栾忠祥

摘  要： 针对在云计算领域数据丢失与泄露产生的损失和影响不断加剧，研究分析了云计算框架的安全策略，讨论常用的数据加密算法。依据云环境的特性，提出了在保证服务质量与数据完整的前提下，对云计算中使用的数据进行加密，同时使用各类工具进行身份验证，为各类使用者制定相关云计算安全服务体系。在对已有安全保护的技术对比分析和加密算法深入讨论的基础上，指出了云计算中数据安全的未来发展方向。

关键词： 云计算; 云存储; 数据安全; 隐私保护; 数据加密

中图分类号：TP309.2        文献标识码：A     文章编号：1006-8228（2021）04-35-03

Abstract： In the field of cloud computing， the loss and impact resulted in by data loss and data leakage have been increasing. This paper studies and analyzes the security strategy of cloud computing framework， and discusses the common data encryption algorithms. According to the characteristics of cloud environment， this paper proposes to encrypt the data used in cloud computing on the premise of ensuring the quality of service and data integrity， and at the same time， use various tools for identity authentication， in order to formulate relevant cloud computing security service system for all kinds of users. On the basis of comparative analysis of existing security protection technologies and in-depth discussion of encryption algorithms， the future development direction of data security in cloud computing is pointed out.

Key words： cloud computing; cloud storage; data security; privacy protection; data encryption

0 引言

云计算作为21世纪互联网时代最重要的高新技术之一，引发了全球各大企业对云计算领域的研发，但随着研究的深入，云计算数据的安全性越来越引起广泛的重视，研发者开始进军数据安全领域，着重于数据的隐私保护与加密，提升用户体验，打造企业的知名度，同时在国家层面，提高互联网国际竞争优势。

在互联网发展的大环境下，政府部门，企业或者个人用户将私人信息或者公共信息存入云端，对云计算数据的安全保护显得尤为重要。当云端数据出现风险时，会导致数据泄露，数据信息不完善，数据冒用等情况，会给个人和机构带来巨大的经济损失。但是通过数据安全技术的应用，能够实现对使用者信息數据的安全保护，提高数据的安全性，大幅度降低信息数据丢失和出错，可以防止用户自身的利益或者企业的集体利益受到重创。所以，提高数据的安全性，对数据进行加密保护不仅是项目团队研发的需要，也是国家实力提升的象征。

同时随着事物之间的共享，互联等特性[1]，更要极力保证数据的真实性，可靠性，防止垃圾信息占据过多的公共资源空间，通过将信息安全引入云计算领域，保证网络环境的将抗，积极向上。

1 云计算框架的安全策略分析

云计算技术主要面临三大层面的安全威胁：以操作系统等基础部件为主的基础设施即服务层（IaaS）[1]，以网络平台开发环境和资源为主的平台即服务层（PaaS）[2]，以软件实际应用为主的软件即服务层（Saas）[3]。依据三大层面可将云计算租户责任和云服务商责任模式划分如表1所示。

由表1可知：软件即服务层的数据信息是既是租户应承担的责任，同时也是运服务商的负责领域，只有IaaS层的数据信息是租户负责的。由此，我们针对以上三大层面数据的保障与应用进行详细探讨并对现阶段我国在该领域的突破进行说明。

1.1 Joyent智慧云技术在IaaS层的应用

在数据安全方面，Joyent智慧云技术法使root用法户执行每台机器管理的同时，无法再去操控操作系统的内核。通过隔离的方式，将内存独立成一个整体;采用关闭网络或者使用其他网络的方式进行网络隔离;并通过对处理器的隔离操作，阻止网络的开启配置任务，并有效阻止流量的探测，保证用户使用的云应用程序是相互隔离的，由此确保数据的安全性。

1.2 GAE在PaaS层的应用

在数据安全方面，PaaS层的应用必须有具体的客户标识符，通常由一个键值确定，避免与其他用户的数据信息发生冲突。Google App Engine可以通过虚拟化应用程序，来进行开发和托管，主要针对Web网页的应用程序。GAE提供了一套帮助机制，帮助用户获取互联网资源并将其保存，也可以使用这套机制发送邮件或者对图文信息进行操作，同时也有部分使用者用这套机制缓冲数据。此外，开发人员使用该平台不用考虑内存等难以控制的问题，但GAE对文档的操作以及数据的应用（如查询信息）要求严格，必须以索引形式进行，而且不支持同时两个不等式做条件的查询。针对用户体验而谈，用户只需要使用供应商提供的资源，就可以进行开发或者委托管理，解决了硬件设施问题，选择的委托管理方安全问题以及其他运维资金问题。

1.3 SaaS层数据安全保障与应用

大部分企业选择使用基于网络的加密代理方式保证数据的安全。此外，在云计算领域还有两种常见的数据加密方式：第一种方式是用户在客户端发送数据后在本地接收密钥，系统对数据进行加密并保存在云存储空间中，密钥始终在用户手中;第二种方式是在发送数据之前在本地进行加密。这两种方式对软件要求较高且具有很难管理，只有少部分企业使用。

2 云计算数据加密技术的算法研究

研发团队使用的加密技术，一般是以加密盘或存储加密为主的加密方式，这类加密技术的工作区域在存储后端，但从加密位置看，一般分为应用层加密、网关层加密、存储系统加密和后续研发的加密硬盘技术[4]。这四类加密方式具体信息如表2所示。

