云计算数据安全机制研究

张宇航

摘 要

云计算成为当前最热门新兴技术，云计算资源对各行各业有非常重要的作用不论是第三方商家提供的公有云，还是企业自己搭建私有云，云技术越来越受到企业的青睐。随着云存储的广泛使用，云存储中的数据安全问题，如数据泄漏、数据篡改，也成了用户广泛关注的问题。因此，本文首先通过分析云计算整个过程中各个阶段相关的数据安全和隐私保护；其次，阐述现有的数据安全的解决方案；最后，本文介绍未来关于云计算的数据安全和隐私保护问题的研究工作。

【关键词】云计算 数据安全 隐私保护

1 引言

云存储是云计算技术的延伸和发展，是指通过集群应用、网格技术或分布式系统等将网络中大量各种不同类型的存储设备通过应用软件结合起来协同工作，共同对外提供数据存储和业务访问功能的系统。从最初的云概念的提出到现阶段的实际部署应用，云计算技术越来越成熟。如今许多企业，尤其是中小型企业（SMB）的企业，正逐渐意识到通过将他们的应用程序和数据到云的好处。通过云平台的使用能提高应用开发和部署的效率和效益，并且节约了购买基础设施的相关成本。

对于云计算模式的定义，使用最广泛的一种是由NIST提出的“云计算是按需网络访问可配置的计算资源共享池的工作模式，实现以最少的管理工作和服务提供商交互快速配置和发布相关应用。随着企业的业务迁移到云端，传统的安全机制不再适合于云应用程序和数据。由于云计算的开放性和多租户的特性，云计算带来的是信息安全领域的巨大影响：

（1）由于动态可扩展性，服务抽象和云计算模式的位置透明的特点，各种云平台上的应用程序和数据都没有固定的基础设施和安全边界。在安全漏洞的情况下，这是难以分离具有威胁或已经被入侵的特定物理资源。

（2）根据云计算的服务交付模式，基于资源的云服务可以由多个供应商所拥有。由于存在利益冲突，难以部署一个统一的安全措施。

（3）随着云和多租户共享虚拟化资源的开放性，数据可能被其他未经授权的用户访问。

（4）由于云计算平台具有处理海量信息存储和提供一个快速访问，云安全的措施必须满足海量信息处理的需要。

本文首先通过分析云计算整个过程中各个阶段相关的数据安全和隐私保护；其次，对云计算中涉及到的数据信息安全部分进行详细介绍，并对常用的云数据安全模式进行解析；最后，本文介绍未来关于云计算的数据安全和隐私保护问题的研究工作。

2 云计算数据安全相关研究

云存储是云计算技术的延伸和发展，是指通过集群应用、网格技术或分布式系统等将网络中大量各种不同类型的存储设备通过应用软件结合起来协同工作，共同对外提供数据存储和业务访问功能的系统。用户可以通过云存储服务将数据保存在云端，也可以通过智能应用从云端实时的获取存储的数据。为确保用户的数据的安全性和私有性，尤其是在不可信的云环境中，数据安全性表现的尤为重要，通常方法是在数据上传和存储到云端之前对数据进行加密。在实际应用中，数据加密经常作为一种数据共享的访问控制机制，其中，终端用户解密能力是基于相应的访问控制策略。

如果云存储提供商（cloud storage provider， CSP）所提供的云存储环境完全是不可信的，则无法委托进行重加密，因此我们限定CSP是具有一定的可信度的。通常情况下它会按照本文设计的访问协议，但是不保证在巨大的利益面前与恶意用户共谋。另外还假定用户和服务器，授权中心之间的通信通道是安全的。

模型如图1所示，设A={a_i （1≤i≤n）}代表用户的属性集合，用集合S={vi，1 vi，2 …vi，t}来表示ai∈A可以代表的多個值，用户属性列表L=[L1，L2，L3…Ln]其中Li∈Si，用户的身份列表集合B={bi（1≤i≤m）}访问策略为w=[W1，W2，W3…Wn]，其中Wi∈{Si∪*}（1≤i≤n），其中*代表的是需要隐藏的部分，当属性列表L满足访问策略W时Li=Wi，不满足访问策略时Li≠Wi。

