张敏 涂晓东

电子科技大学通信学院 四川 611731

0 引言

现在比较好的存储管理方式是网络存储，企业将数据外包给外部的存储服务提供商(Storage Service Provider,SSP)进行存储和管理，这种模式更像是Email或者Web主机服务。在这个模型下，将他们的数据存储在由SSP管理的远方站点，并通过高速网络(公网或私网)接入。这就是外包存储。

1 外包存储模型

外包存储可以通过多种方式作为一种服务存在，每种模型都有各自的优点和缺点。模型的设计点包括：数据和元数据的I/O路径，集中还是分布式的访问方式以及密钥管理的复杂性等。

1.1 SSP模型与ASP模型的对比

区分这两种模型很重要。图1和图2分别为ASP模型和SSP模型的架构。在SSP模型中，企业将数据外包给存储服务提供商，如Amazon，Nirvanix等企业都提供这种存储服务，这就像一个网络硬盘。而在ASP模型中，企业不仅将数据外包存储，也将特定的应用外包给服务提供者。企业用户能够通过网络访问这些应用。像IBM, HP, Salesforce.com等企业都提供这种应用托管服务。

ASP模型虽然能帮助企业卸下部署和管理数据业务中心的负担，然而，它有两个主要的缺点：

（1）安全性

因为把应用托管在服务提供者那里，数据就需要以明文存储。这对许多旨在保护自身知识产权和内部机密的企业来说是不可接受的。相反，SSP模型可以在SSP上存储加密后的数据，这样就保证了数据的机密性。

（2）灵活性

通过将应用外包给服务提供商，任何新定制的应用服务都需要得到服务提供商的认同才可以实施，协同合作限制了企业的灵活性。相反，在SSP模型中，应用服务还是由企业自身站点来提供，从应用角度看，SSP提供的外部环境同本地存储环境是十分类似的。

1.2 企业代理服务器模型

这种服务模型采用一个单一的接入点——企业所有用户通过一个代理服务器同SSP交互——将数据存储到SSP或将数据从SSP取回。如图3所示。为了实现数据的机密性，企业对将要存储在 SSP的数据通过加密文件系统进行加密/解密，而对企业内部其他办公地点的用户的数据请求，则使用代理网关文件服务器处理。

企业要将自己在本地创建的存储数据中心转变成这种模型是非常容易的，只需要建立一个加密文件系统，由此系统实现将数据存储到SSP之前的所有数据的加密工作，相应地，从SSP读取数据时进行解密。用户与直接连通的网关文件服务器之间通过常用的协议如NFS或者CIFS交互。在这个模型中，保护数据的机密性是很容易的，密钥管理也相当简单(实际上，所有的数据可以被一个单一密钥加密，而这个惟一的密钥只有企业加密文件系统才可以获得)。同时，可由代理服务器执行用户的访问控制工作。但是，这个模型却有下面几个不理想的性能：

（1）过于集中化：代理服务器模型采用了一个中央网关，这个网关负责所有数据和元数据的I/O。这会引起I/O瓶颈，因而不适合大负荷的网络环境(企业)。如果这个代理服务器无法工作，则也就断送了SSP的服务。

（2）额外的网络 hop：因为只有企业文件系统能直接访问SSP的数据，因此该企业其他办公地点的其他用户对文件的存取需要额外增加一个hop。这会反过来影响 I/O性能，尽管可以通过数据缓存技术减轻一些这样的负担。

（3）两次密钥操作：对于每一次的数据访问，这个模型都需要两次密钥操作。例如，用户要执行一次读操作，企业文件系统需先解密从 SSP取回的数据(因为只有企业文件系统知道密钥)，然后再将数据加密并通过网络传送给外地的用户，到用户那里后将会再进行解密。如果允许用户直接访问SSP，后面额外的加密开销将被避免。

（4）网关管理：这个模型中，企业对网关文件服务器的管理负责，这同样带来管理上的花销。

总之，这个模型更适用于企业数据的存取全发生在一个地点的企业。这样，集中性和加密解密带来的开销将消除。

1.3 元数据代理服务器模型

根据第一种模型的一些不理想特性，第二种外包模型分离了元数据和数据的I/O路径，这样可以减少第一种模型因为数据I/O过于集中而带来的性能冲击。这个模型中，如图4，企业网关作为一个元数据服务器存在，只存储并提供有关数据的信息而不存储数据本身，像数据块的地址和所取文件的加密密钥等。而数据则直接从SSP处获取。如今，类似的带外文件系统正被使用，适用于客户端的并行 NFS(pNFS)标准也已被开发。

