通過通信信道加密提升云計算數據的安全性

摘 要：隨著云計算技術的發展，云中數據安全性越來越多的受到關注，為使云中的數據計算、數據存儲、數據通信更加安全，通過分析主要風險及現有安全措施，提出通過通信信道加密技術加強云計算數據通信的安全，從而提升云計算數據安全性。

關鍵詞：云計算；數據安全；數據加密；訪問控制；信道加密

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-2163（2015）02-

Improve the Security of Cloud Computing Data with Encrypting the Communication Channel

ZHANG Jianzhen

（ShanXi Institute of Mechanical & Electrical Engineering， ChangZhi ShanXi 046000，China）

Abstract： With the development of cloud computing， the security of cloud data gets more and more attention， in order to make the data in the cloud computing， data storage， data communication be more secure， this paper analyzes main risk and the existed security measures， puts forward through encrypting the communication channel to strengthening communications security， which could promote cloud computing data security.

Keywords： Cloud Computing； Data Security； Data Encryption； Access Control； Channel Encryption

0 引 言

自2010年以來，云服務得到廣泛的應用，云計算、云存儲、云平臺幾乎滲透到工作、學習、生活的各個領域，許多企業紛紛搭建云平臺以提供云服務，還有一些企業則開始遷移企業數據至云平臺，以節約成本、提高效率。由于云計算對網絡的依賴，使其除了云計算技術本身安全性外，同時更要考慮計算機網絡的安全風險。如何保障云中數據的安全性，成為云技術發展的重要課題。

1 云計算數據風險分析

云計算的一個主要特征就是網絡依賴，其一切服務均通過計算機網絡來實現，用戶的數據存放在云端，無論使用PaaS、IaaS還是SaaS服務，均需要通過網絡與用戶通信。因此，云計算在平臺架構、網絡連接、用戶訪問等環節均存在安全風險。

1.1 平臺架構

2010年以來，OpenStack提供了最簡單可行的私有云平臺架構技術，支持僅通過5臺計算機建立一個正常運行的簡單云計算平臺，5臺計算機功能分別是計算服務器nova、存儲服務器swift、鏡像管理服務器glance、身份與訪問管理服務器keystone和Web服務接口Horizon，其中計算服務器Nova是OpenStack的核心，負責管理和優化云計算資源配置[1]。因此，如果Nova節點出現故障（SPoF，single point of failure），將直接導致OpenStack云平臺的崩潰，云中數據的可用性也不復存在[2]。

1.2 網絡連接

由于云計算對網絡的依賴性，所以一般網絡存在的安全風險在云計算中同樣存在，如中間節點、網絡設備、連接設備等構成云計算網絡每個環節的安全性，不僅如此，云計算平臺構建的網絡連接本身也將是云中數據安全的重要一環。

1.3 用戶訪問

分布式虛擬技術是云計算關鍵技術之一，在云中，用戶不僅不清楚自己的數據儲存在哪臺服務器上，也不了解服務器具體放置何處，用戶之間通過分布式虛擬技術實現共享計算或存儲資源，此時若用戶之間安全隔離不夠，就使得一些惡意用戶利用溢出等攻擊技術讀取共享區數據，從而使得用戶數據被竊取、篡改或丟失。

2 云計算數據安全主要措施

為保障云中數據安全，目前采用的安全保障措施主要包括數據加密和采用訪問控制策略。

2.1 數據加密

采用數據加密技術是實現用戶信息在云計算環境下安全存儲與安全隔離[3]的有效手段，目前比較流行的數據加密方法有同態加密[4-6]和基于屬性的加密。同態加密使云端在不知道用戶明文數據m情況下，對加密的用戶數據e直接進行操作，如同對明文進行操作，另外也有類似的半同態或somewhat同態加密技術。基于屬性的加密使用用戶的屬性集合作為公鑰對用戶數據加密[7]，若一個訪問用戶要解密一個密文，則要求該用戶的屬性集合與公鑰的屬性集合相同屬性的數量達到要求數量才能解密。但加密數據的密鑰管理往往成為另一個新的問題。

2.2 訪問控制

用戶訪問云中數據時，必須經過云服務商CSP認證，因此，云服務商需要采用訪問控制策略來控制用戶對云中數據和云服務的訪問[8]。由于云計算中，用戶都有自己的數字ID，因此基于身份的加密IBE和簽名IBS的IBACC認證協議廣泛用于云計算身份認證，采用此身份認證方式，可以進行實時身份監控、權限認證和證書檢查，從而防止來自惡意用戶的越權訪問。訪問控制不能就消息傳輸過程的安全性作出反應。

