云計算環(huán)境下數(shù)據(jù)安全與隱私保護

曾航 唐險峰 羅鮮華

摘 要：現(xiàn)階段，大數(shù)據(jù)已成為信息技術(shù)產(chǎn)業(yè)的發(fā)展熱點所在，在此期間，對用戶隱私數(shù)據(jù)安全性的保障則成為急需解決的關(guān)鍵問題。文章將數(shù)據(jù)隱私和安全的保護具體需求進行了列出，并對解決這一問題的關(guān)鍵技術(shù)進行了總結(jié)，比如說數(shù)據(jù)搜索、數(shù)據(jù)共享以及外包計算的加密等。

關(guān)鍵詞：大數(shù)據(jù)；云計算；數(shù)據(jù)安全；隱私保護

中圖分類號：TP309 文獻標(biāo)志碼：A 文章編號：2095-2945（2018）16-0046-03

Abstract： At this stage， big data has become a hot spot in the development of information technology industry. During this period， the security of user privacy data has become a key problem to be solved urgently. This paper lists the specific requirements of data privacy and security protection， and summarizes the key technologies to solve this problem， such as data search， data sharing and encryption of outsourced computing.

Keywords： big data； cloud computing； data security； privacy protection

1 云計算和大數(shù)據(jù)的安全挑戰(zhàn)

云計算作為現(xiàn)階段信息技術(shù)以及IT應(yīng)用方式進行變革的關(guān)鍵所在，已成了現(xiàn)階段信息技術(shù)產(chǎn)業(yè)發(fā)展以及實現(xiàn)應(yīng)用創(chuàng)新的熱點問題，而其應(yīng)用前景的擴大，也成為其得以快速發(fā)展的有效推動力。就增長速度方面看，云計算要高出IT行業(yè)6倍，市場研究公司IDC提出未來四年間，云計算市場將達到26%的年增長率。云計算的應(yīng)用領(lǐng)域不斷擴大，這會極大的推動工業(yè)化和信息化的發(fā)展速度。大數(shù)據(jù)時代的到來，釋放了云計算的潛力，當(dāng)前國內(nèi)云計算產(chǎn)業(yè)鏈逐步形成，如分布式計算、虛擬化技術(shù)等逐步得到應(yīng)用，云計算開始同群眾生活密切聯(lián)系，如醫(yī)療健康云、電商云以及交通物流云等的推廣應(yīng)用。云計算雖具備廣闊的發(fā)展前景，不過其在推廣期間仍舊存在缺乏運營經(jīng)驗、用戶認可度較低以及不完善的產(chǎn)業(yè)鏈等問題。而其安全性以及隱私問題成為人們最為關(guān)心的話題，也逐漸開始對云計算的發(fā)展造成阻礙。

2 數(shù)據(jù)安全與隱私保護問題

數(shù)據(jù)安全指的就是用戶數(shù)據(jù)被有效保護，而不會被非授權(quán)者讀取，若是數(shù)據(jù)被假冒亦或篡改，能夠?qū)ζ溥M行自動甄別，保障用戶數(shù)據(jù)的真實性、安全性以及可用性等。現(xiàn)代密碼技術(shù)的應(yīng)用，借助加密、簽名以及認證等相關(guān)技術(shù)，來保障數(shù)據(jù)安全，但網(wǎng)絡(luò)安全的所有需求都可借助密碼來進行解決方案的獲取。隱私在數(shù)據(jù)隱私保護方面水平仍舊較低，也并未獲取有效的結(jié)果。在網(wǎng)絡(luò)中的隱私亦是多種多樣的，比如說個人的財產(chǎn)和信息狀況、社交軟件賬號信息、工作單位、住址、郵箱信息、身份證信息、購物和醫(yī)療信息、交友信息、瀏覽記錄等信息。在隱私與某個人身份信息PII相關(guān)時，如手機號、姓名等，其屬于顯性隱私信息。通常隱私呈現(xiàn)出隱蔽形式，其僅僅對用戶的職業(yè)、年齡等模糊信息進行涉及，這些信息無法對某個用戶機芯直接標(biāo)識，不過組合這些信息時，其仍舊有著非常大的隱私風(fēng)險。這就使得人們對用戶屬性標(biāo)簽進行深入泛化模糊，來將地址、年齡等信息放置到更大的范圍當(dāng)中，以此讓其所有屬性對應(yīng)物的數(shù)量足夠多，卻不能對明確的個體產(chǎn)生關(guān)聯(lián)，這便是k-anonymity。

