一种改进的基于身份的云存储安全认证机制

安徽邮电职业技术学院计算机系 王国庆

一种改进的基于身份的云存储安全认证机制

安徽邮电职业技术学院计算机系 王国庆

当前,安全成为云存储领域亟待突破的重要问题,其重要性与紧迫性已不容忽视。本文首先简单介绍了基于身份的加密的原理以及工作过程，分析了主密钥在基于身份加密过程中重要位置和作用，最后提出了一种基于身份的分层加密系统模型，并将其应用于云存储安全上。

云存储；基于身份加密技术；分层加密系统模型

一、引言

随着信息技术的飞速发展，爆炸式增长的信息量使得人们需要更强大的信息存储能力和处理能力，云计算技术应运而生，与之相辅相成的云存储技术以及各种云服务也迅速流行起来，但云存储自身的数据安全问题成为制约云存储发展的障碍。事实上，提供云存储服务的几个重要服务商如谷歌、亚马逊等都曾出现过各种安全问题，并导致了严重的后果。如果要使云存储得到真正的普及，云存储安全是必须要解决的关键问题之一。但是传统的网络安全和存储安全不能完全解决云存储的安全问题，需要一种新的技术来保障云存储用户的数据安全。

传统的用来保护数据和通信安全的基础设施是公开密钥基础设施(Public Key Infrastructure PKI) 。PKI是一种建立在公开密钥技术上的安全服务设施，它是用非对称密码算法原理和数字证书来实现用户的数据加密和身份鉴别。PKI的出现，使得绝大多数的网络安全问题得到了解决。用户可以利用 PKI 平台提供的安全服务进行安全通信。PKI 建立在统一的标准和规范基础之上，为网络应用提供实体鉴别、数据的保密性、数据的完整性和交易的不可否认性等安全服务。然而在部署 PKI的过程中，人们发现要解决的问题很多，PKI 依赖数字证书来绑定公钥和公钥所属人，需要做注册、管理、存放、分发、撤消证书等一系列操作，并且数字证书库必须在线运行，因此对网络带宽需求、认证计算量、存储空间等都有较高的要求，因而计算效率和通讯效率较低，限制了云存储的进一步推广。

二、基于身份加密技术简介

为了弥补 PKI 的不足，1984 年由密码学权威 SHAMIR创造性地提出基于身份加密的理论IBE(Identity Based Encryption)。在该理论中，用户的身份信息 ( 如身份证号码、电话号码和E-mail地址等 ) 可以直接作为用户的公钥，唯一标识用户身份，而与之对应的私钥由可信第三方私钥生成中心（PKG，Private Key Generator）生成并发送给用户。与PKI相比，IBE的明显优势在于用户的身份与用户之间有着直接而天然的联系，因此无需通过数字证书进行绑定，从而避免了传统公钥密码体制中因管理大量用户证书而带来的种种弊端，此外，由于IBE具有公钥基于其本身的特点，因此这是一种灵活的加密认证机制。

2001年，BONEH和 FRANK LIN[2]利用椭圆曲线上的双线性对得到了基于 IBE加密体制，提出第一个实用且可证明安全的基于身份的加密方案（BF-IBE），该方案的出现为解决网络安全问题提供了一种新的思路。但是，基于身份的加密方案仍存在一个固有问题即用户私钥的安全性问题。

三、PKG工作原理及组成

一个典型的IBE系统由用户实体以及私钥生成中心两部分组成。而私钥生成中心是系统的核心,负责整个系统的初始化、系统参数的生成与分发、以及私钥的生成与分发。为方便理解,我们把私钥生成中心看成由以下四部分组成：

主密钥产生器：根据随机数生成方法生成整个系统的主密钥。

系统参数产生器：构建系统运算环境,生成系统所需的各种系统参数。包括椭圆曲线的选择、公开参数的生成,其中椭圆曲线上的相关运算是的工作难点。

用户私钥产生器：根据用户标识产生与其对应的用户私钥。信息分发器：发送系统参数或用户私钥。

四、改进的基于身份加密技术在云存储中的应用

由上述分析我们得知，在 BF-IBE 中，用户私钥由 PKG 产生和集中管理，PKG 之所以能够根据用户身份计算相应的私钥，是因为它在创建一开始，就确定了整个系统的系统参数，以及与之相对应的保密信息。系统参数是整个体制中所有用户共有的，而保密信息即主密钥，则只有PKG 知道。PKG就是运用主密钥，结合系统参数和用户身份，计算得到用户的私钥，用户负责对自己的私钥保密。因此主密钥在整个的加密过程当中处于极其重要的地位，一旦被非法获取或者攻破，系统将变得很不安全。

因此，为了进一步提高用户主密钥的安全性，提出了一种基于身份的分层加密系统模型，并将其应用于云存储服务上，如图所示。

由图可知，基于身份的分层加密系统模型包括了以下两个方面：

（一）在云存储服务器端：对服务器端的SG系统进行分层。共有两层构成：第一层只有一个根节点SG，拥有的主密钥称为根密钥；第二层由多个子节点SGi组成，每个子节点有自己单独的主密钥。

（二）在云存储客户端：对使用云存储服务的用户进行逻辑区域划分。一个用户只由一个节点SGi负责管理，将处于同一节点下的所有用户所在的逻辑区域称为Domaini。Domaini的主密钥，则由根密钥与对应子节点SGi的主密钥连接而成。

随机选择S 和Si, S为根密钥，Si是子节点的主密钥。那么Domaini的主密钥就等于S||Si。由此可知，即使Domaini的主密钥被泄露，由于其它逻辑区域的主密钥与之不同，因此不存在被泄露的危险。从而，消除了PKG系统因采用单一主密钥而造成的系统安全瓶颈的问题。

五、结束语

IBE是当前云存储安全的研究热点。本文首先分析了PKI的优劣，接着简单介绍了IBE原理和工作过程，最后针对主密钥在基于身份加密过程中的安全瓶颈问题，提出了一种基于身份的分层加密系统模型，并将其应用于云存储安全上。

[1]毛剑,李坤,徐先栋．云计算环境下隐私保护方案[J]．清华大学学报(自然科学版),2011,51(10):1357-1362．

[2]康利山．云安全中基于身份的安全认证[D]．云南大学硕士学位论文．云南大学．

[3]杨坤伟,李顺东．一种新的基于身份的匿名加密[J]．计算机应用与软件,2005,32(1):283-285．

[4]黄永峰,张久龄,李星云．一种基于身份分层结构加密算法的广播加密方案[J]．厦门大学学报(自然科学版),2006,45(3):342-346．

[5]曾梦岐,卿昱．基于身份的加密体制研究综述[J]．计算机应用研究,2010,27(1):27-31．

安徽省级重点项目 面向复杂网络环境的云存储服务安全研究（KJ2016A384）。