云存儲(chǔ)安全技術(shù)綜述

傅饒　羅宇　岳淼

摘要：云存儲(chǔ)是未來信息存儲(chǔ)的一種理想方式，它提供方便易用的存儲(chǔ)空間，但數(shù)據(jù)安全問題是云存儲(chǔ)普及最大的障礙，因此云存儲(chǔ)安全一直是云存儲(chǔ)研究的重點(diǎn)。文章介紹了云存儲(chǔ)的安全需求及研究現(xiàn)狀，最后探討了安全云存儲(chǔ)系統(tǒng)未來的研究方向。

關(guān)鍵詞：云存儲(chǔ)；數(shù)據(jù)安全；加密存儲(chǔ)；訪問控制

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）17-3989-02

Survey of Secure Cloud Storage

FU Rao， LUO Yu，YUE Miao

（West China Normal University， Nanchong 637000，China）

Abstract：Cloud storage is a future ideal way of information storage， it provides user-friendly storage space， but the data security has been the biggest obstacle to the popularization of cloud storage， so cloud storage security has always been emphasis in cloud storage. This paper introduces the security demand and the current status of cloud storage， at last we discuss the future research directions of secure cloud storage system.

Key words： cloud storage； data security； encrypted storage； access control

1 概述

云存儲(chǔ)是在云計(jì)算的概念上延伸和發(fā)展出的一個(gè)新的概念，兩者共稱為互聯(lián)網(wǎng)兩大云應(yīng)用。通過一系列云存儲(chǔ)軟件集合，將各種異構(gòu)存儲(chǔ)設(shè)備集合在一起，構(gòu)成海量存儲(chǔ)空間供所有用戶使用。用戶只需向云存儲(chǔ)服務(wù)商申請(qǐng)存儲(chǔ)服務(wù)，而不再需要建立自己的數(shù)據(jù)中心，從而避免了存儲(chǔ)平臺(tái)的重復(fù)建設(shè)。隨著互聯(lián)網(wǎng)數(shù)據(jù)的爆炸式增長，企業(yè)對(duì)存儲(chǔ)空間的需求越來越大，云存儲(chǔ)技術(shù)也日顯重要。

云存儲(chǔ)的一大優(yōu)勢在于存儲(chǔ)即服務(wù)，用戶通過服務(wù)商公有接口將自己的數(shù)據(jù)上傳到云端保存。但如此存儲(chǔ)方式也意味著用戶沒有對(duì)數(shù)據(jù)的絕對(duì)控制權(quán)，在不可信的第三方存儲(chǔ)數(shù)據(jù)并不安全，特別是對(duì)于機(jī)密數(shù)據(jù)，一些數(shù)據(jù)安全隱患也由此產(chǎn)生。云存儲(chǔ)中的安全需求不僅是保證數(shù)據(jù)的安全性，而且還包含了密鑰分發(fā)以及如何在數(shù)據(jù)密文上進(jìn)行高效操作等功能需求

2 云存儲(chǔ)的結(jié)構(gòu)模型和關(guān)鍵技術(shù)

2.1 云存儲(chǔ)的結(jié)構(gòu)模型

雖然云存儲(chǔ)目前還處于發(fā)展期而非成熟期，但行業(yè)內(nèi)對(duì)其結(jié)構(gòu)模型卻有比較一致的認(rèn)識(shí)，如圖1所示。

1） 存儲(chǔ)層是云存儲(chǔ)數(shù)據(jù)存儲(chǔ)的基礎(chǔ)，因?yàn)樵拼鎯?chǔ)的特點(diǎn)，其存儲(chǔ)設(shè)備數(shù)量龐大而且分布廣泛，各存儲(chǔ)設(shè)備間通過不同網(wǎng)絡(luò)連接在一起，并由存儲(chǔ)設(shè)備管理系統(tǒng)實(shí)現(xiàn)邏輯虛擬化管理，使之成為一個(gè)統(tǒng)一對(duì)上的邏輯存儲(chǔ)空間。

2） 管理層是云存儲(chǔ)功能實(shí)現(xiàn)的核心部分，實(shí)現(xiàn)存儲(chǔ)層上分散的存儲(chǔ)設(shè)備間協(xié)同工作，并提供更為有效的數(shù)據(jù)訪問和傳輸性能，同時(shí)，訪問權(quán)限控制、備份和容災(zāi)能力也是該層的重要功能，目前主流的研究就集中在該層，包括分布式文件系統(tǒng)技術(shù)和網(wǎng)格存儲(chǔ)技術(shù)等。

