2 DBS安全性實現關鍵技術

    作為網絡災難備份系統，如果系統安全性不高，不能抵御黑客入侵、網絡攔截、惡意修改，那么存儲于遠程備份中心的數據可能被修改或者被截取，將會造成RBC的備份數據和LBC不一致，備份數據也就沒有意義，所以DBS首先要考慮的問題就是如何保證系統的安全性。DBS安全性由差錯校驗、安全傳輸和加密存儲三方面構成。

    2．1差錯校驗

    BR通過計算備份記錄的MD5值進行差錯校驗，防止在傳輸過程中數據位出錯或者被惡意修改。

    設LBC數據集為

    圖3差錯校驗流程

    2．2安全傳輸

    DBS采用SSL進行網絡通信、數據傳輸，主要作用有兩方面：一是確保只有擁有DBS系統認可的安全證書的管理主機可以連接到RBC進行任務的建立、備份、同步和恢復等操作，從而確保只有授權用戶才能連接到DBS，防止惡意用戶的破壞性操作；二是確保管理主機連接到真實的服務器，服務器的數據發送到正確的客戶端。網絡連接建立過程中涉及到管理主機對RBC的認證和RBC對管理主機合法性的認證，只有雙向認證都通過才能進行任務控制、數據傳輸，時序圖如圖4所示。

    圖4 DBS安全傳輸時序

    2．3加密存儲

    在網絡上傳輸的數據和RBC存儲的鏡像數據都是經AES加密算法加密的密文，只有LBC存儲的是明文，加密發生在從LBC讀出數據封裝成備份記錄的過程中，而解密是在恢復過程中將從網絡接收到的備份記錄中的密文解密得到明文。在系統海量緩存中維護著兩個隊列，一個是讀出發送隊列SQuene，用于存儲有效數據為明文的備份記錄，需要加密后通過網絡通信模塊發送到災備中心，另一個是接收隊列RQuene，用于存儲從災備中心接收到的備份記錄，其中有效數據是密文，需要解密后根據任務對應盤符、磁盤偏移off寫入磁盤，這兩個隊列共享海量緩存空間，都是單循環隊列，系統為每個隊列維護著兩個指針PCurHead、PCurTail，分別指向隊列的頭和尾，隊列為空的條件為PCurHead—PCurTail。算法描述如下：

3 DBS高效性實現關鍵技術

    對于任何系統，安全性和高效性都是矛盾的。而對于數據備份系統而言，安全的重要性顯然高于效率，然而一個低效的數據備份系統無論安全性多高都是沒有價值的。一個好的備份系統必然在保障數據安全性的基礎上兼顧高效性。

    DBS通過海量緩存和卷過濾驅動提高實時備份的效率。通過部署卷過濾驅動，在同步過程中截取LBC變化的數據，封裝成備份記錄存于海量緩存，然后發送到RBC，而傳統的同步需要掃描整個磁盤，比較本地端和遠程端數據的一致性從而將不一致的數據發送到遠程端，截獲寫IRP包的方式避免了頻繁的磁盤掃描和一致性檢測，這種方式大大提高了NBS系統實時同步的效率。海量緩存是一個內存映射文件，解決了本地備份數據生成速度與網絡通信模塊發送速度不一致的問題，降低了在系統內存中維護一個很大的存儲隊列而帶來的效率損失，從而提高了系統效率。卷過濾驅動Nsfilter的設備擴展DEVICE-EXTENSION數據結構中藥成員定義如下

    PETHREAD保存了該驅動的IRP處理線程句柄，該線程在驅動創建的時候啟動，主要用于順序處理listEntry中的IRP包；listEntry中記錄了類型為IRP MJ DEVICE CONTROL、IRP_MJ—WRITE的IRP包，其狀態被標記為pending，其他類型的IRP包不需要Nsfilter進行處理，則直接發送到下層驅動；eventComplete用于在peTHREAD線程處理完listEntry中的一個IRP包時進行同步；listSpinLoek為listEntry的自旋鎖，用于控制peTHREAD對listEntry中的IRP包的順序訪問。

    Nsfiler處理IRP MJ WRITE包是為了截取對磁盤寫操作的有效數據，同時發往下層驅動，提高系統運行效率；處理IRP—MI—DEVICE CONTROL包是為了處理Nsfiler自定義的IO控制碼，如鎖卷、啟動監控、設置緩存等，對這類IRP包處理完成后就標志其狀態為completed，不再往下層驅動轉發，其他的操作系統自有的10控制則簡單的轉發到下層驅動。Nsfilter的處理流程偽碼描述如下：

    Procedure：Nsfilter

    其中StartHandlelRP這個線程函數主要負責處理listEntry中的IRP包，只要listEntry不為空，就一直順序處理其中的IRP包。這樣，只要驅動監控處于啟動狀態，就能不斷截獲需要處理的IRP包置于隊列中順序處理。

4對比實驗

    DBS通過Nsfilter捕獲LBC數據變化，并采用高速緩存存儲需要發送的備份數據，較傳統的備份技術每次同步都需要全盤掃描而言效率高，但是DBS采用了多種安全措施，在提高安全性的同時必然以犧牲系統的效率為代價，為了測試部署了上述3種安全措施所帶來的系統性能損失，筆者搭建了測試環境，部署了有安全措施和沒有安全措施的DBS{DBSI，NBS2)，比較兩者的性能差異，就可以得出部署安全性措施的代價是否在用戶可以接受的范圍。實驗用網卡均為100Mbps，網絡環境為局域網，主機環境配置如表1所示。

    表1實驗環境

    筆者對同一本地端的不同大小分區建立任務進行同步，比較DBS1、DBS2備份時間的差異。為了排除隨機性的干擾，每次實驗都進行10次取平均值，實驗數據如表2所示。

    由表2可以看出，部署了3種安全措施的災備系統DBS1相對DBS2的性能低10％左右，但是作為實時的信息備份系統來說，效率和安全都是必須考慮的重要指標，部署安全性帶來的10％的效率損失是值得的。

5結束語

    該文提出了一種安全高效的災難備份系統DBS，該系統通過差錯校驗、安全傳輸和加密存儲保障系統的安全性，防止了數據在傳輸、存儲過程中被截取、修改以及惡意用戶登錄系統進行破壞性操作；同時在LBC部署Nsfilter實時截獲磁盤數據變化，海量緩存的應用解決了數據變化率和網絡帶寬的平衡問題，實現了高效的實時同步，避免每次同步需要全盤掃描比較不一致數據這種耗時的傳統同步技術，在保障安全性的同時兼顧了系統實時同步的效率。

    表2實驗數據

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：安全的災難備份系統

本文網址：http://www.guhuozai8.cn/html/consultation/1083957747.html