互聯網時代云計算數據的安全研究

欒忠祥

摘? 要： 針對在云計算領域數據丟失與泄露產生的損失和影響不斷加劇，研究分析了云計算框架的安全策略，討論常用的數據加密算法。依據云環境的特性，提出了在保證服務質量與數據完整的前提下，對云計算中使用的數據進行加密，同時使用各類工具進行身份驗證，為各類使用者制定相關云計算安全服務體系。在對已有安全保護的技術對比分析和加密算法深入討論的基礎上，指出了云計算中數據安全的未來發展方向。

關鍵詞： 云計算; 云存儲; 數據安全; 隱私保護; 數據加密

中圖分類號：TP309.2? ? ? ? 文獻標識碼：A? ? ?文章編號：1006-8228（2021）04-35-03

Abstract： In the field of cloud computing， the loss and impact resulted in by data loss and data leakage have been increasing. This paper studies and analyzes the security strategy of cloud computing framework， and discusses the common data encryption algorithms. According to the characteristics of cloud environment， this paper proposes to encrypt the data used in cloud computing on the premise of ensuring the quality of service and data integrity， and at the same time， use various tools for identity authentication， in order to formulate relevant cloud computing security service system for all kinds of users. On the basis of comparative analysis of existing security protection technologies and in-depth discussion of encryption algorithms， the future development direction of data security in cloud computing is pointed out.

Key words： cloud computing; cloud storage; data security; privacy protection; data encryption

0 引言

云計算作為21世紀互聯網時代最重要的高新技術之一，引發了全球各大企業對云計算領域的研發，但隨著研究的深入，云計算數據的安全性越來越引起廣泛的重視，研發者開始進軍數據安全領域，著重于數據的隱私保護與加密，提升用戶體驗，打造企業的知名度，同時在國家層面，提高互聯網國際競爭優勢。

在互聯網發展的大環境下，政府部門，企業或者個人用戶將私人信息或者公共信息存入云端，對云計算數據的安全保護顯得尤為重要。當云端數據出現風險時，會導致數據泄露，數據信息不完善，數據冒用等情況，會給個人和機構帶來巨大的經濟損失。但是通過數據安全技術的應用，能夠實現對使用者信息數據的安全保護，提高數據的安全性，大幅度降低信息數據丟失和出錯，可以防止用戶自身的利益或者企業的集體利益受到重創。所以，提高數據的安全性，對數據進行加密保護不僅是項目團隊研發的需要，也是國家實力提升的象征。

同時隨著事物之間的共享，互聯等特性[1]，更要極力保證數據的真實性，可靠性，防止垃圾信息占據過多的公共資源空間，通過將信息安全引入云計算領域，保證網絡環境的將抗，積極向上。

1 云計算框架的安全策略分析

云計算技術主要面臨三大層面的安全威脅：以操作系統等基礎部件為主的基礎設施即服務層（IaaS）[1]，以網絡平臺開發環境和資源為主的平臺即服務層（PaaS）[2]，以軟件實際應用為主的軟件即服務層（Saas）[3]。依據三大層面可將云計算租戶責任和云服務商責任模式劃分如表1所示。

由表1可知：軟件即服務層的數據信息是既是租戶應承擔的責任，同時也是運服務商的負責領域，只有IaaS層的數據信息是租戶負責的。由此，我們針對以上三大層面數據的保障與應用進行詳細探討并對現階段我國在該領域的突破進行說明。

1.1 Joyent智慧云技術在IaaS層的應用

在數據安全方面，Joyent智慧云技術法使root用法戶執行每臺機器管理的同時，無法再去操控操作系統的內核。通過隔離的方式，將內存獨立成一個整體;采用關閉網絡或者使用其他網絡的方式進行網絡隔離;并通過對處理器的隔離操作，阻止網絡的開啟配置任務，并有效阻止流量的探測，保證用戶使用的云應用程序是相互隔離的，由此確保數據的安全性。

1.2 GAE在PaaS層的應用

在數據安全方面，PaaS層的應用必須有具體的客戶標識符，通常由一個鍵值確定，避免與其他用戶的數據信息發生沖突。Google App Engine可以通過虛擬化應用程序，來進行開發和托管，主要針對Web網頁的應用程序。GAE提供了一套幫助機制，幫助用戶獲取互聯網資源并將其保存，也可以使用這套機制發送郵件或者對圖文信息進行操作，同時也有部分使用者用這套機制緩沖數據。此外，開發人員使用該平臺不用考慮內存等難以控制的問題，但GAE對文檔的操作以及數據的應用（如查詢信息）要求嚴格，必須以索引形式進行，而且不支持同時兩個不等式做條件的查詢。針對用戶體驗而談，用戶只需要使用供應商提供的資源，就可以進行開發或者委托管理，解決了硬件設施問題，選擇的委托管理方安全問題以及其他運維資金問題。

1.3 SaaS層數據安全保障與應用

大部分企業選擇使用基于網絡的加密代理方式保證數據的安全。此外，在云計算領域還有兩種常見的數據加密方式：第一種方式是用戶在客戶端發送數據后在本地接收密鑰，系統對數據進行加密并保存在云存儲空間中，密鑰始終在用戶手中;第二種方式是在發送數據之前在本地進行加密。這兩種方式對軟件要求較高且具有很難管理，只有少部分企業使用。

2 云計算數據加密技術的算法研究

研發團隊使用的加密技術，一般是以加密盤或存儲加密為主的加密方式，這類加密技術的工作區域在存儲后端，但從加密位置看，一般分為應用層加密、網關層加密、存儲系統加密和后續研發的加密硬盤技術[4]。這四類加密方式具體信息如表2所示。

