一種改進(jìn)的基于身份的云存儲(chǔ)安全認(rèn)證機(jī)制

安徽郵電職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系 王國(guó)慶

一種改進(jìn)的基于身份的云存儲(chǔ)安全認(rèn)證機(jī)制

安徽郵電職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系 王國(guó)慶

當(dāng)前,安全成為云存儲(chǔ)領(lǐng)域亟待突破的重要問(wèn)題,其重要性與緊迫性已不容忽視。本文首先簡(jiǎn)單介紹了基于身份的加密的原理以及工作過(guò)程，分析了主密鑰在基于身份加密過(guò)程中重要位置和作用，最后提出了一種基于身份的分層加密系統(tǒng)模型，并將其應(yīng)用于云存儲(chǔ)安全上。

云存儲(chǔ)；基于身份加密技術(shù)；分層加密系統(tǒng)模型

一、引言

隨著信息技術(shù)的飛速發(fā)展，爆炸式增長(zhǎng)的信息量使得人們需要更強(qiáng)大的信息存儲(chǔ)能力和處理能力，云計(jì)算技術(shù)應(yīng)運(yùn)而生，與之相輔相成的云存儲(chǔ)技術(shù)以及各種云服務(wù)也迅速流行起來(lái)，但云存儲(chǔ)自身的數(shù)據(jù)安全問(wèn)題成為制約云存儲(chǔ)發(fā)展的障礙。事實(shí)上，提供云存儲(chǔ)服務(wù)的幾個(gè)重要服務(wù)商如谷歌、亞馬遜等都曾出現(xiàn)過(guò)各種安全問(wèn)題，并導(dǎo)致了嚴(yán)重的后果。如果要使云存儲(chǔ)得到真正的普及，云存儲(chǔ)安全是必須要解決的關(guān)鍵問(wèn)題之一。但是傳統(tǒng)的網(wǎng)絡(luò)安全和存儲(chǔ)安全不能完全解決云存儲(chǔ)的安全問(wèn)題，需要一種新的技術(shù)來(lái)保障云存儲(chǔ)用戶的數(shù)據(jù)安全。

傳統(tǒng)的用來(lái)保護(hù)數(shù)據(jù)和通信安全的基礎(chǔ)設(shè)施是公開(kāi)密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure PKI) 。PKI是一種建立在公開(kāi)密鑰技術(shù)上的安全服務(wù)設(shè)施，它是用非對(duì)稱密碼算法原理和數(shù)字證書(shū)來(lái)實(shí)現(xiàn)用戶的數(shù)據(jù)加密和身份鑒別。PKI的出現(xiàn)，使得絕大多數(shù)的網(wǎng)絡(luò)安全問(wèn)題得到了解決。用戶可以利用 PKI 平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。PKI 建立在統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)之上，為網(wǎng)絡(luò)應(yīng)用提供實(shí)體鑒別、數(shù)據(jù)的保密性、數(shù)據(jù)的完整性和交易的不可否認(rèn)性等安全服務(wù)。然而在部署 PKI的過(guò)程中，人們發(fā)現(xiàn)要解決的問(wèn)題很多，PKI 依賴數(shù)字證書(shū)來(lái)綁定公鑰和公鑰所屬人，需要做注冊(cè)、管理、存放、分發(fā)、撤消證書(shū)等一系列操作，并且數(shù)字證書(shū)庫(kù)必須在線運(yùn)行，因此對(duì)網(wǎng)絡(luò)帶寬需求、認(rèn)證計(jì)算量、存儲(chǔ)空間等都有較高的要求，因而計(jì)算效率和通訊效率較低，限制了云存儲(chǔ)的進(jìn)一步推廣。

二、基于身份加密技術(shù)簡(jiǎn)介

為了彌補(bǔ) PKI 的不足，1984 年由密碼學(xué)權(quán)威 SHAMIR創(chuàng)造性地提出基于身份加密的理論IBE(Identity Based Encryption)。在該理論中，用戶的身份信息 ( 如身份證號(hào)碼、電話號(hào)碼和E-mail地址等 ) 可以直接作為用戶的公鑰，唯一標(biāo)識(shí)用戶身份，而與之對(duì)應(yīng)的私鑰由可信第三方私鑰生成中心（PKG，Private Key Generator）生成并發(fā)送給用戶。與PKI相比，IBE的明顯優(yōu)勢(shì)在于用戶的身份與用戶之間有著直接而天然的聯(lián)系，因此無(wú)需通過(guò)數(shù)字證書(shū)進(jìn)行綁定，從而避免了傳統(tǒng)公鑰密碼體制中因管理大量用戶證書(shū)而帶來(lái)的種種弊端，此外，由于IBE具有公鑰基于其本身的特點(diǎn)，因此這是一種靈活的加密認(rèn)證機(jī)制。

2001年，BONEH和 FRANK LIN[2]利用橢圓曲線上的雙線性對(duì)得到了基于 IBE加密體制，提出第一個(gè)實(shí)用且可證明安全的基于身份的加密方案（BF-IBE），該方案的出現(xiàn)為解決網(wǎng)絡(luò)安全問(wèn)題提供了一種新的思路。但是，基于身份的加密方案仍存在一個(gè)固有問(wèn)題即用戶私鑰的安全性問(wèn)題。

三、PKG工作原理及組成

一個(gè)典型的IBE系統(tǒng)由用戶實(shí)體以及私鑰生成中心兩部分組成。而私鑰生成中心是系統(tǒng)的核心,負(fù)責(zé)整個(gè)系統(tǒng)的初始化、系統(tǒng)參數(shù)的生成與分發(fā)、以及私鑰的生成與分發(fā)。為方便理解,我們把私鑰生成中心看成由以下四部分組成：

