欒忠祥

摘? 要： 針對(duì)在云計(jì)算領(lǐng)域數(shù)據(jù)丟失與泄露產(chǎn)生的損失和影響不斷加劇，研究分析了云計(jì)算框架的安全策略，討論常用的數(shù)據(jù)加密算法。依據(jù)云環(huán)境的特性，提出了在保證服務(wù)質(zhì)量與數(shù)據(jù)完整的前提下，對(duì)云計(jì)算中使用的數(shù)據(jù)進(jìn)行加密，同時(shí)使用各類(lèi)工具進(jìn)行身份驗(yàn)證，為各類(lèi)使用者制定相關(guān)云計(jì)算安全服務(wù)體系。在對(duì)已有安全保護(hù)的技術(shù)對(duì)比分析和加密算法深入討論的基礎(chǔ)上，指出了云計(jì)算中數(shù)據(jù)安全的未來(lái)發(fā)展方向。

關(guān)鍵詞： 云計(jì)算; 云存儲(chǔ); 數(shù)據(jù)安全; 隱私保護(hù); 數(shù)據(jù)加密

中圖分類(lèi)號(hào)：TP309.2? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ?文章編號(hào)：1006-8228（2021）04-35-03

Abstract： In the field of cloud computing， the loss and impact resulted in by data loss and data leakage have been increasing. This paper studies and analyzes the security strategy of cloud computing framework， and discusses the common data encryption algorithms. According to the characteristics of cloud environment， this paper proposes to encrypt the data used in cloud computing on the premise of ensuring the quality of service and data integrity， and at the same time， use various tools for identity authentication， in order to formulate relevant cloud computing security service system for all kinds of users. On the basis of comparative analysis of existing security protection technologies and in-depth discussion of encryption algorithms， the future development direction of data security in cloud computing is pointed out.

Key words： cloud computing; cloud storage; data security; privacy protection; data encryption

0 引言

云計(jì)算作為21世紀(jì)互聯(lián)網(wǎng)時(shí)代最重要的高新技術(shù)之一，引發(fā)了全球各大企業(yè)對(duì)云計(jì)算領(lǐng)域的研發(fā)，但隨著研究的深入，云計(jì)算數(shù)據(jù)的安全性越來(lái)越引起廣泛的重視，研發(fā)者開(kāi)始進(jìn)軍數(shù)據(jù)安全領(lǐng)域，著重于數(shù)據(jù)的隱私保護(hù)與加密，提升用戶體驗(yàn)，打造企業(yè)的知名度，同時(shí)在國(guó)家層面，提高互聯(lián)網(wǎng)國(guó)際競(jìng)爭(zhēng)優(yōu)勢(shì)。

在互聯(lián)網(wǎng)發(fā)展的大環(huán)境下，政府部門(mén)，企業(yè)或者個(gè)人用戶將私人信息或者公共信息存入云端，對(duì)云計(jì)算數(shù)據(jù)的安全保護(hù)顯得尤為重要。當(dāng)云端數(shù)據(jù)出現(xiàn)風(fēng)險(xiǎn)時(shí)，會(huì)導(dǎo)致數(shù)據(jù)泄露，數(shù)據(jù)信息不完善，數(shù)據(jù)冒用等情況，會(huì)給個(gè)人和機(jī)構(gòu)帶來(lái)巨大的經(jīng)濟(jì)損失。但是通過(guò)數(shù)據(jù)安全技術(shù)的應(yīng)用，能夠?qū)崿F(xiàn)對(duì)使用者信息數(shù)據(jù)的安全保護(hù)，提高數(shù)據(jù)的安全性，大幅度降低信息數(shù)據(jù)丟失和出錯(cuò)，可以防止用戶自身的利益或者企業(yè)的集體利益受到重創(chuàng)。所以，提高數(shù)據(jù)的安全性，對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)不僅是項(xiàng)目團(tuán)隊(duì)研發(fā)的需要，也是國(guó)家實(shí)力提升的象征。

