文 / 趙瀟 楊建飛，中國(guó)電子科技集團(tuán)公司電子科學(xué)研究院

大數(shù)據(jù)云計(jì)算環(huán)境下的數(shù)據(jù)量大且結(jié)構(gòu)復(fù)雜，云計(jì)算利用虛擬化技術(shù)進(jìn)行資源的動(dòng)態(tài)切割和分配，滿足用戶的不同需求交付服務(wù)，為社會(huì)發(fā)展提供全新的視角，然而，機(jī)遇與挑戰(zhàn)是并存的，要重視和加強(qiáng)大數(shù)據(jù)云環(huán)境下的數(shù)據(jù)安全，確保網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)信息受到嚴(yán)格的保護(hù)，避免對(duì)數(shù)據(jù)信息的惡意篡改、破壞、泄露和竊取，全面做好數(shù)據(jù)信息的機(jī)密性、完整性和真實(shí)性、安全性保護(hù)。

1 云計(jì)算服務(wù)中的數(shù)據(jù)安全保護(hù)

云計(jì)算服務(wù)主要包括有以下類型，即：基礎(chǔ)設(shè)施即服務(wù)、平臺(tái)即服務(wù)、軟件即服務(wù)，其關(guān)鍵技術(shù)支持主要是集群技術(shù)、網(wǎng)格技術(shù)、分布式文件系統(tǒng)，有效保證存儲(chǔ)基礎(chǔ)設(shè)施、應(yīng)用和服務(wù)的高效協(xié)同集成，實(shí)現(xiàn)最佳的數(shù)據(jù)訪問。同時(shí)，云計(jì)算服務(wù)采用存儲(chǔ)虛擬化技術(shù)，將存儲(chǔ)基礎(chǔ)設(shè)施完全虛擬化為一個(gè)存儲(chǔ)資源池，實(shí)現(xiàn)對(duì)硬件資源的高效整合。

1.1 底層硬件設(shè)施層安全保護(hù)。底層硬件設(shè)施層能夠?yàn)楦邔討?yīng)用提供全面的資源服務(wù)，如：數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)訪問、數(shù)據(jù)運(yùn)算等，主要采用加固技術(shù)和虛擬化技術(shù)加以實(shí)現(xiàn)。其中：加固技術(shù)通過主動(dòng)性模式進(jìn)行底層硬件設(shè)施層次的物理設(shè)備的監(jiān)督和管理，包括存儲(chǔ)設(shè)備物理參數(shù)、存儲(chǔ)設(shè)備災(zāi)難恢復(fù)策略、存儲(chǔ)設(shè)備物理軟硬件升級(jí)等，確保物理設(shè)備的安全。虛擬化技術(shù)要重點(diǎn)考慮鏡像文件的安全，可以設(shè)計(jì)和應(yīng)用一種鏡像文件管理系統(tǒng)，對(duì)底層硬件設(shè)施層的鏡像文件進(jìn)行監(jiān)管，避免數(shù)據(jù)泄露或非法訪問的問題。

1.2 基礎(chǔ)管理層安全保護(hù)。要做好基礎(chǔ)管理層的外部防御，抵御來自云計(jì)算服務(wù)供給系統(tǒng)外部的安全攻擊，如：非法入侵、拒絕服務(wù)攻擊等，構(gòu)建完善的文件/日志管理機(jī)制，對(duì)底層硬件設(shè)施層配置必要的數(shù)據(jù)加密程序，并做好數(shù)據(jù)備份服務(wù)和數(shù)據(jù)容災(zāi)措施，確保云計(jì)算服務(wù)的連續(xù)性和安全高效性。同時(shí)，還要做好基礎(chǔ)管理層的內(nèi)部防范，可以制定服務(wù)水平協(xié)議，對(duì)云計(jì)算服務(wù)供給系統(tǒng)的服務(wù)實(shí)施實(shí)時(shí)監(jiān)管和控制，較好地滿足數(shù)據(jù)用戶的服務(wù)質(zhì)量要求。

1.3 應(yīng)用訪問層安全保護(hù)。應(yīng)用訪問層是云計(jì)算服務(wù)系統(tǒng)與外界交互的通道，要充分考慮數(shù)據(jù)用戶接入時(shí)的身份創(chuàng)建、注銷、認(rèn)證等服務(wù)，約束數(shù)據(jù)用戶的服務(wù)訪問，體現(xiàn)云計(jì)算服務(wù)隔離性的安全優(yōu)勢(shì)。

2 云計(jì)算服務(wù)中基于MB-tree的數(shù)據(jù)完整性保護(hù)

在大數(shù)據(jù)云計(jì)算服務(wù)之中，可以采用MB-tree樹型查詢認(rèn)證的方式加強(qiáng)數(shù)據(jù)完整性保護(hù)，該功能主要快速定位被檢驗(yàn)的數(shù)據(jù)信息文件分塊，采用高效的方法檢驗(yàn)數(shù)據(jù)信息文件分塊的真實(shí)性和完整性，采用健壯信息分割或秘密共享的方式，進(jìn)行數(shù)據(jù)信息文件分塊重組，具體包括有：快速檢索并獲取數(shù)據(jù)信息文件分塊信息；進(jìn)一步驗(yàn)證數(shù)據(jù)信息文件分塊的完整性，快速地進(jìn)行大規(guī)模數(shù)據(jù)信息文件的查詢認(rèn)證，確保檢驗(yàn)過程的快捷存儲(chǔ)和快速計(jì)算。

