云计算环境下图书馆数据存储

陈敏仪

(广州番禺职业技术学院 广东 广州 511483)

0 引言

当前,云计算中普遍采用的是常规密码技术,但单个的对称密码和不对称密码已无法满足云端数据存储的安全性要求。前者具有快速、不能保证安全的特点,而后者虽然具有较高的安全性,但其最大的缺点就是效率低。为此,拟在现有算法的基础上,将高级加密标准(advanced encryption standard,AES)算法与RSA加密算法、椭圆曲线加密(elliptic curve cryptography,ECC)进行融合,形成一种基于AES-RSA和AES-ECC的新型混合密码算法。在此基础上,构建Hadoop实验平台,利用HadoopEclipse对该方法进行测试。

1 云计算与云存储

云计算是一种基于互联网的计算服务模式[1],是一种将数据处理任务通过高速网络传输到虚拟的、可扩展的、动态的计算。云计算具有虚拟化、低成本、高可靠性、高安全性、可扩展性、超强的存储与计算能力等诸多优点,其中资源共享与按需支付是云计算的显著特征。云计算优点认同度的评价指标,如图1所示。

图1 云计算优点认同度的评价指标

1.1 云计算设计方案

云计算的设计包括以下层级:物理资源、资源池、管理中间件、面向服务的体系结构(service oriented architecture,SOA)构件层等层级[2],云计算的设计方案如图2所示。

(1)物理资源层级:包括电脑、存储器、信号接收器,它是云计算的底层构建要素,可以为图书馆带来强大的数据存储能力。

(2)资源池层级:这一层可以把不同资源进行同构化,形成一个大型的信息存储空间。

(3)管理中间件层级:基于这一点,有效地管理云计算中的各要素,在云计算中执行任务分配,为云中的应用提供高效安全的资源服务。在服务端与服务端之间设置了一个中间件,它为服务端提供了认证、授权、安全等全面的服务。

(4)SOA构建层级:它为用户提供了一个可以访问云计算的接口,各种不同的服务可以转换为标准的网络服务,能允许或拒绝用户访问、完成虚拟账号申请等服务。

1.2 云存储的概念界定及其优点

云存储是一种集成了不同存储手段和方式,提供储存和商业存取的综合系统。云存储相对于传统存储有3个显著优点。

(1)个性化定制。该项主要涉及私人云,私有云能为用户提供高质量的存储服务,而私有云的隐私特性又能帮助用户减少对存储服务的一些安全隐患。

(2)成本低。很多中小型企业都要花费大量的资源来进行数据存储,云存储解决了这一难题,可以把需要存储的数据转移到云端,实现以较低的成本实现数据存储。

(3)管理模式便捷。当企业用户数据量剧增时,通过云存储的高可扩展性,可以使用户按照自己的需要,在原有的基础上,进行存储空间的扩充。

1.3 云存储系统

云存储系统是针对海量信息开发的数据集合空间,其设计层级如图3所示。

图3 云存储设计机构

2 云环境视域下的数据存储安全性技术分析

2.1 云存储从本质上讲就是对信息进行存储与整合,提供以下服务[3]:

2.1.1 认证服务

认证的方法有单点登录法、双因子认证法和访问权限等。单次登录就是用使用者名称/密码来登录;双因子认证就是在确认了使用者的名称/密码后,使用者需要另外输入一次密码,即OTP;访问权限技术可以完成用户的身份确认,对访问进行授权和限制。

2.1.2 加密存储

加密存储是将用户需要上传的数据以加密方式保存,能够保障用户数据的安全,是云环境下保障用户隐私数据安全的关键技术。包括以下2项:一是传输加密技术,为了防止机密信息泄露和篡改,人们经常采用端到端数据加密技术,并与IPSec(internet protocol security,互联网安全协议)、SSL(secure socket layer,安全套接层)、SSH(secure shell,安全外壳协议)等网络协议栈的每一层加密技术相结合,实现加密传输。二是存储加密技术,存储加密技术实现用户控制和使用资源的完全自主性,在构建可扩展数据中心的同时,还可以构建数据的保护体系。

2.1.3 安全管理

安全监管就是对使用者资料及权限的授予和管理,实现注册和删除用户账号,使用者授权,在特定情况下关闭用户账号等。

2.1.4 安全记录

安全日志和日志审核机制是对云计算对象和云系统行为中的安全性问题和主要活动实施记录行为,云服务提供方需要有一套完整的云系统日志,并且要有相应的日志审核机制。

2.2 云环境下主要加密方式

云服务提供方将全部计算任务存放于云端,而其数据的准确性和隐私保护将影响整体计算任务的正常运行。密码学根据不同的密码体制,可以分为对称密码学与不对称密码学。

在对称密码体制中,通信双方都采用同一密钥,为了保证信息的安全,需要保证密钥的传输路径的安全性。对称加密技术的基本情况,如图4所示。

图4 对称加密技术的基本情况

非对称加密技术是由2个不同的密码组成,一是公共密码,二是私人密码。私人密码是用来加密明文和解密文,如发送者知道收件人的公共密码,只有收件人才有私人密码。非对称加密技术的基本情况,如图5所示。

