云計算技術在計算機網絡安全存儲中的應用研究

關鍵詞： 云計算技術 計算機網絡 安全隱患 數據存儲

數字化時代，各行各業都繞不開數據管理的問題，數據存儲作為數據管理的重要工作之一，因其安全性有待加強，而云計算技術為網絡數據存儲、相關技術的發展提供了條件。如何科學、合理地應用云計算與加強網絡數據存儲安全性，成為了當前的研究熱點與亟待解決的問題。

1 云計算在計算機網絡安全存儲中的技術分析

1.1 部署方式

云計算具有極強的計算能力、存儲能力及擴展能力，這使其在數據庫存儲等計算機安全存儲領域有著極好的應用優勢與前景[1]。云計算以數據為核心，其技術的核心要點為分配與動態服務，能夠在虛擬化、數據存儲、數據管理等方面發揮優勢。實際應用中，根據需要可應用不同部署方式的云計算技術，（1）私有云一般應用于企業或機構內部搭建的私有云平臺，一般不對外開放；（2）公有云為利用網絡提供第三方云技術服務；（3）社區云由多個機構基于利益共同構建提供云技術服務；（4）混合云，由兩個或多個公有云、私有云融合而成。

1.2 存儲架構

分布式文件系統（Hadoop Distributed File System，HDFS）基于主從結構模型，將一個HDFS 集群劃分為一個名字節點與多個數據節點，分別進行Master 進程與Worker 進程[2]。HDFS 中的NameNode 作為Master 進程主服務器，擔負集群分配調度的任務，管理系統命名空間并調節用戶端的訪問數據；HDFS 中的DataNode作為Worker 進程的主要執行節點，擔負管理執行節點所存數據的任務[3]。用戶應用HDFS 系統存儲文件形式的數據進，文件將被分割為若干數據塊，并存放于一組DataNode 中，而打開、關閉、重命名文件等操作均會激活NameNode，同時維護著文件與數據塊間的關系[4]。當用戶在客戶端通過網絡發出對讀寫文件的請求時，DataNode 被激活，并由NameNode 進行統一調度，以完成數據塊創建、復制、修改等操作[5]。HDFS 結構的存儲系統以數據塊為邏輯單元存儲及處理數據，為了能夠可靠存儲海量文件類的網絡數據，HDFS 系統中各文件也以塊的形式被存儲。

1.3 安全存儲算法：可取回性證明算法

進行計算機網絡存儲時，充分應用云計算平臺可取回性證明算法，將層次性的提升系統數據存儲安全性，能夠及時回撤錯誤數據，能夠協助用戶驗證其操作結果的真實性與準確性。應用時系統用戶須及時設定相關參數，如合理設置容錯誤差范圍，驗證不同服務模塊采集的關鍵數據是否正確與完整，從而及時處理網絡存儲中出現的信息失真等問題[6]。同時，該算法也能充分基于糾刪碼，將系統層面中冗余信息進行合理整合與刪除，從而合理精簡數據，提升網絡存儲的容量。此外，應用此算法，計算機系統能夠快速判斷與識別云計算結果及其精確度，并結合系統相關業務的處理需求進行分析，可降低輸出風險，從而提升網絡數據庫實時存儲的質量。

2 應用云計算建構計算機網絡安全存儲模型

以某公立醫院醫療信息數據庫的建設為例，該醫院規模擴張，且正在進行高質量發展轉型，采購了許多移動化的醫療設備，如移動式的電子血壓儀、心電圖機等。一些工作中需要將儀器與移動平板或電腦連接，以實時記錄醫療信息；同時，開始使用電子標簽等技術掃描和記錄患者信息，可見整個醫療護理的過程需要應用大量的信息化設備，因此記錄和存儲大量的醫療數據。而該醫院現有的醫療信息系統主要依賴固定的計算機記錄、上傳和存儲醫療信息，已經無法滿足醫療信息采集與記錄的需求。因此，為安全存儲海量醫療信息，該醫院綜合使用互聯網與區域網，應用私有云、公有云等方式建設體系化的網絡存儲系統，才能保證各類數據被安全且合理的存儲與使用。圖1 為該醫院利用云計算技術構建的網絡存儲模型，采用混合云部署方式，私有云基于企業區域網構建，用于存儲安全要求高的數據，基于互網絡第三方云服務平臺部署公有云，存儲與管理安全要求較低的數據，以患者醫療護理信息為主。

