林 雷 李運發(fā) 陸衛(wèi)平 包國華 郭逸峰 國杰彬

（1.寧波市公安局鄞州分局 浙江 315000；2.杭州電子科技大學(xué)計算機(jī)學(xué)院 浙江 310018）

0 引言

云計算的主要原理就是使用先進(jìn)的虛擬化技術(shù)，讓云端的計算機(jī)資源向用戶提供虛擬化的服務(wù)。用戶如果想要得到云計算的這種虛擬化的服務(wù)，通常需要支付一定的費用，而這種費用遠(yuǎn)比用戶購買計算機(jī)服務(wù)器所需資金少，從而能夠為用戶節(jié)省大量的資金和投入。根據(jù)當(dāng)前的市場研究和調(diào)查表明：從2008年到2014年，使用云服務(wù)的用戶每年都以27%的速度增長。云計算提供的“x即是服務(wù)”受到了廣大用戶的歡迎（說明：x可能是軟件、硬件、平臺或者存儲資源等）。雖然云計算發(fā)展很快，但是也面臨一系列的困難和挑戰(zhàn)。據(jù)IDC市場研究公司表明：有74%的IT公司認(rèn)為云計算正面臨一系列的安全和隱私保護(hù)問題，因而在使用云計算方面采取謹(jǐn)慎的態(tài)度。

在云計算中，它所面臨的一系列安全和隱私保護(hù)問題的是：在云計算中，用戶所擁有的數(shù)據(jù)信息通常被存放在遙遠(yuǎn)的云端，而其它用戶常常能夠訪問這些數(shù)據(jù)且這些數(shù)據(jù)通常不由數(shù)據(jù)擁有者自己控制和管理。在此狀況下，數(shù)據(jù)的機(jī)密性、數(shù)據(jù)認(rèn)證和數(shù)據(jù)的完整性都面臨一系列的安全問題。另外，作為利益獲利方，在管理云端資源時，有可能因為經(jīng)濟(jì)利益或者是其它原因?qū)е聰?shù)據(jù)信息的泄漏，從而損害數(shù)據(jù)擁有者的信息安全。為了解決這一系列問題，本文提出了一種數(shù)據(jù)隱私的安全保護(hù)機(jī)制。在此安全保護(hù)機(jī)制中，針對用戶數(shù)據(jù)上載和訪問的過程，首先提出了一種數(shù)據(jù)隱私保護(hù)的安全架構(gòu)。在此基礎(chǔ)上，提出了用戶數(shù)據(jù)安全存儲算法和云端數(shù)據(jù)安全訪問算法。

因此，本文的組織如下：第二節(jié)主要描述相關(guān)工作。第三節(jié)主要提出數(shù)據(jù)隱私的安全保護(hù)機(jī)制。第四節(jié)主要進(jìn)行這種保護(hù)機(jī)制的安全性分析。第五節(jié)是全文的總結(jié)。

1 相關(guān)工作

云計算技術(shù)的飛速發(fā)展導(dǎo)致了云數(shù)據(jù)規(guī)模越來越大，應(yīng)用也越來越廣泛，其安全問題也越來越重要。在這方面人們進(jìn)行了一系列的研究并取得了一定的成果，具體表現(xiàn)如下：

文獻(xiàn)[1]主要對用戶訪問云端數(shù)據(jù)的安全能力進(jìn)行了分析和描述。在此文獻(xiàn)中，任何用戶對戶對云端數(shù)據(jù)的訪問都需要使用訪問控制技術(shù)和加密技術(shù)。為了提高用戶對對云端數(shù)據(jù)的安全訪問，提出了一種新的D-H密鑰交換模型。文獻(xiàn)[2]提出了一種數(shù)據(jù)報傳輸?shù)挠行r截檢測算法。在此算法中，根據(jù)數(shù)據(jù)加密和解密的基本思想，使用一種基于異域操作的獨特的加密和解密技術(shù)?；谶@種技術(shù)能夠?qū)ξ唇?jīng)授權(quán)的用戶訪問進(jìn)行跟蹤和分析并對其惡意活動進(jìn)行攔截。

文獻(xiàn)[3]主要針對云計算中數(shù)據(jù)共享的安全問題，提出一些安全策略。在這些安全策略中，首先利用基于屬性加密的密文策略和基于身份的加密（IBE）技術(shù)，制訂一系列有效的、可擴(kuò)展的、靈活的語義安全性保護(hù)策略。在此基礎(chǔ)上，結(jié)合隨機(jī)預(yù)言模型和細(xì)粒度訪問控制策略，構(gòu)建適合用戶隱私保護(hù)和動態(tài)操作的數(shù)據(jù)共享模型。

