云計算數據安全機制研究

張宇航

摘 要

云計算成為當前最熱門新興技術，云計算資源對各行各業有非常重要的作用不論是第三方商家提供的公有云，還是企業自己搭建私有云，云技術越來越受到企業的青睞。隨著云存儲的廣泛使用，云存儲中的數據安全問題，如數據泄漏、數據篡改，也成了用戶廣泛關注的問題。因此，本文首先通過分析云計算整個過程中各個階段相關的數據安全和隱私保護；其次，闡述現有的數據安全的解決方案；最后，本文介紹未來關于云計算的數據安全和隱私保護問題的研究工作。

【關鍵詞】云計算 數據安全 隱私保護

1 引言

云存儲是云計算技術的延伸和發展，是指通過集群應用、網格技術或分布式系統等將網絡中大量各種不同類型的存儲設備通過應用軟件結合起來協同工作，共同對外提供數據存儲和業務訪問功能的系統。從最初的云概念的提出到現階段的實際部署應用，云計算技術越來越成熟。如今許多企業，尤其是中小型企業（SMB）的企業，正逐漸意識到通過將他們的應用程序和數據到云的好處。通過云平臺的使用能提高應用開發和部署的效率和效益，并且節約了購買基礎設施的相關成本。

對于云計算模式的定義，使用最廣泛的一種是由NIST提出的“云計算是按需網絡訪問可配置的計算資源共享池的工作模式，實現以最少的管理工作和服務提供商交互快速配置和發布相關應用。隨著企業的業務遷移到云端，傳統的安全機制不再適合于云應用程序和數據。由于云計算的開放性和多租戶的特性，云計算帶來的是信息安全領域的巨大影響：

（1）由于動態可擴展性，服務抽象和云計算模式的位置透明的特點，各種云平臺上的應用程序和數據都沒有固定的基礎設施和安全邊界。在安全漏洞的情況下，這是難以分離具有威脅或已經被入侵的特定物理資源。

（2）根據云計算的服務交付模式，基于資源的云服務可以由多個供應商所擁有。由于存在利益沖突，難以部署一個統一的安全措施。

（3）隨著云和多租戶共享虛擬化資源的開放性，數據可能被其他未經授權的用戶訪問。

（4）由于云計算平臺具有處理海量信息存儲和提供一個快速訪問，云安全的措施必須滿足海量信息處理的需要。

本文首先通過分析云計算整個過程中各個階段相關的數據安全和隱私保護；其次，對云計算中涉及到的數據信息安全部分進行詳細介紹，并對常用的云數據安全模式進行解析；最后，本文介紹未來關于云計算的數據安全和隱私保護問題的研究工作。

2 云計算數據安全相關研究

云存儲是云計算技術的延伸和發展，是指通過集群應用、網格技術或分布式系統等將網絡中大量各種不同類型的存儲設備通過應用軟件結合起來協同工作，共同對外提供數據存儲和業務訪問功能的系統。用戶可以通過云存儲服務將數據保存在云端，也可以通過智能應用從云端實時的獲取存儲的數據。為確保用戶的數據的安全性和私有性，尤其是在不可信的云環境中，數據安全性表現的尤為重要，通常方法是在數據上傳和存儲到云端之前對數據進行加密。在實際應用中，數據加密經常作為一種數據共享的訪問控制機制，其中，終端用戶解密能力是基于相應的訪問控制策略。

如果云存儲提供商（cloud storage provider， CSP）所提供的云存儲環境完全是不可信的，則無法委托進行重加密，因此我們限定CSP是具有一定的可信度的。通常情況下它會按照本文設計的訪問協議，但是不保證在巨大的利益面前與惡意用戶共謀。另外還假定用戶和服務器，授權中心之間的通信通道是安全的。

模型如圖1所示，設A={a_i （1≤i≤n）}代表用戶的屬性集合，用集合S={vi，1 vi，2 …vi，t}來表示ai∈A可以代表的多個值，用戶屬性列表L=[L1，L2，L3…Ln]其中Li∈Si，用戶的身份列表集合B={bi（1≤i≤m）}訪問策略為w=[W1，W2，W3…Wn]，其中Wi∈{Si∪*}（1≤i≤n），其中*代表的是需要隱藏的部分，當屬性列表L滿足訪問策略W時Li=Wi，不滿足訪問策略時Li≠Wi。

