基于SDBS算法的大數據云多級安全框架設計*

王 華

（河南工業貿易職業學院，河南 新鄭 451191）

云計算是一種基于互聯網遠程服務器來實現數據的存儲、管理和處理的技術。云存儲的優點是易存儲、易管理、可擴展、高可靠性和低成本。基于以上優勢，可以將數據轉移到云端上，使用云服務提供商（Cloud Service Provider，CSP）提供的存儲服務。但是，大數據云也面臨諸多安全威脅，如數據泄露、數據丟失、賬戶安全、拒絕服務、漏洞、共享技術等，正在影響著數據安全，因此，必須要保護數據免受未經授權訪問和拒絕服務。

要實現數據的安全，就需要使用到加密技術。加密就是將原始數據轉換成無法直接讀取的形式，解密就是將編碼后的數據轉換成原始形式。通過對數據的加密，只有被授權的用戶才可以解碼原始數據。因此，數據的安全性問題是通過加密實現的。

1 大數據云多級安全框架設計過程描述

本文主要目標是通過數據加密技術實現對云環境的敏感數據進行保護，提出一種在云環境中的多級體系框架，通過認證、授權、加密、解密等多種安全服務，實現4級數據保護。多級別體系結構見圖1。

圖1 大數據云的多級別安全體系

云環境中安全體系結構分為4個級別。數據提供者和數據用戶需在系統中注冊，填寫詳細信息，登錄系統時需由CSP進行認證，這是第一級安全。CSP通過使用數據提供者的證書對數據提供者進行授權，并向授權的數據提供者提供加密密鑰，這是第二級安全。只有經過授權的用戶才能對數據進行加密和上傳，數據文件授權后，通過ABE/AES/ABE+AES/SDBS 4種方案中的任何一種對數據進行加密，并上傳到云端，這是第三級安全[1]。只有經過授權的用戶才可以訪問存儲的加密數據。作為第四級安全，授權用戶在下載數據時向CSP請求解密密鑰和動態口令（One-Time Password，OTP）。

OTP是由CSP生成的隨機數，生成隨機數后向數據用戶的電子郵件ID和手機號碼進行發送。OTP驗證后，就可以實現數據文件的下載，并通過算法對收到的密鑰進行解密，這樣用戶就可以看到數據文件了。

在多級安全架構中，涉及的主要實體有：數據提供者、數據用戶、CSP和云服務器，具體定義如下。

1）數據提供者可以將數據存儲到大數據云服務器中。

2）數據用戶可以檢索存儲在云服務器上的數據。

3）大數據云服務器是一個存儲加密數據的數據倉庫，云服務器的容量與數據量的大小有關。

4）CSP負責驗證數據提供者和數據用戶的登錄信息和個人憑據，并負責生成OTP和加密密鑰。1.1 數據上傳階段

1）注冊階段。數據提供者需要提供用戶名、密碼、電子郵箱、手機號碼、出生日期、地址等信息，進行注冊。

2）登錄階段。數據提供者使用用戶名和密碼登錄系統。

3）認證階段。數據提供者使用用戶名和密碼登錄系統時，CSP對信息進行驗證，認證通過即可訪問系統。

4）授權階段。經過認證的數據提供者發送上傳數據文件的請求，CSP使用數據提供者的證書進行授權，并發送加密密鑰。

5）加密階段。數據文件使用ABE/AES/ABE+AES/SDBS算法進行加密，并由CSP發送加密信息。

6）上傳階段。所有權證明（Proof of Ownership，PoW）用于查找資源擁有者的證明，并由數據提供者將加密后的數據文件一起上傳到大數據云服務器。

1.2 數據下載階段

1）注冊階段。數據用戶需要提供用戶名、密碼、電子郵箱、手機號碼、出生日期、地址等信息，進行注冊。

2）登錄階段。數據用戶使用用戶名和密碼登錄到系統。

3）認證階段。通過CSP驗證數據用戶的用戶名和密碼，并通過認證進入系統。

4）授權階段。經過CSP認證的數據用戶可以請求下載數據文件。CSP通過使用其證書授權數據用戶，并發送解密密鑰。CSP還可以通過發送OTP到數據用戶的郵箱或手機號碼進行授權，數據用戶在授權后可以從大數據云下載數據文件。

5）下載階段。在驗證之后，數據用戶可以下載加密的數據文件。

6）解密階段。數據用戶獲取CSP發送的解密密鑰后，使用ABE/AES/SDBS算法對下載的數據文件進行解密，解密后的數據文件被保存到數據用戶的系統中。

2 安全框架設計方法

2.1 注冊

數據提供者和數據用戶的注冊信息存儲在大數據云服務器上。

2.2 驗證

身份驗證是第一級安全。數據提供者和數據用戶通過CSP進行身份驗證。如果數據提供者想要上傳數據文件，他必須使用用戶名和密碼登錄到系統中，登錄時CSP將數據提供者的用戶名和密碼與數據庫進行核對和驗證，并接受或者拒絕該請求。這是數據提供者的CSP身份驗證或非身份驗證。以同樣的方式，如果數據用戶想從大數據云服務器上下載數據文件，也需要用自己的用戶名和密碼登錄。CSP對數據用戶登錄信息進行驗證，信息驗證正確就可以接受請求，否則就拒絕請求。這是數據用戶的CSP身份驗證或非身份驗證[2]。

