云計算安全中密碼技術應用模型研究*

尹一樺,張文科,王斯梁

(衛士通信息產業股份有限公司,四川成都610041)

云計算安全中密碼技術應用模型研究*

尹一樺,張文科,王斯梁

(衛士通信息產業股份有限公司,四川成都610041)

首先簡要分析了云計算的工作原理及可能帶來的安全隱患,在此基礎上探討了云計算環境下的安全架構,并給出了密碼技術的應用途徑。其次,從云計算環境下的安全系統工作流程這個維度,結合密碼學理論、云計算安全架構給出了在云計算安全中密碼技術的應用模型。最后,歸納出基于該模型的云計算環境中密碼應用技術及其發展趨勢,為密碼技術應用于云計算安全中提供可用的解決思路。

云計算安全 密碼技術 應用模型

0 引 言

云計算利用分布式計算和虛擬資源管理等技術,通過網絡將分散的ICT資源(包括計算與存儲、應用運行平臺、軟件等)集中起來形成彈性可擴展的共享資源池,并以按需分配和可度量服務的方式向用戶提供服務。

云計算帶來便利的同時,由于其動態的安全邊界特性,也帶來新的安全威脅[1]。傳統的靜態安全防護手段,如局域網中的身份認證、訪問控制、隱私保護等技術手段,已不能解決云環境下數據存在和可用性證明、密文檢索與處理等問題。因此,需研究利用密碼技術構建新的應用模型,來解決數據自身的安全性證明、云環境下身份認證及訪問控制機制等關鍵性安全問題[2-3]。

1 云計算安全架構

國際上權威的云計算安全研究機構CSA(云安全聯盟)發布的云計算安全指南中指出云計算存在7大安全風險,即特權用戶訪問、利于企業免責的法規遵從、數據存儲和處理的不確定性、敏感數據保護、災難恢復、可審計和可追蹤以及全生命周期的有效性。

根據云計算三層服務體系及相應的安全風險,可給出云計算安全架構,如圖1所示。在圖1中,云計算安全架構分為兩部分,云計算安全模塊以及支撐性基礎設施。云計算安全模塊是按照SaaS、PaaS、IaaS這3層服務體系進行劃分,支撐性基礎設施則是貫穿于SaaS、PaaS、IaaS這3層的安全保障措施,密碼服務則可以為這些安全保障措施的實施提供密碼資源服務(包括各類密碼算法和密碼應用接口)。

圖1 云計算安全架構Fig.1 Security architecture of cloud computing

由圖1可知,密碼技術可應用于支撐基礎設施各功能組件中,若從各功能組件角度出發來解析密碼技術在云計算安全中的應用會較為復雜,且各功能組件防護范圍均有交叉和重疊的部分,從邏輯上很難將各功能組件完全區分開。因此,本文從云環境下的安全系統工作流程這個維度來給出云計算安全中密碼技術應用模型和相關技術。

2 云計算安全中密碼技術的應用模型

2.1 概述

從安全角度而言,云端并不是可信任的第三方。因此,為了防止云端能夠讀取用戶數據的內容,云端所有處理的數據應為密文,云端不能具有解密用戶數據的能力。

從數據擁有者角度而言,云環境中用戶包括3種角色:普通用戶(普通數據擁有者/數據共享者)、管理員和云端用戶。其中,普通數據擁有者既提供數據資源又使用數據資源,使用數據資源時稱為數據共享者。

從安全系統的防護要素而言,云計算安全主要功能模塊包括:密碼系統初始化模塊Int、認證模塊Auth、數據處理模塊DealInUser或DealInCloud和授權/撤銷模塊Draw/Redraw。

密碼系統初始化模塊Int:依據用戶需求和密碼算法標準建立滿足指定安全需求的密碼系統。

認證模塊Auth:認證方驗證被認證方是否具有某種特征。

數據處理模塊DealInUser或DealInCloud:數據擁有者或共享者需要對數據進行處理,包括加密處理、解密處理、數據查詢或下載、數據刪除或清理、存在性和完整性檢測等。

授權/撤銷模塊Draw/Redraw:權限擁有者對符合條件的用戶授予其請求的權限或撤銷其擁有的權限。

2.2 普通用戶的數據安全應用

圖2為云環境中數據安全應用視圖(普通用戶)。該應用視圖對應的是云環境中單個應用或用戶使用云端資源的應用場景。其中,普通數據擁有者的工作內容如下:

模塊Int:按用戶自身的安全需求建立密碼系統,包括生成密碼系統公開參數和主密鑰等。

模塊DealInUser:利用所分配的密碼資源加密數據并外包存儲至云端。同時,解密從云端返回的密文數據。

模塊Auth:認證數據共享者的身份。

模塊Draw/Redraw:授權給合法對象相關權限,包括授權給普通數據用戶擁有者的代理和數據共享者,撤銷已授權權限。

圖2 云環境中數據安全應用視圖(普通用戶)Fig.2 Application view of data security in cloud computing(Ordinary user)

數據共享者的工作內容如下:

