安徽郵電職業(yè)技術(shù)學(xué)院計算機系 王國慶

一種改進的基于身份的云存儲安全認證機制

安徽郵電職業(yè)技術(shù)學(xué)院計算機系 王國慶

當前,安全成為云存儲領(lǐng)域亟待突破的重要問題,其重要性與緊迫性已不容忽視。本文首先簡單介紹了基于身份的加密的原理以及工作過程，分析了主密鑰在基于身份加密過程中重要位置和作用，最后提出了一種基于身份的分層加密系統(tǒng)模型，并將其應(yīng)用于云存儲安全上。

云存儲；基于身份加密技術(shù)；分層加密系統(tǒng)模型

一、引言

隨著信息技術(shù)的飛速發(fā)展，爆炸式增長的信息量使得人們需要更強大的信息存儲能力和處理能力，云計算技術(shù)應(yīng)運而生，與之相輔相成的云存儲技術(shù)以及各種云服務(wù)也迅速流行起來，但云存儲自身的數(shù)據(jù)安全問題成為制約云存儲發(fā)展的障礙。事實上，提供云存儲服務(wù)的幾個重要服務(wù)商如谷歌、亞馬遜等都曾出現(xiàn)過各種安全問題，并導(dǎo)致了嚴重的后果。如果要使云存儲得到真正的普及，云存儲安全是必須要解決的關(guān)鍵問題之一。但是傳統(tǒng)的網(wǎng)絡(luò)安全和存儲安全不能完全解決云存儲的安全問題，需要一種新的技術(shù)來保障云存儲用戶的數(shù)據(jù)安全。

傳統(tǒng)的用來保護數(shù)據(jù)和通信安全的基礎(chǔ)設(shè)施是公開密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure PKI) 。PKI是一種建立在公開密鑰技術(shù)上的安全服務(wù)設(shè)施，它是用非對稱密碼算法原理和數(shù)字證書來實現(xiàn)用戶的數(shù)據(jù)加密和身份鑒別。PKI的出現(xiàn)，使得絕大多數(shù)的網(wǎng)絡(luò)安全問題得到了解決。用戶可以利用 PKI 平臺提供的安全服務(wù)進行安全通信。PKI 建立在統(tǒng)一的標準和規(guī)范基礎(chǔ)之上，為網(wǎng)絡(luò)應(yīng)用提供實體鑒別、數(shù)據(jù)的保密性、數(shù)據(jù)的完整性和交易的不可否認性等安全服務(wù)。然而在部署 PKI的過程中，人們發(fā)現(xiàn)要解決的問題很多，PKI 依賴數(shù)字證書來綁定公鑰和公鑰所屬人，需要做注冊、管理、存放、分發(fā)、撤消證書等一系列操作，并且數(shù)字證書庫必須在線運行，因此對網(wǎng)絡(luò)帶寬需求、認證計算量、存儲空間等都有較高的要求，因而計算效率和通訊效率較低，限制了云存儲的進一步推廣。

二、基于身份加密技術(shù)簡介

為了彌補 PKI 的不足，1984 年由密碼學(xué)權(quán)威 SHAMIR創(chuàng)造性地提出基于身份加密的理論IBE(Identity Based Encryption)。在該理論中，用戶的身份信息 ( 如身份證號碼、電話號碼和E-mail地址等 ) 可以直接作為用戶的公鑰，唯一標識用戶身份，而與之對應(yīng)的私鑰由可信第三方私鑰生成中心（PKG，Private Key Generator）生成并發(fā)送給用戶。與PKI相比，IBE的明顯優(yōu)勢在于用戶的身份與用戶之間有著直接而天然的聯(lián)系，因此無需通過數(shù)字證書進行綁定，從而避免了傳統(tǒng)公鑰密碼體制中因管理大量用戶證書而帶來的種種弊端，此外，由于IBE具有公鑰基于其本身的特點，因此這是一種靈活的加密認證機制。

2001年，BONEH和 FRANK LIN[2]利用橢圓曲線上的雙線性對得到了基于 IBE加密體制，提出第一個實用且可證明安全的基于身份的加密方案（BF-IBE），該方案的出現(xiàn)為解決網(wǎng)絡(luò)安全問題提供了一種新的思路。但是，基于身份的加密方案仍存在一個固有問題即用戶私鑰的安全性問題。

三、PKG工作原理及組成

一個典型的IBE系統(tǒng)由用戶實體以及私鑰生成中心兩部分組成。而私鑰生成中心是系統(tǒng)的核心,負責(zé)整個系統(tǒng)的初始化、系統(tǒng)參數(shù)的生成與分發(fā)、以及私鑰的生成與分發(fā)。為方便理解,我們把私鑰生成中心看成由以下四部分組成：

