云存储安全模型研究(共7篇)
云存储安全模型研究 篇1
1 引言
云计算是一种将可伸缩、弹性的共享物理和虚拟资源池通过网络以按需自服务的方式供应和管理的模式。云存储是在云计算概念上延伸和发展出来的一个新的概念。云存储系统通过集群应用、网格技术或分布式文件系统等功能, 将网络中大量不同类型的存储设备通过应用软件集合起来协同工作, 共同对外提供数据存储和业务访问服务。目前云存储服务已经得到广泛应用, 诸如网络硬盘、在线存储、在线备份及在线归档等各种形式的服务都属于云存储服务的范畴。同时, 随着各种云存储服务的推广和使用, 一些数据安全方面的问题, 如数据篡改、数据窃取、数据丢失等也受到越来越多的关注。
2 云存储模型
云存储系统是一个由网络设备、存储设备、服务器、应用软件、公共访问接口、接入网和客户端程序等多个部分组成的复杂系统。在云存储系统中, 各个部分以存储设备为核心, 通过应用软件对外提供数据存储和业务访问服务。云存储对使用者来讲, 不是指某一个具体的设备, 而是指一个由许多个存储设备和其他资源构成的资源池集合体。用户使用云存储, 也不是使用某一个存储设备, 而是使用整个云存储系统提供的一种数据访问服务, 所以云存储从严格意义上来讲是一种服务。云存储的核心是存储设备和应用软件的集合, 通过应用软件实现存储设备向存储服务的转变。
云存储系统与传统存储系统相比, 具有以下不同:第一, 从功能需求方面来看, 云存储系统面向多种类型的网络在线存储服务, 而传统存储系统则面向如高性能计算、事务处理等应用;第二, 从性能需求方面来看, 云存储服务首先要考虑数据的安全、可靠、效率等指标, 而且由于服务范围广、用户规模大和网络环境复杂多变等特点, 实现高质量的云存储服务必将面临更大的技术挑战;第三, 从数据管理方面来看, 云存储系统不仅要提供传统文件访问, 还要能够支持海量数据管理并提供公共服务支持功能, 以方便云存储系统后台数据的管理和维护。基于上述特点, 我们提出了云存储系统的结构模型, 主要由四层组成, 如图1所示。
(1) 数据存储层
数据存储层是云存储系统最基础的部分, 它将不同类型的存储设备互联起来实现海量数据的统一管理, 同时实现对存储设备的集中管理、状态监控以及容量的动态扩展等, 实质是一种面向服务的分布式存储系统。云存储中的存储设备可以是FC (Fibre Channel, 光纤通道) 存储设备, 也可以是i SCSI (Internet Small Computer System Interface, 小型计算机系统接口) 和NAS (Network Attached Storage, 连接式存储) 等IP存储设备, 往往数量庞大且分布于不同地域, 彼此间通过广域网、互联网或者光纤通道网络连接在一起。云存储系统中各种服务的数据统一存放在其中, 形成一个海量数据池。
(2) 基础管理层
基础管理层是云存储系统最关键的部分, 它为上层提供不同服务间的公共管理的统一视图, 其通过集群、分布式文件系统和网格计算等技术, 实现云存储中多个存储设备间的协同工作, 以更好的性能对外提供多种服务。
在该层可以通过接入内容分发系统、采用数据加密技术等, 以及云存储中数据访问的安全性;同时, 也可以通过各种数据备份、容灾技术等保证云存储中的数据不会丢失, 以及云存储系统自身的安全和稳定。
(3) 应用服务层
该层是云存储系统中可以灵活扩展、直接面向用户、与实际应用交互的部分。该层可以根据用户需求开发出不同的应用服务接口, 提供不同的应用服务, 如在线归档服务、在线备份服务和网络硬盘服务等。
(4) 用户访问层
通过用户访问层, 任何一个具有相应权限的用户都可以在任何地方, 使用一台联网的终端设备, 按照标准的公共应用接口访问云存储系统和使用云存储服务。
3 云存储的安全性
3.1 云存储系统的安全等级划分
在云计算时代, 个人和企业的大量数据往往已经不再存储在自己的硬盘中, 大部分数据通过网络存储在云计算操作系统或云存储系统中, 数据的安全性和可靠性则必然成为用户非常关心的问题。由于同一个云计算系统中不同用户的支付能力不同, 对自身数据的安全性和可靠性的要求程度也不同, 因此云计算系统或云存储系统应该为不同的用户提供不同级别的数据安全保障。云存储系统的安全分解方法按照数据的存储方式和用户的不同要求从低到高分为如下四个级别:单机级、跨服务器级、跨集群级和跨数据中心级。其中, 单机级指的是每个数据块只存储在一台服务器上, 当存储在文件数据块的服务器失效时, 会导致文件破坏。跨服务器级是指存储的每个数据块会在不同的服务器上做备份, 当其中一个服务器失效时则自动将存储服务访问转移至其他的备份数据库, 保证数据的完整性。跨集群级就是将每个数据块在不同的集群间 (一个集群包含分布在同一机柜或不同机柜中的多台服务器) 做备份, 以防止集群失效后数据被破坏。同时, 由于集群内的服务器往往公用网络交换设备, 跨集群级云存储系统能够克服一旦网络交换设备出现故障而无法获取数据的问题, 能够进一步提高数据的安全性。跨数据中心级就是数据块副本存储在不同地区的数据中心, 两个数据中心的物理距离可能达到数千里, 这种安全级别的文件在遇到重大灾难和事故时也能够保证数据的完整性和可靠性, 这种安全级别的数据存储往往应用于电信、金融等核心关键数据存储应用。
在云存储系统安全级别的划分结构中, 不同安全级别之间一般是向下继承的, 即跨数据中心级的安全策略同时也可以实现跨集群级、跨服务器级的安全策略。云存储系统安全级别越高, 相应的代价和费用也越高, 云存储系统中的用户可以根据自己的实际应用情况和需求定制不同安全级别的存储服务。
3.2 云存储安全技术
在云存储系统中, 存储于“云”端的用户数据的安全性和可靠性面临更为严峻的挑战, 主要表现在: (1) 云存储提供可伸缩的数据服务, 无法清晰定义安全边界及保护设备, 给制定云存储的安全保护措施增加了难度; (2) 云存储通过IP网络传输数据, 因此传统网络上的安全威胁也存在于云存储系统上, 如数据破坏、数据窃取、数据篡改、拒绝服务等, 影响了数据的安全存储; (3) 数据存储的安全性包括静态存储安全和动态存储安全, 静态存储安全是确保云存储系统上最终存储数据的存放安全, 动态存储安全是确保在数据传输时的完整性和保密性, 而云存储中数据的动态安全保障存在诸多风险; (4) 云存储需要保证数据的容错性、可恢复性和完整性, 在灾难发生时如何避免数据服务中断及数据丢失等问题; (5) 云存储系统作为一个公共数据中心, 具有多客户连接、高交互性、数据安全保障要求高等特点, 对入侵、攻击、病毒和恶意软件十分敏感, 有必要对云存储中的数据流进行实时主动的检测和防御。
