云計算數據安全因素保護問題的探究

李瑞強

（無錫商業職業技術學院，江蘇 無錫 214153）

云計算數據安全因素保護問題的探究

李瑞強

（無錫商業職業技術學院，江蘇 無錫 214153）

云計算為用戶提供了資源動態分配解決策略，能夠按用戶需求處理海量數據，其對于互聯網海量數據存儲與處理具有良好的應用。但是云計算環境下的數據安全問題是其可持續發展與健康應用的關鍵。本文對目前云計算環境中的數據安全因素進行分析，探究云計算環境下的數據完整性保護、數據共享時的安全保護和數據存儲載體的安全保護。提出基于MB-tree數據結構方式提高數據完整性的保護。在數據共享時的安全保護方面通過擴展的模糊身份加密機制保證數據交互的隱私保護。在數據存儲載體的安全保護方面提出構建虛擬機可信平臺VTPM模塊，保證虛擬機在信任環境中遷移。

云計算；數據安全；MB-tree數據結構；模糊身份加密機制；VTPM模塊

1 引言

互聯網產生了大量的數據，對于數據的存儲、加工和利用可以幫助用戶更加高效地利用數據。云計算以按需服務的設計理論對互聯網數據資源進行動態分配，采用數據分布式存儲方式進行數據的存儲，利用虛擬化技術構建資源池，為用戶提供龐大的數據計算與處理。云計算的安全性是其廣泛應用的關鍵，若出現系統宕機、內部錯誤、中斷事故等則無法為用戶提供訪問。雖然目前已經有一定的措施對云計算數據進行保護，如防火墻、數據備份、多數據中心等，但是受云計算自身存在的安全隱患、提供服務時網絡存在的安全隱患、云計算服務商提供的硬件環境安全隱患等仍然是亟待解決的問題。為此本文對云計算環境中的服務類型，云計算數據安全因素保護問題進行研究，提出針對應用層、管理層和底層硬件基礎安全保護問題的應對策略，結果證明本文提出的基于MB-tree的數據完整性保護、擴展的模糊身份加密機制和虛擬機可信平臺遷移具有較好的云計算數據安全保護能力。

2 云計算環境中的服務類型

云計算環境中的服務類型可劃分為SaaS軟件即服務，PaaS平臺即服務和IaaS基礎設施即服務等三種服務類型[1]。云計算服務結構模型如圖1所示[2]。

圖1 云計算服務結構模型

SaaS軟件即服務是云計算服務的應用平臺提供的軟件應用服務，包括提供應用平臺、企業應用、數據分析和虛擬桌面，客戶無需下載軟件安裝程序可直接進行軟件的應用。云平臺的應用要求用戶具有合法使用身份，不同身份具有云平臺不同使用權限。

PaaS平臺即服務是云計算服務的核心管理部分，其依托集群系統、分布系統、網絡計算等技術將多臺物理設備連接起來協同工作進行存儲和運算，面向用戶提供統一的分布式存儲、分布式數據庫、分布式計算、服務組裝和服務運營服務。

IaaS基礎設施即服務是云計算服務的最基本組成，它是由具有分布式存儲和統一平臺管理功能的硬件設備組建而成，不同地域的設備之間通過網絡傳輸介質進行連接，構建資源池為用戶提供資源虛擬化、動態規模擴展、自動化部署、負載均衡管理和系統監控的硬件支持服務。

3 云計算數據安全因素保護問題

在云計算數據安全保護方面，主要有三個方面的因素是重點的安全問題，一是應用層安全保護問題，二是管理層安全保護問題，三是底層硬件基礎設施安全保護問題。

3.1 應用層安全保護問題

應用層對用戶訪問進行安全保護，對應用接口的訪問控制和認證、授權、審計等。因為云計算服務面對的用戶數量大、類型多，云計算服務要對用戶身份進行創建，并對用戶身份進行監管，設立約束條件對用戶訪問進行控制。用戶使用云計算服務系統將資料存儲在云計算環境中，由服務商對數據的安全進行負責，存儲形式的轉變要保證用戶上傳的數據能夠完整存儲，而受用戶上傳數據類型的多樣性影響，數據完整性保護存在安全因素問題。