首先利用屬性集加密算法設計一個云存儲共享的模型，該模型中總共包括四個實體分別是數據擁有者Owner，授權中心，數據共享者User，云存儲服務商CSP。該模型中總共包括6個步驟，即：

（1）統初始化產生相應的參數；數據擁有者將訪問策略發送至授權中心；

（2）數據擁有者將數據進行加密并發送至云端進行保存；

（3）用戶向授權中心申請訪問權限；

（4）授權中心將發送給共享者密鑰；

（5）共享者向云端從云端下載相應的密文，共享者將下載下來的密文進行解密；

（6）數據擁有者將代理重加密的密鑰發送到CSP來撤銷共享著的權限。

方案的詳細設計，基于屬性加密的云存儲模型如圖1，該模型包括四個實體：數據擁有著（owner）、數據共享用戶（users）、云存儲服務器（CSP）和可信授權中心。由于屬性加密在加密大型文件時的效率不占優勢，為了在云存儲環境中應用性更強，所以owner先采用對稱加密算法將存儲的數據進行加密；然后將對稱密鑰和users的身份信息ID使用屬性加密對其進行加密，以提高整個加密過程的效率，然后將使用屬性加密算法生成的訪問結構上傳到云存儲服務器（CSP）和可信授權中心。Users只有在同時滿足這兩部分訪問結構的時候才能對密文進行解密。本文設定數據擁有著（owner）和共享用戶（users）不會一直在線，云服務器會一直在線提供數據的存儲服務，可信授權中心也會一直在線負責認證等管理工作。該安全方案如圖2所示。

該加密算機制采用公私密鑰的方法來確保云計算的數據安全機制。用戶通過本地生成私有密鑰，結合本地機器（如IP等特征）進行安全信息綁定，實現用戶和私鑰的綁定，云平臺進而將用戶的驗證信息（用戶名及私鑰）保存在云端，下次用戶進行云端訪問，就可以直接進行數據的訪問，通過這種機制保證了客戶的數據安全性。在進行數據的操作，本地客戶端通過私鑰進行數據加密，然后上傳到云端存儲，數字簽名技術對，云端采用數字簽名技術來保證上傳數據的完整性以及數據的不可抵賴性。用戶在從云端獲取相關數據（比如檢索），客戶端首先對數據進行加密然后傳給云端，云端利用同態加密機制，對云端對密文直接執行相關的運算，再將結果回傳給終端用戶。該加密算法系對稱加密算法，相對計算量較小，容易實現，能有效地減低客戶端的負擔，能適應多種云終端環境，如瘦客戶端。方案的缺點主要是數據的體積將變大，增加了網絡傳輸和存儲的開銷。

3 總結和展望

云計算為一種新型的計算模式，給用戶帶來了許多便利，但同時仍有需要解決許多實際問題。根據服務交付模式，部署模式和云計算，數據安全和隱私保護問題是急需解決的關鍵問題。在SPI服務交付模式各個層面和數據生命周期的各個階段都存在的數據安全和隱私問題。在共享數據同時保護用戶的私有信息是當前隱私保護的挑戰。對于數據安全和隱私保護的問題，最根本的挑戰是敏感數據和訪問控制的分離。關于隱私保護的主要任務是隱私數據的識別和隔離，解決方法應該基于云的應用程序的設計過程中加以考慮。據分析上述數據安全和隱私保護問題，期望將有一個綜合全面的安全解決方案，以滿足縱深防御的需要。

參考文獻

[1]Chen D，Zhao H.Data security and privacy protection issues in cloud computing[C]//Computer Science and Electronics Engineering（ICCSEE）， 2012 International Conference on. IEEE，2012（01）：647-651.

[2]Wang C，Chow S S M，Wang Q，et al. Privacy-preserving public auditing for secure cloud storage[J]. Computers，IEEE Transactions on，2013，62（02）：362-375.

[3]Kaufman L M.Data security in the world of cloud computing[J].Security & Privacy，IEEE，2009，7（04）：61-64.

[4]BONEH D，FRANKLIN M.Identity-based encryption from the weilpairing[C]//Advances in Cryptology-CRYPTO01. Berlin：SpringerVerlag，2001：213-229.

[5]SAHAIA，WATES B.Fuzzy identity-based encryption[C]//Advances in Cryptology-EUROCRYPT.Berlin：Springer-Verlag，2005：457-473.

作者單位

本溪廣播電視大學 遼寧省本溪市 117000