云存储中的存储安全技术有以下几种:
(1) 虚拟安全技术。虚拟技术是实现云计算的关键核心技术, 使用虚拟技术的云存储平台上的存储资源提供者必须向其用户提供安全性和隔离保证。已有的研究提出了诸如基于虚拟机技术实现的Grid环境下的隔离执行机技术、基于缓存层次可感知的核心分配与缓存划分的页染色方法实现的性能与安全隔离技术等, 从而在基础资源层面保障了云存储系统中数据的安全性和可靠性。
(2) 数据隐私保护。云存储中数据的隐私保护涉及数据生命周期的每个阶段。现有的诸多技术, 如K匿名、图匿名以及数据预处理技术, 或通过将集中信息流控制和差分隐私保护技术融入云中的数据生成和计算阶段保障用户数据隐私的方案等, 都可用于云存储系统中保证用户数据的安全性和可靠性。
(3) 数据加密存储。对指定的目录和文件进行加密后保存。加密存储主要包括两个方面:用户密钥的产生和管理、利用密钥对数据的加密存储和解密读取。通过有效的数据加密存储手段, 能够保证敏感数据存储和传输过程中的机密性保护。
(4) 数据恢复。指通过对大的关键数据进行分布式的分块存储并作多个备份, 当某一数据块发生故障时, 能及时恢复该数据块并能很快完成与其他数据块的整合, 使用户感觉不到故障的发生。数据恢复能够保证云存储系统中数据的可靠性。
(5) 访问控制。在云存储系统中, 各个应用属于不同的安全管理域, 每个安全管理域都管理着本地的资源和用户。当用户跨域访问资源时, 需在域边界设置认证服务, 对访问特定资源的用户进行统一的身份认证管理。在跨多个域进行资源访问的实践中, 各个域都有自己的访问控制策略, 在进行资源访问和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略。有效的访问控制策略能够维护用户数据的安全性和可靠性。
(6) 认证服务。认证服务实现云存储中用户身份认证, 防止非法访问和越权访问等。在云存储系统的身份鉴别中, 只需要用户向云存储服务器证明自己的身份即可。传统的身份认证方式往往直接将口令这样的身份秘密暴露出来, 在传输过程中很容易受到第三方的攻击。在云存储系统中, 可以使用挑战-应答式的身份验证方式, 使用户无需发送身份秘密就可以证明自己的身份, 提高了用户数据的安全性。
(7) 安全日志和审计。用于记录用户和云存储系统与安全相关的主要活动事件, 为系统管理员监控系统和用户的相关活动提供必要的审计信息, 能够在应用服务级别对用户数据的安全性和可靠性提供一定的保障。
3.3 云存储安全模型
基于3.2中提出的各种云存储安全技术, 本文针对云存储结构模型提出了一个云存储安全模型, 如图2所示。其中, 在数据存储层通过使用虚拟安全技术、物理安全技术等在物理存储资源层次上保证云存储中数据的安全性和可靠性;在基础管理层, 通过诸如数据隐私保护、数据加密存储、数据恢复技术等构建对于云存储系统中数据的安全性和可靠性的保障;而在应用服务层, 我们可以通过访问控制、认证服务、安全日志和审计等技术实现在云存储中各种数据在应用层方面的安全性和可靠性保障。
本文提出的云存储安全模型在实践中有着广泛的应用。浪潮微盘是浪潮集团针对内部员工提供的在线云存储服务, 具有大容量、安全、低成本、高可靠的特点, 其参考本文提出的云存储安全模型实现, 采用虚拟安全技术、物理安全技术、数据加密存储与恢复技术、访问控制及安全日志和审计技术等分别在微盘的数据存储层、基础管理层和应用服务层等层次构建并实现了全系统的数据安全性和可靠性保障。作为本文提出的云存储安全模型的应用实例, 实践证明其数据安全性能和可靠性能有了较大提升。因此, 本文提出的云存储安全模型能够很好的满足云存储系统中数据安全性和可靠性的要求。
4 结语
云存储是当前发展十分迅速的新兴产业, 具有广阔的发展前景, 但同时其所面临的安全技术挑战也是前所未有的, 需要信息安全领域的研究者共同探索解决之道。本文提出了一个云存储安全模型, 能够在一定程度上保证用户数据的安全性和可靠性。但同时, 我们也要注意到云存储安全并不仅仅是技术问题, 它还涉及监管模式、标准化、法律法规等诸多方面。因此, 对于解决云存储的安全问题, 不能仅仅从技术角度出发, 还更多地需要产业界、学术界及政府部门的共同努力才能实现。
摘要:针对云存储服务对传统存储技术在数据安全性、可靠性、易管理性等方面提出的新挑战, 在分析云存储的基本概念、结构和特点的基础上, 研究了云存储的安全性;同时, 针对云存储系统各个结构层次的特点, 讨论了云存储的安全技术, 并构建了云存储安全模型, 保证了云存储系统的安全性和可靠性。
关键词:云存储,安全模型,数据存储,访问控制
参考文献
[1]LAPLANTE P A, ZHANG J, VOAS J.What's in a Name?Distinguishing Between Saa S and SOA[J].IT Professional, 2008, 10 (03) :46-50.
[2]LIN G, DASMALCHI G, ZHU J.Cloud Computing and IT as a Service:Opportunities and Challenges[C]//Proceedings of the IEEE 6th International Conference on Web Services (ICWS'08) , Los Alamitos, CA.USA:IEEE Computer Society, 2008:58-65.
[3]王鹏.云计算的关键技术与应用实例[M].北京:人民邮电出版社, 2009.
[4]吴吉义, 平玲娣.云计算:从概念到平台[J].电信科学, 2009 (12) :23-30.
[5]冯丹.网络存储关键技术的研究及进展[J].移动通信, 2009, 33 (11) :35-39.