3.2 管理層安全保護問題

管理層是硬件基礎設施和應用層web服務的中間層，其不僅會受到外部攻擊，而且還要保證云環境中的數據完整性。外部攻擊主要包括非法侵入、拒絕服務攻擊等手段，要采用各種安全技術構建安全防御體系。內部防范要對云計算提供的服務以密文形式進行數據存儲，制定服務水平協議，建立規范的管理流程規避風險。采用密碼學公鑰基礎設施PKI進行安全保護會加大系統計算、存儲和管理的負擔，這加劇了管理層安全保護體系的計算壓力，導致公鑰基礎設施對系統正常運行造成擁堵。

3.3 底層硬件基礎設施安全保護問題

底層硬件基礎設施作為數據的存儲、訪問與運算的最基本功能設施，不僅要保證硬件的安全，而且要保證虛擬化技術的安全。硬件安全要對服務器主機等設備的安置進行保護，保證機房的標準化，供電、防水、抗震、消防等設施符合安全要求，設置災難恢復策略，構建雙數據中心。在主機虛擬化方面，保證鏡像文件與用戶應用相關聯，必須要對鏡像訪問數據的完整性和安全性進行保護，防止非法用戶對數據進行竊取和破壞。

4 云計算數據安全因素保護策略

4.1 基于MB-tree的數據完整性保護

云計算采用分布式存儲，其存儲形式的轉變要保證用戶數據的完整性尤為關鍵，本文提出的基于MB-tree的數據完整性保護，利用MB-tree構造特性組織和管理數據，以動態變化的數據提供數據完整性存儲。MB-tree樹型結構可以檢驗數據的完整性，首先創建一個空值的樹根節點，再向樹中加入檢索碼構建樹型結構節點，根據加入的節點個數進行分裂調整，保證樹型結構的有效性。

假設樹型結構中的節點N包含了m個檢索碼，其信息表可表示為[3]：

要保證數據在傳輸、存儲和處理的過程中不會被未授權的用戶篡改，通過MB-tree進行樹型認證，要首先通過快速檢索獲取數據信息文件分塊的相關信息，MB-tree樹型結構中的節點根據當前節點的子節點數目進行多路分支判定。其次，利用PDP機制驗證數據信息文件塊，由KeyGen算法構造所需的參數，TagBlock算法處理數據信息文件分塊，Gen-Proof算法構造數據信息文件分塊的完整性證明憑證，Check-Proof算法對服務商提供的反饋憑證進行檢驗。

4.2 擴展的模糊身份加密機制

以PKI公鑰基礎設施進行普適性的安全保障會因證書的計算和管理給系統造成較大的負擔。由此本文提出基于模糊身份加密機制的身份信息因素保護策略，對用戶身份描述信息與數據庫存儲用戶進行交集，設置系統閾值參數，滿足閾值參數條件的交集確定為安全用戶訪問，不滿足閾值參數條件的則為不安全用戶訪問。

設用戶輸入信息數據為m，數據庫用戶信息為n，保證用戶身份信息傳遞過程中的安全性需要對用戶信息數據m進行加密，加密集合表示為：

其中w'為選取用戶數據集合中身份描述信息的關鍵屬性集合，其集合中的每一個元素經過掩碼轉變加密函數加密，身份描述信息ai保持加密形態進行傳遞，解密過程中也仍然通過掩碼變換為ASmi值，加密集合無法泄露身份信息。

在基于模糊身份加密機制中的密文數據結構中，公共屬性集合以矩陣表示，其中的每一項表示為：

S為隨機選擇的參數，Ei在每一次預算中都得到不同的計算內容，RMi與為隨機掩碼加密形式。由于用于身份的描述信息集合在傳遞過程中始終保持加密形態，所以即使RMi與被解密也無法獲得用戶身份信息，由此保證了用戶信息傳遞的安全性。

4.3 虛擬機可信平臺遷移

數據用戶通過云計算服務存儲數據，其數據的控制權由云服務商管理，并且提供數據的處理策略和安全保護，這就存在用戶對云計算服務的安全信任問題，因此需要建立用戶與云計算服務商之間的信任機制。

