云端數據存儲安全技術分析

王亞楠

【摘要】隨著網絡的普及和互聯網技術的深入發展，大數據時代已經到來，傳統的數據存儲方式靈活度不夠、空間不足、在管理和數據處理方面也帶來了種種難題，無法滿足人們的工作需求。云端數據存儲開啟了數據存儲的新形態，但是在人們歡慶其帶來的種種便利之余，數據泄露的事故也層出不窮，這彰顯了現行云存儲技術的短板，也就使得很多企業對云存儲望而生畏，在一定程度上增加了云端數據存儲的推廣難度，阻礙其發展。

因此清楚了解各種數據的安全需求，透徹的分析現行云存儲方面的關鍵技術，了解其不足，才能明確未來技術的攻克方向，以最快速度走出云端數據存儲的“魔障”。

【關鍵詞】云存儲 數據加密 密文訪問控制 完整性審計 重復刪除

一、云存儲發展現狀

隨著網絡的普及和技術的發展，我們已經進入海量數據時代，云計算應運而生，云存儲是在云計算的基礎上發展而來的新興存儲形態，因其容量大、可以不受時間和地域的限制對資料進行上傳下載，而且還可以按需購買等優點受到許多企業、組織或是個人的青睞。很多公司都租用了用于企業內部小范圍的私有企業云，便于數據分析處理，節省數據管理方面的開支，降低了企業成本，而像華為、OPPO、vivo等很多做移動終端的大型企業也都向用戶提供云服務，當然還有很多專門做云存儲空間租用的企業，像我們經常用到的百度云、SaaS、360云盤等。據相關調查數據顯示，全球公有云市場規模正逐年遞增，云端數據存儲正在得到越來越多的企業關注，同時吸引了大批資金用于開發與研究新的數據存儲安全技術。

雖然云存儲解決了很多難題，但是此起彼伏的數據存儲安全事故也不斷挑弄著我們的神經，例如2010年6月，蘋果公司發生Ipad用戶隱私數據泄露，2015年4月多省社保信息遭泄露，數千萬個人隱私泄密等等，它讓我們清楚的認識到在云端數據存儲這種模式下，數據資料被上傳至虛擬空間，使數據脫離了我們的實際操控范圍，在數據的上傳下載的過程中極有可能會被惡意改寫或是盜取等引起數據安全事故，帶來無法挽回的損失，這引起了用戶對云存儲提供商可靠性以及數據安全性的擔憂[1]?；诖?，我們大多數是采用數據加密的方式將數據放置云端，但是這樣一來又使很多功能如數據檢索、運算等難以實現，帶來很多技術難題。

二、云存儲關鍵技術

為了保證云端數據的完整性、機密性與可用性，打消用戶的使用疑慮，促云計算快速發展，國內外企業和學者做了大量研究，其中一些技術已經比較成熟或是提出了相應的技術模型，較好的解決了目前的一些問題。

（一）數據加密技術

加密無疑是保護云中存儲的數據的安全性和隱私性的重要方法之一[2]，目前比較好的加密技術就是收斂加密與基于屬性的數據加密技術。

收斂加密即相同的數據資料經過加密后生成相同的密文，有利于重復數據的冗余刪除，提升空間利用率；另一方面由于密鑰的生成方式與明文的散列值密切相關，這樣一來可以利用生成的密鑰來檢驗明文的完整性；用戶訪問權限被撤銷后，不是馬上重新加密數據，而是采用特定事件觸發加密，待數據修改時同時生成新的密鑰，減少了密鑰的生成、分發與管理。

基于屬性的加密機制（attribute-based encryption，ABE）是一種控制接受者對加密數據的解密能力的密碼機制，只要用戶擁有的屬性滿足一定的介入策略時就可以解密信息[3]。根據屬性加密，不需了解屬性所屬方，這樣就不會侵犯用戶的隱私；只有私鑰具備解密數據屬性時才可以解密明文，并且在這個過程中，不同的用戶之間私鑰不可以聯合，保證的數據的安全性；還可以實現靈活的訪問控制。

