基于云計算的網絡安全存儲系統設計

劉知云

關鍵詞：云計算；網絡安全；存儲系統

0 引言

在當今這個大數據時代，網絡存儲系統中涉及的數據量已經較為龐大，且仍維持不斷增長的態勢。在這種情況下，網絡存儲系統中的數據信息也面臨著更多的入侵風險，為有效規避這一風險，引入云計算技術，對網絡安全存儲系統進行優化設計則是一個切實可行的途徑。為此，應當對這方面的工作作進一步深入探究，以提升數據安全存儲水平。

1 系統整體架構設計

1.1 云架構的設計

在本次設計中，網絡安全存儲系統的云架構采用星型拓撲結構進行設計，其示意圖如圖1所示。

由圖1可知，在該結構下，基于控制中心，不同用戶的傳輸請求均可得到有效處理，在用戶請求處理完畢后，控制中心進一步與云端的客戶端端點實現相互通信，對相關信息予以接收和反饋。整體來看，此結構通過“云可收縮性”加以實現，拓撲結構的節點數量及分配均非固定，而是結合需要進行自動的調整[1-2]。

1.2 節點的管理

為實現對該拓撲結構下各個節點的有效管理，在本次設計中，通過節點的初始化處理與分配，初步構建節點管理模型，通過該模型，控制中心即可對云端的數據信息資源進行管理，再通過相應算法，對各個節點予以調整。如云端存在空間節點，則控制中心對該“空間節點”進行回收與釋放操作，對此節點的信息予以適當處理[3]。

在此基礎上，考慮到云中各節點運行的實際情況和性能之間存在一定差異，因此在本次設計中，引入合理負載均衡機制。在這一過程中，設計人員調用public clsss SSTable函數，對控制中心的各節點作業情況進行分配，實現對作業的配發。如出現持續空載時間大于定義量的情況，則在數據池中進行轉存，確保節點空載浪費情況壓縮至最小水平[4-5]。

1.3 數據庫設計

在本次設計中，結合數據在安全性和穩定性等多方面的需求，采用Oracle數據庫進行設計，并結合實際需要，設計用戶信息表和文件信息表，分別如表1和表2所示。

由于表1中的用戶數據信息表涉及數種類型的用戶，為實現對不同用戶類型的識別，使用tag字段設置作進一步識別。

2 系統主要功能模塊設計

2.1 身份認證模塊的設計

在身份認證模塊的設計中，設計人員采用橢圓曲線，對云計算環境下的網絡數據進行加密，以提升數據存儲系統的安全性。為此，基于如下算法生成加密數據序列，以生成代理私鑰，其公式如下：

在該公式中，gi 表示數據集中第i個要素，M為生成私鑰的數據對應的字段長度。基于此算法，為初始簽名者訪問系統中的數據信息構造密鑰函數，該函數作為訪問數據信息的唯一途徑。同時，系統將自動對入侵者成功訪問云存儲系統的概率進行計算，如該數值處于極低的水平，則正式生成身份認證協議。當身份認證協議生成后，訪問者即可開始進行訪問。

2.2 數據安全檢測模塊的設計

數據安全檢測模塊的主要作用是，在目標數據加密前，對數據安全水平進行自動分析，以預先識別和剔除可能存在風險的數據。在該模塊中，主要基于DS證據理論，對數據安全水平進行評估，其計算公式如下：

在該公式中，h1（ j ）、h2（ j ）、h3（ j ）分別表示系統的網絡路徑延遲變量、延遲變化變量和網絡時鐘偏移量三個參數。同時，系統會自動設置一個數據信任度安全閾值，并將計算結果與閾值進行比較，如計算結果超過閾值，則證明不存在危險因素，反之則視為不安全因素，并對相應的數據予以處理。

2.3 網絡數據加密模塊的設計

在網絡數據加密模塊中，其主要基于云存儲安全模型，對云計算模式下的系統數據信息進行加密，確保數據存儲和傳輸環節的安全性。在本模塊中，其主要基于以下幾個步驟加以運行：1） 數據的傳輸和接收雙方均對橢圓曲線參數進行還原處理，此時，數據的接收方也將基于安全通道獲得傳輸方發送的私鑰，并將其還原為初始的私鑰，返還至數據傳送一方；2） 數據傳送方對傳輸的數據和身份信息進行散列處理，并結合傳送一方的私鑰，生成數據簽名信息；3） 基于接收方的密鑰，對目標數據進行加密，得到目標數據的密文，將密文上傳至數據存儲系統中，同時向云服務器端上傳簽名內容，以降低數據被惡意入侵和盜取的概率；4） 當用戶通過身份驗證后，系統將向用戶接收方提供一個私鑰，用以解密文件，從而獲取相應的數據。

