云端數(shù)據(jù)存儲(chǔ)安全技術(shù)分析

王亞楠

【摘要】隨著網(wǎng)絡(luò)的普及和互聯(lián)網(wǎng)技術(shù)的深入發(fā)展，大數(shù)據(jù)時(shí)代已經(jīng)到來(lái)，傳統(tǒng)的數(shù)據(jù)存儲(chǔ)方式靈活度不夠、空間不足、在管理和數(shù)據(jù)處理方面也帶來(lái)了種種難題，無(wú)法滿足人們的工作需求。云端數(shù)據(jù)存儲(chǔ)開啟了數(shù)據(jù)存儲(chǔ)的新形態(tài)，但是在人們歡慶其帶來(lái)的種種便利之余，數(shù)據(jù)泄露的事故也層出不窮，這彰顯了現(xiàn)行云存儲(chǔ)技術(shù)的短板，也就使得很多企業(yè)對(duì)云存儲(chǔ)望而生畏，在一定程度上增加了云端數(shù)據(jù)存儲(chǔ)的推廣難度，阻礙其發(fā)展。

因此清楚了解各種數(shù)據(jù)的安全需求，透徹的分析現(xiàn)行云存儲(chǔ)方面的關(guān)鍵技術(shù)，了解其不足，才能明確未來(lái)技術(shù)的攻克方向，以最快速度走出云端數(shù)據(jù)存儲(chǔ)的“魔障”。

【關(guān)鍵詞】云存儲(chǔ) 數(shù)據(jù)加密 密文訪問(wèn)控制 完整性審計(jì) 重復(fù)刪除

一、云存儲(chǔ)發(fā)展現(xiàn)狀

隨著網(wǎng)絡(luò)的普及和技術(shù)的發(fā)展，我們已經(jīng)進(jìn)入海量數(shù)據(jù)時(shí)代，云計(jì)算應(yīng)運(yùn)而生，云存儲(chǔ)是在云計(jì)算的基礎(chǔ)上發(fā)展而來(lái)的新興存儲(chǔ)形態(tài)，因其容量大、可以不受時(shí)間和地域的限制對(duì)資料進(jìn)行上傳下載，而且還可以按需購(gòu)買等優(yōu)點(diǎn)受到許多企業(yè)、組織或是個(gè)人的青睞。很多公司都租用了用于企業(yè)內(nèi)部小范圍的私有企業(yè)云，便于數(shù)據(jù)分析處理，節(jié)省數(shù)據(jù)管理方面的開支，降低了企業(yè)成本，而像華為、OPPO、vivo等很多做移動(dòng)終端的大型企業(yè)也都向用戶提供云服務(wù)，當(dāng)然還有很多專門做云存儲(chǔ)空間租用的企業(yè)，像我們經(jīng)常用到的百度云、SaaS、360云盤等。據(jù)相關(guān)調(diào)查數(shù)據(jù)顯示，全球公有云市場(chǎng)規(guī)模正逐年遞增，云端數(shù)據(jù)存儲(chǔ)正在得到越來(lái)越多的企業(yè)關(guān)注，同時(shí)吸引了大批資金用于開發(fā)與研究新的數(shù)據(jù)存儲(chǔ)安全技術(shù)。

雖然云存儲(chǔ)解決了很多難題，但是此起彼伏的數(shù)據(jù)存儲(chǔ)安全事故也不斷挑弄著我們的神經(jīng)，例如2010年6月，蘋果公司發(fā)生Ipad用戶隱私數(shù)據(jù)泄露，2015年4月多省社保信息遭泄露，數(shù)千萬(wàn)個(gè)人隱私泄密等等，它讓我們清楚的認(rèn)識(shí)到在云端數(shù)據(jù)存儲(chǔ)這種模式下，數(shù)據(jù)資料被上傳至虛擬空間，使數(shù)據(jù)脫離了我們的實(shí)際操控范圍，在數(shù)據(jù)的上傳下載的過(guò)程中極有可能會(huì)被惡意改寫或是盜取等引起數(shù)據(jù)安全事故，帶來(lái)無(wú)法挽回的損失，這引起了用戶對(duì)云存儲(chǔ)提供商可靠性以及數(shù)據(jù)安全性的擔(dān)憂[1]?；诖?，我們大多數(shù)是采用數(shù)據(jù)加密的方式將數(shù)據(jù)放置云端，但是這樣一來(lái)又使很多功能如數(shù)據(jù)檢索、運(yùn)算等難以實(shí)現(xiàn)，帶來(lái)很多技術(shù)難題。

