謝蔚 禹思敏 胡波 馬永發(fā)

摘 要：隨著大數(shù)據(jù)、云計算技術(shù)的發(fā)展和普及，大量數(shù)據(jù)向云端遷移，其中含有大量敏感數(shù)據(jù)。針對云存儲中存在的數(shù)據(jù)泄露和隱私安全問題，提出了一個手機(jī)通訊錄安全云備份系統(tǒng)，使用一種基于三維無簡并離散超混沌數(shù)據(jù)加密算法，對手機(jī)通訊錄進(jìn)行加密備份，然后以密文的形式上傳存儲在云端，在下載時進(jìn)行解密，恢復(fù)數(shù)據(jù)。與一般的簡并超混沌加密算法相比，該加密方法改進(jìn)了安全性能，可以防止數(shù)據(jù)在傳輸過程以及云端泄露隱私，保證敏感數(shù)據(jù)在云端的安全。

關(guān)鍵詞：云備份;超混沌加密;隱私安全

DOI：10. 11907/rjdk. 181874

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A文章編號：1672-7800（2019）002-0178-04

Abstract： With the development and popularization of big data and cloud computing technologies， individuals， companies， and countries have migrated large amounts of data to the cloud， including a large amount of sensitive data. Aiming at data leakage and privacy security problems in cloud storage， a secure cloud backup system for mobile phone address book is proposed.This system uses a 3D simplified and discrete hyperchaotic data encryption algorithm to encrypt and backup the mobile phone address books. The personal data of user is encrypted and then uploaded to the cloud with the form of ciphertext. The encrypted data is decrypted when downloading. Compared with the existing simple and general superchaotic encryption algorithm， the security performance is improved by using 3D non-degenerate and discrete superchaotic encryption. Thus， the system can prevent the privacy data leakage in the process of transmission and in the cloud， which can ensure the security of the sensitive data.

Key Word： cloud backup; hyperchaotic encryption; privacy security

0 引言

隨著云計算、大數(shù)據(jù)等技術(shù)突飛猛進(jìn)的發(fā)展，云備份作為一種新型的網(wǎng)絡(luò)服務(wù)為大眾所知。在線用戶，尤其是移動端用戶，越來越傾向于利用遠(yuǎn)程存儲服務(wù)對其個人或商業(yè)數(shù)據(jù)進(jìn)行備份、恢復(fù)和共享[1]，將數(shù)據(jù)存儲到云備份服務(wù)器[2]。由于存儲在云端的數(shù)據(jù)涉及個人和企業(yè)的敏感信息，竊取、篡改和丟失等數(shù)據(jù)安全問題[3]越來越多，給用戶帶來巨大損失，為此進(jìn)行的相關(guān)研究也較多[4-6]。

用戶將個人數(shù)據(jù)傳輸?shù)皆贫藭r，加密技術(shù)可有效保護(hù)這些數(shù)據(jù)中的敏感信息不被泄露[7]。文獻(xiàn)[8]提出了云存儲的安全模型，對一些數(shù)據(jù)安全存儲技術(shù)及相關(guān)方案進(jìn)行了歸納。文獻(xiàn)[9]將對稱加密算法DES和非對稱加密算法RSA進(jìn)行融合，先對存儲在HDFS上的數(shù)據(jù)進(jìn)行DES加密，再利用RSA算法對DES密鑰進(jìn)行加密，提高了算法安全性。文獻(xiàn)[10]提出在Hadoop中對存儲在HDFS上的視頻采用AES算法進(jìn)行選擇性加密，兼顧算法執(zhí)行效率和安全性。文獻(xiàn)[11]針對云計算數(shù)據(jù)移動傳輸過程中存在的問題，提出了一種動態(tài)選擇性加密策略。這些工作都是從數(shù)據(jù)存儲的角度考慮數(shù)據(jù)安全問題，并且大都基于傳統(tǒng)的密碼技術(shù)，攻擊者仍可通過無線網(wǎng)絡(luò)中的數(shù)據(jù)傳輸侵入通信和竊取數(shù)據(jù)。即使只有一些數(shù)據(jù)片段被攻擊者截取，但通過數(shù)據(jù)挖掘技術(shù)，隱私數(shù)據(jù)同樣可能被恢復(fù)，因此對傳輸?shù)皆浦械臄?shù)據(jù)進(jìn)行加密很有必要。

