e-works数字化企业网  »  文章频道  »  基础信息化  »  存储

云存储服务安全评估体系及加密措施研究

2017/10/25    来源:马培才    作者:超星期刊      
关键字:云存储  云计算  
云存储是云计算的重要应用,是指将团队或个人的文件或数据集中存储在数据中心而非本地,并按照实际使用进行付费的技术。
    1 云存储服务概述
 
    云存储是云计算的重要应用,是指将团队或个人的文件或数据集中存储在数据中心而非本地,并按照实际使用进行付费的技术。广义来说还包括存储基础上提供的文件管理服务,即存储+“操作系统”。云存储通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能。云存储不是存储,而是服务。使用者使用云存储,并不是使用某一个存储设备,而是使用整个云存储系统带来的一种数据访问服务。
 
    随着智能手机、平板电脑等多种智能终端的普及,个人用户所拥有的数据量正在成几何倍数增长,无论是从存储的安全性,还是随取随用的便利性上来说,将数据上传存储到云端而非进行本地收藏,已是大势所趋。从社会效应来看,云存储、云计算的核心是管理能力的增强,具有集约性,便于开展集中式管理,降低社会成本。对于中小企业来说,通过云计算或云存储可以和大型企业在信息化方面站在同一起跑线上,云计算通过集中式管理可以极大降低单个中小企业的信息化成本。
 
    2 云存储服务安全需求
 
    对于云存储用户,最大的担忧就是数据资料的安全性。在不能保证用户能够随时随地访问他们的信息,而且其他人无法非法获取的情况下,用户不大可能将他们的数据委托给另一家云存储服务商。
 
    为了确保数据的安全,云存储平台通常使用多种技术,包括:
 
    (1)加密,这意味着使用复杂的算法来编码信息。要对加密的文件进行解码,用户需要加密密钥。虽然破解加密信息是可能的,但大多数黑客无法访问解密信息所需的计算机处理能力。
 
    (2)身份验证过程,需要创建用户名和密码。
 
    (3)授权实践,客户端列出被授权访问云系统中存储的信息的人员。
 
    即使有了这些保护措施,许多人还是担心保存在远程存储系统上的数据是易受攻击的。黑客总是有可能找到电子后门并获取数据。黑客也可能试图窃取存储数据的物理机器。
 
    另一个同样重要的问题是可靠性,不稳定的云存储系统导致不可用。没有人希望将数据保存到容易出现故障的系统中,也不希望信任一个财务不稳定的公司。尽管大多数云存储系统都试图通过冗余技术来解决这一问题,但仍有可能整个系统崩溃并使客户端无法访问其保存的数据。
 
    云存储服务的安全关乎用户切身利益,也决定云存储服务商的生存发展。提供最安全可靠的服务是每家服务商的最大利益所在。如果一个服务商不能满足用户这些基本的期望和需求,那用户就不可能使用云存储服务,最终云存储服务商也不可能有好的发展,因此,不管是对于用户,还是对于服务商,云存储服务的安全可靠性始终是放在第一位的。
 
    3 云存储安全评估体系
 
    在云计算和云存储越来越普及的今天,越来越多的企业准备顺应潮流,利用云计算来规划内部的信息化设施和应用了。然而,除去在云中存储数据的所有优点,目前仍然还存在有一些基本的安全问题。跟传统存储方式最大的不同是,企业要把重要数据存放到原有稳固而又精心构建的内部存储平台之外。一个设计合理的基于云的存储解决方案可以有效地扩展企业存储空间,确保企业数据在传输和存放时始终安全。
 
    本文建议根据以下标准评估每个潜在解决方案的安全措施。这些也是云存储所面临的安全挑战。
 
    3.1 如何防止数据泄漏
 
    云是一个多租户环境,其中资源是共享的。它还是一个外部方,具有访问客户数据的可能性。从直观上来说,共享存储硬件和将数据放入供应商的手中似乎是有风险的。此外,安全港和隐私法使数据的控制至关重要。无论是由于政府机构的访问,恶意黑客攻击,甚至是意外事故,数据泄漏将是一个主要的安全或隐私侵犯。最好的策略是从一开始就假定云供应商受到了危害,只向云发送加密的文件。使用最强的加密,这才是最关键的。不要依赖于云提供商或中介来加密这些文件,因为他们也可以擅自解密,所以必须依赖信任。在云中,所有数据和元数据在上传云端之前,应该在本端边缘进行加密。
 
