劉忠民山東師范大學(xué)實驗室管理處

云計算中多維數(shù)據(jù)安全模型研究

劉忠民
山東師范大學(xué)實驗室管理處

云計算被認(rèn)為是下一代的Information Technology架構(gòu)，是能夠提供動態(tài)資源池、虛擬化和高可用性的下一代計算平臺。新的特性帶來了很多新的安全挑戰(zhàn)，而這些挑戰(zhàn)在目前的云計算體系中并沒有被完全考慮，因此構(gòu)造一個云計算的數(shù)據(jù)安全體系是構(gòu)建云計算安全的基礎(chǔ)。論文在研究云計算的技術(shù)架構(gòu)之后，研究了云計算的數(shù)據(jù)安全特征，提出了云計算的數(shù)據(jù)安全模型，并對數(shù)據(jù)安全模型的實現(xiàn)進行了分析。

云計算 數(shù)據(jù)安全模型 多維 糾刪碼 范德蒙矩陣

云計算是目前計算機領(lǐng)域研究與應(yīng)用的熱點之一，其目的是設(shè)計出一種全新的信息應(yīng)用模式，把用計算資源變得像生活中用電、用水一樣方便。因特網(wǎng)技術(shù)的發(fā)展和計算機技術(shù)的進步拉開了云計算時代的帷幕。更加廉價、更加強大的處理器和軟件即服務(wù)的計算架構(gòu)使得數(shù)據(jù)中心變成一個可擴展的服務(wù)池。不斷增大的帶寬和穩(wěn)定的網(wǎng)絡(luò)使得用戶能夠從遠程數(shù)據(jù)中心取得更可靠的數(shù)據(jù)和軟件服務(wù)［1］。

把數(shù)據(jù)遷移到云中帶來了巨大的方便，因為用戶不再直接與復(fù)雜的硬件打交道。隨著全球各大公司對云計算研究的展開，云計算的安全問題也開始浮出水面。保護云計算系統(tǒng)的數(shù)據(jù)機密性和完整性，使云計算系統(tǒng)數(shù)據(jù)具有更高的可靠性成為目前云計算研究與應(yīng)用的重點和熟點。

云計算安全性的解決關(guān)系到云計算的成敗，已經(jīng)成為云計算發(fā)展的關(guān)鍵因素［2］。

1 云計算的數(shù)據(jù)安全

1.1 云計算的數(shù)據(jù)安全問題的提出問題

云計算安全問題，性能和可用性是云計算研究的三大熱點，其中云計算安全排在首位。依據(jù)云計算的三種不同的定義IaaS、PaaS和SaaS ，云計算可以分為三種層次：基礎(chǔ)設(shè)施層，平臺服務(wù)層，軟件應(yīng)用層。

對于三個層次，所面臨的安全問題是不同的［3］。對于IaaS而言，數(shù)據(jù)中心建設(shè)、物理安全、網(wǎng)絡(luò)安全、傳輸安全、系統(tǒng)安全是主要的關(guān)注點。而對于PaaS來講，數(shù)據(jù)安全、數(shù)據(jù)與計算可用性、災(zāi)難與恢復(fù)問題則更受關(guān)注［4］。而到了最高層的SaaS，則對于數(shù)據(jù)與應(yīng)用的安全問題更為被關(guān)注。而且，當(dāng)SaaS架構(gòu)在云計算這個平臺上時，最高層的這些安全問題很多是不可知，不可控的。原因在于，使用者再也無法自己實際掌握對安全便捷與數(shù)據(jù)的控制權(quán)［5］。論文主要研究在PaaS層次上數(shù)據(jù)安全的相關(guān)問題。

1.2 云計算數(shù)據(jù)安全研究主要內(nèi)容

云計算數(shù)據(jù)安全是云計算安全的主要組成部分，是確保云計算普及的重要手段.和傳統(tǒng)的IT運行在服務(wù)、物理設(shè)備、區(qū)域和個人管理受限的環(huán)境中不同的是，云計算把應(yīng)用軟件和數(shù)據(jù)遷移到巨型的數(shù)據(jù)中心，這種狀態(tài)下數(shù)據(jù)和服務(wù)的管理并不是完全受到用戶信任的［6］。這一新的特性帶來了很多新的安全挑戰(zhàn)，而這些挑戰(zhàn)在目前的云計算體系中并沒有被完全考慮，因此構(gòu)造一個云計算的數(shù)據(jù)安全體系是構(gòu)建云計算安全的基礎(chǔ)。