混沌信號具有良好的內(nèi)在隨機(jī)性、非周期性、遍歷性以及對初始條件極其敏感性，與密碼學(xué)中的混淆、擴(kuò)散、密朗、循環(huán)輪數(shù)等有許多相似之處[12]。混沌密碼作為一種新型密碼，廣泛應(yīng)用于多媒體保密通信中[13]，其安全問題研究還處于初步階段。本文基于云備份數(shù)據(jù)過程中存在的隱私安全問題，設(shè)計了一種安全存儲的云備份系統(tǒng)，采用三維無簡并離散超混沌加密算法對數(shù)據(jù)進(jìn)行加密和解密操作，使用Android手機(jī)對傳輸數(shù)據(jù)進(jìn)行管理，利用HTTP協(xié)議對數(shù)據(jù)進(jìn)行加密傳輸，最終以密文的形式安全地存儲在數(shù)據(jù)庫中。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)一定程度上可以確保用戶存儲在云端數(shù)據(jù)的安全，保證用戶的敏感信息不被泄露，相對于簡并的混沌加密算法而言具有更高的安全性。

1 云環(huán)境中的數(shù)據(jù)安全問題

Crowd Research發(fā)布的《2018年云計算安全報告》指出，雖然云計算已經(jīng)成為應(yīng)用、服務(wù)和基礎(chǔ)設(shè)施的主流交付選擇，工作負(fù)載迅速向云服務(wù)轉(zhuǎn)移，但仍有非常嚴(yán)重的安全問題，急需解決的云計算安全問題包括：數(shù)據(jù)丟失和泄露（67%）、數(shù)據(jù)隱私威脅（61%）以及違反保密性（53%）。其中接近一半的組織（49%）預(yù)計將增加云安全方面的預(yù)算[14]。

2012年7月，來自第三方站點(diǎn)的黑客獲取了云存儲服務(wù)商Dropbox的部分用戶名和密碼，侵襲了Dropbox賬戶發(fā)布不良信息[8]。2014年，蘋果云端系統(tǒng)iCloud被黑客攻擊，造成多名女星的隱私照片泄露。2018年3月18日，一家名為劍橋分析的公司在未經(jīng)用戶同意的情況下，利用在 Facebook 上獲得的5000萬用戶個人數(shù)據(jù)創(chuàng)建檔案，并在2016總統(tǒng)大選期間針對這些人進(jìn)行定向宣傳。這些數(shù)據(jù)泄露事件日益凸顯出云計算安全問題。

云環(huán)境的用戶數(shù)據(jù)安全問題主要表現(xiàn)在兩個方面：①黑客通過植入病毒等方法入侵截取云用戶的數(shù)據(jù)信息;②云服務(wù)提供商內(nèi)部人員監(jiān)守自盜，利用自己的權(quán)限竊取用戶的隱私數(shù)據(jù)，泄露用戶隱私[15]。圖1 顯示數(shù)據(jù)上傳到云環(huán)境中的數(shù)據(jù)泄露問題。

為保證第三方提供的云存儲數(shù)據(jù)庫中敏感數(shù)據(jù)和重要數(shù)據(jù)安全，防止數(shù)據(jù)信息泄露，目前較好的方法就是對數(shù)據(jù)進(jìn)行加密保護(hù)[16]，通過加密實(shí)現(xiàn)信息的安全傳遞。由于數(shù)據(jù)庫中的數(shù)據(jù)存儲周期一般較長，存儲空間有限，因此選擇的數(shù)據(jù)加密方法應(yīng)該使加密后的數(shù)據(jù)存儲空間不能明顯變大，并且加密和解密的時間要短，不影響數(shù)據(jù)庫使用的響應(yīng)時間。為滿足數(shù)據(jù)庫的高響應(yīng)要求，對稱加密方式是一種很好的選擇。流密碼是對稱密碼體系中的一種，具有加密速度快、安全性好、易于標(biāo)準(zhǔn)化等特點(diǎn)，并且軟硬件實(shí)現(xiàn)效果較好[17]，另外對數(shù)據(jù)的保密傳輸、加密存儲等場合也較適用。

