大數據云計算環境下如何保證數據安全

文 / 趙瀟 楊建飛，中國電子科技集團公司電子科學研究院

大數據云計算環境下的數據量大且結構復雜，云計算利用虛擬化技術進行資源的動態切割和分配，滿足用戶的不同需求交付服務，為社會發展提供全新的視角，然而，機遇與挑戰是并存的，要重視和加強大數據云環境下的數據安全，確保網絡環境中的數據信息受到嚴格的保護，避免對數據信息的惡意篡改、破壞、泄露和竊取，全面做好數據信息的機密性、完整性和真實性、安全性保護。

1 云計算服務中的數據安全保護

云計算服務主要包括有以下類型，即：基礎設施即服務、平臺即服務、軟件即服務，其關鍵技術支持主要是集群技術、網格技術、分布式文件系統，有效保證存儲基礎設施、應用和服務的高效協同集成，實現最佳的數據訪問。同時，云計算服務采用存儲虛擬化技術，將存儲基礎設施完全虛擬化為一個存儲資源池，實現對硬件資源的高效整合。

1.1 底層硬件設施層安全保護。底層硬件設施層能夠為高層應用提供全面的資源服務，如：數據存儲、數據訪問、數據運算等，主要采用加固技術和虛擬化技術加以實現。其中：加固技術通過主動性模式進行底層硬件設施層次的物理設備的監督和管理，包括存儲設備物理參數、存儲設備災難恢復策略、存儲設備物理軟硬件升級等，確保物理設備的安全。虛擬化技術要重點考慮鏡像文件的安全，可以設計和應用一種鏡像文件管理系統，對底層硬件設施層的鏡像文件進行監管，避免數據泄露或非法訪問的問題。

1.2 基礎管理層安全保護。要做好基礎管理層的外部防御，抵御來自云計算服務供給系統外部的安全攻擊，如：非法入侵、拒絕服務攻擊等，構建完善的文件/日志管理機制，對底層硬件設施層配置必要的數據加密程序，并做好數據備份服務和數據容災措施，確保云計算服務的連續性和安全高效性。同時，還要做好基礎管理層的內部防范，可以制定服務水平協議，對云計算服務供給系統的服務實施實時監管和控制，較好地滿足數據用戶的服務質量要求。

1.3 應用訪問層安全保護。應用訪問層是云計算服務系統與外界交互的通道，要充分考慮數據用戶接入時的身份創建、注銷、認證等服務，約束數據用戶的服務訪問，體現云計算服務隔離性的安全優勢。

2 云計算服務中基于MB-tree的數據完整性保護

在大數據云計算服務之中，可以采用MB-tree樹型查詢認證的方式加強數據完整性保護，該功能主要快速定位被檢驗的數據信息文件分塊，采用高效的方法檢驗數據信息文件分塊的真實性和完整性，采用健壯信息分割或秘密共享的方式，進行數據信息文件分塊重組，具體包括有：快速檢索并獲取數據信息文件分塊信息；進一步驗證數據信息文件分塊的完整性，快速地進行大規模數據信息文件的查詢認證，確保檢驗過程的快捷存儲和快速計算。

同時，還要對數據動態操作提供支持和數據動態變化后的完整性檢驗保障，通過修改、插入、刪除等方式實現數據信息文件的動態操作，具體步驟包括有：數據信息文件分塊預處理、定位數據信息文件分塊、數據信息文件分塊動態操作憑證、動態操作后數據信息文件分塊完整性檢驗，較好地符合云存儲應用場景的需求。

3 大數據云計算服務中的數據信息機密性保護

采用數據加密技術、重復數據刪除技術，保護大數據云環境下數據信息的機密性保護，確保大數據云計算環境下的數據安全。

3.1 公鑰基礎設施PKI和基于身份的加密IBE。可以采用一種遵循標準的非對稱密碼算法提供安全服務，并采用基于身份的加密技術和方法，由表征數據用戶身份的任意字符串直接計算獲取所需的公開密鑰信息，使數據用戶進行消息加密或驗證。具體流程包括有：建立加密解密系統；提取私有密鑰；加密操作；解密操作，繼而又提出和設計一種分層的基于身份的加密方案（HIBE），復制主私鑰生成器PKG的私鑰信息，傳遞至下層的從私鑰生成器PKG，降低單一私鑰生成器PKG的工作負荷，確保私鑰信息不被泄露。

3.2 基于Fuzzy IBE機制的數據用戶身份信息隱私保護。基于模糊身份加密的機制在云計算服務環境中應用增多，然而難以避免技術性缺陷和其他問題，存在身份信息泄露的風險。為此要引入隨機掩碼技術，改變基于模糊身份機制的密文結構，確保數據用戶身份描述信息的隱私。

4 云計算環境中基于可信環境的虛擬機及虛擬可信平臺遷移方法

大數據云計算服務基礎設施是數據存儲的載體，不可忽視數據用戶與云計算服務提供商之間的透明與安全問題，要以虛擬化、可信計算等技術為支撐和依托，實現云計算環境中的數據存儲、數據處理和資源共享等操作。

4.1 虛擬化技術。虛擬化是一種抽象性的技術，在物理設備硬件和操作系統之間抽象出一個中間層次，使物理資源轉變為獨立的虛擬資源，應用程序執行環境由真實的物理設備遷移至中間層次之中，為不同用戶提供相應的服務。

4.2 可信計算技術。考慮到虛擬化系統中存在身份管理、訪問控制、安全存儲、完整性度量等問題，為此要采用可信計算技術，為數據信息的安全存儲和敏感信息保護提供物理硬件設施的支持，對系統所有用戶進行嚴格認證和授權。

綜上所述，大數據云計算環境下的數據信息安全保護是關注焦點和重大研究課題，要面對數據信息存儲量日趨增長的態勢，加強數據信息的存儲完整性保護、私密性保護和基礎設施安全保護，確保大數據云計算環境下服務的穩定供給和支持，滿足不同用戶的實際應用需求。后續還要利用數據結構或高效模型組織和管理大規模的數據信息文件，引入非交互模式機制和方法實現數據信息的傳遞和共享。