基于云計算的智能移動終端的數據安全性研究

摘 要：云計算是一種新型的現代網絡服務模式，其中的數據安全已成為云計算研究中的熱點，以智能手機為代表的智能移動終端的快速普及，使移動云計算中數據安全形勢更加嚴峻，文章提出了數據切分、矩陣變換，部分數據混合加密的新思路，減少了移動終端的資源消耗，提高了移動云計算中數據安全的處理速度和存儲速度。

關鍵詞：云計算；移動云；數據安全；數據加密

中圖分類號：TP301 文獻標識碼：A

1 引言（Introduction）

谷歌公司首次提出了云計算的概念和相關理論后，很多公司提出了自己的“云計劃”，它成了一種新型的現代網絡服務模式[1]，它是新型的計算機網絡服務模式，是集網格計算、分布式計算、并行計算、效用計算等技術于一體的新型服務模式。

數據安全成為云計算研究中的熱點。對于提供商，云計算覆蓋了從底層基礎架構到最上層應用的各個方面，涉及服務器、網絡存儲等。作為用戶使用最多的是軟件應用和數據存儲，所以數據安全也就成為面向云計算的研究工作的熱點。

以智能手機為代表的智能移動終端的快速普及，這些智能終端引入云計算為用戶提供服務具有巨大的商業價值，催生出一種新的計算模式-移動云計算，集合傳統云計算和移動智能移動終端的自身的安全隱患，其安全問題比傳統云計算更加嚴峻。由于移動設備采用無線通信方式，數據容易被截獲，加之自身特性，如CPU主頻低、內存小、存儲空間小，計算能力低，電池的續航能力有限等，要采取普通的安全措施大大地受到了限制。

2 國外云計算和移動云安全的研究（The research of

cloud computing and mobile cloud security aboard）

美國Gartner公司在2008年6月發布的一份研究報告《Assessing the Security Risks of Cloud Computing》中指出：雖然云計算產業市場前景廣闊，但是安全將成為阻礙其發展的一個重要障礙[2]。云計算的數據安全問題引起了行業人士和用戶的廣泛關注。很多用戶在考慮是否實施云計算解決方案時，最大的顧慮就是安全問題[3]。事實上，作為一個信息服務平臺，云計算將不可避免地出現諸如安全漏洞、信息泄露等安全問題，這對于云計算平臺的安全性提出了更高的要求[4]。

國外在云計算安全方面的研究起步較早，如將特殊的操作系統與普通的操作系統一起運行在同一個虛擬機監視器中，但是特殊操作系統的增加也增加了整個系統的負擔，影響了系統的性能，兼容性很差[3]。Overshadow系統對數據的保護的方式是對所有的內存頁面進行加密，通過虛擬機監控器對該應用程序進行管控。但是加密操作對系統的性能同樣有一定的影響[4]。國外的IT公司中典型的云平臺Hadoop使用Kerberos的安全技術；Microsoft對于Azure提出了Windows Azure Connect解決方案；Sun公司發布了一系列云計算安全工具[5]。McAfee公司發布了云計算電子郵件安全方案；Panda Securitym和Navajo System等公司也做了較多的安全研究。

3 國內云計算和移動云安全的研究（The research

of cloud computing and mobile cloud security in

China）

國內云計算相對歐美起步較晚，但發展迅速。華為賽門鐵克在很多國家建立蜜罐系統或蜜網全局預警的云安全體系[6]。還有一些殺毒軟件廠商，如金山毒霸、趨勢科技、瑞星等，都推出了自己的云安全解決方案。

隨著移動云的發展，國內的騰訊、瑞星等推出了自己的安全方案，其中有騰訊的MTAA方案，并提出“浸泡式安全”的概念，瑞星的移動設備殺毒軟件。文獻[5]提出通過改進加密機制的方式節省為了安全而需要的能量耗費，采用的技術室同態加密，實際上就是將安全處理完全放到了云端，而用戶密鑰只保存在終端，但沒有考慮傳輸的安全，也受制于終端自身條件。

4 基于數據切分，分片加密存儲的解決方案（The

solution based on data segmentation，storage of

fragmentation encrypted）

4.1 方案設計

在移動云計算中，數據傳輸的安全和效率已成人們日益關心的熱點。基于安全性的考慮，移動智能終端向云服務器傳輸數據時，數據必須是密文的形式存在。但移動終端本身的處理速度、內存、續航時間等資源有限，這使得數據加密速度、傳輸的速度和終端續航時間受到制約。因此提出一種基于數據切分、矩陣變換、對部分數據進行混合加密的算法，以此確保數據在傳輸過程中的機密性；并設計通過隨機抽取數據塊的方法，來驗證數據的完整性。