主密鑰產(chǎn)生器：根據(jù)隨機(jī)數(shù)生成方法生成整個(gè)系統(tǒng)的主密鑰。

系統(tǒng)參數(shù)產(chǎn)生器：構(gòu)建系統(tǒng)運(yùn)算環(huán)境,生成系統(tǒng)所需的各種系統(tǒng)參數(shù)。包括橢圓曲線的選擇、公開(kāi)參數(shù)的生成,其中橢圓曲線上的相關(guān)運(yùn)算是的工作難點(diǎn)。

用戶私鑰產(chǎn)生器：根據(jù)用戶標(biāo)識(shí)產(chǎn)生與其對(duì)應(yīng)的用戶私鑰。信息分發(fā)器：發(fā)送系統(tǒng)參數(shù)或用戶私鑰。

四、改進(jìn)的基于身份加密技術(shù)在云存儲(chǔ)中的應(yīng)用

由上述分析我們得知，在 BF-IBE 中，用戶私鑰由 PKG 產(chǎn)生和集中管理，PKG 之所以能夠根據(jù)用戶身份計(jì)算相應(yīng)的私鑰，是因?yàn)樗趧?chuàng)建一開(kāi)始，就確定了整個(gè)系統(tǒng)的系統(tǒng)參數(shù)，以及與之相對(duì)應(yīng)的保密信息。系統(tǒng)參數(shù)是整個(gè)體制中所有用戶共有的，而保密信息即主密鑰，則只有PKG 知道。PKG就是運(yùn)用主密鑰，結(jié)合系統(tǒng)參數(shù)和用戶身份，計(jì)算得到用戶的私鑰，用戶負(fù)責(zé)對(duì)自己的私鑰保密。因此主密鑰在整個(gè)的加密過(guò)程當(dāng)中處于極其重要的地位，一旦被非法獲取或者攻破，系統(tǒng)將變得很不安全。

因此，為了進(jìn)一步提高用戶主密鑰的安全性，提出了一種基于身份的分層加密系統(tǒng)模型，并將其應(yīng)用于云存儲(chǔ)服務(wù)上，如圖所示。

由圖可知，基于身份的分層加密系統(tǒng)模型包括了以下兩個(gè)方面：

（一）在云存儲(chǔ)服務(wù)器端：對(duì)服務(wù)器端的SG系統(tǒng)進(jìn)行分層。共有兩層構(gòu)成：第一層只有一個(gè)根節(jié)點(diǎn)SG，擁有的主密鑰稱為根密鑰；第二層由多個(gè)子節(jié)點(diǎn)SGi組成，每個(gè)子節(jié)點(diǎn)有自己?jiǎn)为?dú)的主密鑰。

（二）在云存儲(chǔ)客戶端：對(duì)使用云存儲(chǔ)服務(wù)的用戶進(jìn)行邏輯區(qū)域劃分。一個(gè)用戶只由一個(gè)節(jié)點(diǎn)SGi負(fù)責(zé)管理，將處于同一節(jié)點(diǎn)下的所有用戶所在的邏輯區(qū)域稱為Domaini。Domaini的主密鑰，則由根密鑰與對(duì)應(yīng)子節(jié)點(diǎn)SGi的主密鑰連接而成。

隨機(jī)選擇S 和Si, S為根密鑰，Si是子節(jié)點(diǎn)的主密鑰。那么Domaini的主密鑰就等于S||Si。由此可知，即使Domaini的主密鑰被泄露，由于其它邏輯區(qū)域的主密鑰與之不同，因此不存在被泄露的危險(xiǎn)。從而，消除了PKG系統(tǒng)因采用單一主密鑰而造成的系統(tǒng)安全瓶頸的問(wèn)題。

五、結(jié)束語(yǔ)

IBE是當(dāng)前云存儲(chǔ)安全的研究熱點(diǎn)。本文首先分析了PKI的優(yōu)劣，接著簡(jiǎn)單介紹了IBE原理和工作過(guò)程，最后針對(duì)主密鑰在基于身份加密過(guò)程中的安全瓶頸問(wèn)題，提出了一種基于身份的分層加密系統(tǒng)模型，并將其應(yīng)用于云存儲(chǔ)安全上。

[1]毛劍,李坤,徐先棟．云計(jì)算環(huán)境下隱私保護(hù)方案[J]．清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2011,51(10):1357-1362．

[2]康利山．云安全中基于身份的安全認(rèn)證[D]．云南大學(xué)碩士學(xué)位論文．云南大學(xué)．

[3]楊坤偉,李順東．一種新的基于身份的匿名加密[J]．計(jì)算機(jī)應(yīng)用與軟件,2005,32(1):283-285．

[4]黃永峰,張久齡,李星云．一種基于身份分層結(jié)構(gòu)加密算法的廣播加密方案[J]．廈門(mén)大學(xué)學(xué)報(bào)(自然科學(xué)版),2006,45(3):342-346．

[5]曾夢(mèng)岐,卿昱．基于身份的加密體制研究綜述[J]．計(jì)算機(jī)應(yīng)用研究,2010,27(1):27-31．

安徽省級(jí)重點(diǎn)項(xiàng)目 面向復(fù)雜網(wǎng)絡(luò)環(huán)境的云存儲(chǔ)服務(wù)安全研究（KJ2016A384）。