張俊林

（廣東理工學(xué)院，廣東 肇慶 526000）

試析移動(dòng)云存儲(chǔ)安全保護(hù)方案的實(shí)現(xiàn)

張俊林

（廣東理工學(xué)院，廣東 肇慶 526000）

隨互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)大數(shù)據(jù)時(shí)代已經(jīng)來臨，分布式存儲(chǔ)系統(tǒng)和移動(dòng)云存儲(chǔ)系統(tǒng)得到廣泛應(yīng)用，越來越多的個(gè)人和企業(yè)將自己的數(shù)據(jù)存儲(chǔ)在云端。文章對(duì)移動(dòng)云存儲(chǔ)技術(shù)展開了研究，發(fā)現(xiàn)移動(dòng)云存儲(chǔ)技術(shù)的安全保護(hù)方案至關(guān)重要。文章通過研究移動(dòng)云儲(chǔ)存的安全并提出保護(hù)方案來提升云數(shù)據(jù)安全、保護(hù)用戶利益。

數(shù)據(jù)時(shí)代；移動(dòng)云儲(chǔ)存；安全保護(hù)

移動(dòng)云儲(chǔ)存技術(shù)能夠讓用戶隨時(shí)隨地的實(shí)現(xiàn)云端數(shù)據(jù)共享、遠(yuǎn)程數(shù)據(jù)傳輸、數(shù)據(jù)安全保護(hù)等，是網(wǎng)絡(luò)大數(shù)據(jù)時(shí)代的產(chǎn)物，使得企業(yè)和個(gè)人數(shù)據(jù)儲(chǔ)存、傳輸便捷化、虛擬化。移動(dòng)云儲(chǔ)存最為重要就是安全保護(hù)方案，其保證了用戶數(shù)據(jù)的可靠性和私密性。

1 移動(dòng)云儲(chǔ)存技術(shù)的概述

1.1 移動(dòng)云儲(chǔ)存的概念

移動(dòng)云存儲(chǔ)是一個(gè)以數(shù)據(jù)存儲(chǔ)和管理為核心的云計(jì)算系統(tǒng)。云計(jì)算系統(tǒng)是一個(gè)以數(shù)據(jù)處理和數(shù)據(jù)運(yùn)算為核心工作的計(jì)算機(jī)系統(tǒng)；而移動(dòng)云計(jì)算系統(tǒng)不僅具有云計(jì)算系統(tǒng)的運(yùn)算和處理能力，還具有云存儲(chǔ)能力，實(shí)現(xiàn)云數(shù)據(jù)的全過程管理。自然移動(dòng)云計(jì)算系統(tǒng)就應(yīng)該配置更多的云存儲(chǔ)設(shè)備，以實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)功能。“云”是指在大型共享的服務(wù)器上存儲(chǔ)數(shù)據(jù)，云計(jì)算的模型中由網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)及其應(yīng)用和服務(wù)共同構(gòu)建一個(gè)可配置的資源共享池。共享池的作用是為了幫助用戶方便地訪問資源池。云計(jì)算是一種模型，在這種模型中有一個(gè)可配置的計(jì)算資源共享池（包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)），共享池的資源可以快速地供給和釋放，用戶可以通過網(wǎng)絡(luò)即時(shí)訪問資源池。

云存儲(chǔ)是云計(jì)算中心提供的一種基本服務(wù)，通過云存儲(chǔ)服務(wù)用戶不必使用本地存儲(chǔ)設(shè)備，用戶不僅通過網(wǎng)絡(luò)就可以訪問數(shù)據(jù)，并且有效地避免了對(duì)存儲(chǔ)設(shè)備的維護(hù)和硬件升級(jí)的開銷。然而云存儲(chǔ)的安全研究還處在起步階段，仍然需要大力發(fā)展。CSP可以獲取、搜索用戶存儲(chǔ)云端的數(shù)據(jù)，CSP也可能因?yàn)橄到y(tǒng)故障時(shí)的數(shù)據(jù)對(duì)丟失，也可能通過攻擊CSP的服務(wù)器獲得用戶的數(shù)據(jù)，這些都為用戶帶來了信息泄露或數(shù)據(jù)丟失的擔(dān)憂。除了蘋果icloud外，小米手機(jī)云相冊、360云盤、QQ空間、朋友圈以及幾乎所有的即時(shí)聊天工具其網(wǎng)絡(luò)存儲(chǔ)的原理都與icloud相似即儲(chǔ)存在云端服務(wù)器中。云存儲(chǔ)服務(wù)國外最具有代表性的運(yùn)營商有：SkyDrive、Google，Dropbox，Google和iCloud等等。國內(nèi)的最具有代表性的運(yùn)營商主要有：115 網(wǎng)盤、Dbank、金山快盤 等等。云存儲(chǔ)可以分為3種模式，分別是：混合云存儲(chǔ)、公共云存儲(chǔ)和私有云存儲(chǔ)。

