芻議云數據安全存儲技術

張彭 張永健

（泰州市自然資源和規劃局，江蘇泰州 225300）

0.引言

當前，云數據存儲模式正快速發展，隨著云計算技術水平提升，這種存儲模式也將會成為主流趨勢。本文主要就云數據存儲的安全問題進行了研究，希望能夠對相關技術領域有所幫助。

1.云數據存儲模式

云數據存儲模式主要是基于云計算來實現，其具有存儲能力更強、計算處理水平更高以及資源利用更充分等優勢。近年來，相關數據表明，云計算在技術領域開始廣受歡迎，相應的云服務市場規模逐漸擴大，許多IT企業也開始加大開發云計算項目的投資。但云計算發展突飛猛進，同時，其數據存儲模式也開始出現安全問題，一些企業不采取云計算的原因也是擔憂會泄露隱私性數據。因此，數據安全難以有效保證也成為云數據存儲模式的發展弊端。當前，學術界就云數據存儲的安全主要是圍繞著3個方面探討，分別為數據安全審計、保密性存儲以及密文的訪問控制，未來云計算存儲也將會向更加安全的方向發展[1]。

2.云數據安全存儲技術面臨的問題

2.1 數據加密存儲的問題

云數據安全存儲技術與一般數據統計下的加密技術相比，其安全程度會更高，且數據處理功能也會更強。不過，真正實現云數據的安全存儲卻具有一定難度，尤其是加密存儲方面會出現一些問題：第一，所謂云數據就是數據文件的一種云模式，而這種模式對網絡空間的神經系統具有較強的依賴性，用戶會被授權對虛擬資源加以使用，進而基于云數據平臺來獲取想要的數據文件，但云模式具有著加密難度高以及較為繁瑣的特征，這也使其對相關技術要求更高，數據隱私性與安全性威脅日益增加。例如，美國的有關部門對云數據平臺安全事故發生率進行過調查，結果表明，在接受調查的企業中有將近六成企業的平臺遭受過不良攻擊，甚至有用戶私人信息數據被泄露，這種調查結果也導致越來越多人開始關注云數據存儲技術的安全問題。第二，在技術上存在著限制情況，導致數據的加密和處理之間存在沖突，比如進行了加密的數據將無法實現處理操作，這是由于數據加密之后會與系統中的檢索功能矛盾造成禁止操作，因此就陷入兩難的尷尬局面，即加密數據無法操作而不加密又會導致數據安全受到威脅[2]。

2.2 數據隔離的問題

在云數據存儲技術當中，有一項極為基礎的技術叫作多租戶技術，該技術特征是讓多個用戶能夠在相同的平臺上將數據信息進行存儲，不同的用戶數據信息還會在平臺中存入同一個數據表當中，甚至沒有隔離機制，其容易導致不同數據相互交叉，進而出現系統性錯誤，這就是數據隔離問題，發生這類問題也會給云數據存儲的安全性帶來極大隱患。從目前情況來看，許多提供云服務的供應方也開始盡可能在數據中采取隔離手段，以免云存儲的部分數據被非授權人員訪問，但實際上隔離效果并不佳，相應的數據隔離技術還有著很大發展空間。同時，還有一些借助于第三方安全軟件來開展存儲數據防護，降低混合數據的不良影響，但這種軟件也會在用戶交互訪問時出現一定漏洞。除此之外，很多安全軟件也并非真的由無關第三方機構提供，因而在管理上頗具困難，無法實現云數據的安全存儲。

2.3 數據轉移的問題

基于云存儲的模式，相關用戶在使用數據時能夠快速執行，為了保證滿足用戶需求，其數據計算的系統還會對存儲數據開展轉移，本質上是一種移動磁盤靜態數據和動態數據的活動。在轉移時，不能夠讓用戶感受到“宕機”情況，因此數據轉移要保證高速進行，且轉移之后也要確保數據的完整性，數據轉移過程也可以看作是一種為數據處理提供便利并確保數據安全的程序，若是云數據在輸送過程中安全受到威脅，會產生許多不良影響。比如其轉移后仍舊存在部分數據殘留，沒辦法切實刪除干凈，會直接影響到數據本身的安全性。再比如，數據轉移過程中出現監管缺失情況，一些云計算平臺方為了謀取私利而將數據轉移殘留下的痕跡重新回收，然后將這些數據賣給其他主體獲取利益。

