基于云計算的校園電子檔案安全存儲技術(shù)研究

一、前言

隨著互聯(lián)網(wǎng)的普及，高中學(xué)校的管理工作正逐步邁向數(shù)字化、信息化。紙質(zhì)檔案管理方式已難以滿足現(xiàn)代學(xué)校管理的需求，其存儲、檢索和管理效率低下，且易受到物理損壞。因此，電子檔案的應(yīng)用逐漸成為高中學(xué)校檔案管理工作中的新趨勢。隨著電子檔案數(shù)量的不斷增加，其安全存儲問題也日益凸顯。程順達[通過對用戶發(fā)送到云計算中的數(shù)據(jù)塊進行分塊重構(gòu)，采用交叉加密的方式對不同尺寸的數(shù)據(jù)塊進行加密，從而達到數(shù)據(jù)的安全性和快速加密的目的。但數(shù)據(jù)分塊重組和交叉加密的過程會增加系統(tǒng)的復(fù)雜性。此外，如何確保數(shù)據(jù)在分塊與加密過程中的完整性和一致性也是該方法在實際應(yīng)用中需要解決的問題。陳海欣等人結(jié)合了模糊廣義去重與輕量級加密技術(shù)，對圖像數(shù)據(jù)進行整數(shù)小波變換，提取低頻分量作為基，高頻分量作為偏移量。采用基于異或的輕量級加密算法，將圖像的機密性保護與廣義去重技術(shù)有機結(jié)合。此外，該方法還對偏移量進行云端模糊去重，確保云端僅保存高度相似的偏移量數(shù)據(jù)的單個副本。但圖像數(shù)據(jù)的整數(shù)小波變換和加密算法會增加計算開銷。此外，模糊廣義去重的實現(xiàn)需要精確控制相似度閾值，以避免誤去重或重復(fù)存儲的問題。為實現(xiàn)電子檔案的集中存儲、統(tǒng)一管理，提高存儲效率和安全性，本文將引進云計算技術(shù)，以某高中學(xué)校為例，開展校園電子檔案安全存儲技術(shù)的研究。

二、基于云計算創(chuàng)建電子檔案安全文件

為實現(xiàn)對校園電子檔案的安全存儲，設(shè)計方法前，引進云計算技術(shù)進行電子檔案安全文件的創(chuàng)建。在此過程中，檔案管理人員從云端電子檔案管理系統(tǒng)中檢索出電子檔案文件。為驗證其完整性，采用私有密鑰對電子檔案執(zhí)行數(shù)字簽名操作，生成簽名值。此過程計算見式（1）。

Sig=DS（K_priv，F(xiàn)ile）

式中： sig 表示電子檔案簽名值，DS表示數(shù)字簽名算法， K_priv 表示私有密鑰，F(xiàn)ile表示檢索的電子檔案。在此基礎(chǔ)上，采用AES生成兩個獨立的對稱密鑰，K_header 用于加密文件頭信息， K_content 則用于加密文件內(nèi)容。利用 K_content 對已經(jīng)簽名的電子檔案進行加密處理，得到加密后的電子檔案數(shù)據(jù) Enc_content （File）。將加密后的電子檔案數(shù)據(jù) Enc_content （File）與電子檔案訪問控制列表相結(jié)合，形成電子檔案訪問安全信息。采用另一個對稱密鑰對此部分信息進行加密，此過程計算見式（2）。

F=Enc_access（ACL，Enc_content（File））

式中，F(xiàn)表示電子檔案訪問安全信息的加密，Encacces表示對稱密鑰，ACL表示電子檔案訪問控制列表。采用檔案管理人員的公鑰對文件頭對稱密鑰進行加密。將加密密鑰與對應(yīng)的公鑰標(biāo)識符相結(jié)合，構(gòu)建可信任公鑰列表。將加密電子檔案數(shù)據(jù) Enc_content （File）與帶有簽名的文件頭（包括訪問安全信息加密結(jié)果、加密文件頭密鑰、可信任公鑰列表、文件元數(shù)據(jù)及文件頭簽名）相結(jié)合，形成電子檔案安全文件。