    3.2 不同用户是否具有独特的云凭据
 
    对存储池的访问是基于凭据的,如果将您与另一组客户集中在一起并共享相同的凭据,则存在的一个风险是他们中的一个可以获得这些凭据并访问您的数据。假设数据是经过加密的,他们将无法破译它,但他们可以删除文件。因此,更加可取的办法是保护好自己的唯一凭据,把您的文件将与其他公司及其数据隔离。其他人将无法登录到您的帐户并删除您的文件。
 
    3.3 数据传输过程中是否安全
 
    如果没有强大的加密和独特的凭据,文件在云中可能很容易受到攻击,但在数据传输过程中也存在风险。严格来说,加密的文件不需要通过安全连接发送,这相当于双重加密。但最好的做法是,在安全的连接上发送和接收数据来防止任何窥探风险。这可以防止有人看到云元数据。
 
    3.4 谁来掌管密匙
 
    这个问题必须得到适当的解决,因为如果您对密钥管理不够完善,那么用户将不希望激活加密,因为会危及安全性。密钥管理应该是非常简单,以至于用户甚至没有感知:加密应该是自动的,也没有办法把它关掉。因此,如果没有不安全的模式,那么就没有可能有人意外地向云发送未加密的、易受攻击的数据。密钥也应安全地托管,并且难以检索,这样,任何外部方都无法获取该密钥来访问受保护的数据。
 
    4 云存储安全加密措施
 
    OpenPGP是一个开放式安全协议标准(RFC4880),广泛应用于数据加密、数字签名。OpenPGP有多个商业和非商业的实现,包括PGP (Pretty Good Privacy) ,GnuPG (GNU Privacy Guard)等。其中GnuPG已被移植到Linux,Windows等多种平台上,绝大多数Linux发行版本都预装了该工具。OpenPGP包含一个独立的数字签名标准。与其他数字签名标准主要的区别在于密钥存储、公钥分发方式、消息摘要的计算过程、签名报文格式和验证过程。
 
    作为一种成为ΙETF标准(RFC2440)的免费加密协议,OpenPGP定义了对信息的加密解密、签名、公钥私钥和数字证书等格式,通过对信息的加密、签名,以及编码变换等操作对信息提供安全保密服务。
 
    数据加密就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同的数字信息(密文)的过程。OpenPGP采用公钥加密的方法,在使用公钥加密算法时,收信人首先生成在数学上相关联、但又不相同的两把钥匙。一把公开钥匙用于加密,另一把秘密钥匙用于解密,这一过程称为密钥配置。其中公开钥匙相当于一把锁,用于通信的加密;另一把秘密钥匙相当于开锁钥匙,用于通信的解密。收信人将唯一的一把秘密钥匙自己掌握和保存起来,把公开钥匙通过各种方式公布出去,让想与收信人通信的人都能够得到。这个过程就是公开钥匙的分发。收信人可以使用收信人的公开钥匙对通信的文件进行加密,加密后的密文发信人再也无法解开。
 
    通过采用OpenPGP加密技术解决云存储安全问题,为每个客户获取了独特的云凭据,并确保所有数据在管道和云端都是完全不透明的。文件服务器在将所有数据和元数据发送到云之前对其进行加密,并将其全部传输到安全连接上。文件服务器还对文件名、大小、时间戳等进行加密。这样,数据和元数据都是完全不透明的。唯一能够访问这些数据是持有加密密钥的用户,而且这种加密是自动的。文件服务器只能将加密的数据发送到云中。最后,通过使用密钥,文件服务器能够快速加密和解密数据,确保用户在不牺牲性能的情况下享有强大的安全性。
 
    5 结语
 
    云计算作为一种新型的网络计算模式,拥有超大规模、高度虚拟化、高可扩展性等显著特性,能够为用户提供高质量、低成本、按需所取的数据存储服务,即云存储。但在给用户带来极大便利的同时,也给保障用户的信息和资产安全带来了巨大威胁和挑战。数据的安全问题不容忽视,本文研究如何在复杂的云环境下保障用户的数据存储安全,对于推动云计算及其应用向纵深发展具有重大的理论价值和现实意义。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