文獻(xiàn)[4]描述了如何采用融合技術(shù)，將云計算與現(xiàn)有的一些安全技術(shù)向結(jié)合，構(gòu)建一個集成安全的云平臺。在此文獻(xiàn)中，作者首先描述了云計算關(guān)鍵基礎(chǔ)設(shè)施所面臨的安全威，接著結(jié)合用戶需求，詳述描述了解決這些問題的方法，最后，確定了安全云平臺所采用的技術(shù)和所實現(xiàn)的主要功能。

文獻(xiàn)[5]針對云計算中數(shù)據(jù)存儲與計算所面臨的安全和隱私問題，提出了一個隱私作弊勸阻和安全計算審計協(xié)議。在此協(xié)議中，通過使用指定驗證人的簽名，批處理的驗證和概率抽樣等技術(shù)，實現(xiàn)對數(shù)據(jù)存儲隱私作弊的勸阻和計算的安全審計。

文獻(xiàn)[6]提出了一種隱私即是服務(wù)的協(xié)議。此協(xié)議就是為了在云計算中保護(hù)用戶數(shù)據(jù)的隱私性和合法性。此協(xié)議在云端支持三種可信模式。一種是完全支持云端信任域中的數(shù)據(jù)所有者。二是支持涵蓋云端所有以加密形式存儲數(shù)據(jù)的用戶。三是在非可信環(huán)境下支持?jǐn)?shù)據(jù)擁有者的數(shù)據(jù)隱私。文獻(xiàn)[7]是一份報告，主要描述了在云計算中各種危機(jī)對數(shù)據(jù)隱私性的影響并討論了相關(guān)保護(hù)方法。文獻(xiàn)[8]和文獻(xiàn)[9]描述了一些數(shù)據(jù)隱私的保護(hù)方法和技術(shù)以及這些技術(shù)在云計算中的運用等。

雖然人們在云計算及其安全技術(shù)方面取得了一定的成就，但是在數(shù)據(jù)隱私的保護(hù)方面還處于早期的發(fā)展階段，還面臨著很多問題。而現(xiàn)有的一些技術(shù)和方法在處理這些問題還面臨很多困難，因此，對其進(jìn)行研究具有重要的十分重要的意義。

2 數(shù)據(jù)隱私的保護(hù)機(jī)制

在云計算中，數(shù)據(jù)服務(wù)的對象涉及數(shù)據(jù)擁有者、云端服務(wù)器和數(shù)據(jù)使用者，其服務(wù)過程涉及數(shù)據(jù)擁有者向云端服務(wù)器上載數(shù)據(jù)、云端服務(wù)器存儲數(shù)據(jù)和數(shù)據(jù)使用者訪問云端數(shù)據(jù)服務(wù)器。在此過程中數(shù)據(jù)隱私面臨各種威脅，如：偽裝數(shù)據(jù)擁有者竊取數(shù)據(jù)、偽裝數(shù)據(jù)使用者使用數(shù)據(jù)和偽裝云端服務(wù)器存儲數(shù)據(jù)等。針對數(shù)據(jù)資源的上載和訪問所面臨的各種威脅，結(jié)合云端服務(wù)器存儲數(shù)據(jù)的過程，特提出一種數(shù)據(jù)隱私的保護(hù)機(jī)制。在此機(jī)制中，首先提出一種數(shù)據(jù)隱私保護(hù)的安全流程。在此基礎(chǔ)上，提出了用戶數(shù)據(jù)安全存儲的相應(yīng)算法和云端數(shù)據(jù)安全訪問的相應(yīng)算法。整個過程描述如下：

2.1 數(shù)據(jù)隱私保護(hù)的安全流程

在云計算中，云端服務(wù)器向用戶提供服務(wù)設(shè)計數(shù)據(jù)擁有者、云端服務(wù)器、數(shù)據(jù)使用者以及數(shù)據(jù)的通信。在此整個服務(wù)的過程中，需要對每一個環(huán)節(jié)提供數(shù)據(jù)隱私的保護(hù)。為此，特設(shè)計了一套數(shù)據(jù)隱私保護(hù)的安全流程，并使用相應(yīng)的算法保護(hù)其安全。其數(shù)據(jù)隱私保護(hù)的安全流程如圖1所示：（說明：圖中標(biāo)號相同的步驟表示可能并行進(jìn)行）