主密鑰產(chǎn)生器：根據(jù)隨機數(shù)生成方法生成整個系統(tǒng)的主密鑰。

系統(tǒng)參數(shù)產(chǎn)生器：構(gòu)建系統(tǒng)運算環(huán)境,生成系統(tǒng)所需的各種系統(tǒng)參數(shù)。包括橢圓曲線的選擇、公開參數(shù)的生成,其中橢圓曲線上的相關(guān)運算是的工作難點。

用戶私鑰產(chǎn)生器：根據(jù)用戶標識產(chǎn)生與其對應(yīng)的用戶私鑰。信息分發(fā)器：發(fā)送系統(tǒng)參數(shù)或用戶私鑰。

四、改進的基于身份加密技術(shù)在云存儲中的應(yīng)用

由上述分析我們得知，在 BF-IBE 中，用戶私鑰由 PKG 產(chǎn)生和集中管理，PKG 之所以能夠根據(jù)用戶身份計算相應(yīng)的私鑰，是因為它在創(chuàng)建一開始，就確定了整個系統(tǒng)的系統(tǒng)參數(shù)，以及與之相對應(yīng)的保密信息。系統(tǒng)參數(shù)是整個體制中所有用戶共有的，而保密信息即主密鑰，則只有PKG 知道。PKG就是運用主密鑰，結(jié)合系統(tǒng)參數(shù)和用戶身份，計算得到用戶的私鑰，用戶負責(zé)對自己的私鑰保密。因此主密鑰在整個的加密過程當中處于極其重要的地位，一旦被非法獲取或者攻破，系統(tǒng)將變得很不安全。

因此，為了進一步提高用戶主密鑰的安全性，提出了一種基于身份的分層加密系統(tǒng)模型，并將其應(yīng)用于云存儲服務(wù)上，如圖所示。

由圖可知，基于身份的分層加密系統(tǒng)模型包括了以下兩個方面：

（一）在云存儲服務(wù)器端：對服務(wù)器端的SG系統(tǒng)進行分層。共有兩層構(gòu)成：第一層只有一個根節(jié)點SG，擁有的主密鑰稱為根密鑰；第二層由多個子節(jié)點SGi組成，每個子節(jié)點有自己單獨的主密鑰。

（二）在云存儲客戶端：對使用云存儲服務(wù)的用戶進行邏輯區(qū)域劃分。一個用戶只由一個節(jié)點SGi負責(zé)管理，將處于同一節(jié)點下的所有用戶所在的邏輯區(qū)域稱為Domaini。Domaini的主密鑰，則由根密鑰與對應(yīng)子節(jié)點SGi的主密鑰連接而成。

隨機選擇S 和Si, S為根密鑰，Si是子節(jié)點的主密鑰。那么Domaini的主密鑰就等于S||Si。由此可知，即使Domaini的主密鑰被泄露，由于其它邏輯區(qū)域的主密鑰與之不同，因此不存在被泄露的危險。從而，消除了PKG系統(tǒng)因采用單一主密鑰而造成的系統(tǒng)安全瓶頸的問題。

五、結(jié)束語

IBE是當前云存儲安全的研究熱點。本文首先分析了PKI的優(yōu)劣，接著簡單介紹了IBE原理和工作過程，最后針對主密鑰在基于身份加密過程中的安全瓶頸問題，提出了一種基于身份的分層加密系統(tǒng)模型，并將其應(yīng)用于云存儲安全上。

[1]毛劍,李坤,徐先棟．云計算環(huán)境下隱私保護方案[J]．清華大學(xué)學(xué)報(自然科學(xué)版),2011,51(10):1357-1362．

[2]康利山．云安全中基于身份的安全認證[D]．云南大學(xué)碩士學(xué)位論文．云南大學(xué)．

[3]楊坤偉,李順東．一種新的基于身份的匿名加密[J]．計算機應(yīng)用與軟件,2005,32(1):283-285．

[4]黃永峰,張久齡,李星云．一種基于身份分層結(jié)構(gòu)加密算法的廣播加密方案[J]．廈門大學(xué)學(xué)報(自然科學(xué)版),2006,45(3):342-346．

[5]曾夢岐,卿昱．基于身份的加密體制研究綜述[J]．計算機應(yīng)用研究,2010,27(1):27-31．

安徽省級重點項目 面向復(fù)雜網(wǎng)絡(luò)環(huán)境的云存儲服務(wù)安全研究（KJ2016A384）。