陳克明

（1.東華大學(xué)研究生院，上海 200051；2.新余學(xué)院數(shù)學(xué)與計(jì)算機(jī)學(xué)院，江西 新余 338000）

?

基于云計(jì)算的分布式存儲(chǔ)安全保護(hù)技術(shù)研究

陳克明

（1.東華大學(xué)研究生院，上海 200051；2.新余學(xué)院數(shù)學(xué)與計(jì)算機(jī)學(xué)院，江西 新余 338000）

摘 要：文章通過對(duì)云計(jì)算環(huán)境下安全隱患的威脅和云計(jì)算分布式存儲(chǔ)安全保護(hù)技術(shù)研究現(xiàn)狀進(jìn)行分析，進(jìn)行對(duì)云計(jì)算中分布式存儲(chǔ)數(shù)據(jù)安全保護(hù)技術(shù)的3個(gè)安全協(xié)議方案的設(shè)計(jì)研究，以期在云計(jì)算下分布式存儲(chǔ)安全保護(hù)技術(shù)的設(shè)計(jì)研究中不斷進(jìn)行完善并做出貢獻(xiàn)。

關(guān)鍵詞：云計(jì)算；分布式存儲(chǔ)；安全保護(hù)技術(shù)

隨著科學(xué)技術(shù)的進(jìn)步發(fā)展，計(jì)算機(jī)互聯(lián)網(wǎng)的用戶群體和手機(jī)移動(dòng)客戶端的用戶群體規(guī)模在不斷擴(kuò)張，相關(guān)數(shù)據(jù)的存儲(chǔ)量以成倍增長的方式不斷膨脹，分布式存儲(chǔ)技術(shù)的研發(fā)為傳統(tǒng)單一的存儲(chǔ)模式帶來了新的思考，不僅拓展了存儲(chǔ)容量，還相應(yīng)地提高了存儲(chǔ)和讀取數(shù)據(jù)性能。但在云計(jì)算環(huán)境中，平臺(tái)的開放性與共享性使得存儲(chǔ)數(shù)據(jù)高度集中，用戶將一些照片、文檔等重要的數(shù)據(jù)文件儲(chǔ)存在云系統(tǒng)中，這也意味著一些具有私密性的數(shù)據(jù)將面臨許多安全隱患，直到2014年蘋果公司發(fā)生的好萊塢明星照片泄露事件將云計(jì)算中數(shù)據(jù)信息的安全性問題再度放大，研發(fā)人員更加致力于云計(jì)算中的數(shù)據(jù)安全保護(hù)技術(shù)的研究。本文針對(duì)云計(jì)算中分布式存儲(chǔ)的安全保護(hù)技術(shù)進(jìn)行研究，對(duì)研究的3類協(xié)議技術(shù)進(jìn)行分析，以期為云安全的技術(shù)實(shí)施提供可行性參考。

1　云計(jì)算環(huán)境下的安全威脅

云計(jì)算中的完全危險(xiǎn)無處不在，相關(guān)部門對(duì)其安全威脅方面的問題作了總結(jié)：丟失或泄露數(shù)據(jù)信息，在云計(jì)算中，萬一發(fā)生隱私信息或國家數(shù)據(jù)信息泄露或丟失將會(huì)造成不可挽回的損失；平臺(tái)共享技術(shù)出現(xiàn)漏洞；無法對(duì)服務(wù)供應(yīng)商進(jìn)行評(píng)估；用戶的身份認(rèn)證程序較為簡單時(shí)，非常容易被不良用戶入侵并進(jìn)行一些違法操作；應(yīng)用程序的接口存在隱患；終端用戶無法知曉平臺(tái)的后臺(tái)安全性協(xié)議，而一些不良服務(wù)供應(yīng)商對(duì)安全服務(wù)協(xié)議的選擇成為了安全隱患和威脅?，F(xiàn)階段云計(jì)算的使用客戶端除了計(jì)算機(jī)互聯(lián)網(wǎng)平臺(tái)被廣泛運(yùn)用還逐漸延伸到智能移動(dòng)客戶端。隨著智能移動(dòng)客戶端的接入，云計(jì)算中逐漸衍生出了一個(gè)新的研究領(lǐng)域，即移動(dòng)云。它是傳統(tǒng)云計(jì)算和移動(dòng)計(jì)算的綜合體，通過對(duì)移動(dòng)設(shè)備的操作將復(fù)雜的云計(jì)算應(yīng)用在移動(dòng)終端中，這項(xiàng)技術(shù)逐漸被諸多領(lǐng)域所應(yīng)用，同時(shí)對(duì)用戶隱私安全的技術(shù)需求則再一步得到了提高。

