狄 輝(通化市政府辦公室，吉林通化 134001)

云計(jì)算平臺(tái)下數(shù)據(jù)加密研究

狄 輝
(通化市政府辦公室，吉林通化 134001)

在現(xiàn)代的計(jì)算機(jī)發(fā)展過程中，云計(jì)算成為了一種新興的研究領(lǐng)域，而云計(jì)算的安全及效率問題是阻礙其發(fā)展的主要原因。本文針對(duì)云計(jì)算的安全問題進(jìn)行了著重研究，通過采用數(shù)據(jù)存儲(chǔ)和隔離機(jī)制、混合加密、節(jié)點(diǎn)均衡負(fù)載的方法等，對(duì)云計(jì)算的資源進(jìn)行合理的運(yùn)用和分配，來保證其安全性、高效性。

云計(jì)算；加密；安全性；高效性

云計(jì)算是一種現(xiàn)代比較流行的計(jì)算方式，它被看作是繼個(gè)人計(jì)算機(jī)的廣泛應(yīng)用和互聯(lián)網(wǎng)變革之后的第三次IT浪潮。未來的生活、生產(chǎn)方式以及商業(yè)模式將因此發(fā)生戰(zhàn)略性的改變。

1 云計(jì)算的特點(diǎn)

1.1 超大規(guī)模資源

目前，大公司的云計(jì)算服務(wù)器數(shù)量已經(jīng)超過上百萬臺(tái)，個(gè)人企業(yè)的云服務(wù)器也有成百上千臺(tái)。云計(jì)算擁有給用戶提供強(qiáng)大的計(jì)算數(shù)據(jù)的能力。

1.2 虛擬化

云計(jì)算使用虛擬化技術(shù)構(gòu)造一種計(jì)算環(huán)境。在用戶看來，云計(jì)算可以讓用戶在任何位置、任何終端設(shè)備獲取服務(wù)。通過虛擬化技術(shù)可以把云計(jì)算平臺(tái)的資源進(jìn)行合理的優(yōu)化和再分配。

1.3 廉價(jià)性

采用廉價(jià)的節(jié)點(diǎn)構(gòu)成云，使云數(shù)據(jù)中心的管理成本大幅度降低，資源的通用和共用可以使資源利用率得到明顯提升。

1.4 高擴(kuò)展性

云的規(guī)模可以進(jìn)行動(dòng)態(tài)伸縮，當(dāng)以后規(guī)模不夠大的時(shí)候可以直接擴(kuò)大規(guī)模，不必重新去建立一個(gè)新的云。

2 云計(jì)算平臺(tái)下數(shù)據(jù)加密的模型

2.1 云計(jì)算數(shù)據(jù)加密模型的設(shè)計(jì)

云計(jì)算的安全數(shù)據(jù)服務(wù)模型總體結(jié)構(gòu)如圖1所示，這個(gè)加密模型的主要流程包括兩個(gè)部分：一是用戶上傳數(shù)據(jù)到云端，二是用戶從云端下載數(shù)據(jù)。

2.2 節(jié)點(diǎn)和控制中的框架設(shè)計(jì)

在模型中，數(shù)據(jù)池是用來給用戶存儲(chǔ)個(gè)人數(shù)據(jù)的地方，數(shù)據(jù)來源于客戶端。數(shù)據(jù)池中的用戶數(shù)據(jù)應(yīng)該是安全的，數(shù)據(jù)池中數(shù)據(jù)安全性需要通過數(shù)據(jù)備份和加密等技術(shù)手段來保證。可單獨(dú)設(shè)立數(shù)據(jù)池，數(shù)據(jù)池可以被設(shè)計(jì)在遠(yuǎn)端以外的任何一個(gè)可以存儲(chǔ)數(shù)據(jù)的地方，要對(duì)數(shù)據(jù)池中的節(jié)點(diǎn)進(jìn)行安全的框架設(shè)計(jì)。

圖1 云計(jì)算的安全數(shù)據(jù)服務(wù)模型總體結(jié)構(gòu)

對(duì)于存儲(chǔ)云中的節(jié)點(diǎn)框架，采用星型拓?fù)浣Y(jié)構(gòu)(圖2)。之所以采用這種結(jié)構(gòu)，是因?yàn)樵贫藬?shù)據(jù)中心中的節(jié)點(diǎn)有動(dòng)態(tài)回收、分配和隨時(shí)啟動(dòng)等要求。在星型拓?fù)浣Y(jié)構(gòu)下，云端中除了被控制中心管理和支配使用的節(jié)點(diǎn)外，其他節(jié)點(diǎn)都和數(shù)據(jù)中心相連，方便隨時(shí)進(jìn)行通信和數(shù)據(jù)交換。