醫院在內部建設數據庫以保存部分核心的醫療數據。交由云服務平臺建設的網絡數據庫，該部分醫療數據是對醫護人員與患者同時公開的，醫護人員有查看相應患者醫護記錄的權限，而患者只能查詢自身醫療記錄與醫院公開的服務信息，因此需要基于身份認證、數據加密等技術來做好訪問控制等數據安全工作。如模型所示，為保證數據傳輸安全性，用戶登錄云存儲平臺存儲已經加密的數據時，用戶密鑰將由醫院內部存儲系統進行管理，且密鑰會進行加密管理；而內部系統在存儲與管理密鑰的同時，還會檢測云存儲平臺數據的完整性與相關服務的質量，因此醫院可以通過內部系統合理的干涉第三方存儲平臺的數據加密工作與用戶訪問控制，大幅度提升了第三方醫療數據存儲的安全性。

3 云計算在計算機網絡安全存儲中的關鍵技術分析

3.1 數據加密

3.1.1 對稱加密

該技術加密與解密使用同一密鑰，因此需要數據交流的雙方都知道該密鑰，保持密鑰機密性，才能保證數據機密性。該技術的安全強度較高，加解密速度快，因此在網絡存儲中最為常用，典型的對稱加密算法有DES、AES、IDEA 等。DES 作為對稱式分組加密算法，會將明文分為固定大小的組，基于同一密鑰進行加密，以塊的形式存儲和輸出密文，這一算法數據處理速度快，因此適應于大量數據的加密存儲。

3.1.2 非對稱加密

對稱加密存在密鑰安全管理難的問題，而非對稱加密用公鑰加密，用私鑰解密，基于加密密鑰與解密密鑰分開管理的形式，解決了這一問題。該醫院數據庫用戶數量較為龐大，為確認公鑰正確性，通過設立可信第三方來認證公鑰。此方式雖然存在用戶分享數據不方便的問題，但該醫院移動設備眾多，且使用流程規范，因此設計數據分享的情況很少，因而規避了此加密方式的弊端。非對稱密碼機密性強，能保證非授權用戶無法能獲取信息，存儲的信息被加密后難以被盜取和篡改，入侵者沒有數字簽名無法用假消息獲取信息。

3.1.3 基于身份的數據加密

非對稱加密在證明公鑰是否正確時需提供CA 中心問題，而基于身份進行加密，以用戶部分身份信息為公鑰，避免了設立CA 問題的負擔。該醫院使用第三方認證中心建立了身份認證證書機制，基于認證服務器驗證用戶身份的合法性，從而確保了公鑰可靠安全。醫護人員和患者通過身份認證后，上傳數據時無須輸入公鑰即可進行數據掃描和實時上傳等操作，這是由于認證證書中已經包含了用戶信息與對應的公鑰，因此無須再次進行密鑰認證。

3.1.4 基于屬性的數據加密

醫院醫療數據類型非常多，因此身份加密主要應用于訪問控制問題上，而應用身份屬性對醫療數據進行分類加密，提升了加密的合理性。這是由于屬性加密技術在采集用戶屬性特征的基礎上，建設公鑰加密數據，一個用戶在訪問時能解密單個密文，當其用戶屬性與密文屬性存在共同屬性，且相同屬性達到一定數量后，才能獲得相應門限的公鑰。屬性加密引入了“與”“或”“非”等形式來構建訪問樹結構，從而使不同密文能被不同屬性的用戶共享。屬性加密與解密過程具有其他加密技術不具備的動態性、靈活性，能夠對系統內用戶解密文件、共享文件等操作進行更細的控制，而患者可以更根據自身屬性來獲取對應的密鑰與治療信息。