同時(shí)隨著事物之間的共享，互聯(lián)等特性[1]，更要極力保證數(shù)據(jù)的真實(shí)性，可靠性，防止垃圾信息占據(jù)過(guò)多的公共資源空間，通過(guò)將信息安全引入云計(jì)算領(lǐng)域，保證網(wǎng)絡(luò)環(huán)境的將抗，積極向上。

1 云計(jì)算框架的安全策略分析

云計(jì)算技術(shù)主要面臨三大層面的安全威脅：以操作系統(tǒng)等基礎(chǔ)部件為主的基礎(chǔ)設(shè)施即服務(wù)層（IaaS）[1]，以網(wǎng)絡(luò)平臺(tái)開(kāi)發(fā)環(huán)境和資源為主的平臺(tái)即服務(wù)層（PaaS）[2]，以軟件實(shí)際應(yīng)用為主的軟件即服務(wù)層（Saas）[3]。依據(jù)三大層面可將云計(jì)算租戶責(zé)任和云服務(wù)商責(zé)任模式劃分如表1所示。

由表1可知：軟件即服務(wù)層的數(shù)據(jù)信息是既是租戶應(yīng)承擔(dān)的責(zé)任，同時(shí)也是運(yùn)服務(wù)商的負(fù)責(zé)領(lǐng)域，只有IaaS層的數(shù)據(jù)信息是租戶負(fù)責(zé)的。由此，我們針對(duì)以上三大層面數(shù)據(jù)的保障與應(yīng)用進(jìn)行詳細(xì)探討并對(duì)現(xiàn)階段我國(guó)在該領(lǐng)域的突破進(jìn)行說(shuō)明。

1.1 Joyent智慧云技術(shù)在IaaS層的應(yīng)用

在數(shù)據(jù)安全方面，Joyent智慧云技術(shù)法使root用法戶執(zhí)行每臺(tái)機(jī)器管理的同時(shí)，無(wú)法再去操控操作系統(tǒng)的內(nèi)核。通過(guò)隔離的方式，將內(nèi)存獨(dú)立成一個(gè)整體;采用關(guān)閉網(wǎng)絡(luò)或者使用其他網(wǎng)絡(luò)的方式進(jìn)行網(wǎng)絡(luò)隔離;并通過(guò)對(duì)處理器的隔離操作，阻止網(wǎng)絡(luò)的開(kāi)啟配置任務(wù)，并有效阻止流量的探測(cè)，保證用戶使用的云應(yīng)用程序是相互隔離的，由此確保數(shù)據(jù)的安全性。

1.2 GAE在PaaS層的應(yīng)用

在數(shù)據(jù)安全方面，PaaS層的應(yīng)用必須有具體的客戶標(biāo)識(shí)符，通常由一個(gè)鍵值確定，避免與其他用戶的數(shù)據(jù)信息發(fā)生沖突。Google App Engine可以通過(guò)虛擬化應(yīng)用程序，來(lái)進(jìn)行開(kāi)發(fā)和托管，主要針對(duì)Web網(wǎng)頁(yè)的應(yīng)用程序。GAE提供了一套幫助機(jī)制，幫助用戶獲取互聯(lián)網(wǎng)資源并將其保存，也可以使用這套機(jī)制發(fā)送郵件或者對(duì)圖文信息進(jìn)行操作，同時(shí)也有部分使用者用這套機(jī)制緩沖數(shù)據(jù)。此外，開(kāi)發(fā)人員使用該平臺(tái)不用考慮內(nèi)存等難以控制的問(wèn)題，但GAE對(duì)文檔的操作以及數(shù)據(jù)的應(yīng)用（如查詢(xún)信息）要求嚴(yán)格，必須以索引形式進(jìn)行，而且不支持同時(shí)兩個(gè)不等式做條件的查詢(xún)。針對(duì)用戶體驗(yàn)而談，用戶只需要使用供應(yīng)商提供的資源，就可以進(jìn)行開(kāi)發(fā)或者委托管理，解決了硬件設(shè)施問(wèn)題，選擇的委托管理方安全問(wèn)題以及其他運(yùn)維資金問(wèn)題。