2　云計(jì)算分布式存儲(chǔ)安全保護(hù)技術(shù)研究現(xiàn)狀

分布式存儲(chǔ)技術(shù)是云計(jì)算發(fā)展到一定階段所應(yīng)運(yùn)而生的存儲(chǔ)技術(shù)，它標(biāo)志著對(duì)信息數(shù)據(jù)從少量的存儲(chǔ)管理到大量的規(guī)模化管理的轉(zhuǎn)變，推動(dòng)了人們對(duì)分布式存儲(chǔ)數(shù)據(jù)的統(tǒng)一調(diào)配技術(shù)的產(chǎn)生，例如一些專門性的存儲(chǔ)系統(tǒng)的研發(fā)。目前，分布式存儲(chǔ)技術(shù)的研究都集中在對(duì)數(shù)據(jù)信息的高校傳輸、存數(shù)和訪問以及對(duì)系統(tǒng)性能提高的方面中，而忽視了對(duì)信息數(shù)據(jù)的密鑰管理。例如Castro和Liskov采用復(fù)制的機(jī)制針對(duì)可容錯(cuò)的條件構(gòu)建了一個(gè)文件存儲(chǔ)系統(tǒng)，不但增加了存儲(chǔ)的負(fù)擔(dān)還缺乏密鑰機(jī)制，雖然能將數(shù)據(jù)長久地存儲(chǔ)起來，但這種操作方式非常不適合分布式存儲(chǔ)中系統(tǒng)進(jìn)行獨(dú)立處理大量數(shù)據(jù)。在對(duì)一些外包數(shù)據(jù)的安全私密的處理中，會(huì)用到一些簡單的加密技術(shù)，例如用戶通過私鑰的手段直接對(duì)數(shù)據(jù)進(jìn)行加密，但是在實(shí)際操作中依舊會(huì)存在一定風(fēng)險(xiǎn)，就是用戶所掌握的私鑰是唯一的密鑰，一旦將密鑰丟失或被竊取將產(chǎn)生非常惡劣的影響。直到后來在分布式存儲(chǔ)技術(shù)中引入了一種去中心化的糾刪碼的密鑰分享機(jī)制。這種機(jī)制是通過對(duì)同態(tài)公鑰的使用對(duì)明文進(jìn)行加密，雖然可以對(duì)系統(tǒng)的機(jī)密性起到提升，保障隱私安全，但這套方案技術(shù)中對(duì)服務(wù)器的安全協(xié)議的要求更高，依舊存在一定的風(fēng)險(xiǎn)。

依照云計(jì)算的特性，用戶將數(shù)據(jù)傳輸?shù)皆品?wù)器后就會(huì)失去對(duì)數(shù)據(jù)信息的控制權(quán)，用戶需要對(duì)自己的數(shù)據(jù)進(jìn)行下載來檢測(cè)數(shù)據(jù)的完整性，一定程度上會(huì)造成資源的浪費(fèi)。研究院通過對(duì)遠(yuǎn)程數(shù)據(jù)驗(yàn)證技術(shù)的研究可以在不下載信息資源的同時(shí)對(duì)數(shù)據(jù)進(jìn)行完整性的驗(yàn)證，但是這項(xiàng)技術(shù)依舊沒有將數(shù)據(jù)保密機(jī)制進(jìn)行完善，缺乏對(duì)惡意服務(wù)的檢測(cè)，無法預(yù)防云服務(wù)器對(duì)用戶數(shù)據(jù)信息的泄露，甚至當(dāng)數(shù)據(jù)丟失的同時(shí)失去恢復(fù)功能。

移動(dòng)終端的建設(shè)雖然方便了人們對(duì)信息的獲取，卻有自身的硬傷，有限的儲(chǔ)存空間、運(yùn)算和續(xù)航能力，而云服務(wù)則彌補(bǔ)了它的這些缺點(diǎn)，通過對(duì)資源的共享，提升終端設(shè)備的軟件，信息數(shù)據(jù)的提供為用戶提供方便快捷的服務(wù)，從而形成了云計(jì)算中的移動(dòng)云。通過對(duì)自身數(shù)據(jù)的外包，滿足移動(dòng)終端存儲(chǔ)空間不足的問題，但同時(shí)將自身數(shù)據(jù)外包的過程也存在一定的信息安全風(fēng)險(xiǎn)。