3 安全應(yīng)對之策

云計算能夠有效鏈接大量計算、軟件和存儲資源，以此進行巨大規(guī)模的虛擬共享IT資源池的形成。用戶可將個人數(shù)據(jù)發(fā)送給公共數(shù)據(jù)中心開展管理，而這是需要對其加密的，對于密文數(shù)據(jù)的有效共享以及快速搜索，并在此過程中對用戶隱私進行保障是非常關(guān)鍵的。這要求進行能夠?qū)?shù)據(jù)分割機制進行支持的新型混合云存儲框架的建立，這樣實現(xiàn)對用戶數(shù)據(jù)隱私的保護，并且能夠?qū)υ破脚_的計算依據(jù)存儲進行有效應(yīng)用。

3.1 隱私感知混合云數(shù)據(jù)存取處理

混合云是能實現(xiàn)不同云間，對數(shù)據(jù)和應(yīng)用的遷移，其由私有云和共有云構(gòu)成，隱私性較強，同時計算成本也比較低，這也得到更多公司依據(jù)機構(gòu)的青睞。當(dāng)前混合云已經(jīng)成為對運輸局的隱私和安全進行保障的有效方式，公司或是機構(gòu)能將員工數(shù)據(jù)、財務(wù)數(shù)據(jù)等作為其核心機密，向其私有云進行保留，公有云則負責(zé)存儲其他數(shù)據(jù)外包，一次使得公有云的計算資源被有效利用。

怎樣組合私有云和公有云，來對公有云的計算和存儲資源進行充分應(yīng)用，并且對用戶隱私進行有效保障，則成為最為關(guān)鍵的問題。對此，國外學(xué)者已經(jīng)進行了大量的研究，如Zhang等人將Sedic提出，這是一種以大數(shù)據(jù)為對象的隱私感知混合云計算模式，其基于Hadoop Map Reduce進行了隱私保護模塊的增加，使得隱私感混合云計算得以實現(xiàn)；Chen等人則提出大規(guī)?；旌显朴嬎惴桨?，其能夠?qū)崿F(xiàn)對隱私的保護，主要在進行人類基因序列匹配時使用。雖然針對隱私感知混合云的研究已經(jīng)有了一些成果，不過其應(yīng)用范圍以及隱私保護都是有限的，水平較低，且出現(xiàn)數(shù)據(jù)效用的降低，這要求一套更為全面、使用范圍更大的對數(shù)據(jù)挖掘進行支持的混合云隱私保護方案的提出。

3.2 加密數(shù)據(jù)搜索

加密數(shù)據(jù)之后，使得之前的有序性以及可比較性被破壞，讓數(shù)據(jù)的檢索更為困難，云存儲中是在云服務(wù)器內(nèi)進行全部密文的下載，并保存到本地，接著對密文進行解密，來獲取明文，最終檢索明文數(shù)據(jù)，這種方式的缺陷在于效率較低。而利用關(guān)鍵字來進行搜索的公鑰加密是一種效率更高的檢索方案。