論文在研究云計算的技術(shù)架構(gòu)之后，研究了云計算的數(shù)據(jù)安全特征，提出了云計算的數(shù)據(jù)安全模型，并對數(shù)據(jù)安全模型的實現(xiàn)進行了分析［7］。

1.3 云計算數(shù)據(jù)應(yīng)用安全分析

對數(shù)據(jù)安全來講，除了傳統(tǒng)的客戶端的安全性、主從結(jié)構(gòu)的安全性、通信安全性等安全威脅外，由于各種原因上述云計算的數(shù)據(jù)不可避免的帶來新的安全威脅。主要有以下幾個方面：保密失效威脅，動態(tài)完整性威脅，分布式可用性威脅［8］。

2 云計算數(shù)據(jù)安全模型描述

典型云計算數(shù)據(jù)技術(shù)可以用如下數(shù)學(xué)模型描述：

DS=C（namenode）；

MS=S* DS

C（.）：對節(jié)點的訪問，式中namenode表示系統(tǒng)的應(yīng)用服務(wù)器；

DS：文件S的分塊矩陣；

MS：系統(tǒng)總數(shù)據(jù)中心的數(shù)據(jù)文件分塊；

S：文件，文件S在系統(tǒng)中表示為：S=｛S（1），S（2），S（3），S（4），…，S（n）｝，表示文件S是n個文件塊的集合。其中S（i）∩S（j）=Q，i≠ j；i，j∈1，2，3，...n；

依據(jù)云計算的數(shù)據(jù)安全的基本原則，論文設(shè)計了云計算多維數(shù)據(jù)安全模型CCMDSM（Cloud Computing Multi-dimension Date Security），其數(shù)學(xué)模型如下所示：

DS′=CS （namenode）

DS=K.DS′

MS= E（S） DS

其中：

CS （.）：經(jīng)過授權(quán)的應(yīng)用服務(wù)器訪問；

DS′：隱私保護模式下的文件分塊矩陣；

K：用戶的秘密矩陣；

E（S）：對文件S塊進行加密，獲取加密后的文件向量；

該安全模型如圖 1所示：

圖 1 云計算數(shù)據(jù)安全模型

Fig.1 The model of the cloud computing data security

該模型采用分層的三層防御體系結(jié)構(gòu)，各層各司其責(zé)，層層結(jié)合確保云計算中數(shù)據(jù)的安全。

第一層：負(fù)責(zé)對用戶進行身份驗證，向用戶頒發(fā)相應(yīng)的數(shù)字證書，管理用戶的權(quán)限；

第二層：負(fù)責(zé)對用戶的數(shù)據(jù)進行加密，并通過一定的方式對用戶的隱私進行保護；

第三層： 對用戶數(shù)據(jù)進行快速恢復(fù)，是系統(tǒng)保護用戶數(shù)據(jù)的最后一層。

三層結(jié)構(gòu)環(huán)環(huán)相扣。首先對用戶進行身份認(rèn)證，身份認(rèn)證是保證用戶數(shù)據(jù)不被篡改的基礎(chǔ)，通過身份認(rèn)證的用戶可以對用戶數(shù)據(jù)進行相應(yīng)的操作：添加，修改，刪除等。

如果非法用戶采用非法手段欺騙了認(rèn)證系統(tǒng)，則進入系統(tǒng)的文件加密保護和隱私保 護防御層次，在此層中甩戶數(shù)據(jù)都是加密的。如果密鑰被入侵者獲取，則通過隱私保護功能，使得用戶數(shù)據(jù)即使被獲取也沒法取得有效的信息。這對于保護云計算用戶 中商業(yè)用戶的商業(yè)機密十分重要［9］。

