可信第三方平臺下的云平臺數據安全存儲研究

許志國　盧超奇　馮磊

1 引言

公有云和私有云是當前的兩種重要的云服務模式，公有云具有成本低、效能高等特點，尤其在解決中小企業信息化難題的過程中發揮了重要作用，然而公有云的安全方面問題卻成為阻礙其發展的重要因素。私有云是針對公有云的安全缺陷產生的，是用戶單獨建立的只供自己使用的平臺，具有專屬性和封閉性，以保證云環境中數據的安全性。然而私有云也存在一個多方面局限性，例如搭建成本較高、可拓展性差、資源容量小、計算能力低等等問題都限制了私有云的適用性[1]。云環境下面臨是安全威脅一方面是內部管理員竊取數據，另外一方面是黑客入侵竊取數據。因為云服務提供商可以對云端的用戶信息進行隨意查看，其擁有數據的操作權，所以在提供商內容管理不嚴的情況下可出現惡意管理員竊取數據的情況。云是一個開放的環境，其面臨是黑客攻擊問題更加明顯。

2 基于可信第三方平臺的云平臺數據存儲

可信第三方目前在電子商務領域應用比較廣泛，在云計算背景下，雖然很多用戶對云環境的安全性表示懷疑，認為云服務缺乏安全保障，但迫于需求有不得不用，所以在對云計算的應用中，很多用戶都處于膽戰心驚的狀態[2]。由此可見，云服務的安全問題對云計算技術的發展造成了嚴重的阻礙作用，目前急需一種安全保障機制來提高云服計算的安全性，提高用戶對云服務的信任感。可信第三方的引入在一定程度上削弱的云服務提供商的權限，可信第三方平臺的相關工作機制分擔了云環境的安全風險，可以對云服務管理員產生一定監督作用，有利于加強云平臺的安全防范，讓云平臺免受攻擊，保證數據安全。

2.1 可信第三方平臺的服務功能

其一，提供數據加密服務。在云環境應用中，可信第三方平臺可以為用戶提供秘鑰管理和數據加密服務，用戶在在向云端上傳數據的時候可以利用加密技術對數據進行加密，云端上經過加密的數據只用在獲取密鑰的情況下才能對數據進行操作。如何要竊取用戶數據必須要滿足兩個條件，一是獲取受云端控制的用戶數據，二是獲取第三名平臺的數據秘鑰，兩者缺一不可。

其二，提供數據共享管理服務。某種情況下，用戶在云端的數據需要與他人共享，而經過加密的數據必須要獲取可信第三方平臺所管理的秘鑰才能使用，此時可信第三方就可以通過權限管理給用戶發放所需要的秘鑰，這樣就可以讓重要數據在安全控制下實現共享。

其三，運營模式。根據用戶實際需求的不同，可信第三方平臺的運營模式也有所不同。對于小型企業或者個人用戶來講，云服務的安全問題可以委托給云平臺第三方服務，當前比較典型的應用就是“支付寶”第三方支付平臺，而且第三方平臺提供的服務對于終端用戶來講一般都死免費的，不需要支付認可費用。

2.2 可信第三方云平臺的應用優勢

其一，安全性高。在公有云基礎上搭建的可信第三方平臺具有多方面優勢。首先，可信第三方云平臺可有充足的云計算資源可以利用，其次，可信第三方云平臺擁有比較完善的安全保障措施。所以相比私有云，可信第三方云平臺同樣可以在保證安全的情況下實現云端海量資源的可用性和拓展性。

其二，建設成本較低。根據云計算體系架構的特點，第三方平臺的搭建只需要在客戶端到云端之間設置一個中介即可，必須要對云架構做出太大的變動，只通過簡單部署即可實現第三方平臺的搭建，極大的降低了部署成本和技術成本。建設成本低，投入少是可信第三方云平臺應用的一大優勢，對于第三方服務提供商來講，如今云服務市場需求越來越大，市場空間擴展迅速，證實推廣可信第三方云平臺的好時機。

2.3 可信第三方云平臺的系統架構和工作流程

2.3.1可信第三方云平臺的系統架構

客戶端、云端以及可信第三方平臺構成了可信第三方云平臺系統的基本架構。系統客戶端不需要安裝其它特別的軟件，它的主要功能只是發送請求，并完成數據上傳、數據下載等操作，不需要常見計算。可信第三方平臺的主要功能是接受用戶請求，保存用戶信息、管理數據、提供秘鑰服務、記錄用戶的數據操作，是一個擁有強大數據庫的服務器。云端的主要功能是存儲數據，保存用戶信息以及記錄用戶操作。對要上傳云端的數據進行加密的方法有很多種，比較常用的有AES算法和RSA算法，AES算法是在第三方平臺上實現數據加密的方法，RSA算法是在云端實現數據加密的方法。具體哪種方法比較適用可以根據用戶實際需要來確定。

2.3.2可信第三方云平臺的工作流程

可信第三方云平臺的工作流程主要包括兩個部分，一是數據上傳，二是數據下載。（1）數據上傳之前必須要完成客戶端與第三方平臺的連接，待第三方平臺對用戶身份驗證之后方可進數據上傳。如果用戶需要上傳新的數據，則需要經新數據的相關記錄添加到數據庫中，如果用戶要修改云端的數據，則第三方需要判斷用戶是否有數據修改權限。如果用戶需要對數據加密，則可由第三方平臺提供數據AES 密鑰，加密完成后數據則發送至云端，而秘鑰則存放與第三方數據庫中，由第三方平臺保管。另外也可以采用基于云端的RSA一次一密加密方法，第三方提供所需要的秘鑰后，數據的公鑰發送到客戶端，私鑰由數據庫保存，最后由客戶端將數據和公鑰一并上傳云端，由云端對數據進行加密。（2）類似于數據上傳，數據的下載同樣需要建立客戶端與第三方平臺的連接，并驗證用戶身份，查看用戶權限，在用戶有數據可讀權限的情況下才能執行數據下載操作。如何用戶要下載的數據為 AES加密數據，則第三方會讀取該數據對應的秘鑰，利用秘鑰對從云端獲取的數據進行解密，然后發送給客戶端。

4 結束語

自云計算技術出現至今，云服務的安全性一直都是在努力解決的問題。如今隨著云計算應用的推廣應用，云環境中數據的存儲的安全問題也成為人們普遍關注的問題。本文所闡述的基于可信第三方云平臺的應用為解決云平臺數據存儲的安全問題提供了新的思路和方法。

具有成分低、安全性高、可操作性強等優勢，具有極大的應用價值，將成為云計算的安全研究的重要方向。雖然安全問題在一定程度上影響了云計算技術的推廣和應用，但云時代到來的步伐不會就此停駐，相信隨著云安全問題的解決，云計算技術將有著廣闊的發展前景，將會在人類生產、生活中發揮更大的作用。

參考文獻

[1] 王威，吳羽翔，金鑫等.基于可信第三方的公有云平臺的數據安全存儲方案[J].信息網絡安全，2014（2）：68-74.

[2] 梁露露，楊光.基于第三方的云平臺可信評測框架[C].第七屆信息安全漏洞分析與風險評估大會論文集，2014：282-291.