白堃

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京 100029）

基于云計(jì)算環(huán)境下的數(shù)據(jù)安全保護(hù)技術(shù)分析

白堃

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京 100029）

文中主要以目前云計(jì)算環(huán)境下數(shù)據(jù)安全現(xiàn)狀為切入點(diǎn)，通過基于虛擬化架構(gòu)的可信云計(jì)算平臺(tái)、數(shù)據(jù)備份策略及基于矩陣亂序的數(shù)據(jù)部分加密方案措施探討安全保護(hù)技術(shù)，研究結(jié)果顯示用戶數(shù)據(jù)安全相當(dāng)于以往提升至70%，安全系數(shù)的增長(zhǎng)說明本文研究的數(shù)據(jù)安全保護(hù)技術(shù)方案完全可行。尤其虛擬化架構(gòu)的可信云計(jì)算平臺(tái)在建立用戶與虛擬機(jī)關(guān)聯(lián)后，僅使用數(shù)字信封便能封存虛擬機(jī)，用戶訪問或使用資源時(shí)通過PKI中間件使用用戶的私鑰解密虛擬機(jī)中的數(shù)字信封，最大程度保證數(shù)據(jù)完整性和安全性。

云計(jì)算；數(shù)據(jù)；安全保護(hù)；技術(shù)

云計(jì)算就是在網(wǎng)絡(luò)環(huán)境下以服務(wù)的形式向用戶提供海量IT資源，從而滿足用戶對(duì)數(shù)據(jù)使用需求，是一種IT資源新型的服務(wù)、交付、使用和管理模式。從用戶的角度分析，在供應(yīng)方向用戶提供云計(jì)算服務(wù)時(shí)，用戶自然會(huì)將數(shù)據(jù)交給云端托管，其中必然會(huì)涉及數(shù)據(jù)安全，選擇可靠的服務(wù)方是保證數(shù)據(jù)安全的前提，而數(shù)據(jù)方也應(yīng)結(jié)合用戶需求研制相關(guān)數(shù)據(jù)安全保護(hù)技術(shù)，避免發(fā)生數(shù)據(jù)安全事故，保證數(shù)據(jù)的正常使用。

1 云計(jì)算環(huán)境下數(shù)據(jù)安全現(xiàn)狀

云計(jì)算服務(wù)的供應(yīng)商不管在性質(zhì)還是規(guī)模方面都存有差異，特別在安全防范能力與風(fēng)險(xiǎn)處理能力方面。在云計(jì)算模式下，用戶執(zhí)行各項(xiàng)操作過程中會(huì)非常重視服務(wù)的安全性。多數(shù)用戶潛意識(shí)認(rèn)為，云服務(wù)的供應(yīng)商有義務(wù)提高監(jiān)管力度和引進(jìn)先進(jìn)技術(shù)，保證服務(wù)的安全性。云端環(huán)境在云計(jì)算模式中可突破地域約束，因此，數(shù)據(jù)存儲(chǔ)并不局限于明確的位置，任何位置皆有可能成為數(shù)據(jù)存儲(chǔ)中心，數(shù)據(jù)的風(fēng)險(xiǎn)也正因如此不斷增加，其安全性面臨嚴(yán)峻挑戰(zhàn)。若不從根本改善，將會(huì)給用戶帶來不可預(yù)知的損失。

2 云計(jì)算環(huán)境下數(shù)據(jù)安全保護(hù)技術(shù)

2.1 基于虛擬化架構(gòu)的可信云計(jì)算平臺(tái)

