羅菲

摘 要：云計算的出現(xiàn)，極大地提高了網(wǎng)絡(luò)資源利用率，讓用戶之間的資源共享變得更為便利，但其數(shù)據(jù)存儲安全，也受到了廣大用戶群體的重視?；诖?，文章就云計算環(huán)境下數(shù)據(jù)存儲安全的關(guān)鍵技術(shù)進行分析，在明確其云計算環(huán)境下數(shù)據(jù)存儲安全內(nèi)容的基礎(chǔ)上，進一步介紹了數(shù)據(jù)加密技術(shù)、Hadoop安全機制、數(shù)據(jù)敏感度模型。

關(guān)鍵詞：云計算環(huán)境；數(shù)據(jù)存儲；數(shù)據(jù)加密

中圖分類號：TP393.08 文獻標志碼：A 文章編號：2095-2945（2018）06-0044-02

Abstract： Cloud computing has greatly improved the utilization of network resources and made the sharing of resources between users more convenient. However， the security of data storage has also been attached importance to by the vast number of user groups. Based on this， this paper analyzes the key technologies of data storage security in cloud computing environment， and on the basis of clear data storage security content in cloud computing environment， data encryption technology， Hadoop security mechanism and data sensitivity model are further introduced.

Keywords： Cloud computing environment； data storage； data encryption

前言

隨著現(xiàn)代信息技術(shù)整體的高速發(fā)展，云計算的發(fā)展前景與應(yīng)用范圍都得到了極大擴充。云計算作為一種新型的計算機技術(shù)，在數(shù)據(jù)存儲安全方面，還需要得到進一步的完善，對一些普遍存在的安全問題，也必須進行妥善處理。因此，探究云計算環(huán)境下數(shù)據(jù)存儲安全的關(guān)鍵技術(shù)，對于維護云服務(wù)水平、提升云用戶的應(yīng)用體驗、促進云計算的未來發(fā)展，能夠起到重要作用。

1 云計算環(huán)境下數(shù)據(jù)存儲安全概述

云計算環(huán)境下的數(shù)據(jù)存儲，包括數(shù)據(jù)存儲與管理。在實際應(yīng)用過程中，存儲安全則包括認證服務(wù)、數(shù)據(jù)加密存儲、安全管理以及安全日志和安全審計。

其中，認證服務(wù)的主要作用，就是通過單點登錄、訪問控制等技術(shù)，避免在云計算這種開放環(huán)境當中，發(fā)生服務(wù)劫持、服務(wù)濫用等情況，屬于安全防御方式當中的一種。

數(shù)據(jù)加密存儲，主要應(yīng)用傳輸加密技術(shù)與存儲加密技術(shù)，來保證用戶的數(shù)據(jù)信息安全，使得用戶數(shù)據(jù)在存儲與傳輸過程中，得到全面保障，尤其是對敏感數(shù)據(jù)信息的保密性提升，具有重要意義。

安全管理，是云服務(wù)提供商所需要的技術(shù)模塊，主要功能就是對用戶信息與用戶權(quán)限進行維護，具體內(nèi)容包括對用戶賬號的注冊與注銷、用戶授權(quán)、特殊情況下的權(quán)限管理等。這種管理的有效應(yīng)用能夠有效防止越權(quán)訪問等現(xiàn)象，對其他用戶的數(shù)據(jù)安全性，能夠起到保護作用，為整體云用戶提供一個良好的使用環(huán)境。而云計算環(huán)境下數(shù)據(jù)存儲安全當中的安全日志與安全審計，其功能是對云服務(wù)與云計算系統(tǒng)當中的安全活動或事件進行記錄，管理員利用相關(guān)技術(shù)模塊，對系統(tǒng)與用戶的計算、訪問活動進行監(jiān)管與審計。在應(yīng)用實際當中，云服務(wù)提供商，有必要通過完善的日志審核機制，保證用戶安全日志的完整性云準確性；進一步對相關(guān)日志信息進行針對性的跟蹤、記錄、審核，能夠及時獲得數(shù)據(jù)信息存儲、傳輸或用戶訪問等過程中，存在的安全隱患與安全威脅，并立刻做出響應(yīng)、生成安全審計報告。

2 云計算環(huán)境下數(shù)據(jù)存儲安全的關(guān)鍵技術(shù)

2.1 數(shù)據(jù)加密技術(shù)

