云存儲環境下的用戶數據安全機制研究

摘 要 云計算環境依賴于云存儲系統為用戶提供數據存儲、檢索等服務，但是云數據遠程存儲使用戶面臨巨大安全威脅，特別是近年來云存儲系統中大量泄密事件的發生表明針對云存儲的攻擊越來越多，對此，我們必須給予高度重視。本文主要著眼于云存儲環境下用戶數據安全性、完整性問題，開展關于用戶數據安全機制的研究，以求進一步消減云存儲環境與用戶間的安全藩籬。

【關鍵詞】云存儲 安全機制 數據完整性

隨著云計算在全球范圍內的迅猛發展和廣泛普及，云存儲也得到了廣泛應用，越來越多的用戶開始使用云存儲系統存放數據，但由于云存儲自身特點比如基于合約的服務模式、服務器不完全可信等，使得云上的用戶數據面臨著比傳統存儲中更為復雜的安全問題。如何保證用戶數據安全、確保數據安完整性和可用性，最終實現安全的共享操作已成為我們面臨的重要課題。基于此，我們必須增強云存儲系統中面向用戶數據安全性、完整性的保護機制，切實提升整個云計算環境的安全。

1 云存儲環境下用戶數據安全的核心問題

云安全基本需求即信息安全三要素為保密性、完整性和可用性。首先，加密是確保云存儲環境下用戶數據保密性的主要手段，但利用普通對稱加密并不能實現對每份數據的獨立保護，隨著資源數量的增多，其工作量和復雜程度就會增長，會造成索引失效，并可能影響上層部署機制可用性。其次，在數據完整性方面，確保數據不被有意、無意纂改非常重要，同時還不能限制數據共享需求，需關注數據訪問控制，并保證其靈活性，對于云存儲環境下用戶外包數據的安全性，則依賴于云存儲環境的可信度。再次，數據可用性要求即便是遭受惡意攻擊或者發生突發事件，云存儲系統中的數據仍然能正常使用，這是衡量云存儲服務質量最為重要的指標。數據可控性和容錯性也非常重要，資源存儲在第三方服務平臺，用戶不能控制其外包數據，要確保云存儲數據安全，就必須通過訪問控制手段、信任機制和安全審計等對用戶數據進行監控，而當云存儲系統崩潰或是操作失誤使外包數據丟失，進行數據恢復、實現系統容錯非常關鍵。

2 面對云存儲的用戶數據安全機制

為保證云上用戶數據的安全，提出一種包含數據機密性、完整性和可用性的面向用戶的安全機制，筆者主要對基礎設施層安全、平臺安全和應用安全進行層層分析。

基礎設施層安全是云數據安全的基礎，該層包括服務器、存儲設備、路由器、交換機、BigIP等，需考慮物理安全和網絡安全。在物理安全方面，首先應保持保持硬件的更新換代；其次對能夠進入數據中心的內部人員資格進行審查，控制其訪問權限；再次，設置足夠數量的虛擬機，并將其分布在不同地區，保證數據中心在遇到自然災害時而導致不可用的情況下能立即切換到其他可用數據中心，還要及時備份數據，盡量使用不同電力和網絡供應商。在網絡安全方面，設置一道與外界網絡隔離的屏障，Web服務器端口采用HTTP的80端口與HTTPS的443端口，應用服務器主要處理后臺操作，不直接通信，Web服務器通過端口對該服務器進行訪問，該服務器通過3306端口訪問數據庫服務器。云計算環境下，應用與IP白名單相似的功能，使某些應用或數據只由指定使用者的IP訪問。內部數據通信采用SSL，并采用HTTPS對云存儲系統與用戶進行相互認證。

在平臺安全方面，為保證云上用戶數據可用性，應進行數據備份，以Azure為例，可建立存儲備份賬號，以此來支持與原存儲賬號之間的hot-failover。云存儲環境下對數據具有優先掌控權和訪問權的不是用戶，而是云存儲服務商，鑒于商業利益或系統漏洞，用戶數據可能遭受攻擊、纂改、復制、丟失等威脅，這就要求云存儲服務商定期進行數據檢驗，保證數據完整性，可設計一個云數據保護模型，用戶首先對原始數據進行糾錯編碼并加錯等預處理，生成存儲數據，原始數據被分割成m個大小相等的數據塊（F1，F2，...，Fm），每個數據塊進一步被分割，緊接著采用高效的糾錯碼對這些數據塊進行編碼，將原始數據F編碼為存儲數據M，最后用戶將外包編碼數據M傳至云端CSP進行存儲和管理；根據設定的安全參數對進一步分割后的數據塊計算標簽，將生成后的標簽以加密形式存儲服務器，服務器接收到挑戰chal時，生成證據，通過服務器將證據返給用戶，用戶接收后用私鑰運算后判斷存儲數據是否存在異常，發現異常數據，通過糾錯碼對數據予以恢復。另外，采用隔離機制將用戶間、用戶與云間隔離，保證用戶數據和應用的安全性。

在應用安全方面，身份認證、訪問控制以及數據保護都是非常必要的安全手段，關于身份認證，可基于用戶口令、一次性認證碼或安全證書，無論何種認證方式，其認證級別都應能滿足數據和應用的安全性要求和需求；關于訪問控制，采用URL訪問控制策略、ABE技術和Proxy Re-Encryption技術等；對于數據保護，可通過數據加密技術保證數據不被未授權用戶訪問，與此同時在授權用戶之間實現數據共享，采用驗證碼確保數據完整性，采用水印為數據使用追蹤提供支持。

3 結語

總之，云存儲是云計算重要的支撐功能，能夠為用戶存儲、檢索、訪問數據帶來前所未有的便利。但我們也應看到云存儲環境下用戶數據所面臨的安全威脅，明確用戶數據安全的核心問題，提取云中安全需求，提出一個綜合性的、面向云存儲用戶的數據安全機制，從完整性、保密性及可用性方面為云存儲環境中用戶數據安全提供保障。相信隨著網絡安全防護技術的進一步發展、安全防護系統和數據完整性校驗機制的完善以及信任與追蹤缺失問題的解決，云存儲數據安全問題將得到有效解決。

參考文獻

[1]鄧曉鵬.面向云存儲的用戶數據安全機制研究[D].解放軍信息工程大學，2013.

[2]安寶宇.云存儲中數據完整性保護關鍵技術研究[D].北京郵電大學，2012.

[3]傅穎勛，羅圣美，舒繼武.一種云存儲環境下的安全網盤系統[J].軟件學報，2014，08：1831-1843.

作者簡介

馮衛華，（1980 -），男，河南省新鄭市人。大學本科學歷。電子科技大學在職軟件工程碩士學位。現供職于河南司法警官職業學院。

作者單位

河南司法警官職業學院 河南省鄭州市 450002