基于云計算的分布式存儲安全保護技術研究

陳克明

（1.東華大學研究生院，上海 200051；2.新余學院數學與計算機學院，江西 新余 338000）

?

基于云計算的分布式存儲安全保護技術研究

陳克明

（1.東華大學研究生院，上海 200051；2.新余學院數學與計算機學院，江西 新余 338000）

摘 要：文章通過對云計算環境下安全隱患的威脅和云計算分布式存儲安全保護技術研究現狀進行分析，進行對云計算中分布式存儲數據安全保護技術的3個安全協議方案的設計研究，以期在云計算下分布式存儲安全保護技術的設計研究中不斷進行完善并做出貢獻。

關鍵詞：云計算；分布式存儲；安全保護技術

隨著科學技術的進步發展，計算機互聯網的用戶群體和手機移動客戶端的用戶群體規模在不斷擴張，相關數據的存儲量以成倍增長的方式不斷膨脹，分布式存儲技術的研發為傳統單一的存儲模式帶來了新的思考，不僅拓展了存儲容量，還相應地提高了存儲和讀取數據性能。但在云計算環境中，平臺的開放性與共享性使得存儲數據高度集中，用戶將一些照片、文檔等重要的數據文件儲存在云系統中，這也意味著一些具有私密性的數據將面臨許多安全隱患，直到2014年蘋果公司發生的好萊塢明星照片泄露事件將云計算中數據信息的安全性問題再度放大，研發人員更加致力于云計算中的數據安全保護技術的研究。本文針對云計算中分布式存儲的安全保護技術進行研究，對研究的3類協議技術進行分析，以期為云安全的技術實施提供可行性參考。

1　云計算環境下的安全威脅

云計算中的完全危險無處不在，相關部門對其安全威脅方面的問題作了總結：丟失或泄露數據信息，在云計算中，萬一發生隱私信息或國家數據信息泄露或丟失將會造成不可挽回的損失；平臺共享技術出現漏洞；無法對服務供應商進行評估；用戶的身份認證程序較為簡單時，非常容易被不良用戶入侵并進行一些違法操作；應用程序的接口存在隱患；終端用戶無法知曉平臺的后臺安全性協議，而一些不良服務供應商對安全服務協議的選擇成為了安全隱患和威脅。現階段云計算的使用客戶端除了計算機互聯網平臺被廣泛運用還逐漸延伸到智能移動客戶端。隨著智能移動客戶端的接入，云計算中逐漸衍生出了一個新的研究領域，即移動云。它是傳統云計算和移動計算的綜合體，通過對移動設備的操作將復雜的云計算應用在移動終端中，這項技術逐漸被諸多領域所應用，同時對用戶隱私安全的技術需求則再一步得到了提高。

2　云計算分布式存儲安全保護技術研究現狀

分布式存儲技術是云計算發展到一定階段所應運而生的存儲技術，它標志著對信息數據從少量的存儲管理到大量的規模化管理的轉變，推動了人們對分布式存儲數據的統一調配技術的產生，例如一些專門性的存儲系統的研發。目前，分布式存儲技術的研究都集中在對數據信息的高校傳輸、存數和訪問以及對系統性能提高的方面中，而忽視了對信息數據的密鑰管理。例如Castro和Liskov采用復制的機制針對可容錯的條件構建了一個文件存儲系統，不但增加了存儲的負擔還缺乏密鑰機制，雖然能將數據長久地存儲起來，但這種操作方式非常不適合分布式存儲中系統進行獨立處理大量數據。在對一些外包數據的安全私密的處理中，會用到一些簡單的加密技術，例如用戶通過私鑰的手段直接對數據進行加密，但是在實際操作中依舊會存在一定風險，就是用戶所掌握的私鑰是唯一的密鑰，一旦將密鑰丟失或被竊取將產生非常惡劣的影響。直到后來在分布式存儲技術中引入了一種去中心化的糾刪碼的密鑰分享機制。這種機制是通過對同態公鑰的使用對明文進行加密，雖然可以對系統的機密性起到提升，保障隱私安全，但這套方案技術中對服務器的安全協議的要求更高，依舊存在一定的風險。