二、云存儲(chǔ)關(guān)鍵技術(shù)

為了保證云端數(shù)據(jù)的完整性、機(jī)密性與可用性，打消用戶的使用疑慮，促云計(jì)算快速發(fā)展，國(guó)內(nèi)外企業(yè)和學(xué)者做了大量研究，其中一些技術(shù)已經(jīng)比較成熟或是提出了相應(yīng)的技術(shù)模型，較好的解決了目前的一些問(wèn)題。

（一）數(shù)據(jù)加密技術(shù)

加密無(wú)疑是保護(hù)云中存儲(chǔ)的數(shù)據(jù)的安全性和隱私性的重要方法之一[2]，目前比較好的加密技術(shù)就是收斂加密與基于屬性的數(shù)據(jù)加密技術(shù)。

收斂加密即相同的數(shù)據(jù)資料經(jīng)過(guò)加密后生成相同的密文，有利于重復(fù)數(shù)據(jù)的冗余刪除，提升空間利用率；另一方面由于密鑰的生成方式與明文的散列值密切相關(guān)，這樣一來(lái)可以利用生成的密鑰來(lái)檢驗(yàn)明文的完整性；用戶訪問(wèn)權(quán)限被撤銷后，不是馬上重新加密數(shù)據(jù)，而是采用特定事件觸發(fā)加密，待數(shù)據(jù)修改時(shí)同時(shí)生成新的密鑰，減少了密鑰的生成、分發(fā)與管理。

基于屬性的加密機(jī)制（attribute-based encryption，ABE）是一種控制接受者對(duì)加密數(shù)據(jù)的解密能力的密碼機(jī)制，只要用戶擁有的屬性滿足一定的介入策略時(shí)就可以解密信息[3]。根據(jù)屬性加密，不需了解屬性所屬方，這樣就不會(huì)侵犯用戶的隱私；只有私鑰具備解密數(shù)據(jù)屬性時(shí)才可以解密明文，并且在這個(gè)過(guò)程中，不同的用戶之間私鑰不可以聯(lián)合，保證的數(shù)據(jù)的安全性；還可以實(shí)現(xiàn)靈活的訪問(wèn)控制。

（二）數(shù)據(jù)銷毀

云計(jì)算提供商通過(guò)計(jì)算資源租用和存儲(chǔ)資源租用的方式對(duì)外提供服務(wù)，那么對(duì)同一租戶的相同數(shù)據(jù)進(jìn)行重復(fù)數(shù)據(jù)刪除，在結(jié)束租用期限時(shí)，清空該租戶的所有信息，釋放空間，使利益最大化，用戶可以基于自身需求，及時(shí)清除失去存儲(chǔ)意義的數(shù)據(jù)等一系列數(shù)據(jù)銷毀技術(shù)是保護(hù)數(shù)據(jù)安全與隱私的另一重要方法。

1、基于密文的重復(fù)數(shù)據(jù)刪除技術(shù)

由于同一明文經(jīng)過(guò)不同的密鑰加密后會(huì)產(chǎn)生不同的密文，因此系統(tǒng)對(duì)這些重復(fù)數(shù)據(jù)無(wú)法有效識(shí)別和刪除，所以目前只能依賴特殊的加密方法即收斂加密，使相同的明文生成相同的密文，這樣便可以進(jìn)行重復(fù)數(shù)據(jù)刪除操作，但是這種加密方法針對(duì)性強(qiáng)，無(wú)法適應(yīng)海量數(shù)據(jù)的加密趨勢(shì)，因此，支持刪冗的一般性加密方法是一大技術(shù)挑戰(zhàn)。

2、數(shù)據(jù)的可信刪除

存儲(chǔ)在云端的數(shù)據(jù)都會(huì)經(jīng)過(guò)加密，因此，對(duì)此部分?jǐn)?shù)據(jù)的刪除只需要所有人都無(wú)法解密明文即可，這樣就轉(zhuǎn)換成為密鑰的刪除技術(shù)。2007年P(guān)erlman等人在文獻(xiàn)中首次提出了可信刪除（assured delete）的機(jī)制[4]，即通過(guò)建立第三方可信機(jī)制，將時(shí)間或是用戶的某項(xiàng)特定操作作為刪除的觸發(fā)條件，使其可以在規(guī)定的時(shí)間后將密鑰刪除，這與張逢喆等人提出的基于可信計(jì)算數(shù)據(jù)銷毀機(jī)制本質(zhì)是一樣的。

