云計算環境下數字圖書館數據安全和隱私保護研究

王家玲 郝梅梅 孫 敏

（銅陵學院，安徽 銅陵 244000）

云計算環境下數字圖書館數據安全和隱私保護研究

王家玲 郝梅梅 孫 敏

（銅陵學院，安徽 銅陵 244000）

建立云計算環境下數字圖書館數據的生命周期模型，分析云計算環境下數字圖書館數據在生命周期各階段的安全威脅，構建生命周期各階段數字圖書館數據安全和隱私保護框架，并對數據安全和隱私保護策略中的關鍵技術進行闡述。

數字圖書館；云計算；信息安全

1.引言

隨著數字圖書館建設步伐的不斷加快，圖書館的計算機等硬件設備需不斷的維護與更新、各系統軟件需不斷升級、對計算機技術人員的要求也越來越高。維護和更新計算機設備所需資金的不足和計算機專業技術人員的缺乏正是數字圖書館發展過程中急需解決的問題，而云計算服務可有效解決這些問題。云計算是現代計算機技術應用的先進模式，它以高端數字化技術為支撐，擴大了數字圖書館信息處理的工作平臺，實現了數字圖書館安全模式的智能化運行，因而得到圖書館界的極大關注。云計算通過網絡通信技術使互聯網上眾多的計算機組合成為一臺虛擬的超級計算機，它的分布式儲存處理技術，給圖書館的數字化帶來很大的機遇，如：提供便捷多樣的軟件服務和超大規模的計算和存儲服務，以及方便的網絡平臺服務和全方位的網絡擴展服務。然而由于云計算系統規模巨大，且集中了諸多用戶的應用和隱私數據，同時它還具有前所未有的開放性和復雜性，因此它在給我們提供方便的同時，其安全性也將面臨著比傳統信息系統更為嚴峻的挑戰。云安全聯盟與惠普公司曾經共同列出云計算安全問題主要集中存在的七個方面[1]。因此，云計算若想在圖書館界廣泛運用，云服務商和圖書館必須考慮到云計算所帶來數據安全和隱私保護風險，并采取有效的應對策略。

2.云計算環境下數字圖書館數據的生命周期模型

數據的安全性主要包括兩方面，一是數據完整性，即數據在保存或傳輸過程中不會被丟失或者破壞，用戶在需要這些數據時可以及時、準確并且無誤地獲取。二是數據保密性，即數據在保存或傳輸過程中不會被泄露出去，能夠保證用戶的隱私信息不被侵犯。在云計算環境中，用戶數據的存在形式可分為兩種，靜態數據和動態數據[2]。靜態數據主要以海量存儲服務和便捷訪問服務為目的，例如用戶需長期存儲的圖片文件、視頻文件、文檔文件等。這些數據只是靜態的存儲在云端，不參與動態運算，用戶僅僅利用云的存儲服務。對于靜態數據，用戶只需關注數據在上傳至云端和存儲在云端時數據的安全和隱私保護。動態數據是指存儲在云端時需參與動態計算的數據，例如用戶的數據庫文件、程序文件、配置文件等。這些數據不僅使用了云計算的存儲服務，還需使用它的計算服務，這些數據可以從云存儲服務器上直接調用至內存進行運算。在云計算環境中，數字圖書館數據屬于動態數據。數字圖書館的讀者信息、書目信息、流通數據以及數據庫數據等都是以動態數據的形式存放在云計算服務器中。用戶需對數據進行各種操作運算，比如檢索、查詢、插入、刪除等。因此，數字圖書館數據安全和隱私保護需考慮從數據上傳至云計算服務器開始到數據在云計算服務器完全銷毀為止這整個過程的各個階段，包括數據的創建、存儲、傳輸、使用和銷毀。我們將這五個階段稱為云計算環境下數字圖書館數據的生命周期[3]，如圖1所示。