2.4 數據安全審計的問題

在相應計算平臺開展云數據的存儲時，多是采用外包形式，因此也會產生一定的數據存儲安全問題。一方面是無法保證外包存儲數據切實存入用戶本人擁有的云盤設備當中；另一方面則是無法確保只有用戶本人擁有數據訪問和操作的權限，存在著他人修改用戶數據的風險，導致云數據存儲安全性下降。在云服務運行的過程中，還需要對數據進行安全審計工作，一般由第三方認證機構來執行，相應的云服務提供方會盡可能保證用戶信息數據不出現泄漏，再找到合適的審計方開展審計，將可開放的信息數據進行開放，但是這種審計還可能會出現時效性較差的問題[3]。

3.云數據安全存儲技術問題產生的原因

上述分析的云數據安全存儲技術問題出現主要是以下幾種原因：一是云計算租用商業模式的影響。在這種模式下，數據計算和存儲都可以看作是外包形式，因而具有著不可控的特點，用戶的隱私性數據信息很可能被云服務供應商獲取，同時也可能存在被其他用戶或對手企業獲取風險，具體數據信息泄露范圍視情況而定；二是虛擬化技術的影響。云模式中所運用的關鍵技術即為虛擬化技術員，其作用于資源的動態性伸縮，可以將硬件資源進行虛擬化處理，而其處理設備為虛擬機監控器，該設備中的資源還會被相互隔離，進一步保證數據安全，不過事實上仍舊有攻擊者可以對虛擬機進行非法流量分析，或是從旁路入侵，獲取其中數據信息，造成多種云數據安全存儲問題出現；三是多租戶技術的影響。正如上述分析，該技術也是關鍵技術之一，不管多租戶技術應用中對數據進行怎樣的隔離或是標簽區分，都可能存在被他人旁路入侵或是漏洞攻擊的風險，造成數據的泄露。

4.云數據安全存儲技術的改進方向

4.1 基于加密的云數據安全存儲技術

對云數據安全存儲技術的改進主要是為了提升其存儲的安全性、高效性以及可靠性，有效提高技術安全水平的關鍵就在于實施保護云加密，從這一方面出發，搭建出基于加密的云數據安全存儲技術，主要圍繞核心技術本身和安全存儲的框架來開展研究。例如，可以將VMM數據保護技術作為研究基礎，有關該技術的加密存儲框架是由微軟研究院首次提出，隨后面向大眾并持續性發展，在實踐運用過程中也得到了進一步延伸。該技術下的云數據安全存儲具有著加密系統，系統包含了多維度功能模塊，如數據驗證、數據處理、憑證驗證以及生成令牌等，其中數據驗證與數據處理功能發揮是基于數據處理相應組件，能夠將輸入系統中的數據進一步歸類并存儲，同時配合著數據存儲的組件，確保數據具有完整性。生成令牌也有著相應組件，其負責對數據進行分塊、編碼以及加密。在這種加密系統設計中，用戶能夠依據本身的權限，通過程序操作獲得相應的令牌，再對加密處理的數據進行訪問，其技術優勢就在于切實保護重要數據與用戶隱私的安全，同時還可以為電子取證、法律訴訟等方面提供云數據類型的證據，具有較高應用價值。除此之外，實現加密的云數據安全存儲技術還有多種類型，比如說有學者研究過一種在不可信服務器上進行云數據文件安全存儲的加密系統Plutus，這種系統是將具有一定相似性的數據文件按照共享屬性特點來劃分為多個組別，在每一個組別當中都設計了一個關聯性的對稱密鑰，使用密鑰對所有數據文件塊實現加密。同時，數據文件組本身也具有鎖箱密鑰，其是對數據文件塊的密鑰再添一重加密，若是用戶要將數據文件進行共享，就需要將文件組的鎖箱密鑰發送給將共享的一方，這種形式下的云數據存儲安全性顯著提升，不過其密鑰管理方面頗為復雜[4]。