3　云計(jì)算中分布式存儲(chǔ)數(shù)據(jù)安全保護(hù)的技術(shù)

3.1 基于門限加密的分布式存儲(chǔ)數(shù)據(jù)安全協(xié)議設(shè)計(jì)

基于門限加密的分布式存儲(chǔ)數(shù)據(jù)安全協(xié)議是一種云存儲(chǔ)系統(tǒng)的協(xié)議，一般是通過數(shù)據(jù)存儲(chǔ)服務(wù)器和密鑰存儲(chǔ)服務(wù)器組成的，數(shù)據(jù)存儲(chǔ)服務(wù)器主要是用戶存儲(chǔ)了加密后的信息資料的數(shù)據(jù)，而密鑰存儲(chǔ)服務(wù)器則是用戶存儲(chǔ)了私鑰的密鑰信息數(shù)據(jù)?；陂T限加密分布存儲(chǔ)數(shù)據(jù)安全協(xié)議的方案中用戶所需要的設(shè)計(jì)的密鑰是通過用戶獨(dú)立保存的秘密參數(shù)和被分割成很多分儲(chǔ)存在密鑰存儲(chǔ)服務(wù)器中的ssk中，所以，解密過程也要分開進(jìn)行。這一套協(xié)議可以有效防止對(duì)數(shù)據(jù)服務(wù)器或密鑰服務(wù)器單獨(dú)的惡性攻擊，或者防止攻擊者恢復(fù)在第一次獲取密鑰后所截取得信息，或者預(yù)防攻擊者獲取用戶權(quán)限并試圖截取信息。

基于門限加密的分布式存儲(chǔ)數(shù)據(jù)的安全協(xié)議方案中需要對(duì)以下3個(gè)模塊進(jìn)行設(shè)計(jì)，即是系統(tǒng)設(shè)置、數(shù)據(jù)存儲(chǔ)和恢復(fù)。系統(tǒng)設(shè)置中需要對(duì)系統(tǒng)的公共參數(shù)和用戶設(shè)置一對(duì)加密的公鑰和私鑰進(jìn)行設(shè)計(jì)。通過運(yùn)行參數(shù)生成其特有算法獲得μ值，再生成公私鑰對(duì)，其中ssk不予分享給服務(wù)器或其他用戶，將消息分割成等長并生產(chǎn)數(shù)個(gè)數(shù)據(jù)塊和其唯一標(biāo)識(shí)，通過拉格朗日插值公式，將用戶私鑰中的ssk分割數(shù)份讓后隨機(jī)存在相應(yīng)數(shù)份的密鑰存儲(chǔ)服務(wù)器中，再生成與數(shù)據(jù)塊一致的密文。數(shù)據(jù)存儲(chǔ)中，用戶對(duì)生成的密文數(shù)據(jù)塊存儲(chǔ)到相應(yīng)的數(shù)據(jù)存儲(chǔ)服務(wù)器中，生成每個(gè)單獨(dú)的數(shù)據(jù)存儲(chǔ)服務(wù)器中的碼字完成數(shù)據(jù)存儲(chǔ)工作。當(dāng)需要數(shù)據(jù)恢復(fù)時(shí)，用戶需要發(fā)送代表數(shù)據(jù)塊的那個(gè)唯一標(biāo)識(shí)當(dāng)密鑰服務(wù)器收到指令后，將恢復(fù)命令發(fā)送給數(shù)據(jù)存儲(chǔ)服務(wù)器，再由密鑰服務(wù)站回收信息，用其生產(chǎn)的子密鑰對(duì)需要解密的密文進(jìn)行解密工作。從而完成基于門限加密的分布式存儲(chǔ)數(shù)據(jù)安全協(xié)議的設(shè)計(jì)。

3.2 基于云計(jì)算分布式存儲(chǔ)的完整驗(yàn)證協(xié)議設(shè)計(jì)