云存储安全模型研究 篇2
随着云计算技术的飞速发展和大数据时代的到来,越来越多的企业和个人将自己的业务及数据迁入云端,以解决爆炸式增长的数据存储问题,同时满足用户随时随地通过可连网设备获取云端数据的需求
针对云存储的安全问题,虽然目前许多云存储服务商都有使用加密技术保护用户的数据,但是在方便高效方面还存在新的挑战。例如,i Disk不支持用户数据在客户端进行加密,这意味着上传到i Disk的数据是明文
为了解决以上云存储的安全问题,文献
1 云安全相关技术
1.1 数据加密技术
针对数据存储及传输的安全问题,目前大多数云服务商还是采用传统的数据加密方式保护用户数据的传输及存储安全
图1 传统的数据存储和传输方法
图1中涉及数据交换的主体有云服务器、数据拥有者和普通用户,主要由以下几个步骤完成:
(1)数据拥有者在本地加密数据之后上传至云服务器进行存储;
(2)普通用户注册成为数据拥有者的合法用户;
(3)数据拥有者分发数据加密密钥给注册用户;
(4)注册用户访问云端数据;
(5)使用从数据拥有者处获得加密密钥下载并解密所需数据;
(6)数据拥有者可直接下载自己已上传至云端的数据。
存在的安全隐患:在传统的数据存储和传输方法中,如果注册用户发生变化,数据拥有者需要更新数据密钥以便分发给最新注册的用户,并及时删除原用户信息;在数据拥有者传输密钥给注册用户时,面临着密钥在不安全信道被截取和篡改的威胁。这些不安全隐患都表明传统的数据存储和传输方法不再适应于云存储安全。
目前主流的数据加密技术包括对称加密和非对称加密。主流的对称加密算法
1.2 CP-ABE算法
CP-ABE
1.2.1 CP-ABE算法结构
CP-ABE算法中相关术语定义如下:
定义1属性:设A={P1,P2,…,Pn}为所有属性的集合,则每个用户的属性集Au是A的一个非空子集,Au⊆{P1,P2,…,Pn}。
定义2访问结构:访问结构T是全集{P1,P2,…,Pn}的一个非空子集,。T代表一个属性判断条件,即在T中的属性集合称为授权集,不在T中的属性集合称为非授权集。
定义3访问树:用来描述一个访问结构,树的每个叶节点代表一个属性项,每个内部节点代表一个关系函数,关系函数可以是“与”、“或”以及“至少满足”等。
例如,假设属性集合A={现居地:北京,现居地:广州,职业:老师,学历:博士};
用户1的属性集Au1={现居地:北京,职业:老师,学历:硕士};
用户2的属性集Au2={现居地:北京,职业:老师,学历:博士};
用户3的属性集Au3={现居地:天津,职业:老师,学历:博士};
访问结构T={{现居地:北京,职业:老师,学历:博士},{现居地:广州,职业:老师,学历:博士},{现居地:北京},{现居地:广州}}。
根据CP-ABE算法机制,分别判断用户是否满足访问结构要求:
用户1的“{学历:硕士}”属性不满足访问结构中的“{职业:老师,学历:博士}”的“与”操作;
用户2满足访问结构要求,可以访问数据;
用户3的属性“{现居地:天津}”不满足“{现居地:北京,现居地:广州}”的“至少满足一个”门限操作。
图2为根据以上假设的一个CP-ABE算法访问控制结构实例示意图。
图2 CP-ABE访问控制结构实例示意图
1.2.2 CP-ABE算法实现步骤
CP-ABE算法主要包含四个步骤:
(1)Setup(Au),授权中心执行:当用户发送访问请求给云服务器时,由授权中心执行该算法,授权中心根据用户的属性Au判断当前用户需要获取的数据,输出系统公共参数PK和主密钥MK,即(PK,MK)=Setup(Au)。
(2)Key Gen(PK,MK,Au),授权中心执行:密钥生成算法以系统公共密钥PK、主密钥MK和用户属性集Au作为输入参数,输出对应于Au的解密密钥SK,即SK=Key Gen(PK,MK,Au)。授权中心在用户发送请求时根据用户属性生成对应于当前用户的解密密钥SK,并通过安全信道发送给用户秘密保存。
(3)Encrypt(PK,M,T),数据拥有者执行:根据授权中心生成的公共参数PK决定具体加密哪个数据,输入系统公共参数PK、数据拥有者的明文M以及访问结构T,加密之后得到密文C,即C=Encrypt(PK,M,T),且该密文只有在满足访问结构的集合属性时才能被解密。
(4)Decrypt(C,SK,PK),普通用户执行:它的输入参数是用访问结构T加密的密文C,以及对应于用户属性集Au的解密密钥SK和系统公共参数PK。如果用户属性集Au满足访问结构T,则输出明文M,即M=Decrypt(C,SK,PK)。
CP-ABE加密机制
图3 CP-ABE机制示意图
1.3 数字信封技术
数字信封
数字信封的功能类似于纸质信封,纸质信封保证了只有收件人才能阅读信的内容。数字信封则采用成熟的密码技术保证只有规定的接收方才能获取发送者的内容,发送者必须知道接收者的数字证书的公钥。图4、图5为数字信封技术加密、解密过程图。
图4 数字信封加密过程
图5 数字信封解密过程
其执行步骤如下:
(1)明文M通过对称密钥K1进行加密,加密函数为Encrypt(K1,M),得到密文C;
(2)对称密钥K1通过接受者的公钥PK进行加密,加密函数为Encrypt(PK,K1),得到加密密钥K2;
(3)将密文C和加密密钥K2同时发送给接收者或上传至云服务器;
(4)接收者接收到密文和加密密钥之后对数据进行拆分,分为密文C和解密密钥K2;
(5)接收者通过私钥SK解密出加密密钥里面的对称密钥,其解密函数为Decrypt(SK,K2),得到对称密钥K1;
(6)使用对称密钥K1解密密文C,解密函数为Decrypt(K1,C),从而恢复出明文M。
数字信封技术的加密过程类似于纸质信封中的信件封装,并指定了具体的收件人,解密过程类似于纸质信封中合法收件人才能拆封并阅读信件。整个信封传递过程都是处于保密状态,确保了数据的安全性。
2 CP-ABE融合技术的云存储安全模型
安全模型主要解决用户数据在云端的上传和存储安全问题。它能够有效解决用户数据在上传中被截获和被篡改的安全问题及数据在云端存储被非授权用户和云服务提供商利用的问题。
2.1 安全模型系统架构
新模型使用三层不同的安全系统架构,层次图如图6所示。
图6 新模型安全层次图
第一层通过短信校验码结合用户信息生成动态口令OTP对用户进行登录校验,有效阻止非授权用户的登录对云服务造成安全威胁。
第二层用户登录成功之后就能够上传数据至云端,在上传之前,用户可以根据安全模型提供的加密方法对数据加密,并使用CP-ABE算法对加密密钥加密,确保只有满足访问结构属性的用户才能解密数据。被加密的密钥和数据通过数字信封技术进行加密上传。数据加密的过程如图7所示,其中本地加密数据的算法以AES算法为例。
图7 基于AES和改进的CP-ABE的数据加密过程
第三层用户从云端下载数字信封封装的数据到本地,模型根据用户的登录信息及账户信息判断当前用户是否为合法用户。如果符合判断要求,则通过模型自动解密数字信封的加密密钥和密文,即根据CP-ABE的属性进行判断用户是否能够解密密钥,从而解密密文供用户使用,数据解密过程如图8所示。
图8 基于AES和改进的CP-ABE的数据解密过程