圖1 云計算環境下圖書館數據生命周期模型

數據創建：數據通過靜態上傳或動態計算等方式被創建。如：數字圖書館將數據上傳至云計算服務器、讀者查詢或檢索信息過程中產生的記錄信息，讀者借閱產生的流通信息等。

數據存儲：數據產生后被存儲在內存，硬盤等存儲空間中。如：圖書館上傳來的信息要存放在云計算服務器的硬盤上，應用程序調用動態數據進行計算時數據存儲在內存中等。

數據傳輸：數據上傳至云端時要進行數據傳輸，用戶使用數據或上層虛擬服務要使用數據時，數據要通過網絡、進程通信等方式進行傳輸。

數據使用：數據在被云終端或其他云服務使用是整個生命周期中最為外在的功能。

數據消亡：數據在生命周期結束時，必須采用數據銷毀技術進行處理。比如：數字圖書館只保存十年內的讀者信息、流通信息，對于十年以前數據要求從云端刪除；或者數據更換存儲設備時，要求刪除原服務器上的數據。

3.云計算環境下數字圖書館數據在各生命周期的安全威脅

（1）數據創建。數據在創建階段的安全威脅主要來自三個方面：網絡黑客、非法用戶和不可靠的云服務商。數據在利用網絡上傳至云計算服務器的過程中，可能被黑客竊取和損壞。一些非法云服務商在接收數據后，可能會利用一些用戶隱私信息，如讀者身份信息等，獲取非法利益。用戶在新賬戶創建過程中產生的數據，若系統身份驗證機制薄弱，入侵者就可以輕松獲取用戶賬戶信息，并利用它進行各種非法操作。

（2）數據存儲。數據在存儲階段的安全威脅主要來自以下四個方面：一是由于云計算有著高度整合的大容量存儲空間，而使用云計算服務的用戶并不清楚自己的數據存儲在哪個具體的物理服務器上，因此他們對自己的隱私數據失去了物理控制；二是在云計算環境下，數據存儲資源是多用戶共享的，在數據進行加密處理后是否就能夠完全保證數據之間的隔離安全；三是對于用戶隱私數據，能否建立安全的冗余備份機制以保證在事故出現時，用戶的數據能夠及時、安全地恢復；四是如何保證核心數據不被云服務商非法利用。

（3）數據傳輸。數據在各云端服務器間傳輸過程中主要面臨兩方面的安全問題：首先是如何確保用戶的隱私數據在網絡傳輸過程中能夠嚴格加密，入侵者即使竊取到數據也無法解密還原成明文，保證用戶隱私數據的保密性；再次是如何保證數據能夠完整地、準確無誤地傳輸。

（4）數據使用。數據在使用階段的安全威脅主要有：一是由于云服務商的可靠性很難評估，為了維護自己的利益，他們很可能隱瞞數據在云計算服務器上已被破壞的事實，用戶無法判斷存儲在云計算服務器上的數據的完整性和可恢復性；二是系統調用數據進行云計算時，如何保證數據的可用性、正確性和完整性；三是如何保障數據在使用過程中的隱私安全；四是用戶在訪問使用數據時，如何進行訪問控制，防止非法用戶和黑客對數據的盜取和破壞。

（5）數據消亡。云計算環境下，用戶數據會被多個服務器以多種方式進行備份，以確保數據在云端的可靠性。然而這種可靠性也給數據在生命周期結束后的刪除帶來了不便。被刪除大量的密文重復數據以及由于技術原因造成的數據殘留，可能被入侵者非法重建并竊取。

4.云計算環境下圖書館數據安全和隱私保護策略

4.1 全生命周期數據安全和隱私保護框架

圖2 全生命周期數據安全和隱私保護框架

在云計算環境中，為了保障數字圖書館數據在整個生命周期的安全，需要對數據的創建、存儲、傳輸、使用和消亡等過程進行全生命周期數據安全和隱私保護，確保數據的完整性和機密性。

（1）數據創建。對于數據創建階段的安全威脅，云服務商和數字圖書館可通過身份認證、權限管理和數據加密等多種技術手段來保證數的安全和隱私。由于數字圖書館靜態上傳的數據，可通過高強度加密技術保證數據的機密性。對于數字圖書館核心數據，如讀者身份信息，可對其進行全同態加密，以實現數據的密文檢索。利用密文檢索技術，可直接對密文進行檢索，防止數據解密后泄露給云服務商或入侵者，是實現隱私保護的有效手段。

