江濤

摘要：隨著網(wǎng)絡(luò)通信技術(shù)和云計(jì)算技術(shù)的飛速發(fā)展，在大數(shù)據(jù)背景下的云存儲(chǔ)技術(shù)已經(jīng)被越來越多的人所熟悉和使用，云儲(chǔ)存技術(shù)給我們的日常生活帶來便利的同時(shí)，云存儲(chǔ)技術(shù)的安全問題也成為制約其發(fā)展的瓶頸。該文首先對(duì)云存儲(chǔ)相關(guān)內(nèi)容進(jìn)行了介紹，然后對(duì)云儲(chǔ)存安全技術(shù)問題進(jìn)行分析，并提出相應(yīng)的對(duì)策來提高其安全性。

關(guān)鍵詞：云儲(chǔ)存；安全技術(shù)；分析與對(duì)策

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）03-0028-02

1 概述

云計(jì)算技術(shù)的高速發(fā)展和日臻成熟，為大數(shù)據(jù)的存儲(chǔ)和處理提供了堅(jiān)實(shí)的技術(shù)手段和支持，云存儲(chǔ)在為我們提供便利的同時(shí)，其安全性也日益引用我們的重視，一旦出現(xiàn)數(shù)據(jù)安全技術(shù)問題，則會(huì)給用戶和企業(yè)造成巨大的損失，如微軟的Hotmail、亞馬遜云計(jì)算中心的宕機(jī)事件、云存儲(chǔ)服務(wù)商Dropbox的黑客入侵事件上，給云存儲(chǔ)帶來前所未有的考驗(yàn)。本文在介紹云儲(chǔ)存技術(shù)概念的同時(shí)，對(duì)其安全性問題進(jìn)行了相應(yīng)的分析，并對(duì)其安全技術(shù)采取了相應(yīng)的對(duì)策，來進(jìn)一步提高云存儲(chǔ)技術(shù)的安全性。

2 云存儲(chǔ)的相關(guān)內(nèi)容介紹

2.1云存儲(chǔ)的概念

由云計(jì)算（cloud computing）技術(shù)派生出來云存儲(chǔ)技術(shù)，是一種新興的網(wǎng)絡(luò)存儲(chǔ)技術(shù)，其技術(shù)的進(jìn)步和發(fā)展與互聯(lián)網(wǎng)的發(fā)展以及科技的創(chuàng)新有著密不可分的關(guān)系。無論何時(shí)、何處想對(duì)自己的資料進(jìn)行訪問或存儲(chǔ)，自然而然就想到了云存儲(chǔ)。云儲(chǔ)存是通過集群應(yīng)用、分布式文件系統(tǒng)或者網(wǎng)絡(luò)技術(shù)等功能，將網(wǎng)絡(luò)中大量的各種類型的眾多存儲(chǔ)設(shè)備通過相關(guān)的應(yīng)用軟件集合起來有效地協(xié)同工作，共同對(duì)外提供業(yè)務(wù)訪問以及各種數(shù)據(jù)存儲(chǔ)功能的一個(gè)系統(tǒng)。當(dāng)前使用的百度網(wǎng)盤、在線備份等服務(wù)屬于云存儲(chǔ)服務(wù)的范疇。

2.2云存儲(chǔ)的結(jié)構(gòu)模型

云存儲(chǔ)和計(jì)算機(jī)網(wǎng)絡(luò)OSI七層模型體系一樣，也具有一定的體系結(jié)構(gòu)的，其結(jié)構(gòu)模型如圖1所示：主要包含以下四層組成：

1）存儲(chǔ)層：是一個(gè)由大量分布在不同地方的諸如NAS、iSCSI等存儲(chǔ)設(shè)備通過廣域網(wǎng)、互聯(lián)網(wǎng)或者FC光纖通道網(wǎng)絡(luò)連接在一起組成的云狀存儲(chǔ)系統(tǒng)，是云存儲(chǔ)中最基本的部分；2）基礎(chǔ)管理層：它是運(yùn)用集群、分布式文件系統(tǒng)和網(wǎng)格計(jì)算等技術(shù)以保證各存儲(chǔ)設(shè)備的協(xié)同工作，使用數(shù)據(jù)加密、容災(zāi)等技術(shù)以保證云存儲(chǔ)自身安全性和穩(wěn)定性，是云存儲(chǔ)最核心的部分；3）應(yīng)用接口層：它可心根據(jù)不同的業(yè)務(wù)需要，開發(fā)出不同的服務(wù)接口和服務(wù)類型，如網(wǎng)盤服務(wù)、視頻監(jiān)控和數(shù)據(jù)備份，它是最能體現(xiàn)出靈活性的部分；4）訪問層：它是被服務(wù)對(duì)象獲得相應(yīng)服務(wù)的部分。任何一個(gè)被授權(quán)的用戶，都可以通過合法的公用應(yīng)用接口來登錄云存儲(chǔ)系統(tǒng)，進(jìn)而享受到應(yīng)有的云存儲(chǔ)服務(wù)。運(yùn)營單位不同，其提供的訪問手段以及訪問類型也有所不同。