圖1 云計算中數(shù)據(jù)隱私保護(hù)的安全流程示意圖

在此數(shù)據(jù)隱私保護(hù)的安全流程中，引入了第三方可信平臺，其目的是：基于BLP模型，為用戶接收的數(shù)據(jù)進(jìn)行完整性證明和可信度量。通過其度量，能夠確定其接收的數(shù)據(jù)是否完整和可信，從而能夠確定數(shù)據(jù)隱私是否得到很好保護(hù)。

2.2 數(shù)據(jù)隱私保護(hù)的相應(yīng)算法

根據(jù)上述數(shù)據(jù)隱私保護(hù)的安全流程，在此數(shù)據(jù)隱私保護(hù)算法中，將第三方可信平臺考慮在內(nèi)。因此，其整個過程將涉及數(shù)據(jù)擁有者、云端服務(wù)器、數(shù)據(jù)使用者和第三方可信平臺。另外，為了有效描述數(shù)據(jù)隱私保護(hù)的相應(yīng)算法，我們假定數(shù)據(jù)擁有者、云端服務(wù)器、數(shù)據(jù)使用者和第三方可信平臺都預(yù)先被加載了公鑰，而在數(shù)據(jù)上載、存儲和訪問過程中，無須再進(jìn)行公鑰的分發(fā)。其算法主要劃分為兩部分：一部分為用戶數(shù)據(jù)安全存儲算法，另一部分為云端數(shù)據(jù)安全訪問算法。具體描述如下：

算法1：用戶數(shù)據(jù)安全存儲算法

Step 1：數(shù)據(jù)擁有者檢查數(shù)據(jù)隱私；

Step 2：數(shù)據(jù)擁有者向云端存儲器進(jìn)行注冊，并使用對稱密鑰K1加密數(shù)據(jù)（即：

Step 3：數(shù)據(jù)擁有者經(jīng)SSL向云端存儲器上載數(shù)據(jù) ；

Step 4：數(shù)據(jù)擁有者向第三方可信平臺（TM）進(jìn)行注冊，并經(jīng)SSL向第三方可信平臺發(fā)送下列信息：

Step 5：第三方可信平臺（TM）用公鑰K1對接收的數(shù)據(jù)信息進(jìn)行認(rèn)證，并將通過認(rèn)證的數(shù)據(jù)信息進(jìn)行存儲。如此同時，云端存儲器也用公鑰 K1對接收的數(shù)據(jù)信息進(jìn)行認(rèn)證，并將通過認(rèn)證的數(shù)據(jù)信息進(jìn)行解密。在此之后，再用 XOR加密技術(shù)進(jìn)行加密并進(jìn)行存儲。

Step 6：判斷第三方可信平臺（TM）和云端存儲器接收數(shù)據(jù)是否完畢，如果是，則轉(zhuǎn)到Step 7；否則，轉(zhuǎn)到Step 1；

Step 7：結(jié)束

算法2：云端數(shù)據(jù)安全訪問算法

Step 1：用戶向云端服務(wù)器發(fā)出登陸申請，并將申請所需數(shù)據(jù)信息進(jìn)行加密，（即：

Step 2：用戶經(jīng)SSL發(fā)送加密的數(shù)據(jù)；

Step 3：云端服務(wù)器接到用戶申請后，用對稱密鑰K1對接收的數(shù)據(jù)信息進(jìn)行認(rèn)證，并將通過認(rèn)證的數(shù)據(jù)信息進(jìn)行解密，得到數(shù)據(jù)Data（即：在此基礎(chǔ)上，檢查用戶所需數(shù)據(jù)的種類等；

Step 4：云端服務(wù)器根據(jù)用戶申請和所需數(shù)據(jù)的種類分別向第三方可信平臺和存儲器發(fā)送“傳輸申請”

Step 5：云端服務(wù)器中的存儲器根據(jù)“傳輸申請”向用戶發(fā)送加密數(shù)據(jù)（即：

Step 6：第三方可信平臺在接到用戶“傳輸申請”進(jìn)行用戶注冊，并發(fā)送如下信息：

Step 7：第三方可信平臺根據(jù)用戶發(fā)送的注冊進(jìn)行檢測，判斷是否數(shù)據(jù)所有者發(fā)送的信息相同，如果向同，用戶申請有效，轉(zhuǎn)到Step 8；否則向用戶返回“申請無效”，并轉(zhuǎn)到Step 1；

