云計算中安全技術強化性研究

楊曉靜，陳明晰，孫 濤

（西安石油大學 計算機學院，陜西 西安 710065）

云計算中安全技術強化性研究

楊曉靜，陳明晰，孫 濤

（西安石油大學 計算機學院，陜西 西安 710065）

云安全中的隱私保護和數據安全是當今的研究焦點，決定了其未來的發展前景。針對云計算安全風險，本研究將橢圓曲線加密技術和高級加密技術高效組合應用于由Hadoop和Cassandra構成的云環境中，在保證數據安全和隱私保護的同時最小化額外開銷，為了保護云安全，文章還應用了MATLAB技術進行軟件開發。

云計算；云安全；橢圓曲線加密；公鑰加密；云存儲；MATLAB

云計算是當今最具活力研究領域，它為用戶提供各種服務，其中一種重要的服務是云存儲。云存儲是指用戶將大量的私人數據存儲在在線的空間。嚴謹地講：云存儲是一種服務模型，在這種模型中用戶通過網絡遠程保存、處理、備份數據。

借助Hadoop存儲數據：Apache Hadoop開發了一個Hadoop應用程序管理云存儲。多個數據塊的副本被創建和分布中一個集群的多個計算節點上從而加訪問算速度。一個橫向擴展的架構利用一組被規劃服務器確保每個服務器承擔更低的內部存取壓力。Hadoop數據被分割成塊分布在整個集群中。Mapreduce涉及映射和集約兩種操作，映射操作輸入密鑰數據對產生中間的密鑰/數據而規約操作將中間密鑰數據對劃分成更小的數據集合。MapReduce很適合大數據的處理。

1 云計算研究背景

云計算通過一些公有、私有的網絡連接很多系統，為應用程序、數據、文件存儲提供基礎設施，具備可伸縮性和動態性，但是存在大量的安全問題。在公共云中常用的加密技術包括高級加密標準（Advanced Encryption Standard，AES）和橢圓曲線加密（Elliptic Curve Cryptography，ECC）。AES：基于替代和置換網絡，是一種對稱加密，相同的密約執行加密和解密操作。ECC是一種公鑰加密方案基于橢圓曲線離散對數問題的困難性。每個用戶擁有公鑰和私鑰，公鑰用于加密和簽名驗證，私鑰用于解密和數字簽名生成。

本研究將橢圓曲線加密技術和高級加密技術高效組合應用于由Hadoop和Cassandra構成的云環境中，實現了公共云中實現數據完整性和高等級的安全。對稱加密如AES，公鑰如ECC。本系統的框圖如圖1所示。

2 系統開發所用技術

云提供者提供數據存取服務，云用戶可以訪問和存取數據。在當前的環境中，由于安全等級較低，數據很容易被第三方和匿名用戶竊取。在本研究中，為了數據的安全加密技術以一種更有效的方式融入。云存儲中加密技術實現數據的完整性驗證，無需可信的第三方認證（The Third Party Authentication, TTPA）。使用橢圓曲線加密提高安全性：Diffie-Hellman和ElGamal的安全性取決于有限循環群中的離散對數。用于公鑰加密的傳統群是Z*p，計算離散對數最常用的方法是指數計算法。RSA加密算法和ElGamal適合于橢圓曲線，各自的變體被稱為橢圓曲線。例如2048位密鑰的RSA算法的安全性可以達到224位橢圓曲線密鑰的安全性。

3 橢圓曲線的設計

圖1 本系統框圖

加密系統包括基于Diffie-Hellman算法的橢圓曲線模擬的方案生成密鑰和基于ElGamal的橢圓曲線模擬的方案用于加密和解密。

橢圓曲線是一條平面曲線，形式如下：

其中X和Y有限域上的元素。文中用到參數含義：E代表了橢圓曲線，P是曲線上的點，生成了一個n階的循環子群E。對于循環子群E，生成元P：

={8，2P，3P，…，（n-1）P}

3.1 密鑰生成

對應Diffie-Hellman公鑰系統，可以通過如下方式在橢圓曲線上予以實現：在E上選取生成元P，要求由P產生的群元素足夠多，通信雙方A和B分別選取a和b，a和b予以保密，但將aP和bP公開，A和B間通信用的密鑰為abP，這是第三者無法得知的。