2000年Song等人將加密數(shù)據(jù)檢索實用算法進行提出，其借助對稱加密算大來分別加密關(guān)鍵字和文檔，其服務(wù)器可憑借用戶的關(guān)鍵字來進行相關(guān)文檔的檢索，不過其無法對文檔內(nèi)容的實用新型進行獲取。Katz等人則將內(nèi)積謂詞加密概念進行提出，其中對IPE能夠?qū)崿F(xiàn)對復(fù)雜邏輯表達的可搜索公鑰加密支持進行了關(guān)注，其對任意的能夠進行單調(diào)布爾邏輯表達式查詢進行實現(xiàn)。

以上提到的可搜索公鑰加密方案無法對陷門對于相關(guān)查詢信息不會泄露進行保障，在用戶的查詢信息中存在明暗信息時，則會被限制。用戶進行查詢過程中，同樣要對自己的隱私進行保護，這就要求我們可對隱私進行保護，并且對復(fù)雜邏輯表達進行支持的有效可搜索公鑰加密方案進行構(gòu)造。

3.3 加密數(shù)據(jù)外包計算

當(dāng)前第三代外包平臺技術(shù)發(fā)展迅速，云計算為其典型代表，其能夠讓數(shù)據(jù)擁有者向云服務(wù)進行傳送，并可進行計算以及查詢，以此使得其自身的計算、存儲以及管理等開銷得以有效降低。最近幾年，在外包云數(shù)據(jù)的計算中，應(yīng)用了同態(tài)加密以及屬性加密等技術(shù)。功能加密也被稱作是函數(shù)加密，其屬于是公鑰加密的新擴展形式，可進行靈活數(shù)據(jù)加密法的提供。功能加密期間，所有人都能夠借助公鑰pk來加密明文m，進而會獲得C=Enc（m），持有私鑰的人能夠?qū)⒚荑€sk[f]發(fā)給某函數(shù)f，借助sk[f]能夠在密文C中對f（m）進行計算，不過除f（m）之外，其不可對與m相關(guān)的任何消息進行獲取，以屬性加密、身份加密以及同態(tài)加密為基礎(chǔ)的，都能夠被當(dāng)做是功能加密的具體表現(xiàn)形式。

3.4 數(shù)據(jù)共享

之前的多數(shù)做法都是在服務(wù)器直接存放數(shù)據(jù)，接著借助訪問控制來讓共享功能只限定于具備訪問權(quán)限的用戶。但由于其是通過明文形式對數(shù)據(jù)進行存放，便難以對服務(wù)商的保密性要求進行保障，若是運輸局中心被非法侵入，則無法保障用戶數(shù)據(jù)的安全。同時借助用戶公鑰來加密數(shù)據(jù)，并在運輸局服務(wù)商處存放，若是用戶甲想讓其他用戶乙來對數(shù)據(jù)共享，則其要下載數(shù)據(jù)到本地進行解密，接著通過乙的公鑰進行加密，向乙繼續(xù)發(fā)送，這種方法雖簡單，卻使得運算成本增加。以屬性加密為基礎(chǔ)的Attribute-Based Encryption，簡稱ABE，可用來對數(shù)據(jù)共享問題進行解決，不過其無法對跨域操作進行支持。云計算中的用戶所屬的管理域是不同的，這使ABE無法發(fā)揮效果。而秘聞規(guī)則ABE的應(yīng)用要對共享用戶需要滿足的條件進行提前滿足，靈活性不足。