因为应用层加密方式在网络层和存储系统中是无反应的，所以其兼容性最好，同时也可以保证数据传输的安全性。根据以上提到的加密方式相关算法，我们针对常用的用户在应用层上传数据的加密技术，通过数字签名方式的非对称算法加密技术，以及与对称加密算法相结合的加密技术进行详细讨论。

2.1 应用层加密

随着互联网的发展，以抖音，新浪微博，知乎等软件越来越得到各个年龄段人的青睐，但用户在使用中只能控制粗粒度的访问，无法控制细粒度的访问，在此层面可以给被关注者细粒度访问的授权，或者设置密文控制防止权限，同时用户有选择地决定应用软件是否可以使用手机定位信息。此外，可以通过随机哈希锁实现RFID的安全保证和数据加密，防止在消费中造成数据泄露。

2.2 数字签名

在非对称加密领域，数字信息更能体现数据的真实性和完整性，于是通过数字串形成的数字签名成为该领域研发较多的技术。对于安全性要求较高的信息数据，一般使用融合数字签名与其他身份鉴别技术组成身份认证系统，避免使用者的隐私信息泄露或者身份造假，确保数据使用的安全性，目前，通常使用融合二维码、数字签名以及人脸识别等技术的身份认证系统[5]。

2.3 对称加密算法与非对称加密算法相结合

用户在使用云计算服务中，无法保证隐私信息是否能得到保护，随着信息安全研究的深入，研究人员根据对称密钥在云计算中适合对海量数据进行加密以及非对称密钥具有较高的安全性，得出了两种算法相结合的方案[6]，实现了运行效率高，安全性能好的数据存储机制。而两种算法相结合的使用方法也可以实现算法的最优化，一定程度上可以杜绝非法输入情况。

3 云计算的安全服务体系

随着云计算研究的深入，使用者数量的逐渐增加，保证云计算应用中数据安全的服务显得格外重要，针对现有的云计算安全技术，可以针对用户对数据安全性的需求等级，将其服务体系分为三种体系：第一种体系是以公共服务平台类型为主的云计算安全基础服务体系;第二种体系是以商务应用服务类型为主的云计算安全应用服务体系;第三种体系是以政府军队的部分保密机关类型为主的云计算安全军政服务体系。它们的适用领域及研发难度如表3所示。

由表3可知，在云计算安全服务三大体系，随着使用者对云环境要求的提升，研发团队使用的技术难度也逐步提升，由此，我们针对这三类服务体系的服务内容将其进行详细说明。

3.1 云计算安全基础服务

云计算安全基础服务以提高社会公民生活水平为基准，在保证公民信息安全的前提下，实现公民衣食住行方面的便利条件。现阶段以阿里云，美团云，携程云等为广大公民提供云服务，部分社区实行智慧城市标准，开启社区云服务，逐步提高居民生活水准。

3.2 云计算安全应用服务

云计算安全应用服务通过设置企业各员工权限，提供云办公环境，保证员工的办公效率和公司内部信息的安全性，同时配合高权限者的身份管理，以及公司云监管，云审计，保证了公司的财务透明度。

3.3 云计算安全军政服务

云计算安全军政服务通过加密使用者在应用层上传的数据做出对数据的基本加密，通过数字签名等非对称加密算法保证在机关开会期间的数据完整性和可靠性，同时对机关工作人员的身份进行鉴别，并在此基础上添加对称加密算法与其结合等方式，保证了政府及军队信息的保密性，同时通过多重云监管模式和在职人员的权限设置，保证政务信息不会泄露，每一位使用者不会浏览到越过自己权限的信息，保证政务信息的专一性。同时可以防止垃圾信息进入云办公环境中。

4 结束语

本文提出了在互联网时代云计算数据的安全保护方案，结合云计算领域数据丢失与泄露产生的损失和影响不断加剧的问题，基于云计算框架的安全策略分析与数据加密技术的算法研究，实现了以公共服务平台类型为主的云计算安全应用服务体系和以商务应用服务类型为主以政府军队的部分保密机关类型为主的云计算安全军政服务体系。

本文结合Joyent智慧云技术法对基础设施即服务层技术分析，GAE在平台即服务层操作研究以及在软件即服务层的三种加密方式，重点探讨了云计算安全框架的安全技术;根据讨论结果对数据加密常用的算法进行详细研究，通过在网络媒体授权细粒度访问以及使用随机哈希锁保障RFID的安全是实现在应用层加密，使用非对称加密方式（如数字签名）保障身份可靠性和完整性，并结合对称加密算法提高数据安全性;在此基础上，针对用户对数据安全性的需求等级，将其服务体系分为三种体系，提高用户使用的便利性。对于云空间入侵者窃取挖掘用户信息的防范对策，可用作后续的研究工作。

参考文献（References）：

[1] 岳冬利，刘海涛，孙傲冰.IaaS公有云平台调度模型研究[J].计算机工程与设计，2011.32（6）：1889-1892，1897

[2] 罗军舟，金嘉晖，宋爱波，东方.云计算：体系架构与关键技术[J].通信学报，2011.32（7）：3-21

[3] 林海略，韩燕波.多租户应用的性能管理关键问题研究[J].计算机学报，2010.33（10）：1881-1895

[4] 姜唐.云计算安全之数据加密[J].计算机与网络，2018.44（18）：52-53

[5] 徐剑，赵英南，田永纯，周福才.融合二維码与人脸识别的会议身份认证系统研究[J].信息网络安全，2015.4：13-18

[6] 胡光永.基于云计算的数据安全存储策略研究[J].计算机测量与控制，2011.19（10）：2539-2541