劉國(guó)萍，譚國(guó)權(quán)，楊明川

（中國(guó)電信股份有限公司北京研究院 北京 100035）

基于云存儲(chǔ)的在線備份安全技術(shù)研究

劉國(guó)萍，譚國(guó)權(quán)，楊明川

（中國(guó)電信股份有限公司北京研究院 北京 100035）

本文在分析基于云存儲(chǔ)的在線備份服務(wù)技術(shù)架構(gòu)和OSI安全模型的基礎(chǔ)上，提出了一種適用于云存儲(chǔ)的在線備份安全分層模型，并在此基礎(chǔ)上分析了基于云存儲(chǔ)的在線備份安全機(jī)制及其在實(shí)際應(yīng)用部署中的實(shí)現(xiàn)流程。最后，文章對(duì)由于云存儲(chǔ)技術(shù)的引入可能引發(fā)的安全問(wèn)題進(jìn)行了介紹，并提出了可能的解決對(duì)策。

云存儲(chǔ)；在線備份；安全分層模型；安全機(jī)制

1 研究背景

云存儲(chǔ)作為云計(jì)算重要而基礎(chǔ)的組成部分，是最易于給價(jià)值鏈創(chuàng)造巨大商業(yè)利益的云計(jì)算服務(wù)。事實(shí)上，基于云存儲(chǔ)的產(chǎn)品已經(jīng)得到越來(lái)越多企業(yè)的支持和關(guān)注。

基于云存儲(chǔ)的在線備份服務(wù)，不僅為業(yè)務(wù)使用者提供了更為便捷、經(jīng)濟(jì)的在線備份服務(wù)，也為業(yè)務(wù)提供者帶來(lái)更為快速的業(yè)務(wù)部署能力、更為靈活的業(yè)務(wù)擴(kuò)展能力以及更高的投資回報(bào)率和更低的管理維護(hù)成本。

正如云計(jì)算一樣，基于云存儲(chǔ)的在線備份技術(shù)在其蘊(yùn)藏的巨大商業(yè)價(jià)值背后，也潛藏著不容忽視的安全技術(shù)問(wèn)題和風(fēng)險(xiǎn)。基于云存儲(chǔ)的在線備份安全技術(shù)研究，其根本的目標(biāo)是保證數(shù)據(jù)在傳輸及存儲(chǔ)過(guò)程中的安全，即保證數(shù)據(jù)的保密性、完整性、可用性及發(fā)生安全事件時(shí)的不可抵賴(lài)性，涉及的過(guò)程有數(shù)據(jù)生成、傳輸、保存及訪問(wèn)。

信息/數(shù)據(jù)安全是管理和技術(shù)的有機(jī)結(jié)合，管理通過(guò)技術(shù)來(lái)實(shí)現(xiàn)，技術(shù)通過(guò)管理來(lái)加強(qiáng)。因此，對(duì)基于云存儲(chǔ)的在線備份安全技術(shù)進(jìn)行分析是實(shí)現(xiàn)基于云存儲(chǔ)在線備份安全的重要理論基礎(chǔ)。通過(guò)對(duì)設(shè)計(jì)系統(tǒng)安全技術(shù)的分析，明確可以采用有效的安全技術(shù)手段，再輔之以相應(yīng)的管理手段和操作程序才能獲得真正的安全保障。

2 基于云存儲(chǔ)的在線備份技術(shù)架構(gòu)

與傳統(tǒng)的在線備份相比，基于云存儲(chǔ)的在線備份不僅提供了數(shù)據(jù)備份服務(wù)、網(wǎng)絡(luò)存儲(chǔ)空間，還提供了基于虛擬化技術(shù)和云存儲(chǔ)管理平臺(tái)的資源動(dòng)態(tài)擴(kuò)展能力和資源池共享架構(gòu)?；谠拼鎯?chǔ)的在線備份是由存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、集群中間件、虛擬服務(wù)器、業(yè)務(wù)管理、公用訪問(wèn)接口以及相應(yīng)協(xié)議標(biāo)準(zhǔn)等多個(gè)部件協(xié)同作用共同組成的復(fù)雜系統(tǒng)。各部分以存儲(chǔ)設(shè)備為核心，通過(guò)應(yīng)用軟件來(lái)對(duì)外提供數(shù)據(jù)存儲(chǔ)備份等服務(wù)。根據(jù)各部分邏輯功能的不同，基于云存儲(chǔ)的在線備份系統(tǒng)由4層組成，如圖1所示。

