式对用户文档进行搜索,并将搜索的结果数据存储到文件中,上传至文档服务器。管理人员可通过登录管理端软件对结果数据进行检查,并根据结果数据处理不合规的文档。

2.6 防火墙系统设计

基于云计算的计算机网络安全存储系统采用广域网链路同其他网络进行连接,从而可以满足各项业务应用的功能,同时采用专线连接的方式从互联网中获取到价值信息。考虑到系统的使用安全与管理便利性,需要在客户端创建Internet出口,子链路利用总部进行访问。系统在Internet出口安装了防火墙系统,防火墙系统采用双交换机模式,以避免单点故障的发生。单台防火墙配置有4个网络接口,同Internet连接,内部网络与中立区配置了2台中心交换机,通过Internet光纤专线连接交换机与防火墙外网口,中立区配置的中心交换机连接防火墙中立区口、邮件服务器与WWW服务器。在产品选择上,本系统采用NetScreen公司防火墙产品,该防火墙性能较为优越,其吞吐量达到了400Mbps,可以提供4个百兆接口、200MbpsVPN处理能力、128000链接数,并且还可以支持透明模式、均衡负载与双机备份、流量控制等,一是可以有效保证系统的运行性能,二是可以为管理人员提供网络信息的监测与管理手段。同时,均衡负载还可以有效保障防火墙功能的实现,具体包括安全功能、动态访问过滤、自适应网络服务保护、同其他设备交互、禁止非授权访问行为等。系统中防火墙采用双机热备的运行方式,当其中任何一台防火墙出现运行故障以后,安全防护功能均可交由另一台防火墙接管,避免因为单点故障而导致系统出现安全隐患。利用防火墙进行以下网络连接的创建:(1)总部LAN与全部分支结构LAN的加密与认证连接;(2)所有VPN连接;(3)冗余中心;(4)5XP的LAN-to-LAN加密VPN连接。

3 测试分析

为验证基于云计算的计算机网络安全存储系统性能,本文对其安全性与性能进行了测试。其中,安全性测试共进行5次,每次测试采用10个数据包,其中风险数据包数据不等,在系统中上传好所有数据包后进行测试,测试结果如表1所示。

表1 安全性测试结果

由表1可知,5次安全性测试均识别出所有风险数据包,识别误差为0%,说明基于云计算的计算机网络安全存储系统的安全性较高,可有效避免风险数据流入系统内部造成系统安全隐患。

性能测试共进行3次,分别采用100、500、1000个用户数据进行CPU占用率测试,并与DES系统与椭圆曲线系统进行对比,测试结果如表2所示。

表2 性能测试结果

由表2可知,本研究提出的基于云计算的计算机网络安全存储系统相较于其他两种存储系统的CPU占用率明显更低,可有效占用系统CPU,确保系统的运行性能。

4 结语

综上所述,在云计算技术快速发展背景下,计算机网络安全存储系统的存储量与运行效率均有了大幅度提升,而相应地对系统安全性与运行性能等方面的要求也在不断提升,因此非常有必要将云计算技术融入计算机网络安全存储系统,并制定相匹配的安全防护方案。本研究提出了基于云计算的计算机网络安全存储系统,利用云计算技术提升系统运行性能,采用星型拓扑结构模式,利用云服务控制中心进行节点把控,全程数据交互均采用动态加密手段,可以有效保障数据传输的稳定性与安全性,以满足系统安全需求。

猜你喜欢
存储系统密钥客户端
密码系统中密钥的状态与保护*
分布式存储系统在企业档案管理中的应用
天河超算存储系统在美创佳绩
县级台在突发事件报道中如何应用手机客户端
孵化垂直频道:新闻客户端新策略
基于Vanconnect的智能家居瘦客户端的设计与实现
一种对称密钥的密钥管理方法及系统
基于ECC的智能家居密钥管理机制的实现
华为震撼发布新一代OceanStor 18000 V3系列高端存储系统
一种基于STM32的具有断电保护机制的采集存储系统设计