云計(jì)算中跨域安全認(rèn)證的關(guān)鍵技術(shù)研究

梁 爽12

(1.沈陽(yáng)工學(xué)院 教學(xué)管理部，遼寧 撫順 113122；2.沈陽(yáng)工學(xué)院 遼寧省數(shù)控機(jī)床信息物理融合與智能制造重點(diǎn)實(shí)驗(yàn)室，遼寧 撫順 113122)

0 引言

云計(jì)算因其強(qiáng)大的計(jì)算能力和能為各類用戶提供海量數(shù)據(jù)的存儲(chǔ)能力而存在，其最大的魅力就是可以確保不同位置的用戶可以訪問(wèn)任意服務(wù)器的資源[1]。一方面，不同信任域的用戶需要互相訪問(wèn)其他信任域的資源，另一方面，來(lái)自同一信任域的內(nèi)部威脅也造成了對(duì)相關(guān)數(shù)據(jù)的濫用[2-3]。因此，不僅要實(shí)現(xiàn)用戶在不降低訪問(wèn)效率的前提下可以簡(jiǎn)單的跨域認(rèn)證，而且要有效阻止數(shù)據(jù)的內(nèi)部攻擊[4]。

1 相關(guān)工作

1.1 公鑰基礎(chǔ)設(shè)施

一個(gè)公鑰基礎(chǔ)設(shè)施基本系統(tǒng)的組成及結(jié)構(gòu)如圖1所示。

圖1 PKI體系基本構(gòu)成

一個(gè)簡(jiǎn)單的PKI系統(tǒng)包括認(rèn)證中心(Certificate，CA Authority)、注冊(cè)機(jī)構(gòu)(register authority，RA)和證書(shū)發(fā)布系統(tǒng)。認(rèn)證中心CA是公鑰基礎(chǔ)設(shè)施(Public Key Infratructure)信任的基礎(chǔ)，他管理公鑰的整個(gè)生命周期，包括證書(shū)的發(fā)放、規(guī)定證書(shū)的有效期和確定證書(shū)廢除列表等[5]。注冊(cè)機(jī)構(gòu)RA是用戶和CA之間的接口，他接受用戶注冊(cè)申請(qǐng)，審查用戶資格，并決定是否同意CA為其簽發(fā)證書(shū)[5]，但其并不為用戶簽發(fā)證書(shū)，證書(shū)簽發(fā)的工作由CA來(lái)完成。證書(shū)發(fā)布系統(tǒng)主要通過(guò)目錄服務(wù)或用戶自己負(fù)責(zé)證書(shū)的發(fā)放，用戶可以通過(guò)證書(shū)發(fā)布系統(tǒng)下載、查詢其數(shù)字證書(shū)[6-7]。

本文中的CA中心還負(fù)責(zé)本信任域的PKI策略，授權(quán)代理服務(wù)器實(shí)現(xiàn)與其他信任域的認(rèn)證中心的交叉認(rèn)證。

1.2 跨域身份認(rèn)證

隨著云計(jì)算技術(shù)的不斷成熟，云資源環(huán)境的不斷優(yōu)化，跨域身份認(rèn)證的研究正逐漸成為專家學(xué)者研究的重點(diǎn)[8-9]。

目前，用戶名+口令的認(rèn)證方式被大部分云計(jì)算平臺(tái)采用，不過(guò)，這種方式安全度低，容易被監(jiān)聽(tīng)和截取，而且用戶往往會(huì)根據(jù)自己的習(xí)慣，多平臺(tái)同賬號(hào)+密碼的情況，用戶身份信息非常容易泄露，給用戶造成不可挽回的損失。

PKI因其具有網(wǎng)絡(luò)安全基礎(chǔ)好，開(kāi)放性強(qiáng)，身份認(rèn)證保密性好，能保證身份的唯一性，能兼顧網(wǎng)絡(luò)參與者各個(gè)主體的公共安全利益等優(yōu)勢(shì)，已經(jīng)成為目前保障網(wǎng)絡(luò)安全的最佳體系，并且廣泛應(yīng)用于電子商務(wù)、網(wǎng)上銀行等需要較高安全級(jí)別的領(lǐng)域?，F(xiàn)有的基于PKI的跨域身份認(rèn)證主要存在擴(kuò)展性差、靈活度低、互操作弱、證書(shū)驗(yàn)證繁雜等缺陷，若直接應(yīng)用于云計(jì)算恐難勝任。