· 存儲(chǔ)資源層

它是基于云存儲(chǔ)的在線備份最基礎(chǔ)的部分。存儲(chǔ)設(shè)備可以是FC光纖通道存儲(chǔ)設(shè)備 （SAN）、NAS和 iSCSI等IP存儲(chǔ)設(shè)備，也可以是 SCSI或SAS等 DAS存儲(chǔ)設(shè)備。這些存儲(chǔ)設(shè)備數(shù)量龐大且分布在多個(gè)不同地域，彼此之間通過(guò)廣域網(wǎng)、互聯(lián)網(wǎng)或者 FC光纖通道網(wǎng)絡(luò)連接在一起，提供存儲(chǔ)、網(wǎng)絡(luò)/安全的基本設(shè)備，包括硬件和相關(guān)基礎(chǔ)軟件。

· 資源配置層

它是基于云存儲(chǔ)的在線備份的最核心部分，通過(guò)集群、分布式文件系統(tǒng)和虛擬化等技術(shù)，實(shí)現(xiàn)云存儲(chǔ)中多個(gè)存儲(chǔ)設(shè)備之間的協(xié)同工作，并提供更強(qiáng)更靈活的數(shù)據(jù)訪問(wèn)性能。

· 運(yùn)營(yíng)管理層

通過(guò)對(duì)虛擬系統(tǒng)的管理以及業(yè)務(wù)的部署管理，實(shí)現(xiàn)了基于云存儲(chǔ)的備份服務(wù)的可管可控，并可根據(jù)需要進(jìn)行計(jì)費(fèi)、審計(jì)等工作，為云存儲(chǔ)的在線備份服務(wù)的運(yùn)營(yíng)提供支撐。

· 業(yè)務(wù)開(kāi)放層

它是在運(yùn)營(yíng)管理層基礎(chǔ)上提供基于云存儲(chǔ)的在線備份服務(wù)，包括數(shù)據(jù)備份與應(yīng)急恢復(fù)、遠(yuǎn)程文件共享、集中存儲(chǔ)、空間租賃、數(shù)據(jù)歸檔等。

所有符合業(yè)務(wù)開(kāi)放標(biāo)準(zhǔn)的授權(quán)用戶(hù)都可以通過(guò)標(biāo)準(zhǔn)的公用接口來(lái)使用云備份服務(wù)，公用接口可以采用HTTP/HTTPS、FTP、Web Service等協(xié)議。

3 基于云存儲(chǔ)的在線備份安全分層模型

為了保護(hù)不同系統(tǒng)應(yīng)用進(jìn)程間的數(shù)據(jù)通信安全，ISO 7498-2描述了開(kāi)放系統(tǒng)互連的安全體系架構(gòu)，如圖2所示，并提出了設(shè)計(jì)安全的信息系統(tǒng)的基礎(chǔ)架構(gòu)應(yīng)該包含5種安全服務(wù)（安全功能），能夠?qū)@5種安全服務(wù)提供支持的8類(lèi)安全機(jī)制和普遍安全機(jī)制以及需要進(jìn)行的3種OSI安全管理方式（對(duì)系統(tǒng)安全、安全服務(wù)和安全機(jī)制的管理）。

在OSI安全體系中，是以O(shè)SI7層模型作為一個(gè)維度來(lái)分析的；基于云存儲(chǔ)的在線備份的分層是以邏輯功能來(lái)進(jìn)行分層的。兩者在分層模型存在不一致性，不能夠直接利用OSI中的安全分析模型來(lái)分析基于云存儲(chǔ)的在線備份的安全性。

根據(jù)基于云存儲(chǔ)的在線備份技術(shù)架構(gòu)與OSI立體安全體系的特點(diǎn)，我們引入了基于云存儲(chǔ)的在線備份安全分層模型來(lái)全面分析基于云存儲(chǔ)的在線備份安全性，如圖3所示。

在圖3所示的分層模型中，存儲(chǔ)資源層的安全機(jī)制主要提供了基于設(shè)備和網(wǎng)絡(luò)的安全服務(wù)能力，資源配置層的安全機(jī)制主要提供了基于資源配置系統(tǒng)的安全服務(wù)能力；運(yùn)營(yíng)管理層主要提供了基于運(yùn)營(yíng)管理平臺(tái)的安全服務(wù)能力；而業(yè)務(wù)開(kāi)放層則提供了基于應(yīng)用的安全服務(wù)能力。

4 基于分層模型的安全技術(shù)分析

在基于云存儲(chǔ)的在線備份安全分層模型中，每層都有相應(yīng)的安全機(jī)制，共同實(shí)現(xiàn)基于云存儲(chǔ)的在線備份的數(shù)據(jù)安全保護(hù)。這些安全機(jī)制可從安全保護(hù)層次上劃分為4個(gè)層次。