3 云存儲(chǔ)安全技術(shù)分析及對(duì)策

下面從大數(shù)據(jù)存儲(chǔ)安全的相關(guān)問題展開研究，包括云存儲(chǔ)的接入安全、數(shù)據(jù)的存儲(chǔ)加密安全以及數(shù)據(jù)存儲(chǔ)的完整性、一致性等方面。

3.1 云端接入安全分析及對(duì)策

在云存儲(chǔ)系統(tǒng)中包含兩個(gè)角色：數(shù)據(jù)擁有者和云服務(wù)提供者，這兩者在功能上是處于分離狀態(tài)。商業(yè)機(jī)構(gòu)是云服務(wù)的提供商，而機(jī)構(gòu)是處于用戶的信任區(qū)域之外，因此，傳統(tǒng)的認(rèn)證方式不能滿足云存儲(chǔ)接入的要求，在此引入基于用戶能力的接入方法和基于多屬性鑒權(quán)的接入方法。1）基于用戶能力的接入：數(shù)據(jù)擁有者的能力表中包含了用戶身份、文件編號(hào)、操作權(quán)限以及文件的操作權(quán)限，并且將能力表的副本上傳至云服務(wù)器，當(dāng)用戶接入到云端時(shí)，云服務(wù)器就根據(jù)能力表中的用戶身份進(jìn)行驗(yàn)證，如果用戶在能力表之外，則定義為不可接入者，若在能力表范圍之內(nèi)，則將包含解密文件的信息反饋給用戶，解決了數(shù)據(jù)擁有者不在線時(shí)也能接入的問題。2）基于多屬性鑒權(quán)的接入：在該方案中用戶先在一個(gè)可信的鑒權(quán)中心進(jìn)行注冊(cè)并驗(yàn)證用戶身份，再由若干個(gè)屬性鑒權(quán)給用戶頒發(fā)接入密鑰并分配證書，這樣多重用戶身份屬性引起的數(shù)據(jù)共享問題便迎刃而解了。經(jīng)研究發(fā)現(xiàn)，數(shù)據(jù)擁有者對(duì)用戶接入需求的驗(yàn)證對(duì)云存儲(chǔ)的安全性有至關(guān)重要的作用。

3.2 數(shù)據(jù)的加密存儲(chǔ)安全分析及對(duì)策

數(shù)據(jù)擁有者將數(shù)據(jù)傳送到云端，存在兩方面的問題：一是云平臺(tái)導(dǎo)致數(shù)據(jù)泄密的問題；二是數(shù)據(jù)被竊取及偽造等問題?；趩栴}的存在，為保證數(shù)據(jù)的安全，在傳輸和存儲(chǔ)都要對(duì)數(shù)據(jù)進(jìn)行加密，為了預(yù)防黑客從外部進(jìn)行攻擊，數(shù)據(jù)擁有者在數(shù)據(jù)上傳過程中需要進(jìn)行加密，而為了有效防止云服務(wù)商掌握數(shù)據(jù)的實(shí)際內(nèi)容，上傳到云平臺(tái)后還需要加密，目前主要的加密技術(shù)有基于密文的屬性加密CP-ABE和基于密鑰的屬性加密KP-ABE。

在CP-ABE中，數(shù)據(jù)擁有者決定著訪問控制策略，加密后的密文用樹結(jié)構(gòu)的形式來進(jìn)行描述訪問控制策略，授權(quán)集與接收者的密鑰相連。首先主密鑰和公鑰由公認(rèn)的授權(quán)機(jī)構(gòu)生成，還需生成用戶的私鑰，數(shù)據(jù)擁有者在加密的過程中生成了密文的訪問策略，用戶用公鑰和私鑰進(jìn)行解密，當(dāng)私鑰的屬性符合公鑰的要求時(shí)，密文才得以授權(quán)解密，如圖2所示。

在KP-ABE中，由授權(quán)機(jī)構(gòu)生成主密鑰和公鑰，然后為每個(gè)用戶分發(fā)各自的私鑰，用戶的私鑰采用樹結(jié)構(gòu)描述訪問策略，私鑰生成時(shí)是自頂向下的，采用秘密共享機(jī)制，主密鑰分散到對(duì)應(yīng)于葉節(jié)點(diǎn)和私鑰構(gòu)件中，解密算法對(duì)訪問策略自底向上采用遞歸過程解密每個(gè)節(jié)點(diǎn)，得到恢復(fù)明文所需的私密值，如圖3所示。