模塊Int:根據普通數據擁有者建立的密碼系統,建立相應的密碼系統參數。

模塊DealInUser:利用所分配的密碼資源加密數據并外包存儲至云端。同時,解密從云端返回的密文數據。

用戶加密數據外包(Outsourcing)云端的工作內容:

2) 不同省份之間的綠化與旅游關系差異明顯.綠化作為生態環境的重要組成部分，對旅游業的促進作用是可持續的,尤其是江蘇和山東兩省的差別明顯．因此,關注城市的生態建設與綠化狀況對提高城市宜居性和旅游吸引力有很大的積極意義．

模塊DealInCloud:根據與用戶數據擁有者協商得到的密碼資源,云端可外包存儲數據擁有者加密的數據,根據接收到的用戶請求信息,查詢加密數據并返回查詢結果。

2.3 管理員的數據安全應用

圖3為管理員數據安全應用視圖,它對應的是云環境中多個應用/用戶所組成的信息系統使用云端資源的應用場景。

在該視圖中,信息系統中的用戶對象滿足樹狀層次關系,管理者為該樹狀層次關系的根節點。具體模塊功能如下:

模塊Int:由信息系統的管理者按管理需求建立分層密碼系統,并生成密碼系統所需的公開參數、主密鑰、各層次的公開密鑰和子密鑰等。

模塊DealInUser:利用所分配的密碼資源加密數據并外包存儲至云端。同時,解密從云端返回的密文數據。

模塊Auth:認證數據共享者身份。

各子成員的功能模塊在得到信息系統管理者或上級成員的授權后才生效。

圖3 云環境中數據安全應用視圖(管理員)Fig.3 Application view of data security in cloud computing(Administrator)

數據共享者的工作內容:

模塊Int:根據信息系統管理者建立的密碼系統,建立本用戶可使用的密碼系統參數。

模塊DealInUser:利用所分配的密碼資源加密數據并外包存儲至云端。同時,解密從云端返回的密文數據。

用戶加密數據外包(Outsourcing)云端的工作內容:

模塊DealInCloud:根據與用戶數據擁有者協商得到的密碼資源,云端可外包存儲數據擁有者加密的數據,根據接收到的用戶請求信息,查詢加密數據并返回查詢結果。

2.4 密碼技術的應用模型

由以上分析可知,云計算安全中密碼技術應用即是數據安全應用在云計算安全模塊中的映射,如圖4所示。普通數據擁有者既提供數據資源又使用數據資源,使用數據資源時稱為數據共享者。圖4中的數據擁有者指的是云環境中產生數據的系統,這些數據指的是用戶個人數據(用戶)和云系統的業務數據(應用)等;云端則是指云系統中的各類存儲系統;數據共享者則是指云用戶,包括接入云系統的各類用戶終端(用戶)以及各類應用系統(應用)。

當數據擁有者提供數據給數據共享者使用時,需要經過身份認證、數據加解密、加密數據的存儲和訪問授權等過程,云端僅作為一個用戶加密數據外包存儲的資源池。這些數據安全使用的工作流程貫穿于SaaS安全、PaaS安全以及IaaS安全需求中。因此,云計算環境下的密碼技術應用就是如何滿足云環境下的各種應用場景下數據安全需求。

圖4 云計算安全中密碼技術的應用模型Fig.4 Application model of cipher technology in cloud computing security

3 云計算安全中密碼技術應用方向

3.1 身份認證

在云環境下利用基于身份加密(Identity-based encryption)算法和簽名技術實現統一身份認證,它的提出也是應對云環境的動態防御特點,利用用戶自身的屬性作為密碼資源的組成部分,用戶自己掌握密碼資源,而不是信任云端或第三方的認證,這也與本文第2節所提出的密碼應用模型設計思想相吻合。

3.2 訪問控制

對于云環境中訪問控制,現有基于密碼技術的解決方案不多,主要有基于層次密鑰生成與分配策略實施訪問控制的方法,利用基于屬性的加密算法(如密鑰規則的基于屬性加密方案(KP-ABE),或密文規則的基于屬性加密方案(CP-ABE)),基于代理重加密的方法,基于身份加密方法(Identity-based Encryption),以及在用戶密鑰或密文中嵌入訪問控制樹的方法等[4-5]。現有的研究熱點多關注于密碼手段來解決訪問控制問題,也是基于對云端的不信任所致。

3.3 隱私保護

隱私保護不僅需要保證數據的安全性,還需要實現用戶、密文和密鑰等方面的隱私保護。基于屬性加密的隱私保護方案主要涉及密文的訪問控制策略(在CP-ABE中)、密文的屬性集(在KP-ABE中)和解密密鑰的隱私保護;基于重加密的隱私保護方案可實現授權方在不知道明文的條件下,將某個密鑰加密的密文,轉換(重加密)為另一個密鑰加密的密文[6]。

在密文檢索方面,現有的方法有關鍵字可檢索公鑰加密(Public-key Encryption with Keyword Search)和可檢索對稱加密方法[7]。