云計(jì)算服務(wù)商需要通過一套可信的安全技術(shù)確認(rèn)用戶對(duì)遠(yuǎn)端的云環(huán)境，以此提高用戶對(duì)云環(huán)境的信任度。本文研究所構(gòu)建的虛擬化架構(gòu)的可信云計(jì)算平臺(tái)為云儲(chǔ)存服務(wù)中的各種數(shù)據(jù)安全機(jī)制提供了可信度較高的執(zhí)行環(huán)境。首先虛擬化架構(gòu)的云計(jì)算平臺(tái)信任傳遞模型能作為信任傳遞機(jī)制設(shè)計(jì)的理論支撐，尤其在執(zhí)行中加載時(shí)的信任鏈傳遞機(jī)制能保護(hù)VMM的可信性，保護(hù)應(yīng)用程序不被惡意代碼篡改。對(duì)于虛擬化架構(gòu)的云計(jì)算平臺(tái)，采用TCG擴(kuò)展方式能從信根構(gòu)建到應(yīng)用層的信任鏈，但這種方式會(huì)導(dǎo)致外部攻擊者直接對(duì)攻擊虛擬監(jiān)控器VMM，從而破壞虛擬機(jī)中的各種應(yīng)用。操作系統(tǒng)在基于設(shè)施類型的IaaS云服務(wù)中向用戶開放，意味著現(xiàn)有系統(tǒng)對(duì)應(yīng)用程序的完整性度量和認(rèn)證無法給予支持，需要改造OS和增加用戶安全代價(jià)。

2.1.1 基于虛擬化架構(gòu)的平臺(tái)信息鏈模型

若基礎(chǔ)設(shè)施中的宿主機(jī)所設(shè)置的可信驗(yàn)證機(jī)制能保證在宿主機(jī)中安全運(yùn)行且運(yùn)行中可執(zhí)行代碼保持不變，就可以保證宿主機(jī)的可信性。同理而言，可信驗(yàn)證機(jī)制也設(shè)置于虛擬機(jī)監(jiān)控器中并保證其運(yùn)行進(jìn)程的可信度及不會(huì)被篡改，則說明虛擬機(jī)具有可信性。以下為基于虛擬化機(jī)構(gòu)的云計(jì)算平臺(tái)的信任傳遞模型：

定義1：系統(tǒng)中輔助函數(shù)相關(guān)定義：

進(jìn)程可執(zhí)行體摘要函數(shù)hash→p→R，其中，hasht(p)則表示在時(shí)間t時(shí)P的摘要值。白名單驗(yàn)證函數(shù)chenk:P→{True, False}，函數(shù)功能設(shè)計(jì)如下：

當(dāng)前狀態(tài)進(jìn)程集合currentprocess:S→Ps

在完成一個(gè)系統(tǒng)動(dòng)作后，單步函數(shù)step:S×A→S當(dāng)前狀態(tài)轉(zhuǎn)化為下一個(gè)狀態(tài)。

動(dòng)作與進(jìn)程的映射函數(shù)單步函數(shù)proc:A→P，其中proc (a)=P，a∈A，P∈P表示進(jìn)程P執(zhí)行動(dòng)作

定義2：基于虛擬機(jī)的終端系統(tǒng)表示M=(S，P，H，V，A，W，R)（2）上述分別表示系統(tǒng)狀態(tài)、虛擬機(jī)監(jiān)控器、虛擬機(jī)、進(jìn)程集合、系統(tǒng)行為、程序執(zhí)行體摘要值及由合法進(jìn)程摘要值構(gòu)成的集合中可執(zhí)行代碼白名單。

定義3：對(duì)當(dāng)前系統(tǒng)狀態(tài)中的任意進(jìn)程，如果在系統(tǒng)白名單中有內(nèi)存運(yùn)行的可執(zhí)行代碼，則認(rèn)為在當(dāng)前狀態(tài)下系統(tǒng)為可信的，定義如下：

