云數據安全存儲技術分析

朱斌

摘要：文章對云數據存儲模式進行分析，對云數據安全存儲存在的問題進行研究，對云數據安全存儲技術進行了探討。

關鍵詞：云數據；安全；存儲技術

0 引言

云數據存儲與傳統存儲模式相比較而言，具有存儲能力強、資源利用率高、系統管理簡便的特點，其優勢越來越明顯。云數據存儲技術在迅速發展的過程中，其安全問題成為人們關注的重點。數據調查顯示，70%企業不選擇云計算的原因在于其數據安全性與隱私性。基于此，本文對有關云數據安全存儲技術進行研究和探討，不足之處，敬請指正。

1 云數據存儲模式

云數據存儲結構涉及3個方面，分別是中立第三方、云服務器以及用戶。其中，第三方主要是發揮對云數據存儲數據進行檢測的作用，主要是方便用戶，僅僅依靠其個人力量無法完成，另一方面對于云數據存儲的發展來說是有所幫助的。用戶通過云服務器對數據信息進行存儲，節省了其個人電腦存儲空間的同時，省去了一部分開銷，節約了資金，還可以隨時對存儲數據進行查詢、分享以及下載。

2 云數據安全存儲存在的問題分析

常規信息系統中關心的是如何做好數據加密存儲于傳輸，以及安全審計與容災備份。但是，在云計算環境下，光做好以上內容是不夠的，云計算的特點導致集中式的數據存儲在云端，保證各用戶數據之間的安全隔離；云服務器有可能出現宕機的現象。如此以來，云數據安全存儲技術面臨以下幾個方面的問題：

2.1 數據加密存儲問題

常規信息系統中大多選擇加密方式對存儲數據的安全性進行保障。云服務器中也可以采取類似的方法，然而具體實現過程卻有點困難。基礎設施也就是服務云模式中，因為授權到用戶的虛擬資源能夠被用戶控制，數據加密一方面能夠輕易實現，但是云服務器中一旦數據加密，操作也變得異常困難。云服務器中所有需要被云應用處理的數據信息，全部都不可被加密，因為只要加密，會導致操作、運算等變得非常困難，這是云數據存儲安全性的一個挑戰。

2.2 數據隔離問題

多租戶技術是一種安全性很高的技術。是以多租戶技術系統架構為基礎，多用戶數據同時存儲于同一個介質中，哪怕云服務提供商會應用隔離技術，以避免混合存儲數據過程中的非授權訪問。然而非授權訪問利用程序漏洞依然能夠實現非法訪問。舉例而言，谷歌在2009年就出現了不同用戶之前文件的非授權訪問事件。很多云服務提供商利用邀請第三方組織對應用程序進行審核，然而因為平臺數據的針對性不強，導致審核標準不統一。

2.3 數據遷移問題

云服務中，當發生宕機時，為保證正在運行的服務可以正常使用，必須要把正常工作的進程進行轉移。其本質上可以理解為是對相關數據進行轉移，遷移的數據一方面包括內存與寄存器中產生的動態數據，另一方面還包括磁盤上的靜態數據。為了降低由于宕機而降低客戶滿意度，必須要確保遷移高速完成。為了讓進城可以在新服務器中迅速恢復，要保證數據安全和完整。除此之外，假如進程處理的是一些機密數據，必須要保證數據遷移的安全性。

2.4 數據殘留問題

數據殘留問題是數據被刪除之后殘留在服務器的形式。數據殘留也有可能對敏感信息進行泄露，因此哪怕是刪除后的存儲介質也不能隨意釋放。比如說，扔到垃圾堆，或者是隨意交給第三方。云計算環境中，數據殘留問題有可能造成用戶數據在無意中被透漏給未授權的一方。假如未授權數據遭受泄漏，用戶能夠邀請第三方安全軟件對應用程序進行驗證，這個問題目前來說還未得到有效解決。

2.5 數據安全審計問題

數據以外包的形式存儲于云服務器中，用戶最關心的問題是外包存儲數據的確存儲到云服務器中，而且其歸屬權為數據所有者，以及除了所有者和授權用戶之外的其他人都不可隨意訪問數據。如果該問題與安全審計問題有關。數據存儲于本地時，該問題能夠輕易完成。但是在云服務器中數據安全審計問題變得異常復雜。明顯地說，用戶不能先下載然后再審計，耗費人力物力不說，還會造成昂貴的通信代價。有效方案是僅僅取回一小部分數據，利用知識證明協議或者是概率分析方法，可以以高置信的概率對云端數據的完整性進行判斷。

3 云數據安全存儲技術分析

3.1 同態加密技術

同態加密技術屬于加密技術的一種，該技術的應用能夠完成對明文上執行一定的代數運算結果，實際上類似于在密文上的另外一種代數運算結果同態加密。這個特點讓云計算以往存在的數據存儲悖論可以得到有效解決。同態加密的理論主要來自于私密同態，其可以在不了解解密函數的基礎上實現對加密數據的計算分析。比如，設s為明文空間，s為密文空間，a，b∈S，E是S→S上的加密函數，假如有算法PLUS和MULT，可以讓下列公式成立：

