陳暄

摘要：伴隨著云計(jì)算的概念的不斷發(fā)展，基于云計(jì)算下的信息安全存儲(chǔ)模式正在引起廣泛的關(guān)注，該文首先闡述了云計(jì)算中的相關(guān)概念，其次描述密鑰聚合算法及其不足，提出了一種改進(jìn)的密鑰聚合算法，通過(guò)對(duì)傳統(tǒng)密鑰聚合中Extract和Decrypt進(jìn)行優(yōu)化，并進(jìn)行了緊湊性分析和正確性證明，在云計(jì)算仿真平臺(tái)實(shí)驗(yàn)中與傳統(tǒng)的DES算法，AES算法進(jìn)行相比取得了比較好的效果，說(shuō)明該文算法在云計(jì)算平臺(tái)中具有一定的效果。

關(guān)鍵詞：云計(jì)算；加密；聚合算法

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：文章編號(hào)：1009-3044（2017）14-0056-03

隨著“互聯(lián)網(wǎng)+”，云計(jì)算概念不斷發(fā)展，有關(guān)云計(jì)算模式下的存儲(chǔ)技術(shù)正在引起大家廣泛的關(guān)注。云計(jì)算中的存儲(chǔ)是由云計(jì)算衍生和發(fā)展而來(lái)的一種存儲(chǔ)服務(wù)技術(shù)，其本質(zhì)是通過(guò)本地網(wǎng)絡(luò)將數(shù)據(jù)信息上傳到云計(jì)算服務(wù)提供商中，這樣可以有效的降低企業(yè)存儲(chǔ)數(shù)據(jù)成本、提高使用和高擴(kuò)展性的優(yōu)勢(shì)，有利于滿(mǎn)足海量數(shù)據(jù)存儲(chǔ)中的需求，有效的成為信息存儲(chǔ)發(fā)展的重點(diǎn)領(lǐng)域。國(guó)內(nèi)外學(xué)者從不同的角度進(jìn)行了研究，文獻(xiàn)[1]提出了利用同態(tài)加密技術(shù)應(yīng)用于云環(huán)境的數(shù)據(jù)傳輸，提高云環(huán)境中數(shù)據(jù)傳輸?shù)目煽啃耘c安全性；文獻(xiàn)[2]提出一種基于拉格朗日插值多項(xiàng)式的匿名廣播加密方法，實(shí)驗(yàn)說(shuō)明該方法具有較低的通信和計(jì)算開(kāi)銷(xiāo)，可以有效地解決云存儲(chǔ)中密文數(shù)據(jù)的匿名訪問(wèn)控制問(wèn)題；文獻(xiàn)[3]對(duì)同態(tài)加密未來(lái)的研究問(wèn)題進(jìn)行了分析；文獻(xiàn)[4]提出基于策略的多用戶(hù)全同態(tài)加密方案，性能評(píng)估說(shuō)明該方案高效地實(shí)現(xiàn)密文數(shù)據(jù)的全同態(tài)運(yùn)算，并能有效地支持訪問(wèn)控制和多用戶(hù)共享；文獻(xiàn)[5]提出一種在非對(duì)稱(chēng)可搜索加密算法上實(shí)現(xiàn)排序查詢(xún)功能的方案。實(shí)驗(yàn)結(jié)果表明，該方法支持非對(duì)稱(chēng)加密，具有較好的檢索效率，并且應(yīng)用性強(qiáng)；文獻(xiàn)[6]提出一種基于同態(tài)加密和密鑰策略基于屬性的混合加密方案，實(shí)現(xiàn)了對(duì)云用戶(hù)隱私信息分類(lèi)加密保護(hù)，實(shí)驗(yàn)結(jié)果表明，通過(guò)基于不同類(lèi)別的加密方案，使得云用戶(hù)的數(shù)據(jù)共享更加安全便捷，混合方案更貼近用戶(hù)需求；文獻(xiàn)[7]設(shè)計(jì)了基于策略的文件加密存儲(chǔ)和安全刪除機(jī)制，仿真實(shí)驗(yàn)說(shuō)明該機(jī)制增加了云存儲(chǔ)環(huán)境下文件的安全性，且減小了空間和時(shí)間開(kāi)銷(xiāo)。本文在文獻(xiàn)[8-9]的基礎(chǔ)上，提出了一種改進(jìn)的密鑰聚合算法，并對(duì)其進(jìn)行了緊湊性分析和正確性證明。