圖2 云存儲(chǔ)的星型結(jié)構(gòu)

通過這種模式，將用戶接口與云端進(jìn)行數(shù)據(jù)的交互：控制中心接收到用戶接口傳來的工作請(qǐng)求后，進(jìn)行分析和處理，然后把任務(wù)分配到相關(guān)節(jié)點(diǎn)?？刂浦行膿?dān)當(dāng)節(jié)點(diǎn)和用戶接口之間的媒介，與用戶接口進(jìn)行信息交互。

當(dāng)用戶下載所需要的數(shù)據(jù)時(shí)，要看被確認(rèn)的節(jié)點(diǎn)表中是否存在該用戶的數(shù)據(jù)。如果能找到這個(gè)被確認(rèn)的節(jié)點(diǎn)，控制中心就會(huì)給這個(gè)節(jié)點(diǎn)下達(dá)指令，讓其和客戶端進(jìn)行數(shù)據(jù)通信和傳輸，用戶通過用戶交互接口下載所需數(shù)據(jù)。若沒有找到被確認(rèn)的節(jié)點(diǎn)，則從數(shù)據(jù)池中查找該用戶的數(shù)據(jù)，再將數(shù)據(jù)池和用戶交互接口進(jìn)行交互，完成該用戶的數(shù)據(jù)下載。

2.3 節(jié)點(diǎn)之間的負(fù)載均衡

在控制中心不僅要監(jiān)控節(jié)點(diǎn)，還要對(duì)節(jié)點(diǎn)進(jìn)行任務(wù)分配。在假定節(jié)點(diǎn)的性能是由該節(jié)點(diǎn)的硬件性能決定的情況下，設(shè)定一個(gè)能力值，每一個(gè)節(jié)點(diǎn)的負(fù)載能力是不同的，所以能力值也有高低之分。

當(dāng)一部分節(jié)點(diǎn)運(yùn)行它們的任務(wù)時(shí)，我們就對(duì)沒有運(yùn)行任務(wù)的節(jié)點(diǎn)的能力值進(jìn)行求和。當(dāng)出現(xiàn)新任務(wù)、需要進(jìn)行分配時(shí)，首先控制中心要計(jì)算運(yùn)行該任務(wù)的能力值，然后查看所有節(jié)點(diǎn)，把沒有運(yùn)行任務(wù)的節(jié)點(diǎn)的能力值與這個(gè)給定任務(wù)所需要的能力值進(jìn)行比較，最后找到適合該任務(wù)運(yùn)行的節(jié)點(diǎn)，并對(duì)該任務(wù)的節(jié)點(diǎn)進(jìn)行分配。如果出現(xiàn)分配的任務(wù)能力值比剩余的總和還要大，遠(yuǎn)遠(yuǎn)超出所運(yùn)行節(jié)點(diǎn)的剩余能力值時(shí)，控制中心就要啟動(dòng)數(shù)據(jù)池中的沒有運(yùn)算任務(wù)的節(jié)點(diǎn)，以此來處理新分配到的任務(wù)。

2.4 數(shù)據(jù)的動(dòng)態(tài)加密

為了防止數(shù)據(jù)被盜取或丟失，必須考慮計(jì)算機(jī)密碼被破解的情況，開發(fā)數(shù)據(jù)實(shí)時(shí)動(dòng)態(tài)加密的處理技術(shù)，保證數(shù)據(jù)在沒有進(jìn)入數(shù)據(jù)庫之前的安全性。經(jīng)過動(dòng)態(tài)加密處理過的數(shù)據(jù)庫，不僅要在用戶開始登錄時(shí)進(jìn)行數(shù)據(jù)加密，還在用戶使用過程中對(duì)數(shù)據(jù)庫內(nèi)部進(jìn)行實(shí)時(shí)保密，以增強(qiáng)數(shù)據(jù)的保密性能。

2.5 云計(jì)算數(shù)據(jù)加密流程

云計(jì)算數(shù)據(jù)加密流程分為上傳和下載兩個(gè)過程。在上傳時(shí)，用戶通過加密技術(shù)把數(shù)據(jù)上傳到用戶交互接口，再通過交互接口上傳到數(shù)據(jù)池，數(shù)據(jù)池的控制中心根據(jù)節(jié)點(diǎn)的負(fù)載均衡機(jī)制找到適合的有效節(jié)點(diǎn)來存儲(chǔ)數(shù)據(jù)。控制中心將在所有節(jié)點(diǎn)中找到用戶存儲(chǔ)數(shù)據(jù)的那部分節(jié)點(diǎn)，再通過用戶交換接口發(fā)送至用戶端，如果沒有找到用戶存儲(chǔ)數(shù)據(jù)的節(jié)點(diǎn)，就在數(shù)據(jù)池中尋找用戶所需要的數(shù)據(jù)，再通過用戶交互接口傳送給用戶端，用戶通過相應(yīng)的解密技術(shù)得到所需數(shù)據(jù)。