3.2 密鑰管理

目前，對稱加密方法一般是基于密鑰分發中心管理對稱密鑰，實現密鑰協商與傳輸等功能。對稱密碼算法簡單，對系統性能、空間要求低，由于在進行安全通信前必須協商密鑰、交換密鑰，在處理龐大用戶的存儲系統時，此類密鑰管理尚存交換途徑不安全、密鑰數量多難管理等缺陷，因此常用于數據量不大的局域網數據存儲系統中。

該醫院使用的非對稱密鑰的加密密鑰為公開狀態。常公鑰管理技術有PKI、IBC 體系。該醫院使用PKI 密鑰管理體系，PKI 體系基于非對稱密碼技術實現，提供密鑰安全管理服務，能夠為所有網絡環境下的數據存儲系統透明地提供密鑰管理服務，利用CA 可信權威機構為用戶頒發認證證書，即公鑰，CA 利用私鑰對身份與公鑰相結合的證書進行數字簽名，從而證明證書正確性。

3.3 訪問控制

該醫院建設網絡存儲安全訪問控制時，不僅應用了身份加密、屬性加密等技術構建訪問信息加密機制，同時還構建了合理的訪問控制規則、控制模型，前者利用網絡特征與準入機制約束用戶訪問行為，后者基于靜態分配權限約束不同用戶的操作行為。

圖2 為該醫院訪問控制的基本技術架構，醫護人員和患者等用戶提出訪問請求后，系統會基于控制模型與規則將其信息傳輸給云環境，由其對用戶身份進行核實，通過加密機制反饋請求結果。應用身份加密、屬性加密等算法構建訪問信息加密機制，能保證訪問過程中相關信息的安全性。實際應用中，為避免加密、復雜的大量醫療信息消耗過多存儲與計算資源，需要進行多層密鑰管理，并合理設計訪問模型與控制規則。

建構分層訪問控制，以保障各類醫療信息被合理分層，并被擁有相應權限的用戶訪問，以保障數據訪問的安全。在實際建設中，進行了以下實體部分的建設：（1）認證中心，負責患者信息的安全認證與注冊，然后生成公鑰與主密鑰，交由第三方可信機構負責認證，依法保障患者資料、密鑰與操作權限的安全；（2）屬性機構，負責管理與分發患者和醫護人員的訪問密鑰，訪問策略更新后寫入新密鑰，保證每個用戶屬性發生相應變更，獲得對應私鑰，能避免密鑰重復使用，從而提升密鑰安全性；（3）數據擁有者模塊，為數據所有者提供可信授權，定義訪問策略，向認證中心提供密鑰申請，使用加密算法處理密鑰，并上傳至相應的密鑰管理系統；（4）用戶模塊，醫護人員在下載系統信息時，需下載最新私鑰，對被授權訪問的密文信息進行解密，并獲得數據分享、刪除、修改等權限；（5）云服務器模塊，基于訪問規則為醫護人員提供上傳、加密醫療信息等服務。

3.4 數據恢復

數據備份及恢復技術，主要應用于各種災難導致的數據丟失、失真等問題發生后的系統恢復工作中。該醫院構建數據恢復系統時，組建了以下實體部分：（1）云端服務器，負責存儲所有醫療交互數據；（2）控制中心，負責控制醫療數據的傳輸、訪問、存儲、保存等工作；（3）局域網，負責將各類信息化醫療設備與控制中心聯系起來；（4）客戶端，用于實現分布式存儲，即存儲每個患者的分段數據。

4 結語

文章多角度、綜合性地分析了如何合理應用云計算技術，提升網絡存儲安全性，結合實例從技術層面探究了相關技術的應用特點及應用策略。在實際應用中，需要根據數據存儲需求，合理地建設存儲體系，選擇安全可靠且與自身需求相匹配的第三方存儲平臺，合理地選擇和應用數據加密等安全性技術，才能真正提升數據存儲安全性。