對于用戶使用過程中產生的數據，可采用身份認證和權限管理相結合的方式保證數字圖書館數據資源不被非法訪問和使用。在云計算環境下，數字圖書館服務安全的首要前提是統一認證，特別是用戶的身份認證，它在安全保障中起到了至關重要的作用。只有通過身份認證的用戶才被授權訪問“云”中的相應資源[4]。其次，可根據用戶對信息需求層次的不同，將用戶劃分成多個層級，每個層級的用戶訪問權限不同，我們可嚴格控制各層級用戶對資源的訪問權限[5]。云計算環境下，若將單點登錄的統一身份認證與PMI權限控制技術相結合，圖書館可根據不同的用戶級別設置不同的管理訪問權限，將物理位置不同的云端資源實現物理上和邏輯上的多層管理和控制，然后通過嚴格控制用戶對資源的訪問權限來保證數據與服務的安全。

（2）數據存儲。圖書館數據上傳至云端后，被存儲在云計算服務器上。為確保數據的安全和隱私，云服務商可通過硬件的冗余容錯、數據恢復技術、存儲加密技術和數據隔離保護技術等多種技術多數據進行多重保護。采用冗余容錯技術和數據恢復技術，保證服務器物理設備出現故障或系統軟件出現問題時數據的完整性和可用性。采用各種高強度數據加密技術對數據進行記錄級加密、文件級加密、數據庫級加密，以保證數據的機密性。使用數據隔離保護，如：進程隔離、任務隔離、虛擬機隔離、租戶隔離等保證數據隔離安全。

（3）數據傳輸。云端數據一般采用加密算法對其進行加密后再傳輸，傳輸的網絡采用虛擬專用網以保證數據的機密性與完整性。首先，對于上傳的靜態數據采用高強度加密算法進行加密處理，若是調用多個服務器中的數據進行動態運算，數據在傳輸過程，可通過對多個服務器上的數據進行分布式加密處理，防止隱私數據泄露給未經授權的用戶；另外，在數據的安全傳輸協議中增加完整性校驗算法，接收到數據后對其進行校驗以保障數據的完整性。

（4）數據使用。通過嚴格的身份認證技術，保證數據被合法用戶訪問和使用。在使用過程中，一些核心數據，可通過密文檢索技術和查詢隱私技術等進行檢索，確保數據的隱私安全。為了確保用戶使用數據的完整性，圖書館需定期對云計算服務器上的數據進行完整性驗證，云服務商需向數字圖書館出示持有性證明，確保數據完整的保存在云計算服務器中。

（5）數據消亡。由于云計算系統中數據的可靠性，大量的密文重復數據和多副本冗余數據的刪除成為難題。云計算服務商必須采用可靠的數據銷毀技術進行處理，防止入侵者或其他租戶利用數據還原技術恢復出原始數據。可靠的數據銷毀技術可實現對虛擬機映像以及虛擬服務的敏感數據在生命周期末時的數據擦除，從而確保數字圖書館數據隱私安全。

4.2 關鍵技術

（1）加密技術。數據的存儲或傳輸過程中，用戶通常利用對稱密碼體制或公鑰密碼體制對數據進行加密處理，以在一定程度上達到保證數據私密性的目的。其中，有一種基于公鑰密碼體制的特殊加密方式，它以屬性特征作為公鑰和私鑰對用戶數據進行加、解密，是一種基于屬性的加密。只有當用戶私鑰能夠滿足加密數據所對應的屬性時，才能夠將密文數據解密成明文數據。此外，還有一種加密算法稱為同態加密[6]，它可以實現有目的性的對密文進行搜索等操作，使得云端數據私密性安全有了新突破，目前同態加密已成為學術界研究的主要方向。

（2）數據完整性驗證和持有性證明。驗證云端數據的完整性，傳統的方法是在上傳數據至云端時，首先利用哈希函數計算出數據的哈希值，并將其存放在本地。驗證數據時，要下載所有數據到本地，計算得到哈希值和本地存儲哈希值進行比較。但是這種驗證方法對于存有海量數據的數字圖書館不僅低效，而且還占用了大量的網絡資源，因此無法滿足數字圖書館驗證數據的要求。為此，研究者提出了利用數據持有性證明來驗證數據完整性的概念，即在用戶驗證數據完整性時，云計算服務商無需向其提供完整的數據，而是通過某種方法向他證明其持有的數據還完整的存放在服務器上，并且這些數據是可存取的。目前，數據持有性證明的研究主要集中在PDP[7]模型和POR[8]模型。其中PDP模型只能檢測存儲在服務器上的數據是否完整，無法保證這些數據是否可以恢復。而POR模型則結合了檢測點和糾錯碼來驗證數據完整性，它不僅可以驗證數據是否完整，還可以在數據出錯時將其恢復。