基于云計(jì)算分布式存儲(chǔ)的完整驗(yàn)證協(xié)議是建立在對(duì)用戶具備誠實(shí)性、在整個(gè)隱私安全技術(shù)運(yùn)行體系中的利益損失方和服務(wù)器供應(yīng)商誠信經(jīng)營的假設(shè)中設(shè)計(jì)的協(xié)議方案。在完整驗(yàn)證協(xié)議的設(shè)計(jì)中需要考慮用戶因本身存儲(chǔ)空間、管理和計(jì)算數(shù)據(jù)能力的限制的將數(shù)據(jù)進(jìn)行外包所產(chǎn)生來自服務(wù)站和惡意攻擊者的風(fēng)險(xiǎn)，以及數(shù)據(jù)上傳至云服務(wù)器后，因服務(wù)器系統(tǒng)本身缺乏魯棒性到遭遇的惡意攻擊的信息缺失的風(fēng)險(xiǎn)和防范能力。為了實(shí)現(xiàn)數(shù)據(jù)的完整性檢查，用戶應(yīng)該對(duì)消息文件等長切割后進(jìn)行公鑰加密，其生成的多個(gè)加密文件數(shù)據(jù)塊進(jìn)行標(biāo)志儲(chǔ)存在本地，然后上傳至云服務(wù)器存儲(chǔ)，并獲得服務(wù)器反饋的索引。當(dāng)云服務(wù)器收到用戶發(fā)出的完整性驗(yàn)證時(shí)，云服務(wù)器將相關(guān)驗(yàn)證值反饋給用戶，并進(jìn)行相關(guān)驗(yàn)證。這個(gè)過程中，用戶需要將元數(shù)據(jù)在本地庫中進(jìn)行保存，以方面完整性的驗(yàn)證，當(dāng)然云服務(wù)器為了使用戶了解其并未對(duì)用戶的數(shù)據(jù)進(jìn)行更改，還需要用戶選擇一個(gè)隨機(jī)密鑰和隨機(jī)群元素，并發(fā)送給云服務(wù)器，再由云服務(wù)器將其生產(chǎn)的索引反饋給用戶。完整性驗(yàn)證協(xié)議的設(shè)計(jì)中將云服務(wù)器供應(yīng)商和存儲(chǔ)服務(wù)器當(dāng)作一樣的實(shí)體對(duì)象，其存儲(chǔ)系統(tǒng)仍舊是由云數(shù)據(jù)的存儲(chǔ)服務(wù)器和密鑰存儲(chǔ)服務(wù)組成，當(dāng)將加密的數(shù)據(jù)上傳至服務(wù)器后，刪除本地?cái)?shù)據(jù)，在通過密鑰服務(wù)器的索引可以通過公開的信道重新下載恢復(fù)數(shù)據(jù)。

基于云計(jì)算分布式存儲(chǔ)的完整驗(yàn)證協(xié)議設(shè)計(jì)方案中分成三個(gè)步驟的設(shè)計(jì)。系統(tǒng)設(shè)置，生成系統(tǒng)公共參數(shù)和一對(duì)用戶需要的密鑰。通過運(yùn)行參數(shù)生成并算出后獲得μ值，生成公私鑰對(duì)，其中ssk不予分享給服務(wù)器或其他用戶，將消息分割成等長并生產(chǎn)數(shù)個(gè)數(shù)據(jù)塊和唯一標(biāo)識(shí)，使用拉格朗日插值公式將用戶的私鑰進(jìn)行分割并隨機(jī)存儲(chǔ)到相應(yīng)密鑰存儲(chǔ)服務(wù)器中，再生成和數(shù)據(jù)塊相對(duì)應(yīng)的密文。數(shù)據(jù)存儲(chǔ)的步驟和門限加密的方案基本一致，但每個(gè)密文是隨機(jī)存儲(chǔ)到云數(shù)據(jù)服務(wù)器中且每個(gè)數(shù)據(jù)服務(wù)器都獨(dú)立生產(chǎn)密文相對(duì)應(yīng)的索引。數(shù)據(jù)恢復(fù)時(shí)，需要用戶發(fā)起完整性驗(yàn)證命運(yùn)給服務(wù)器，通過相應(yīng)反饋進(jìn)行數(shù)據(jù)恢復(fù)操作，從而完成基于云計(jì)算分布式存儲(chǔ)的完整性驗(yàn)證協(xié)議的設(shè)計(jì)。

3.3 基于公共審計(jì)支持的云存儲(chǔ)服務(wù)系統(tǒng)協(xié)議設(shè)計(jì)