3） 接口層是存儲(chǔ)服務(wù)方根據(jù)不同的業(yè)務(wù)類型，提供相應(yīng)的數(shù)據(jù)接口和服務(wù)，因?yàn)闃I(yè)務(wù)總類繁多和后續(xù)業(yè)務(wù)的開發(fā)，這一層也是較為靈活的一部分。

4） 訪問層是運(yùn)營商提供的標(biāo)準(zhǔn)公用接口，終端用戶以此接入云存儲(chǔ)。

2.2 云存儲(chǔ)關(guān)鍵技術(shù)

在實(shí)現(xiàn)云存儲(chǔ)的四層結(jié)構(gòu)模型中，包含以下關(guān)鍵技術(shù)。

1） 存儲(chǔ)虛擬化技術(shù)。通過該技術(shù)消除存儲(chǔ)層中各存儲(chǔ)實(shí)體的異構(gòu)性并將其映射為一個(gè)統(tǒng)一的存儲(chǔ)資源池，這是云存儲(chǔ)系統(tǒng)的核心技術(shù)。

2） 分布式存儲(chǔ)技術(shù)。分布式存儲(chǔ)包含分布式文件系統(tǒng)和網(wǎng)格存儲(chǔ)等技術(shù)，讓用戶可以通過各種不同的網(wǎng)絡(luò)，使用運(yùn)營商提供的實(shí)際分散于各地的存儲(chǔ)設(shè)備。

3） 數(shù)據(jù)縮減技術(shù)。重復(fù)和冗余數(shù)據(jù)會(huì)降低云存儲(chǔ)系統(tǒng)的使用效率，使用數(shù)據(jù)縮減技術(shù)消除重復(fù)和冗余，提高有效數(shù)據(jù)存儲(chǔ)率和數(shù)據(jù)檢索率。但該技術(shù)尚不成熟，存在縮減不足或縮減過度的情況，且縮減運(yùn)算需消耗較大運(yùn)算資源，實(shí)際應(yīng)用尚存在困難。

4） 數(shù)據(jù)備份技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保存的基本技術(shù)之一，但在分布式存儲(chǔ)為基礎(chǔ)的云存儲(chǔ)系統(tǒng)中，面臨新的技術(shù)挑戰(zhàn)，難點(diǎn)是如何實(shí)現(xiàn)多設(shè)備的同步備份和同步恢復(fù)，同時(shí)，備份方式、備份日志和備份數(shù)據(jù)更新也有更高要求。

此外，還包含數(shù)據(jù)容錯(cuò)技術(shù)、內(nèi)容分發(fā)網(wǎng)絡(luò)技術(shù)和存儲(chǔ)加密技術(shù)等。

3 云存儲(chǔ)中的安全問題

數(shù)據(jù)安全是云存儲(chǔ)系統(tǒng)中最重要的安全需求之一。物聯(lián)網(wǎng)中的應(yīng)用都是數(shù)據(jù)密集型的，傳感設(shè)備、存儲(chǔ)平臺(tái)和用戶之間時(shí)刻都在進(jìn)行數(shù)據(jù)交互，由于存放在云存儲(chǔ)上的數(shù)據(jù)文件以明文形式存在，因此存在一定的數(shù)據(jù)泄漏、數(shù)據(jù)篡改的安全隱患。

1） 數(shù)據(jù)存儲(chǔ)位置問題。因?yàn)榇鎯?chǔ)層設(shè)備的分散性，用戶數(shù)據(jù)也相應(yīng)的會(huì)分散在不同的設(shè)備上，這會(huì)讓用戶對(duì)數(shù)據(jù)安全性有所擔(dān)心，并且若存儲(chǔ)層管理系統(tǒng) 出現(xiàn)問題，可能導(dǎo)致全局?jǐn)?shù)據(jù)的癱瘓。

2） 數(shù)據(jù)加密問題。使用密碼技術(shù)以保證數(shù)據(jù)只能被授權(quán)用戶讀取，這些數(shù)據(jù)包含存放在設(shè)備上的靜態(tài)數(shù)據(jù)和網(wǎng)絡(luò)中傳輸?shù)膭?dòng)態(tài)數(shù)據(jù)，此外，對(duì)已加密信息的檢索能力也是加密過程中的一個(gè)難點(diǎn)。