安全模型在整个数据传输与存储过程中的作用相当于一个网关的作用,用户所有的数据都是经过该模型进行过滤之后再上传到云服务器或者从云服务器下载。模型主要完成以下安全任务:
(1)数据未上传至云端之前对隐私数据加密;
(2)非授权用户从云存储服务器获得数据,只能看到加密形式的数据,无法解密密文数据;
(3)合法用户从云端获得数据,则在用户端自动解密供用户使用;
(4)阻止恶意用户访问服务器,同时检测恶意软件攻击。
图7中为了更好地融合CP-ABE和信封融合技术,将经过CP-ABE加密的加密密钥和密文数据整合成一个数据包同时上传至云端。由于加密密钥和密文数据在数字信封里是属于分开存储的,所以不会造成加密之间的冲突,能够兼容不同的加密技术对数据进行加密,确保数据的机密性。
2.2 登录动态口令OTP设计
模型中的动态口令OTP对用户的账户安全起着至关重要的作用,其主要实现方法是通过接收短信校验码,校验成功之后根据用户名、密码和短信校验码生成一个OTP。用户使用生成的OTP登录云服务器获取数据。短信校验码生成与使用场景是物理隔绝的,因此将校验码在通路上被截取的概率降至最低。OTP总体设计架构图如图9所示。
图9 OTP总体设计架构图
用户首先通过注册时的用户名和密码登录云服务器,登录成功之后,云服务器发送短信校验码到用户手机。用户使用接收到的短信校验码生成OTP,并将OTP存入到云服务器的临时数据库中,存储的时候根据用户信息相应存储。用户再使用用户名、密码及OTP获得云端的隐私数据并自动解密数据,在每次获取数据的时候都需要输入OTP,直到用户退出程序为止。用户再次登录云端服务器的时候需要再获得短信校验码生成OTP。
2.3 用户与云服务器数据交互
图10详细描述了用户和云服务器之间的数据交互过程。用户在上传数据时需要通过CP-ABE密钥授权中心设置访问策略用于加密密钥;用户需要从云存储服务器下载数据时,需要通过CP-ABE密钥授权中心判断用户属性是否满足设置的访问策略。
图1 0 用户和云服务器数据交互序列图
数据使用主流加密技术进行本地加密,在模型的第二层中为了确保数据的完整性,通过对数字信封的检验确定数据有没有被第三方篡改。在模型中数据的密钥是通过CP-ABE加密的,这是为了防止密钥在传输过程中被黑客截获,要想获得密钥必须要满足CP-ABE的访问结构。
3 改进模型仿真实验及性能分析
为了评估本方案的效率和在云环境下的可行性,本文采用模拟的云环境进行仿真实验,同时参考文献
3.1 仿真模型及参数描述
本仿真实现由安全模型进行数据的上传和下载,并采用百度云为云端服务器进行数据的存储。仿真模型的三层主要功能包括用户进行OTP登录校验、数据和密钥在传输过程中使用信封技术保证传输的安全性、使用CP-ABE进行密钥的加密传输。在上传时进行数据本地加密和下载时实现模型对数据的自动解密,提高系统的效率。
首先用户通过在百度云注册成功的用户名和密码登录仿真系统,登录校验成功之后服务器会发送短信校验码到注册时填写的手机上。获取到短信校验码之后填入仿真系统中,系统将根据用户名、密码和短信校验码生成动态口令OTP。OTP的展现形式为128 bit MD5加密的文本内容,并被存储在临时数据库中,用户在使用OTP时需要和临时数据库存储的OTP进行比对校验。用户将使用此OTP获取云端的数据。图11即为用户登录校验成功并输入短信校验码之后生成的动态口令OTP。
图1 1 生成动态口令OTP
生成动态口令OTP之后即可进入系统进行文件的上传和下载。在进行文件上传的时候需要设置用户属性集合,用来实现CP-ABE对密钥的加密,属性集合将会保留在系统的数据库中。在上传数据之前,用户需要使用主流的加密算法对数据进行本地加密。本系统采用的主流算法有:AES、DES、3DES、RC4和RC6,用户根据需要进行加密算法的选择。在上传数据的时候需要输入OTP来验证是否为当前用户在操作,确保系统的安全性。图12即为用户上传数据的演示界面。
图1 2 上传数据演示界面
系统通过对接百度云的接口,可以在仿真系统中输入数据的网络地址。在进行文件下载的时候需要选择正确的解密方式,输入解密密钥和OTP,系统将会自动解密需要下载的数据供用户使用。图13为用户从云端下载数据的演示界面。
图1 3 下载数据演示界面
如仿真系统所示,当恶意用户访问云服务器时,OTP校验会阻止恶意用户的访问请求;假如恶意用户非法获得OTP,也会在校验用户属性的时候阻止恶意用户的访问。新模型使用三层不同的安全系统架构,安全有效地保护用户云端的隐私数据。
3.2 改进CP-ABE模型性能分析
本文提出的安全模型是通过OTP校验、数字信封技术和CP-ABE算法保证数据的传输和存储安全。通过给定不同个数的属性来分析CP-ABE算法私钥生成的时间及其加密和解密同等大小的密钥的加密时间变化。图14为CP-ABE算法中用户私钥生成所需时间,从图中可知,用户私钥生成的时间是随着私钥绑定的属性个数增加而增加的。
图1 4 用户私钥生成时间
图15给出了在相同长度对称密钥的前提下,给定不同的属性策略中的属性个数,CP-ABE加密和解密时间对比。从中可以看出随着属性策略中的属性个数的增加,加密和解密时间都相应增加。
图1 5 CP-ABE加密和解密时间
表1通过给定不同大小的文件对不同算法进行加密速度的测试,其中改进模型中CP-ABE算法属性数为10个。从表中可以看出AES的加密速度是最快的,其次是RC4加密算法,改进的CP-ABE模型的加密时间变化和数据加密时间成正比。
表1 加密时间性能比较
图16给出了改进的CP-ABE和文献
图1 6 改进模型和CP-ABE-WP加密时间对比
图1 7 改进模型和CP-ABE-WP解密时间对比
图18给出了改进的CP-ABE和CBHAC算法
图1 8 权限变更时间对比
本文还对动态口令OTP的安全性能进行了仿真模拟测试。系统采用模拟攻击的方法分别对OTP和传统静态密码进行字典攻击暴力破解测试,并取1000次暴力破解数据的平均值作为最终结果。数据结果表明,OTP的安全性能明显高于传统的静态密码方法。
4 改进CP-ABE模型安全性分析
本文改进的CP-ABE模型主要解决云端数据的存储和传输安全问题。下面对该模型的安全性进行分析:
(1)OTP校验登录。用户需要通过OTP登录校验才能获得云端数据,阻止了非授权用户对系统的非法访问,确保云服务器的安全。
(2)端到端的加密。允许用户在客户端进行数据的加密解密,确保了数据在存储和传输中的机密性
(3)数字信封技术。在传输过程中通过数字信封技术将加密密钥和密文一起上传至云端服务器,即使中途被黑客截取也无法获得明文数据,保证了数据的传输安全。
(4)加密密钥的安全管理。通过CP-ABE对密钥进行加密传输和存储,只有符合访问结构属性的用户才能得到其中的密钥,确保密钥不被非法用户获取。
5 结语
云存储安全模型研究 篇3
关键词:云存储,虚拟化,网络,安全
一、引言
云存储是以存储设备为核心, 通过应用软件对外提供数据存储和业务访问服务[1]。云存储安全的关键技术研究中, 又以虚拟化安全技术和存储网络的安全技术为研究核心之一。
二、云存储技术之虚拟化的安全
虚拟化技术在逻辑上分离了物理设备与操作系统和应用软件, 基于虚拟化的计算资源调配可使有限的硬件和软件资源按需重新规划分配, 灵活扩展硬件容量, 简化软件配置和资源的访问与管理, 提高硬件与软件的综合效率和应用能力[2]。
