安全云存儲系統綜述

王國慶

【摘 要】隨著云計算的流行，云存儲也得到了廣泛的關注和支持。但云存儲自身的數據安全問題成為制約云存儲發展的障礙。本文首先介紹了云存儲系統的安全需求，然后總結了現有安全云存儲系統中的一些關鍵技術，最后指出了安全云存儲系統未來的研究方向。

【關鍵詞】云存儲；安全云存儲系統；數據安全

0 引言

隨著計算機技術的飛速發展，信息量呈現爆炸式增長趨勢，面對急劇膨脹的數據量，企業需要不斷購置大量的存儲設備來應對不斷增長的存儲需求。然而，這似乎并不能從根本解決問題。首先，存儲設備的采購預算越來越高，大多數企業難以承受如此巨大的開支。其次，大量的異構物理存儲資源大大增加了存儲管理的復雜性存儲資源的利用效率不高。在這種需求下，具有超大容量、高通用性和高擴展性的云存儲技術脫穎而出。但是由于云存儲自身的數據安全問題，很多用戶仍然不愿意將重要數據放在“云”中。如果要使云存儲得到真正的普及，云存儲安全是必須要解決的關鍵問題之一。

1 云存儲系統的安全需求

云存儲（Cloud Storage）中的安全需求分為以下三個方面：

1.1 數據的安全性

數據安全是云存儲系統中最重要的安全需求之一。云存儲系統中數據的安全性可分為存儲安全性和傳輸安全性兩部分，每部分又包含機密性、完整性和可用性3個方面。由于云存儲中所有硬件均非用戶所能控制，云存儲具有不可控制性。因此，如何在存儲介質不可控的情況下提高數據的可用性是云存儲系統的安全需求之一。

1.2 密鑰管理分發機制

一直以來，數據加密存儲都是保證數據機密性的主流方法。數據加密需要密鑰，云存儲系統需要提供安全高效的密鑰管理分發機制保證數據在存儲與共享過程中的機密性。

1.3 其他功能需求

由于相同密文在不同密鑰或加密機制下生成的密文并不相同，數據加密存儲將會影響到云存儲系統中的一些其他功能，例如數據搜索、重復數據刪除等，云存儲系統對這些因數據加密而被影響的功能有新的需求。

2 安全云存儲系統的關鍵技術

為了保證安全云存儲系統的正確性和高效性，不同系統的設計者往往會根據自己系統的特征，為系統添加一些特定的解決方案，這些解決方案便稱為安全云存儲系統中的關鍵技術。在不同的系統中所使用的關鍵技術也不盡相同。現有的云存儲系統中所使用到的關鍵技術大致可分為以下幾類：

2.1 安全、高效的密鑰生成管理分發機制

在安全云存儲系統中，數據加密存儲是解決機密性問題的主流方法。數據加密時必須用到密鑰，在不同系統中，根據密鑰的生成粒度不同，需要管理的密鑰數量級也不一樣。若加密粒度太大，雖然用戶可以很方便地管理，卻不利于密鑰的更新和分發；若加密粒度太小，雖然用戶可以進行細粒度的訪問權限控制，但密鑰管理的開銷也會變得非常大。現有的安全云存儲系統大都采用了粒度偏小或適中的加密方式，在這種方式下系統將會產生大量密鑰。如何安全、高效地生成密鑰并對其進行管理與分發是安全云存儲系統中需要解決的重要問題。

2.1.1 密鑰的生成機制

密鑰生成關鍵在于如何減少需要維護的密鑰數量和能夠高效處理密鑰的更新。目前的安全云存儲系統所采用的密鑰生成機制主要有：隨機生成，數據收斂加密，通過特殊計算生成三種方式。

2.1.2 密鑰的管理機制

目前的安全云存儲系統大都采用分層密鑰管理方式，其基本思想是將所有的密鑰以金字塔形式排列，上層密鑰用來加密/解密下層密鑰。這樣層層加密后，用戶只需要管理位于金字塔尖的密鑰，其他的密鑰均可以放在不可信的環境中，大大提高了用戶的方便性。

