邱柏云

摘要：該文對在云存儲環(huán)境下所存儲個人數(shù)據(jù)的安全保護方案進行了探討，針對現(xiàn)有云存儲系統(tǒng)的安全缺陷，提出了一套全方位的個人數(shù)據(jù)安全保護機制，對云計算的應用的未來發(fā)展具有很重要的意義。

關鍵詞：云計算；云存儲；數(shù)據(jù)安全；身份認證；指紋識別

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)15-3549-03

Personal Data security Protection Mechanism in Cloud Storage

QIU Bo-yun

(Hangzhou Synochip Technology Co., Ltd, Hangzhou 310012, China)

Abstract：This paper studies the security protection of personal data stored in cloud storage environment. In order to avoid security vulner abilities of current cloud storage system, it provides a comprehensive personal data security protection mechanism, which is significant to the future development of cloud computing applications.

Key words：cloud computing; cloud storage; data security; Identity authentication ;fingerprint identification

繼個人計算機變革、互聯(lián)網(wǎng)變革之后，云計算被看作第三次IT浪潮，是中國戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分。它將帶來生活、生產(chǎn)方式和商業(yè)模式的根本性改變，成為當前全社會關注的熱點。

云存儲是在云計算概念上延伸出來的一個新概念，它是指通過集群應用、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡中大量各種不同類型的存儲設備通過應用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務訪問功能的一個系統(tǒng)。

云存儲承諾將滿足未來出現(xiàn)的大量的存儲需求，而且要以非常好的性價比實現(xiàn)這個目的。那么從根本上來說，云存儲技術(shù)是一種實用型服務，它可以為眾多用戶提供一個通過網(wǎng)絡訪問的共享存儲池。存儲云是可以調(diào)整的，它們可以很輕松地擴展或根據(jù)客戶需求定制。云存儲對使用者來講，不是指某一個具體的設備，而是指一個由許許多多個存儲設備和服務器所構(gòu)成的集合體。使用者使用云存儲，并不是使用某一個存儲設備，而是使用整個云存儲系統(tǒng)帶來的一種數(shù)據(jù)訪問服務。所以嚴格來講，云存儲不是存儲，而是一種服務。

云存儲作為一種在線存儲服務，數(shù)據(jù)處于其他人控制的服務器上，因此數(shù)據(jù)安全變得至關重要，調(diào)查數(shù)據(jù)顯示，無論是政府、企業(yè)還是個人，都把數(shù)據(jù)安全、隱私保護、數(shù)據(jù)主權(quán)等作為核心關注?？梢哉f，未來云存儲的普及關鍵就在于安全。

目前針對云存儲安全技術(shù)，大多延續(xù)大型服務器的安全技術(shù)，用以保證服務器的可靠性，例如防火墻、服務器加密機等，但因為在存儲云中你的數(shù)據(jù)會與別人的數(shù)據(jù)位于同一個磁盤，所以加密的做法很重要。而服務器、密匙、加密算法都為服務商掌握，用戶的數(shù)據(jù)主權(quán)受運營商限制，用戶存在對數(shù)據(jù)安全的擔心，限制了云存儲的發(fā)展。

所以，本文對云存儲環(huán)境下所存儲個人數(shù)據(jù)的安全保護方案進行了探討，對具體的安全方案進行了分析。

1云存儲個人數(shù)據(jù)安全系統(tǒng)的總體設計

1.1云端安全服務系統(tǒng)構(gòu)成

云端安全服務系統(tǒng)由：云盾終端、云盾輔助軟件、云盾服務器、認證服務器（CA中心）、應用接口幾個部分組成，如圖1所示。

1.2云端安全服務系統(tǒng)構(gòu)成的詳細介紹

認證服務器：提供嚴格的身份認證，保證上網(wǎng)用戶根據(jù)業(yè)務系統(tǒng)的授權(quán)來訪問系統(tǒng)資源，這里主要指CA認證中心。

應用接口API：應用編程接口，提供給其他云存儲等應用系統(tǒng)接入本系統(tǒng)的接口。

云盾服務器：主要包括了除CA認證之外的其他認證系統(tǒng)，例如指紋認證服務器、OTP認證服務器、輔助口令認證服務器等等。

云盾輔助軟件：根據(jù)應用環(huán)境不同，需要一套配套的輔助軟件，用以配合云盾終端和云盾服務器工作。

云盾終端：以硬件形式向用戶提供，可確認用戶的合法身份。

1.3云端安全服務系統(tǒng)的核心技術(shù)

系統(tǒng)的個人數(shù)據(jù)安全主要通過兩方面技術(shù)來保護，第一是基于本人的身份認證安全，第二是基于數(shù)據(jù)的自主加解密安全。