3） 數(shù)據(jù)保護(hù)問題。利用備份、遠(yuǎn)程復(fù)制、快照等方式對(duì)用戶主數(shù)據(jù)進(jìn)行保護(hù)，用戶操作日志、已刪文件等次數(shù)據(jù)，也需長期保存、定期更新，以保證數(shù)據(jù)出現(xiàn)破壞時(shí)，實(shí)現(xiàn)局部或者全部恢復(fù)。endprint

4） 數(shù)據(jù)遷徙問題。當(dāng)運(yùn)營商升級(jí)設(shè)備，或者用戶更換運(yùn)營商，這時(shí)候涉及到用戶數(shù)據(jù)遷徙問題，如何保證數(shù)據(jù)分離的完整性、整體傳輸?shù)陌踩砸约案郊拥叫略O(shè)備后的功能完整性，都是需要重視的問題。

4 云存儲(chǔ)系統(tǒng)安全機(jī)制

基于以上安全原因，云存儲(chǔ)應(yīng)用快速發(fā)展的同時(shí)，其對(duì)應(yīng)的安全技術(shù)需求也日漸突出。云存儲(chǔ)安全技術(shù)方面的研究，目前主要集中在應(yīng)用安全、管控安全和平臺(tái)安全三個(gè)方面。

應(yīng)用安全機(jī)制通過用戶身份認(rèn)證、訪問方式控制和數(shù)據(jù)加密技術(shù)，解決云存儲(chǔ)平臺(tái)服務(wù)和應(yīng)用的安全問題。用戶身份認(rèn)證是指只有數(shù)據(jù)授權(quán)用戶能夠訪問數(shù)據(jù)明文，其他用戶和云存儲(chǔ)服務(wù)提供商都無法訪問，從理論上杜絕數(shù)據(jù)泄漏可能。訪問控制是在身份認(rèn)證的基礎(chǔ)上，依據(jù)授權(quán)對(duì)特定的資源訪問請(qǐng)求加以控制，并驗(yàn)證用戶是否擁有進(jìn)行所請(qǐng)求操作的權(quán)限，只有授權(quán)用戶才能進(jìn)行相應(yīng)的操作，否則操作請(qǐng)求將被拒絕，訪問控制具體又分為身份鑒別過程和權(quán)限判定過程。數(shù)據(jù)加密是指對(duì)指定的目錄和文件進(jìn)行加密和存放，實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳送過程中的機(jī)密性保護(hù)，數(shù)據(jù)加密技術(shù)是保證用戶私有數(shù)據(jù)在共享存儲(chǔ)平臺(tái)的機(jī)密性的核心技術(shù)。

管控安全機(jī)制通過對(duì)云存儲(chǔ)客戶端密鑰自主性、云存儲(chǔ)節(jié)點(diǎn)服務(wù)器密鑰統(tǒng)一管理、密鑰生命周期的可控性等技術(shù)，解決云存儲(chǔ)平臺(tái)安全管理問題。

平臺(tái)安全機(jī)制通過密碼技術(shù)和系統(tǒng)加固技術(shù)，實(shí)現(xiàn)對(duì)云存儲(chǔ)平臺(tái)系統(tǒng)自身安全的保護(hù)。平臺(tái)密碼技術(shù)提供身份驗(yàn)證及存儲(chǔ)節(jié)點(diǎn)的透明加密，保證系統(tǒng)和應(yīng)用程序的完整性。系統(tǒng)加固技術(shù)采用虛擬主機(jī)保護(hù)、操作系統(tǒng)內(nèi)核加固等技術(shù)，保證服務(wù)器和主機(jī)的安全性。

5 結(jié)束語

云存儲(chǔ)具有部署方便、訪問高效和成本低廉等優(yōu)點(diǎn)，用戶在需要的時(shí)候訪問云存儲(chǔ)即可，省去了存儲(chǔ)設(shè)備維護(hù)的工作量和成本，但同時(shí)也帶了了新的安全隱患。云存儲(chǔ)安全不單單是技術(shù)問題，還涉及到標(biāo)準(zhǔn)化、管理模式、法律法規(guī)等諸方面的問題，需要學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門共同努力才能實(shí)現(xiàn)。

參考文獻(xiàn)：

[1] 王慶波.虛擬化與云計(jì)算[M].北京：電子工業(yè)出版社，2009.

[2] 劉鵬.云計(jì)算[M].北京：電子工業(yè)出版社，2010.

