通过通信信道加密提升云计算数据的安全性
2015-04-29张建珍
摘 要:随着云计算技术的发展,云中数据安全性越来越多的受到关注,为使云中的数据计算、数据存储、数据通信更加安全,通过分析主要风险及现有安全措施,提出通过通信信道加密技术加强云计算数据通信的安全,从而提升云计算数据安全性。
关键词:云计算;数据安全;数据加密;访问控制;信道加密
中图分类号:TP393 文献标识码:A 文章编号:2095-2163(2015)02-
Improve the Security of Cloud Computing Data with Encrypting the Communication Channel
ZHANG Jianzhen
(ShanXi Institute of Mechanical & Electrical Engineering, ChangZhi ShanXi 046000,China)
Abstract: With the development of cloud computing, the security of cloud data gets more and more attention, in order to make the data in the cloud computing, data storage, data communication be more secure, this paper analyzes main risk and the existed security measures, puts forward through encrypting the communication channel to strengthening communications security, which could promote cloud computing data security.
Keywords: Cloud Computing; Data Security; Data Encryption; Access Control; Channel Encryption
0 引 言
自2010年以来,云服务得到广泛的应用,云计算、云存储、云平台几乎渗透到工作、学习、生活的各个领域,许多企业纷纷搭建云平台以提供云服务,还有一些企业则开始迁移企业数据至云平台,以节约成本、提高效率。由于云计算对网络的依赖,使其除了云计算技术本身安全性外,同时更要考虑计算机网络的安全风险。如何保障云中数据的安全性,成为云技术发展的重要课题。
1 云计算数据风险分析
云计算的一个主要特征就是网络依赖,其一切服务均通过计算机网络来实现,用户的数据存放在云端,无论使用PaaS、IaaS还是SaaS服务,均需要通过网络与用户通信。因此,云计算在平台架构、网络连接、用户访问等环节均存在安全风险。
1.1 平台架构
2010年以来,OpenStack提供了最简单可行的私有云平台架构技术,支持仅通过5台计算机建立一个正常运行的简单云计算平台,5台计算机功能分别是计算服务器nova、存储服务器swift、镜像管理服务器glance、身份与访问管理服务器keystone和Web服务接口Horizon,其中计算服务器Nova是OpenStack的核心,负责管理和优化云计算资源配置[1]。因此,如果Nova节点出现故障(SPoF,single point of failure),将直接导致OpenStack云平台的崩溃,云中数据的可用性也不复存在[2]。
1.2 网络连接
由于云计算对网络的依赖性,所以一般网络存在的安全风险在云计算中同样存在,如中间节点、网络设备、连接设备等构成云计算网络每个环节的安全性,不仅如此,云计算平台构建的网络连接本身也将是云中数据安全的重要一环。
1.3 用户访问
分布式虚拟技术是云计算关键技术之一,在云中,用户不仅不清楚自己的数据储存在哪台服务器上,也不了解服务器具体放置何处,用户之间通过分布式虚拟技术实现共享计算或存储资源,此时若用户之间安全隔离不够,就使得一些恶意用户利用溢出等攻击技术读取共享区数据,从而使得用户数据被窃取、篡改或丢失。
2 云计算数据安全主要措施
为保障云中数据安全,目前采用的安全保障措施主要包括数据加密和采用访问控制策略。
2.1 数据加密
采用数据加密技术是实现用户信息在云计算环境下安全存储与安全隔离[3]的有效手段,目前比较流行的数据加密方法有同态加密[4-6]和基于属性的加密。同态加密使云端在不知道用户明文数据m情况下,对加密的用户数据e直接进行操作,如同对明文进行操作,另外也有类似的半同态或somewhat同态加密技术。基于属性的加密使用用户的属性集合作为公钥对用户数据加密[7],若一个访问用户要解密一个密文,则要求该用户的属性集合与公钥的属性集合相同属性的数量达到要求数量才能解密。但加密数据的密钥管理往往成为另一个新的问题。
2.2 访问控制