三、基于角色認(rèn)證的電子檔案訪問控制

在上述內(nèi)容的基礎(chǔ)上，通過精細的角色劃分與權(quán)限分配，進行用戶訪問行為與電子檔案安全的精準(zhǔn)對接。電子檔案訪問控制技術(shù)的基礎(chǔ)在于角色認(rèn)證模型的構(gòu)建，該模型將檔案的訪問權(quán)限與特定的用戶角色相連，通過為用戶分配對應(yīng)的角色，實現(xiàn)權(quán)限管理的系統(tǒng)化與精細化。以此為依據(jù)，建立用戶與權(quán)限之間的間接映射關(guān)系，見式（3）。

表1云存儲平臺的技術(shù)參數(shù)

U（F）?R（F）?P（F）

式中：U表示用戶集合，R表示角色集合，P表示權(quán)限集合。在確立了角色認(rèn)證模型后，明確每個角色應(yīng)承擔(dān)的任務(wù)與職責(zé)。管理人員需對工作項進行深入分析，以此為基礎(chǔ)劃分出具體的任務(wù)集，并根據(jù)任務(wù)集的職責(zé)分類原則，實現(xiàn)角色的分類管理。在構(gòu)建電子檔案訪問控制模型并設(shè)置角色后，采用API技術(shù)，通過Iawa驗證授權(quán)機制，確保用戶訪問電子檔案的安全性5。設(shè)電子檔案集合為E，E={e₁ ， e₂，…} ，用戶提交訪問申請時，系統(tǒng)會基于用戶的角色與權(quán)限，對其進行訪問控制。此過程計算見式（4）。

公式中： u，r，p 表示U、R、P的子集，M表示訪問控制。如滿足訪問控制條件，輸出值為“1”，反之為“0”，通過上述方式，完成基于角色認(rèn)證的電子檔案訪問控制。

四、校園電子檔案分類封裝安全存儲

完成上述設(shè)計后，通過對校園電子檔案的分類封裝，實現(xiàn)其安全存儲。在此過程中，電子檔案數(shù)據(jù)被劃分為身份性數(shù)據(jù)和過程性數(shù)據(jù)兩大類，前者包括學(xué)生個人信息、成績單等，一旦歸檔便不可更改。后者則記錄了電子檔案的流轉(zhuǎn)歷程。為實現(xiàn)數(shù)據(jù)的封裝，采用XML格式展示數(shù)據(jù)的層次結(jié)構(gòu)。

在此基礎(chǔ)上，引入數(shù)字簽名與加密技術(shù)，利用其中的散列函數(shù)，生成數(shù)據(jù)的唯一標(biāo)識，即使數(shù)據(jù)內(nèi)容發(fā)生微小變動，其散列值也會不同，從而確保了數(shù)據(jù)的唯一性。同時，采用SM2加密算法對數(shù)據(jù)進行加密，并生成數(shù)字簽名加密數(shù)據(jù)包。此過程計算見式（5）。

式中：S'表示數(shù)字簽名加密數(shù)據(jù)包， ?_m 表示SM2加密算法， H（θ_x） 表示散列函數(shù)； S_k 表示數(shù)據(jù)的唯一標(biāo)識。在存儲前，還需對身份性數(shù)據(jù)進行XML簽名驗證，驗證過程可表示為式（6）。

式中：V表示簽名驗證，XML表示數(shù)據(jù)格式，8表示封裝文件。若驗證通過，則數(shù)據(jù)完整性得到保障，將經(jīng)過驗證的身份性數(shù)據(jù)、數(shù)字簽名及過程性數(shù)據(jù)封裝至XML文件中，實現(xiàn)電子檔案的安全存儲。

五、對比實驗

（一）實驗準(zhǔn)備

選擇某高中學(xué)校作為研究試點，通過對試點單位電子檔案安全存儲進行深度分析，發(fā)現(xiàn)該校的電子檔案主要包括學(xué)生個人信息、考試成績、教學(xué)活動記錄及行政管理文件等類別。目前，該校已采用云存儲技術(shù)管理檔案，但現(xiàn)狀顯示，存儲系統(tǒng)的安全性與數(shù)據(jù)保護機制尚待加強。