[3] 曹夕.云存儲(chǔ)系統(tǒng)中數(shù)據(jù)完整性驗(yàn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用，2012.

[4] 王鵬.走進(jìn)云計(jì)算[M].北京：人民郵電出版社，2009.endprint

4） 數(shù)據(jù)遷徙問題。當(dāng)運(yùn)營商升級(jí)設(shè)備，或者用戶更換運(yùn)營商，這時(shí)候涉及到用戶數(shù)據(jù)遷徙問題，如何保證數(shù)據(jù)分離的完整性、整體傳輸?shù)陌踩砸约案郊拥叫略O(shè)備后的功能完整性，都是需要重視的問題。

4 云存儲(chǔ)系統(tǒng)安全機(jī)制

基于以上安全原因，云存儲(chǔ)應(yīng)用快速發(fā)展的同時(shí)，其對(duì)應(yīng)的安全技術(shù)需求也日漸突出。云存儲(chǔ)安全技術(shù)方面的研究，目前主要集中在應(yīng)用安全、管控安全和平臺(tái)安全三個(gè)方面。

應(yīng)用安全機(jī)制通過用戶身份認(rèn)證、訪問方式控制和數(shù)據(jù)加密技術(shù)，解決云存儲(chǔ)平臺(tái)服務(wù)和應(yīng)用的安全問題。用戶身份認(rèn)證是指只有數(shù)據(jù)授權(quán)用戶能夠訪問數(shù)據(jù)明文，其他用戶和云存儲(chǔ)服務(wù)提供商都無法訪問，從理論上杜絕數(shù)據(jù)泄漏可能。訪問控制是在身份認(rèn)證的基礎(chǔ)上，依據(jù)授權(quán)對(duì)特定的資源訪問請(qǐng)求加以控制，并驗(yàn)證用戶是否擁有進(jìn)行所請(qǐng)求操作的權(quán)限，只有授權(quán)用戶才能進(jìn)行相應(yīng)的操作，否則操作請(qǐng)求將被拒絕，訪問控制具體又分為身份鑒別過程和權(quán)限判定過程。數(shù)據(jù)加密是指對(duì)指定的目錄和文件進(jìn)行加密和存放，實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳送過程中的機(jī)密性保護(hù)，數(shù)據(jù)加密技術(shù)是保證用戶私有數(shù)據(jù)在共享存儲(chǔ)平臺(tái)的機(jī)密性的核心技術(shù)。

管控安全機(jī)制通過對(duì)云存儲(chǔ)客戶端密鑰自主性、云存儲(chǔ)節(jié)點(diǎn)服務(wù)器密鑰統(tǒng)一管理、密鑰生命周期的可控性等技術(shù)，解決云存儲(chǔ)平臺(tái)安全管理問題。

平臺(tái)安全機(jī)制通過密碼技術(shù)和系統(tǒng)加固技術(shù)，實(shí)現(xiàn)對(duì)云存儲(chǔ)平臺(tái)系統(tǒng)自身安全的保護(hù)。平臺(tái)密碼技術(shù)提供身份驗(yàn)證及存儲(chǔ)節(jié)點(diǎn)的透明加密，保證系統(tǒng)和應(yīng)用程序的完整性。系統(tǒng)加固技術(shù)采用虛擬主機(jī)保護(hù)、操作系統(tǒng)內(nèi)核加固等技術(shù)，保證服務(wù)器和主機(jī)的安全性。

5 結(jié)束語

云存儲(chǔ)具有部署方便、訪問高效和成本低廉等優(yōu)點(diǎn)，用戶在需要的時(shí)候訪問云存儲(chǔ)即可，省去了存儲(chǔ)設(shè)備維護(hù)的工作量和成本，但同時(shí)也帶了了新的安全隱患。云存儲(chǔ)安全不單單是技術(shù)問題，還涉及到標(biāo)準(zhǔn)化、管理模式、法律法規(guī)等諸方面的問題，需要學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門共同努力才能實(shí)現(xiàn)。

參考文獻(xiàn)：

[1] 王慶波.虛擬化與云計(jì)算[M].北京：電子工業(yè)出版社，2009.

[2] 劉鵬.云計(jì)算[M].北京：電子工業(yè)出版社，2010.

[3] 曹夕.云存儲(chǔ)系統(tǒng)中數(shù)據(jù)完整性驗(yàn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用，2012.