（二）數據銷毀

云計算提供商通過計算資源租用和存儲資源租用的方式對外提供服務，那么對同一租戶的相同數據進行重復數據刪除，在結束租用期限時，清空該租戶的所有信息，釋放空間，使利益最大化，用戶可以基于自身需求，及時清除失去存儲意義的數據等一系列數據銷毀技術是保護數據安全與隱私的另一重要方法。

1、基于密文的重復數據刪除技術

由于同一明文經過不同的密鑰加密后會產生不同的密文，因此系統對這些重復數據無法有效識別和刪除，所以目前只能依賴特殊的加密方法即收斂加密，使相同的明文生成相同的密文，這樣便可以進行重復數據刪除操作，但是這種加密方法針對性強，無法適應海量數據的加密趨勢，因此，支持刪冗的一般性加密方法是一大技術挑戰。

2、數據的可信刪除

存儲在云端的數據都會經過加密，因此，對此部分數據的刪除只需要所有人都無法解密明文即可，這樣就轉換成為密鑰的刪除技術。2007年Perlman等人在文獻中首次提出了可信刪除（assured delete）的機制[4]，即通過建立第三方可信機制，將時間或是用戶的某項特定操作作為刪除的觸發條件，使其可以在規定的時間后將密鑰刪除，這與張逢喆等人提出的基于可信計算數據銷毀機制本質是一樣的。

三、技術挑戰與重點突破方向

（一）公開審計數據安全難以保障

數據的公開審計需要提供相關內容進行檢測，這期間重要數據，隱私內容就需要公開或是提供給第三方，數據安全控制難以保障。另一方面如何根據云端數據的時時更新，進行動態審計，也是技術的攻克難點。

（二）數據殘留問題難以解決

如何實現數據的有效刪除，是空間釋放中面臨的安全問題，無論是將數據放進垃圾箱還是交給專門的第三方處理，都可能會導致信息泄露；另外租賃到期必然要進行空間回收，數據是否有效刪除直接帶來了上一位與下一位租戶數據之間能否有效隔離開來以及數據隱私方面的問題。

（三）針對海量數據的加解密技術

目前的數據加解密技術不具有一般性特點，復雜度較高，針對海量數據的加解密必然會帶來用時長、效率低、查詢處理等多方面的問題。

四、總結

云計算異軍突起，云存儲作為云計算的技術支撐，其地位必然不必多說，從云端數據安全存儲的總體發展情況來看，一些加解密技術已日漸成熟，但是還缺乏一般性；當前一些技術領域方面的研究如加解密、數據銷毀、完整性審計等大多還是分開展開研究的，缺乏聯合性；一些技術研究長期停留在實驗和模型階段，缺乏有效的實踐。從發展方向來看，基于云端數據存儲的自由特性，需要我們在保證數據安全的前提下，盡可能的提高數據加解密的效率，降低時間復雜度，使密文搜索、空間回收、數據處理等操作成為可能，當然這需要政府、社會各界以及我們每個人的共同努力，我相信在不久的將來，我們一定可以將云端數據存儲的優勢更好的發揮出來，給大家帶來更好的用戶體驗。

[]張浩，趙磊，馮博，余榮威，劉維杰.CACDP：適用于云存儲動態策略的密文訪問控制方法[J].計算機研究與發展，2014，51 （7）： 1424-1435

[]馮朝勝. 云數據安全存儲技術[J]. 計算機學報，2015，38（1）：151-163.

[]李暉，孫文海，李鳳華，王博洋.公共云存儲服務數據安全及隱私保護技術綜述[J]. 計算機研究與發展，2014，51 （7）： 1397-1409

[]傅穎勛， 羅圣美， 舒繼武. 安全云存儲系統與關鍵技術綜述[J]. 計算機研究與發展，2013，50 （1）： 136-145