最后是文件快速恢復(fù)層，此層中通過快速恢復(fù)算法，使得用戶數(shù)據(jù)即使在受到破壞的情況下仍然能夠得到最大限度地恢復(fù)。

3 數(shù)據(jù)安全模型的實現(xiàn)分析

3.1 文件塊的保密分塊

對于模型中數(shù)據(jù)塊的分塊，論文以糾刪碼的編碼原理為基礎(chǔ)，選用基于范德蒙矩陣的RS碼對數(shù)據(jù)進行分塊。

符號及其說明：

S：S是要存儲的文件，S可以由n個相同大小的數(shù)據(jù)矩陣來表示

S=（S1，S2，S3… ..Sn）。

A：糾刪碼編碼使用的分塊編碼矩陣。

文件的糾刪碼編碼分塊過程

具體的文件糾刪碼編碼分塊過程如下：

1）假設(shè)S=（S1，S2，S3…..Sn）且S1為相同大小的文件塊；

2）對 于分塊編碼矩陣A，本文采用范德蒙矩陣進行推導(dǎo)。首先構(gòu)造n*（n+k）的范德蒙矩陣A0如下：

其中m=n+k，yj（j∈｛1，2，3…m｝）為隨機取的不同大小的數(shù)，接著把A0進行變換為如下形式：

其中f就是用戶的秘密矩陣

3）通過S相乘A，用戶可以獲得編碼后的文件：

L=S.A=（L（1），L（2），…L（m））=（S，S，…S（n+1），…S（m））

注意，L包含了文件的原始分塊和新生成的文件S的k個校驗向量（S（n+1），…S（m））。

4）在分布式文件系統(tǒng)中存儲S的文件塊向量L。編碼過程結(jié)束。

如果對分割塊數(shù)為2的文件進行典型的（4；2）糾刪碼的編碼，其過程如下所示：

1）對文件S進行分塊，文件S分為S=（b1， b2）；

2）使用取范德蒙矩陣塊序列變?yōu)?/p>

那么變換它為糾刪碼矩陣

令L=S.A則得到糾刪編碼后的文件塊序列變?yōu)锳=（ b1， b2，b1+ b2， b1）；

3）在分布式文件系統(tǒng)中存儲A=（ b1， b2， b1+ b2， b1）文件塊，完成分布式糾刪碼的文件編碼存儲工作；通過以上步驟在用戶訪問文件階段只要取得存儲的文件塊向量L中的任意兩個文件塊都可以對文件進行訪問。

依據(jù)上述的編碼方法，文件恢復(fù)的過程如下：

1）用戶取得任意n個文件塊L’=（L1’， L2’，L3’，…Lm’），設(shè)Lt’變?yōu)樗鶎?yīng)存儲向量L中的量L（k），k∈t，t是所對應(yīng)的Lt’的索引集合；

2）取公式中A對應(yīng)的k∈t列，組成L’對應(yīng)的變換矩陣K’.那么用S= L’.K’（-1）對原文件進行恢復(fù)。

3.2 文件的動態(tài)操作

云計算中的數(shù)據(jù)文件操作主要有幾個方面：數(shù)據(jù)的更新，數(shù)據(jù)的刪除，數(shù)據(jù)的添加。傳統(tǒng)的數(shù)據(jù)副本模式主要是對整個文件進行重新構(gòu)造，如HDFS就是如此。假設(shè)用戶訪問文件為主，更新數(shù)據(jù)則很少進行，但是在系統(tǒng)構(gòu)造初期，用戶的數(shù)據(jù)添加和數(shù)據(jù)刪除是頻繁的，隨著系統(tǒng)規(guī)模的擴大，這種添加與刪除是不斷增加的?，F(xiàn)有模式中系統(tǒng)的可用性變差，因此有必要進行更正［10］。采用本模型的實現(xiàn)方案，就可以有效的解決問題。

數(shù)據(jù)的更新操作

論文把文件塊數(shù)據(jù)從當(dāng)前的值Si變?yōu)橐粋€新的值Si+△Si，稱為數(shù)據(jù)更新操作。如果一個用戶進行數(shù)據(jù)更新操作，那么，他可以構(gòu)造一個更新矩陣△S如下：

△S=（△S1，△S2，…，△Sn）

注意到△S中的元素可以是0，這就是表示這一數(shù)據(jù)塊保持不變。為了維護相應(yīng)的校驗向量和文件的連續(xù)性，用戶可以乘以△S，通過矩陣A產(chǎn)生更新信息。對于數(shù)據(jù)向量和校驗向量更新生成方式如下：