2個人身份認證安全

個人身份認證猶如我們家中的大門，保證個人身份認證安全，就可以將盜賊拒之門外。

2.1個人身份認證方式組成

主要包括包括PKI在內(nèi)的數(shù)字證書認證體系，目前銀行金融，數(shù)字版權(quán)方面，都采用基于該技術(shù)的數(shù)字認證。

其次還包括輔助因子認證，常見的認證方式包括生物識別認證：主要是指通過人類生物特征進行身份認證的一種技術(shù)，例如指紋識別，面部識別等；OTP認證：也稱動態(tài)口令，通過專門算法生成一個不可預測的隨機數(shù)字組合進行認證，每個口令只能使用一次；智能卡認證：通過一定代表身份的數(shù)字證件，進行認證等。

綜合以上的認證的方式，可實現(xiàn)多因子認證方式，提高身份認證的安全性。如下（圖2）所示：

2.2系統(tǒng)認證原理如(圖3)所示

步驟1：用戶請求認證/登陸

步驟2：應用服務器請求認證服務器對客戶的身份的合法性和真實性進行認證;

步驟3：認證服務器向終端發(fā)起認證，用戶終端彈出身份認證對話框或提示認證過程;

步驟4：用戶根據(jù)提示，進行相關身份認證操作（例如：生物識別認證-輸入指紋；OTP認證-輸入OTP密碼；USBKEY-插入KEY+輸入密碼等）

步驟5：用戶終端將認證信息通過網(wǎng)絡傳輸給認證服務器;

步驟6：認證服務器調(diào)用客戶信息，結(jié)合云盾服務器進行生物特征/OTP/密碼等認證因素比對，判別客戶身份的合法性和真實性;

步驟7：認證服務器將認證結(jié)果報告給應用服務器;

步驟8：應用服務器根據(jù)客戶身份的合法性和真實性反饋給客戶終端，并決定可以提供服務或拒絕服務。

2.3身份認證系統(tǒng)示意圖

云存儲系統(tǒng)通過認證中間件，與認證服務器層進行通訊，獲取身份認證信息，從而決定是否允許訪問云存儲機其他云應用服務器。如（圖4）

步驟1：客戶端向中間層發(fā)送認證信息

步驟2：中間層解析信息并向認證中心發(fā)送認證請求

步驟3：認證中心向中間層反饋認證結(jié)果

步驟4：中間層向客戶端發(fā)送認證結(jié)果，并根據(jù)認證結(jié)果執(zhí)行相應操作

3數(shù)據(jù)自主加解密安全

數(shù)據(jù)自主加解密，猶如家中的保險箱，將重要的物品（數(shù)據(jù)），放到保險箱中（加密起來），可以防止盜賊竊取家中的貴重物品（重要數(shù)據(jù)）。

主要包括數(shù)據(jù)加解密功能、數(shù)據(jù)加密推送、文件粉碎功能、密鑰保護及恢復。如圖5所示：

1）數(shù)據(jù)流加解密功能：通過云盾終端設備，對數(shù)據(jù)經(jīng)行硬件加解密功能，終端通過內(nèi)部保存的私鑰，利用內(nèi)置的加解密算法，例如AES、DES/3DES等，對數(shù)據(jù)流經(jīng)行加解密，并且使用算法和加密程度要求可選，支持常規(guī)國際標準算法和國密算法。支持全加密，部分加密，索引加密等功能。支持一些權(quán)限的設置，例如刪除文件時，需要授權(quán)，或者進入該模塊時需要重新認證，離開時及時注銷等等細節(jié)。

2）數(shù)據(jù)加密推送功能：將數(shù)據(jù)加密后，可通過事先約定的協(xié)議接口，推送至相應的云存儲服務器。

3）文件粉碎功能：將文件徹底刪除的工具，而不是將數(shù)據(jù)僅僅去除索引，使用某些工具后仍能復原。

4）密鑰保護及恢復功能：云盾需保證加密密鑰的安全；系統(tǒng)需保證在云盾遺失情況下能夠通過一定人工認證的方式恢復密鑰。

4結(jié)束語

本文分析了通過云盾安全服務系統(tǒng)的設計，從個人身份認證和個人主動數(shù)據(jù)加解密兩個方面來保證個人數(shù)據(jù)在云存儲服務器中的安全。通過云盾終端硬件，實現(xiàn)多種因子認證的可能，實際應用中，可根據(jù)實際安全需要，采取一種或多種因子認證方式，將盜賊拒之門外，同時，通過主動對數(shù)據(jù)進行加密，將重要數(shù)據(jù)放到自己的保險箱中，盜賊沒有密鑰無法打開，從而進一步保證了個人數(shù)據(jù)的安全。為解決云計算的核心關注，推動未來云存儲的普及，具有重要的參考意義。

參考文獻：

[1]馬澤爾,卡瑪日薩米尼.云計算安全與隱私[M].北京：機械工業(yè)出版社,2011.

[2]劉鵬.云計算[M]. 2版.北京：電子工業(yè)出版社,2011.