學(xué)生個人信息檔案（如身份證號、家庭住址等敏感數(shù)據(jù)）超過10萬份，而當(dāng)前存儲系統(tǒng)雖具備基本的訪問控制，卻缺乏高級加密與匿名化處理，使得數(shù)據(jù)面臨泄露風(fēng)險。考試成績檔案約有50萬條記錄，其完整性驗證機制亦不夠完善，存在被篡改的可能性。此外，教學(xué)活動與行政管理文件的數(shù)量龐大且增長迅速，對系統(tǒng)的可擴展性和數(shù)據(jù)恢復(fù)能力提出了更高要求。綜上所述，該校需進一步優(yōu)化電子檔案安全存儲策略，強化數(shù)據(jù)加密、訪問控制及容災(zāi)備份等措施，以確保檔案數(shù)據(jù)的安全性與可用性。為實現(xiàn)對相關(guān)工作在實施中的進一步規(guī)范化。開展研究前，搭建校園云存儲平臺用于存儲電子檔案，對云存儲平臺的技術(shù)參數(shù)進行分析，見表1。

圖1電子檔案存儲現(xiàn)場布置

在測試檔案安全存儲技術(shù)時，需搭建一個模擬校園環(huán)境的云存儲測試平臺，該平臺應(yīng)集成加密技術(shù)、訪問控制機制及數(shù)據(jù)備份與恢復(fù)功能。通過現(xiàn)場布置，確保測試環(huán)境與實際校園環(huán)境相似，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、服務(wù)器配置及存儲資源分配等。測試現(xiàn)場布置如圖1所示。

在上述內(nèi)容的基礎(chǔ)上，準(zhǔn)備電子檔案樣本，涵蓋學(xué)生信息、考試成績、教學(xué)資料等多種類型，配置專業(yè)的測試工具與軟件，模擬各種攻擊場景，評估存儲系統(tǒng)的安全性與穩(wěn)定性。

完成準(zhǔn)備工作后，引進文獻[1]提出的基于安全性驗證的存儲算法、文獻[2]提出的基于模糊廣義去重的存儲方法，將其作為對照，進行校園電子檔案安全存儲效果的檢驗。

（二）電子檔案存儲數(shù)據(jù)完整性檢驗

在電子檔案存儲數(shù)據(jù)完整性檢驗環(huán)節(jié)，準(zhǔn)備一份500MB的原始電子檔案，該檔案內(nèi)容涵蓋了學(xué)生信息、課程資料及學(xué)校活動記錄等重要數(shù)據(jù)。為了全面評估存儲技術(shù)的數(shù)據(jù)完整性，采用本文方法、文獻[1及[2]提出的存儲方法對檔案進行安全處理。

存儲完成后，模擬多種攻擊場景以檢驗檔案在存儲過程中的穩(wěn)定性。在此過程中，實施數(shù)據(jù)篡改攻擊，試圖修改存儲中的檔案內(nèi)容。同時，進行數(shù)據(jù)刪除攻擊，嘗試刪除部分或全部存儲的檔案。此外，模擬網(wǎng)絡(luò)中斷攻擊，以評估在極端網(wǎng)絡(luò)環(huán)境下檔案數(shù)據(jù)的完整性。攻擊完成后，對存儲的檔案進行檢查，確保檔案的體積仍為500MB，且內(nèi)容未發(fā)生任何意外更改或丟失。以此為依據(jù)，對實驗結(jié)果進行分析，如圖2所示。

圖2電子檔案存儲數(shù)據(jù)完整性檢驗

圖3電子檔案存儲資源空間分配與角色訪問權(quán)限劃分

根據(jù)圖2，可以看出不同存儲方法在應(yīng)對各種攻擊時的表現(xiàn)。通過對比看出，采用本文提出的存儲方法在處理500MB原始電子檔案時，數(shù)據(jù)完整性保護能力較好。即便在遭受數(shù)據(jù)篡改、數(shù)據(jù)刪除以及網(wǎng)絡(luò)中斷等多重攻擊后，檔案體積依然保持不變，內(nèi)容也未發(fā)生任何更改或丟失。

