内网数据存储安全关键技术的分析与实现.docxVIP

PAGE 1 PAGE 1 内网数据存储安全关键技术的分析与实现  本文针对内网海量数据存储安全问题，一方面，通过设计多协议安全文件系统MPSFS支持不同协议用户的访问，为不同用户供应统一的访问接口，实现用户高效和快速的数据存储和文件检索，另一方面，通过设计身份认证、访问掌握和数据加密技术模块充分保证内网存储系统中数据存储的安全性。试验结果显示，安全文件系统和安全模块能为内网海量数据存储供应好的安全性和扩展性，并对网络的I/O性能的影响较小。  随着互联网和网络应用的快速普及，社会在感受网络所带来的便利的同时，也面临着各种各样的网络攻击和威逼。数据表明，我国仍有63．6%的企业处于“高度风险”级别，每年因网络数据泄密或破坏导致的经济损失高达上百亿。在诸多安全事件中，网络边界和网络内部出现的安全事故的比例达到了3：7，而文件数据破坏或资料外泄70%以上由于内网数据安全造成的，威逼已从外部转向内部。一项关于企业信息安全调查结果显示，企业机密泄露的30%～40%是由电子文件的泄露造成的，而《财宝》排名前1000名的公司，每次电子文档泄露造成的损失约400万美元。尽管每年企业界花费大量资金防毒防黑，但企业防备失效的另一个简单被忽视的问题是来自员工、厂商或其他合法使用系统者的内部滥用，所以，内网数据文件存储安全问题仍旧严峻。  依据企业内网海量数据存储系统的特点和数据存储安全需求，我们首先设计基于多协议的安全文件系统(MPSFS)支持不同协议用户的访问，为不同用户供应统一的访问接口，实现用户高效和快速的访问。同时MPSFS与身份认证和访问掌握相结合充分保证内网数据存储系统的安全性。在此基础上，通过设计相应安全算法进一步保证系统所存信息的安全性。  1内网海量文件数据存储原型系统MFDSS  如图1所示，内网海量数据存储原型系统由三部分组成：客户机、服务器和存储设备，客户端：1)维护用户存储视图(通过与服务器端的MPSFS交互)，向应用服务器提交用户恳求并将应用服务器返回的结果经相应处理后供应给客户端；2)iSCSI客户端在得到服务器供应的元数据后可直接与SD(基于iSCSI的存储设备)进行数据交互。应用服务器位于存储网络体系结构的中间层：1)与客户端进行交互。向用户供应统一的存储视图，即统一命名空间；2)通过存储接口与SD交互，主要负责主机认证、设备操作认证；3)文件到对象的转换，对象ID的生成(通过Hash对象内容)。MFDSS元数据分为系统元数据，内容元数据和存储元数据。系统元数据包括文件名列表和目录结构，文件划分的对象列表，包括对象ID和对应的存储设备信息等；内容元数据主要是文件的特征信息，由用户在客户编辑生成；存储元数据包括对象的存储位置、访问许可权限、创建时间、对象长度等信息。系统元数据和特征元数据都位于元数据服务器上，而存储元数据和对应的对象位于对象存储设备上。元数据服务器功能：1)元数据定义和管理；2)元数据和存储对象之间的映射；3)对多个SD存储设备和资源进行有效的统一管理和优化，并依据应用的不同和应用程序的详细需求，支配与应用程序相适应的SD存储设备，使应用程序得到最优的存储资源安排。  在传统的文件系统中，元数据由本机或者文件服务器负责维护，每次对数据块的操作都要获取元数据。当操作频繁发生时，元数据操作就成为整个系统的瓶颈，限制了系统的扩展，这一现象在NAs系统中特别明显。在MFDSS系统中，由于每次操作只有一次对元数据的访问，详细的数据传输都由SD和客户端或者经应用服务器连接进行，大大削减了元数据的操作，降低了元数据服务器(MDS)的负担，从而为系统的扩展供应了可能性。为了增加系统的安全性，MDS为客户端供应认证与授权(对敏感数据的元数据保护)。SD将依据MDS供应的授权来打算是否为客户端供应服务。 图1MFDSS模型 2基于共享的多协议安全文件系统的设计  2．1多协议并行安全文件系统  多协议文件系统(MPSFS)保留了分布式文件系统的敏捷性和高性能的优点，而克服了其扩展性、并发访问和安全性方面的缺陷。与传统文件系统同的是MPSFS供应文件存取的方法和接口外，其组成的基本部件是存储卷。每种存储卷除包含文件目录结构外，还包含特定的存储模式。每种存储模式包含某种文件系统的元数据结构(如NTFS中的MFT、Unix中的inode以及文件系统中的文件安排表等，它们在存储卷供应的规律存储空间中安排)、操作接口(文件类型和数据块类型)、功能函数集(格式化，检索等)、优化方法(cache方法和预取等)和存储空间安排回收方法(以卷为单位，块空间的安排与回收由SD完成)及数据结构。  MPSFS是企业内网MFDSS系统的核心，其结构