第一個(gè)層次為基礎(chǔ)安全防護(hù)。這層包括病毒查殺、防火墻、入侵檢測(cè)、系統(tǒng)加固、設(shè)備加鎖等安全技術(shù)，主要目標(biāo)是保護(hù)提供的備份服務(wù)免遭人為干擾或惡意破壞。

第二個(gè)層次是服務(wù)限制。這部分包括多個(gè)層次采用的身份認(rèn)證和訪問(wèn)控制技術(shù)，即對(duì)不同身份的在線備份服務(wù)申請(qǐng)者分別建立不同存取權(quán)限，并通過(guò)設(shè)定不同訪問(wèn)控制策略，確保在線備份服務(wù)僅為合法用戶(hù)在允許的范圍內(nèi)（包括時(shí)間、空間等）獲得。

第三個(gè)層次則為數(shù)據(jù)保護(hù)，即通過(guò)各種加密技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)的主動(dòng)保護(hù)，包括數(shù)據(jù)加密、傳輸加密、磁盤(pán)加密、主機(jī)加密、交換機(jī)加密等技術(shù)，主要目標(biāo)是減輕存儲(chǔ)數(shù)據(jù)和存儲(chǔ)介質(zhì)可能遺失造成的損失。

第四個(gè)層次是應(yīng)急服務(wù)，主要包括日志審計(jì)、設(shè)備冗余及配置備份技術(shù)，提供對(duì)安全事件發(fā)生后的追蹤查證以及應(yīng)急補(bǔ)救能力。

基于上述4個(gè)層次安全機(jī)制實(shí)現(xiàn)基于云存儲(chǔ)的在線備份的數(shù)據(jù)安全的流程如圖4所示。病毒查殺、防火墻、IPS、系統(tǒng)加固等基礎(chǔ)安全防護(hù)服務(wù)是基于云存儲(chǔ)的在線備份的數(shù)據(jù)安全基礎(chǔ)，身份認(rèn)證、訪問(wèn)控制及各類(lèi)加密技術(shù)則是服務(wù)及數(shù)據(jù)安全的核心機(jī)制，而日志審計(jì)、冗余備份等機(jī)制則為確保數(shù)據(jù)可用性及不可抵賴(lài)性提供了安全保護(hù)能力。

從上述分析可以看出，基于云存儲(chǔ)的在線備份安全分層模型覆蓋了備份系統(tǒng)安全防護(hù)、服務(wù)訪問(wèn)控制、應(yīng)用數(shù)據(jù)保護(hù)、應(yīng)急服務(wù)等多層面的安全機(jī)制，涉及數(shù)據(jù)從生成、傳輸、存儲(chǔ)到訪問(wèn)的一系列安全保護(hù)技術(shù)，確保數(shù)據(jù)的保密性、完整性、可用性以及不可抵賴(lài)性。

5 云存儲(chǔ)特有的安全問(wèn)題及對(duì)策探討

基于云存儲(chǔ)的在線備份的安全性不僅要充分考慮傳統(tǒng)備份技術(shù)或系統(tǒng)可能存在的安全隱患，還要充分考慮由于新技術(shù)或系統(tǒng)引入可能引發(fā)的安全問(wèn)題?；谠拼鎯?chǔ)的在線備份在傳統(tǒng)備份技術(shù)基礎(chǔ)上廣泛使用了虛擬化技術(shù)、分布式文件系統(tǒng)和在線共享技術(shù)等，這些新技術(shù)和系統(tǒng)的引入對(duì)數(shù)據(jù)安全研究提出了新的挑戰(zhàn)。

（1）虛擬化技術(shù)引發(fā)的內(nèi)網(wǎng)安全隔離問(wèn)題及對(duì)策

虛擬化是將底層物理設(shè)備與上層操作系統(tǒng)、軟件分離的一種去耦合技術(shù)，其中服務(wù)器虛擬化和存儲(chǔ)虛擬化技術(shù)是基于云存儲(chǔ)的在線備份中普遍使用的技術(shù)。它在降低能耗的同時(shí)提供存儲(chǔ)資源動(dòng)態(tài)共享和靈活擴(kuò)展的能力。隨著基于虛擬化技術(shù)的重量級(jí)應(yīng)用的部署，虛擬化技術(shù)也對(duì)傳統(tǒng)的基于可見(jiàn)網(wǎng)絡(luò)流量的安全防護(hù)機(jī)制提出了新的挑戰(zhàn)。如何在不過(guò)多影響主機(jī)性能的情況下保證每個(gè)虛擬機(jī)系統(tǒng)安全，保證虛擬化軟件的安全性，保證每個(gè)虛擬平臺(tái)之間通信的安全，保證多個(gè)虛擬平臺(tái)之間切換、數(shù)據(jù)傳輸、數(shù)據(jù)同步的安全已成為一個(gè)新的安全問(wèn)題和重點(diǎn)。

