基于云計算的大數據存儲安全研究

劉海鯤 姜雪玲

摘? ?要：信息時代的數據量龐大，云平臺憑借自身獨特優勢，為用戶數據資料存儲提供了網絡技術服務，但對云計算與云存儲的安全問題提出了更高要求。為確保大數據存儲安全，提出了云端安全接入技術與數據加密技術等存儲安全相關技術。本文主要對基于云計算的大數據存儲安全相關技術展開分析，希望對云服務水平提升起到積極參照作用。

關鍵詞：云計算? 大數據存儲? 安全技術

中圖分類號：TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）11（c）-0141-02

云計算數據存儲涉及數據管理與存儲兩方面，存儲安全涉及安全審計、數據加密存儲與認證服務等方面，主要目的是加強數據信息保密性。云服務中的安全管理技術模塊，能夠為主用戶權限與信息，杜絕越權訪問等情況出現，保護用戶數據安全，為云用戶營造良好使用環境。在此過程中，云服務提供商貫徹日志審核機制，跟蹤審核日志信息，即使對安全隱患做出響應，切實保障數據存儲安全。

1? 云端安全接入技術分析

1.1 基于用戶能力的接入模型

云計算中與傳統數據關系不同，云服務提供者、數據擁有著相互獨立，前者由商業機構承擔。同時云存儲安全接入要求更高，涉及到驗證機制，以往的認證方式儼然不能滿足要求。云存儲的介入過程繁瑣，涉及加密解碼與鑒權等操作。從安全接入模型入手分析，用戶與云服務提供者之間，存在下載數據與認證的相互關系;用戶與數據擁有者之間，存在接入請求與頒發密鑰/證書的相互關系;而數據擁有者只需向云服務提供者上傳數據。該模型的接入相對可靠，但要求數據擁有者始終處于在線狀態，避免通信受限無法安全接入。針對于這一弊端提出了基于用戶能力的接入模型解決方案，數據擁有者制作用戶能力表，存儲用戶操作文件的權限，文件加密后由云服務器保管。接入用戶后服務器根據用戶身份操作。不處于能力表范圍內的用戶拒絕接入。對在能力表范圍內的用戶反饋用戶信息，包括文件解密密鑰。數據擁有者可處于離線狀態，只需定時更新能力表即可。

1.2 其他接入方案

除此之外，還包括以下幾種接入方案;一是綜合代理重加密、屬性加密的接入方法，云端負責分配用戶私鑰的工作，主機工作量隨之減少。二是運用可信平臺模塊實現接入。從移動設備特征入手，定義云計算安全域后，提出共享各移動系統數據的方法。三是運用Merkle哈希樹實現接入。改進TPM性能的同時，量化并動態統計用戶的信任度，但受到加密機制等因素限制，該方法主要用于控制保密要求低與大批量的文件接人。四是利用生成樹方法實現接入。生成樹由用戶身份的允許接入與禁止接入、可選擇接入三枝節構成，接入方案的靈活度提高，數據擁有者對用戶接入的管理更加方便。五是通過多個鑒權 中心方法實現接入，引入一個鑒權中心與多個屬性鑒權點，鑒權中心負責注冊用戶身份，而屬性鑒權點向用戶接入密鑰與分配證書，解決多重用戶身份問題，最終實現數據共享[1]。

1.3 云端安全接入方案

云存儲接入安全程度，直接受數據擁有者驗證用戶接入需求，以及反饋方式等因素影響。線上控制安全接入的同時，大量密鑰更新與分配工作，將逐漸增加主機負擔，主機通信功能受限后，用戶數據共享要求將得不到滿足。引入云服務器后，主機工作壓力減少。同時引入云端重加密技術，強化了第三方安全性，但缺乏靈活可靠性，無法短時間內處理完用戶接入需求問題;對此，數據擁有者需要按照數據私密度與管理模式，合理選擇云端接入控制方式，確保安全接入的同時，進一步提高網絡優化成效。

