1、    云存儲(chǔ)環(huán)境下的用戶數(shù)據(jù)安全機(jī)制研究    摘 要 云計(jì)算環(huán)境依賴于云存儲(chǔ)系統(tǒng)為用戶提供數(shù)據(jù)存儲(chǔ)、檢索等服務(wù)，但是云數(shù)據(jù)遠(yuǎn)程存儲(chǔ)使用戶面臨巨大安全威脅，特別是近年來云存儲(chǔ)系統(tǒng)中大量泄密事件的發(fā)生表明針對(duì)云存儲(chǔ)的攻擊越來越多，對(duì)此，我們必須給予高度重視。本文主要著眼于云存儲(chǔ)環(huán)境下用戶數(shù)據(jù)安全性、完整性問題，開展關(guān)于用戶數(shù)據(jù)安全機(jī)制的研究，以求進(jìn)一步消減云存儲(chǔ)環(huán)境與用戶間的安全藩籬?！娟P(guān)鍵詞】云存儲(chǔ) 安全機(jī)制 數(shù)據(jù)完整性隨著云計(jì)算在全球范圍內(nèi)的迅猛發(fā)展和廣泛普及，云存儲(chǔ)也得到了廣泛應(yīng)用，越來越多的用戶開始使用云存儲(chǔ)系統(tǒng)存放數(shù)據(jù)，但由于云存儲(chǔ)自身特點(diǎn)比如

2、基于合約的服務(wù)模式、服務(wù)器不完全可信等，使得云上的用戶數(shù)據(jù)面臨著比傳統(tǒng)存儲(chǔ)中更為復(fù)雜的安全問題。如何保證用戶數(shù)據(jù)安全、確保數(shù)據(jù)安完整性和可用性，最終實(shí)現(xiàn)安全的共享操作已成為我們面臨的重要課題?；诖耍覀儽仨氃鰪?qiáng)云存儲(chǔ)系統(tǒng)中面向用戶數(shù)據(jù)安全性、完整性的保護(hù)機(jī)制，切實(shí)提升整個(gè)云計(jì)算環(huán)境的安全。1 云存儲(chǔ)環(huán)境下用戶數(shù)據(jù)安全的核心問題云安全基本需求即信息安全三要素為保密性、完整性和可用性。首先，加密是確保云存儲(chǔ)環(huán)境下用戶數(shù)據(jù)保密性的主要手段，但利用普通對(duì)稱加密并不能實(shí)現(xiàn)對(duì)每份數(shù)據(jù)的獨(dú)立保護(hù)，隨著資源數(shù)量的增多，其工作量和復(fù)雜程度就會(huì)增長(zhǎng)，會(huì)造成索引失效，并可能影響上層部署機(jī)制可用性。其次，在數(shù)據(jù)完整

3、性方面，確保數(shù)據(jù)不被有意、無意纂改非常重要，同時(shí)還不能限制數(shù)據(jù)共享需求，需關(guān)注數(shù)據(jù)訪問控制，并保證其靈活性，對(duì)于云存儲(chǔ)環(huán)境下用戶外包數(shù)據(jù)的安全性，則依賴于云存儲(chǔ)環(huán)境的可信度。再次，數(shù)據(jù)可用性要求即便是遭受惡意攻擊或者發(fā)生突發(fā)事件，云存儲(chǔ)系統(tǒng)中的數(shù)據(jù)仍然能正常使用，這是衡量云存儲(chǔ)服務(wù)質(zhì)量最為重要的指標(biāo)。數(shù)據(jù)可控性和容錯(cuò)性也非常重要，資源存儲(chǔ)在第三方服務(wù)平臺(tái)，用戶不能控制其外包數(shù)據(jù)，要確保云存儲(chǔ)數(shù)據(jù)安全，就必須通過訪問控制手段、信任機(jī)制和安全審計(jì)等對(duì)用戶數(shù)據(jù)進(jìn)行監(jiān)控，而當(dāng)云存儲(chǔ)系統(tǒng)崩潰或是操作失誤使外包數(shù)據(jù)丟失，進(jìn)行數(shù)據(jù)恢復(fù)、實(shí)現(xiàn)系統(tǒng)容錯(cuò)非常關(guān)鍵。2 面對(duì)云存儲(chǔ)的用戶數(shù)據(jù)安全機(jī)制為保證云上用戶數(shù)據(jù)

4、的安全，提出一種包含數(shù)據(jù)機(jī)密性、完整性和可用性的面向用戶的安全機(jī)制，筆者主要對(duì)基礎(chǔ)設(shè)施層安全、平臺(tái)安全和應(yīng)用安全進(jìn)行層層分析。基礎(chǔ)設(shè)施層安全是云數(shù)據(jù)安全的基礎(chǔ)，該層包括服務(wù)器、存儲(chǔ)設(shè)備、路由器、交換機(jī)、bigip等，需考慮物理安全和網(wǎng)絡(luò)安全。在物理安全方面，首先應(yīng)保持保持硬件的更新?lián)Q代；其次對(duì)能夠進(jìn)入數(shù)據(jù)中心的內(nèi)部人員資格進(jìn)行審查，控制其訪問權(quán)限；再次，設(shè)置足夠數(shù)量的虛擬機(jī)，并將其分布在不同地區(qū)，保證數(shù)據(jù)中心在遇到自然災(zāi)害時(shí)而導(dǎo)致不可用的情況下能立即切換到其他可用數(shù)據(jù)中心，還要及時(shí)備份數(shù)據(jù)，盡量使用不同電力和網(wǎng)絡(luò)供應(yīng)商。在網(wǎng)絡(luò)安全方面，設(shè)置一道與外界網(wǎng)絡(luò)隔離的屏障，web服務(wù)器端口采用http