首先利用属性集加密算法设计一个云存储共享的模型，该模型中总共包括四个实体分别是数据拥有者Owner，授权中心，数据共享者User，云存储服务商CSP。该模型中总共包括6个步骤，即：

（1）统初始化产生相应的参数；数据拥有者将访问策略发送至授权中心；

（2）数据拥有者将数据进行加密并发送至云端进行保存；

（3）用户向授权中心申请访问权限；

（4）授权中心将发送给共享者密钥；

（5）共享者向云端从云端下载相应的密文，共享者将下载下来的密文进行解密；

（6）数据拥有者将代理重加密的密钥发送到CSP来撤销共享着的权限。

方案的详细设计，基于属性加密的云存储模型如图1，该模型包括四个实体：数据拥有着（owner）、数据共享用户（users）、云存储服务器（CSP）和可信授权中心。由于属性加密在加密大型文件时的效率不占优势，为了在云存储环境中应用性更强，所以owner先采用对称加密算法将存储的数据进行加密；然后将对称密钥和users的身份信息ID使用属性加密对其进行加密，以提高整个加密过程的效率，然后将使用属性加密算法生成的访问结构上传到云存储服务器（CSP）和可信授权中心。Users只有在同时满足这两部分访问结构的时候才能对密文进行解密。本文设定数据拥有着（owner）和共享用户（users）不会一直在线，云服务器会一直在线提供数据的存储服务，可信授权中心也会一直在线负责认证等管理工作。该安全方案如图2所示。

该加密算机制采用公私密钥的方法来确保云计算的数据安全机制。用户通过本地生成私有密钥，结合本地机器（如IP等特征）进行安全信息绑定，实现用户和私钥的绑定，云平台进而将用户的验证信息（用户名及私钥）保存在云端，下次用户进行云端访问，就可以直接进行数据的访问，通过这种机制保证了客户的数据安全性。在进行数据的操作，本地客户端通过私钥进行数据加密，然后上传到云端存储，数字签名技术对，云端采用数字签名技术来保证上传数据的完整性以及数据的不可抵赖性。用户在从云端获取相关数据（比如检索），客户端首先对数据进行加密然后传给云端，云端利用同态加密机制，对云端对密文直接执行相关的运算，再将结果回传给终端用户。该加密算法系对称加密算法，相对计算量较小，容易实现，能有效地减低客户端的负担，能适应多种云终端环境，如瘦客户端。方案的缺点主要是数据的体积将变大，增加了网络传输和存储的开销。

3 总结和展望

云计算为一种新型的计算模式，给用户带来了许多便利，但同时仍有需要解决许多实际问题。根据服务交付模式，部署模式和云计算，数据安全和隐私保护问题是急需解决的关键问题。在SPI服务交付模式各个层面和数据生命周期的各个阶段都存在的数据安全和隐私问题。在共享数据同时保护用户的私有信息是当前隐私保护的挑战。对于数据安全和隐私保护的问题，最根本的挑战是敏感数据和访问控制的分离。关于隐私保护的主要任务是隐私数据的识别和隔离，解决方法应该基于云的应用程序的设计过程中加以考虑。据分析上述数据安全和隐私保护问题，期望将有一个综合全面的安全解决方案，以满足纵深防御的需要。

参考文献

[1]Chen D，Zhao H.Data security and privacy protection issues in cloud computing[C]//Computer Science and Electronics Engineering（ICCSEE）， 2012 International Conference on. IEEE，2012（01）：647-651.

[2]Wang C，Chow S S M，Wang Q，et al. Privacy-preserving public auditing for secure cloud storage[J]. Computers，IEEE Transactions on，2013，62（02）：362-375.

[3]Kaufman L M.Data security in the world of cloud computing[J].Security & Privacy，IEEE，2009，7（04）：61-64.

[4]BONEH D，FRANKLIN M.Identity-based encryption from the weilpairing[C]//Advances in Cryptology-CRYPTO01. Berlin：SpringerVerlag，2001：213-229.

[5]SAHAIA，WATES B.Fuzzy identity-based encryption[C]//Advances in Cryptology-EUROCRYPT.Berlin：Springer-Verlag，2005：457-473.

作者單位

本溪广播电视大学 辽宁省本溪市 117000