公式表明，系統(tǒng)包含的所有進(jìn)程在下為驗(yàn)證可信的，自然系統(tǒng)狀態(tài)也為可信的。

從定義2的進(jìn)程行為角度分析，此行為也是判定系統(tǒng)可信的條件之一，進(jìn)程行為會(huì)當(dāng)系統(tǒng)處于一個(gè)可信狀態(tài)時(shí)導(dǎo)致系統(tǒng)狀態(tài)發(fā)生變化，若系統(tǒng)的可信性不被進(jìn)程行為破壞，則認(rèn)為系統(tǒng)由一個(gè)可信狀態(tài)變更為另一個(gè)可信狀態(tài)。系統(tǒng)在始于可信的初始狀態(tài)且未進(jìn)入不可信狀態(tài)，可說明可以保持它的可信性。創(chuàng)建進(jìn)程中啟動(dòng)的可信條件保證系統(tǒng)不會(huì)受到進(jìn)程創(chuàng)建的破壞，而其他如文件讀寫、外設(shè)操作等進(jìn)程行為，需設(shè)立進(jìn)程隔離條件避免被破壞。

2.1.2 基于虛擬化架構(gòu)的信任鏈傳遞機(jī)制

CRUB在當(dāng)前操作系統(tǒng)加載器中是一種使用廣泛的開元加載器，通過信任鏈傳遞思想實(shí)現(xiàn)CRUB對(duì)虛擬機(jī)GuestOS和VMM、VM BIOS的安全引導(dǎo)，以此解決引導(dǎo)過程中的可信性問題。CRUB在引導(dǎo)Dom0 kernel和VMM的主要執(zhí)行方式為多組建順序，各個(gè)組織按啟動(dòng)順序獲得對(duì)系統(tǒng)的控制權(quán)，所以，構(gòu)建信任鏈要體現(xiàn)組建獲得系統(tǒng)控制權(quán)順序的同時(shí)還要度量各個(gè)組件的完整性。以下為構(gòu)建順序執(zhí)行的加載前度量信任鏈過程公式：

其中Ii表示引導(dǎo)過程中第個(gè)階段的完整性，若Ii=1則說明第個(gè)階段是完整的，反之i=0，Ii=1表示可信根的完整性。根據(jù)TPCM的特點(diǎn)，不需證明可信根的完整性，被度量在每個(gè)階段中可能不止一個(gè)，然而擁有度量控制權(quán)的組件只有一個(gè)。Vi(Si+1)表示引導(dǎo)序列中第i個(gè)階段的度量控制組建的進(jìn)行度量，Vi(Si+1)=1說明驗(yàn)證通過，反之Vi(Si+1)=0。CRUB可信引導(dǎo)的實(shí)現(xiàn)過程為：用完整性驗(yàn)證模塊驗(yàn)證每個(gè)擁有度量控制權(quán)的組件，若通過驗(yàn)證則將控制權(quán)交給下一階段中的精細(xì)度量的組件。若沒有通過驗(yàn)證則記錄錯(cuò)誤并重啟系統(tǒng)。為實(shí)現(xiàn)上述功能可在GRUB中添加完整性驗(yàn)證模塊，具體工作流程如圖1所示。在安裝GRUB之前，需在參考平臺(tái)上生成各個(gè)需要驗(yàn)證階段的校驗(yàn)值，以此實(shí)現(xiàn)安全引導(dǎo)，將這些校驗(yàn)值伯保存在TPCM的可信存儲(chǔ)硬件芯片中，這些值為安全引導(dǎo)過程中的預(yù)期值。在TPCM中有物理節(jié)點(diǎn)計(jì)算平臺(tái)PM的度量列表ML安全存儲(chǔ)，云用戶以向PM平臺(tái)發(fā)送nonce的方式獲得該計(jì)算機(jī)平臺(tái)PCR的簽名集。之后用戶可委托可信第三方通過驗(yàn)證ML簽名識(shí)別或檢查隨機(jī)數(shù)匹配，以此引導(dǎo)序列的完整性。