業(yè)界已經(jīng)開(kāi)始對(duì)虛擬化安全性有了進(jìn)一步認(rèn)識(shí)，各種廠家也在進(jìn)行著相關(guān)技術(shù)、產(chǎn)品的嘗試，如AMD正在研制帶有芯片級(jí)認(rèn)證機(jī)制的產(chǎn)品，Altor網(wǎng)絡(luò)公司發(fā)布了一種虛擬安全分析器和虛擬化防火墻。此外，一套良好的虛擬化部署管理和審計(jì)流程將有助于消除虛擬化安全隱患。

（2）分布式文件系統(tǒng)引發(fā)的數(shù)據(jù)容錯(cuò)及快速訪問(wèn)問(wèn)題

文件系統(tǒng)是共享數(shù)據(jù)的主要方式，是操作系統(tǒng)在計(jì)算機(jī)硬盤(pán)上存儲(chǔ)和檢索數(shù)據(jù)的邏輯方法。分布式文件系統(tǒng)是基于云存儲(chǔ)的在線備份的基礎(chǔ)架構(gòu)之一，它把分散在網(wǎng)絡(luò)中的文件資源以統(tǒng)一的視點(diǎn)呈現(xiàn)給用戶(hù)，簡(jiǎn)化了用戶(hù)訪問(wèn)的復(fù)雜性，加強(qiáng)了分布系統(tǒng)的可管理性。分布式文件系統(tǒng)建立在客戶(hù)機(jī)/服務(wù)器技術(shù)基礎(chǔ)之上，由服務(wù)器與客戶(hù)機(jī)文件系統(tǒng)協(xié)同操作?？刂乒δ芊稚⒃诳蛻?hù)機(jī)和服務(wù)器之間，使得數(shù)據(jù)安全性等在集中式文件系統(tǒng)中很容易處理的事情變得相當(dāng)復(fù)雜，即需要考慮數(shù)據(jù)的私有性和沖突時(shí)的數(shù)據(jù)恢復(fù)。

此外，由于通?；谠拼鎯?chǔ)中心的分布式文件系統(tǒng)構(gòu)建在大規(guī)模廉價(jià)服務(wù)器群上，因此其數(shù)據(jù)安全還面臨以下兩方面的挑戰(zhàn)：一方面，服務(wù)器等組件的失效將是正常現(xiàn)象，需解決系統(tǒng)的容錯(cuò)問(wèn)題；另一方面，提供海量數(shù)據(jù)的存儲(chǔ)和快速讀取。

以 Google GFS和Hadoop HDFS為代表的分布式文件系統(tǒng)，很好地符合了云計(jì)算基礎(chǔ)架構(gòu)設(shè)計(jì)要求。系統(tǒng)由一個(gè)主服務(wù)器和多個(gè)塊服務(wù)器構(gòu)成，被多個(gè)客戶(hù)端訪問(wèn)，文件以固定尺寸的數(shù)據(jù)塊形式分散存儲(chǔ)在塊服務(wù)器中。為保證系統(tǒng)的健壯性和可靠性，設(shè)置了輔助主服務(wù)器（secondary master）作為主服務(wù)器的備份，以便在主服務(wù)器故障停機(jī)時(shí)系統(tǒng)迅速恢復(fù)過(guò)來(lái)。系統(tǒng)采取冗余存儲(chǔ)的方式來(lái)保證數(shù)據(jù)的可靠性，每份數(shù)據(jù)在系統(tǒng)中保存3個(gè)以上的備份。為保證數(shù)據(jù)的一致性，對(duì)數(shù)據(jù)的所有修改需要在所有的備份上進(jìn)行，并用版本號(hào)的方式來(lái)確保所有備份處于一致的狀態(tài)。

（3）在線共享技術(shù)引發(fā)的用戶(hù)隱私保護(hù)問(wèn)題及對(duì)策

基于云存儲(chǔ)的在線備份服務(wù)是一種基于互聯(lián)網(wǎng)的SaaS應(yīng)用，而幾乎有關(guān)互聯(lián)網(wǎng)應(yīng)用的每項(xiàng)隱私政策都有漏洞，以便于在某些情況下可以按法律或合規(guī)要求共享數(shù)據(jù)。且大多數(shù)互聯(lián)網(wǎng)應(yīng)用提供商在自己的政策條款中承認(rèn)，如果執(zhí)法官員提出要求，自己會(huì)交出相關(guān)數(shù)據(jù)。因此使用基于云存儲(chǔ)的在線備份服務(wù)的客戶(hù)必須首先判斷自己的哪些數(shù)據(jù)可能會(huì)被披露，判斷哪些信息可以轉(zhuǎn)移到云存儲(chǔ)服務(wù)上，哪些數(shù)據(jù)必須保存在可控制范圍內(nèi)。