本文提出的跨域安全認(rèn)證技術(shù)設(shè)置簽名代理服務(wù)器，并優(yōu)化認(rèn)證流程，采用“密鑰+口令”的雙因子認(rèn)證形式，有效解決了現(xiàn)有的基于PKI的身份認(rèn)證技術(shù)認(rèn)證路徑復(fù)雜、證書(shū)效率低等問(wèn)題，可以實(shí)現(xiàn)用戶和云服務(wù)提供商之間的雙向身份認(rèn)證，從而提高了跨域身份認(rèn)證系統(tǒng)的認(rèn)證過(guò)程的安全性；簡(jiǎn)化了信任路徑復(fù)雜程度，減少了路徑長(zhǎng)度。

1.3 安全假設(shè)

本文的安全假設(shè)如下：本模型中的數(shù)據(jù)使用用戶的可便攜設(shè)備是可信的；存儲(chǔ)服務(wù)器服務(wù)器是不可信的，且訪問(wèn)本存儲(chǔ)服務(wù)器的用戶數(shù)據(jù)可能會(huì)通過(guò)存儲(chǔ)服務(wù)器被竊取；認(rèn)證服務(wù)器和代理服務(wù)器是可信的，且認(rèn)證中心和代理者之間的通信信道是安全的；數(shù)據(jù)傳輸信道有可能被攻擊而泄漏數(shù)據(jù)。

2 跨域安全存儲(chǔ)模型

2.1 框架設(shè)計(jì)

本文通過(guò)在云計(jì)算服務(wù)平臺(tái)中設(shè)置簽名代理服務(wù)器，將PKI技術(shù)與簽名代理技術(shù)有效結(jié)合，提出了一種跨域安全存儲(chǔ)模型(cross domain security storage model，CDSSM)。當(dāng)有一個(gè)其他域用戶想要訪問(wèn)本地域資源時(shí)，本地服務(wù)器與證書(shū)代理服務(wù)器聯(lián)系，把異域的數(shù)字證書(shū)頒發(fā)給使用者，轉(zhuǎn)換成本地可信任的臨時(shí)新證書(shū)，用以確認(rèn)用戶身份是否合法，從而可以實(shí)現(xiàn)不同信任域間用戶的互訪。每個(gè)擁有合法數(shù)字證書(shū)的域間云用戶和證書(shū)代理服務(wù)器，都可以實(shí)現(xiàn)域間云數(shù)據(jù)資源的訪問(wèn)，大大提高了驗(yàn)證效率。云數(shù)據(jù)資源在存儲(chǔ)時(shí)可以采用私鑰加密，待用戶申請(qǐng)?jiān)L問(wèn)資源時(shí)，提供公鑰解密，從而可以有效阻止域內(nèi)用戶攻擊，提高云平臺(tái)數(shù)據(jù)的安全性。為了更好的描述本模型設(shè)計(jì)，給出如下術(shù)語(yǔ)的定義。

定義1 用戶User：利用任何可信的安全的便攜式設(shè)備訪問(wèn)云服務(wù)資源，并能夠與云服務(wù)資源提供者完成域內(nèi)和跨域的身份認(rèn)證[10]。便攜式設(shè)備能確保安全且認(rèn)證正確，可以通過(guò)數(shù)字證書(shū)的合法性來(lái)鑒別其身份是否真實(shí)，并能夠利用證書(shū)獲取對(duì)方的正確公鑰[10]。

定義2 云數(shù)據(jù)存儲(chǔ)服務(wù)器Server：為用戶提供各類云存儲(chǔ)服務(wù)，并能確保安全地進(jìn)行證書(shū)、密鑰等敏感數(shù)據(jù)的存儲(chǔ)、加密和數(shù)字簽名。