1.3 SaaS層數(shù)據(jù)安全保障與應(yīng)用

大部分企業(yè)選擇使用基于網(wǎng)絡(luò)的加密代理方式保證數(shù)據(jù)的安全。此外，在云計(jì)算領(lǐng)域還有兩種常見(jiàn)的數(shù)據(jù)加密方式：第一種方式是用戶在客戶端發(fā)送數(shù)據(jù)后在本地接收密鑰，系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行加密并保存在云存儲(chǔ)空間中，密鑰始終在用戶手中;第二種方式是在發(fā)送數(shù)據(jù)之前在本地進(jìn)行加密。這兩種方式對(duì)軟件要求較高且具有很難管理，只有少部分企業(yè)使用。

2 云計(jì)算數(shù)據(jù)加密技術(shù)的算法研究

研發(fā)團(tuán)隊(duì)使用的加密技術(shù)，一般是以加密盤(pán)或存儲(chǔ)加密為主的加密方式，這類(lèi)加密技術(shù)的工作區(qū)域在存儲(chǔ)后端，但從加密位置看，一般分為應(yīng)用層加密、網(wǎng)關(guān)層加密、存儲(chǔ)系統(tǒng)加密和后續(xù)研發(fā)的加密硬盤(pán)技術(shù)[4]。這四類(lèi)加密方式具體信息如表2所示。

因?yàn)閼?yīng)用層加密方式在網(wǎng)絡(luò)層和存儲(chǔ)系統(tǒng)中是無(wú)反應(yīng)的，所以其兼容性最好，同時(shí)也可以保證數(shù)據(jù)傳輸?shù)陌踩浴８鶕?jù)以上提到的加密方式相關(guān)算法，我們針對(duì)常用的用戶在應(yīng)用層上傳數(shù)據(jù)的加密技術(shù)，通過(guò)數(shù)字簽名方式的非對(duì)稱(chēng)算法加密技術(shù)，以及與對(duì)稱(chēng)加密算法相結(jié)合的加密技術(shù)進(jìn)行詳細(xì)討論。

2.1 應(yīng)用層加密

隨著互聯(lián)網(wǎng)的發(fā)展，以抖音，新浪微博，知乎等軟件越來(lái)越得到各個(gè)年齡段人的青睞，但用戶在使用中只能控制粗粒度的訪問(wèn)，無(wú)法控制細(xì)粒度的訪問(wèn)，在此層面可以給被關(guān)注者細(xì)粒度訪問(wèn)的授權(quán)，或者設(shè)置密文控制防止權(quán)限，同時(shí)用戶有選擇地決定應(yīng)用軟件是否可以使用手機(jī)定位信息。此外，可以通過(guò)隨機(jī)哈希鎖實(shí)現(xiàn)RFID的安全保證和數(shù)據(jù)加密，防止在消費(fèi)中造成數(shù)據(jù)泄露。

2.2 數(shù)字簽名

在非對(duì)稱(chēng)加密領(lǐng)域，數(shù)字信息更能體現(xiàn)數(shù)據(jù)的真實(shí)性和完整性，于是通過(guò)數(shù)字串形成的數(shù)字簽名成為該領(lǐng)域研發(fā)較多的技術(shù)。對(duì)于安全性要求較高的信息數(shù)據(jù)，一般使用融合數(shù)字簽名與其他身份鑒別技術(shù)組成身份認(rèn)證系統(tǒng)，避免使用者的隱私信息泄露或者身份造假，確保數(shù)據(jù)使用的安全性，目前，通常使用融合二維碼、數(shù)字簽名以及人臉識(shí)別等技術(shù)的身份認(rèn)證系統(tǒng)[5]。