基于虚拟化的云存储应用环境中, VM Hopping可以访问被接入宿主机的存储和内存;VM Escape攻击可获得Hypervisor的访问权限, 从而对其他虚拟机进行攻击[3];通过管理平台进行跨站脚本攻击、SQL入侵;拒绝服务攻击会获取宿主机资源, 造成系统拒绝客户所有请求;Rootkit能够获得Hypervisor的管理员级访问控制权, 进而取得整个物理机器的控制权[4];在虚拟机迁移过程中, 随着虚拟磁盘的重建, 攻击者可改变源配置文件和虚拟机特性[3];虚拟机的镜像安全漏洞、生命周期的复杂性和故障会导致其承载的数据和服务不可用和控制难度。
因此, 可以将所有虚拟机全部安装防毒软件或杀毒软件;提高容错监视服务器的利用率, 避免服务器过载;在数据库和应用层之间设置防火墙, 防止虚拟机溢出;使用可信平台模块;为虚拟服务器分配独立硬盘分区, 并使用VLAN技术和网段划分, 对虚拟服务器逻辑隔离;使用VPN在虚拟服务器间通信;按计划备份, 进行虚拟化的灾难恢复;监测分析网络流量确保存储网络安全运行;通过可信第三方机构的安全认证和监管。
三、云存储的安全网络
云存储服务的应用中, 其网络防护不当会导致用户私密数据被非法访问;云存储网络应用在服务提供商的控制下, 用户无法通过网络监管自己的程序和数据的使用情况;网络传输协议和数据移动过程容易被窃听和分析;云存储服务平台中的软硬件故障和其他灾难会导致服务的异常终止和数据丢失;云存储集中存储的大量数据容易引起攻击者的注意;基于虚拟化技术的访问控制、认证和授权的实现更为困难;云存储中大量廉价计算资源和数据资源可能成为攻击者的工具。
由虚拟机监控器实现基于存储区域网络及应用层的域分割为寻址提供了逻辑隔离, 可以在虚拟的网络域执行全面的状态监视以及其他网络安全监测;如能承担足够资源开销, 可由服务提供商完成网络访问控制和安全防火墙服务;使用SSL、IPSec、数字签名等技术对传输中的数据进行有效加密;选择使用安全传输协议;加强安全日志审计和应用基于网络的入侵检测和防御系统;及时修补虚拟机实例配置和迁移中的管理漏洞和补丁;实现存储网络信任边界的通信控制;限制访问管理程序及其他虚拟化层面;阻止所有到虚拟服务器的端口;限制应用程序栈功能, 加固镜像, 限制主机所有攻击面;防止未授权访问;在镜像中除解密文件系统的密钥外, 不包含其他身份认证作证[5];保护访问主机私钥, 从数据所在的平台中隔离密钥;关闭不必要的服务。
四、结束语
随着云服务层次的提高, 基于云存储的虚拟化安全技术与网络存储安全技术为云存储的发展提供了有效的保障。研究可信的虚拟化云存储将是提高云存储服务的主要方向之一。
参考文献
[1]黄晓云.基于HDFS的云存储服务系统研究.大连海事大学.硕士论文.2010年6月
[2]黄振华.基于云计算的虚拟化存储技术研究.硅谷.2012年第20期.24, 71
[3]房晶等.云计算的虚拟化安全问题.电信科学.2012年第4期.135-140
[4]Hanqian Wu, Yi Ding, Winer Chuck, et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conferenceon Computer, Sciences and Convergence Information Technology (ICCIT) .Seoul, Korea.2010.18-21
云存储安全模型研究 篇4
云存储是一种新型的网络公用数据存储架构和服务模式,具有低设备投入、低管理成本、可扩展容量等优点,已成为构建新一代数据中心的核心技术和必然趋势。对于大型云计算服务提供商来讲,云存储可以安全地存储、管理、共享和分析大量的复杂数据,是未来存储系统发展的趋势。
然而,将数据迁移至云中,会致使用户数据的安全性和可用性面临着巨大挑战。其最大的安全问题是数据拥有者不能控制数据被存放在哪里,也对数据的访问优先权没有决定权,资源分配和调度策略的掌握在云服务提供商而不是终端用户手里。云存储适应了商业化信息存储库的需要,要确保云应用的安全,就需要维护在这种不受信任处理过程中的云存储数据安全。
2008年5月,趋势科技在美国正式最早提出“云安全”这一概念[3],推出了“云安全”技术。瑞星、江民科技、卡巴斯基、趋势、金山、SYMANTEC等也相继推出了云安全解决方案,而且中国厂商在“云安全”的技术应用上走到了世界前列。
从目前各大安全厂商推出的基于云技术的安全产品来看,云安全是云计算技术的重要分支,是基于云计算商业模式应用的安全硬件、软件、用户、机构和安全云平台的总称,是P2P技术、网格技术、云计算技术等分布式计算技术的综合应用和发展。
1 云数据存储结构
1.1 云存储的特点
与传统的存储相比,云存储利用了计算机网络技术,是将存储设备以“云”的形式组织在一起组成的复杂系统,由服务器、网络设备、存储设备、接入网、公用访问接口和应用软件等构成。云存储系统采用虚拟化技术进行存储和数据管理,资源访问按需分配,数据存储和业务访问服务通过应用软件来实现。
1.2 云存储系统的体系结构
云存储系统体系结构包括4层,即存储层、管理层、接口层和访问层,如图1所示[4,5]。
1)存储层是云存储系统的基础,由存储管理系统、存储设备和网络设备组成。存储层采用虚拟化技术对数据进行存储,并对存储硬件设备进行集中管理。
2)管理层是位于存储层之上,大量采用了集群管理技术和分布式存储技术,可以实现内容分发、数据压缩和P2P功能,并能完成数据加密、备份和容灾等任务。
3)接口层在管理层之上访问层之下,给访问层提供统一的协议和编程接口,以进行应用程序的开发,并对用户的网络接入方式、身份认证和访问权限进行管控。
4)访问层是应用程序的入口。所有授权用户都可以通过标准的公用应用接口来登录云存储系统,共享云存储所提供的服务。
2 云数据安全目前存在的问题
云数据安全存在的问题从总体上可分为三方面,一是云存储系统中数据自身的安全保护,如数据的机密性、完整性、可用性的保护等;二是提供云存储的云计算的平台安全,主要涉及到云服务提供商及其所提供的服务的安全,如云计算应用系统安全、云计算应用服务安全等;三是基于云存储的应用安全,如云计算技术在安全领域的具体应用、采用云计算技术来提升安全系统的服务效能的安全解决方案等。
2.1 云数据隐私安全
首先,存储云数据的服务器分布在世界各地,地位位置具有随意性,用户将自己的数据上传到云存储系统之后,但并不清楚自己的数据具体被存储在什么位置。用户本来就应该对自己的数据具有最优访问权,但当终端用户把自己的数据交付给云计算提供商之后,数据的优先访问权变转移到了云计算的服务提供商,而数据所有者的访问权限反而下降。因此如何保护用户对自己数据的最高访问控制权和隐私权就变得非常重要。
2.2 数据隔离安全
云计算和资源共享是通过虚拟化技术实现的,一台物理服务器上可能安装有多台虚拟机,多个用户的数据可能存储于同一台物理服务器上。在这种情况下,如果恶意用户通过不正当手段取得合法虚拟机权限,就有可能威胁到同一台物理服务器上其他虚拟机,从而非法访问其他用户的数据。因此必须对不同的用户数据进行有效隔离。
2.3 云计算平台的安全隐患