定義3 認(rèn)證中心CA：負(fù)責(zé)其本信任域內(nèi)數(shù)字證書(shū)的申請(qǐng)、審批、頒發(fā)、撤銷、查詢、管理等[10]。

定義4 證書(shū)代理服務(wù)器Agent： 擁有域間數(shù)字簽名的密鑰，能夠?qū)⒁粋€(gè)信任域內(nèi)的合法數(shù)字證書(shū)轉(zhuǎn)換為轉(zhuǎn)換為另一個(gè)信任域內(nèi)的臨時(shí)合法數(shù)字證書(shū)，建立域間信任關(guān)系，協(xié)助實(shí)現(xiàn)不同信任域間的用戶的認(rèn)證工作[10]。

跨域安全存儲(chǔ)模型CDSSM模型的基本框架如圖2所示。

圖2 CDSSM模型框架

為后續(xù)描述方便，本文以兩個(gè)信任域一個(gè)中間代理服務(wù)器為例，分析其安全認(rèn)證和存儲(chǔ)訪問(wèn)過(guò)程。假設(shè)信任域1和信任域2分別為本模型的2個(gè)信任域，每個(gè)信任域中均存在用戶集{U1,U2, …,Un},每個(gè)信任域中也存在多臺(tái)存儲(chǔ)服務(wù)器{Server1，Server2，…, Servern}。CA1是信任域1的認(rèn)證中心，CA2是信任域2的認(rèn)證中心。下文描述的過(guò)程選擇信任域1中的用戶U1和信任域2中的存儲(chǔ)服務(wù)器Server2作為典型代表，以U1訪問(wèn)Server2的跨域資源為例，說(shuō)明如何通過(guò)雙方持有的數(shù)字證書(shū)完成身份認(rèn)證以及數(shù)據(jù)存取。

2.2 模型工作方式

本文提出的安全存儲(chǔ)模型CDSSM在形式上可分為兩個(gè)部分，即系統(tǒng)存儲(chǔ)管理模塊和系統(tǒng)安全認(rèn)證管理模塊。系統(tǒng)存儲(chǔ)管理模塊包括(Server1, Server2, …, Servern)，系統(tǒng)安全認(rèn)證管理模塊包括(CA1，CA2，……，Cam, Agent),多用戶集合為U={u1,u2,…,up}，數(shù)據(jù)文件集合為F={f1,f2,…,fq}。CDSSM的工作方式按照存儲(chǔ)管理和安全認(rèn)證管理的工作方式描述如下。

2.1.1 安全認(rèn)證管理工作方式

1)CDSSM認(rèn)證的前期準(zhǔn)備工作

用ID1表示信任域1中用戶U1的真實(shí)身份標(biāo)識(shí)，用TID1表示信任域1中用戶U1的臨時(shí)身份標(biāo)識(shí)。用ID2表示信任域2中資源服務(wù)器的真實(shí)身份標(biāo)識(shí)，用TID2表示信任域2中資源服務(wù)器的臨時(shí)身份標(biāo)識(shí)。用CA1表示信任域1中的認(rèn)證中心，用CA2表示信任域2中的認(rèn)證中心。IDA表示代理者Agent的身份標(biāo)識(shí)。

CDSSM系統(tǒng)建立之初，代理者Agent需要根據(jù)指定的簽名算法，生成認(rèn)證中心CA1和CA2之間的重簽名密鑰。

2)證書(shū)的申請(qǐng)

用戶U1向其所在的認(rèn)證中心CA申請(qǐng)認(rèn)證證書(shū)的過(guò)程如圖3所示。

圖3 CDSSM模型的證書(shū)申請(qǐng)

①用戶U1利用真實(shí)身份ID1計(jì)算臨時(shí)身份TID1，向本信任域內(nèi)認(rèn)證中心CA1發(fā)送包含CA1根證書(shū)、時(shí)間戳和其公鑰信息的證書(shū)申請(qǐng)信息給CA1。