Step 8：第三方可信平臺向用戶發(fā)送加密數(shù)據(jù)（即：

Step 9：用戶接到云端服務(wù)器中存儲器發(fā)送來的加密數(shù)據(jù)后，分別用云服務(wù)器的公鑰和用戶私鑰分別進(jìn)行解密。在此基礎(chǔ)上，使用對稱密鑰K1對進(jìn)行解密，得到數(shù)據(jù)D1；

Step 10：用戶接到第三方可信平臺發(fā)送的加密數(shù)據(jù)后，分別用第三方可信平臺的公鑰和用戶私鑰分別進(jìn)行解密。在此基礎(chǔ)上，使用對稱密鑰 K1對進(jìn)行解密，得到數(shù)據(jù)D2；

Step 11：判斷D1是否等于D2且等于data，如果是，則用戶接收數(shù)據(jù)的完整性和可信性得到了保護(hù)和滿足，表明用戶接收數(shù)據(jù)的隱私保護(hù)有效，可以繼續(xù)發(fā)送“傳輸申請”，轉(zhuǎn)到Step 3，如果不是，則用戶接收數(shù)據(jù)的完整性和可信性沒有得到保護(hù)和滿足，用戶接收數(shù)據(jù)的隱私保護(hù)無效，則發(fā)送“停止傳輸命令”，轉(zhuǎn)到Step 11；

Step 12：結(jié)束

3 安全性分析

為了說明上述數(shù)據(jù)隱私保護(hù)機(jī)制的有效性，將主要從保護(hù)機(jī)制的安全性方面進(jìn)行性能分析。為此，將從機(jī)密性、身份認(rèn)證、完整性和反攻擊性能等幾個方面進(jìn)行分析。其過程描述如下：

（1）機(jī)密性分析：本文所述的保護(hù)機(jī)制從數(shù)據(jù)擁有者準(zhǔn)備發(fā)送數(shù)據(jù)開始，其數(shù)據(jù)的傳輸、云端數(shù)據(jù)的存儲、用戶數(shù)據(jù)的申請以及數(shù)據(jù)的發(fā)送都是在加密情況下進(jìn)行的。其過程能有效防御非法用戶的竊取。同時，為了驗證數(shù)據(jù)擁有者發(fā)送數(shù)據(jù)的有效性和可信性，在第三方可信平臺中可以對接收的數(shù)據(jù)進(jìn)行可信認(rèn)證。為了驗證用戶申請的有效性和可信性，在云端對用戶的身份信息和申請數(shù)據(jù)進(jìn)行認(rèn)證，可以有效防止非法用戶的入侵。為了防止存儲信息在存儲過程被篡改，在存儲過程中使用了 XOR技術(shù)的加密模式，可以有效防止存儲信息的丟失和篡改。為了驗證用戶接收數(shù)據(jù)的有效性和可行性，分別從第三方可信平臺和云端存儲器中接收數(shù)據(jù)，并對接收數(shù)據(jù)進(jìn)行解密和驗證，可以有效保護(hù)用戶接收數(shù)據(jù)的完整性和可信性。因此，從數(shù)據(jù)擁有者發(fā)送數(shù)據(jù)到第三方可信平臺和云端服務(wù)接收收據(jù)、從用戶發(fā)送數(shù)據(jù)申請到第三方可信平臺和云端服務(wù)發(fā)送數(shù)據(jù)的整個過程來看：本保護(hù)機(jī)制能夠有效的保護(hù)數(shù)據(jù)的機(jī)密性。

（2）身份認(rèn)證分析：在數(shù)據(jù)擁有者向第三方可信平臺和云端存儲器發(fā)送數(shù)據(jù)前，都要使用SSL對數(shù)據(jù)擁有者的身份進(jìn)行驗證，保證數(shù)據(jù)源的合法性；同時，在用戶申請數(shù)據(jù)資源時，云端服務(wù)器也需要使用SSL對其身份進(jìn)行驗證，保證數(shù)據(jù)傳輸?shù)暮戏ㄐ?。身份認(rèn)證貫穿了數(shù)據(jù)傳輸、用戶登錄和申請數(shù)據(jù)的全過程。因此，其數(shù)據(jù)隱私保護(hù)機(jī)制能有效保護(hù)用戶身份的合法性。

