實現數據加密分割的模塊化云存儲方案

李仲瀚

摘 要：在科學技術日新月異的背景下，云技術被廣泛應用在社會生活的方方面面，為人們提供了便利的條件。以往運營商在實際經營發展過程中，僅僅只有單一的云存儲方案，不能為用戶制定個人的云存儲服務，難以滿足用戶的多樣化需求。而現階段，運營商可以利用先進的技術來設計模塊化的云存儲方案，不僅能保證用戶數據的訪問控制安全、存儲安全和傳輸安全，還能增強數據的完整性、可用性、機密性，為用戶提供安全可靠的網絡存儲服務。本文以MCSERS云存儲模型為例來分析數據加密分割的模塊化云存儲方案。

關鍵詞：數據加密分割；模塊化；云存儲方案

云計算作為信息時代下的產物，可以為用戶提供強大的計算資源和計算能力，緩解用戶終端設備的計算壓力，滿足移動化的實際需求，進一步推動計算機服務的發展。目前云存儲主要是由運營商來維護用戶數據，不能從根本上保障用戶數據的安全性和完善性，因此設計出數據加密分割的模塊化云存儲方案顯得尤為重要。

一、云存儲模型分析

對于MCSERS云存儲模型而言，其主要是利用各種公有云的技術與服務，構建個人用戶的存儲私有云，具體如下圖1所示。該模型可分為四層，每一層都具有一定的承接關系，下層服務是構建上層服務的基礎，由上至下分為是服務層、安全存儲層、安全傳輸層、節點層。安全存儲層利用訪問限制和數據加密等技術，對用戶數據的完整性、可用性和機密性加以保護。安全傳輸層則是在同一安全域中集中較為分散的云存儲模塊，搭建安全通信通道，保證傳輸的一致性及安全性，有效滿足客戶端動態變化和存儲模塊的特性，簡化資源使用流程，實現云計算資源的動態分配。計算節點涉及不同的組件，如信息記錄節點、存儲流程控制節點、存儲節點等，不同的計算節點具有不同的任務流程，能夠降運營商存儲造成的內部威脅。

二、云端存儲層的設計

（一）架構

為了避免惡意用戶截取云存儲數據的機密性，必須要保證云存儲端存儲和傳輸數據的合法性，將加解密設置在用戶密鑰的終端。通常MCSERS云存儲層架構包括以下幾個方面：

1）第三方身份認證服務提供商：其主要是對用戶終端的身份進行認證，可由任何節點接入云存儲且獲得元數據服務器的信任，并利用賬戶密鑰和賬戶身份來增強用戶數據的保密性。

2）存儲節點：其是對用戶數據分片進行存儲，利用元數據服務器控制來讀取或存儲數據分片。

3）數據分割處理器：其對數據冗余重組和分割加以負責，具有強大的吞吐能力與計算機能力，適用于數據分片的交流工作；而用戶只有證明其合法性，并利用存儲指令和運數據讀取，才能獲得元數據服務器的信任。

4）元數據服務器：其是云端儲存的代理管理節點，能夠分配編號用戶數據；同時用戶需要實現申請服務器，然后配置好腳本后接入到云存儲域中。

5）用戶終端：用戶可以借助終端節點來登錄云存儲域，并與元數據服務器相連，將元數據服務器接入到瀏覽器或終端使用軟件中，通過第三方身份認證服務后可以使用所提供的存儲服務。

（二）服務流程

用戶在MCSERS云存儲方案中可以任意終端為依據，接入云存儲域來讀取或存儲數據，當然這一過程需經過如下步驟：

1）元數據服務器通過第三方身份認證服務來認證用戶身份，確認通信實體為數據擁有者后，由信任終端發出數據存儲讀取指令。

2）認證完用戶終端之后，用戶可發出數據存儲指令，這時元數據服務器可為用戶分配一個計算節點，以此當成數據分割處理器，如果用戶接受則可借助用戶密鑰來簽名此次會話，然后發送至服務器，繼而確認有效性，提供存儲位置服務。

3）在數據分割處理器中上傳加密后的數據，并在存儲數據分片中使用有效存儲節點地址，記錄好相關的分片信息。

4）處理器發出數據讀取操作與分片存儲之后，元數據服務器應將操作認證信息發送至存儲節點，當存儲節點確認操作有效后可讀取和存儲數據分片。

以MCSERS云存儲流程為例，在同一VPN實例內，用戶即便滿足加入實例的條件，也有可能無法滿足訪問數據的條件，這就需要單獨認證處理用戶終端的身份。用戶終端相元數據服務器發送認證請求和必要信息，當其接收到請求后進行賬戶加密處理，然后相應的IdP通過解密來認證身份，并相元數據服務器返回信息真偽。通常云存儲端讀取過程如下：用戶終端以用戶數據編號為依據提出讀取申請，元數據服務器選取數據分片后發送至處理器，繼而結合所獲取的讀取許可證發出認證信息，認證成功后返還相應分片，由數據分割服務器重組數據分片后返還給用戶終端，最終保證數據的完整性與可用性。

三、結語

模塊化的云存儲方案設計可以保證存儲過程的靈活性以及選擇的多樣性，適用于分布式的云存儲場景。而基于MCSERS的云存儲方案主要是利用云端VPN服務，在統一的安全域中維護存儲組件，保證數據的安全傳輸，并通過用戶身份驗證來嚴格管理權限，以免用戶數據分片被非法人員獲取，增強用戶數據的保密性。本文構架的方案適用于云服務運營商，可以有效提高網絡存儲服務的可靠性及安全性，便于用戶在不同運營商之間進行數據的存儲及遷移。

參考文獻：

[1] 鄭洪英，王博，陳劍勇.實現加密和分割的數據云存儲方案[J].深圳信息職業技術學院學報，2014，01：40-45.

[2] 呂從東，韓臻，馬威.云存儲服務端數據存儲加密機制的設計和實現[J].信息網絡安全，2014，06：1-5.