4.2 基于查詢的云數據安全存儲技術

云數據的存儲要保證安全，很多情況下都是直接開展加密處理，這種途徑也是廣被采納，但加密后的存儲數據想要進行查詢卻具有很高的難度。由于加密數據本身會時刻處于機密狀態，當進行提交后，平臺的相關云數據信息也無法利用一般服務器查詢，索引無法有效建立，導致無法顯示，許多具有訪問權限的用戶查詢目標數據時變十分不便。從功能特征上來說，云存儲數據的加密以及查詢本身相互矛盾，為了保證數據存儲安全基礎上，為數據訪問用戶提供更加優質的服務，一種基于查詢的云數據加密存儲技術被催生出來。這種查詢為基礎的技術叫作Searchable Encryption，可簡稱為SE，主要利用布爾型查詢的原理，對于以相關性為排名的數據信息查詢不予支持。在這種技術下，用戶會云端的查詢服務器中輸入相應查詢條件或是部分關鍵詞，服務器會自動建立索引，以關鍵詞查詢為例，可以對詞匯加以檢索，在系統中搜尋并提取出符合詞匯條件的數據，生成相應查詢結果并發送給用戶，整個查詢的流程當中，已經被加密處理的數據也不會因此解密，但數據要獲得查詢結果也無需獲取到相應密鑰，既能夠保證數據存儲安全，也滿足用戶的查詢需求。根據SE技術的相應要求，在查詢時需保證輸入的關鍵詞格式正確，采取統一格式且不允許出現詞匯錯誤。從這些特征來看，在云數據存儲的環境中，SE在查詢數據時還會面臨兩個困境，其一是用戶輸入的關鍵詞若是不夠準確，會導致查詢結果不清晰，效率較低。其二是返發送給用戶的數據文件會增加一定網絡流量，這對于用戶方來說也是一種負擔。因此，為了保證查詢的準確性，降低用戶的流量成本，有學者提出一種針對云加密數據文件的模糊查詢方法，可以讓查詢操作中不必輸入關鍵詞，也沒有過于嚴苛的格式要求，這種模式下查詢的關鍵詞會自動集中匹配相似關鍵詞，從而保證查詢的效率[5]。

4.3 基于可信平臺的云數據安全存儲技術

云數據存儲的過程中，其安全性還會受到軟件與硬件是否可信的影響，在不可信的條件下，安全存儲將會面臨較高風險，因此，在云數據安全存儲技術改進過程中，也需將基于可信平臺的技術形式作為方向。例如，可以提高計算機硬件的技術可信度，通過基于可信計算再進一步開展軟件的可信計算，將虛擬機監控器作為基礎，為數據保護提供有效途徑，其中，虛擬機監控器可以有效保護存儲中具有較高敏感性的數據，如用戶隱私數據，在必要情況下，用戶還可對這類數據下達完全銷毀的命令，就算是云服務器的管理員存在特殊權限，也沒有辦法將保護機制繞過且獲取到被特殊保護的數據，提升云數據存儲的安全水平，在這種技術方案下，計算機硬件、使用的軟件都具有較高可信度，不過目前在實施上還缺乏相應的滿足條件。也有學者以數據保護為優先，提出了一種以二次混淆為基礎的隱式分割功能機制，在可信的服務器上，進一步搭建出保護用戶私人信息的架構，讓存儲的數據和私人數據隔離開來，分開進行管理，而服務器還可以借助于認證碼功能來判斷用戶是否具有存儲權限。還有一種目前發展速度頗快的新型加密技術—同態加密技術，其安全性與功能性都比較好，主要是在明文上對制訂的帶入運算結果進一步執行，保證其能夠與密文上另一個代數的相關運算結果達成一致。所謂同態加密就是指，若相關解密函數未知，那么用戶也被允許對需要加密的數據開展計算，而相同的加密函數若是無法對乘法同態和加法同態同時滿足，就會被稱作是全同態加密函數；若是可以同時滿足兩種同態，那么就稱作部分同態加密函數。同態加密技術為了確保數據安全得到有效保障，還可采用雙重加密形式，其中第一重加密主要是讓用戶來完成，可靠性比較高，且用戶也可以盡量降低加密負擔，采取的加密方法可以為輕量級別，比如說將存儲的數據文件采取秘密分割方法，獲得重構后的文件加密處理，各個劃分的文件塊也會進行加密，再將兩者直接上傳到云端開展第二重加密，這時的加密應當保證強度級別較高，基于大數據并采用MapReduce編程加密手段，提升數據存儲的安全性。除此之外，在數據銷毀方面，一般是用戶為了保護隱私且不需要某些數據時選擇銷毀，不過其部分數據為了保證安全性都進行過加密處理。那么，在銷毀時也需采用一些特殊技術，才能夠將所有相關數據備份徹底銷毀，通常是利用覆寫法，先將所有的數據進行覆蓋，再進行無痕銷毀處理，這種銷毀是無法進行復原的。

5.結論

云數據存儲可以有效提升數據利用水平，且可以進一步增強存儲能力，因此成為廣泛使用的數據存儲模式，為了保證其存儲數據的安全性，云數據安全存儲技術成為研究熱點。由本文分析可知，云數據安全存儲技術的改進方向包括基于加密的云數據安全存儲技術、基于查詢的云數據安全存儲技術和基于可信平臺的云數據安全存儲技術。