1.2 移動(dòng)云儲(chǔ)存的特點(diǎn)

移動(dòng)云儲(chǔ)存的特點(diǎn)如下：

（1）功能需求。移動(dòng)云存儲(chǔ)系統(tǒng)和傳統(tǒng)系統(tǒng)不同。傳統(tǒng)存儲(chǔ)系統(tǒng)的存儲(chǔ)方式比較單一，而移動(dòng)云存儲(chǔ)系統(tǒng)則是面向多種類型的網(wǎng)絡(luò)在線存儲(chǔ)服務(wù)。

（2）性能需求。移動(dòng)云存儲(chǔ)系統(tǒng)中儲(chǔ)存的數(shù)據(jù)在數(shù)據(jù)安全性、可靠性、效率等方案都時(shí)時(shí)刻刻面臨著危險(xiǎn)和挑戰(zhàn)。

（3）數(shù)據(jù)管理。管理移動(dòng)云存儲(chǔ)系統(tǒng)要能夠支持?jǐn)?shù)據(jù)管理以及提供支撐公共服統(tǒng)，并且還要提供傳統(tǒng)文件訪問的功能，以便于移動(dòng)云存儲(chǔ)系統(tǒng)數(shù)據(jù)的后臺(tái)維護(hù)。

（4）成本低。云儲(chǔ)存技術(shù)相比傳統(tǒng)的存儲(chǔ)技術(shù)而言，數(shù)據(jù)安全維護(hù)方面成本比較低，只需要做好云儲(chǔ)存系統(tǒng)移動(dòng)終端和云儲(chǔ)存端的數(shù)據(jù)保護(hù)措施就可以確保數(shù)據(jù)安全。云存儲(chǔ)的成本大概在每G每月2毛錢左右。國內(nèi)大部分云儲(chǔ)存供應(yīng)商都是免費(fèi)給用戶提供服務(wù)的。

2 移動(dòng)云儲(chǔ)存的安全威脅

2.1 移動(dòng)終端安全威脅

數(shù)據(jù)表明對(duì)移動(dòng)終端存在的安全威脅主要表現(xiàn)在：（1）因移動(dòng)終端系統(tǒng)出現(xiàn)故障或被破壞，導(dǎo)致數(shù)據(jù)丟失；（2）因移動(dòng)終端設(shè)備的第三方軟件自身帶有安全威脅，導(dǎo)致移動(dòng)終端設(shè)備的數(shù)據(jù)處在不安全的狀態(tài)；（3）由于移動(dòng)終端本省存在安全漏洞導(dǎo)致信息泄露；（4）因移動(dòng)終端接入點(diǎn)的安全性能不高，導(dǎo)致登陸環(huán)境異常以及用戶信息泄露。移動(dòng)終端網(wǎng)絡(luò)接入點(diǎn)的安全性能較差，一旦受到嚴(yán)重的安全威脅，可能會(huì)導(dǎo)致大量的數(shù)據(jù)丟失，對(duì)移動(dòng)云存儲(chǔ)用戶造成損失。

2.2 云儲(chǔ)存端安全威脅

云儲(chǔ)存端的安全威脅主要是因?yàn)橛脩粼趧?chuàng)建、使用、銷毀的過程中因疏忽而產(chǎn)生的錯(cuò)誤從而造成了數(shù)據(jù)面臨嚴(yán)重的安全威脅，用戶在使用的過程中出現(xiàn)了錯(cuò)誤同樣會(huì)給整個(gè)云儲(chǔ)存系統(tǒng)造成信息泄露和數(shù)據(jù)丟失的威脅。移動(dòng)云儲(chǔ)存無須攜帶終端設(shè)備，降低了設(shè)備丟失或者損壞的威脅，云數(shù)據(jù)還可以通過網(wǎng)絡(luò)進(jìn)行后臺(tái)系統(tǒng)自動(dòng)恢復(fù)功能，對(duì)移動(dòng)云儲(chǔ)存的數(shù)據(jù)進(jìn)行進(jìn)一步的保護(hù)，但是，同樣面臨著互聯(lián)網(wǎng)黑客、病毒的威脅。

3 移動(dòng)云儲(chǔ)存安全保護(hù)方案

3.1 移動(dòng)終端安全保護(hù)