基于公共審計(jì)支持的云存儲(chǔ)服務(wù)系統(tǒng)協(xié)議是分布式的移動(dòng)云存儲(chǔ)的公共安全審計(jì)協(xié)議，是對(duì)用戶信息完整性的隱私安全保護(hù)協(xié)議的概括，該協(xié)議的設(shè)計(jì)中需要涉及單個(gè)參與方，移動(dòng)云、用戶和第三者審批。其中移動(dòng)云是云計(jì)算服務(wù)的新興生產(chǎn)領(lǐng)域，屬于云計(jì)算服務(wù)的范疇，同時(shí)也是有數(shù)據(jù)存儲(chǔ)服務(wù)器和密鑰服務(wù)器構(gòu)成。而第三方審計(jì)則是對(duì)云服務(wù)器供應(yīng)商是否修改用戶數(shù)據(jù)進(jìn)行檢查，解決用戶的審計(jì)任務(wù)需求，且其地位屬于公正方。一般來說這種系統(tǒng)協(xié)議可以有效提升第三方審計(jì)的效率，減少了用戶本身的加密計(jì)算量，更好地提高了系統(tǒng)運(yùn)行的效率。公共審計(jì)系統(tǒng)安全協(xié)議中為了保持器數(shù)據(jù)的完整性，用戶將本地?cái)?shù)據(jù)上傳后，將數(shù)據(jù)分割成等長，并對(duì)其每個(gè)數(shù)據(jù)塊進(jìn)行標(biāo)記，第三方審計(jì)向服務(wù)器發(fā)送指令選擇隨機(jī)數(shù)再將生產(chǎn)的索引發(fā)給移動(dòng)云，當(dāng)?shù)谌綄徲?jì)收到移動(dòng)云的反饋信息后，獨(dú)立按照相關(guān)公式進(jìn)行驗(yàn)證。使用這種公共審計(jì)支持協(xié)議的這類用戶一般都具有強(qiáng)感知、多樣性以及實(shí)時(shí)在線性的特點(diǎn)，數(shù)據(jù)的交換和產(chǎn)生幾乎無時(shí)無刻不在進(jìn)行，無形中增加了審計(jì)的任務(wù)量，所以設(shè)計(jì)該協(xié)議需要注意的另一個(gè)功能就是批量審計(jì)，對(duì)大批量信息的審計(jì)協(xié)議的設(shè)計(jì)可以改善用戶體驗(yàn)度降低通信成本。

4　結(jié)語

本文通過對(duì)基于云計(jì)算的分布式存儲(chǔ)安全保護(hù)技術(shù)進(jìn)行分析后，對(duì)3種安全協(xié)議進(jìn)行了設(shè)計(jì)研究，用戶安全隱私的保護(hù)技術(shù)需要通過復(fù)雜的加密應(yīng)用過程來完成，這是一個(gè)不斷優(yōu)化完善的過程，通過不同的安全機(jī)制設(shè)定不同的安全目標(biāo)和模型，從而進(jìn)一步趨向加密有效性、數(shù)據(jù)運(yùn)算搜索高效性、第三方審計(jì)完整性等系統(tǒng)的服務(wù)。

［參考文獻(xiàn)］

［1］李暉，孫文海，李鳳華，等.公共云存儲(chǔ)服務(wù)數(shù)據(jù)安全及隱私保護(hù)技術(shù)綜述［J］.計(jì)算機(jī)研究與發(fā)展，2014（7）：1397-1409.

［2］王麗娜，武開智，王德軍，等.一種面向連續(xù)數(shù)據(jù)保護(hù)的分布式存儲(chǔ)模型研究［J］.小型微型計(jì)算機(jī)系統(tǒng)，2011（8）：1587-1592.

Research on Security Protection Technology of Distributed Storage Based on Cloud Computing

Chen Keming
（1. Graduate School of Donghua University，Shanghai 200051，China；2.School of Mathematics and Computer Science，Xinyu University，Xinyu 338000，China）

Abstract:In this paper，through cloud computing environment safety threat and the cloud computing distributed storage security protection technology research status analysis，research on Design of cloud computing in distributed data storage security protection technology of three security protocols，in cloud computing distributed storage security protection technology research and design continue to improve and make a contribution.

Key words:cloud computing；distributed storage；security protection technology

作者簡介：陳克明（1979-），男，江西上饒，博士，副教授。