在云計算環(huán)境下，數(shù)據(jù)存儲安全的技術(shù)難度有所提高，關(guān)于數(shù)據(jù)加密技術(shù)的應(yīng)用，也需要在常用加密技術(shù)的基礎(chǔ)上，進行完善與創(chuàng)新。筆者總結(jié)了現(xiàn)階段，適用于云計算環(huán)境的3種加密算法，如下：（1）AES算法。AES算法是基于3DES算法的一種對稱加密算法，具有密鑰生成快、內(nèi)存需求低、加密效率快等特點，但由于密鑰的對稱性，若密鑰在傳輸過程中丟失，有可能造成極大的安全隱患。所以，在應(yīng)用AES算法的過程中，需要對AES密鑰進行有效、完善的安全管理，才能進一步保證數(shù)據(jù)存儲的安全。（2）云端重加密算法。云端重加密算法主要利用的是云計算在實際應(yīng)用當中，存在的訪問控制特點，以CP-ABE為基礎(chǔ)所設(shè)計出的一種高性能的運算加密算法[1]。應(yīng)用云端重加密算法，能夠在不損失云計算系統(tǒng)安全性的前提下，將部分重加密的負擔，轉(zhuǎn)移到云端上，這種訪問控制結(jié)果的變換，能夠減輕數(shù)據(jù)所有者端的權(quán)限管理負擔，這對動態(tài)密文訪問控制的實現(xiàn)以及控制效率提升具有重要意義。（3）RSA算法。RSA算法在數(shù)據(jù)加密領(lǐng)域具有特殊的地位，它是首個既能用于加密，也能用于數(shù)字簽名的一種技術(shù)算法，對非對稱加密算法的研究與發(fā)展，具有極大的影響意義。在實際應(yīng)用過程中，RSA算法能夠達到很長的長度，在加密過程中，當密鑰長度達到一定的位數(shù)之后，被加密的數(shù)據(jù)幾乎不能被破解，具有極高的安全性，對已知的絕大多數(shù)密碼攻擊行為，都能夠進行有效抵抗。但由于其加密過程需要進行大素數(shù)分解，導(dǎo)致加密效率較低，更適用于對保密性要求較高的數(shù)據(jù)信息。

2.2 Hadoop安全機制

Hadoop 1.0版本之前，幾乎沒有采用任何安全技術(shù)或安全機制，但隨著用戶對數(shù)據(jù)存儲安全需求的不斷提升，必須完善構(gòu)建Hadoop安全機制。在傳統(tǒng)的Hadoop平臺下，用戶與服務(wù)、服務(wù)與用戶之間，缺乏相互的認證機制，以及相應(yīng)的機密措施，數(shù)據(jù)服務(wù)器對于存儲器及內(nèi)存數(shù)據(jù)也未采取一定的保護措施，一旦發(fā)生介質(zhì)丟失、系統(tǒng)維護、黑客入侵等情況，用戶數(shù)據(jù)信息安全將會受到極大的威脅。

針對Hadoop安全機制的構(gòu)建，主要手段就是強化Hadoop集群管理，增強集群安全性。Apache于2009年，組織了專業(yè)的技術(shù)團隊，研發(fā)相關(guān)安全認證以及授權(quán)機制，并使其能夠嵌入到Hadoop平臺當中。經(jīng)過長時間的研究、總結(jié)、實踐之后，現(xiàn)有兩種安全機制應(yīng)用較為廣泛，且安全性能良好。

（1）Simple機制。Simple機制利用的是SAAS協(xié)議，其原理就是當用戶提交訪問動作時，必須說明“你是誰”，這一操作的完成，需要通過JobConf當中的user.name，動作提交之后，由JonTracker端對證明信息進行核對，確保用戶信息屬實。在這一過程中，涉及到兩部分工作，其中一個是審核當前的訪問者，與user.name當中的用戶是否是統(tǒng)一個人；另一個就是對ACL配置文件進行核查，以檢測該訪問者所使用的權(quán)限是否合法[2]。仿真者若能通過審核，則會獲得由HDFS授予的delegation token；此后對訪問者的相關(guān)操作進行檢查，都可以通過token的存在狀況進行真實反映；在檢查過程中，還需要對使用該token的訪問者與注冊用戶的一致性進行核驗。（2）Kerberos認證機制。Kerberos認證屬于網(wǎng)絡(luò)認證協(xié)議當中的一種，主要作用就是利用密鑰系統(tǒng)，為客戶機/服務(wù)器的應(yīng)用程序，提供可靠的認證服務(wù)。在實現(xiàn)這一認證服務(wù)的過程中，不需要依賴主機操作系統(tǒng)的認證機制，也不需要依賴對主機地址的信任，更不會要求網(wǎng)絡(luò)當中所有主機的物理安全。所以說，Kerberos認證是一種第三方認證服務(wù)，其本質(zhì)是利用傳統(tǒng)的密碼技術(shù)，來完成認證服務(wù)。在現(xiàn)階段應(yīng)用的Hadoop當中，都設(shè)置了Kerberos認證機制，在此種環(huán)境下，集群的節(jié)點具有可靠性，相應(yīng)的，在進行集群部署工作過程中，Kerberos將認證的密鑰，提前分配到可靠節(jié)點上；當集群開始運行，內(nèi)部節(jié)點再通過密鑰進行認證，只要認證成功，則這些節(jié)點就可以正常使用。在認證過程中，由于試圖假冒的節(jié)點未能提前獲得密鑰，所以無法與集群內(nèi)部節(jié)點進行通信，達到預(yù)防惡意使用或篡改Hadoop集群的效果，顯著提升Hadoop集群的安全性。