云計算環境安全可信性問題離不開虛擬化、可信計算等方面的支持。虛擬化技術是在物理設備和操作系統之間抽象出的中間層，可執行用戶所需的執行程序，利用虛擬化技術將物理資源轉換為虛擬資源，隱藏底層物理硬件細節部分，并行處理不同用戶業務需求。可信計算在物理硬件設施中嵌入可信平臺模塊，對虛擬化系統中的用戶身份管理、訪問控制、安全存儲、數據完整性等進行信度支持。云計算數據量非常龐大，采用虛擬機遷移可以使云儲存負載均衡，滿足用戶移動性應用云計算服務需求。為了確保虛擬機從一個服務器安全地遷移到另一臺服務器要將虛擬可信平臺模塊一起遷移，遷移過程要保護虛擬機的數據隱私安全和完整，本文提出構建虛擬機可信平臺VTPM模塊，遷移操作如圖2所示[4]：

圖2 虛擬機遷移

對于不可信實體禁止獲取虛擬機信息，任何非法操作被檢測到都會被處理，VTPM模塊對遷移的對象進行信任保護，認證身份、檢測數據完整性，對數據傳輸過程進行保護。身份認證采用IBE加密機制，劃分為公開密鑰和私有密鑰，通過對身份描述信息的認證信息進行解密，遵循標準一致性約束，滿足條件：

c為解密密文認證信息，d為私有密鑰解密，m為認證信息。

檢測數據完整性是源服務器和目的服務器采用度量信息相互進行完整性檢測。數據傳輸過程進行保護是對遷移數據進行保護，目的服務器向服務器發送一個新生的隨機數NDS，證明源服務器準備接收目的服務器的虛擬機及VTPM模塊，并以此隨機數執行遷移，虛擬機與可信平臺模塊VTPM狀態數據信息保持一致性。

5 結語

本文從三個方面探究云計算數據安全因素保護問題，一是對應用層用戶控制、數據傳輸的完整性保護安全因素問題采用基于MB-tree的數據完整性保護，二是鑒于公鑰基礎設施對云計算系統造成計算壓力提出模糊身份加密機制進行用戶信息隱私保護，三是云計算虛擬機遷移安全因素問題，提出構建虛擬機可信平臺VTPM模塊與虛擬機一同遷移，保證底層硬件基礎設施安全。通過三方面的保護可提高云計算數據安全性，提高云計算的使用效率。

[1]肖人毅．云計算中數據隱私保護研究進展[J]．通信學報，2014，35(12)：168-177．

[2]沙泉．云計算數據隱私保護方法的研究[J]．網絡安全技術與應用，2015(11)：62-62．

[3]薛燕，朱學芳．基于改進加密算法的云計算用戶隱私保護研究[J]．情報科學，2016，34(9)：145-149．

[4]祝旭．云計算數據安全保護問題的研究[J]．網絡安全技術與應用，2017(6)：68-69．

Research on Cloud Computing Data Security Protection

Li Ruiqiang
（Wuxi Vocational Institute of Commerce,Wuxi 214153,Jiangsu）

Cloud computing provides users with a dynamic resource allocation solution,which can deal with massive data according to user needs.It has good application for massive internet data storage and processing.However,the data security problem in cloud computing is the key to its sustainable development and application.This paper analyzes the data security factors in the cloud computing environment,and explores the data integrity protection,data sharing security protection and data storage carrier security protection in the cloud computing environment.MB-tree data structure is proposed to improve data integrity protection.The extended fuzzy identity encryption mechanism ensures the privacy protection of data interaction in the aspect of data sharing security protection.In the aspect of security protection of data storage carrier,a virtual machine trusted platform VTPM module is proposed to guarantee the migration of virtual machine in trust environment.

cloud computing;data security;MB-tree data structure;fuzzy identity encryption mechanism;VTPM module

TP309.2

A

1008-6609(2017)10-0089-03

李瑞強（1975-），男，山東萊西人，本科，講師，研究方向：計算機網絡。