摘 要:云计算是一种新型的现代网络服务模式,其中的数据安全已成为云计算研究中的热点,以智能手机为代表的智能移动终端的快速普及,使移动云计算中数据安全形势更加严峻,文章提出了数据切分、矩阵变换,部分数据混合加密的新思路,减少了移动终端的资源消耗,提高了移动云计算中数据安全的处理速度和存储速度。
关键词:云计算;移动云;数据安全;数据加密
中图分类号:TP301 文献标识码:A
1 引言(Introduction)
谷歌公司首次提出了云计算的概念和相关理论后,很多公司提出了自己的“云计划”,它成了一种新型的现代网络服务模式[1],它是新型的计算机网络服务模式,是集网格计算、分布式计算、并行计算、效用计算等技术于一体的新型服务模式。
数据安全成为云计算研究中的热点。对于提供商,云计算覆盖了从底层基础架构到最上层应用的各个方面,涉及服务器、网络存储等。作为用户使用最多的是软件应用和数据存储,所以数据安全也就成为面向云计算的研究工作的热点。
以智能手机为代表的智能移动终端的快速普及,这些智能终端引入云计算为用户提供服务具有巨大的商业价值,催生出一种新的计算模式-移动云计算,集合传统云计算和移动智能移动终端的自身的安全隐患,其安全问题比传统云计算更加严峻。由于移动设备采用无线通信方式,数据容易被截获,加之自身特性,如CPU主频低、内存小、存储空间小,计算能力低,电池的续航能力有限等,要采取普通的安全措施大大地受到了限制。
2 国外云计算和移动云安全的研究(The research of
cloud computing and mobile cloud security aboard)
美国Gartner公司在2008年6月发布的一份研究报告《Assessing the Security Risks of Cloud Computing》中指出:虽然云计算产业市场前景广阔,但是安全将成为阻碍其发展的一个重要障碍[2]。云计算的数据安全问题引起了行业人士和用户的广泛关注。很多用户在考虑是否实施云计算解决方案时,最大的顾虑就是安全问题[3]。事实上,作为一个信息服务平台,云计算将不可避免地出现诸如安全漏洞、信息泄露等安全问题,这对于云计算平台的安全性提出了更高的要求[4]。
国外在云计算安全方面的研究起步较早,如将特殊的操作系统与普通的操作系统一起运行在同一个虚拟机监视器中,但是特殊操作系统的增加也增加了整个系统的负担,影响了系统的性能,兼容性很差[3]。Overshadow系统对数据的保护的方式是对所有的内存页面进行加密,通过虚拟机监控器对该应用程序进行管控。但是加密操作对系统的性能同样有一定的影响[4]。国外的IT公司中典型的云平台Hadoop使用Kerberos的安全技术;Microsoft对于Azure提出了Windows Azure Connect解决方案;Sun公司发布了一系列云计算安全工具[5]。McAfee公司发布了云计算电子邮件安全方案;Panda Securitym和Navajo System等公司也做了较多的安全研究。
3 国内云计算和移动云安全的研究(The research
of cloud computing and mobile cloud security in
China)
国内云计算相对欧美起步较晚,但发展迅速。华为赛门铁克在很多国家建立蜜罐系统或蜜网全局预警的云安全体系[6]。还有一些杀毒软件厂商,如金山毒霸、趋势科技、瑞星等,都推出了自己的云安全解决方案。
随着移动云的发展,国内的腾讯、瑞星等推出了自己的安全方案,其中有腾讯的MTAA方案,并提出“浸泡式安全”的概念,瑞星的移动设备杀毒软件。文献[5]提出通过改进加密机制的方式节省为了安全而需要的能量耗费,采用的技术室同态加密,实际上就是将安全处理完全放到了云端,而用户密钥只保存在终端,但没有考虑传输的安全,也受制于终端自身条件。
4 基于数据切分,分片加密存储的解决方案(The
solution based on data segmentation,storage of
fragmentation encrypted)
4.1 方案设计
在移动云计算中,数据传输的安全和效率已成人们日益关心的热点。基于安全性的考虑,移动智能终端向云服务器传输数据时,数据必须是密文的形式存在。但移动终端本身的处理速度、内存、续航时间等资源有限,这使得数据加密速度、传输的速度和终端续航时间受到制约。因此提出一种基于数据切分、矩阵变换、对部分数据进行混合加密的算法,以此确保数据在传输过程中的机密性;并设计通过随机抽取数据块的方法,来验证数据的完整性。
首先,将用户文件切分为大小相等的数据块,并将文件数据块转化字节流,根据移动终端的注册ID、文件编号和文件块编号设计ID标识码,并根据ID标识码生成云端的一一对应的各存储节点的存储索引表,将标识的文件块保存到一个二维数组,采用一种基于该二维数组的矩阵多次变换的数据部分预加密策略,实现部分隐藏,接着利用随机参数的二次函数对要加密的位置和长度选取,用混合加密算法对选取数据进行加密,加密密钥随机产生,用RSA公钥密码算法对所有参数和密钥进行二次加密,与加密后的数据封装在一起形成新的数据包,并在包首部加入标记位,上传到云端。在完整性验证时,客户端在把数据块及其校验标签上传到云存储服务器后,通过随机抽查的方式,让服务器生成指定数据块的验证证据并返回,由客户端判断数据文件的完整性,这样可减少移动端的系统资源和网络带宽的消耗,如图1所示。