2.6 數(shù)據(jù)加密的具體方式

2.6.1 DES和3kDES算法

將數(shù)據(jù)按照每組64位的大小進(jìn)行分組，設(shè)定密鑰長度也為64位，這里參與加密的只有56位，還有8位進(jìn)行奇偶校驗(yàn)。通過對(duì)數(shù)據(jù)分組的初始置換、對(duì)密匙的初始置換，得到子密匙，然后把經(jīng)過置換的明文和子密匙進(jìn)行乘積變換，再通過位移變換，得到64位長度的密文。

DES的加密速度是非?？斓?，隨著科技的發(fā)展，DES的加密速度會(huì)越來越快。DES算法具有極高的安全性，到目前為止要破解一個(gè)由DES算法加密的數(shù)據(jù)至少需要2000多年，因?yàn)楫a(chǎn)生密匙的計(jì)算數(shù)量十分龐大。雖然計(jì)算數(shù)量很龐大，但并不意味著不能破解。

3kDES是三重?cái)?shù)據(jù)加密算法，就是對(duì)同一組數(shù)據(jù)進(jìn)行三次DES加密。這并不是一個(gè)新的加密方法，而是通過多次加密，增加密匙長度，加大破解過程中的計(jì)算量，增加破解密匙的難度。

2.6.2 RSA算法

RSA算法是目前最有影響力的公鑰加密算法，這種算法能夠抵抗目前為止已知的大部分密碼攻擊，RSA已經(jīng)是公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。現(xiàn)在強(qiáng)行對(duì)RSA算法進(jìn)行解密，只能解密一個(gè)很短的密匙。但是密匙的長度如果足夠長，經(jīng)過RSA算法加密的數(shù)據(jù)文件基本上是不可能被破解的。

RSA算法的主要原理是：先設(shè)置兩個(gè)質(zhì)數(shù)，這兩個(gè)質(zhì)數(shù)的數(shù)值要大一些。設(shè)這兩個(gè)質(zhì)數(shù)為a和b，把a(bǔ)和b相乘得到的新數(shù)命名為c，用相對(duì)應(yīng)的二進(jìn)制數(shù)來表示c，這時(shí)二進(jìn)制數(shù)的位數(shù)就是這個(gè)密匙的長度。找一個(gè)數(shù)e1，要求e1和(a-1)與(b-1)的乘積互質(zhì)。取e2，令(e1*e2)mod((a-1)*(b-1))=1，從而得到e2的數(shù)值。然后刪除a，b和(a-1)*(b-1)。此時(shí)，n和e1組成公開密匙；n和e2組成私有密匙。RSA就是以一定的固定值對(duì)數(shù)據(jù)進(jìn)行分組，用公有密匙對(duì)數(shù)據(jù)進(jìn)行加密，用私有密匙對(duì)數(shù)據(jù)進(jìn)行解密。

RSA的優(yōu)點(diǎn)就是容易理解和操作，由于加密的密匙和算法是分開的，所以密匙分配更容易。RSA算法解決了大量用戶密匙管理困難的問題，這是相對(duì)于對(duì)稱加密最為突出的特點(diǎn)。但RSA也有缺點(diǎn)，因?yàn)閿?shù)很大，其生成密匙的速度很慢，并且不能達(dá)到“一次一密”的頻率，其效率和安全性都存在一些問題。筆者認(rèn)為RSA適合在數(shù)據(jù)量不大時(shí)使用。

2.6.3 ECC算法

ECC是一種公鑰加密體制的算法。ECC可以用更短的密匙長度達(dá)到與RSA算法差不多的安全水平，目前人們已經(jīng)逐步開始應(yīng)用這種算法進(jìn)行加密。ECC算法的特點(diǎn)：安全性高、速度快、需要的內(nèi)存和帶寬很小。

2.6.4 混合算法

不難看出，以上各種算法均存在優(yōu)缺點(diǎn)，都不能獨(dú)立達(dá)到安全性的要求，最好將這三種算法結(jié)合起來。改進(jìn)后的算法具有保密性高、速度快且不易被攻擊的特點(diǎn)，能夠在保證安全性的前提下盡可能地提高效率?；旌纤惴ǖ牧鞒虉D如圖3所示。