如此一來，能夠通過E（a）與E（b）的值對E（a+b），E（a×b）進行計算，而a與b的值則不是那么重要，人們稱之為分別滿足加法同態與乘法同態。針對加密函數而言，假如同時滿足以上2個同態，則理解為全同態加密函數，要不然僅屬于其中一個同態，為部分同態加密函數。

3.2 基于VMM的數據保護技術

以云計算為基礎的虛擬機工作在一個虛擬化的平臺上，同時由虛擬機監控系統進行管理和控制。基于VMM數據保護技術是以SSL技術確保數據傳輸的安全，通過Daoli安全虛擬監控系統對數據存儲的安全性進行保護。數據傳輸到云端，客戶端SSL模塊進行加密，用戶的密文數據會存儲在云端操作系統，同時提交給分布式文件系統。解密處理后，假如用戶需要數據存儲到分布式文件存儲系統，虛擬監控系統會對其進行加密。反之，假如用戶要從分布式文件存儲系統中獲取數據，虛擬監控系統會先解密。這個方法的主要特征在于云端操作與分布式文件系統是兩個獨立的、隔離的系統，操作系統和用戶數據是分隔開來的。因為針對操作系統來說，數據必須保證是加密的狀態，如果虛擬機操作系統被破壞，攻擊者獲得的數據也是加密狀態，從而確保內存數據的安全性、機密性。

3.3 加解密技術

公有云中存儲數據是外包數據，產生了一部分基于常規加解密技術進行研究，從而保障外包數據的安全性。加解密技術的種類很多，包括基于代理重加密的方法、基于密鑰導出方法的非可信服務器數據安全存儲方法、加密系統Plutus、SiRiUS系統。其中，SiRiUS系統以NFS文件系統為前提，可以保障端對端的安全傳輸。同時，為了對訪問進行控制，任何一個文件都分配了一個元文件，該文件夾雜訪問控制列表，在列表中存儲的是受授權客戶公鑰加密保護的密鑰。SiRiUS系統的擴展版本摒棄了授權用戶公鑰加密文件，選擇了NNL廣播加密算法密鑰，NNL的進步在于用戶權限算法的復雜程度與用戶數成正比，造成系統復雜程度與加密負荷成正比，所以系統的擴展比較困難。

3.4 云數據加密存儲技術

數據加密存儲技術是現階段保障云數據信息安全技術中最為合理有效的方法，同時也是現階段應用最廣泛的存儲技術。

數據在進行存儲上傳之前必須要加密，才可以保障上傳數據的安全性與隱私性，然而也產生一個問題，數據查詢的難度增加。上文中提到，假如數據的擁有者沒有把加密密鑰告知查詢用戶，則用戶無法訪問數據，反之則數據的安全性遭到威脅。云數據加密存儲技術是支持查詢的數據加密方法，簡稱為SE。用戶使用過程中，查詢關鍵字提交到云服務器，查詢服務器利用對關鍵字索引進行檢索，從而獲取符合條件的數據信息，把查詢結果反饋給用戶。在此過程中，加密數據依然處于加密狀態，SE要求輸入查詢關鍵字不可以出錯，而且格式統一，支持布爾型查詢，但是根據相關性有排名的查詢是被禁止的，導致SE直接應用云存儲環境下的文件查詢產生2個問題，一個是用戶必須返回到上一層文件夾，才能夠確定文件與查詢關鍵字之間的相關性；另外就是返回文件中有可能出現大部分文件并非用戶需要的，從而導致網絡流量增加，繼而浪費資源。以上幾種加密存儲技術基本上能夠解決超過95%的加密存儲安全問題，然而其中也存在各種各樣的問題，包括計算方法欠缺、耗時耗力、可信度比較低等問題，必須要針對以上問題進行調整與優化。

3.5 數據銷毀

數據銷毀實際上與用戶需求有關，用戶由于需要一些數據信息在某一個時間段內保持某個狀態，從而更好地為用戶所用。然而用戶無需這些數據時，或者是必須要針對這些數據進行更加嚴格的加密處理，從而防止數據外泄情況的出現。存儲數據很顯然不如銷毀數據，傳統刪除方式比較簡單，如果選擇刪除文件，實際上被刪除的文件不是很徹底，僅僅是加了個“刪除標志”的標簽，如果標志去掉，則文件會恢復到原文件夾。數據軟銷毀是選擇覆寫法，針對需要保密的數據信息，利用無需保密的數據，利用多次隨機錯亂的次數將其覆蓋，以此銷毀存儲數據的訪問痕跡。

4 結語

總而言之，一直以來云數據存儲安全問題始終影響著云計算的應用水平，同時也使用戶在經濟上與生活便利上遭受嚴重威脅。甚至人們對云數據存儲的信息產生了動搖。實際上，云數據存儲技術自身的安全性僅僅是一個方面，還必須要在日常使用過程中，熟悉和掌握保密產品的特點，如此才可以做到云數據的安全存儲。