1云計(jì)算相關(guān)概念

云計(jì)算中的Hadoop架構(gòu)是一種開(kāi)源的分布式計(jì)算框架，被廣泛的使用在大型的企業(yè)中，它實(shí)現(xiàn)了MapReduce模型。Had-hoop架構(gòu)中包含了主控節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)兩個(gè)部分，其中主控節(jié)點(diǎn)（JobTracker）任務(wù)是用于調(diào)度和管理其他計(jì)算節(jié)點(diǎn)（Task-Tracker）。主控節(jié)點(diǎn)的作用是主要試運(yùn)行在集群中的任何一臺(tái)計(jì)算機(jī)上。計(jì)算節(jié)點(diǎn)主要是負(fù)責(zé)在云端執(zhí)行任務(wù)的節(jié)點(diǎn)。主控節(jié)點(diǎn)將云計(jì)算模型中的Map任務(wù)和Reduce任務(wù)發(fā)給空閑的TaskTracker執(zhí)行并進(jìn)行監(jiān)控運(yùn)行任務(wù)，當(dāng)出現(xiàn)主控節(jié)點(diǎn)出現(xiàn)故障無(wú)法繼續(xù)主管任務(wù)的時(shí)候，它就會(huì)把其任務(wù)交給另一個(gè)計(jì)算節(jié)點(diǎn)并重新進(jìn)行運(yùn)行，因此Hadoop是一種架構(gòu)可靠的分布式計(jì)算框架。而基于Hadoop的HDFS采用的是Master/Slave架構(gòu)，采用一個(gè)管理節(jié)點(diǎn)NameNode和若干個(gè)數(shù)據(jù)節(jié)點(diǎn)DataNode組成，它主要是將云計(jì)算中的大型文件分割稱(chēng)若干個(gè)Block小塊分散存儲(chǔ)在不同的DataNode上。Hive是一個(gè)基于hadoop的數(shù)據(jù)倉(cāng)庫(kù)的基礎(chǔ)架構(gòu)。它主要用來(lái)處理HDFS中的數(shù)據(jù)機(jī)制，是一種對(duì)海量數(shù)據(jù)進(jìn)行提取并轉(zhuǎn)化加載的框架。Hive的查詢(xún)主要是通過(guò)MapReduce框架來(lái)進(jìn)行實(shí)現(xiàn)的，而MapReduce本身就是為實(shí)現(xiàn)針對(duì)海量數(shù)據(jù)的高性能處理而設(shè)計(jì)的。所以Hive架構(gòu)就具有了高效的處理海量數(shù)據(jù)。

MapReduce框架是一個(gè)負(fù)責(zé)它云計(jì)算作業(yè)中的所有任務(wù)調(diào)度，把這些任務(wù)分配到不同的Slave節(jié)點(diǎn)上，JobTracker同時(shí)監(jiān)控他們的執(zhí)行狀態(tài)，MapReduce通常過(guò)程中會(huì)把輸入的數(shù)據(jù)集合分解成若干個(gè)獨(dú)立數(shù)據(jù)塊，并且產(chǎn)生一組輸出的鍵值（key/val-ues）。MapReduce中的常用兩個(gè)函數(shù)分別為Map和Reduce，Map函數(shù)的處理并發(fā)的工作機(jī)并對(duì)其進(jìn)行排序，并將排序結(jié)果輸出給Reduce，Reduce函數(shù)主要對(duì)中間鍵值進(jìn)行處理，如圖1所示：

2云計(jì)算下的聚合加密算法

2.1密鑰聚合算法描述

為了實(shí)現(xiàn)云計(jì)算下的數(shù)據(jù)有效共享，Chu在2014年提出了密鑰聚合加密機(jī)制，利用雙線性映射構(gòu)造而成，其實(shí)質(zhì)是在用戶(hù)的加密過(guò)程中，不僅僅是對(duì)信息進(jìn)行簡(jiǎn)單的使用公鑰加密，而是在密文信息中添加一個(gè)標(biāo)識(shí)記號(hào)，這就意味著加密后的密文被分解稱(chēng)了幾個(gè)部分，密鑰的擁有者持有一個(gè)主密鑰，而從該密鑰中可以分離出不同類(lèi)型的私密密鑰，被分離出來(lái)的密鑰成為聚合密鑰（Aggregate Key，AK），使用這種聚合密鑰加密的算法為聚合密鑰加密（Key Aggregate Encryption，簡(jiǎn)稱(chēng)KAE）算法。通常一個(gè)密鑰聚合加密算法有以下幾個(gè)部分組成：1）數(shù)據(jù)擁有者建立一個(gè)公共系統(tǒng)參數(shù)；2）通過(guò)keyGen生成一個(gè)公共密鑰對(duì)；（3）消息通過(guò)Encrypt并聯(lián)合明文數(shù)據(jù)來(lái)決定密文中的標(biāo)識(shí)符；4）數(shù)據(jù)擁有者使用主/私密鑰來(lái)產(chǎn)生一個(gè)聚合解密密鑰給密文子集，通過(guò)分散函數(shù)產(chǎn)生，并通過(guò)安全的郵件傳給授權(quán)者；5）用戶(hù)使用Decrypt函數(shù)，通過(guò)聚合密鑰來(lái)解密密文，在聚合密鑰中包含密文的表示符。

步驟4：云端服務(wù)器收到了參數(shù)param和pk后，需要和用戶(hù)A的共享用戶(hù)通過(guò)私鑰來(lái)更新服務(wù)器上的信息。當(dāng)用戶(hù)A將一部分?jǐn)?shù)據(jù)集S分享給用戶(hù)B額時(shí)候，用戶(hù)A只需要執(zhí)行Extract（msk，s）來(lái)計(jì)算聚合密鑰K_s，通過(guò)安全郵件傳遞給用戶(hù)B