2.3 對(duì)稱(chēng)加密算法與非對(duì)稱(chēng)加密算法相結(jié)合

用戶在使用云計(jì)算服務(wù)中，無(wú)法保證隱私信息是否能得到保護(hù)，隨著信息安全研究的深入，研究人員根據(jù)對(duì)稱(chēng)密鑰在云計(jì)算中適合對(duì)海量數(shù)據(jù)進(jìn)行加密以及非對(duì)稱(chēng)密鑰具有較高的安全性，得出了兩種算法相結(jié)合的方案[6]，實(shí)現(xiàn)了運(yùn)行效率高，安全性能好的數(shù)據(jù)存儲(chǔ)機(jī)制。而兩種算法相結(jié)合的使用方法也可以實(shí)現(xiàn)算法的最優(yōu)化，一定程度上可以杜絕非法輸入情況。

3 云計(jì)算的安全服務(wù)體系

隨著云計(jì)算研究的深入，使用者數(shù)量的逐漸增加，保證云計(jì)算應(yīng)用中數(shù)據(jù)安全的服務(wù)顯得格外重要，針對(duì)現(xiàn)有的云計(jì)算安全技術(shù)，可以針對(duì)用戶對(duì)數(shù)據(jù)安全性的需求等級(jí)，將其服務(wù)體系分為三種體系：第一種體系是以公共服務(wù)平臺(tái)類(lèi)型為主的云計(jì)算安全基礎(chǔ)服務(wù)體系;第二種體系是以商務(wù)應(yīng)用服務(wù)類(lèi)型為主的云計(jì)算安全應(yīng)用服務(wù)體系;第三種體系是以政府軍隊(duì)的部分保密機(jī)關(guān)類(lèi)型為主的云計(jì)算安全軍政服務(wù)體系。它們的適用領(lǐng)域及研發(fā)難度如表3所示。

由表3可知，在云計(jì)算安全服務(wù)三大體系，隨著使用者對(duì)云環(huán)境要求的提升，研發(fā)團(tuán)隊(duì)使用的技術(shù)難度也逐步提升，由此，我們針對(duì)這三類(lèi)服務(wù)體系的服務(wù)內(nèi)容將其進(jìn)行詳細(xì)說(shuō)明。

3.1 云計(jì)算安全基礎(chǔ)服務(wù)

云計(jì)算安全基礎(chǔ)服務(wù)以提高社會(huì)公民生活水平為基準(zhǔn)，在保證公民信息安全的前提下，實(shí)現(xiàn)公民衣食住行方面的便利條件?，F(xiàn)階段以阿里云，美團(tuán)云，攜程云等為廣大公民提供云服務(wù)，部分社區(qū)實(shí)行智慧城市標(biāo)準(zhǔn)，開(kāi)啟社區(qū)云服務(wù)，逐步提高居民生活水準(zhǔn)。

3.2 云計(jì)算安全應(yīng)用服務(wù)

云計(jì)算安全應(yīng)用服務(wù)通過(guò)設(shè)置企業(yè)各員工權(quán)限，提供云辦公環(huán)境，保證員工的辦公效率和公司內(nèi)部信息的安全性，同時(shí)配合高權(quán)限者的身份管理，以及公司云監(jiān)管，云審計(jì)，保證了公司的財(cái)務(wù)透明度。

3.3 云計(jì)算安全軍政服務(wù)