云计算平台的安全性是整个云安全的基础和重中之重。云存储系统中大量的用户业务数据、隐私信息或其他有价值信息,易引起黑客的兴趣而受到攻击。如果云存储系统遇到严重攻击,将可能面临崩溃的危险,无法提供高可靠性的服务,会导致用户数据的泄露或不可用,造成的经济损失甚至政治损失将不可估量。因此,云计算平台提供商应加固其平台,尽可阻止各种网络安全威胁,如以窃取服务或数据为目的的恶意攻击者、云计算提供商内部人员的非授权访问、合法云计算用户的滥用资源等行为。
2.4 用户数据的云安全管理问题
由于用户数据存储在云端,但用户无法知道具体的存储位置,因些很难为用户的数据安全风险评估。用户数据的安全主要取决于云计算提供商的服务或者将数据交给云计算提供商,但云计算提供商在对数据进行安全管理时,又不可能对使用云的用户进行全面而有效的监控和管理,诸多不可靠因素都会带来很多的安全管理问题。
2.5 对云计算提供商的依赖程度过高
用户将数据上传到云上之后,数据的安全几乎完全依赖于云计算提供商。如果云计算技术供应商出现破产等现象或者其提供的服务无法保证安全性,甚至导致服务中断或不稳定时,用户将面临数据存储安全等问题。因此在选择服务提供商时,应考虑其存在的风险因素。
3 云数据安全解决方案
从信息保密的角度看,云数据存储安全可以从以下几方面来考虑。
3.1 数据加密技术
由于除软件即服务(SaaS)运营商之外[6],目前云计算运营商一般不具备隐私数据的保护能力,那么对数据隐私保护的任务就落到了用户身上。为保证云数据的机密性和完整性,无论是企业用户还是个人用户,对自己上传到云上的数据尤其是敏感数据都应进行加密。但是,加密往往会降低数据的利用率,同时还涉及到密钥管理等问题,因些用户在对数据加密时应权衡保密和效率二者的关系。
3.2 数据隔离技术
由于用户对于自己的数据到底存储在云中的什么位置一无所知,自己的数据能和其他用户的数据共存于一个虚假机上。如果能利用数据隔离技术将自己的数据与其他数据隔离开,则可以更加有效地保护数据安全。
3.3 访问权限控制
由于用户将数据传输到云端服务器之后,数据的优先访问权由用户迁移至云计算提供商,用户对自己数据的访问权难以控制。因此应限制云计算服务商的访问权限,将用户的访问权限设为最优先级,由用户决定其数据的访问控制权,这样才能保证自己的数据安全。
3.4 安全云认证
在云架构中,防止用户信息的外泄,保证数据安全,可建立安全云,用于存储有安全需求的用户的数据,最终构建成可信任云。对安全云中数据的访问,可以采用多种认证方式和访问控制方式相结合的方法。
3.5 云安全风险评估
云计算服务提供商首先制定自己的安全服务等级,建立公有云和私有云,也可建立不同级别的安全云。针对不同用户对安全的不同需求,对用户数据进行安全分级,将其数据存储于对应级别的云中,对整个云数据进行风险评估,以此为依据向用户提供相应等级的安全服务。
3.6 统一威胁管理
云安全同计算机网络安全一样,面临着黑客攻击、木马、病毒、内部人员误操作等威胁。为保证云计算的可用性、可靠性及用户信息的安全,有必要建立统一威胁管理,整合数据加密技术、VPN技术、身份认证等技术手段,建立统一威胁管理平台,解决云计算架构安全、虚拟化技术安全、分布式计算安全等问题。
4 结论
云存储是未来网络存储模式的发展趋势,其安全性成为制约云存储发展的最大障碍,是用户最关心的核心问题。为最大限度确保云数据安全,可以采取提高用户的安全意识、加固云服务提供商平台的安全、对云存储数据进行加密和访问控制、建立分级的私有云并进行安全评估等手段。可以相信,在不久的将来,云存储将成为最安全最快捷的数据存储模式。
参考文献
[1]Feng D.Network storage key technology of research and progress[J].Mobile Communication,2009,33(11):35-39.
[2]施珺,李慧,周立东.基于云计算的安全数据存储研究[J].南京师范大学学报:自然科学版,2012,35(3):138-142.
[3]CSDN网.云计算安全最关注[EB/OL].http://www.CSDN.com
[4]边根庆,高楹,邵必林.面向分散式存储的云存储安全架构[J].西安交通大学学报:自然科学版,2011,45(4):41-45.
[5]杨振贤.基于云计算的安全数据存储研究与设计[J].信息安全与技术,2011(10):13-15.
云存储安全模型研究 篇5
1 云数据储存技术
1.1 云数据储存技术概念
云数据储存技术是建立在云计算基础之上的一种数据存储方式, 它主要是利用多种系统将物联网中各种存储设备有效整合在一起, 共同提供数据存储管理与处理[1]。互联网环境下, 以往用于数据存储的设备已经无法符合海量数据存储要求, 而云数据存储系统是一个集多种功能于一体的网络虚拟系统, 在云储存系统中存储设备为核心, 进行各部分工作的开展。
1.2 云数据储存系统关键技术
云储存具有较好的扩展性, 当储存空间增加时, 云储存只需要增加储存设备就能实现扩展空间的目的, 不需要改变储存结构, 而且也不会降低系统的整体性。是一种网络虚拟化的存储系统管理设备, 云储存的内容主要是空间扩展和储存业务以及数据隔离等。云储存通过这些技术的应用完成物联网环境下大数据信息的收集、运输与应用。
2 物联网环境下云储存安全挑战与技术
2.1 云储存安全挑战
物联网是信息技术发展下的产物, 具有全面感知、传输以及智能处理等功能, 是当今最为先进的智能技术。物联网简单地说就是物物相连的互联网, 其本质还是互联网, 是在互联网中发展扩充而来的, 其用户端涉及任何领域。物联网相对于互联网有着明显的优势特征, 首先表现在它是各种感知技术的广泛应用, 物联网上有很多的类型的传感器组成, 不同类型的传感器所传递的信息也不一样, 从而形成海量信息储存。然后使用集中式的方式进行储存处理, 这种存储模式容易出现安全问题, 致使数据存储出现安全隐患, 泄露用户隐私和重要个人及商用信息。
2.2 云储存关键安全技术
在物联网环境下云数据储存着海量数据信息, 这就要求其具有比传统储存更加高度的安全性, 必须具有多种保密、检索等技术, 确保信息资源在网络环境下的安全运行。下面来分析云储存中的关键安全技术。
2.2.1 加密储存与检索技术
云数据一般使用的是虚拟储存技术, 所以要对数据进行加密处理。云储存对数据加密工作的处理主要在数据传输过程或者存储中进行, 加密的方式一般是运用数学模型算法, 比如线性搜索算法、安全索引算法、关键词公钥搜索算法等[2]。
采用线性检索算法对用户数据进行加密的方式, 首先要将用户的原始信息进行加密处理, 形成密文信息, 然后按照关键词把这些密文信息生成随机序列, 再将其生成校验系列, 完成用户信息加密工作;安全索引算法加密技术主要是利用密钥索引放入系统布隆过滤器中。如果用户对需要检索的信息进行访问时, 就会产生相应的布隆检测, 这是系统会有返回文档, 对此文档进行解密, 获得用户所需信息;关键词公钥搜索算法通过对所要存储的数据进行公钥加密生成一种用于搜索的密文信息, 从而完成对数据信息的加密, 提高用户信息安全性[3]。这种算法灵活性比较强, 所以比较适合对移动数据的存储与检索;还有一种加密技术是全同态加密检索算法, 此方法主要利用几何原理中的向量空间模型对用户请求信息进行相关计算, 按文档频率进行统计, 索引时使用加密算法加密文档, 建立索引, 恢复明文信息。