2 基于安全云備份的混沌加密算法

本文采用混沌流密碼加密，在客戶端利用混沌系統(tǒng)產(chǎn)生的混沌序列與要備份的通信錄文件進(jìn)行運(yùn)算，產(chǎn)生密文，通過HTTP協(xié)議將加密后的通信錄文件傳輸?shù)椒?wù)器端，最終以密文備份的形式存儲在數(shù)據(jù)庫中。當(dāng)用戶需要恢復(fù)備份時，客戶端向服務(wù)器發(fā)送請求服務(wù)，服務(wù)器響應(yīng)讀取數(shù)據(jù)庫中需要恢復(fù)備份的文件，這時服務(wù)器得到的還是密文，在服務(wù)器向客戶端發(fā)送響應(yīng)結(jié)果時進(jìn)行解密。

2.1 三維無簡并離散超混沌加密算法

本文提出了一種三維無簡并離散超混沌系統(tǒng)。無簡并離散超混沌系統(tǒng)是指混沌系統(tǒng)的維數(shù)與Lyapunov指數(shù)的個數(shù)相等，并且所有的Lyapunov指數(shù)均大于0。這種系統(tǒng)的好處是在正的Lyapunov指數(shù)越多并且足夠大的情況下，可使整個系統(tǒng)向多個不同方向拉伸和折疊變換，系統(tǒng)行為越復(fù)雜，其動力學(xué)性質(zhì)越會與一般的簡并混沌系統(tǒng)產(chǎn)生較大差異，具有更好的隨機(jī)統(tǒng)計特性[18]。

由于混沌系統(tǒng)產(chǎn)生的混沌序列不能直接用于數(shù)據(jù)加密，因此需要將超混沌系統(tǒng)進(jìn)行處理，以滿足數(shù)據(jù)加密算法需要[19]。

為確保超混沌系統(tǒng)完全進(jìn)入混沌狀態(tài)，預(yù)先讓系統(tǒng)迭代[l>50]次，并丟棄前面[l]個迭代序列。該混沌加密系統(tǒng)迭代方程如下：

式（1）中，[εsin（σp（k））]為全局有界控制器，[ε]和[σ]為控制參數(shù)。選取密鑰參數(shù)為[ε=3×108]，[σ=2×105]，計算得相應(yīng)的李氏指數(shù)為[LE1=14.9]，[LE2=14.8]，[LE3=0.19]。其中，加密表達(dá)式見式（2）。

式（2）中，[xe1（k）]表示狀態(tài)變量[xe1（k）]向下取整，[M（k）]表示明文數(shù)據(jù)，[⊕]表示按位異或運(yùn)算，mod為取模運(yùn)算。該系統(tǒng)使用了驅(qū)動——響應(yīng)式同步方法，通過[xe1（k+1）]產(chǎn)生的混沌序列與明文進(jìn)行異或得到密文，將輸出的密文[p（k）]反饋回到[xe2（k+1）]、[xe3（k+1）]方程中，從而構(gòu)成一個閉環(huán)反饋?zhàn)酝交煦缌髅艽a系統(tǒng)。算法采用的加密方式以字節(jié)為單位按流密碼方式進(jìn)行，通過取模方式將混沌序列處理為8位長度，取值為[0，255]的序列值。

混沌解密過程為加密的逆過程，解密只需將密文與[xe1（k+1）]所產(chǎn)生的混沌序列進(jìn)行相應(yīng)的逆運(yùn)算。該混沌解密系統(tǒng)的迭代方程如下：

其中，解密表達(dá)式為式（4），[C（k）]表示密文。

3 安全云備份系統(tǒng)開發(fā)及環(huán)境搭建

3.1 系統(tǒng)設(shè)計

云備份是指通過集群應(yīng)用、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲備份和業(yè)務(wù)訪問功能服務(wù)[20]，圖2顯示云備份過程。

云環(huán)境中存在用戶隱私安全、敏感信息泄露等問題，本文在云備份基礎(chǔ)上提出了一種安全云備份系統(tǒng)。該系統(tǒng)在手機(jī)云備份通訊錄基礎(chǔ)上提出一個安全云備份系統(tǒng)，基于Java語言采用SSM框架進(jìn)行編寫。系統(tǒng)由客戶端、服務(wù)器端和存儲端3部分組成?？蛻舳瞬捎肑ava語言編寫Android 應(yīng)用程序。服務(wù)器端為一個Tomcat服務(wù)器，這是一個輕量級應(yīng)用Web服務(wù)器，存儲端為一個部署在云端的MySQL數(shù)據(jù)庫。系統(tǒng)流程如圖3所示。