②CA1用私鑰解密U1發(fā)送的申請(qǐng)信息，首先根據(jù)ID1等相關(guān)信息驗(yàn)證U1是否為本信任域內(nèi)的合法用戶[10]，然后在LDAP中的認(rèn)證列表中查詢?cè)揑D是否注冊(cè)，并通過(guò)臨時(shí)身份驗(yàn)證其時(shí)間戳的有效性。如果上述驗(yàn)證過(guò)程未通過(guò)，CA1返回用戶U1申請(qǐng)失敗的消息；否則驗(yàn)證通過(guò)，CA1利用ID1等身份信息生成實(shí)名證書(shū)Cert1，并同時(shí)返回給用戶U1和發(fā)送到輕量目錄訪問(wèn)協(xié)議(Lightweight Directory Access Protocol，LDAP)加入到認(rèn)證列表中，CA1利用包含時(shí)間戳信息的TID1生成匿名證書(shū)Cert1’發(fā)送給U1，為了保證該匿名證書(shū)有效性，可以設(shè)置該匿名證書(shū)Cert1’有效期比較短。

③用戶U1通過(guò)私鑰解密收到的信息，驗(yàn)證Cert1和Cert1’的合法性，若合法，則接受證書(shū)并存儲(chǔ)在用戶端，否則，拒絕接受該證書(shū)。

資源服務(wù)器Server2向所屬的認(rèn)證中心CA申請(qǐng)認(rèn)證證書(shū)的過(guò)程與上述過(guò)程類似，可獲得CA2簽發(fā)的實(shí)名證書(shū)Cert2和匿名證書(shū)Cert2’。

3)首次跨域認(rèn)證

位于信任域1中的用戶U1試圖訪問(wèn)位于信任域2中的資源服務(wù)器Server2中文件fn,其首次訪問(wèn)身份認(rèn)證過(guò)程如圖4所示。

圖4 CDSSM模型的首次跨域認(rèn)證

①用戶U1 發(fā)送包含其臨時(shí)身份、密碼等信息的認(rèn)證請(qǐng)求信息和身份證書(shū)Cert1經(jīng)加密后發(fā)送給資源服務(wù)器Server2。

②Server2收到U1的認(rèn)證請(qǐng)求后，首先在認(rèn)證控制列表(certificate control list，CCL)中查詢是否存在TID1的相關(guān)信息，如果存在，說(shuō)明U1合法，直接進(jìn)入步驟4)后續(xù)跨域認(rèn)證；若不存在，開(kāi)始下列驗(yàn)證過(guò)程。

步驟一，檢查證書(shū)Cert1的時(shí)間有效性，若失效，則終止認(rèn)證過(guò)程；否則轉(zhuǎn)入步驟二。

步驟二，檢查證書(shū)的頒發(fā)者是否為本信任域的證書(shū)中心CA2，如果是，說(shuō)明用戶和服務(wù)資源提供者屬于同一信任域，則直接提取CA2的公鑰對(duì)證書(shū)Cert1進(jìn)行合法驗(yàn)證；否則轉(zhuǎn)入步驟三。

步驟三，發(fā)送證書(shū)轉(zhuǎn)換信息給代理者Agent。代理者Agent驗(yàn)證時(shí)間的有效性，用CA1的PK驗(yàn)證證書(shū)是否合法，不合法則終止轉(zhuǎn)換過(guò)程；否則，用認(rèn)證中心CA1與CA2間的重簽名密鑰將CA1頒發(fā)的證書(shū)Cert1轉(zhuǎn)換為CA2簽發(fā)的臨時(shí)證書(shū)Cert2#。為了區(qū)分臨時(shí)證書(shū)Cert2#是由Agent簽發(fā)而非CA2，可以通過(guò)設(shè)置Cert2#的有效期來(lái)實(shí)現(xiàn)，也可以在Cert2#中增加Agent的身份標(biāo)識(shí)IDA。代理者Agent不能獨(dú)立生成新的合法證書(shū)，也不能對(duì)已有用戶證書(shū)進(jìn)行修改，只能轉(zhuǎn)換已有的合法證書(shū)。代理者Agent發(fā)送證書(shū)轉(zhuǎn)換響應(yīng)信息給Server2。