（3）密文搜索。密文搜索是一種對加密后的密文直接進行檢索的技術，因此與加密處理環節密切相關。在數據加密階段，若使用的是同態加密算法，則可直接對加密后的密文進行搜索等操作，這樣既可以保護用戶的隱私數據，也可以減少加解密所消耗的系統資源，大大提高了操作的時效性。目前，密文檢索主要有等值匹配檢索和密文區間檢索兩種方法。等值匹配檢索主要是線性檢索，如：基于關鍵詞的公鑰檢索和安全索引的算法[9][10]；密文區間檢索，主要有區間檢索和保序加密算法[11]。

5.結語

云計算環境下，數字圖書館數據的存儲安全是圖書館和云服務商必須考慮的問題。文章從云計算環境下數據的生命周期角度，探討了數據的安全和隱私保護所存在的威脅，并給出了相應的應對策略。但是，若要實現云端數據真正的安全，光從技術上保障是遠遠不夠的，只有將嚴格的“云”安全標準和“云”安全監管體系的建設結合起來，并遵守國際通用的“云”安全法律制度，才能真正解決云端數據的安全問題，才能為用戶提供一個真正安全的“云”圖書館[12]。

[1]Top Threats to Cloud Computing V1.0[EB/OL].［2015－07－10］.http://wenku.baidu.com/view/db3506ea81c758f5f61f-67e5.html.

[2]張逢喆.公共云計算環境下用戶數據的隱私性與安全性保護[D].上海：復旦大學，2010.

[3]李清玉.云計算數據安全研究[J].信息安全與通信保密，2012 (12)：62-65.

[4]劉高嵩,張傳昌.網格環境下統一身份認證的研究[J].網絡安全技術與應用，2008(10):19-21.

[5]趙海霞，劉萬國，洛鳳軍.數字圖書館安全的用戶分級研究[J].圖書館學研究，2008(11)：50－52.

[6]GENTRY C.Fully Homomorphic Encryption Using Ideal Lattices[M].New York：Association for Computing Machinery,2009: 169-178.

[7]ATENIESE G,BURNS R,CURTMOLA R.Provable Data Possession at Untrusted Stores://Proc of the 14th ACM Confon Computer and Communications Security(CCS'07)[C].NewYork: ACM,2007:598-609.

[8]JUELS A,Jr KALISKI B S.PORs:Proofs of Retrievability for Large FIles://Proc of the 14th ACM Conf on Computer and Communications Security(CCS'07)[C].New York:ACM，2007: 584-597.

[9]黃永峰，張久齡，李星.云存儲應用中的加密存儲及其檢索技術[J].中興通訊技術，2010，16(4):33-35.

[10]SWAMINATHAN A，MAO Y N，SU G M，et al.Confidentiality-Presving Rank-OrderedSearch://Proceedings of the 2007 ACM Workshop on Storage Security and Survivability(StorageSS'07)[C].New York:ACM,2007:7-12.

[11]AGRAWAL R，KIERNAN J，SRIKANT R，et a1.Order Preserving Encryption for Numeric Data://Proc of the 2004 ACM SIGMOD Int Conf on Management of Data(SIGMOD'04)[C]. New York:ACM,2004:563-574.

[12]周波.基于云計算的圖書館服務模式研究[J].現代情報, 2010(10)：44-47.

Research on Information Security and Privacy Protection of Digital Library’s Data under the Cloud Computing Environment

Wang Jia-Ling,Hao Mei-mei,Sun Min
（Tongling University，Tongling Anhui 244000，China）

In this paper,we proposed a life cycle model of digital library’s data under the cloud computing environment,and analyzed the security threats of digital library’s data under the cloud computing environment at each phase of the life cycle.Then we constructed the framework of information security and privacy protection of digital library’s data under the cloud computing environment,and expound the key technologies of information security and privacy protection policy.

digital library；cloud computing；information security

TP393.083

A

1672-0547（2016）01-0115-03

2015-11-03

王家玲（1983-），女，安徽無為人，銅陵學院圖書館館員，碩士，研究方向：情報文獻學；

郝梅梅（1982-），女，安徽壽縣人，銅陵學院圖書館館員，碩士，研究方向：情報文獻學；

孫 敏（1982-），女，安徽銅陵人，銅陵學院圖書館館員，碩士，研究方向：情報文獻學；