2.2.2 访问安全控制技术
物联网环境下云存储数据信息量非常大, 而且在商业利益的诱导下云服务为了保障运行环境的安全、可靠、稳定, 有时也会在不安全的环境下采用相应的密文访问技术提高用户对信息的信任度。安全控制技术中密文访问控制方法主要有: (1) 使用秘钥直接访问服务器; (2) 层次访问控制法, 这种控制方法主要以根据用户的已知信息运用推导软件或算法, 推测出用户授权访问的数据信息, 在此基础上算出用户秘钥信息; (3) 安全控制技术是代理重加密技术, 根据用户信息生成一个重加密秘钥, 然后对用户信息进行二次加密, 这种加密方法安全度比较高, 信息只有用户自己才能查阅。
2.2.3 备份和数据检错技术
云储存安全技术一般也会应用一些安全设备提高数据的安全性, 但是, 在运行的过程中不可避免的会出现存储设备故障问题, 其实这种问题是一种很正常的运行现象, 这种情况下如果没有对数据进行备份, 可能会丢失一些信息, 影响系统正常运行, 一般情况下存储系统都会拷贝数据, 这样就算一个数据中心的数据出现故障, 也不会影响整个储存系统的可用性, 系统会快速将备份数据提取出来加以访问。
2.2.4 身份鉴别技术
身份鉴别技术主要利用户身份特征对用户信息进行加密, 这种机密技术保密性相对较好, 在运行过程中系统自动授权用户访问权限, 如果用户身份验证不合法将无法访问此系统信息, 能够有效保障合法用户的访问权。对用户的访问权限进行控制, 避免了越界访问。
3 物联网环境下云储存系统模型
物联网环境下数据信息运用属于密集型, 在物联网中云储存平台可以分为感知层、传输层、处理层和应用层[4,5]。其中感知层主要任务是感知周围物品, 并且将这些物品在传输层中进行融合, 将融合的信息传输到处理层;处理层主要是分析数据信息, 进一步判断数据信息, 再对数据进行相应的控制, 从而实现对数据的控制管理。云存储接受传输层提交的感知数据, 并采用合适的策略存储数据, 提供访问接口供云计算信息处理平台对数据进行分析处理, 并将处理后的数据存储后供应用层使用。基于物联网的云储存网络结构如图1所示。
整个云存储平台由云存储管理器和云存储资源池2个部分构成, 云储存管理器是整个管理器的中枢神经系统, 掌管着整个系统的核心, 主要负责资源信息的管理和调度, 系统管理员能够通过系统资源管理器的分布状态直接或者间接的控制系统资源。云储存以系统管理为中心, 其他管理结构相互间应能配合, 其他的管理结构主要有:用户管理模块、安全管理模块、服务管理模块、存储信息管理模块以及云数据管理模块等, 同时系统管理也承担着控制和管理云储存系统中的物理和逻辑资源。
无线网环境下存储资源管理模块的功能是实现资源的管理、分配, 监控整个系统储存节点的运行状态, 如果发现故障, 要及时找到解决的措施来代替原来的储存服务, 用新的储存节点进行透明访问。采用合适的保障系统提高可靠性, 将较复杂的数据信息分成简单的小块进行分析;云数据管理模块主要实现对元数据的管理, 当一个文件被创建时, 文件的基本信息被作为一个元数据存储在特定的文件中, 如果用户访问文件, 该文件的元数据信息会被系统自动查找出来, 进而查找到此文件的具体存储位置。这样用户就能够向相应的储存节点发出访问请求, 完成信息查阅与管理;服务管理模块中用户可以根据自己的实际需要选择适合自己的存储服务;用户管理模块主要处理用户的基本信息, 用户发出访问请求时, 及时授权用户请求;安全管理模块主要负责整个系统运行环境的安全性, 利用各种安全技术保障整个系统的安全性, 比如加密技术、防火墙技术、入侵检测技术等。
4 结语
总之, 物联网环境下对云储存安全技术要求比较高, 在各个服务器整体资源的合理运用下, 要优化资源信息, 合理使用不同的安全技术, 保护用户信息的安全性与可靠性。实现信息化状态下网络用户对信息资源安全性要求, 通过安全保密技术的应用, 实现对超大资源的整合储存、处理与应用, 满足物联网环境下网络数据对安全性的要求, 保障用户信息的完整性, 为用户提供安全且可靠的网络运行环境。
参考文献
[1]曹青.云计算技术的应用及展望[J].江苏通信, 2012 (2) .
[2]李立.浅谈面向物联网的信息存储技术[J].网络安全技术与应用, 2014 (5) .
[3]杨旭.面向物联网的云存储技术研究[J].网络安全技术与应用, 2014 (4) .
[4]牛伟丽.物联网环境下的云存储安全技术研究[J].中国新通信, 2013 (10) .
云存储安全模型研究 篇6
云存储 (Cloud Storage) 是在云计算基础上一个扩展和延伸。通过网格技术、集群应用、分布式文件系统和大数据存储技术, 将网络中不同类型的计算机存储设备, 通过协同软件技术让他们一起协同工作, 网络技术为依托, 以分布式存储技术为核心, 共同对外提供安全可靠的数据存储和业务访问功能的一个服务系统。云存储是一种服务, 是有很多服务器和大大小小的存储设备组建而成的综合体。通过网络提供给用户。主要通过互联网发接口 (如REST) , 使得第三方网站可以通过云存储提供的服务为用户提供完整的服务。云存储是一个公用访问接口、客户端程序、应用软件、网络设备、存储设备和服务器等多个功能模块组成的服务体系。每个功能模块存储设备为核心, 以获取外部提供商务服务和数据存储应用程序和应用软件。云存储系统主要有存储层、基础管理层、应用接口层和访问层四层组成。
2 云存储数据的加密
为保证第三方提供的云存储数据库中敏感数据和重要数据的安全, 防止数据信息的泄露, 目前最好的方法就是对数据进行加密保护。通过加密数据信息, 实现信息的安全传递。在关系型数据库中, 数值型数据和字符型数据最为常用。如对数值型数据加密后, 原有数值型数据的有序性、可比较性的属性发生了改变。对字符型数据加密后, 原有字符型数据的相似性等也发生了改变。因此, 需要找到一种方式保护云存储数据库中的敏感数据的安全。由于关系型数据库自身的特点及实际应用的需求, 关系型数据加密有如下要求:关系型数据库中的数据信息的存储周期一般比较长, 因此加密的力度要大、使之难以破译;加密后的数据, 存储空间不能明显变大;加密和解密速度要快, 不要影响数据库使用的响应时间。为了满足数据库这种高响应要求。对称加密方式比较适合数据库加密。分组密码是对称密码体系中的一种, 分组密码具有加密速度快、安全性好、易于标准化等特点, 分组密码是对一个大的明文数据块 (分组) 进行固定变换的操作, 用软件实现较好。另外, 对数据的保密传输、加密存储等场合比较适用。
3 加密策略和安全性分析
3.1 加密策略