2.3 數(shù)據(jù)敏感度模型

在云計算環(huán)境下，所謂的敏感數(shù)據(jù)，是指對用戶或企業(yè)十分重要的數(shù)據(jù)，一旦丟失、泄露、使用不當或在未經(jīng)授權(quán)的情況下修改，將會對用戶個人、企業(yè)甚至國家?guī)砭薮蟮耐{。云計算的應(yīng)用原理，就是通過分布式處理辦法，對大數(shù)據(jù)進行高效處理，在對數(shù)據(jù)信息進行加密時，不僅要考慮到算法的安全性，同時還要保證加密過程的快速性，而對敏感數(shù)據(jù)的的妥善處理，則是實現(xiàn)云計算環(huán)境下數(shù)據(jù)存儲安全的重要前提。

對于敏感數(shù)據(jù)的分類，可依據(jù)數(shù)據(jù)內(nèi)容的敏感系數(shù)r劃分成四個等級，分別是r=0的不敏感數(shù)據(jù)、0

在云計算環(huán)境下，構(gòu)建上述數(shù)據(jù)敏感度模型，云用戶能夠自行控制共享數(shù)據(jù)的內(nèi)容，同時，選擇性的進行數(shù)據(jù)加密，能夠在很大程度上，降低需要加密的數(shù)據(jù)量，隨著數(shù)據(jù)量的下降，則能夠進一步縮減對數(shù)據(jù)加密所應(yīng)用的時間，整體上提升數(shù)據(jù)加密效率。在敏感度數(shù)據(jù)模型當中，不同等級的數(shù)據(jù)，所對應(yīng)的加密方案也不相同，數(shù)據(jù)的敏感度等級越高，所對應(yīng)的加密方案的安全級別也更高，這一部分的數(shù)據(jù)加密方案，更加注重加密算法的安全性，現(xiàn)有的性能較高的加密算法，加密效率則相對較低，利用數(shù)據(jù)敏感度模型，能夠在對敏感度等級較低的數(shù)據(jù)進行加密時，節(jié)省出大量的時間，從而保證整體數(shù)據(jù)存儲的安全性與高效性。另外，在數(shù)據(jù)敏感度模型構(gòu)建當中，還可以進一步應(yīng)用數(shù)據(jù)存儲的代價分析結(jié)果，在加密方案選擇的過程中，要對密文的有效期及有效期內(nèi)的破譯進行有效預(yù)估，保證加密方案的選擇與應(yīng)用，使破譯代價高于加密的數(shù)據(jù)信息。

3 結(jié)束語

綜上所述，對基于云計算環(huán)境下數(shù)據(jù)存儲安全的關(guān)鍵技術(shù)進行分析，有利于擴展云計算的應(yīng)用范圍。通過相關(guān)技術(shù)分析與應(yīng)用，能夠在一定程度上，提升云計算環(huán)境下的數(shù)據(jù)存儲安全水平，這對廣大云用戶來說，能夠有效保障相關(guān)數(shù)據(jù)信息的安全，進而提升用戶體驗。因此，要重視云計算環(huán)境下，數(shù)據(jù)存儲安全問題的有效發(fā)現(xiàn)與解決，不斷提升云計算的運行效率，以推動其高效應(yīng)用，進一步促進相關(guān)產(chǎn)業(yè)與行業(yè)的綜合發(fā)展。

參考文獻：

[1]劉瑩，王海峰，張明，等.云計算環(huán)境中數(shù)據(jù)安全存儲協(xié)同模型[J].計算機應(yīng)用研究，2018（10）：1-2.

[2]加孜拉·黑那亞提.大數(shù)據(jù)云計算環(huán)境下的數(shù)據(jù)安全[J].電子技術(shù)與軟件工程，2017（15）：173.

[3]張帆，張聰，陳偉，等.基于無干擾的云計算環(huán)境行為可信性分析[J].計算機學(xué)報，2017：1-15.