此外，隨著云應(yīng)用的發(fā)展，一些公司，如Vontu、Wedsense和Vericept等都已提出了針對(duì)云服務(wù)中數(shù)據(jù)監(jiān)測(cè)的系統(tǒng)，可監(jiān)視離開(kāi)了客戶(hù)網(wǎng)絡(luò)的數(shù)據(jù)，并可自動(dòng)阻止敏感數(shù)據(jù)流向非法地址。隨著云計(jì)算技術(shù)的發(fā)展，此類(lèi)工具將會(huì)越來(lái)越多，合理利用這些工具將會(huì)有利于公司數(shù)據(jù)安全保護(hù)。

6 結(jié)束語(yǔ)

在線備份技術(shù)是一個(gè)隨互聯(lián)網(wǎng)應(yīng)用發(fā)展而發(fā)展起來(lái)的技術(shù)，基于云存儲(chǔ)的在線備份則是一個(gè)隨云技術(shù)而興起的解決方案，其中包含了很多新的技術(shù)。由于其作為互聯(lián)網(wǎng)應(yīng)用的特殊性和作為云服務(wù)模式的基礎(chǔ)地位，它對(duì)數(shù)據(jù)的安全性有著極大的依賴(lài)。同時(shí)，隨著云計(jì)算應(yīng)用領(lǐng)域的不斷擴(kuò)大，作為應(yīng)用核心的云存儲(chǔ)的數(shù)據(jù)安全問(wèn)題也會(huì)越來(lái)越突出。因此，對(duì)基于云存儲(chǔ)的在線備份安全性進(jìn)行分析不僅要深入分析傳統(tǒng)備份系統(tǒng)和技術(shù)的安全機(jī)制，還要充分考慮云存儲(chǔ)架構(gòu)設(shè)計(jì)特點(diǎn)及新技術(shù)的引入可能引發(fā)的新安全問(wèn)題和挑戰(zhàn)。

1 IDC.Online Backup Services Market Poised to Grow Fourfold by 2011，2008

2 中國(guó)電信集團(tuán)公司.中國(guó)電信 〔2010〕141號(hào)云計(jì)算技術(shù)白皮書(shū)，2010

3 中國(guó)電信集團(tuán)公司.中國(guó)電信 〔2010〕166號(hào)網(wǎng)絡(luò)安全計(jì)算技術(shù)白皮書(shū)，2010

4 王鵬.走進(jìn)云計(jì)算.北京:人民郵電出版社,2009

5 Michaelmiller.姜進(jìn)磊等譯.云計(jì)算.北京:機(jī)械工業(yè)出版社,2009

6 郭春梅.云安全技術(shù)研究與趨勢(shì),http://articles.e-works.net.cn/Security/Article80100.htm,2010

7 http://www.searchsecurity.com.cn/guide/virtualizationsec.htm

8 ISO 7498-2-1989，http://csrc.nist.gov/groups/SNS/cloud-computing/index.html

9 John H,Lori M K,Bruce P.Data security in the world of cloud computing.IEEE Journal on Cloud Computing Security,2009,7(4):61～64

10 Amazon White Paper,http://aws.amazon.com/about-aws/whats-new/2009/06/08/new-aws-security-center-and-security-whitepaper/,2009

11 Marco D,Philip M,Thomas F,et al.Retaining data control to the client infrastructure clouds.In:IEEE,2009 International Conference on Availability,Reliability and Security,2009

12 Jon Brodkin.Gartner:seven cloud-computing security risks,http://www.infoworld.com,2008

13 William S.Network security essentials,Third edition.Prentice Hall,2006

14 http://en.wikipedia.org/wiki/Network_security

Research Security for Online Backup Based on Cloud Storage

Liu Guoping，Tan Guoquan，Yang Mingchuan
(Beijing Research Institule of China Telecom Co.,Ltd.,Beijing 100035,China)

The layered security model to the online backup based on the cloud storage is proposed on the basis of the analysis of the architecture of the online backup and OSI layered security model.The security mechanism for the online backup based on the cloud storage and its implement process of deploying on the practical application are discussed.The potential security problems caused by the cloud storage and the available countermeasures are described in the end.

cloud storage,online backup,layered security model,security mechanism

2010－08－23）