基于云計算的大數據存儲安全的研究

王猛

摘 要：隨著云技術的發展和進步，人們將更多數據資料存儲于云平臺，用戶對云服務進行選擇時，需要對云存儲和云計算安全性方面的問題進行考慮。本文對云計算大數據存儲安全方面的內容進行研究，對數據加密、大數據完整性校驗、云端安全接入等大數據存儲安全的相關技術進行闡述，希望為云計算下的大數據存儲安全方案的制定和技術應用提供一定可供參考的建議。

關鍵詞：云計算 大數據 存儲安全

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2017）08（b）-0138-02

隨著云計算水平的逐漸提升，大數據處理及存儲方面工作可以更加順利地開展，為用戶對不同終端進行操作和數據的處理帶來更多方便。但是數據安全問題的出現對其發展產生一定影響，數據冗余過多、丟失以及竊取一類的問題為企業及用戶利益造成負面影響。本文對基于云計算的大數據存儲安全相關內容及技術進行研究分析，以供技術人員進行參考。

1 大數據完整性校驗研究

對數據進行使用、傳輸以及存儲時，保證數據不被非法篡改是保持數據完整性的重要內容，進而使信息內外保持一致。當大數據在云端進行存儲時，可能受到竊取、非法接入等方面的威脅，自身完整性同樣受到影響：其一，云計算中心出現元數據丟棄和錯誤的問題；其二，用戶進行備份存儲時存在較多的冗余，對數據一致性造成影響，由此可見完整性校驗技術的應用非常必要。

過去對云存儲進行完整性校驗時，用戶需要進行本地操作，通過計算和設置哈希值為上傳的文件提供更多保護，哈希值存儲于本地后向云存儲服務器上傳文件，待完成完整性的驗證工作之后，對整個文件進行下載，將原有的哈希值和新計算出的值進行對比，完成驗證工作。此技術具有穩定和簡單的優勢，但是與大數據環境下的存儲安全工作并不相符，基于此，技術人員需要對數據量較大的情況進行考慮，避免每次進行下載時加重鏈路負荷，對檢測效率造成影響。技術人員需要對整個數據復制方面的工作進行避免，最終實現遠程完整性校驗，通常情況下將此項技術分成PDP與POR兩種[1]。

在可取回性證明中，需要對挑戰應答模式進行應用，通過編碼糾錯和“哨兵”（帶密鑰哈希函數生成的哨兵）的插入對其進行處理，驗證工作對哨兵數量提出一定要求，對哨兵完整性的檢驗文件的完整性，同時根據編碼糾錯能夠在一定程度上對文件的取回提供幫助。該技術能夠避免大量數據的復制，同時哨兵方面的存儲量成本較低，挑戰應答模式也無需進行過多的計算。在POR思想指導下，能夠對層次架構進行調整，借助挑戰應答方式和二維RS編碼進行完整性保護。文件數據產生認證元，在挑戰響應時期，仿照隨機方式進行部分數據塊的抽取，借助認證元的檢驗對數據完整情況進行了解，但是此方式導致服務器存儲開銷增加。“L-POR”算法能夠通過可靠第三方對數據可取回性進行檢查，在損壞至一定程度便可以對數據恢復操作進行執行，最終通過認證信息的直接插入對額外認證元數據開銷進行控制[2]。通過冗余的降低、檢驗機制和數據實時更新的方式，能夠實現存儲效率的改善，并且能夠使數據保持較好的一致性，服務器承受的壓力及存儲負荷較小。

2 云端安全接入研究

與傳統數據關系有所不同，云計算下數據擁有者和云服務提供者出現角色功能分離的情況，通常商業機構提供云服務，并且結構并不包含在信任范圍內，傳統認證方式無法達到安全接入需要，此時人們提出可靠安全接入模型，用戶發送相應的數據請求，獲取證書及密鑰后進行云端接入，但是此方式需要要求數據擁有者一直在線，在通信受限的情況下無法提供服務。基于此人們設計優化方案對其進行處理：數據擁有者具有“能力表”，對用戶操作權限方面進行存儲，用戶接入時對其是否處于能力表中進行判斷，若未在其中便將其視為不可信，對其接入進行拒絕，相反需要為用戶提供反饋信息，例如密鑰等。數據擁有者的加密操作能夠避免將信息泄露至云端，并且在離線情況下同樣可以提供服務。

