張繼永

摘 要：通過對云計算工作原理與安全隱患的簡要分析，探討了云計算環(huán)境下的安全架構(gòu)，提出了密碼技術(shù)的應(yīng)用方法，結(jié)合密碼學(xué)理論和云計算安全架構(gòu)，闡述了云計算安全中密碼技術(shù)的應(yīng)用模型，并對其發(fā)展趨勢進行了研究，以期為密碼技術(shù)應(yīng)用模型在云計算中的安全使用提供一定的理論依據(jù)。

關(guān)鍵詞：云計算；密碼技術(shù)；應(yīng)用模型；計算機

中圖分類號：TP309 文獻標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.19.083

云計算利用了公布式計算和虛擬資源管理技術(shù)，集中了分散的ICT資源，使共享資源池得以形成，從而為用戶提供了可度量的服務(wù)。雖然云計算能為人們帶來一定的便利，但也存在一定的安全隱患。由于傳統(tǒng)的安全防護措施已無法解決云環(huán)境下的數(shù)據(jù)儲存、密文檢索等問題，因此，需要對云計算安全中密碼技術(shù)應(yīng)用模型進行分析和研究。

1 云計算安全架構(gòu)

據(jù)權(quán)威機構(gòu)的分析和研究表明，在云計算中存在特權(quán)用戶訪問、利于遵從企業(yè)的免責(zé)法規(guī)、不確定的數(shù)據(jù)存儲和處理、敏感數(shù)據(jù)保護等安全隱患。按照云計算三層服務(wù)體系可有效分析云計算的安全架構(gòu)。云計算安全模塊和支撐性基礎(chǔ)設(shè)施是云計算安全架構(gòu)的兩大部分。三層服務(wù)體系即SaaS、PaaS和IaaS，其可劃分云計算安全模塊。在SaaS、PaaS和IaaS這三層安保方法中，一直貫穿著支撐性基礎(chǔ)設(shè)施。密碼服務(wù)是提供給以上安全保障方法的密碼資源服務(wù)。

在支撐基礎(chǔ)設(shè)施的各功能組件中可應(yīng)用密碼技術(shù)。如果應(yīng)用云計算安全技術(shù)時比較復(fù)雜，則可從各功能組件的角度解析密碼。由于交叉和重疊是各功能組件防護范圍內(nèi)的組成部分，所以，在給出云計算安全中密碼技術(shù)應(yīng)用模型時，應(yīng)從云環(huán)境中安全系統(tǒng)的工作流程入手。

2 云計算安全中密碼技術(shù)的應(yīng)用模型

作為不可信的第三方，云端所有處理的數(shù)據(jù)必須是密文，且不具有解密能力，這樣才能避免用戶數(shù)據(jù)內(nèi)容被云端讀取。從數(shù)據(jù)擁有者方面看，包括普通用戶、管理員和云端用戶三種。其中，普通用戶對數(shù)據(jù)資源具有提供權(quán)和使用權(quán)。從安全系統(tǒng)的防護方面看，云計算安全分為密碼系統(tǒng)初始化模塊、數(shù)據(jù)處理模塊、認證模塊和授權(quán)模塊。

2.1 普通用戶的數(shù)據(jù)安全應(yīng)用

數(shù)據(jù)安全應(yīng)用視圖對應(yīng)的是云環(huán)境中的單個應(yīng)用。對于普通用戶，有以下4方面的工作：①建立生成密碼與主密鑰等密碼系統(tǒng)，以滿足用戶的安全需求；②通過分配密碼資源的方式加密數(shù)據(jù)，并解密從云端返回的密文數(shù)據(jù)；③認證數(shù)據(jù)共享者的身份；④將相關(guān)權(quán)限授予合法對象，比如普通用戶可授權(quán)代理等。

對于數(shù)據(jù)共享者，有以下2方面的工作：①通過普通用戶建立密碼系統(tǒng)，并建立與之相關(guān)的密碼參數(shù)。②分配密碼資源和加密數(shù)據(jù)。同時，解密由云端返回的密文數(shù)據(jù)。