加密：將明文m嵌入到E上Pm點，選一點B∈E，每一用戶都選一整數a，0＜a＜N，N為階數已知，a保密，aB公開。欲向A送m，可送去下面一對數偶：［kB，Pm+k（aAB）］，k是隨機產生的整數。A可以從kB求得k（aAB）。通過：Pm+k（aAB）- k（aAB）=Pm恢復Pm。同樣對應DSA，考慮如下等式：

K=kG [其中K，G為Ep（a，b）上的點，k為小于n（n是點G的階）的整數]

不難發現，給定k和G，根據加法法則，計算K很容易；但給定K和G，求k就相對困難了。點G稱為基點（base point），k（k

使用ECC，不同的會話分享不同的密鑰，因此入侵者不可能追蹤數據。因此安全性能高且密鑰發散問題得到保證。

3.2 設計實現

云系統中安全傳輸，利用Hadoop工具初始化云存儲器（例如超過1T的數據。當用戶1訪問存儲在云環境中的數據，需要發送用戶憑證（用戶名，id，密鑰）。

圖2描述了應用AES技術完成身份驗證。應用Cassandra工具，創建授權數據庫保存ID，用戶名和密鑰。

圖2 使用AES技術技能型加密認證

用戶1希望訪問存儲在Hadoop中的信息，集中式認證中心驗證數據庫中用戶身份憑證。如果用戶的身份憑證和授權數據庫中的信息匹配，如圖3所示，給集中式認真中心反饋”yes”。集中式認證中心接受用戶訪問數據。

圖3 表示應用Cassandra工具創建授權數據庫

圖4描述一旦認證成功，應用ECC加密在用戶和集中式認證中心之間傳送的信息。圖5顯示，一旦認證不成功，應用ECC通信將被拒絕。

圖4 應用ECC安全通信

圖5 拒絕黑客

表1描述了應用ECC對不同長度的數據加密和解密時間，圖6描述了加密時間和解密時間的關系。

表1 應用ECC對不同長度的數據加密和解密時間

4 結語

在由Hadoop和Cassandra組成云環境中。通過使用AES技術在用戶和授權數據庫之間認證用戶真實身份。一旦認證成功，使用橢圓曲線加密在技術在用戶和認證中心之間通信。這種加密方案強化數據安全性、保護用戶隱私，但同時安全開銷較小。實際應用也證實這是一種高效安全的加密方案。

圖6 加密時間與解密時間關系

[1] DEVI D, ARUN P S.A Design for secure data sharing in cloud[J].International Journal of Engineering Research and General Science, 2014（5）：72-77.

[2]XIAO C Y, ZENG G L, HOON J L.An Efficient and Secured Data Storage Scheme in Cloud Computing Using ECC-based PKI[J]. International Conference on Applied Chemistry and Chemical Engineering，2014（10）：523-527.

[3]POOJA H P, NAGARATHNA N. Privacy Preserving Issues and their Solutions in Cloud Computing[J].International Journal of Computer Science and Information Technology, 2014（2）：1588-1592.

[4]洪澄，張敏，馮登國. AB-ACCS：一種云存儲密文訪問控制方法[J].計算機研究與發展，2010（Z1）：47.

Research on security strengthening property of technology in cloud computing

Yang Xiaojing, Chen Mingxi, Sun Tao
（Computer Science College of Xi’an Shiyou University, Xi’an 710065, China）

Privacy protection and data security in the cloud security is the focus of today’s research, to determine its future development prospects. Based on cloud computing security risk, this study applied elliptic curve encryption technology and advanced encryption technology efficient combination to the in the cloud environment composed of Hadoop and Cassandra, to ensure data security and privacy protection while minimizing the overhead, in order to protect the security of cloud, the application of the MATLAB technology is carried on the software development.

cloud computing; cloud security; elliptic curve cryptography; public key encryption; cloud storage; MATLAB

楊曉靜（1972— ），男，陜西西安；研究方向：云計算，網絡安全。