步驟四，Server2提取CA2的公鑰驗(yàn)證臨時(shí)轉(zhuǎn)換證書(shū)Cert2#中簽名的正確性，若正確，Server2接受用戶U1的身份，完成對(duì)U1的匿名身份認(rèn)證，并將Cert1添加到認(rèn)證列表中保存，同時(shí)發(fā)送認(rèn)證響應(yīng)信息給U1。

③用戶U1根據(jù)收到的認(rèn)證響應(yīng)信息，驗(yàn)證Server2身份的真實(shí)性，以確認(rèn)Server2是否是其想要訪問(wèn)的資源服務(wù)器；U1完成身份認(rèn)證后，也會(huì)將Server2的相關(guān)身份信息和證書(shū)保存到U1的認(rèn)證列表中。

4)后續(xù)跨域認(rèn)證

當(dāng)用戶與資源服務(wù)器通過(guò)首次認(rèn)證后，后續(xù)的認(rèn)證過(guò)程將會(huì)大大簡(jiǎn)化，其基本工作方式如圖5所示。

圖5 CDSSM模型的后續(xù)跨域認(rèn)證

①用戶U1發(fā)送包含其身份信息、Server2公鑰、密碼和時(shí)間戳等相關(guān)信息的認(rèn)證請(qǐng)求信息給資源服務(wù)器Server2。

②資源服務(wù)器Server2收到認(rèn)證請(qǐng)求信息后，按照如下步驟進(jìn)行身份認(rèn)證。

步驟一，根據(jù)TID1在認(rèn)證列表中查找該用戶，并判斷其密碼是否正確，若不正確，則返回密碼錯(cuò)誤信息給用戶U1，否則，轉(zhuǎn)入步驟二。

步驟二，從U1的證書(shū)Cert1中提取公鑰，驗(yàn)證其身份的正確性，若驗(yàn)證不能通過(guò)，則跨域認(rèn)證失敗，否則，轉(zhuǎn)入步驟三。

步驟三，驗(yàn)證存儲(chǔ)的臨時(shí)證書(shū)的有效性，若超出證書(shū)的有效時(shí)間，則認(rèn)證失敗，否則，認(rèn)證通過(guò)。資源服務(wù)器Server2發(fā)送重復(fù)認(rèn)證響應(yīng)信息給用戶U1，并計(jì)算與用戶U1的會(huì)話密鑰。

③用戶U1收到認(rèn)證響應(yīng)信息后，驗(yàn)證Server2身份的真實(shí)性，若驗(yàn)證通過(guò)，則Server2即為用戶U1要訪問(wèn)的文件fn的資源存儲(chǔ)服務(wù)器Server2，同時(shí)計(jì)算文件傳輸過(guò)程中的會(huì)話密鑰。

2.1.2 存儲(chǔ)安全管理工作方式

通過(guò)上述方式完成用戶U1的身份認(rèn)證后，下面來(lái)介紹一下用戶U1訪問(wèn)資源服務(wù)器Server2中文件fn的過(guò)程。CDSSM模型的存儲(chǔ)安全管理工作方式如圖6所示。

圖6 CDSSM模型的存儲(chǔ)管理工作方式

1)密鑰更新與管理

本系統(tǒng)基于PKI技術(shù)，故密鑰分為公鑰和私鑰。公鑰是各認(rèn)證中心發(fā)給相關(guān)信任域內(nèi)的用戶持有，凡用公鑰加密的數(shù)據(jù)，均可用配套的私鑰解密。在相關(guān)的密鑰信息中包含時(shí)間戳，可以根據(jù)需要設(shè)置各密鑰的有效期。

2)數(shù)據(jù)文件加密

對(duì)數(shù)據(jù)文件的加密可以采用收斂的加密方案[11]，即根據(jù)數(shù)據(jù)明文的某些屬性生成密鑰，同時(shí)對(duì)數(shù)據(jù)本身加密?？梢圆扇∪缦碌姆桨讣用?。首先，將數(shù)據(jù)文件分成合適的文件塊，對(duì)每個(gè)文件塊的加密密鑰均結(jié)合明文和隨機(jī)數(shù)生成。用ai標(biāo)記該文件塊是該文件的第n個(gè)文件塊，H是文件塊的哈希函數(shù)值，Ri為任意隨機(jī)數(shù)，則密鑰可表示為SK=ai +H(文件塊) +Ri。這樣的密鑰生成方式在保證數(shù)據(jù)保密性的同時(shí)可以校驗(yàn)數(shù)據(jù)的完整性，密鑰會(huì)隨著數(shù)據(jù)的變化而變化。