[4] 王鵬.走進(jìn)云計(jì)算[M].北京：人民郵電出版社，2009.endprint

4） 數(shù)據(jù)遷徙問題。當(dāng)運(yùn)營商升級(jí)設(shè)備，或者用戶更換運(yùn)營商，這時(shí)候涉及到用戶數(shù)據(jù)遷徙問題，如何保證數(shù)據(jù)分離的完整性、整體傳輸?shù)陌踩砸约案郊拥叫略O(shè)備后的功能完整性，都是需要重視的問題。

4 云存儲(chǔ)系統(tǒng)安全機(jī)制

基于以上安全原因，云存儲(chǔ)應(yīng)用快速發(fā)展的同時(shí)，其對(duì)應(yīng)的安全技術(shù)需求也日漸突出。云存儲(chǔ)安全技術(shù)方面的研究，目前主要集中在應(yīng)用安全、管控安全和平臺(tái)安全三個(gè)方面。

應(yīng)用安全機(jī)制通過用戶身份認(rèn)證、訪問方式控制和數(shù)據(jù)加密技術(shù)，解決云存儲(chǔ)平臺(tái)服務(wù)和應(yīng)用的安全問題。用戶身份認(rèn)證是指只有數(shù)據(jù)授權(quán)用戶能夠訪問數(shù)據(jù)明文，其他用戶和云存儲(chǔ)服務(wù)提供商都無法訪問，從理論上杜絕數(shù)據(jù)泄漏可能。訪問控制是在身份認(rèn)證的基礎(chǔ)上，依據(jù)授權(quán)對(duì)特定的資源訪問請(qǐng)求加以控制，并驗(yàn)證用戶是否擁有進(jìn)行所請(qǐng)求操作的權(quán)限，只有授權(quán)用戶才能進(jìn)行相應(yīng)的操作，否則操作請(qǐng)求將被拒絕，訪問控制具體又分為身份鑒別過程和權(quán)限判定過程。數(shù)據(jù)加密是指對(duì)指定的目錄和文件進(jìn)行加密和存放，實(shí)現(xiàn)敏感數(shù)據(jù)存儲(chǔ)和傳送過程中的機(jī)密性保護(hù)，數(shù)據(jù)加密技術(shù)是保證用戶私有數(shù)據(jù)在共享存儲(chǔ)平臺(tái)的機(jī)密性的核心技術(shù)。

管控安全機(jī)制通過對(duì)云存儲(chǔ)客戶端密鑰自主性、云存儲(chǔ)節(jié)點(diǎn)服務(wù)器密鑰統(tǒng)一管理、密鑰生命周期的可控性等技術(shù)，解決云存儲(chǔ)平臺(tái)安全管理問題。

平臺(tái)安全機(jī)制通過密碼技術(shù)和系統(tǒng)加固技術(shù)，實(shí)現(xiàn)對(duì)云存儲(chǔ)平臺(tái)系統(tǒng)自身安全的保護(hù)。平臺(tái)密碼技術(shù)提供身份驗(yàn)證及存儲(chǔ)節(jié)點(diǎn)的透明加密，保證系統(tǒng)和應(yīng)用程序的完整性。系統(tǒng)加固技術(shù)采用虛擬主機(jī)保護(hù)、操作系統(tǒng)內(nèi)核加固等技術(shù)，保證服務(wù)器和主機(jī)的安全性。

5 結(jié)束語

云存儲(chǔ)具有部署方便、訪問高效和成本低廉等優(yōu)點(diǎn)，用戶在需要的時(shí)候訪問云存儲(chǔ)即可，省去了存儲(chǔ)設(shè)備維護(hù)的工作量和成本，但同時(shí)也帶了了新的安全隱患。云存儲(chǔ)安全不單單是技術(shù)問題，還涉及到標(biāo)準(zhǔn)化、管理模式、法律法規(guī)等諸方面的問題，需要學(xué)術(shù)界、產(chǎn)業(yè)界以及政府相關(guān)部門共同努力才能實(shí)現(xiàn)。

參考文獻(xiàn)：

[1] 王慶波.虛擬化與云計(jì)算[M].北京：電子工業(yè)出版社，2009.

[2] 劉鵬.云計(jì)算[M].北京：電子工業(yè)出版社，2010.

[3] 曹夕.云存儲(chǔ)系統(tǒng)中數(shù)據(jù)完整性驗(yàn)證協(xié)議[J].計(jì)算機(jī)應(yīng)用，2012.

[4] 王鵬.走進(jìn)云計(jì)算[M].北京：人民郵電出版社，2009.endprint