2.3 授權

經過身份驗證的數據提供者發送請求可以獲取密鑰對數據文件進行加密。CSP將通過驗證數據提供者的證書存儲在數據庫中，用于對數據提供者進行授權。只有經過授權的數據提供者才能上傳數據文件。為了下載數據文件，經過認證的數據用戶向CSP發送請求，以獲得下載數據文件所需的OTP和解密密鑰。CSP會核實數據用戶的憑證，并只向獲得授權的數據用戶發送OTP和密匙，以便下載數據文件，并發送密鑰對數據文件進行解密。授權是第二級安全。

2.4 加密

數據文件使用SDBS（Secure Dynamic Bit Standard）算法進行加密，并由授權的數據提供者上傳到云服務器，只有合法的數據用戶才能通過OTP下載和解密文件。

SDBS一共有3個級別，即128 b，256 b和512b。當數據提供者想要上傳一個數據文件到云服務器時，會隨機選擇任何一個級別，并將它轉換為字節。基于這個字節值，CSP將使用隨機生成器生成主密鑰和會話密鑰，主密鑰由會話密鑰加密，加密后的主密鑰和會話密鑰都將被發送給數據提供者。會話密鑰將被用來解密主密鑰，而主密鑰則用于加密數據文件。加密后的數據文件將與CSP生成的PoW一起上傳到大數據云服務器中。128位SDBS算法的加密過程見圖2。在SDBS加密過程中，有4種主要運算操作：字節替換、行移位、列混合、輪密鑰加。

圖2 SDBS加密過程

采用密鑰調度算法（Key Schedule Algorithm，KSA）生成各輪的子密鑰，算法見圖3。

圖3 密鑰調度算法的加密過程

SDBS算法的優點：一是安全性高。利用混合加密技術，對稱密鑰密碼用于數據加密，非對稱密鑰密碼用于密鑰生成[3]。二是效率高。由于它同時使用了對稱密鑰和非對稱密鑰加密技術，因此非常安全，效率很高。三是數據完整性好。由于加密后的數據文件只能被經過認證的用戶解密，因此不可能修改或刪除數據文件。四是性能好。數據文件加密、解密速度快，上傳和下載的性能也是最好的。

2.5 使用隨機密碼生成器生成動態口令

數據用戶想下載數據時，第一步輸入數據用戶名和密碼進行數據用戶認證。數據用戶登錄到系統后，CSP就會使用證書對數據用戶進行授權。數據用戶獲得授權后，就可以通過CSP發送的電子郵件和手機信息獲取動態口令。OTP是CSP使用隨機密碼生成器生成的16個或24個或32個字母、數字或特殊字符的組合，在OTP驗證之后，數據用戶就可以下載數據文件，數據文件同時被密鑰解密。

2.6 所有權證明

需要通過PoW來識別上傳到大數據云服務器的資源所有者身份。其中包括：數據提供者ID、用戶名、上傳文件的日期和時間等信息，這些信息顯示了數據文件的來源，數據用戶在下載文件后就可以知道以上信息。

3 實驗結果

大數據云中的數據安全與數據用戶的認證相互關聯。添加適合的安全策略，如限制數據文件的用戶訪問數量、權限等。數據的完整性也是信息安全系統中的一個重要部分，一般來說，這項服務可以保護數據不會被未經授權的修改或刪除。

SDBS算法的性能可以通過兩種參數來分析，即加密時間和解密時間。加密時間是指完成與文件大小相對應的加密過程所需的時間，而解密時間是完成與文件大小相對應的解密過程所需的時間。

將基于文件大小的SDBS算法加密時間和解密時間與ABE/AES/ABE+AES算法進行了比較，與其他技術相比，SDBS的加密和解密時間較短。該算法加密100 KB的數據文件需要0.26 s，加密1 GB的數據文件需要2.2 s；對100 KB數據文件解密時間為0.15 s，1 GB數據文件的解密時間為1.95 s。

為了分析大數據云多級安全系統在工作負荷逐漸增大時的工作情況，創建了云密鑰數據庫。數據庫創建開始時，會對多級安全云應用執行多次查詢。大數據分析查詢是從多級安全應用報告的整個過程中選擇的，這些查詢基于上傳/下載過程的聚合查詢和分組，或基于數據文件ID、數據提供者名稱、數據用戶、電子郵件、數據文件大小、上傳和下載時間、數據文件加密和解密時間、數據提供者和數據用戶使用的字節數以及數據文件的狀態。對于每一個數據信息，查詢得到的結果都會存儲到大數據云中，大數據的分析功能可查看CSP、數據提供者和數據用戶的當前狀態。根據以上分析，圖4為使用SDBS算法進行數據文件上傳、下載的對比數據，對每個數據提供者、數據用戶使用的總字節數和上傳、下載的數據文件進行分類并給出結果。

圖4 基于SDBS算法的文件上傳、下載時間

4 結論

本文提出了一種面向大數據云用戶的安全技術。在上傳或下載過程中，數據文件可使用不同算法進行加密或解密，如ABE，AES，ABE+AES和SDBS，本文提出的SDBS算法，在提高數據文件存儲安全性的同時，增加對共謀攻擊、暴力破解攻擊、結構化查詢語言（Structured Query Language，SQL）注入攻擊等云攻擊的防護能力，加密和解密數據文件所用時間會更短[4]。與其他算法相比，本文提出的SDBS算法對數據文件具有數據保密性好、存儲安全性高、數據不會丟失等優點。