3 通信信道加密保障安全

正如密碼學上經典的Alice和Bob通信問題，目前保障云中數據安全的方法無論加密消息本身還是在Alice和Bob之間設置訪問控制協議，均各有利弊。為保障云中數據的安全可靠，除采用數據加密和訪問控制外，充分借鑒計算機網絡通信加密技術提出通過信道加密來保障云數據安全。OSI通信模型中，加密可以發生在通信低層如物理層、數據鏈路層，也可以發生在如應用層等較高層。物理層與數據鏈路層等低層加密也叫鏈—鏈加密（link-by-link encryption），即通過該鏈路的所有數據將被加密；發生在較高層（如應用層）的加密叫端—端加密（end-to-end encryption），數據傳輸到此處時被有選擇性地加密，并且只在最后的接收端解密[9]。以下為加密具體實現方法。

3.1 鏈—鏈加密

鏈—鏈加密方法是在標準物理層接口處添加硬件設備，在線加密，每一次鏈接僅需要一組密鑰。通過物理接口的所有數據將被加密，如數據、路由信息、協議等，對用戶透明，發送端與接收端之間的任務智能交換或節點要處理數據必須對其進行解密，因此鏈—鏈加密以后，由于所有數據被加密，竊聽者得不到任何關于數據結構的信息，也無法猜測數據來源及目的地，偵聽到的僅是貌似隨機的位序列。由于鏈路加密需要對每個物理鏈路加密，只要有一處沒加密就會危及整個網絡安全。因此，對于大網絡，鏈—鏈加密開銷將變大，且中間節點數據易被暴露。鏈路加密原理如圖1所示。

圖1鏈路加密原理模型

Fig.1 Link encryption principle model

3.2 端—端加密

端—端加密方法主要是在通信模型的較高層——網絡層或傳輸層之間添加加密設備，加密設備根據OSI模型低三層的協議理解數據，由于端—端加密只加密傳輸中的數據單元，不處理路由信息，因而省去了通信中在物理層加解密信息的繁瑣，數據單元可以保持加密狀態，直到傳輸結束。端—端加密獨立于網絡所用的通信結構，加密和解密離線完成，因此密鑰管理相對復雜。由于路由信息不加密，因此攻擊者將可根據路由信息分析通信雙方，通信時間及時長等。端—端加密原理如圖2所示。

圖2端—端加密原理模型

Fig.2 P2P encryption principle model

3.3 組合加密

根據鏈—鏈加密與端—端加密的優缺點，考慮一種針對云計算有效的網絡安全方式，即加密每個物理鏈路同時加密數據單元，從而既避開了端—端加密攻擊者對路由信息的分析，也提升了鏈—鏈加密中間節點數據的安全性。密鑰管理方面，用戶仍采用離線的端—端加密，網絡管理員負責物理層在線的鏈—鏈加密。

4 結束語

隨著云計算技術的發展，云服務不斷滲透人們生活的方方面面，但是由于云計算模式下數據異地存儲導致數據超出人們的掌控范圍，數據安全成為時下普遍關注的焦點。數據加密與訪問控制是最常規的安全措施，作為云計算數據傳輸的“高速公路”——通信信道往往被人們所忽視，數據安全環環相扣，只要其中任何一個環節出現漏洞，均會導致功虧一簣。通過數據加密、訪問控制、信道加密三位一體的安全措施，相信在一定程度上解決云計算數據安全問題，但隨著網絡技術的高新、快速發展，有效的安全手段仍需要不斷深入研究，力爭實現防患于未然。

參考文獻：

[1] 陳伯龍，程志鵬.云計算與OpenStack[M].北京：電子工業出版社，2013.

[2] 曾文琦，葉家煒，楊陽，等.面向應用服務的虛擬機性能評估[J].計算機工程與設計，2014（10）： 156-158.

[3] 張啟云.云計算中數據安全問題研究[J].計算機光盤軟件與應用， 2012（6）：25-26.

[4] 吳旭東.云計算數據安全研究[A].第26次全國計算機安全學術交流會論文集[C]. 上海：信息網絡安全， 2011：38-40.

[5] Marten van Dijk and Craig Gentry and Shai Halevi and Vinod Vaikuntanathan.Full Homomorphic Encryption over the Integers[C]//Eurocrypt.Nice，France：ICAR，2010.

[6] 彭偉.面向云計算安全的同態加密技術應用研究[D]. 重慶：重慶大學， 2014.

[7] 程玉柱，胡伏湘.云計算中數據資源的安全加密機制[J].長沙民政職業技術學院學報， 2013（2）：132-134.

[8] 楊健，汪海航，王劍，俞定國.云計算安全問題研究綜述[J].小型微型計算機系統， 2012（3）：473-477.

[9] 吳世忠，祝世雄，張文政，等.應用密碼學Applied Cryptography [M].北京：機械工業出版社， 2012 ：150-154.

1 作者簡介：張建珍（1980-），女，山西文水人，碩士，講師，主要研究方向：信息技術、網絡安全、云計算。