5、的80端口與https的443端口，應(yīng)用服務(wù)器主要處理后臺(tái)操作，不直接通信，web服務(wù)器通過端口對(duì)該服務(wù)器進(jìn)行訪問，該服務(wù)器通過3306端口訪問數(shù)據(jù)庫(kù)服務(wù)器。云計(jì)算環(huán)境下，應(yīng)用與ip白名單相似的功能，使某些應(yīng)用或數(shù)據(jù)只由指定使用者的ip訪問。內(nèi)部數(shù)據(jù)通信采用ssl，并采用https對(duì)云存儲(chǔ)系統(tǒng)與用戶進(jìn)行相互認(rèn)證。在平臺(tái)安全方面，為保證云上用戶數(shù)據(jù)可用性，應(yīng)進(jìn)行數(shù)據(jù)備份，以azure為例，可建立存儲(chǔ)備份賬號(hào)，以此來支持與原存儲(chǔ)賬號(hào)之間的hot-failover。云存儲(chǔ)環(huán)境下對(duì)數(shù)據(jù)具有優(yōu)先掌控權(quán)和訪問權(quán)的不是用戶，而是云存儲(chǔ)服務(wù)商，鑒于商業(yè)利益或系統(tǒng)漏洞，用戶數(shù)據(jù)可能遭受攻擊、纂改、復(fù)制、丟失等威

6、脅，這就要求云存儲(chǔ)服務(wù)商定期進(jìn)行數(shù)據(jù)檢驗(yàn)，保證數(shù)據(jù)完整性，可設(shè)計(jì)一個(gè)云數(shù)據(jù)保護(hù)模型，用戶首先對(duì)原始數(shù)據(jù)進(jìn)行糾錯(cuò)編碼并加錯(cuò)等預(yù)處理，生成存儲(chǔ)數(shù)據(jù)，原始數(shù)據(jù)被分割成m個(gè)大小相等的數(shù)據(jù)塊（f1，f2，.，fm），每個(gè)數(shù)據(jù)塊進(jìn)一步被分割，緊接著采用高效的糾錯(cuò)碼對(duì)這些數(shù)據(jù)塊進(jìn)行編碼，將原始數(shù)據(jù)f編碼為存儲(chǔ)數(shù)據(jù)m，最后用戶將外包編碼數(shù)據(jù)m傳至云端csp進(jìn)行存儲(chǔ)和管理；根據(jù)設(shè)定的安全參數(shù)對(duì)進(jìn)一步分割后的數(shù)據(jù)塊計(jì)算標(biāo)簽，將生成后的標(biāo)簽以加密形式存儲(chǔ)服務(wù)器，服務(wù)器接收到挑戰(zhàn)chal時(shí)，生成證據(jù)，通過服務(wù)器將證據(jù)返給用戶，用戶接收后用私鑰運(yùn)算后判斷存儲(chǔ)數(shù)據(jù)是否存在異常，發(fā)現(xiàn)異常數(shù)據(jù)，通過糾錯(cuò)碼對(duì)數(shù)據(jù)予以恢復(fù)。另外

7、，采用隔離機(jī)制將用戶間、用戶與云間隔離，保證用戶數(shù)據(jù)和應(yīng)用的安全性。在應(yīng)用安全方面，身份認(rèn)證、訪問控制以及數(shù)據(jù)保護(hù)都是非常必要的安全手段，關(guān)于身份認(rèn)證，可基于用戶口令、一次性認(rèn)證碼或安全證書，無論何種認(rèn)證方式，其認(rèn)證級(jí)別都應(yīng)能滿足數(shù)據(jù)和應(yīng)用的安全性要求和需求；關(guān)于訪問控制，采用url訪問控制策略、abe技術(shù)和proxy re-encryption技術(shù)等；對(duì)于數(shù)據(jù)保護(hù)，可通過數(shù)據(jù)加密技術(shù)保證數(shù)據(jù)不被未授權(quán)用戶訪問，與此同時(shí)在授權(quán)用戶之間實(shí)現(xiàn)數(shù)據(jù)共享，采用驗(yàn)證碼確保數(shù)據(jù)完整性，采用水印為數(shù)據(jù)使用追蹤提供支持。3 結(jié)語總之，云存儲(chǔ)是云計(jì)算重要的支撐功能，能夠?yàn)橛脩舸鎯?chǔ)、檢索、訪問數(shù)據(jù)帶來前所未有的便利。但我們也應(yīng)看到云存儲(chǔ)環(huán)境下用戶數(shù)據(jù)所面臨的安全威脅，明確用戶數(shù)據(jù)安全的核心問題，提取云中安全需求，提出一個(gè)綜合性的、面向云存儲(chǔ)用戶的數(shù)據(jù)安全機(jī)制，從完整性、保密性及可用性方面為云存儲(chǔ)環(huán)境中用戶數(shù)據(jù)安全提供保障。相信隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的進(jìn)一步發(fā)展、安全防護(hù)系統(tǒng)和數(shù)據(jù)完整性校驗(yàn)機(jī)制的完善以及信任與追蹤缺失問題的解決，云存儲(chǔ)數(shù)據(jù)安全問題將得到有效解決。參考文獻(xiàn)1鄧曉鵬.面向云存儲(chǔ)的用戶數(shù)據(jù)安全機(jī)制研究d.解放軍信息工程大學(xué)，2013.2安寶宇.云存儲(chǔ)中數(shù)據(jù)完整性保護(hù)關(guān)鍵技術(shù)研究d.北京郵電大學(xué)，2012.3傅穎勛，羅圣美，舒繼武.一種云存儲(chǔ)環(huán)境下的安全網(wǎng)盤系統(tǒng)j.軟件學(xué)報(bào)，