相比之下，文獻[1與文獻[2]提出的存儲方法在面對相同攻擊時，其數(shù)據(jù)完整性保護效果則較差。對應(yīng)方法在應(yīng)用后，無法確保檔案的體積與內(nèi)容均保持原樣，從而暴露出數(shù)據(jù)完整性方面的明顯不足。

綜上所述，本文提出的存儲方法在保障電子檔案數(shù)據(jù)完整性方面具有顯著優(yōu)勢，能夠為校園電子檔案的安全存儲提供更加堅實可靠的保障。

（三）電子檔案存儲訪問權(quán)限控制

完成上述測試后，對云存儲終端的電子檔案存儲資源空間分布進行分析，并根據(jù)用戶角色，劃分對應(yīng)人員的訪問權(quán)限，如圖3所示。

在此基礎(chǔ)上，應(yīng)用本文方法、文獻[1][2]提出的方法進行電子檔案存儲訪問權(quán)限控制，檢驗三種方法是否能在實際應(yīng)用中達到預(yù)期效果，其結(jié)果如圖4所示。

如圖4所示，通過測試對比本文方法、文獻1及文獻[2]提出的方法在電子檔案存儲訪問權(quán)限控制上的表現(xiàn)。

圖4電子檔案存儲訪問權(quán)限分配結(jié)果

本文方法在權(quán)限分配上展現(xiàn)出了顯著的優(yōu)越性，本文方法確保了各角色訪問權(quán)限的精確劃分與動態(tài)管理。相比之下，文獻[1]與文獻[2]提出的方法在實際應(yīng)用中表現(xiàn)出了明顯不足。對應(yīng)方法在權(quán)限規(guī)劃上難以靈活適應(yīng)不同角色的實際需求，導(dǎo)致訪問權(quán)限的分配不夠精準(zhǔn)，甚至存在潛在的安全隱患。

六、結(jié)語

電子檔案的存儲和傳輸依賴于網(wǎng)絡(luò)和計算機系統(tǒng)，一旦網(wǎng)絡(luò)被攻擊或系統(tǒng)遭遇病毒侵襲，學(xué)校的重要檔案信息將面臨泄露、篡改和丟失的風(fēng)險，對學(xué)校的教育教學(xué)工作和學(xué)生的個人隱私保護構(gòu)成極大威脅。本文方法基于云計算構(gòu)建了高效安全的存儲架構(gòu)，不僅大幅提升了存儲容量與訪問效率，還通過集成先進的加密技術(shù)與訪問控制機制，有效保障了電子檔案數(shù)據(jù)的機密性與完整性。在訪問權(quán)限控制上，本文方法實現(xiàn)了對用戶角色的精細化劃分與權(quán)限的動態(tài)管理，不僅提升了系統(tǒng)的靈活性與適應(yīng)性，還有效規(guī)避了潛在的安全風(fēng)險。

參考文獻

[1]程順達.基于安全性驗證的云數(shù)據(jù)存儲與訪問算法[J].沈陽工業(yè)大學(xué)學(xué)報，2023.45（05）：565-570

[2]陳海欣，唐鑫，金路超，等.基于模糊廣義去重的圖像輕量安全云存儲方法[J].應(yīng)用科學(xué)學(xué)報，2024，42（05）：769-781.

[3]全賀，王紅亮，林宏，等.基于FPGA的超聲波流量測量儀數(shù)據(jù)存儲系統(tǒng)設(shè)計[J].儀表技術(shù)與傳感器，2023（12）：75-78

[4]伍德倫，饒元.基于身份驗證的果蔬區(qū)塊鏈信息存儲溯源模型設(shè)計[J].江蘇農(nóng)業(yè)學(xué)報，2023.39（02）：434-443.

[5]于運濤，張大松，姜洪朝，等.基于區(qū)塊鏈的網(wǎng)絡(luò)安全系統(tǒng)關(guān)鍵數(shù)據(jù)存儲處理系統(tǒng)設(shè)計[J].電子技術(shù)應(yīng)用，2023.49（04）：78-82

作者單位：淄博中學(xué)

責(zé)任編輯：王穎振 楊惠娟