圖1 副本在DataNode中的分布Fig.1 The distribution of copies in data node

2.2 數(shù)據(jù)備份策略

移動(dòng)設(shè)備的便攜性是受到廣大使用用戶喜愛的原因之一，但也正是這種原因會(huì)使在使用過程中容易被外力破壞或優(yōu)勢(shì)，出現(xiàn)上述情況用戶數(shù)據(jù)基本上沒有恢復(fù)的可能，所以有必要對(duì)移動(dòng)設(shè)備的數(shù)據(jù)進(jìn)行備份。用戶可以將重要數(shù)據(jù)上傳至云服務(wù)器，然而云服務(wù)器并不是絕對(duì)安全的，不同類型的云服務(wù)器有的是高可靠的數(shù)據(jù)集散中心，有的可能是一臺(tái)舊的私人PC機(jī)，所以，數(shù)據(jù)只存在一個(gè)備份的方案中是不科學(xué)的。HDFS是一個(gè)主從結(jié)構(gòu)的體系，其數(shù)據(jù)在任何時(shí)候都只能有一個(gè)寫入者和多個(gè)訪問者，因此它是一個(gè)write-oneread-many訪問模型的文件系統(tǒng)。每個(gè)數(shù)據(jù)塊都被分散至不同的DataNode中，HDFS還會(huì)為每一個(gè)block進(jìn)行備份和復(fù)制若干副本，（具體操作如圖1所示）。

2.3 基于矩陣亂序的數(shù)據(jù)部分加密方案

用戶數(shù)據(jù)在移動(dòng)環(huán)境下主要包括視頻、音頻、文本和圖片等，移動(dòng)設(shè)備的相對(duì)固定設(shè)備有較低的安全性，用戶有必要備份終端數(shù)據(jù)，在基于安全性考慮的前提，用戶通過無線網(wǎng)絡(luò)向云服務(wù)器傳輸數(shù)據(jù)時(shí)嗎，在信道上數(shù)據(jù)的存在方式為密文，然而移動(dòng)終端資源受限的因素導(dǎo)致對(duì)所有數(shù)據(jù)進(jìn)行完全加密十分耗能且耗時(shí)，使云存儲(chǔ)效率和終端續(xù)航時(shí)間受到嚴(yán)重影響。為解決加密效率和安全性問題，以一種基于矩陣亂序的部分加密方案在安全性和效率兩者之間找到平衡點(diǎn)，通過詳細(xì)分析各模塊工作原理對(duì)方案的安全性和代價(jià)，以此確定方案的有效性。

2.3.1 總體方案設(shè)計(jì)

關(guān)于不同文件格式的加密方式，很多設(shè)計(jì)者在研究文件加密過程中都明確提到，通過剖析不同文件的編碼格式試圖找到更高效的加密方式。本文研究處理文件時(shí)直接以字節(jié)流的形式，將數(shù)據(jù)流切割成固定大小的塊，并對(duì)其處理后將其轉(zhuǎn)化為矩陣，初步混亂原數(shù)據(jù)，隨機(jī)產(chǎn)生變換參數(shù)，以一定的方式處理對(duì)亂序后的數(shù)據(jù)，量化處理后同樣會(huì)隨機(jī)產(chǎn)生參數(shù)，對(duì)選擇的部分?jǐn)?shù)據(jù)進(jìn)行對(duì)稱加密，此時(shí)的數(shù)據(jù)已經(jīng)混亂，無需大規(guī)模加密，用戶可以自行設(shè)置被選擇加密的數(shù)據(jù)相對(duì)總數(shù)量的比例，考慮到移動(dòng)平臺(tái)的特殊情況，本文將比例設(shè)置為20%，無需單獨(dú)存放加密數(shù)據(jù)，以此增加混亂度，存放時(shí)直接以明文-密文的混合式，需要在處理過程中對(duì)參數(shù)和加密密鑰進(jìn)行二次加密并與明文、密文組成數(shù)據(jù)包。在此過程中，用戶可以選擇是否加密和直接以明文發(fā)送不加密問題，具體操作流程如圖2所示。

圖2 基于矩陣亂序的數(shù)據(jù)部分加密方案Fig.2 Based on the data portion of the matrix disorder encryption scheme

2.3.2 模塊設(shè)計(jì)