4.2 文件ID标识码的设计和云存储空间的存储节点索引
的建立
这一设计的关键在于首先将文件根据终端的ID进行标识,再将属于这个ID设备所使用的文件标识,再根据设备ID和文件标识,在同一个标识中进行文件分块。当终端发送请求要上传一个文件到云端时,监控服务器节点根据发送的文件块数先搜索每个存储区的可用存储节点,生成一张对应存储节点的索引表,确保可以存储要上传的文件块。这样既有利后面的混合算法的设计,又有利于加快移动端数据块与云端存储节点之间的定位,从而提高文件存储、查询和下载的效率,如图2所示。
图1 研究方案
Fig.1 Research programs
图2 文件块ID标识码
Fig.2 ID of file block
当终端发送需要上传一个文件到云服务器时,服务器根据发送的文件块的数量先搜索每个存储区的可用存储节点,对可用的存储节点进行编号,生成一张对应的存储索引表,确保可以存储要上传的文件块,如表1所示。
表1 存储节点索引表
Tab.1 Storage node index
存储区的ID标识码:K
存储节点K.1 存储节点K.2 存储节点K.3 存储节点K.4
存储节点K.5 存储节点K.6 存储节点K.7 存储节点K….
4.3 数据的切分和基于矩阵变换的数据加密算法设计
对于要传输的文件进行加密处理,考虑到加密的效率,首先将文件切分,并确定的数据块的大小。由于要将数据用数组保存,所以要将其转化二进制流,再将其载入K阶矩阵。矩阵中的单元可以为字节,例如将数据块的大小应为64KB的倍数,则矩阵为256阶矩阵。最后一个数据块不足的,可以补0使其标准化,解密时将最后的O去掉,这一过程有利于后面的矩阵变换而实现信息隐藏。
首先是用多重不同的矩阵变换将之前切分的数据的顺序打乱,主要目的是使原本有序的数据变得混乱,初步隐藏信息的规律,使用多少次变换和采用哪一种变换,由随机函数决定。由于矩阵变换实际上是一个简单加密的过程,所以解密时对所有操作执行逆变换即可得到无损的原数据。
考虑移动智能终端的处理能力和续航能力,本课题不采用全部数据进行加密,仅对其中部分数据进行加密,对于被选择的数据的位置与长度都可以用随机函数或特定函数来确定,这样可控制被加密的数据量的多少。为提高加密的效率,减少终端资源的消耗,本课题采用一种改进的混合加密算法。
在数据完整性验证方面,由于移动智能终端本身的局限性,要想将整个文件的进行完整性的验证不太现实,本课题提出以一定的概率来保证数据的完整性的思想,基于上述加密的思想,客户端在把数据块及其校验标签上传到云存储服务器后,通过随机抽查的方式,让服务器生成指定数据块的验证证据并返回,由客户端判断数据文件的完整性,这样可减少系统资源和网络带宽的消耗。
5 结论(Conclusion)
由于移动终端受限的资源,在处理其数据安全问题时不能采用传统的数据安全的处理方法,在对现有算法的分析与比较,采用数据切分、矩阵变换,部分数据混合加密的新思路,减少了移动终端的资源消耗,提高了移动云计算中数据安全的处理速度和存储速度。在完整性验证方面,采用随机抽取的方式进行完整性验证方法,这种处理方式,在保证数据安全性的同时提高了云计算的处理能力。
参考文献(References)
[1] Galen Grumman.What is cloud computing? http://www.
infoage.idg.com.au/index.
[2] Jaebok Shin,Yungu Kim,Wooram Park,Chanik Park:DFCloud:A
TPM-based secure data access control method of cloud storage
in mobile devices. CloudCom,2012:551-556.
[3] Z.Zhou and D.Huang.Emcient and Secure Data Storage
0perations for MobileCloud Computing[Z].USA:CNSM,2012.
[4] P.K.Tysowski and M.A.Hasan.Towards Secure Communication
for HighlyScalable Mobile Applications in Cloud Computing
Systems[J].T'echnicalRepon,Dept.ofElectrical and Computer
Engineering,Univ.of waterloo,CACR,201l:33.
[5] 王允.Sun发布云计算安全工具[Z].北京:China Byte,2011.
[6] 陈海波.云计算平台可信性增强技术的研究[D].复旦大学博
士学位论文,2008.
作者简介:
蒋国清(1969-),男,硕士,讲师.研究领域:网络安全,信息
安全.