計(jì)算機(jī)信息存儲(chǔ)安全保證措施研究

樓樹美,李淑玉

(信陽職業(yè)技術(shù)學(xué)院 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，河南 信陽 464000)

摘要：從信息內(nèi)容和信息連接兩方面進(jìn)行研究，綜合兩種技術(shù)的優(yōu)點(diǎn)，提出了網(wǎng)絡(luò)信息安全存儲(chǔ)系統(tǒng)的設(shè)計(jì)模型，從存儲(chǔ)和通信兩方面保護(hù)重要信息，保證數(shù)據(jù)在傳輸過程中的安全.通過構(gòu)筑安全通信平臺(tái)，建立基于TCP的安全隧道，使用身份鑒別、訪問控制、數(shù)據(jù)加密和審計(jì)日志等技術(shù)，保證通信數(shù)據(jù)的秘密性和完整性.并重點(diǎn)對(duì)系統(tǒng)的安全性進(jìn)行效能評(píng)估，檢驗(yàn)了系統(tǒng)對(duì)數(shù)據(jù)的控制能力.該系統(tǒng)為提高目前網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)的安全性提供了一種可靠的解決方案.

關(guān)鍵詞：網(wǎng)絡(luò)信息存儲(chǔ)安全；存儲(chǔ)網(wǎng)絡(luò)；數(shù)據(jù)傳輸

中圖分類號(hào)：TP309.7文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1008-5564(2015)03-0125-04

收稿日期：2015-05-03

作者簡介：馬云彤(1965—)，男，陜西西安人，西安文理學(xué)院學(xué)報(bào)編輯部副編審，碩士，主要從事編輯理論和實(shí)務(wù)研究.

文章編號(hào)：1008-5564(2015)03-0086-04

收稿日期：2015-01-27

作者簡介：馮永亮(1979—)，男，陜西西安人，西安文理學(xué)院信息工程學(xué)院講師，碩士，主要從事物聯(lián)網(wǎng)工程、計(jì)算機(jī)網(wǎng)絡(luò)研究.

StudyonMeasurestoEnsuretheSecurityofComputerInformationStorage

LOUShu-mei,LIShu-yu

(DepartmentofMathematicsandComputerScience,XinyangVocational&TechnicalCollege,Xinyang464000,China)

Abstract：In this paper, study was conducted from the two aspects of information content and information connection, and the design model of network information security storage system was proposed based on advantages of two technologies. The security of data transmission was ensured by protecting important information from two aspects of storage and communication. Securities tunneling based on TCP was constructed by building secure communication platform, and the confidentiality and integrity of communication data were ensured by using of the technology of identification, access control, data encryption and log auditing and so on. As the focus, effectiveness evaluation was done for the security of the system and the control ability of system to data was examined. This system provides a reliable solution to improve the security of current network storage system.

Keywords：securityofnetworkinformationstorage;storagenetwork;datatransmission

當(dāng)前信息存儲(chǔ)的高效、可靠等性能都能通過一定的技術(shù)得以解決，但是對(duì)其存儲(chǔ)安全性方面卻不盡人意，急需解決.計(jì)算機(jī)信息存儲(chǔ)安全包括：信息加密技術(shù)，防火墻穿透技術(shù)，蜜罐技術(shù)，IDS技術(shù)等，以保證對(duì)信息的控制性和隱蔽性.為了解決這些安全性方面的問題，需要解決如下幾個(gè)基本問題：客戶驅(qū)動(dòng)程序設(shè)計(jì)，加密解密的復(fù)雜度設(shè)計(jì)，安全隧道設(shè)計(jì)，電子簽名與身份驗(yàn)證設(shè)計(jì)，授權(quán)分配設(shè)計(jì)，安全日志以及相應(yīng)的審查記錄.

1計(jì)算機(jī)信息安全存儲(chǔ)方案的模型設(shè)計(jì)

當(dāng)前幾乎所有計(jì)算機(jī)所采用的信息處理系統(tǒng)都是微軟操作系統(tǒng)，此系統(tǒng)不像LINUX、UNIX等系統(tǒng)具有實(shí)時(shí)開發(fā)能力，可根據(jù)用戶需求自行開發(fā)系統(tǒng)模塊，微軟操作系統(tǒng)的訪問機(jī)制還是以C/S模式進(jìn)行信息安全處理，為了保證C/S兩端的信息安全，在此建立Agent機(jī)制，在TCP/IP多層對(duì)數(shù)據(jù)進(jìn)行加密解密處理，并建立相應(yīng)的信息隧道.