基于矩陣亂序的移動(dòng)云計(jì)算數(shù)據(jù)加密分為數(shù)據(jù)分塊與格式化、數(shù)據(jù)亂序、加密部分選擇、文件存儲(chǔ)格式設(shè)計(jì)四個(gè)核心部分。其中數(shù)據(jù)分塊與格式快指以格式化處理方式將數(shù)據(jù)切分為固定大的數(shù)據(jù)塊，便于輸入下一模塊；數(shù)據(jù)亂序過程指變換數(shù)據(jù)可逆的矩陣后達(dá)到信息置亂的目的。加密部分即在不同的位置通過函數(shù)控制對(duì)等長(zhǎng)的數(shù)據(jù)進(jìn)行AES算法加密，之后與混合密文、加密文標(biāo)記文組成全新的文件存儲(chǔ)格式。上述4個(gè)步驟構(gòu)成數(shù)據(jù)安全保護(hù)策略。

2.3.3 數(shù)據(jù)分塊與格式化

針對(duì)要加密的文件可將文件切分為固定大小的數(shù)據(jù)塊，轉(zhuǎn)化成K階矩陣的形式裝入內(nèi)存，其中矩陣中的單元為字節(jié)，所以數(shù)據(jù)塊的大小固定為64 KB，矩陣為256階矩陣，如果最后一個(gè)數(shù)據(jù)塊不足64 KB，可以以補(bǔ)0代替，待解決后去掉0即可，使格式標(biāo)準(zhǔn)化。

2.3.4 數(shù)據(jù)亂序

將原本有序的數(shù)據(jù)變得混亂是亂序的主要目的，以此實(shí)現(xiàn)隱藏信息的目的。由于矩陣變換的作用和加密信息相同，因此在解密過程中，只有變換所有操作執(zhí)行逆變化便能得到無損的原數(shù)據(jù)。定義K階方陣為如下：

2.3.5 安全性分析

數(shù)據(jù)亂序就是對(duì)原數(shù)據(jù)用矩陣變換方法將其混論，并以字節(jié)流的形式是輸入數(shù)據(jù)，每個(gè)單詞的組成字符都被分解后再參加運(yùn)算，每一輪亂序包括錯(cuò)位循環(huán)替換、對(duì)折及旋轉(zhuǎn)三種變換各一次。其中錯(cuò)位循環(huán)替換可以選擇水平方向和垂直方向兩種變換方式且通過函數(shù)控制變換的幅度，對(duì)折環(huán)節(jié)可以選擇上下、左右對(duì)折清醒。旋轉(zhuǎn)環(huán)節(jié)可以選擇順時(shí)針、逆時(shí)針兩種方向，所以每一輪亂序過程有4次隨機(jī)選擇機(jī)會(huì)，每一次完整變換都是包括w輪亂序過程，經(jīng)一系列隨機(jī)選擇過程后對(duì)相同數(shù)據(jù)包進(jìn)行一次完整的變換，具體結(jié)果如下：

本文研究方案中的數(shù)據(jù)包為64 KB，生成的矩陣為256階方針，則k=256.不同輸入數(shù)據(jù)的結(jié)果差之毫厘，這種效果在矩陣的階數(shù)足夠大時(shí)更加明顯，說明這一環(huán)節(jié)是非常安全的。要加密的部分可隨機(jī)選擇，選擇的起點(diǎn)與二次函數(shù)的a,b,c有關(guān)，由參數(shù)中n確定每次加密的長(zhǎng)度，所以每一個(gè)數(shù)據(jù)分塊中被選擇的部分也大有不同，按原來位置存放未被選中的數(shù)據(jù)和被加密的數(shù)據(jù)，更加難以區(qū)分原本就混亂的數(shù)據(jù)，對(duì)比分析不同數(shù)據(jù)時(shí)所采用的攻擊的方式也變得極其困難，所以這一環(huán)節(jié)也被認(rèn)定為安全的?？傊?，上述部分的結(jié)合可防御外界分析和破解密文的可能性，再一次證明此方案安全可行。