△ S.A=（△ L（1）， △ L（2），…，△ L（m）） =（△ S1，△S2，… ，△Sn，△L（n+1），…，△L（m））

其中△L（j）（j∈｛n+1，….m｝）。

數(shù)據(jù)的刪除操作

論文使用更新操作來實現(xiàn)數(shù)據(jù)的刪除，在數(shù)據(jù)更新操作中令△S=—Si。于是實現(xiàn)對數(shù)據(jù)的清零，清除數(shù)據(jù)。

數(shù)據(jù)的添加

假設(shè)用戶需要添n個文件塊到文件的末尾，如：Si+1，1，Si+1，2，…Si+2，n，那么使用秘密矩陣f，用戶可以直接計算每個校驗塊值：

（Si+1，1，Si+1，2，…Si+2，n） .f=（ Li+1（n+1），…，Li+1（m））

這樣把校驗塊和新文件塊一起添加到原有的文件向量中就實現(xiàn)了數(shù)據(jù)的添加。

3.3 安全模型的優(yōu)勢

使用CCMDSM的優(yōu)勢主要有兩點：

減少空間開銷

同目前HDFS采用的數(shù)據(jù)塊全副本冗余方式相比，采用糾刪碼具有很大的優(yōu)勢。其表現(xiàn)主要為數(shù)據(jù)文件S通過一個（n+k；k）類型的RS碼來創(chuàng)建k個數(shù)據(jù)冗余向量，則n個數(shù)據(jù)塊向量中，其向量可以用n個數(shù)據(jù)向量和校驗向量合成。通過把n+k向量放置在不同的服務(wù)器端，原始的數(shù)據(jù)文件在n+k個服務(wù)器中的k個服務(wù)器出現(xiàn)問題的情況下依舊能夠使得數(shù)據(jù)得到完全恢復(fù)，而且空間的冗余開銷僅僅為k=n。很明顯，這與目前的HDFS系統(tǒng)默認(rèn)采用3個副本的冗余開銷k=2m模式相比，在空間上有明顯優(yōu)勢［11］。

初步的隱私保護

在云計算平臺上，對于用戶的數(shù)據(jù)維護是云計算服務(wù)提供商的日常工作之一，超級權(quán)限的使用管理是一大難點，采用上述的文件塊生成方法的一大優(yōu)勢就是保護了用戶的隱私［12］。用戶的每次文件訪問，只需訪問文件塊向量組L中的任意n個就可以了，而與具體的文件內(nèi)容無關(guān)。在超級用戶進行日常維護時候，只要驗證了在云計算系統(tǒng)中存在n個文件塊，那么該文件就是正常的，無需進行維護。在服務(wù)器發(fā)生故障、受病毒攻擊，或被植入木馬而使數(shù)據(jù)遭到惡意修改的時候，管理人員可以輕而易舉的對數(shù)據(jù)進行恢復(fù)，用戶無需擔(dān)心數(shù)據(jù)的丟失和泄密［13］。

3.4 CCMDSM的安全性分析

設(shè)文件S分為n塊，采用本模型后文件塊的個數(shù)是：l=n+k，那么只要取得n個任意塊，文件S就是可用的，文件是安全的。在云計算系統(tǒng)中設(shè)云服務(wù)器個數(shù)為m，平均失效率為p，每個文件塊分布在服務(wù)器上的概率為l/m，也就是說文件塊在服務(wù)器上平均分布。

那么在m≥n的情況下文件的安全概率為pm≥n=（1-p）n 。

令在m＜n的情況下m服務(wù)器平均失效數(shù)是x=m*p，那么令y=m-x為服務(wù)器存在正常運行的臺數(shù)，因此有文件安全概率為（1-p）y.pn/y，其中pn/y表示n-y個文件分布在y個服務(wù)器中的概率，為所以有文件安全的概率：Pm＜n=（1-p） m*（1-p）.（1-p）n-m*（1-p）= （1-p）n。

因此對于本模型來說.文件的安全概率為（1-p）n。實際上當(dāng)m≥2時，其安全概率變化規(guī)律為n越大，p越小，數(shù)據(jù)的安全性越高［14］。