三、技術(shù)挑戰(zhàn)與重點(diǎn)突破方向

（一）公開審計(jì)數(shù)據(jù)安全難以保障

數(shù)據(jù)的公開審計(jì)需要提供相關(guān)內(nèi)容進(jìn)行檢測(cè)，這期間重要數(shù)據(jù)，隱私內(nèi)容就需要公開或是提供給第三方，數(shù)據(jù)安全控制難以保障。另一方面如何根據(jù)云端數(shù)據(jù)的時(shí)時(shí)更新，進(jìn)行動(dòng)態(tài)審計(jì)，也是技術(shù)的攻克難點(diǎn)。

（二）數(shù)據(jù)殘留問(wèn)題難以解決

如何實(shí)現(xiàn)數(shù)據(jù)的有效刪除，是空間釋放中面臨的安全問(wèn)題，無(wú)論是將數(shù)據(jù)放進(jìn)垃圾箱還是交給專門的第三方處理，都可能會(huì)導(dǎo)致信息泄露；另外租賃到期必然要進(jìn)行空間回收，數(shù)據(jù)是否有效刪除直接帶來(lái)了上一位與下一位租戶數(shù)據(jù)之間能否有效隔離開來(lái)以及數(shù)據(jù)隱私方面的問(wèn)題。

（三）針對(duì)海量數(shù)據(jù)的加解密技術(shù)

目前的數(shù)據(jù)加解密技術(shù)不具有一般性特點(diǎn)，復(fù)雜度較高，針對(duì)海量數(shù)據(jù)的加解密必然會(huì)帶來(lái)用時(shí)長(zhǎng)、效率低、查詢處理等多方面的問(wèn)題。

四、總結(jié)

云計(jì)算異軍突起，云存儲(chǔ)作為云計(jì)算的技術(shù)支撐，其地位必然不必多說(shuō)，從云端數(shù)據(jù)安全存儲(chǔ)的總體發(fā)展情況來(lái)看，一些加解密技術(shù)已日漸成熟，但是還缺乏一般性；當(dāng)前一些技術(shù)領(lǐng)域方面的研究如加解密、數(shù)據(jù)銷毀、完整性審計(jì)等大多還是分開展開研究的，缺乏聯(lián)合性；一些技術(shù)研究長(zhǎng)期停留在實(shí)驗(yàn)和模型階段，缺乏有效的實(shí)踐。從發(fā)展方向來(lái)看，基于云端數(shù)據(jù)存儲(chǔ)的自由特性，需要我們?cè)诒ＷC數(shù)據(jù)安全的前提下，盡可能的提高數(shù)據(jù)加解密的效率，降低時(shí)間復(fù)雜度，使密文搜索、空間回收、數(shù)據(jù)處理等操作成為可能，當(dāng)然這需要政府、社會(huì)各界以及我們每個(gè)人的共同努力，我相信在不久的將來(lái)，我們一定可以將云端數(shù)據(jù)存儲(chǔ)的優(yōu)勢(shì)更好的發(fā)揮出來(lái)，給大家?guī)?lái)更好的用戶體驗(yàn)。

[]張浩，趙磊，馮博，余榮威，劉維杰.CACDP：適用于云存儲(chǔ)動(dòng)態(tài)策略的密文訪問(wèn)控制方法[J].計(jì)算機(jī)研究與發(fā)展，2014，51 （7）： 1424-1435

[]馮朝勝. 云數(shù)據(jù)安全存儲(chǔ)技術(shù)[J]. 計(jì)算機(jī)學(xué)報(bào)，2015，38（1）：151-163.

[]李暉，孫文海，李鳳華，王博洋.公共云存儲(chǔ)服務(wù)數(shù)據(jù)安全及隱私保護(hù)技術(shù)綜述[J]. 計(jì)算機(jī)研究與發(fā)展，2014，51 （7）： 1397-1409

[]傅穎勛， 羅圣美， 舒繼武. 安全云存儲(chǔ)系統(tǒng)與關(guān)鍵技術(shù)綜述[J]. 計(jì)算機(jī)研究與發(fā)展，2013，50 （1）： 136-145