（3）完整性分析：在上述保護(hù)機(jī)制的兩種算法中，為了確保數(shù)據(jù)文件的完整性，采用第三方可信平臺對其進(jìn)行驗證。同時，在用戶接收端，對從第三方可信平臺和云端存儲器接收的數(shù)據(jù)進(jìn)行驗證，保證其數(shù)據(jù)的完整性。

（4）反攻擊性能分析：在上述保護(hù)機(jī)制的各算法中，都使用了雙重加密的模式，此模式能夠有效增加密鑰的長度，防止密鑰被暴力破解，這樣非法用戶想要破解密文就顯得非常困難。而且，在上述保護(hù)機(jī)制中使用了基于 XOR操作的加密技術(shù)。此技術(shù)具有明顯的兩個特點：（a）基于XOR操作的加密技術(shù)能夠用來探測非法用戶的入侵行為。使用它能夠有效探測和分析各種惡意活動，從而防止各種類型的攻擊。（b）基于 XOR的加密操作能預(yù)防中間人攻擊，因為它能檢測數(shù)據(jù)是否被修改，密鑰是否被篡改等。另外，在云端存儲器存儲數(shù)據(jù)的過程中都使用了加密的模式，能夠有效阻止內(nèi)部通道的攻擊。

4 結(jié)語

本文針對云計算中數(shù)據(jù)隱私保護(hù)的安全問題提出了一種保護(hù)機(jī)制。在此機(jī)制中，提出了用戶數(shù)據(jù)訪問的安全流程及其相關(guān)算法。為了使用戶接收的數(shù)據(jù)隱私安全可靠，在此機(jī)制中引入了第三方可信平臺。通過此平臺，能夠?qū)崿F(xiàn)數(shù)據(jù)的認(rèn)證和加密，從而確保數(shù)據(jù)隱私的完整性、機(jī)密性和安全性。為了證明這種保護(hù)機(jī)制的有效性，本文對其安全性能進(jìn)行了一系列的分析。分析結(jié)果表明：在云計算中使用這種機(jī)制能夠確保數(shù)據(jù)隱私的安全性。

雖然本機(jī)制能夠有效保護(hù)數(shù)據(jù)隱私的安全性，但此機(jī)制使用了雙重加密的方法，此方法能夠有效增加密鑰的長度，但同時也會給數(shù)據(jù)傳輸和存儲帶來一定的影響。因此，在未來的研究中，將需要考慮此算法的優(yōu)化方案，同時也需要考慮對帶寬、內(nèi)存和傳輸通道的具體影響。

[1]Sanka，S.，Hota，C.，Rajarajan，M.：Secure data access in cloud computing.In：2010 IEEE 4th International Conference on Internet Multimedia Services Architecture and Application ，978-1-4244-7932-0/10 ?，pp.1–6.IEEE（2010）

[2]Panda，S.N.，Kumar，G.：IDATA – An Effective Intercept Detection Algorithm for Packet Transmission in Trust Architecture（POT-2010-0006）.Selected for publication in IEEE Potentials ISSN：0278-6648

[3]Creese S，Hopkins P，Pearson S，et al.Data protection-aware design for cloud services，Proceedings of the 1st International Conference on Cloud Computing.Lecture Notes in Computer Science.Beijing，China：Springer，2009：119-130.

[4]林果園，賀珊，黃皓，吳吉義，陳偉.基于行為的云計算訪問控制安全模型，通信學(xué)報，2012，33（3）：59-66

[5]毛劍，李坤，徐先棟.云計算環(huán)境下隱私保護(hù)方案，清華大學(xué)學(xué)報（自然科學(xué)版），2011，51（10）：1357-1362

[6]Itani，W.，Kayssi，A.，Chehab，A.：Privacy as a service：privacyaware data storage and processing in cloud computing architecture.In：2009 Eighth IEEE International Conference on Dependable Autonomic and Secure Computing ，978-0-7695-3929-4/09 ?，pp.711–717.IEEE（2009）

[7]Gellman，R.：WPF REPORT：Privacy in the Clouds：Risks to Privacy and Confidentiality from Cloud Computing，F(xiàn)ebruary 23（2009）

[8]Pearson，S.：Taking Account of Privacy when Designing Cloud Computing Services.In：Proceedings of ICSE-Cloud 2009，Vancouver（2009）

[9]Pearson，S.，Charlesworth，A.：Accountability as a Way For ward for Privacy Protection in the Cloud.HP Labs Technical Report，HPL-2009178（2009），http：//www.hpl.hp.com/tec hreports/2009/HPL-2009-178.pdf