以上代理重加密中，授權(quán)人無法處于更細致層次中控制代理者。而Weng等人提出的條件代理重加密，在密文對某項條件符合時，代理者才能夠轉(zhuǎn)換這一密文，以此使得代理者轉(zhuǎn)換權(quán)限被有效控制，并實現(xiàn)對云計算的加密數(shù)據(jù)共享問題進行解決。在向云計算服務(wù)商存儲數(shù)據(jù)前，用戶甲需要先對數(shù)據(jù)借助條件代理重加密方法進行加密，在乙共享甲的數(shù)據(jù)時，則甲會有針對某條件的轉(zhuǎn)換鑰生成，并向云計算服務(wù)商傳送，接著服務(wù)商便能夠通過轉(zhuǎn)換鑰來對這一條件進行滿足的制定加密數(shù)據(jù)進行轉(zhuǎn)換，成為針對乙的密文，以此乙便可借助私鑰對數(shù)據(jù)進行訪問。此過程中，即便是云計算服務(wù)商獲取了轉(zhuǎn)換鑰，其也不可能對用戶數(shù)據(jù)進行獲取?，F(xiàn)階段應(yīng)用該方法的方案都對雙線性配對進行了使用，然而這樣成本是非常高的，因此這種方案并未達到理想的效率。而對無需雙線性配對的條件代理重加密方案的構(gòu)建已成為對云計算環(huán)境進行高效應(yīng)用，以及對數(shù)據(jù)共享加密問題解決的關(guān)鍵。當(dāng)前還有匿名的條件代理重加密方案，其僅可通過簡單AND進行表達，但其實現(xiàn)的共享僅限于對較為粗糙粒度數(shù)據(jù)，所以進行自適應(yīng)選擇密文安全的，能夠?qū)崿F(xiàn)細粒度條件控制的匿名條件代理重加密方案的建立是非常重要的，還需進一步研究。

4 應(yīng)用方面的研究

在過去的一段時間里，在面向云計算安全相關(guān)的密碼理論研究以及密碼技術(shù)應(yīng)用在云計算安全實現(xiàn)方面獲得了很大的進步，并獲得了很多較有意義的進展。陳克非提出的基于云儲存服務(wù)的數(shù)據(jù)共享系統(tǒng)模型，依據(jù)這一模型實現(xiàn)了一個原型系統(tǒng)部署之后，使用密文策略屬性加密技術(shù)同時實現(xiàn)了高效的數(shù)據(jù)加密以及細粒度的訪問控制，合并了加密模塊以及訪問控制模塊。在搜索模塊，通過Lucene搭建的輕量級搜索引擎，實現(xiàn)了對于數(shù)據(jù)的快速檢索，同時與訪問控制結(jié)合，保證授權(quán)的內(nèi)容不會出現(xiàn)在檢索結(jié)果中。同時對于系統(tǒng)的響應(yīng)速度、系統(tǒng)資源使用等性能方面的缺陷，提出了利用緩存技術(shù)、預(yù)解密技術(shù)以及使用摘要代替整個源文件對于系統(tǒng)開展進一步的優(yōu)化，提升了整個系統(tǒng)的效率以及資源的利用率，可以滿足于應(yīng)用的實際需求。

5 結(jié)束語

隨著大數(shù)據(jù)時代的來臨，信息的安全與隱私保護成為一項系統(tǒng)工程，不管是在國家層面還是在技術(shù)層面，都是需要負擔(dān)起相關(guān)的責(zé)任。首先需要通過法律規(guī)范限制對于用戶的數(shù)據(jù)過度采集與使用，同時在技術(shù)上需要對于目前的數(shù)據(jù)儲存模型變成真正意義上的分布式儲存。這樣既可以方便對于重要以及敏感信息的加密保護，同時還可以最大限度的將數(shù)據(jù)內(nèi)容以個人的相關(guān)信息實現(xiàn)剝離，進而達到對于隱私保護的目標(biāo)。

參考文獻：

[1]張晏，岑榮偉，沈宇超，等.云計算環(huán)境下密碼資源池系統(tǒng)的應(yīng)用[J].信息安全研究，2016，2（6）：558-561.

[2]劉劍飛.云計算應(yīng)用環(huán)境下的信息安全應(yīng)急系統(tǒng)研究[J].科技創(chuàng)新與應(yīng)用，2017（21）：56-57.

[3]周順淦.云計算環(huán)境中數(shù)據(jù)共享與修復(fù)關(guān)鍵技術(shù)研究[D].武漢大學(xué)，2016.

[4]方乾.云計算環(huán)境下數(shù)據(jù)隱私保護技術(shù)的研究和應(yīng)用[D].湖南大學(xué)，2016.