论文部分内容阅读
摘 要:云计算是一种新型的现代网络服务模式,其中的数据安全已成为云计算研究中的热点,以智能手机为代表的智能移动终端的快速普及,使移动云计算中数据安全形势更加严峻,文章提出了数据切分、矩阵变换,部分数据混合加密的新思路,减少了移动终端的资源消耗,提高了移动云计算中数据安全的处理速度和存储速度。
关键词:云计算;移动云;数据安全;数据加密
中图分类号:TP301 文献标识码:A
1 引言(Introduction)
谷歌公司首次提出了云计算的概念和相关理论后,很多公司提出了自己的“云计划”,它成了一种新型的现代网络服务模式[1],它是新型的计算机网络服务模式,是集网格计算、分布式计算、并行计算、效用计算等技术于一体的新型服务模式。
数据安全成为云计算研究中的热点。对于提供商,云计算覆盖了从底层基础架构到最上层应用的各个方面,涉及服务器、网络存储等。作为用户使用最多的是软件应用和数据存储,所以数据安全也就成为面向云计算的研究工作的热点。
以智能手机为代表的智能移动终端的快速普及,这些智能终端引入云计算为用户提供服务具有巨大的商业价值,催生出一种新的计算模式-移动云计算,集合传统云计算和移动智能移动终端的自身的安全隐患,其安全问题比传统云计算更加严峻。由于移动设备采用无线通信方式,数据容易被截获,加之自身特性,如CPU主频低、内存小、存储空间小,计算能力低,电池的续航能力有限等,要采取普通的安全措施大大地受到了限制。
2 国外云计算和移动云安全的研究(The research of
cloud computing and mobile cloud security aboard)
美国Gartner公司在2008年6月发布的一份研究报告《Assessing the Security Risks of Cloud Computing》中指出:虽然云计算产业市场前景广阔,但是安全将成为阻碍其发展的一个重要障碍[2]。云计算的数据安全问题引起了行业人士和用户的广泛关注。很多用户在考虑是否实施云计算解决方案时,最大的顾虑就是安全问题[3]。事实上,作为一个信息服务平台,云计算将不可避免地出现诸如安全漏洞、信息泄露等安全问题,这对于云计算平台的安全性提出了更高的要求[4]。
国外在云计算安全方面的研究起步较早,如将特殊的操作系统与普通的操作系统一起运行在同一个虚拟机监视器中,但是特殊操作系统的增加也增加了整个系统的负担,影响了系统的性能,兼容性很差[3]。Overshadow系统对数据的保护的方式是对所有的内存页面进行加密,通过虚拟机监控器对该应用程序进行管控。但是加密操作对系统的性能同样有一定的影响[4]。国外的IT公司中典型的云平台Hadoop使用Kerberos的安全技术;Microsoft对于Azure提出了Windows Azure Connect解决方案;Sun公司发布了一系列云计算安全工具[5]。McAfee公司发布了云计算电子邮件安全方案;Panda Securitym和Navajo System等公司也做了较多的安全研究。
3 国内云计算和移动云安全的研究(The research
of cloud computing and mobile cloud security in
China)
国内云计算相对欧美起步较晚,但发展迅速。华为赛门铁克在很多国家建立蜜罐系统或蜜网全局预警的云安全体系[6]。还有一些杀毒软件厂商,如金山毒霸、趋势科技、瑞星等,都推出了自己的云安全解决方案。
随着移动云的发展,国内的腾讯、瑞星等推出了自己的安全方案,其中有腾讯的MTAA方案,并提出“浸泡式安全”的概念,瑞星的移动设备杀毒软件。文献[5]提出通过改进加密机制的方式节省为了安全而需要的能量耗费,采用的技术室同态加密,实际上就是将安全处理完全放到了云端,而用户密钥只保存在终端,但没有考虑传输的安全,也受制于终端自身条件。
4 基于数据切分,分片加密存储的解决方案(The
solution based on data segmentation,storage of
fragmentation encrypted)
4.1 方案设计
在移动云计算中,数据传输的安全和效率已成人们日益关心的热点。基于安全性的考虑,移动智能终端向云服务器传输数据时,数据必须是密文的形式存在。但移动终端本身的处理速度、内存、续航时间等资源有限,这使得数据加密速度、传输的速度和终端续航时间受到制约。因此提出一种基于数据切分、矩阵变换、对部分数据进行混合加密的算法,以此确保数据在传输过程中的机密性;并设计通过随机抽取数据块的方法,来验证数据的完整性。
首先,将用户文件切分为大小相等的数据块,并将文件数据块转化字节流,根据移动终端的注册ID、文件编号和文件块编号设计ID标识码,并根据ID标识码生成云端的一一对应的各存储节点的存储索引表,将标识的文件块保存到一个二维数组,采用一种基于该二维数组的矩阵多次变换的数据部分预加密策略,实现部分隐藏,接着利用随机参数的二次函数对要加密的位置和长度选取,用混合加密算法对选取数据进行加密,加密密钥随机产生,用RSA公钥密码算法对所有参数和密钥进行二次加密,与加密后的数据封装在一起形成新的数据包,并在包首部加入标记位,上传到云端。在完整性验证时,客户端在把数据块及其校验标签上传到云存储服务器后,通过随机抽查的方式,让服务器生成指定数据块的验证证据并返回,由客户端判断数据文件的完整性,这样可减少移动端的系统资源和网络带宽的消耗,如图1所示。