同態加密(Homomorphic Encryption)能夠實現對密文的“透明”操作,可用于實現隱私保護。在數據完整性和可用性防護方面,同態加密能實現數據存在和可用性證明[8],后續的理論研究工作的重心是解決云環境下同態加密的效率問題。

3.4 密鑰管理

基于身份加密、簽名方案和關鍵字可檢索的公鑰加密方案能簡化云環境下對稱密鑰體制常見的密鑰分配問題。

3.5 虛擬化安全

虛擬化安全包括虛擬機隔離,虛擬機鏡像數據安全等。現有的方法多關注于可信技術、沙箱技術等非密碼手段,密碼方法可用來解決虛擬化平臺的數據隔離,訪問控制以及隱私保護等,主要采用的技術是同態加密。

4 結 語

一般地,密碼技術是解決安全問題的最佳方案。在云環境中,由于云端不被信任,僅能提供用戶數據密文存儲,故而需要利用新的密碼技術來解決傳統的身份認證、訪問控制、隱私保護、密鑰管理等安全問題[9],這些新的密碼技術在本文第3節中均有介紹。但鑒于密碼技術實現的效率問題,現在安全技術的發展趨勢還是利用非密碼和密碼手段相結合的方式來設計新的密碼應用模式,解決各種應用場景所面臨的安全問題。

本文從云環境下的安全系統工作流程這個維度來給出了云計算安全中密碼技術應用模型,指出了基于此種模型現有云計算安全技術實現思路,并介紹了相關新技術。本文僅為初步探討,以期能拋磚引玉。

[1] 李振汕.云計算安全威脅[J].通信技術,2012, 45(09):1-4.

LI Zhen-shan.Analysis on Cloud Computing Security Threat[J].CommunicationsTechnology,2012, 45(09):1-4.

[2] OSTROVSKY R,SAHAI A,WATERS B.Attribute-Based Encryption with Non-monotonic Access Structures [C]//Proc.of the 2007 ACM Conf.on Computer and Communications Security,CCS 2007.Alexandria:ACM Press,2007.195-203.

[3] YU S,REN K,LOU W,LI J.Defending against Key Abuse Attacks in KP-ABE Enabled Broadcast Systems[C]// Proc.of the 5th Int'l Conf.on Security and Privacy in Communication Networks.Singapore:Springer-Verlag.

[4] HONG C,ZHANG M,FENG DG.AB-ACCS:A Cryptographic Access Control Scheme for Cloud Storage[J]. Journal of Computer Research and Development,2010, 47(SI):259-265.

[5] BONEH D,FRANKLIN M.Identity-Based Encryption from the Weil Pairing[J].SIAM Journal on Computing, 2003,32(03):586-615.

[6] IBRAIMI L,PETKOVIC M,NIKOVA S,HARTEL P,et al.Ciphertext-Policy Attribute-based Threshold Decryption with Flexible Delegation and Revocation of User Attributes[M].[s.l.]:University of Twente,2009.

[7] ROY S,CHUAH M.Secure Data Retrieval Based on Ciphertext Policy Attribute-based Encryption(CP-ABE) System for the DTNs[M].[s.l.]:[s.n.],2009.

[8] GOHG E J.Secure indexes[M].USA:Stanford University,2003.

[9] CHOW R,GOLLE P,JAKOBSSON M,et al.Controlling Data in the Cloud:Outsourcing Computation without Outsourcing Control.[C]//Proc.of the 2009 ACM Workshop on Cloud Computing Security,CCSW 2009,Co-Located with the 16th ACM Computer and Communications Security Conf.,CCS 2009.New York:Association for Computing Machinery,2009:85-90.

YIN Yi-hua(1978-),male,M.Sci.,engineer,majoring in information security.

張文科(1973—),男,碩士,高級工程師,主要研究方向為密碼學與信息安全;

ZHANG Wen-ke(1973-),male,M.Sci., senior engineer,mainly engaged in the research of cryptography&information security.

王斯梁(1980—),男,博士,工程師,主要研究方向為信息安全。

WANG Si-liang(1980-),male,Ph.D.,engineer,majoring in information security.

Application Model of Cipher Technology in Cloud Computing Security

YIN Yi-hua,ZHANG Wen-ke,WANG Si-liang
(Westone Information Industrial Ltd.,Chengdu Sichuan 610041,China)

Firstly,this paper briefly analyzes the principle of cloud computing and the new security problem brought by cloud computing.Based on this,the security structure of cloud computing is discussed,and the application approaches of cipher technology are presented.Secondly,in view of work flow of security system,an application model of cipher technology is given in combination with security architecture in cloud computing and encryption theory.Finally,the cipher application and its devlopment in cloud computing security are summarized,this could provide a practicable solution for cipher technology application in cloud computing security.

cloud computing security;cipher technology;application model

TP393

A

1002-0802(2014)09-1075-04

10.3969/j.issn.1002-0802.2014.09.020

尹一樺(1978—),男,碩士,工程師,主要研究方向為信息安全;

2014-05-16;

2014-07-01 Received date：2014-05-16;Revised date：2014-07-01