同時(shí)，還要對(duì)數(shù)據(jù)動(dòng)態(tài)操作提供支持和數(shù)據(jù)動(dòng)態(tài)變化后的完整性檢驗(yàn)保障，通過修改、插入、刪除等方式實(shí)現(xiàn)數(shù)據(jù)信息文件的動(dòng)態(tài)操作，具體步驟包括有：數(shù)據(jù)信息文件分塊預(yù)處理、定位數(shù)據(jù)信息文件分塊、數(shù)據(jù)信息文件分塊動(dòng)態(tài)操作憑證、動(dòng)態(tài)操作后數(shù)據(jù)信息文件分塊完整性檢驗(yàn)，較好地符合云存儲(chǔ)應(yīng)用場(chǎng)景的需求。

3 大數(shù)據(jù)云計(jì)算服務(wù)中的數(shù)據(jù)信息機(jī)密性保護(hù)

采用數(shù)據(jù)加密技術(shù)、重復(fù)數(shù)據(jù)刪除技術(shù)，保護(hù)大數(shù)據(jù)云環(huán)境下數(shù)據(jù)信息的機(jī)密性保護(hù)，確保大數(shù)據(jù)云計(jì)算環(huán)境下的數(shù)據(jù)安全。

3.1 公鑰基礎(chǔ)設(shè)施PKI和基于身份的加密IBE?？梢圆捎靡环N遵循標(biāo)準(zhǔn)的非對(duì)稱密碼算法提供安全服務(wù)，并采用基于身份的加密技術(shù)和方法，由表征數(shù)據(jù)用戶身份的任意字符串直接計(jì)算獲取所需的公開密鑰信息，使數(shù)據(jù)用戶進(jìn)行消息加密或驗(yàn)證。具體流程包括有：建立加密解密系統(tǒng)；提取私有密鑰；加密操作；解密操作，繼而又提出和設(shè)計(jì)一種分層的基于身份的加密方案（HIBE），復(fù)制主私鑰生成器PKG的私鑰信息，傳遞至下層的從私鑰生成器PKG，降低單一私鑰生成器PKG的工作負(fù)荷，確保私鑰信息不被泄露。

3.2 基于Fuzzy IBE機(jī)制的數(shù)據(jù)用戶身份信息隱私保護(hù)?；谀：矸菁用艿臋C(jī)制在云計(jì)算服務(wù)環(huán)境中應(yīng)用增多，然而難以避免技術(shù)性缺陷和其他問題，存在身份信息泄露的風(fēng)險(xiǎn)。為此要引入隨機(jī)掩碼技術(shù)，改變基于模糊身份機(jī)制的密文結(jié)構(gòu)，確保數(shù)據(jù)用戶身份描述信息的隱私。

4 云計(jì)算環(huán)境中基于可信環(huán)境的虛擬機(jī)及虛擬可信平臺(tái)遷移方法

大數(shù)據(jù)云計(jì)算服務(wù)基礎(chǔ)設(shè)施是數(shù)據(jù)存儲(chǔ)的載體，不可忽視數(shù)據(jù)用戶與云計(jì)算服務(wù)提供商之間的透明與安全問題，要以虛擬化、可信計(jì)算等技術(shù)為支撐和依托，實(shí)現(xiàn)云計(jì)算環(huán)境中的數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理和資源共享等操作。

4.1 虛擬化技術(shù)。虛擬化是一種抽象性的技術(shù)，在物理設(shè)備硬件和操作系統(tǒng)之間抽象出一個(gè)中間層次，使物理資源轉(zhuǎn)變?yōu)楠?dú)立的虛擬資源，應(yīng)用程序執(zhí)行環(huán)境由真實(shí)的物理設(shè)備遷移至中間層次之中，為不同用戶提供相應(yīng)的服務(wù)。

4.2 可信計(jì)算技術(shù)。考慮到虛擬化系統(tǒng)中存在身份管理、訪問控制、安全存儲(chǔ)、完整性度量等問題，為此要采用可信計(jì)算技術(shù)，為數(shù)據(jù)信息的安全存儲(chǔ)和敏感信息保護(hù)提供物理硬件設(shè)施的支持，對(duì)系統(tǒng)所有用戶進(jìn)行嚴(yán)格認(rèn)證和授權(quán)。

綜上所述，大數(shù)據(jù)云計(jì)算環(huán)境下的數(shù)據(jù)信息安全保護(hù)是關(guān)注焦點(diǎn)和重大研究課題，要面對(duì)數(shù)據(jù)信息存儲(chǔ)量日趨增長(zhǎng)的態(tài)勢(shì)，加強(qiáng)數(shù)據(jù)信息的存儲(chǔ)完整性保護(hù)、私密性保護(hù)和基礎(chǔ)設(shè)施安全保護(hù)，確保大數(shù)據(jù)云計(jì)算環(huán)境下服務(wù)的穩(wěn)定供給和支持，滿足不同用戶的實(shí)際應(yīng)用需求。后續(xù)還要利用數(shù)據(jù)結(jié)構(gòu)或高效模型組織和管理大規(guī)模的數(shù)據(jù)信息文件，引入非交互模式機(jī)制和方法實(shí)現(xiàn)數(shù)據(jù)信息的傳遞和共享。