3.2 軟件設(shè)計

隨著手機(jī)通信錄功能的不斷完善，云備份已經(jīng)成為智能手機(jī)的通用功能。Android安全云備份通信錄系統(tǒng)客戶端主要包含添加聯(lián)系人、刪除聯(lián)系人、 云備份聯(lián)系人、云恢復(fù)聯(lián)系人、編輯聯(lián)系人、打電話、發(fā)短信等功能，其功能結(jié)構(gòu)如圖 4 所示。

首先，客戶端向服務(wù)器發(fā)送登錄請求，如果數(shù)據(jù)發(fā)送不成功，則重登錄機(jī)制會再次發(fā)送登錄請求;或者服務(wù)器接收到登錄請求，但用戶名驗(yàn)證不通過的情況下，服務(wù)器會向客戶端響應(yīng)一個登錄不成功消息。此時客戶端需要進(jìn)行相應(yīng)的注冊，注冊通過后再重新登錄。

登錄成功后，客戶端會跳轉(zhuǎn)至通訊錄頁面，用戶可添加聯(lián)系人到通訊錄，長按聯(lián)系人可進(jìn)行刪除。當(dāng)用戶點(diǎn)擊云備份聯(lián)系人時，客戶端首先對通訊錄中的聯(lián)系人電話號碼進(jìn)行超混沌加密，加密完成后通過http協(xié)議與服務(wù)器進(jìn)行連接發(fā)送post提交，服務(wù)器接收到請求后與數(shù)據(jù)庫建立連接，最后以密文的形式保存在數(shù)據(jù)庫中。

當(dāng)用戶在客戶端對云備份數(shù)據(jù)進(jìn)行恢復(fù)時，客戶端會向服務(wù)器發(fā)送post請求，服務(wù)器接收到請求后與數(shù)據(jù)庫建立查詢連接，然后服務(wù)器將查詢到的數(shù)據(jù)發(fā)送給客戶端，此時客戶端得到是密文。然后在客戶端再對加密數(shù)據(jù)進(jìn)行解密，得到解密后的數(shù)據(jù)顯示到客戶端界面上。

4 實(shí)驗(yàn)結(jié)果

本系統(tǒng)實(shí)驗(yàn)開發(fā)環(huán)境：Windows 7（64位）電腦，安卓端開發(fā)由Eclipse + SDK + ADT搭建。服務(wù)端由MyEclipse + Tomcat + MySQL搭建，Java版本為Jdk 8。為更好地顯示加密效果，使用Navicat對數(shù)據(jù)庫進(jìn)行可視化。

4.1 正常加密、解密

手機(jī)用戶在客戶端將通訊錄進(jìn)行加密后傳輸給服務(wù)器，傳輸成功客戶端會顯示“云備份完畢！”，服務(wù)器接受加密后的通訊錄，最終將通訊錄以密文形式存儲在數(shù)據(jù)庫中，圖5顯示數(shù)據(jù)庫存儲的通訊錄。當(dāng)用戶將通訊錄中的聯(lián)系人刪除后想恢復(fù)時，正確解密的情況下點(diǎn)擊“云恢復(fù)聯(lián)系人”，恢復(fù)成功會在客戶端顯示“云恢復(fù)完畢！”，如圖6所示。

4.2 加密及解密

當(dāng)用戶在客戶端進(jìn)行“云恢復(fù)聯(lián)系人”時沒有密鑰或密鑰錯誤，不能將加密信息正常解密時，顯示出來的是密文和亂碼，未能正確解密如圖7所示。

5 結(jié)語

本文針對云備份過程中存在的隱私泄露問題，提出了一種基于三維無簡并離散超混沌加密的云備份系統(tǒng)，該系統(tǒng)能在客戶端對通訊錄進(jìn)行加密、解密，并以密文的形式進(jìn)行傳輸和存儲，云提供商無法直接得到用戶數(shù)據(jù)，降低了數(shù)據(jù)在傳輸過程中被黑客攻擊造成用戶數(shù)據(jù)隱私信息泄露的風(fēng)險，實(shí)驗(yàn)結(jié)果論證了本文方法的有效性。但本文只是針對手機(jī)通訊錄的備份進(jìn)行加密，后續(xù)還可對手機(jī)相冊的備份進(jìn)行加密保存，后續(xù)工作可擴(kuò)展到其它方面應(yīng)用。

參考文獻(xiàn)：

[1] 梁蛟，劉武，韓偉力，等. 安卓云備份模塊的代碼安全問題分析[J]. 網(wǎng)絡(luò)與信息安全學(xué)報， 2017， 3（1）：68-78.