為保證信息數(shù)據(jù)的安全傳輸，這里采用TCP/IP的VPN-Agent以及C-T/I-DI創(chuàng)建多層加密的信息隧道，保證在C/S模式下整個(gè)系統(tǒng)過程的安全性.

1.1數(shù)學(xué)模型的建立

模型需確保信息傳輸?shù)目煽啃怨芾?，建立系統(tǒng)模型框架如圖1所示：

圖1　C-T/I-DI網(wǎng)絡(luò)系統(tǒng)存儲(chǔ)框架模型

(1)客戶Client利用安全隧道協(xié)議向存儲(chǔ)網(wǎng)絡(luò)進(jìn)行電子簽名和身份驗(yàn)證，獲取訪問服務(wù)；

(2)客戶代理(Agent)與server進(jìn)行驗(yàn)證身份，然后進(jìn)行互通身份驗(yàn)證，最終建立SSL隧道；

(3)C/S之間的信息傳遞是通過A-S之間的SSL隧道進(jìn)行多層加密進(jìn)行傳輸；

(4)賬戶的集中管理與保護(hù)由超級(jí)管理員進(jìn)行處理.

1.2SSL隧道模型建立

SSL隧道[1]在解決信息存儲(chǔ)安全性方面起到?jīng)Q定性的作用，基于C-T/I-DI多層加密技術(shù)：含Agent、Server、存儲(chǔ).A-S之間的身份驗(yàn)證在TCP/IP層進(jìn)行了面向連接的互連，C-T/I-DI又加強(qiáng)了數(shù)據(jù)加密，在融合安全訪問日志與審核記錄，綜合對(duì)Client進(jìn)行控制處理.

圖2　SSL隧道模型

C-T/I-DI在代理與網(wǎng)關(guān)驗(yàn)證之后，建立SSL隧道，存儲(chǔ)RECEIVE信息之后，在對(duì)應(yīng)的層次端口進(jìn)行數(shù)據(jù)選取，并通過SSL隧道反饋給代理，最后將數(shù)據(jù)傳輸?shù)剿\(yùn)行的程序，以此完成整個(gè)數(shù)據(jù)傳輸過程.

SSL隧道模型見圖2.

2C-T/I-DI驅(qū)動(dòng)設(shè)計(jì)

主流信息存儲(chǔ)傳輸協(xié)議包括：HTTPS、HTTP、FTP、PPP、L2TP、SLIP、SMP等等.

HTTPS、FTP、L2TP都是基于TCP/IP協(xié)議中的第七層，使用虛擬接口實(shí)訓(xùn)數(shù)據(jù)傳輸；PPP是點(diǎn)對(duì)點(diǎn)協(xié)議，面向連接與無連接的協(xié)議；SMP網(wǎng)絡(luò)數(shù)據(jù)分布式協(xié)議，文件網(wǎng)際協(xié)議，此協(xié)議運(yùn)行在TCP/IP與NETBIOS、IPX/SPX等多協(xié)議.

對(duì)數(shù)據(jù)進(jìn)行TCP/IP、UDP/IP包過濾[2]時(shí)，C-T/I-DI多層驅(qū)動(dòng)設(shè)計(jì)的內(nèi)核接口，此接口設(shè)計(jì)屬于高級(jí)協(xié)議設(shè)計(jì)驅(qū)動(dòng)程序，微軟仿真模塊來實(shí)現(xiàn)網(wǎng)絡(luò)層與其他的層的虛擬連接，每一層仿真模塊都是透明的連接，并對(duì)其高層進(jìn)行多個(gè)C-T/I-DI轉(zhuǎn)換調(diào)用.為此，C-T/I-DI是對(duì)TCP/IP、UDP/IP的SSL隧道的全透明傳輸.

基于C-T/I-DI的微軟網(wǎng)絡(luò)結(jié)構(gòu)圖見圖3.