4.2 文件ID标识码的设计和云存储空间的存储节点索引
关键词:云计算;移动云;数据安全;数据加密
中图分类号:TP301 文献标识码:A
1 引言(Introduction)
谷歌公司首次提出了云计算的概念和相关理论后,很多公司提出了自己的“云计划”,它成了一种新型的现代网络服务模式[1],它是新型的计算机网络服务模式,是集网格计算、分布式计算、并行计算、效用计算等技术于一体的新型服务模式。
数据安全成为云计算研究中的热点。对于提供商,云计算覆盖了从底层基础架构到最上层应用的各个方面,涉及服务器、网络存储等。作为用户使用最多的是软件应用和数据存储,所以数据安全也就成为面向云计算的研究工作的热点。
以智能手机为代表的智能移动终端的快速普及,这些智能终端引入云计算为用户提供服务具有巨大的商业价值,催生出一种新的计算模式-移动云计算,集合传统云计算和移动智能移动终端的自身的安全隐患,其安全问题比传统云计算更加严峻。由于移动设备采用无线通信方式,数据容易被截获,加之自身特性,如CPU主频低、内存小、存储空间小,计算能力低,电池的续航能力有限等,要采取普通的安全措施大大地受到了限制。
2 国外云计算和移动云安全的研究(The research of
cloud computing and mobile cloud security aboard)
美国Gartner公司在2008年6月发布的一份研究报告《Assessing the Security Risks of Cloud Computing》中指出:虽然云计算产业市场前景广阔,但是安全将成为阻碍其发展的一个重要障碍[2]。云计算的数据安全问题引起了行业人士和用户的广泛关注。很多用户在考虑是否实施云计算解决方案时,最大的顾虑就是安全问题[3]。事实上,作为一个信息服务平台,云计算将不可避免地出现诸如安全漏洞、信息泄露等安全问题,这对于云计算平台的安全性提出了更高的要求[4]。
国外在云计算安全方面的研究起步较早,如将特殊的操作系统与普通的操作系统一起运行在同一个虚拟机监视器中,但是特殊操作系统的增加也增加了整个系统的负担,影响了系统的性能,兼容性很差[3]。Overshadow系统对数据的保护的方式是对所有的内存页面进行加密,通过虚拟机监控器对该应用程序进行管控。但是加密操作对系统的性能同样有一定的影响[4]。国外的IT公司中典型的云平台Hadoop使用Kerberos的安全技术;Microsoft对于Azure提出了Windows Azure Connect解决方案;Sun公司发布了一系列云计算安全工具[5]。McAfee公司发布了云计算电子邮件安全方案;Panda Securitym和Navajo System等公司也做了较多的安全研究。
3 国内云计算和移动云安全的研究(The research
of cloud computing and mobile cloud security in
China)
国内云计算相对欧美起步较晚,但发展迅速。华为赛门铁克在很多国家建立蜜罐系统或蜜网全局预警的云安全体系[6]。还有一些杀毒软件厂商,如金山毒霸、趋势科技、瑞星等,都推出了自己的云安全解决方案。
随着移动云的发展,国内的腾讯、瑞星等推出了自己的安全方案,其中有腾讯的MTAA方案,并提出“浸泡式安全”的概念,瑞星的移动设备杀毒软件。文献[5]提出通过改进加密机制的方式节省为了安全而需要的能量耗费,采用的技术室同态加密,实际上就是将安全处理完全放到了云端,而用户密钥只保存在终端,但没有考虑传输的安全,也受制于终端自身条件。
4 基于数据切分,分片加密存储的解决方案(The
solution based on data segmentation,storage of
fragmentation encrypted)
4.1 方案设计
在移动云计算中,数据传输的安全和效率已成人们日益关心的热点。基于安全性的考虑,移动智能终端向云服务器传输数据时,数据必须是密文的形式存在。但移动终端本身的处理速度、内存、续航时间等资源有限,这使得数据加密速度、传输的速度和终端续航时间受到制约。因此提出一种基于数据切分、矩阵变换、对部分数据进行混合加密的算法,以此确保数据在传输过程中的机密性;并设计通过随机抽取数据块的方法,来验证数据的完整性。
首先,将用户文件切分为大小相等的数据块,并将文件数据块转化字节流,根据移动终端的注册ID、文件编号和文件块编号设计ID标识码,并根据ID标识码生成云端的一一对应的各存储节点的存储索引表,将标识的文件块保存到一个二维数组,采用一种基于该二维数组的矩阵多次变换的数据部分预加密策略,实现部分隐藏,接着利用随机参数的二次函数对要加密的位置和长度选取,用混合加密算法对选取数据进行加密,加密密钥随机产生,用RSA公钥密码算法对所有参数和密钥进行二次加密,与加密后的数据封装在一起形成新的数据包,并在包首部加入标记位,上传到云端。在完整性验证时,客户端在把数据块及其校验标签上传到云存储服务器后,通过随机抽查的方式,让服务器生成指定数据块的验证证据并返回,由客户端判断数据文件的完整性,这样可减少移动端的系统资源和网络带宽的消耗,如图1所示。
4.2 文件ID标识码的设计和云存储空间的存储节点索引