2.4 數據通信模塊

在本次研究中，數據通信模塊的設計又可細分為以下幾個部分。

一是服務器對數據信息的下發。在此環節中，當用戶通過某一終端接入網關上線時，該終端將被賦予一個唯一的識別碼Socket_ID，該識別碼將被納入鏈表中，以實現服務器主動推送實時數據的功能。如涉及數據模型的更新，則系統會自動搜尋數據鏈表和數據庫中前端用戶注冊后產生的GID和devID兩種數據，再據此找到對應的Socket下相應的網關和設備，進而完成數據下發。同時，在線網關的ID號也將存入到緩存數據庫中。

二是相關數據的上傳與下載。在數據上傳前，首先系統將數據上傳流程初始化，同時由網關客戶端對底層設備上傳的數據進行監聽，以獲得數據類型的信息，尋求相應的數據處理方式。對于通信平臺的數據下載，其主要基于平臺端的JSON格式設備控制指令來進行。具體來看，系統在數據下載的初始階段，會進行初始化，監聽平臺下發的JSON消息數據，并對不同類型的數據進行針對性處理。其次，在數據初步處理后，基于Socket.IO協議，處理后的數據將進一步下放至網關，如數據為指令消息，則通過網關下發給具體的底層傳感設備，執行具體的操作，如數據為模型消息，則由平臺端返回認證完成時相應的設備模型和網關模型到網關中，由此最終完成平臺數據的下載。

2.5 用戶管理模塊的設計

考慮到網絡安全存儲系統對數據安全要求較高，且不同類型的用戶存在著不同的需求，應當賦予不同得操作權限，為此，設計人員引入系統管理模塊，對各類權限進行分別設置。在該模塊下，用戶必須注冊賬號并輸入正確的賬號密碼后，方可登錄系統進行訪問，這種設計方法將有效提升系統的安全性。在此基礎上，為進一步提高系統的安全性，在模塊設計過程中，采用密碼加密算法，構建數字和大小寫字母的混合密碼模式，并確保密碼長度在10位或更高，有效降低了密碼被暴力破解的可能。另一方面，為實現對相關用戶賬戶行為的管理，設計人員進一步采用get_user_monitor_data（self）函數進行監控，以實時查看用戶的操作行為，避免用戶出現非法操作等問題。

2.6 數據信息的顯示

一方面，在數據顯示功能上，設計人員應用Real?TimePage_Load（）函數，控制系統內數據的顯示和隱藏，并使用send函數進行數據的分流處理與顯示；另一方面，考慮到該系統涉及海量數據的傳輸和更新，因此應用UpdateQueueValue函數，對數據進行排列與更新。

3 系統測試分析環節

3.1 系統性能測試

為探究本次所設計的基于云計算的網絡安全存儲系統在性能方面的優勢，首先對其進行性能測試，并與傳統的DES安全存儲系統同時進行對比測試。在測試環節中，基于LoadRunner測試工具，模擬多個虛擬用戶同時訪問安全存儲系統的情況，首先對CPU占用率指標進行測試，測試結果如表3所示。

從表3中的數據可知，隨著虛擬用戶數量的增加，兩個系統的CPU占用率都呈現出不斷上升的態勢，但相對而言，本次所設計的數據存儲系統的CPU占用率處于偏低的水平，而在虛擬用戶數量達到1 000時，傳統的DES系統的占用率已經突破了33%，對于系統CPU的負擔也相對較重，此時本次設計的數據存儲系統的優勢相對更為突出。

3.2 系統安全性測試

在基本性能測試完成后，測試人員進一步對系統進行安全測試。在此環節的測試中，測試人員共計進行五次測試，每次測試均隨機選取20個數據包，每個數據包的大小均在350MB左右，且其中均含有一定量的風險數據內容。通過向本次設計的系統發送數據包，對系統的攔截情況進行測試，最終的測試結果如表4所示。

從表中的數據可知，在發送含有風險內容的數據包過程中，該系統對風險內容實現了100%的有效攔截，這表明身份認證步驟達到了預期效果。如身份認證環節不正確則無法進行數據的傳輸與存儲。同時也可據此表中數據得知，當數據包數量發生變化時，系統的風險數據信息檢測能力并未受到影響，在各種情況下均可取得相對較優的檢測效果。

4 結束語

總而言之，在云計算技術不斷發展和推廣應用的背景下，將云計算技術融入網絡數據安全存儲系統的設計中，以提升其數據安全水平，具有重要的理論與現實意義。因此，在實際工作中，應當結合實際需要，引入云計算技術，對網絡安全存儲系統進行優化設計，確保其數據存儲能力和安全性等多方面的指標均滿足要求。當然，由于各種原因的限制，本次研究的基于云計算的網絡安全存儲系統難免存在一定的不足之處，因此在今后的工作中，將考慮引入智能技術等新技術，對此系統作進一步的優化改進，確保網絡數據信息安全質量進一步提升，進而推動互聯網的穩定發展。