4 結(jié)束語

本文論述了云計算的數(shù)據(jù)安全模型。首先，總結(jié)了云計算的數(shù)據(jù)應(yīng)用模式，給出了云計算數(shù)據(jù)應(yīng)用系統(tǒng)模型。接著，對云計算數(shù)據(jù)平臺進行了基本的安全評估，最后給出了云計算的數(shù)據(jù)安全模型，分析了安全模型的糾刪碼實現(xiàn)方式并對其安全性進行了分析［15］。云計算安全并不僅僅是技術(shù)問題，它還涉及標(biāo)準(zhǔn)化、監(jiān)管模式、法律法規(guī)等諸多方面。

因此，僅從技術(shù)角度出發(fā)探索解決云計算安全問題是不夠的，需要信息安全學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門的共同努力才能實現(xiàn)。

［1］Foster 1，Zhao Yong， Cloud Computing and Grid Computing 360-Degree Compared［M］//2008.

［2］IBM.IBM云計算 中心［OL］.［2009-08-08］ .http：//www-900.ibm.com/ibm/ideasfromibm/cn/cloud/index.shtml

［3］孫群英，胡志遠.云計算安全性探究［J］.電信科學(xué) ，2013，（第 4期 ）.［SUN Qun-ying， HU Zhi-yuan. The research of cloud computing security［J］. Telecom Science，2013， （fourth）.］

［4］張元金，蔡俊杰.淺析云計算安全技術(shù)［J］.計算機安全，2013，（第7期）.［ZHANG Yuan-jin， CAI Jun-jie. Analysis of cloud computing security technology ［J］.computer security， 2013， （seventh）.］

［5］GHEMAWAT S， GOBIOFF H， LEUNG S T. The Google file system［C］//Proc. of the 19th ACM Symp. on Operating Systems Principles. New York： ACM Press，2003：29-43.

［6］DEAN J， GHEMAWAT S. MapReduce： Simplified data processing on large clusters. ［C］//Proc. of the 6th Symp.on Operating System Design and Implementation. Berkeley： USENIX Association， 2004：137?150.

［7］劉曉輝.淺析云計算及云計算安全［J］.中國信息化（學(xué)術(shù)版），2012，（第10期）.［LIU Xiao-hui. Analysis of cloud computing and cloud computing security ［J］. Chinese information （Academic Edition）， 2012， （tenth）.］

［8］Wm A. Wulf，A new Model of Security for Distributed Systems［J］，AXM New Security Traffic［J］，2002.

［9］CHANG F， DEAN J， GHEMAWAT S， HSIEH W C， WALLACH D A，BURROWS M， CHANDRA T， FIKES A， GRUBER R E. Bigtable： A distributed storage

［10］陳尚義.淺談云計算安全問題［J］網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009，10：20—22.［Chen Shangyi. Security issues of cloud computing［J］. Technology and application，network security 2009， 10：20-22］

［11］范紅，胡志昂，金麗娜.信息系統(tǒng)等級保護安全設(shè)計技術(shù)實現(xiàn)與使用［M］.清華大學(xué)出版社，2010. ［FAN Hong，HU Zhi-ang， JIN Li-na. Safety design technology for classified protection of information system implementation and use［M］. Tsinghua University press，2010］

［12］趙立偉，方國偉.讓云觸手可及：微軟云計算實踐指南［M］.電子工業(yè)出版社，2010. ［ZHAO Li-wei， FANG Wei. Let cloud within reach： a practical guide for ［M］. Publishing House of electronics industry calculation Microsoft cloud， 2010］

［13］王鵬.走近云計算［M］.北京：人民郵電出版社，2009.［WANG Peng. Approached the cloud calculation ［M］. Beijing：People's Posts and Telecommunications Press， 2009］

［14］李虹，李昊.可信云安全的關(guān)鍵技術(shù)與實現(xiàn)［M］.北京：人民郵電出版社，2010.［LI Hong， Li Hao. The key technology of trusted cloud security and Realization ［M］. Beijing： People's Posts and Telecommunications Press， 2010］

［15］呂茜，張樹軍.云計算技術(shù)探討［J］.計算機安全，2011（2）.［LV Qian，ZHANG Shu-jun. Discussion of cloud computing technology［J］. computer security，2011（2）］

劉忠民（1965-），男，山東濟南人，高級實驗師，研究方向：計算機系統(tǒng)結(jié)構(gòu)，網(wǎng)絡(luò)資源管理，Email：liuzhongmin@sdnu. edu.cn