依照云計算的特性，用戶將數據傳輸到云服務器后就會失去對數據信息的控制權，用戶需要對自己的數據進行下載來檢測數據的完整性，一定程度上會造成資源的浪費。研究院通過對遠程數據驗證技術的研究可以在不下載信息資源的同時對數據進行完整性的驗證，但是這項技術依舊沒有將數據保密機制進行完善，缺乏對惡意服務的檢測，無法預防云服務器對用戶數據信息的泄露，甚至當數據丟失的同時失去恢復功能。

移動終端的建設雖然方便了人們對信息的獲取，卻有自身的硬傷，有限的儲存空間、運算和續航能力，而云服務則彌補了它的這些缺點，通過對資源的共享，提升終端設備的軟件，信息數據的提供為用戶提供方便快捷的服務，從而形成了云計算中的移動云。通過對自身數據的外包，滿足移動終端存儲空間不足的問題，但同時將自身數據外包的過程也存在一定的信息安全風險。

3　云計算中分布式存儲數據安全保護的技術

3.1 基于門限加密的分布式存儲數據安全協議設計

基于門限加密的分布式存儲數據安全協議是一種云存儲系統的協議，一般是通過數據存儲服務器和密鑰存儲服務器組成的，數據存儲服務器主要是用戶存儲了加密后的信息資料的數據，而密鑰存儲服務器則是用戶存儲了私鑰的密鑰信息數據。基于門限加密分布存儲數據安全協議的方案中用戶所需要的設計的密鑰是通過用戶獨立保存的秘密參數和被分割成很多分儲存在密鑰存儲服務器中的ssk中，所以，解密過程也要分開進行。這一套協議可以有效防止對數據服務器或密鑰服務器單獨的惡性攻擊，或者防止攻擊者恢復在第一次獲取密鑰后所截取得信息，或者預防攻擊者獲取用戶權限并試圖截取信息。

基于門限加密的分布式存儲數據的安全協議方案中需要對以下3個模塊進行設計，即是系統設置、數據存儲和恢復。系統設置中需要對系統的公共參數和用戶設置一對加密的公鑰和私鑰進行設計。通過運行參數生成其特有算法獲得μ值，再生成公私鑰對，其中ssk不予分享給服務器或其他用戶，將消息分割成等長并生產數個數據塊和其唯一標識，通過拉格朗日插值公式，將用戶私鑰中的ssk分割數份讓后隨機存在相應數份的密鑰存儲服務器中，再生成與數據塊一致的密文。數據存儲中，用戶對生成的密文數據塊存儲到相應的數據存儲服務器中，生成每個單獨的數據存儲服務器中的碼字完成數據存儲工作。當需要數據恢復時，用戶需要發送代表數據塊的那個唯一標識當密鑰服務器收到指令后，將恢復命令發送給數據存儲服務器，再由密鑰服務站回收信息，用其生產的子密鑰對需要解密的密文進行解密工作。從而完成基于門限加密的分布式存儲數據安全協議的設計。

3.2 基于云計算分布式存儲的完整驗證協議設計

基于云計算分布式存儲的完整驗證協議是建立在對用戶具備誠實性、在整個隱私安全技術運行體系中的利益損失方和服務器供應商誠信經營的假設中設計的協議方案。在完整驗證協議的設計中需要考慮用戶因本身存儲空間、管理和計算數據能力的限制的將數據進行外包所產生來自服務站和惡意攻擊者的風險，以及數據上傳至云服務器后，因服務器系統本身缺乏魯棒性到遭遇的惡意攻擊的信息缺失的風險和防范能力。為了實現數據的完整性檢查，用戶應該對消息文件等長切割后進行公鑰加密，其生成的多個加密文件數據塊進行標志儲存在本地，然后上傳至云服務器存儲，并獲得服務器反饋的索引。當云服務器收到用戶發出的完整性驗證時，云服務器將相關驗證值反饋給用戶，并進行相關驗證。這個過程中，用戶需要將元數據在本地庫中進行保存，以方面完整性的驗證，當然云服務器為了使用戶了解其并未對用戶的數據進行更改，還需要用戶選擇一個隨機密鑰和隨機群元素，并發送給云服務器，再由云服務器將其生產的索引反饋給用戶。完整性驗證協議的設計中將云服務器供應商和存儲服務器當作一樣的實體對象，其存儲系統仍舊是由云數據的存儲服務器和密鑰存儲服務組成，當將加密的數據上傳至服務器后，刪除本地數據，在通過密鑰服務器的索引可以通過公開的信道重新下載恢復數據。