圖3　基于C-T/I-DI的微軟網(wǎng)絡(luò)結(jié)構(gòu)圖

C-T/I-DI驅(qū)動(dòng)[3]設(shè)計(jì)是把接口和網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行截取，檢查其中的目的地址，假如此地址是需要進(jìn)行加密保護(hù)的，就將此地址發(fā)給代理Agent，由代理和網(wǎng)關(guān)共同完成身份驗(yàn)證工作.驗(yàn)證完成之后建立SSL隧道，選取所需數(shù)據(jù)，最后進(jìn)行程序請(qǐng)求；

C-T/I-DI驅(qū)動(dòng)設(shè)計(jì)需要將C-T/I-DI連接數(shù)據(jù)包和發(fā)送數(shù)據(jù)包進(jìn)行包過濾處理.具體操作如下：先將C-T/I-DI連接數(shù)據(jù)包中的目的地址解封，封裝在發(fā)送數(shù)據(jù)包中，然后修改連接數(shù)據(jù)包中的代理地址和虛擬端口號(hào)，連接后再次創(chuàng)建C-T/I-DI發(fā)送數(shù)據(jù)包的代理，最終實(shí)現(xiàn)TCP可靠代理；

(1)截取C-T/I-DI發(fā)送數(shù)據(jù)包后，解封處理出其中的目的地址和端口號(hào)，按照加密原則放在數(shù)據(jù)包的前面，完成重新打包；對(duì)于無連接數(shù)據(jù)包UDP/IP，由于增加了數(shù)據(jù)包的長度和TTL，會(huì)造成一定程度的數(shù)據(jù)包截?cái)嗲闆r，為此做以下的處理：C-T/I-DI-QU-INFO與C-T/I-DI-DATA-INFO；C-T/I-DI-QU-MAX-INFO與C-T/I-DI-QU-PR-INFO；進(jìn)行反值化處理選擇，即將SIZE值建設(shè)8字節(jié)，以便用于目的端口和虛擬地址占用.

(2)截取C-T/I-DI發(fā)送包后，解封出其中的目的地址和虛擬端口號(hào)，添加到數(shù)據(jù)包的后面，完成信息組裝.

代理與C-T/I-DI的過程驅(qū)動(dòng)進(jìn)行模擬實(shí)驗(yàn)的時(shí)候，得出如下的信息：當(dāng)包過濾的地址和虛擬端口設(shè)定好之后，它采用的是設(shè)備控制(Devi-Con)中的滿溢方式(Buffed)實(shí)現(xiàn)；當(dāng)包過濾的啟動(dòng)和停止交互出現(xiàn)的時(shí)候，它采用封裝(Asso-Irp)中的系統(tǒng)滿溢(Sys-Buff)中的管理程序?qū)崿F(xiàn)數(shù)據(jù)的重置.

通過實(shí)驗(yàn)數(shù)據(jù)對(duì)網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)的安全效能進(jìn)行評(píng)估，建立了安全效能評(píng)估體系，提出了相應(yīng)的評(píng)估指標(biāo)，并通過實(shí)驗(yàn)測試環(huán)境，分析出網(wǎng)絡(luò)安全存儲(chǔ)系統(tǒng)的安全效能明顯優(yōu)于一般網(wǎng)絡(luò)存儲(chǔ)系統(tǒng).

3結(jié)語

本文從互聯(lián)網(wǎng)信息數(shù)據(jù)的安全性、保密性出發(fā)，結(jié)合互聯(lián)網(wǎng)的現(xiàn)狀和特點(diǎn)，建立完善的網(wǎng)絡(luò)安全存儲(chǔ)體系數(shù)學(xué)模型，并通過實(shí)驗(yàn)數(shù)據(jù)等有效證據(jù)進(jìn)行對(duì)比與優(yōu)化，提出一種計(jì)算機(jī)信息存儲(chǔ)的數(shù)學(xué)算法，對(duì)以后網(wǎng)絡(luò)信息的權(quán)重設(shè)計(jì)具有一定的參考價(jià)值.

[參考文獻(xiàn)]

[1]WEILERN.Honeypotsfordistributeddenialofserviceattacks[J].EleventhIEEEInternationalWorkshopsonEnablingTechn0109ies：InfrastructureforCollaborativeEnterprises，2002(10-12)：109-114.

[2]SCOTTBERGB，YURCIKW，DOSSD.Internethoneypots：protectionorentrapment[J].InternationalSymposiomonTechnologyandSociety,2002(6-8)：387-391.

[3]VERWOERDT，HUNTR.Intrusiondetectiontechniquesandapproaches[J].ComputerCommunications，2002，25：1356-1365.

[責(zé)任編輯王新奇]

Vol.18No.3Jul.2015

Vol.18No.3Jul.2015