图5 非对称加密技术的基本情况

2.3 Hadoop安全性机理的探讨

Hadoop直到1.0版,才开始重视系统的安全性。在安全性支持方面其遇到的巨大困境,有以下几点:在用户和服务之间缺少验证机制、在各服务间缺少验证机制、缺少传输和储存加密功能。此外,由于数据服务器对存储在存储空间中的数据缺乏有效的防护,因此,当出现媒介丢失、病毒侵入等事件时,用户的数据信息将会被更大程度的泄露。为了对Hadoop集群进行更好的管理,提高它的安全性,Apache从2009年开始,组织了一支专业的队伍,研究出相应的危险识别方法和授权规则,并在Hadoop进行了整合。目前,这些危险识别方法和授权规则已经得到应用。

2.3.1 Simple机制

简单机制使用了软件运营服务(software as a service,SaaS)协议。当用户进行操作时,必须表明自己身份,一般是通过JobConf的user.name来实现,因此这些信息必须在Job跟踪器这一方来验证。它包含了2个工作,第一个工作是检查当前操作人员和账户名称是否一致;并且,要核对访问的简要表,以确定所使用的访问控制列表的正确性。已通过审查的使用者,可以获得hdfs或Map Reduce给予的delegationtoken,并检查token是否与之前注册使用为同一人。

2.3.2 Kerberos认证

Kerberos身份验证是一种基于密钥的身份验证协议,为客户端/服务器端提供可靠的身份验证服务。实现此目的无须用户操作系统进行验证,不用依靠主机网址进行核实,也没有对网络中的所有主机进行实体安全性的限制,并且假设在网络中传送的数据可以被任意地读取、篡改。因此,Kerberos是基于信任基础的第三方认证服务,其使用的是传统的口令技术[4]。

3 试验分析

3.1 比较试验

根据不同算法的特征差异,对其实施试验并进行比较分析,得到平均结果,且得出了不同算法加密所需的用时差异。不同算法加密所消耗时长,如图6所示。

图6 不同算法加密所消耗时长

为确保资料的比较意义,在试验中使用AES-RSA算法时,采用了1～5 MB数据。首先测试AES-RSA算法用了多长的时间来对这些数据集进行加密,如图7所示。

图7 使用AES-RSA算法所需加密时长

采用与上述试验同样的方式,统计使用AES-ECC算法时所需的加密时长,反复试验后求取平均值,如图8所示。

图8 使用AES-ECC算法所需加密时长

3.2 安全测试

3.2.1 使用AES-RSA算法的安全测试

基于宽轨道策略,本次提出了AES算法,它能很好地抵挡差分攻击和线性攻击。与DES密码体制相比,该密码体制具有更高的安全性。但是因为它的密钥是对称的,如果在传递时不慎泄露密匙,反而会因为密码被破解的概率增加而变得更不安全。对于RSA算法,常见的攻击方式有密文攻击、数学分析攻击和公共模数攻击。

密文攻击是通过各种手段获取接收者的私人密钥,使其能够对密文进行解密。在这种攻击中,攻击者会伪造大量的信息,欺骗持有私人密钥的人,使其签字,签字之后就会得到一组密文,再根据这些密文,推导出对应的明文。

数学分析攻击在RSA算法中,最常用和最直观的攻击方式就是将其分解成n个部分。利用数学解析进行攻击,则是最为直观的一种方式。由于本算法选取n为大素数p和q的乘积,因此对n的分解比较困难,p和q应选取大素数,以确保算法的安全性。

公共模数攻击是指在RSA算法的实际应用中,当用户所用的公钥具有共模、互质的特性时,无须对其进行解密即可获得用户的明文,其安全性明显不足。

3.2.2 AES-ECC算法的安全性分析

当前,ECC算法最常受到的攻击是旁通攻击。在密码系统运行过程中,密码系统中的一些重要信息会泄露出来,攻击者利用这些泄露的信息推断出密码系统中的密码,这种方法称为旁路攻击[5]。

(1)简单功耗分析SPA

SPA的目的是通过对在算法执行时收集到的暂态功率消耗曲线进行分析,并根据它的异常情况推断出命令、次序及敏感数据的相关关系。抗SPA的目的就是为了消除密码码的执行路径与密码码的关联性,以及密码码1与密码码0在执行过程中的不同。

(2)差分功耗分析DPA

DPA是根据密码学的特性,结合极大似然估计的方法,对密码学中的重要信息进行推断,从而对密码学的安全性构成威胁。ECC算法通过遮蔽和削弱2种方式对DPA进行抗干扰。

4 结语

综上所述,基于对经典算法的分析与研究,本文提出通过对原有算法的改进,获得了AES-RSA算法和AES-ECC算法,并利用Hadoop Eclipse在Hadoop集群分析对2种算法进行测试,通过与AES、RSA、ECC等算法比较,给出了AES-RSA算法和AES-ECC算法的安全性分析。实验结果表明,与AES-RSA算法相比,AES-ECC算法的加密手段更加高效,但从加密手段的效率和安全方面来看,2个算法都很好地契合云计算的特性。

由于信息化进程的加快,云技术在日常应用的范围越来越广泛,并因其较低的成本投入和强大的运算和存储功能,使人们得到了巨大的便利。随着云计算技术的普及,人们在利用云服务的过程中会遇到很多安全问题。云环境中的数据存储安全性是云计算未来健康稳定发展的关键,也是当前云业界关注的焦点。