针对云存储中数据库服务的安全性问题, 提出了一种适用于云存储数据库的加密策略, 该策略通过变换初始化向量改变数据库中的密文分布规律, 初始化向量相当于密钥存在客户端, 在数据库中只需要记录变换次数即可, 可以有效的避免基于频率攻击方式的攻击。在数据库只需存储一个TINTINT型数据, 对数据库造成的冗余很小。在云存储的数据库中, 对敏感数据进行加密保护, 为了降低数据库加密后的冗余度, 釆用基于数据项的加密方式。用分组密码算法进行加密, 加密需要初始化向量IV (Initial Vector) , 对于不同的明文, 一般密文不相同。遇到相同的明文数据时, 我们需要变换IV。以学生信息表中Age字段为例, 假设Id为学生编号, Age字段为敏感数据字段, Id=3的Age与Id=5, Id=6的记录Age重复, 就需要对Id=5, Id=6的Age变换初始化向量值。为了防止hash碰撞。变换初始向量采用安全序列算法SHA256算法进行变换, 设OIV (Original Initial Vector) 为原始初始化向量, IV表示变换后的初始向量, 变换过程可以表示为:IV=SHA256 (OIV) n, 其中n代表哈希循环的次数。
3.2 初始化向量存储和加密策略的安全性
由于在云存储的数据库中, 数据信息一般是海量的, 如果把每次变换后的初始化向量各存储一次, 可能对数据存储会造成大量的冗余, 攻击者可以根据那些重复出现的记录, 进行数据库攻击, 因而造成敏感数据信息的泄露。因此, 采用初始化向量保存在客户端, 只存储原始的初始化向量IV变换次数的方法, 实现减少数据存储的数量, 保证初始化向量的安全, 在云端数据库中, 加密策略和方法是隐密的, 只能看到初始化向量的变换次数。对敏感数据信息解密, 首先根据主键计算哈希的循环次数n, 然后通过计算得到当前需要的初始化向量。
采用分组密码进行加密, 运用改变初始化向量的加密方式, 隐藏明文的统计特征, 防止错误的传播控制, 防止基于频率的数据库攻击, 采用安全散列算法SHA256可以防止Hash碰撞, 生成满足要求的变换向量。
针对云存储在云端关系数据库服务的安全性问题, 提出了一种采用分组密码用于云存储数据库的加密策略, 策略思想:首先变换初始化向量, 来改变数据库中的密文分布规律, 初始化向量相当于密钥存在客户端, 在数据库中只需要记录变换次数即可, 可以有效的避免基于频率攻击方式的攻击。在数据库只需存储一个TINTINT型数据, 对数据库造成的冗余很小。在此基础上提出了, 提出了基于数值型密文划分器和密钥散列序列的查找方式, 这种方式能很好的解决等值检索和范围检索。该检索方案返回满足要求的密文, 对此密文进行解密即可, 避免了不必要的解密和数据传输, 提高云存储数据的密文检索效率。
4 结束语
安全的云存储系统, 要求用户的敏感数据在云端是以密文形式存储的, 云存储服务提供商无法得到与用户数据有关的任何信息。在云存储系统中, 解决云存储中敏感数据信息隐私保护问题, 既要保证敏感数据信息拥有者的隐私, 又要兼顾客户端的性能开销。本文提出的基于分组密码的云存储数据隐私保护机制, 在云存储环境下服务器不可信, 防止恶意用户和拥有管理员权限的系统管理员非法窃取、篡改用户隐私数据。因而保证了敏感数据的安全性。
摘要:云存储模式是在云计算基础上的一个延伸和发展, 云存储是一种服务, 主要基于网络技术, 提供给用户数据存储和访问服务。本文分析了云存储基本概念, 云存储模式的基本结构, 针对云存储中数据库服务的安全性问题, 提出了一种适用于云存储数据库的加密策略。采用基于数据项的加密方式, 降低数据库加密后的冗余度。以在保护云存储用户数据的隐私。
关键词:云存储,数据,加密
参考文献
[1]刘思得.基于网络的云存储模式的分析探讨[J].科技通报, 2012, 10:206-209.
[2]徐小龙, 周静岚, 杨庚.一种基于数据分割与分级的云存储数据隐私保护机制[J].计算机科学, 2013, 2:98-102.
[3]王鹏.云计算的关键技术与应用实例[J].北京:人民邮电出版社, 2009.
云存储安全模型研究 篇7
1 设计目标
本次研究中主要是针对云计算技术下的B/S系统架构模型在实际网络中的有效应用, 其中Web服务器和客户端之间的数据加密传输则可以应用Https协议实现, 安全技术为数字签名认证以及加密存储, 提高数据传输安全性, 提高其网络设计的可行性, 从而显著提高云计算技术下的计算机网络存储系统安全性。
2 云计算技术下的计算机网络安全存储系统设计
2.1 整体结构设计
云计算下的计算机网络安全数据存储系统的设计, 整体结构建图1所示。
2.2 系统功能设计
计算机网络安全系统功能结构见图2所示。
其中在登陆注册模块功能设计中, 不但有有效是用户的登陆及注册操作, 同时也要通过https协议实现和服务器的通信, 在数据库中进行注册信息保存的时候, 必须要实现信息加密传输, 数据在被Web服务器收到之后解密处理, 之后还需要对其实施加密存储。
在生成数字证书模块功能设计中, 主要是实现数字认证, 文件在被Web服务器收到之后解密处理, 之后还需要对其实施加密存储。
系统操作模块设计中需要实施网络信息加密传输, 在被Web服务器收到之后解密处理, 之后还需要对其实施加密存储。
2.3 设计云计算服务
如果云计算技术下的网络安全系统存储具有特定的加密传输需求, 那么也就会从黑客视域对其实施黑客攻击方式测试, 一次对系统安全性进行合理评估, 对网络安全数据存储系统中存在的安全风险及早发现。云计算存储系统可以对整个系统数据实现存储, 在进行数据处理过程中, 不但需要进行数据存储, 同时也可以对其实施进行计算。
2.4 系统代码实现
计算机网络安全存储建立在云计算技术模式下, 对于存储系统的安全认证, 联合登陆部分安全验证以及存储系统的安全认证可以对整个系统的数据安全提供可靠保障。而在数据加密传输过程中需要特殊的代码进行数据处理, 系统客户端请求加密代码如下所示:
云计算技术下, 可以应用相关技术手段实现系统数据的加密处理, 对传输数据实施冗余、回溯以及多种计算之后, 也就可以将成功转化为加密文件, 传送给系统接收端之后, 则首先需要对其进行解密。算法代码则如下所示:
综上所述, 在进行网络安全数据存储系统设计过程中, 云计算技术下可以有效实现系统的可扩展性及高性能, 显著提高计算机存储系统应用安全性, 从而促进云计算技术以及计算机网络存储的安全性发展。
摘要:随着我国社会主义现代化建设的不断发展, 我国的计算机信息技术取得了卓有成效的进步, 并由此进入一个信息时代, 使人们的生产与生活方式发生了一系列的变革。然而随着信息多元化与多用户模式的出现, 传统的计算机信息技术已经不能够满足人们的需求, 开始转向对云计算技术的开发与应用。如何实现云计算技术和各项网络安全技术的有效结合, 成为提高计算机网络安全系统数据处理速率的重要措施, 本文则对云计算技术下的计算机网络安全存储系统设计及应用分析。
关键词:云计算,计算机网络,存储系统
参考文献
[1]梁彪, 曹宇佶, 秦中元等.云计算下的数据存储安全可证明性综述[J].计算机应用研究, 2012, (7) :2416-2421.
[2]王筱娟.云计算与图书馆发展的研究[J].科技风, 2015, (7) :224-225.
【云存储安全模型研究】推荐阅读:
云存储及其安全性研究05-22
云存储安全06-27
云存储安全网关10-03
保证云存储的数据安全08-06
云存储数据安全性分析06-06
云存储模型架构10-03
XML存储模型研究11-27
云存储06-30
密钥安全存储10-18
网络存储安全08-23