因為應用層加密方式在網絡層和存儲系統中是無反應的，所以其兼容性最好，同時也可以保證數據傳輸的安全性。根據以上提到的加密方式相關算法，我們針對常用的用戶在應用層上傳數據的加密技術，通過數字簽名方式的非對稱算法加密技術，以及與對稱加密算法相結合的加密技術進行詳細討論。

2.1 應用層加密

隨著互聯網的發展，以抖音，新浪微博，知乎等軟件越來越得到各個年齡段人的青睞，但用戶在使用中只能控制粗粒度的訪問，無法控制細粒度的訪問，在此層面可以給被關注者細粒度訪問的授權，或者設置密文控制防止權限，同時用戶有選擇地決定應用軟件是否可以使用手機定位信息。此外，可以通過隨機哈希鎖實現RFID的安全保證和數據加密，防止在消費中造成數據泄露。

2.2 數字簽名

在非對稱加密領域，數字信息更能體現數據的真實性和完整性，于是通過數字串形成的數字簽名成為該領域研發較多的技術。對于安全性要求較高的信息數據，一般使用融合數字簽名與其他身份鑒別技術組成身份認證系統，避免使用者的隱私信息泄露或者身份造假，確保數據使用的安全性，目前，通常使用融合二維碼、數字簽名以及人臉識別等技術的身份認證系統[5]。

2.3 對稱加密算法與非對稱加密算法相結合

用戶在使用云計算服務中，無法保證隱私信息是否能得到保護，隨著信息安全研究的深入，研究人員根據對稱密鑰在云計算中適合對海量數據進行加密以及非對稱密鑰具有較高的安全性，得出了兩種算法相結合的方案[6]，實現了運行效率高，安全性能好的數據存儲機制。而兩種算法相結合的使用方法也可以實現算法的最優化，一定程度上可以杜絕非法輸入情況。

3 云計算的安全服務體系

隨著云計算研究的深入，使用者數量的逐漸增加，保證云計算應用中數據安全的服務顯得格外重要，針對現有的云計算安全技術，可以針對用戶對數據安全性的需求等級，將其服務體系分為三種體系：第一種體系是以公共服務平臺類型為主的云計算安全基礎服務體系;第二種體系是以商務應用服務類型為主的云計算安全應用服務體系;第三種體系是以政府軍隊的部分保密機關類型為主的云計算安全軍政服務體系。它們的適用領域及研發難度如表3所示。

由表3可知，在云計算安全服務三大體系，隨著使用者對云環境要求的提升，研發團隊使用的技術難度也逐步提升，由此，我們針對這三類服務體系的服務內容將其進行詳細說明。

3.1 云計算安全基礎服務

云計算安全基礎服務以提高社會公民生活水平為基準，在保證公民信息安全的前提下，實現公民衣食住行方面的便利條件。現階段以阿里云，美團云，攜程云等為廣大公民提供云服務，部分社區實行智慧城市標準，開啟社區云服務，逐步提高居民生活水準。

3.2 云計算安全應用服務

云計算安全應用服務通過設置企業各員工權限，提供云辦公環境，保證員工的辦公效率和公司內部信息的安全性，同時配合高權限者的身份管理，以及公司云監管，云審計，保證了公司的財務透明度。

3.3 云計算安全軍政服務

云計算安全軍政服務通過加密使用者在應用層上傳的數據做出對數據的基本加密，通過數字簽名等非對稱加密算法保證在機關開會期間的數據完整性和可靠性，同時對機關工作人員的身份進行鑒別，并在此基礎上添加對稱加密算法與其結合等方式，保證了政府及軍隊信息的保密性，同時通過多重云監管模式和在職人員的權限設置，保證政務信息不會泄露，每一位使用者不會瀏覽到越過自己權限的信息，保證政務信息的專一性。同時可以防止垃圾信息進入云辦公環境中。

4 結束語

本文提出了在互聯網時代云計算數據的安全保護方案，結合云計算領域數據丟失與泄露產生的損失和影響不斷加劇的問題，基于云計算框架的安全策略分析與數據加密技術的算法研究，實現了以公共服務平臺類型為主的云計算安全應用服務體系和以商務應用服務類型為主以政府軍隊的部分保密機關類型為主的云計算安全軍政服務體系。

本文結合Joyent智慧云技術法對基礎設施即服務層技術分析，GAE在平臺即服務層操作研究以及在軟件即服務層的三種加密方式，重點探討了云計算安全框架的安全技術;根據討論結果對數據加密常用的算法進行詳細研究，通過在網絡媒體授權細粒度訪問以及使用隨機哈希鎖保障RFID的安全是實現在應用層加密，使用非對稱加密方式（如數字簽名）保障身份可靠性和完整性，并結合對稱加密算法提高數據安全性;在此基礎上，針對用戶對數據安全性的需求等級，將其服務體系分為三種體系，提高用戶使用的便利性。對于云空間入侵者竊取挖掘用戶信息的防范對策，可用作后續的研究工作。

參考文獻（References）：

[1] 岳冬利，劉海濤，孫傲冰.IaaS公有云平臺調度模型研究[J].計算機工程與設計，2011.32（6）：1889-1892，1897

[2] 羅軍舟，金嘉暉，宋愛波，東方.云計算：體系架構與關鍵技術[J].通信學報，2011.32（7）：3-21

[3] 林海略，韓燕波.多租戶應用的性能管理關鍵問題研究[J].計算機學報，2010.33（10）：1881-1895

[4] 姜唐.云計算安全之數據加密[J].計算機與網絡，2018.44（18）：52-53

[5] 徐劍，趙英南，田永純，周福才.融合二維碼與人臉識別的會議身份認證系統研究[J].信息網絡安全，2015.4：13-18

[6] 胡光永.基于云計算的數據安全存儲策略研究[J].計算機測量與控制，2011.19（10）：2539-2541