用户访问云中数据时,必须经过云服务商CSP认证,因此,云服务商需要采用访问控制策略来控制用户对云中数据和云服务的访问[8]。由于云计算中,用户都有自己的数字ID,因此基于身份的加密IBE和签名IBS的IBACC认证协议广泛用于云计算身份认证,采用此身份认证方式,可以进行实时身份监控、权限认证和证书检查,从而防止来自恶意用户的越权访问。访问控制不能就消息传输过程的安全性作出反应。
3 通信信道加密保障安全
正如密码学上经典的Alice和Bob通信问题,目前保障云中数据安全的方法无论加密消息本身还是在Alice和Bob之间设置访问控制协议,均各有利弊。为保障云中数据的安全可靠,除采用数据加密和访问控制外,充分借鉴计算机网络通信加密技术提出通过信道加密来保障云数据安全。OSI通信模型中,加密可以发生在通信低层如物理层、数据链路层,也可以发生在如应用层等较高层。物理层与数据链路层等低层加密也叫鏈—链加密(link-by-link encryption),即通过该链路的所有数据将被加密;发生在较高层(如应用层)的加密叫端—端加密(end-to-end encryption),数据传输到此处时被有选择性地加密,并且只在最后的接收端解密[9]。以下为加密具体实现方法。
3.1 链—链加密
链—链加密方法是在标准物理层接口处添加硬件设备,在线加密,每一次链接仅需要一组密钥。通过物理接口的所有数据将被加密,如数据、路由信息、协议等,对用户透明,发送端与接收端之间的任务智能交换或节点要处理数据必须对其进行解密,因此链—链加密以后,由于所有数据被加密,窃听者得不到任何关于数据结构的信息,也无法猜测数据来源及目的地,侦听到的仅是貌似随机的位序列。由于链路加密需要对每个物理链路加密,只要有一处没加密就会危及整个网络安全。因此,对于大网络,链—链加密开销将变大,且中间节点数据易被暴露。链路加密原理如图1所示。
图1链路加密原理模型
Fig.1 Link encryption principle model
3.2 端—端加密
端—端加密方法主要是在通信模型的较高层——网络层或传输层之间添加加密设备,加密设备根据OSI模型低三层的协议理解数据,由于端—端加密只加密传输中的数据单元,不处理路由信息,因而省去了通信中在物理层加解密信息的繁琐,数据单元可以保持加密状态,直到传输结束。端—端加密独立于网络所用的通信结构,加密和解密离线完成,因此密钥管理相对复杂。由于路由信息不加密,因此攻击者将可根据路由信息分析通信双方,通信时间及时长等。端—端加密原理如图2所示。
图2端—端加密原理模型
Fig.2 P2P encryption principle model
3.3 组合加密
根据链—链加密与端—端加密的优缺点,考虑一种针对云计算有效的网络安全方式,即加密每个物理链路同时加密数据单元,从而既避开了端—端加密攻击者对路由信息的分析,也提升了链—链加密中间节点数据的安全性。密钥管理方面,用户仍采用离线的端—端加密,网络管理员负责物理层在线的链—链加密。
4 结束语
随着云计算技术的发展,云服务不断渗透人们生活的方方面面,但是由于云计算模式下数据异地存储导致数据超出人们的掌控范围,数据安全成为时下普遍关注的焦点。数据加密与访问控制是最常规的安全措施,作为云计算数据传输的“高速公路”——通信信道往往被人们所忽视,数据安全环环相扣,只要其中任何一个环节出现漏洞,均会导致功亏一篑。通过数据加密、访问控制、信道加密三位一体的安全措施,相信在一定程度上解决云计算数据安全问题,但随着网络技术的高新、快速发展,有效的安全手段仍需要不断深入研究,力争实现防患于未然。
参考文献:
[1] 陈伯龙,程志鹏.云计算与OpenStack[M].北京:电子工业出版社,2013.
[2] 曾文琦,叶家炜,杨阳,等.面向应用服务的虚拟机性能评估[J].计算机工程与设计,2014(10): 156-158.
[3] 张启云.云计算中数据安全问题研究[J].计算机光盘软件与应用, 2012(6):25-26.
[4] 吴旭东.云计算数据安全研究[A].第26次全国计算机安全学术交流会论文集[C]. 上海:信息网络安全, 2011:38-40.
[5] Marten van Dijk and Craig Gentry and Shai Halevi and Vinod Vaikuntanathan.Full Homomorphic Encryption over the Integers[C]//Eurocrypt.Nice,France:ICAR,2010.
[6] 彭伟.面向云计算安全的同态加密技术应用研究[D]. 重庆:重庆大学, 2014.
[7] 程玉柱,胡伏湘.云计算中数据资源的安全加密机制[J].长沙民政职业技术学院学报, 2013(2):132-134.
[8] 杨健,汪海航,王剑,俞定国.云计算安全问题研究综述[J].小型微型计算机系统, 2012(3):473-477.
[9] 吴世忠,祝世雄,张文政,等.应用密码学Applied Cryptography [M].北京:機械工业出版社, 2012 :150-154.
1 作者简介:张建珍(1980-),女,山西文水人,硕士,讲师,主要研究方向:信息技术、网络安全、云计算。