朱斌
摘要:文章对云数据存储模式进行分析,对云数据安全存储存在的问题进行研究,对云数据安全存储技术进行了探讨。
关键词:云数据;安全;存储技术
0 引言
云数据存储与传统存储模式相比较而言,具有存储能力强、资源利用率高、系统管理简便的特点,其优势越来越明显。云数据存储技术在迅速发展的过程中,其安全问题成为人们关注的重点。数据调查显示,70%企业不选择云计算的原因在于其数据安全性与隐私性。基于此,本文对有关云数据安全存储技术进行研究和探讨,不足之处,敬请指正。
1 云数据存储模式
云数据存储结构涉及3个方面,分别是中立第三方、云服务器以及用户。其中,第三方主要是发挥对云数据存储数据进行检测的作用,主要是方便用户,仅仅依靠其个人力量无法完成,另一方面对于云数据存储的发展来说是有所帮助的。用户通过云服务器对数据信息进行存储,节省了其个人电脑存储空间的同时,省去了一部分开销,节约了资金,还可以随时对存储数据进行查询、分享以及下载。
2 云数据安全存储存在的问题分析
常规信息系统中关心的是如何做好数据加密存储于传输,以及安全审计与容灾备份。但是,在云计算环境下,光做好以上内容是不够的,云计算的特点导致集中式的数据存储在云端,保证各用户数据之间的安全隔离;云服务器有可能出现宕机的现象。如此以来,云数据安全存储技术面临以下几个方面的问题:
2.1 数据加密存储问题
常规信息系统中大多选择加密方式对存储数据的安全性进行保障。云服务器中也可以采取类似的方法,然而具体实现过程却有点困难。基础设施也就是服务云模式中,因为授权到用户的虚拟资源能够被用户控制,数据加密一方面能够轻易实现,但是云服务器中一旦数据加密,操作也变得异常困难。云服务器中所有需要被云应用处理的数据信息,全部都不可被加密,因为只要加密,会导致操作、运算等变得非常困难,这是云数据存储安全性的一个挑战。
2.2 数据隔离问题
多租户技术是一种安全性很高的技术。是以多租户技术系统架构为基础,多用户数据同时存储于同一个介质中,哪怕云服务提供商会应用隔离技术,以避免混合存储数据过程中的非授权访问。然而非授权访问利用程序漏洞依然能够实现非法访问。举例而言,谷歌在2009年就出现了不同用户之前文件的非授权访问事件。很多云服务提供商利用邀请第三方组织对应用程序进行审核,然而因为平台数据的针对性不强,导致审核标准不统一。
2.3 数据迁移问题
云服务中,当发生宕机时,为保证正在运行的服务可以正常使用,必须要把正常工作的进程进行转移。其本质上可以理解为是对相关数据进行转移,迁移的数据一方面包括内存与寄存器中产生的动态数据,另一方面还包括磁盘上的静态数据。为了降低由于宕机而降低客户满意度,必须要确保迁移高速完成。为了让进城可以在新服务器中迅速恢复,要保证数据安全和完整。除此之外,假如进程处理的是一些机密数据,必须要保证数据迁移的安全性。
2.4 数据残留问题
数据残留问题是数据被删除之后残留在服务器的形式。数据残留也有可能对敏感信息进行泄露,因此哪怕是删除后的存储介质也不能随意释放。比如说,扔到垃圾堆,或者是随意交给第三方。云计算环境中,数据残留问题有可能造成用户数据在无意中被透漏给未授权的一方。假如未授权数据遭受泄漏,用户能够邀请第三方安全软件对应用程序进行验证,这个问题目前来说还未得到有效解决。
2.5 数据安全审计问题
数据以外包的形式存储于云服务器中,用户最关心的问题是外包存储数据的确存储到云服务器中,而且其归属权为数据所有者,以及除了所有者和授权用户之外的其他人都不可随意访问数据。如果该问题与安全审计问题有关。数据存储于本地时,该问题能够轻易完成。但是在云服务器中数据安全审计问题变得异常复杂。明显地说,用户不能先下载然后再审计,耗费人力物力不说,还会造成昂贵的通信代价。有效方案是仅仅取回一小部分数据,利用知识证明协议或者是概率分析方法,可以以高置信的概率对云端数据的完整性进行判断。
3 云数据安全存储技术分析
3.1 同态加密技术
同态加密技术属于加密技术的一种,该技术的应用能够完成对明文上执行一定的代数运算结果,实际上类似于在密文上的另外一种代数运算结果同态加密。这个特点让云计算以往存在的数据存储悖论可以得到有效解决。同态加密的理论主要来自于私密同态,其可以在不了解解密函数的基础上实现对加密数据的计算分析。比如,设s为明文空间,s为密文空间,a,b∈S,E是S→S上的加密函数,假如有算法PLUS和MULT,可以让下列公式成立:
如此一来,能够通过E(a)与E(b)的值对E(a+b),E(a×b)进行计算,而a与b的值则不是那么重要,人们称之为分别满足加法同态与乘法同态。针对加密函数而言,假如同时满足以上2个同态,则理解为全同态加密函数,要不然仅属于其中一个同态,为部分同态加密函数。
3.2 基于VMM的数据保护技术
以云计算为基础的虚拟机工作在一个虚拟化的平台上,同时由虚拟机监控系统进行管理和控制。基于VMM数据保护技术是以SSL技术确保数据传输的安全,通过Daoli安全虚拟监控系统对数据存储的安全性进行保护。数据传输到云端,客户端SSL模块进行加密,用户的密文数据会存储在云端操作系统,同时提交给分布式文件系统。解密处理后,假如用户需要数据存储到分布式文件存储系统,虚拟监控系统会对其进行加密。反之,假如用户要从分布式文件存储系统中获取数据,虚拟监控系统会先解密。这个方法的主要特征在于云端操作与分布式文件系统是两个独立的、隔离的系统,操作系统和用户数据是分隔开来的。因为针对操作系统来说,数据必须保证是加密的状态,如果虚拟机操作系统被破坏,攻击者获得的数据也是加密状态,从而确保内存数据的安全性、机密性。
3.3 加解密技术
公有云中存储数据是外包数据,产生了一部分基于常规加解密技术进行研究,从而保障外包数据的安全性。加解密技术的种类很多,包括基于代理重加密的方法、基于密钥导出方法的非可信服务器数据安全存储方法、加密系统Plutus、SiRiUS系统。其中,SiRiUS系统以NFS文件系统为前提,可以保障端对端的安全传输。同时,为了对访问进行控制,任何一个文件都分配了一个元文件,该文件夹杂访问控制列表,在列表中存储的是受授权客户公钥加密保护的密钥。SiRiUS系统的扩展版本摒弃了授权用户公钥加密文件,选择了NNL广播加密算法密钥,NNL的进步在于用户权限算法的复杂程度与用户数成正比,造成系统复杂程度与加密负荷成正比,所以系统的扩展比较困难。
3.4 云数据加密存储技术
数据加密存储技术是现阶段保障云数据信息安全技术中最为合理有效的方法,同时也是现阶段应用最广泛的存储技术。
数据在进行存储上传之前必须要加密,才可以保障上传数据的安全性与隐私性,然而也产生一个问题,数据查询的难度增加。上文中提到,假如数据的拥有者没有把加密密钥告知查询用户,则用户无法访问数据,反之则数据的安全性遭到威胁。云数据加密存储技术是支持查询的数据加密方法,简称为SE。用户使用过程中,查询关键字提交到云服务器,查询服务器利用对关键字索引进行检索,从而获取符合条件的数据信息,把查询结果反馈给用户。在此过程中,加密数据依然处于加密状态,SE要求输入查询关键字不可以出错,而且格式统一,支持布尔型查询,但是根据相关性有排名的查询是被禁止的,导致SE直接应用云存储环境下的文件查询产生2个问题,一个是用户必须返回到上一层文件夹,才能够确定文件与查询关键字之间的相关性;另外就是返回文件中有可能出现大部分文件并非用户需要的,从而导致网络流量增加,继而浪费资源。以上几种加密存储技术基本上能够解决超过95%的加密存储安全问题,然而其中也存在各种各样的问题,包括计算方法欠缺、耗时耗力、可信度比较低等问题,必须要针对以上问题进行调整与优化。
3.5 数据销毁
数据销毁实际上与用户需求有关,用户由于需要一些数据信息在某一个时间段内保持某个状态,从而更好地为用户所用。然而用户无需这些数据时,或者是必须要针对这些数据进行更加严格的加密处理,从而防止数据外泄情况的出现。存储数据很显然不如销毁数据,传统删除方式比较简单,如果选择删除文件,实际上被删除的文件不是很彻底,仅仅是加了个“删除标志”的标签,如果标志去掉,则文件会恢复到原文件夹。数据软销毁是选择覆写法,针对需要保密的数据信息,利用无需保密的数据,利用多次随机错乱的次数将其覆盖,以此销毁存储数据的访问痕迹。
4 结语
总而言之,一直以来云数据存储安全问题始终影响着云计算的应用水平,同时也使用户在经济上与生活便利上遭受严重威胁。甚至人们对云数据存储的信息产生了动摇。实际上,云数据存储技术自身的安全性仅仅是一个方面,还必须要在日常使用过程中,熟悉和掌握保密产品的特点,如此才可以做到云数据的安全存储。