2? 數據加密技術分析

云端接收到上傳的數據后，容易受到云計算平臺服務器故障與云平臺被非法接入等方面的安全威脅。對此，需向云端上傳拆分與加密后的數據。用戶下載數據并解密后使用，即使出現數據傳輸丟失現象，也不會出現信息泄露問題。當前加密對策包括基于代理加密、屬性加密兩種。同時基于密鑰與密文的屬性加密對策也多有不同，前者以樹結構描述訪問方式為主，用戶要想解密密文，需Ac（用戶屬性集）滿足Au（樹的葉節點集合）。后者也以樹結構描述訪問方法為主，用戶要想解密密文，需Au（樹的葉節點集合）滿足Ac-cp（密文屬性集）采用ABE方法實現的數據加密技術，在應用過程中技術弊端逐漸顯現，即針對于多種屬性的用戶，由于掌握以往的密鑰，數據泄露風險隨之加大。采用綜合XAC-ML協議、基于密鑰屬性加密算法的加密方案，通過非單調接入體系提高數據加密安全程度，但隨著密鑰生成，運算負荷隨之加大。采用綜合同態加密算法、和基于密文屬性加密算法的加密方案，利用前者算法加密明文，再用后者算法加密密鑰，最終形成密文與密鑰的集合，用戶下載數據工作量隨之減少。采取和基于密文屬性加密的體系結構，運算負責計算工作，主機運行負荷降低，網絡吞吐量隨之優化。但不能避免復雜屬性環境不適用性的問題。采取代理重加密技術的方法，通過半可信代理人降低數據泄露可能。半可信代理人近似于云平臺角色;對此，可在云計算中植入代理重加密技術的架構，最終制定基于代理重加密技術的云計算加密模型。但不能避免的存在應用局限性，抵抗標識用戶沖擊能力弱。為解決這一問題，提出了運用雙線性配對的策略，加大抵制選擇密文與沖突攻擊的能力;除此之外，簡化了證書分發管理這一步驟，密鑰傳輸泄露問題得以規避。在現代信息技術發展帶動下，數據加密技術逐漸呈現多樣性，包括基于ESSA方法、基于SCC模型、比特交錯文件系統等數據加密策略，但在使用加密方法時，還需根據數據共享模式與數據機密等級等要素合理選擇[2]。

3? 大數據完整性校驗技術分析

大數據完整性校驗技術分為可取回性證明方法與數據持有型證明方法兩類，前者以挑戰應答模式為主，驗證者糾錯文件編碼后，在文件中插入由哈希函數生成的哨兵，根據哨兵返回完整性的驗證結果，了解文件的完整性，根據糾錯編碼概率確保文件可取回。在其基礎上，提出了云存儲層次構架、輕量級的數據可取回性證明算法等校驗對策，解決了算法插入引起的存儲開銷等問題。后者也以挑戰應答模式為主，可參照指定比例，檢測外包數據中超出比例的損壞數據。在其基礎上，提出了數據持有性代理證明等驗證技術對策。除運用檢驗機制外，還需加強數據更新與減少冗余數據操作，以減少服務器存儲負擔，如采用優化數據動態性方法、減小數據冗余度方法、引入數據去重架構解決云端數據重復問題的方法等，最終刪除重復數據，增強數據統一性。

4? 結語

基于云計算的大數據存儲安全要求較高，為滿足安全存儲原始數據、用戶接入安全、降低數據加密風險、保證數據完整性等要求，應當積極借鑒國內外設計經驗，進一步優化基于數據流的云存儲服務模型以及存儲安全模型，實現云計算安全技術的功能與應用價值最大程度發揮。未來還需解決加密安全與監管模式、體系標準化等方面的問題，從而實現云存儲機制的完善，以及數據分享的安全性與便利性。

參考文獻

[1] 李佳，徐勝超.基于云計算的智能電網大數據處理平臺[J].計算機工程與設計，2018，39（10）：81-87.

[2] 何燕燕.云計算下非結構化大數據存儲系統設計[J].信息與電腦：理論版，2018，410（16）：59-60.

[3] 牛俊祝.大數據下云計算技術在計算機網絡安全存儲中的應用[J].信息與電腦：理論版，2019（15）：202-203，206.