云計(jì)算安全軍政服務(wù)通過(guò)加密使用者在應(yīng)用層上傳的數(shù)據(jù)做出對(duì)數(shù)據(jù)的基本加密，通過(guò)數(shù)字簽名等非對(duì)稱(chēng)加密算法保證在機(jī)關(guān)開(kāi)會(huì)期間的數(shù)據(jù)完整性和可靠性，同時(shí)對(duì)機(jī)關(guān)工作人員的身份進(jìn)行鑒別，并在此基礎(chǔ)上添加對(duì)稱(chēng)加密算法與其結(jié)合等方式，保證了政府及軍隊(duì)信息的保密性，同時(shí)通過(guò)多重云監(jiān)管模式和在職人員的權(quán)限設(shè)置，保證政務(wù)信息不會(huì)泄露，每一位使用者不會(huì)瀏覽到越過(guò)自己權(quán)限的信息，保證政務(wù)信息的專(zhuān)一性。同時(shí)可以防止垃圾信息進(jìn)入云辦公環(huán)境中。

4 結(jié)束語(yǔ)

本文提出了在互聯(lián)網(wǎng)時(shí)代云計(jì)算數(shù)據(jù)的安全保護(hù)方案，結(jié)合云計(jì)算領(lǐng)域數(shù)據(jù)丟失與泄露產(chǎn)生的損失和影響不斷加劇的問(wèn)題，基于云計(jì)算框架的安全策略分析與數(shù)據(jù)加密技術(shù)的算法研究，實(shí)現(xiàn)了以公共服務(wù)平臺(tái)類(lèi)型為主的云計(jì)算安全應(yīng)用服務(wù)體系和以商務(wù)應(yīng)用服務(wù)類(lèi)型為主以政府軍隊(duì)的部分保密機(jī)關(guān)類(lèi)型為主的云計(jì)算安全軍政服務(wù)體系。

本文結(jié)合Joyent智慧云技術(shù)法對(duì)基礎(chǔ)設(shè)施即服務(wù)層技術(shù)分析，GAE在平臺(tái)即服務(wù)層操作研究以及在軟件即服務(wù)層的三種加密方式，重點(diǎn)探討了云計(jì)算安全框架的安全技術(shù);根據(jù)討論結(jié)果對(duì)數(shù)據(jù)加密常用的算法進(jìn)行詳細(xì)研究，通過(guò)在網(wǎng)絡(luò)媒體授權(quán)細(xì)粒度訪問(wèn)以及使用隨機(jī)哈希鎖保障RFID的安全是實(shí)現(xiàn)在應(yīng)用層加密，使用非對(duì)稱(chēng)加密方式（如數(shù)字簽名）保障身份可靠性和完整性，并結(jié)合對(duì)稱(chēng)加密算法提高數(shù)據(jù)安全性;在此基礎(chǔ)上，針對(duì)用戶對(duì)數(shù)據(jù)安全性的需求等級(jí)，將其服務(wù)體系分為三種體系，提高用戶使用的便利性。對(duì)于云空間入侵者竊取挖掘用戶信息的防范對(duì)策，可用作后續(xù)的研究工作。

參考文獻(xiàn)（References）：

[1] 岳冬利，劉海濤，孫傲冰.IaaS公有云平臺(tái)調(diào)度模型研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011.32（6）：1889-1892，1897

[2] 羅軍舟，金嘉暉，宋愛(ài)波，東方.云計(jì)算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報(bào)，2011.32（7）：3-21

[3] 林海略，韓燕波.多租戶應(yīng)用的性能管理關(guān)鍵問(wèn)題研究[J].計(jì)算機(jī)學(xué)報(bào)，2010.33（10）：1881-1895

[4] 姜唐.云計(jì)算安全之?dāng)?shù)據(jù)加密[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2018.44（18）：52-53

[5] 徐劍，趙英南，田永純，周福才.融合二維碼與人臉識(shí)別的會(huì)議身份認(rèn)證系統(tǒng)研究[J].信息網(wǎng)絡(luò)安全，2015.4：13-18

[6] 胡光永.基于云計(jì)算的數(shù)據(jù)安全存儲(chǔ)策略研究[J].計(jì)算機(jī)測(cè)量與控制，2011.19（10）：2539-2541