此外，代理重加密和屬性加密組合的方式同樣能夠打破“永遠在線”方面的限制，云端完成私鑰分配及更新一類的工作，主機負擔有所減少；此外還可以站在客戶端方向對云計算的安全域進行定義，提供共享數據方案；基于Merkle哈希樹對控制策略進行制定，能夠使TPM性能有所提升，通過量化方式對用戶信任度進行了解，通過數學公式能夠統計動態的信任度，然而因證書頒發機制及加密方面的欠缺導致僅可將該技術應用于私密度較小的大批文件接入控制工作中[3]。

數據擁有者對接入請求的檢驗和反饋方式對存儲安全影響極大，在線情況下能夠對安全接入進行控制，然而由于密鑰更新、大量分配等工作為主機帶來較重的負荷，無法在通信受阻情況下進行服務。在第三方云服務器下通過接入控制能夠減少主機負擔，同時輔之以重加密技術能夠防止泄露問題，然而此技術的動態性較差，靈活性不高，不能迅速對數量較多新用戶的接入請求進行滿足，因此需要結合私密等級和管理模式對控制技術進行科學選取，為網絡效率及接入安全提供更多保障。

3 數據加密研究

不可信第三方的云計算平臺中，服務器的故障會導致數據泄露的問題，此外非法接入同樣導致數據篡改及竊取等方面風險提升。基于此需要通過拆分和加密方式的處理，之后對其進行上傳，下載時需要解密，即使出現丟失的情況也不會對真實信息進行泄露，例如基于代理及屬性的加密等：首先，KP-ABE及CP-ABE便是基于屬性數據加密策略的典型代表，前者通過樹結構描述訪問的方式進行處理，在Ac（密文及屬性集）符合Au（樹的葉節點集）方可進行解密；后者密文通過樹結構描述方式進行處理，信息發送者能夠對用戶控制方案進行確定，當Au符合方案規定方可解密[4]。通過證書代理重加密技術中的雙線性配對技術，能夠對密文及沖突攻擊進行抵御，并且不存在證書頒發管理方面的麻煩，泄密的風險較少，因此可對此技術進行合理應用。

構建秘密共享技術下的云計算安全模型，某些需要可信第三方的支持，某些則不需要。上述技術延展性極佳，即使處于復雜的多服務器條件下依舊具有較高的安全性及效率。此外通過比特交錯文件系統能夠對文件進行拆分，在提高存儲安全的同時能夠使輸入輸出吞吐速率大幅度提升。另外，基于三維空間拆分置亂的云災難數據機密性保護技術ESSA同樣可以通過置亂、映射以及拆分等操作對數據進行處理，借助結構恢復的復雜性為存儲安全提供保障，避免向云系統工作人員及攻擊者泄密。根據各類數據機密等級、云架構模型以及共享模式，技術人員可以應用各類加密技術，提高存儲安全的同時能夠對網絡資源進行科學合理的分配。

4 結語

通過對原始數據的置亂拆分和加密，人們便可以將其上傳云端，此時云計算中心便能夠儲存相應的密文，在用戶需要提取數據時，通過云端接入的方式對密文進行下載，并且通過相應的解密處理對其進行使用，可見大數據存儲安全受到接入安全及原始數據存儲安全的重要影響。云計算下能夠對安全模型進行建立，減少數據被竊取和平臺篡改問題的出現，校驗的方式能夠減少冗余及數據誤刪等問題，為大數據存儲安全提供更多保障。

參考文獻

[1] 洪漢舒，孫知信.基于云計算的大數據存儲安全的研究[J].南京郵電大學學報：自然科學版，2014，34（4）：26-32，56.

[2] 何明，陳國華，梁文輝，等.物聯網環境下云數據存儲安全及隱私保護策略研究[J].計算機科學，2012，39（5）：62-65，90.

[3] 楊凱，辜季艷.云計算環境下數據存儲安全的關鍵技術研究[J].無線互聯科技，2016（16）：103-104.

[4] 楊照峰，張睿哲，趙偉艇，等.基于多Agent系統架構的云數據存儲安全框架[J].云南民族大學學報：自然科學版，2014，23（4）：281-285.endprint