移動(dòng)終端的連接方式是固定的，通過用戶的智能終端與軟件的方式進(jìn)行連接，用戶可以對(duì)移動(dòng)終端軟件的控制，主要是因?yàn)橛脩敉ㄟ^智能終端的操作來實(shí)現(xiàn)的，并且可以達(dá)到對(duì)云存儲(chǔ)技術(shù)的廣泛應(yīng)用。移動(dòng)終端是與后臺(tái)服務(wù)器連接的，當(dāng)用戶身份驗(yàn)證完成的時(shí)候，移動(dòng)終端可以對(duì)用戶上傳的數(shù)據(jù)消息進(jìn)行加密，當(dāng)需要下載用戶信息時(shí)可以解密，以至用戶在使用的過程中能起到一個(gè)安全的作用。并且，后臺(tái)服務(wù)器與移動(dòng)終端交互時(shí)，用戶可以完成用戶權(quán)限的授予以及撤銷，這樣充分地解決了用戶訪問移動(dòng)終端的安全問題。移動(dòng)終端安全保護(hù)過程很全面，主要有: 授權(quán)訪問、身份驗(yàn)證、數(shù)據(jù)加密上傳、數(shù)據(jù)下載解密以及撤銷權(quán)限 等等。在移動(dòng)終端采取多種加密保護(hù)機(jī)制：

（1）非對(duì)稱加密機(jī)制保護(hù)。針對(duì)公共云存儲(chǔ)服務(wù)，使用混合加密機(jī)制來保證公共云存儲(chǔ)數(shù)據(jù)安全是一個(gè)合適的選擇。混合加密機(jī)制包括密鑰封裝機(jī)制（KEM）和數(shù)據(jù)封裝機(jī)制（DEM，其中DEM采用對(duì)稱密碼算法加密數(shù)據(jù)量較大的數(shù)據(jù)文件，以保證加解密運(yùn)算具有高速度和低復(fù)雜度。而KEM則以公鑰密碼算法封裝了用戶加密數(shù)據(jù)文件的對(duì)稱密鑰K。在單用戶環(huán)境下，數(shù)據(jù)擁有者使用云儲(chǔ)存服務(wù)，可以基于傳統(tǒng)非對(duì)稱密碼體制實(shí)現(xiàn)KEM，數(shù)據(jù)擁有者使用云儲(chǔ)存服務(wù)，可以基于傳統(tǒng)非對(duì)稱密碼體制實(shí)現(xiàn)KEM，及自己產(chǎn)生一個(gè)加解密的密鑰對(duì)，用公鑰實(shí)現(xiàn)KEM自己保存私鑰。當(dāng)從CSP取回加密文件后，用自己保存的私鑰解開KEM從而能夠解密數(shù)據(jù)。（2）代理重加密機(jī)制保護(hù)。代理重加密是指允許第三方，代理Trent改變由Alice加密的密文，使得Bob可以解密，而Trent并不知道原來的明文。在公共云存儲(chǔ)應(yīng)用中，如果數(shù)據(jù)所有者Alice想將其加密的文件分享給一個(gè)特定的數(shù)據(jù)使用者Bob時(shí)，可以使用代理重加密，委托CSP將由Alice公鑰分裝的KEM轉(zhuǎn)換為Bob公鑰分裝的KEM而CSP并不能解開KEM。重加密的操作由CSP完成，以節(jié)約Alice的運(yùn)算開銷。除此之外，還利用廣播加密機(jī)制、基于屬性的加密機(jī)制等。

（3）多級(jí)數(shù)據(jù)防護(hù)系統(tǒng)。在多種加密方式的基礎(chǔ)之上建立云數(shù)據(jù)安全多級(jí)防護(hù)系統(tǒng)，根據(jù)數(shù)據(jù)的作用將數(shù)據(jù)防護(hù)分為數(shù)據(jù)儲(chǔ)存級(jí)、基礎(chǔ)網(wǎng)絡(luò)級(jí)、虛擬化服務(wù)級(jí)。通常在云計(jì)算環(huán)境下，由于物理安全邊界造成的逐步消失，導(dǎo)致了云計(jì)算的用戶只能依靠簡單的邏輯劃分來進(jìn)行隔離，先將安全服務(wù)安排到系統(tǒng)的安全防護(hù)上，從而轉(zhuǎn)變?yōu)檎麄€(gè)云計(jì)算網(wǎng)絡(luò)的安全防護(hù)，并且防護(hù)體統(tǒng)可以提供集中統(tǒng)一的安全服務(wù)，以達(dá)到這種邏輯隔離模型的要求。防護(hù)系統(tǒng)可以通過數(shù)據(jù)加密和VPN等技術(shù)，形成安全的邏輯邊界。多級(jí)數(shù)據(jù)防護(hù)系統(tǒng)可以通過完善的技術(shù)安全通道，安排至安全服務(wù)中心分析處理，以達(dá)到用戶提出安全服務(wù)需求的用戶數(shù)據(jù)流，當(dāng)所有步驟結(jié)束后再按防護(hù)系統(tǒng)最初的轉(zhuǎn)發(fā)路徑返回至用戶端，這樣一來可以保障用戶數(shù)據(jù)或者信息的網(wǎng)絡(luò)傳輸安全。