3 結(jié)束語

數(shù)據(jù)安全在公共云環(huán)境下是需要服務(wù)供應(yīng)商和數(shù)據(jù)所有人承擔(dān)的責(zé)任，若對(duì)數(shù)據(jù)隱私達(dá)不到監(jiān)管要求，則可能面對(duì)不可預(yù)知的后果。大部分用戶為有效避免數(shù)據(jù)安全與個(gè)人隱私遭到盜竊，會(huì)首先選擇現(xiàn)有內(nèi)部系統(tǒng)，從而在一定程度上限制了云計(jì)算應(yīng)用與推廣。應(yīng)對(duì)云計(jì)算數(shù)據(jù)安全保護(hù)技術(shù)進(jìn)行科技及合理的引進(jìn)，通過鞏固各個(gè)方面技術(shù)不斷加強(qiáng)數(shù)據(jù)安全，推動(dòng)云計(jì)算穩(wěn)定發(fā)展。

[1]羅軍舟,金嘉暉,宋愛波,等.云計(jì)算:體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報(bào),2011,32(7):3-21.

LUO Jun-zhou,JIN Jia-hui,SONG Ai-bo,et al.Cloud Computing:architecture and key technologies[J].Communications, 2011,32(7):3-21.

[2]張逢喆.公共云計(jì)算環(huán)境下用戶數(shù)據(jù)的隱私性與安全性保護(hù)[D].上海：復(fù)旦大學(xué),2010.

[3]李凌.云計(jì)算服務(wù)中數(shù)據(jù)安全的若干問題研究[D].合肥：中國(guó)科學(xué)技術(shù)大學(xué),2012.

[4]劉婷婷.面向云計(jì)算的數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)研究[D].鄭州：中國(guó)人民解放軍信息工程大學(xué),2013.

[5]苗新宇.面向人口信息系統(tǒng)的云計(jì)算中隱私保護(hù)技術(shù)研究[D].北京：北京郵電大學(xué),2012.

Analysis of data security protection technology based on cloud computing environment

BAI Kun
（National Computer Network Emergency Response Technical Team/Coordination Center of China，Beijing 100029,China）

This paper mainly to the current cloud computing security status data environment as the breakthrough point, through the trusted cloud computing platform based on virtualization architecture,data backup strategy based on matrix scrambling data part of the encryption scheme discussion on the measures of safety protection technology,the results of the study show that the user data security equivalent to before ascending to 70%,safety coefficient the growth of security protection technology of this data is completely feasible.In particular,trusted cloud virtualization architecture computing platform in the establishment of the user associated with the virtual machine,using only digital envelope can be sealed the virtual machine,the user access to or use of resources through the PKI middleware using the user's private key to decrypt the digital envelope in the virtual machine,the maximum extent to ensure data integrity and security.

cloud computing;data;security protection;technology

TN915

A

1674－6236（2015）10-0149-03

??宇.面向移動(dòng)云計(jì)算的數(shù)據(jù)安全保護(hù)技術(shù)研究[D].廣州：廣東工業(yè)大學(xué),2013.

10.7666/d.Y2304706.

2014-07-19 稿件編號(hào)：201407156

白 堃(1983—)，男，山西陽(yáng)泉人，碩士，工程師。研究方向：信號(hào)與信息處理、海量數(shù)據(jù)存儲(chǔ)與挖掘、大數(shù)據(jù)分析、工程管理等。

[7]吳永堂.面向云計(jì)算的數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)分析 [J].硅谷,2014(7):66-66,31.WU Yong-tang.Cloud computing for data security to protect critical technical analysis[J].Silicon Valley,2014(7):66-66,31.

[8]孫鵬.面向云計(jì)算的數(shù)據(jù)安全保護(hù)關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014(12):180-180,182.SUN Peng.For cloud computing data security key technology research[J].Computer Software and Applications CD,2014 (12):180-180,182.