3)確定文件存放位置

合法用戶U1查詢數(shù)據(jù)文件fn的位置，Server2確定fn的物理存儲(chǔ)位置Serveri，并運(yùn)用Server2私鑰對(duì)存儲(chǔ)位置加密，將加密后的位置返回給用戶U1。

4)數(shù)據(jù)文件解密

用戶接收到加密的存儲(chǔ)位置后，用事先協(xié)商的會(huì)話密鑰解密，從而得到有效的fn文件的存儲(chǔ)位置。Server2在指定存儲(chǔ)位置取得事先加密的fn文件，同時(shí)發(fā)送給用戶U1。用戶U1獲得數(shù)據(jù)文件fn的加密數(shù)據(jù)塊后，在本地進(jìn)行解密計(jì)算，訪問(wèn)解密后的數(shù)據(jù)。

3 跨域安全存儲(chǔ)的測(cè)試與評(píng)估

為證明CDSSM模型的有效性，筆者進(jìn)行了系列實(shí)驗(yàn)，實(shí)驗(yàn)環(huán)境如下。存儲(chǔ)服務(wù)器使用聯(lián)想(Lenovo)IBM X3650 M5 機(jī)架服務(wù)器主機(jī)(OA/ERP服務(wù)器)。存儲(chǔ)服務(wù)器共3組，分別位于校園網(wǎng)的不同教學(xué)樓內(nèi)，屬于PKI的不同信任域。為方便實(shí)驗(yàn)，本實(shí)驗(yàn)方案中將LDAP服務(wù)器和認(rèn)證中心CA服務(wù)器合二為一，該服務(wù)器的配置為：聯(lián)想(Lenovo)IBM X3650 M5。認(rèn)證代理服務(wù)器Agent的配置為：聯(lián)想(Lenovo)IBM X3650 M5?？蛻舳藶槿A碩筆記本電腦。

3.1 安全性分析

由PKI的基礎(chǔ)知識(shí)可知，CDSSM模型的安全性主要在證書(shū)申請(qǐng)和跨域認(rèn)證階段。

3.1.1 證書(shū)申請(qǐng)階段的安全性分析

給定CA1 和CA2的私鑰，使用文獻(xiàn)[12]的安全通信協(xié)議為代理者Agent生成一個(gè)重簽名密鑰，由文獻(xiàn)[12]可知，該密鑰是正確的，且不可偽造。

3.1.2 跨域認(rèn)證階段的安全性分析

在跨域身份認(rèn)證中，允許使用匿名身份信息進(jìn)行身份驗(yàn)證。CDSSM模型的驗(yàn)證過(guò)程中只有保證成果完成身份認(rèn)證的用戶才有可能進(jìn)行匿名驗(yàn)證，而匿名證書(shū)的有效期很短，可以保證在后續(xù)跨域認(rèn)證中臨時(shí)身份的有效性。如果云資源服務(wù)器Server2收到的信息為虛假信息，Server2會(huì)將相關(guān)信息發(fā)送給CA1驗(yàn)證其其證書(shū)CERT1的合法性，如果CA1證實(shí)該消息確實(shí)虛假，則CA1會(huì)將CERT1’和Cert1同時(shí)加入證書(shū)撤銷列表(Certificate Revoke List-CRL)中，反饋結(jié)果給資源服務(wù)器Server2。上述分析說(shuō)明，CDSSM模型的匿名行為是可控的。