通過分層密鑰管理的方式，安全云存儲系統中的眾多密鑰可以被高效地組織起來，在保證數據私密性和完整性的同時，能夠大量減少用戶在密鑰管理方面的開銷，提高系統的效率，也有利于用戶身份認證、訪問授權等功能的安全實現。

2.1.3 密鑰的分發機制

安全云存儲系統大都具有共享功能，從而有了密鑰分發的需求。安全云存儲系統中的密鑰有以下三種分發方式：通過客戶端進行分發，密文形式通過云存儲進行分發，通過第三方機構進行分發。

2.2 基于屬性的加密方式

基于屬性的加密方式是以屬性作為公鑰對用戶數據進行加密，用戶的私鑰也和屬性相關，只有當用戶私鑰具備解密數據的基本屬性時用戶才能夠解密出數據明文。但是，目前基于屬性的加密方式的時間復雜度都很高，因此在安全云存儲系統中的應用并不廣泛。如果基于屬性的加密方式的時間復雜度能夠降低，未來的安全云存儲系統中一定會廣為使用這種新的加密機制。

2.3 基于密文的搜索方式

一些云存儲系統中添加了數據搜索的機制，使得用戶可以高效、準確地查找自己所需要的數據資源。在安全云存儲系統中，為了保證用戶數據的機密性，所有數據都以密文的形式存放在云存儲中，由于加密方式和密鑰的不同，相同的數據明文加密后所生成的數據密文也不一樣， 因此無法使用傳統的搜索方式進行數據搜索。

2.4 基于密文的重復數據刪除技術

在一般的云存儲系統中，為了節省存儲空間，系統會采用一些重復數據刪除技術來刪除系統中的大量重復數據。但是在安全云存儲系統中，與數據搜索問題一樣，相同內容的明文會被加密成不同的密文，因此也無法根據數據內容對其進行重復數據刪除操作。比密文搜索更困難的是，即使將系統設計成服務器可以對重復數據進行識別，由于加密密鑰的不同，服務器不能刪除掉其中任意一個版本的數據密文，否則有可能出現合法用戶無法解密數據的情況。

目前對數據密文刪冗的研究仍然停留在使用特殊的加密方式，相同的內容使用相同的密鑰加密成相同的密文階段，并沒有取得實質性的進展。因此，如何在加密方式一般化的情況下對云存儲中的數據進行刪冗是安全云存儲系統中的一個很有意義的研究課題。

3 總結與展望

云存儲是當今存儲技術發展的一個必然趨勢，但其安全問題成為云存儲發展的障礙。因此安全云存儲系統是云存儲領域中的一個重要研究方向。未來安全云存儲系統的研究方向是在保證用戶數據和訪問權限信息安全的前提下，盡可能地提高系統效率。目前安全云存儲系統在密文的搜索、重復數據刪除等功能的支持上仍有待加強。但是云存儲安全不單單是技術問題，還涉及到標準化、管理模式、法律法規等諸方面的問題。需要學術界、產業界以及政府相關部門共同努力才能實現。

【參考文獻】

[1]馮登國，等.云計算安全研究[J].軟件學報，2011，22（1）：71-83.

[2]Rafaeli S，David Hutchison D.A survey of key management for secure group communication[J].ACM Computing Surveys，2003，35（3）：309-329.

[3]黃永峰，等.云存儲應用中的加密存儲及其檢索技術[J].中興通訊技術，2010，16（4）：33-35.

[4]侯清鏵，武永衛，鄭緯民.一種保護云存儲平臺上用戶數據私密性的方法[J].計算機研究與發展，2011，48（7）：1146-1154.

[5]馮朝勝，秦志光，袁丁.云數據安全存儲技術[J].計算機學報，2005，38（1）：150-162.

[責任編輯：田吉捷]