對于用戶加密數(shù)據(jù)外包云端，其工作內(nèi)容為通過與普通用戶協(xié)商獲得密碼資源，并對其外包，再通過所收到的用戶申請查詢加密數(shù)據(jù)，且要保證查詢結(jié)果及時返回。

2.2 管理員的數(shù)據(jù)安全應(yīng)用

管理員數(shù)據(jù)安全應(yīng)用視圖與云環(huán)境多個應(yīng)用相對應(yīng)，可形成云端資源的應(yīng)用場景。在該視圖中，樹狀層次關(guān)系可呈現(xiàn)信息系統(tǒng)中的用戶對象，而管理者即樹狀的根本。其各個模塊具有以下功能：①由信息系統(tǒng)的管理者建立分層密碼系統(tǒng)，以滿足管理需求，并生成密碼系統(tǒng)需要的公開參數(shù)、主密鑰；②分配密碼資源和加密數(shù)據(jù)，并外包存儲到云端，還可解密由云端返回的密文數(shù)據(jù)；③認證數(shù)據(jù)共享者的身份；④對合法對象進行相關(guān)授權(quán)。值得注意的是，要想使各子成員的功能模塊生效，就必須使其獲得上級成員的授權(quán)。

3 云計算安全中密碼技術(shù)的應(yīng)用方向

3.1 身份認證

在云環(huán)境中，用戶身份的認證是通過運用身份加密算法和簽名技術(shù)實現(xiàn)的，這是結(jié)合云環(huán)境動態(tài)防御的特點提出的。通過將用戶屬性作為密碼資源的組成部分，可使用戶不再信任云端，自己掌握密碼資源，這是符合密碼應(yīng)用模型設(shè)計思想的。

3.2 訪問控制

對于訪問控制云環(huán)境，目前，在密碼技術(shù)的基礎(chǔ)上對其提出的解決方案并不多。訪問控制主要利用生成層次密鑰和分配策略，并通過加密算法來實現(xiàn)的。當(dāng)前的研究熱點主要側(cè)重于利用密碼方法實行訪問控制，其原因是出于對云端的不信任現(xiàn)象。

3.3 隱私保護

隱私保護是指對數(shù)據(jù)、用戶密文和密鑰等方面的保護。從屬性加密方面看，隱私保護方案主要是對密文訪問控制策略、密文屬性集和解密密鑰進行保護的。在無法獲得密文的情況下，基于重加密隱私保護，會將某個密鑰加密的密文轉(zhuǎn)變?yōu)榱硪粋€密鑰加密的密文，而同態(tài)加密則可實現(xiàn)對密文的透明操作，從而實現(xiàn)隱私保護；從數(shù)據(jù)的完整性和可用性方面看，同態(tài)加密可實現(xiàn)數(shù)據(jù)的儲存。

3.4 密鑰管理

對于公鑰加密方案的檢索，可通過身份加密、簽名方案和關(guān)鍵字的方式進行，可簡化常見對稱密鑰體制中的分配問題。

4 結(jié)束語

綜上所述，解決安全問題的最佳方案即采用密碼技術(shù)。在云環(huán)境中，通過新密碼技術(shù)解決其中存在的一系列安全問題是一種較為合適的方法，但這種方法中存在一定的效率問題。因此，還應(yīng)采用非密碼與密碼相結(jié)合的方式。本文從云計算安全架構(gòu)、云計算安全中密碼技術(shù)的應(yīng)用模型和云計算安全中密碼技術(shù)的應(yīng)用方向三個方面，對云計算安全中密碼技術(shù)應(yīng)用模型進行了分析和研究，以供相關(guān)人員參考。

參考文獻

[1]徐輝.試論可信計算技術(shù)在云計算安全中的應(yīng)用[J].佳木斯教育學(xué)院學(xué)報，2014（06）.

[2]范翔.可信計算技術(shù)在云計算安全中的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2014（23）.

Research on the Application of Cryptographic Techniques in Cloud Computing Security

Zhang Jiyong

Abstract： This paper discusses the security architecture of cloud computing， the security architecture of cloud computing， the application method of cryptographic technology， and the security architecture of cryptography， and the development trend of the security of cloud computing.

Key words： cloud computing； cryptography； application model； computer