首先，將用戶文件切分為大小相等的數據塊，并將文件數據塊轉化字節流，根據移動終端的注冊ID、文件編號和文件塊編號設計ID標識碼，并根據ID標識碼生成云端的一一對應的各存儲節點的存儲索引表，將標識的文件塊保存到一個二維數組，采用一種基于該二維數組的矩陣多次變換的數據部分預加密策略，實現部分隱藏，接著利用隨機參數的二次函數對要加密的位置和長度選取，用混合加密算法對選取數據進行加密，加密密鑰隨機產生，用RSA公鑰密碼算法對所有參數和密鑰進行二次加密，與加密后的數據封裝在一起形成新的數據包，并在包首部加入標記位，上傳到云端。在完整性驗證時，客戶端在把數據塊及其校驗標簽上傳到云存儲服務器后，通過隨機抽查的方式，讓服務器生成指定數據塊的驗證證據并返回，由客戶端判斷數據文件的完整性，這樣可減少移動端的系統資源和網絡帶寬的消耗，如圖1所示。

4.2 文件ID標識碼的設計和云存儲空間的存儲節點索引

的建立

這一設計的關鍵在于首先將文件根據終端的ID進行標識，再將屬于這個ID設備所使用的文件標識，再根據設備ID和文件標識，在同一個標識中進行文件分塊。當終端發送請求要上傳一個文件到云端時，監控服務器節點根據發送的文件塊數先搜索每個存儲區的可用存儲節點，生成一張對應存儲節點的索引表，確保可以存儲要上傳的文件塊。這樣既有利后面的混合算法的設計，又有利于加快移動端數據塊與云端存儲節點之間的定位，從而提高文件存儲、查詢和下載的效率，如圖2所示。

圖1 研究方案

Fig.1 Research programs

圖2 文件塊ID標識碼

Fig.2 ID of file block

當終端發送需要上傳一個文件到云服務器時，服務器根據發送的文件塊的數量先搜索每個存儲區的可用存儲節點，對可用的存儲節點進行編號，生成一張對應的存儲索引表，確保可以存儲要上傳的文件塊，如表1所示。

表1 存儲節點索引表

Tab.1 Storage node index

存儲區的ID標識碼：K

存儲節點K.1 存儲節點K.2 存儲節點K.3 存儲節點K.4

存儲節點K.5 存儲節點K.6 存儲節點K.7 存儲節點K….

4.3 數據的切分和基于矩陣變換的數據加密算法設計

對于要傳輸的文件進行加密處理，考慮到加密的效率，首先將文件切分，并確定的數據塊的大小。由于要將數據用數組保存，所以要將其轉化二進制流，再將其載入K階矩陣。矩陣中的單元可以為字節，例如將數據塊的大小應為64KB的倍數，則矩陣為256階矩陣。最后一個數據塊不足的，可以補0使其標準化，解密時將最后的O去掉，這一過程有利于后面的矩陣變換而實現信息隱藏。

首先是用多重不同的矩陣變換將之前切分的數據的順序打亂，主要目的是使原本有序的數據變得混亂，初步隱藏信息的規律，使用多少次變換和采用哪一種變換，由隨機函數決定。由于矩陣變換實際上是一個簡單加密的過程，所以解密時對所有操作執行逆變換即可得到無損的原數據。

考慮移動智能終端的處理能力和續航能力，本課題不采用全部數據進行加密，僅對其中部分數據進行加密，對于被選擇的數據的位置與長度都可以用隨機函數或特定函數來確定，這樣可控制被加密的數據量的多少。為提高加密的效率，減少終端資源的消耗，本課題采用一種改進的混合加密算法。

在數據完整性驗證方面，由于移動智能終端本身的局限性，要想將整個文件的進行完整性的驗證不太現實，本課題提出以一定的概率來保證數據的完整性的思想，基于上述加密的思想，客戶端在把數據塊及其校驗標簽上傳到云存儲服務器后，通過隨機抽查的方式，讓服務器生成指定數據塊的驗證證據并返回，由客戶端判斷數據文件的完整性，這樣可減少系統資源和網絡帶寬的消耗。

5 結論（Conclusion）

由于移動終端受限的資源，在處理其數據安全問題時不能采用傳統的數據安全的處理方法，在對現有算法的分析與比較，采用數據切分、矩陣變換，部分數據混合加密的新思路，減少了移動終端的資源消耗，提高了移動云計算中數據安全的處理速度和存儲速度。在完整性驗證方面，采用隨機抽取的方式進行完整性驗證方法，這種處理方式，在保證數據安全性的同時提高了云計算的處理能力。

參考文獻（References）

[1] Galen Grumman.What is cloud computing？ http：//www.

infoage.idg.com.au/index.

[2] Jaebok Shin，Yungu Kim，Wooram Park，Chanik Park：DFCloud：A

TPM-based secure data access control method of cloud storage

in mobile devices. CloudCom，2012：551-556.

[3] Z.Zhou and D.Huang.Emcient and Secure Data Storage

0perations for MobileCloud Computing[Z].USA：CNSM，2012.

[4] P.K.Tysowski and M.A.Hasan.Towards Secure Communication

for HighlyScalable Mobile Applications in Cloud Computing

Systems[J].T'echnicalRepon，Dept.ofElectrical and Computer

Engineering，Univ.of waterloo，CACR，201l：33.

[5] 王允.Sun發布云計算安全工具[Z].北京：China Byte，2011.

[6] 陳海波.云計算平臺可信性增強技術的研究[D].復旦大學博

士學位論文，2008.

作者簡介：

蔣國清（1969-），男，碩士，講師.研究領域：網絡安全，信息

安全.