[2] BUYYA R， YEO C S， VENUGOPAL S， et al. Cloud computing and emerging IT platforms： vision， hype， and reality for delivering computing as the 5th utility[J]. Future Generation Computer Systems， 2009， 25（6）：599-616.

[3] VOUNDIKOE ARTHUR SANDOR. 基于樹訪問結(jié)構(gòu)的MA-ABE方案和安卓系統(tǒng)分析[D]. 長沙：湖南大學(xué)， 2015.

[4] 吳吉義，沈千里，章劍林，等. 云計算：從云安全到可信云[J]. 計算機(jī)研究與發(fā)展，2011，48（s1）：229-233.

[5] 馮登國，張敏，張妍，等. 云計算安全研究[J]. 軟件學(xué)報，2011，22（1）：71-83.

[6] TAKABI H， JOSHI J B D， AHN G J. Security and privacy challenges in cloud computing environments[J]. IEEE Security & Privacy， 2010， 8（6）：24-31.

[7] 李海濤. 云計算用戶數(shù)據(jù)傳輸與存儲安全研究[J]. 現(xiàn)代電子技術(shù)， 2013（20）：24-26.

[8] 洪漢舒，孫知信. 基于云計算的大數(shù)據(jù)存儲安全的研究[J]. 南京郵電大學(xué)學(xué)報：自然科學(xué)版， 2014， 34（4）：26-32.

[9] 余琦，凌捷. 基于HDFS的云存儲安全技術(shù)研究[J]. 計算機(jī)工程與設(shè)計， 2013， 34（8）：2700-2705.

[10] LI M， YANG C， TIAN J. Video selective encryption based on Hadoop platform[C].IEEE International Conference on Computational Intelligence and Communication Technology. IEEE， 2015.

[11] GAI K， QIU M， ZHAO H. Privacy-preserving data encryption strategy for big data in mobile cloud computing[J]. IEEE Transactions on Big Data， 2017 （99）：1-2.

[12] LIU H， WANG X， KADIR A. Chaos-based color image encryption using one-time keys and choquet fuzzy integral[J]. International Journal of Nonlinear Sciences and Numerical Simulation， 2014， 15（1）：1-10.

[13] 禹思敏， 呂金虎， 李澄清. 混沌密碼及其在多媒體保密通信中應(yīng)用的進(jìn)展[J]. 電子與信息學(xué)報， 2016， 38（3）：735-752.

[14] CROWD RESEARCH PARTNERS. Cloud security report[R]. https：//crowd research partners.com/portfolio/cloud-security-report/.2018.

[15] 郭雪雪，解福. 云環(huán)境下基于 ECC的數(shù)字認(rèn)證技術(shù)的研究[J]. 計算機(jī)與數(shù)字工程， 2015（3）：473-476.

[16] 宗永玲，王寶紅. 海量數(shù)據(jù)信息在云存儲中的安全研究[J]. 電子技術(shù)與軟件工程， 2014（12）：220-221.

[17] 李申華. 對稱密碼算法ARIA和SALSA20的安全性分析[D].濟(jì)南： 山東大學(xué)， 2008.

[18] 溫賀平， 禹思敏， 呂金虎. 基于Hadoop大數(shù)據(jù)平臺和無簡并高維離散超混沌系統(tǒng)的加密算法[J]. 物理學(xué)報，2017，66（23）：70-83.

[19] 溫賀平， 鮑晶晶， 柯居鑫，等. 基于 Hadoop 的 Lorenz 超混沌加密算法設(shè)計[J]. 計算機(jī)與現(xiàn)代化， 2018， 271（3）：2700-2705.

[20] 吳超龍. 在線云存儲系統(tǒng)的設(shè)計與應(yīng)用[D]. 廣州：華南理工大學(xué)，2010.

（責(zé)任編輯：杜能鋼）