这个模型的好处是消除了企业代理服务器模型引起的数据瓶颈问题。比较适合较大文件的存取访问，原因是元数据I/O仍然采用集中化的方式实现，尤其当存取小文件时，需要对元数据进行频繁的读取，这样会影响元数据代理服务器的性能。第二，加密策略与先前的模型不同。因为客户端直接从SSP处存取数据，如果像第一个模型中那样，所有文件采用同一密钥，可是我们不能保证SSP可以替代企业执行用户访问控制的工作，则用户可以访问自身权限以外的文件。因此，必须对每个文件用不同的密钥加密，并且只有有权限访问该文件的用户才能从元数据服务器上获取密钥。这样，将会有大量的密钥去管理，而客户端也必须完成加密/解密操作。除此之外，网关元数据服务器的管理仍然由企业来负责。

1.4 分布式存储服务模型

这个模型考虑客户——企业和用户从SSP直接存取数据的情况，如图5。这排除了任何数据或元数据I/O瓶颈问题，对利用SSP进行内容分发服务来说是最合适不过了。当然，这里不存在网关服务器管理问题。

类似于元数据代理服务器模型，因为用户同SSP直接交互，而同时无法确保SSP一定会进行访问控制，因此每个文件需要用不同的密钥加密。但是密钥到用户的分发不再采用集中的方式(从元数据服务器获得)而是分布的方式。当然也就省去了网关管理的麻烦。密钥管理问题的方案可以使用公钥加密方案，但性能较差。均衡加密方式相对而言是一种较好的方式。

2 性能比较

这部分，我们总结各种不同的外包存储模型。表1给出了三种不同模型的各个方面的不同点。

表1 各种模型性能比较

通过以上分析，我们发现，如果一个企业通过服务器代理的方式集中化数据和元数据的 I/O，则性能和服务器管理的开销仍然很大。而元数据代理模型降低了数据集中程度，但是元数据的请求仍然过于集中，这仍会对性能带来一定的影响。而且，这两种模型，都需要客户端所在的企业对代理网关进行管理，这将会成为单点故障。相比之下采用分布式服务模型，能更好地实现性能的优化。另外，如果辅以有效的带内密钥分发技术，就可以同时减轻由此带来的密钥管理复杂性。虽然在I/O性能上第三种模型有非常明显的优越性，但是每种模型仍然有自己的适用范围。如第一种模型适合用来将档案资料等信息外包的企业。这类外包存储的特点是用户同交互不多，且基本是企业与SSP来交互。第二种模型更适用于现有的网络环境，以Amazon S3为例，因为元数据中包含数据的各种信息，取数据之前必须从SSP上获取相应的元数据，这反而带来了更多的网络开销，从而直接影响了性能，因此将元数据存储在企业内部服务器上，通过企业内部网络更高效地访问是一种比较好的选择。分布式模型在未来具有更普遍的意义，但必须以高速的网络环境和完善的密钥管理为基础。

3 展望

随着数据价值不断提升以及存储网络化、网络存储外包服务化的不断发展，企业必将选择更适合自己的外包服务模型，在综合考虑存储系统的可实现性、性能和存储安全性和开销等方面后，保证数据能够真正得到安全有效的外部存储。在现有模型的框架下，除了基本的数据加密和密钥管理之外，加入更可靠的完整性等安全方面的验证，可满足不同企业对性能、安全级别、价格等多种因素的不同需求，使现有的模型更加完善。

[1] Parallel NFS standardization.the IETF.2008.

[2] Eu-Jin Goh,Hovav Shacham,Nagendra Modadugu,Dan Boneh.Stanford Universitya.SiRiUS--Securing remote untrusted storage.NDSS.2003.

[3] Aameek Singh,Ling Liu,San Jose,Altanta,SHAROES:A Data Sharing Platform for Outsourced Enterprise Storage Environments.IEEE Int'l Conference on Data Engineering(ICDE).2008.

[4] https://s3.amazonaws.com/.

[5] John Chirillo,Scott Blaul.Storage Security Protecting SANs.NAS,and DAS.2004.