3.2 服務(wù)器后臺(tái)安全保護(hù)

服務(wù)器后臺(tái)主要包含了數(shù)據(jù)服務(wù)和索引兩個(gè)重要的組成部分，通常移動(dòng)終端是與索引服務(wù)器相連接的，其目的是為了驗(yàn)證雙向的身份信息，服務(wù)器可以根據(jù)用戶下載或者上傳信息的時(shí)候，對(duì)匹配的數(shù)據(jù)庫進(jìn)行查詢和檢索，并且必要的時(shí)候可以對(duì)用戶相應(yīng)的日志表和用戶相對(duì)應(yīng)的文件控制列表進(jìn)行維護(hù)。

（1）多副本保護(hù)策略。云存儲(chǔ)源于Google發(fā)布的Google File System。Google的分布主要在大量的機(jī)器之上，系統(tǒng)允許硬件失效，假如系統(tǒng)中有某一個(gè)硬件機(jī)器失效，那么會(huì)導(dǎo)致這臺(tái)機(jī)器上的數(shù)據(jù)無法顯示出來，系統(tǒng)采取多副本策略的目的是為了有效地防止數(shù)據(jù)丟失和保證數(shù)據(jù)的安全性。為了防止數(shù)據(jù)的丟失和為保證數(shù)據(jù)安全性，可以采取多副本策略。數(shù)據(jù)的備份用戶可以自己設(shè)定，每一個(gè)數(shù)據(jù)塊在整個(gè)集群上都有備份，這些備份可以依據(jù)數(shù)據(jù)系統(tǒng)的情況，分布在不相同的物理位置上，以有效的方式備份出現(xiàn)無法訪問的情況。

（2）密鑰保護(hù)策略。云存儲(chǔ)一般都是由系統(tǒng)第三方提供給用戶，當(dāng)用戶忘記數(shù)據(jù)保存在哪里的時(shí)候，數(shù)據(jù)被別人用了沒有用戶自己都是一頭霧水，為了解決系統(tǒng)用戶的顧慮，可以通過對(duì)數(shù)據(jù)加密來解決這個(gè)問題，用戶自己本身可以通過系統(tǒng)加密的功能來對(duì)數(shù)據(jù)進(jìn)行加密。加密的密碼鑰匙是直接由用戶保管，他人或者第三方軟件不能訪問到用戶的數(shù)據(jù)，從而保證了用戶自身數(shù)據(jù)的安全性。訪問系統(tǒng)時(shí)可以通過用戶自身的密碼鑰匙去訪問與用戶對(duì)應(yīng)的數(shù)據(jù)塊。

（3）數(shù)據(jù)的差異性保護(hù)策略。在云存儲(chǔ)數(shù)據(jù)顯示前，用戶的數(shù)據(jù)不會(huì)外泄，用戶的數(shù)據(jù)是存儲(chǔ)在自己本身的服務(wù)器中的，同樣為了用戶數(shù)據(jù)的安全性，保密等級(jí)不可缺少，這樣就有效地保證了數(shù)據(jù)的安全性。比較重要的數(shù)據(jù)用戶可以自身保管，私有存儲(chǔ)只有用戶自身可以訪問，所以不用擔(dān)心數(shù)據(jù)泄露。通用型的數(shù)據(jù)用戶可以選擇保存在云存儲(chǔ)上面，這樣一來用戶的實(shí)用性和安全性都得到了保證。云存儲(chǔ)面臨的新挑戰(zhàn)。

[1]王大朋. 移動(dòng)用戶隱私保護(hù)機(jī)制若干技術(shù)研究[D].寧波：寧波大學(xué)，2014.

[2]王珺. 移動(dòng)云存儲(chǔ)安全保護(hù)方案的研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2014.

[3]沈權(quán)，周崎.安徽移動(dòng):云存儲(chǔ)下的容災(zāi)建設(shè)[J].通信世界，2011（5）：37-38.

Analysis on implementation of security protection scheme for mobile cloud storage

Zhang Junlin
（Guangdong Polytechnic College, Zhaoqing 526000, China）

With the development of the Internet technology, network big data era has arrived, distributed storage system and mobile cloud storage system are widely used, more and more individuals and enterprises will store their own data in the cloud. On the research in this paper, the mobile cloud storage technology, the mobile cloud storage technology is very important for the safety protection scheme, through the research of mobile cloud storage, this paper puts forward some security protection schemes to improve the cloud data security, to protect the interests of the users.

data age; mobile cloud storage; security and protection

張俊林（1978— ），男，安徽渦陽，碩士，講師；研究方向：網(wǎng)絡(luò)安全，物聯(lián)網(wǎng)技術(shù)。