3.3數(shù)據(jù)完整性校驗(yàn)技術(shù)分析及對(duì)策

數(shù)據(jù)完整性主要體現(xiàn)在數(shù)據(jù)的存儲(chǔ)、傳輸與使用過程中不被非法篡改，保持信息內(nèi)部和外部的一致性。因此，要保持?jǐn)?shù)據(jù)的完整性，對(duì)云端的數(shù)據(jù)完整性檢驗(yàn)是十分必要的。

數(shù)據(jù)完整性驗(yàn)證機(jī)制根據(jù)是否對(duì)數(shù)據(jù)文件采用了容錯(cuò)預(yù)處理分為數(shù)據(jù)持有性證明PDP機(jī)制和數(shù)據(jù)可恢復(fù)證明POR機(jī)制。PDP（Provable Data Possession）可檢測存儲(chǔ)數(shù)據(jù)是否完整有效，但不能確保用戶存儲(chǔ)數(shù)據(jù)的可恢復(fù)性；POR（Proof Of Retrievability）可以有效地保證用戶存儲(chǔ)數(shù)據(jù)的可恢復(fù)性。PDP方案可使用同態(tài)可驗(yàn)證標(biāo)簽（homomorphic verifiable tags），用戶為每個(gè)數(shù)據(jù)塊來相應(yīng)地生成一個(gè)Tag，并且將生成的Tag連同數(shù)據(jù)存放在服務(wù)器上，服務(wù)期利用請(qǐng)求及相應(yīng)的標(biāo)簽來生成持有證據(jù)，進(jìn)而節(jié)省了相應(yīng)寬帶，提高了數(shù)據(jù)存儲(chǔ)的完整性。POR的概念由Juels和Kaliski兩人首次提出，并且提出基于“哨兵”的POR方案，將文件加密并使用糾錯(cuò)碼編碼，并將“哨兵”插入其中，檢查者在挑戰(zhàn)時(shí)要求服務(wù)器返回在這些隨機(jī)位置的“哨兵”，只要云存儲(chǔ)服務(wù)器以大于相應(yīng)特定值的概率做出及時(shí)有效的應(yīng)答，那么該文件就是可恢復(fù)的。因此采用PDP和POR可保證數(shù)據(jù)完整性的前提下，避免存儲(chǔ)服務(wù)提供者刪除以及篡改數(shù)據(jù)，并且保存了用戶存儲(chǔ)數(shù)據(jù)的可恢復(fù)性。

4 總結(jié)

通過以上的分析，我們對(duì)云存儲(chǔ)進(jìn)行深層次了解的同時(shí)，也對(duì)云存儲(chǔ)安全技術(shù)有了客觀的認(rèn)識(shí)。雖然云存儲(chǔ)給人們的生活提供了很大的便利，但同時(shí)也暴露了許多急需解決的且與人們生活息息相關(guān)的問題，希望通過這些對(duì)策能有效的解決目前云存儲(chǔ)中存在的一些安全問題，進(jìn)而完善目前云存儲(chǔ)系統(tǒng)中所存在的一些漏洞，通過各方的共同努力使云存儲(chǔ)的容量更大、存儲(chǔ)方式更安全。

參考文獻(xiàn)：

[1] 裴新.云存儲(chǔ)中數(shù)據(jù)安全模型設(shè)計(jì)及分析關(guān)鍵技術(shù)研究[D].上海：華東理工大學(xué)，2016.

[2] 田原.云存儲(chǔ)中存儲(chǔ)平臺(tái)與數(shù)據(jù)安全關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D]. 北京：北京郵電大學(xué)，2015.

[3] 余琦.云計(jì)算環(huán)境下數(shù)據(jù)安全多維防護(hù)體系的研究與設(shè)計(jì)[D].廣州：廣東工業(yè)大學(xué)，2013.

[4] 朱義勇.云存儲(chǔ)安全需求及實(shí)現(xiàn)分析[J]. 電子技術(shù)與軟件工程，2013（16）：262-263.

[5] 傅穎勛，羅圣美，舒繼武.安全云存儲(chǔ)系統(tǒng)與關(guān)鍵技術(shù)綜述[J].計(jì)算機(jī)研究與發(fā)展，2013（1）：136-145.

[6] 邊根慶，高松，邵必林.面向分散式存儲(chǔ)的云存儲(chǔ)安全架構(gòu)[J].西安交通大學(xué)學(xué)報(bào)，2011（4）：41-45.

[7] 張小紅，涂平生.CP-ABE與數(shù)字信封融合技術(shù)的云存儲(chǔ)安全模型設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2016（9）：313-319.

[8] 李亞飛.密鑰策略的基于屬性的加密研究[D]. 西安：西安電子科技大學(xué)，2014.