CDSSM模型可以有效抵抗重放攻擊，這是因?yàn)樵谏矸菡J(rèn)證和消息傳遞過(guò)程中，會(huì)話標(biāo)識(shí)信息、隨機(jī)數(shù)和時(shí)間戳等信息均有效的標(biāo)識(shí)了認(rèn)證與消息傳遞過(guò)程，如果攻擊者替換認(rèn)證消息中的身份標(biāo)識(shí)，因?yàn)樽C書(shū)信息是事先保存的，故無(wú)法保證其身份信息和證書(shū)信息的完全匹配，所以無(wú)法完成認(rèn)證，從而保證了本模型可以有效抵抗替換攻擊。

3.2 安全性能分析與測(cè)試

從上述安全管理認(rèn)證工作方式的過(guò)程可以看出，CDSSM模型的安全性能損失主要出現(xiàn)在證書(shū)申請(qǐng)和跨域認(rèn)證兩個(gè)階段。在證書(shū)申請(qǐng)階段，CDSSM模型為了安全送達(dá)用戶的真實(shí)身份，對(duì)身份信息進(jìn)行加密傳送；為了保證CERT和CERT′合法性，又對(duì)證書(shū)進(jìn)行了兩次簽名；這一次加密和兩次簽名，可以充分發(fā)揮PKI技術(shù)的優(yōu)勢(shì)并有效保護(hù)用戶的隱私，從而更適合于云計(jì)算的環(huán)境。在首次跨域認(rèn)證階段，Server2與用戶和Agent分別進(jìn)行了兩輪消息通信和證書(shū)轉(zhuǎn)換，安全性能損耗較大，但首次跨域認(rèn)證只發(fā)生一次，相比較后續(xù)跨域認(rèn)證階段節(jié)省的安全性能損耗是值得的。

圖7 重復(fù)跨域身份認(rèn)證效率與消息長(zhǎng)度關(guān)系圖

從圖7可以看出，CDSSM模型的重復(fù)跨域身份認(rèn)證的效率均在50%以上，當(dāng)消息長(zhǎng)度在3 MB左右時(shí)，認(rèn)證效率接近80%，效率很高，說(shuō)明該模型用于跨域身份認(rèn)證是可行的。

3.3 讀寫(xiě)性能分析與測(cè)試

從存儲(chǔ)管理工作方式的分析中可以看出，讀寫(xiě)性能的損失主要集中在文件的加解密上。采用本文所述方式針對(duì)不同的文件大小所需花費(fèi)的文件讀寫(xiě)訪問(wèn)時(shí)間如圖8所示。

圖8 文件讀寫(xiě)性能測(cè)試結(jié)果圖

從圖8可以看出，數(shù)據(jù)的讀寫(xiě)性能主要跟文件的大小成正比，也就是說(shuō)本文采用的數(shù)據(jù)加解密技術(shù)并未給數(shù)據(jù)

的訪問(wèn)額外造成過(guò)多的負(fù)擔(dān)，故本模型可以應(yīng)用在云環(huán)境中的跨域數(shù)據(jù)訪問(wèn)上。但隨著文件規(guī)模的增大，時(shí)間開(kāi)銷基本呈線性增長(zhǎng)，增長(zhǎng)速度較快，所以后續(xù)還應(yīng)適當(dāng)考慮針對(duì)大文件的數(shù)據(jù)塊分割新方法，以提高大文件的訪問(wèn)效率。

4 結(jié)語(yǔ)

本文研究了云計(jì)算環(huán)境下的跨域安全存儲(chǔ)模型，提出了跨域安全身份認(rèn)證策略和存儲(chǔ)訪問(wèn)策略。在安全認(rèn)證中，提出了采用認(rèn)證代理解決異域用戶身份認(rèn)證的問(wèn)題，在未降低本域用戶只信任本認(rèn)證中心的前提下降低了異域用戶身份認(rèn)證的復(fù)雜度，雖然首次認(rèn)證需要額外開(kāi)銷，但因重復(fù)身份認(rèn)證發(fā)生的概率接近80%，所以從整體認(rèn)證的角度，減少了認(rèn)證的時(shí)間開(kāi)銷。在存儲(chǔ)管理中，通過(guò)增加數(shù)據(jù)的加解密環(huán)節(jié)，可以有效避免存儲(chǔ)網(wǎng)絡(luò)內(nèi)部的攻擊，提高存儲(chǔ)系統(tǒng)的安全性。