基于云計算分布式存儲的完整驗證協議設計方案中分成三個步驟的設計。系統設置，生成系統公共參數和一對用戶需要的密鑰。通過運行參數生成并算出后獲得μ值，生成公私鑰對，其中ssk不予分享給服務器或其他用戶，將消息分割成等長并生產數個數據塊和唯一標識，使用拉格朗日插值公式將用戶的私鑰進行分割并隨機存儲到相應密鑰存儲服務器中，再生成和數據塊相對應的密文。數據存儲的步驟和門限加密的方案基本一致，但每個密文是隨機存儲到云數據服務器中且每個數據服務器都獨立生產密文相對應的索引。數據恢復時，需要用戶發起完整性驗證命運給服務器，通過相應反饋進行數據恢復操作，從而完成基于云計算分布式存儲的完整性驗證協議的設計。

3.3 基于公共審計支持的云存儲服務系統協議設計

基于公共審計支持的云存儲服務系統協議是分布式的移動云存儲的公共安全審計協議，是對用戶信息完整性的隱私安全保護協議的概括，該協議的設計中需要涉及單個參與方，移動云、用戶和第三者審批。其中移動云是云計算服務的新興生產領域，屬于云計算服務的范疇，同時也是有數據存儲服務器和密鑰服務器構成。而第三方審計則是對云服務器供應商是否修改用戶數據進行檢查，解決用戶的審計任務需求，且其地位屬于公正方。一般來說這種系統協議可以有效提升第三方審計的效率，減少了用戶本身的加密計算量，更好地提高了系統運行的效率。公共審計系統安全協議中為了保持器數據的完整性，用戶將本地數據上傳后，將數據分割成等長，并對其每個數據塊進行標記，第三方審計向服務器發送指令選擇隨機數再將生產的索引發給移動云，當第三方審計收到移動云的反饋信息后，獨立按照相關公式進行驗證。使用這種公共審計支持協議的這類用戶一般都具有強感知、多樣性以及實時在線性的特點，數據的交換和產生幾乎無時無刻不在進行，無形中增加了審計的任務量，所以設計該協議需要注意的另一個功能就是批量審計，對大批量信息的審計協議的設計可以改善用戶體驗度降低通信成本。

4　結語

本文通過對基于云計算的分布式存儲安全保護技術進行分析后，對3種安全協議進行了設計研究，用戶安全隱私的保護技術需要通過復雜的加密應用過程來完成，這是一個不斷優化完善的過程，通過不同的安全機制設定不同的安全目標和模型，從而進一步趨向加密有效性、數據運算搜索高效性、第三方審計完整性等系統的服務。

［參考文獻］

［1］李暉，孫文海，李鳳華，等.公共云存儲服務數據安全及隱私保護技術綜述［J］.計算機研究與發展，2014（7）：1397-1409.

［2］王麗娜，武開智，王德軍，等.一種面向連續數據保護的分布式存儲模型研究［J］.小型微型計算機系統，2011（8）：1587-1592.

Research on Security Protection Technology of Distributed Storage Based on Cloud Computing

Chen Keming
（1. Graduate School of Donghua University，Shanghai 200051，China；2.School of Mathematics and Computer Science，Xinyu University，Xinyu 338000，China）

Abstract:In this paper，through cloud computing environment safety threat and the cloud computing distributed storage security protection technology research status analysis，research on Design of cloud computing in distributed data storage security protection technology of three security protocols，in cloud computing distributed storage security protection technology research and design continue to improve and make a contribution.

Key words:cloud computing；distributed storage；security protection technology

作者簡介：陳克明（1979-），男，江西上饒，博士，副教授。