步驟5：用戶(hù)B獲得訪問(wèn)云端數(shù)據(jù)庫(kù)權(quán)限后，使用聚合密鑰下載云端中的數(shù)據(jù)，對(duì)于任意的i∈S，用戶(hù)B能夠從服務(wù)器上通過(guò)Decrypt（K_s，S，i，C_i）函數(shù)解密下載各種密文C_i

3實(shí)驗(yàn)說(shuō)明

為了進(jìn)一步說(shuō)明云計(jì)算存儲(chǔ)具有的安全性能，本文搭建了云計(jì)算存儲(chǔ)實(shí)驗(yàn)平臺(tái)，并對(duì)采用了KAE算法的存儲(chǔ)平臺(tái)進(jìn)行性能測(cè)試。

3.1測(cè)試環(huán)境

系統(tǒng)的測(cè)試環(huán)境主要包括Hadoop集群，應(yīng)用服務(wù)器、安全密鑰服務(wù)器和一些客戶(hù)端。其中Hadoop存儲(chǔ)系統(tǒng)由4臺(tái)服務(wù)器組成，基本配置包括CPU為InterXeonE5606 2.13Ghz，4Ghz內(nèi)存，硬盤(pán)為1500G，資源池采用ZFS，認(rèn)證服務(wù)器的操作系統(tǒng)為Centos6.3，安全密鑰管理采用MySQL的5.1.61，客戶(hù)端為Win-dows7系統(tǒng)，如表1所示。

3.2測(cè)試結(jié)果分析

1）數(shù)據(jù)寫(xiě)入

考慮到云計(jì)算系統(tǒng)中的加密功能可能會(huì)對(duì)整個(gè)云計(jì)算環(huán)境構(gòu)成影響，因此選擇大小不同的文件來(lái)進(jìn)行數(shù)據(jù)的寫(xiě)入和讀取，在測(cè)試過(guò)程中，選擇了三種不同的情況來(lái)進(jìn)行比較，分別是使用DES加密，使用AES加密和使用KAE加密三種比較，如表2所示。圖2表示三種算法下的讀入文件的速度比。

從圖2中可以發(fā)現(xiàn)，在整個(gè)云計(jì)算系統(tǒng)的文件中進(jìn)行加密的時(shí)候，整個(gè)系統(tǒng)的文件寫(xiě)入的時(shí)間都會(huì)增加，但隨著文件數(shù)量的大小的不斷增加，文件寫(xiě)入的時(shí)間都會(huì)增加，導(dǎo)致整個(gè)文件的寫(xiě)入時(shí)間相應(yīng)的增加，因此整體速度呈現(xiàn)下降趨勢(shì)，從圖中發(fā)現(xiàn)AKE加密算法的效果要優(yōu)于其他兩種加密算法，這說(shuō)明本文的算法能夠很好的滿(mǎn)足寫(xiě)入數(shù)據(jù)的加密過(guò)程。

2）數(shù)據(jù)讀取

當(dāng)文件以加密的方式寫(xiě)入到云計(jì)算系統(tǒng)中之后，當(dāng)文件的讀取就需要對(duì)其進(jìn)行解密，才能對(duì)信息進(jìn)行有效的讀取，表3描述了不同操作下文件讀取的時(shí)間對(duì)比，圖2表示了與之前相同的三種算法的讀取對(duì)比，從圖3中可以發(fā)現(xiàn)在采用AKE算法后，文件的讀取時(shí)間和文件寫(xiě)入時(shí)間大致基本相同，并且采用AKE算法后的時(shí)間要多于其他兩種算法，這是合理正常的，因?yàn)榫退惴ǖ膹?fù)雜度而言，本文算法要高于其他兩種算法。

綜合圖2和圖3的效果來(lái)看，在三種算法的情況下，文件的讀取速度差別大于寫(xiě)入速度，這說(shuō)明云計(jì)算用戶(hù)在進(jìn)行下載相關(guān)信息的時(shí)候，采用KAE算法與其他加密算法下載時(shí)間差別較小，這樣就能夠在一定程度上滿(mǎn)足文件的共享需求，能夠有效的適合HDFS中的文件的一次寫(xiě)入多次被多出的特點(diǎn)，能夠有效的適應(yīng)整個(gè)云計(jì)算平臺(tái)。

4結(jié)束語(yǔ)

本文首先描述了云計(jì)算平臺(tái)的相關(guān)內(nèi)容，其次通過(guò)對(duì)KAE算法進(jìn)行描述，提出了使用該算法進(jìn)行加密的過(guò)程，通過(guò)在云計(jì)算平臺(tái)上的實(shí)際性能測(cè)試，說(shuō)明了KAE加密算法能夠有效的適應(yīng)云計(jì)算平臺(tái)中的相關(guān)信息加密過(guò)程，具有一定的應(yīng)用價(jià)值。