圖3 混合算法的流程圖

混合算法是對(duì)數(shù)據(jù)先進(jìn)行三次DES加密，增加密匙的長度，而不降低其速度和效率，這樣每次輪換的位數(shù)就從16位增加到了48位，以此類推，經(jīng)過三次DES加密后密匙就有2304位。破解的難度大大加強(qiáng)了。

2.7 數(shù)據(jù)加密的測(cè)試

在對(duì)數(shù)據(jù)進(jìn)行加密的過程中會(huì)消耗一定的時(shí)間和資源。現(xiàn)對(duì)混合算法、RSA算法和ECC算法進(jìn)行比較。由于測(cè)試的條件有限，無法進(jìn)行大型云計(jì)算平臺(tái)數(shù)據(jù)加密測(cè)試。

本文的測(cè)試環(huán)境為：

硬件：CPU為Intel雙核處理器，主頻為3.0GHz，內(nèi)存為512M。

軟件：WindowsXP操作系統(tǒng)，VC++環(huán)境。

分別采用小數(shù)據(jù)(300bit)和大數(shù)據(jù)(3M)兩種數(shù)據(jù)對(duì)三種加密進(jìn)行時(shí)間測(cè)試，先測(cè)試小數(shù)據(jù)的加密時(shí)間，如表1所示。經(jīng)過了五次測(cè)試，在三種算法中3kDES算法用時(shí)少。但是對(duì)于一般用戶來說，三種算法測(cè)出的數(shù)量級(jí)都是毫秒，人們?cè)谌粘Ｉ罟ぷ髦袔缀醪煊X不到。因此對(duì)于小數(shù)據(jù)，三種算法沒有差別。

接下來測(cè)試大數(shù)據(jù)的加密時(shí)間，如表2所示。屬于對(duì)稱算法的3kDES算法速度很快，適合對(duì)大數(shù)據(jù)進(jìn)行加密。RSA算法和ECC算法具有一定模式和固有步驟，耗時(shí)較長，但這兩種非對(duì)稱算法的安全性要優(yōu)于3kDES算法。而密匙再怎么長也是小數(shù)據(jù)，因此，對(duì)于大數(shù)據(jù)而言，用RSA算法和ECC算法對(duì)3kDES算法進(jìn)行加密是比較合適的。

表1 三種加密方式小數(shù)據(jù)加密時(shí)間對(duì)比

測(cè)試次數(shù)3kDES(ms)RSA(ms)ECC(ms)第一次43456421第二次44432452第三次46467483第四次47487473第五次49492437平均時(shí)間45．8466．8453．2

表2 三種加密方式大數(shù)據(jù)加密時(shí)間對(duì)比

3 結(jié)語

經(jīng)過改進(jìn)后的混合加密算法，既可以達(dá)到對(duì)稱加密算法的高效性，又可以實(shí)現(xiàn)公鑰加密算法的安全性。這種算法在保證安全性的同時(shí)又提高了加解密的效率，很好地突出了云計(jì)算服務(wù)的安全、高效的特點(diǎn)。

[1]張煥國,覃中平.高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)的研究[J].計(jì)算機(jī)工程與科學(xué),2001(5):91-93.

[2]馮登國,張敏,張妍,等.云計(jì)算安全研究[J].軟件學(xué)報(bào),2011(1):71-83.

[3]劉鵬.云計(jì)算[M].北京:電子工業(yè)出版社,2010.

[4]鄧倩妮,陳全.云計(jì)算及其關(guān)鍵技術(shù)[J].高性能計(jì)算發(fā)展與應(yīng)用,2009(1):2-6.

Research on Data Encryption Based on Cloud Computing Platform

DI Hui

(Tonghua City Government Office, Tonghua Jilin 134001,China)

Under the development of modern computer, cloud computing becomes an emerging research area.Cloud computing security and efficiency become the main factors hindering its development.This paper focuses on the research of the security issues of cloud computing. Through the data storage and isolation mechanism, mix encryption methods and the methods of balanced load, the cloud computing resources can be distributed reasonablely. It is significant to ensure its security and high efficiency.

cloud computing; encryption; security; high efficiency

2017-02-19

狄 輝(1965- )，男，副高級(jí)工程師，碩士，從事政府信息化基礎(chǔ)建設(shè)與發(fā)展、政務(wù)服務(wù)網(wǎng)絡(luò)、大數(shù)據(jù)整合與應(yīng)用等方面研究。

TP309

A

2095-7602(2017)06-0055-04