云計算中安全技術(shù)強化性研究

楊曉靜，陳明晰，孫 濤

（西安石油大學(xué) 計算機學(xué)院，陜西 西安 710065）

云計算中安全技術(shù)強化性研究

楊曉靜，陳明晰，孫 濤

（西安石油大學(xué) 計算機學(xué)院，陜西 西安 710065）

云安全中的隱私保護和數(shù)據(jù)安全是當今的研究焦點，決定了其未來的發(fā)展前景。針對云計算安全風(fēng)險，本研究將橢圓曲線加密技術(shù)和高級加密技術(shù)高效組合應(yīng)用于由Hadoop和Cassandra構(gòu)成的云環(huán)境中，在保證數(shù)據(jù)安全和隱私保護的同時最小化額外開銷，為了保護云安全，文章還應(yīng)用了MATLAB技術(shù)進行軟件開發(fā)。

云計算；云安全；橢圓曲線加密；公鑰加密；云存儲；MATLAB

云計算是當今最具活力研究領(lǐng)域，它為用戶提供各種服務(wù)，其中一種重要的服務(wù)是云存儲。云存儲是指用戶將大量的私人數(shù)據(jù)存儲在在線的空間。嚴謹?shù)刂v：云存儲是一種服務(wù)模型，在這種模型中用戶通過網(wǎng)絡(luò)遠程保存、處理、備份數(shù)據(jù)。

借助Hadoop存儲數(shù)據(jù)：Apache Hadoop開發(fā)了一個Hadoop應(yīng)用程序管理云存儲。多個數(shù)據(jù)塊的副本被創(chuàng)建和分布中一個集群的多個計算節(jié)點上從而加訪問算速度。一個橫向擴展的架構(gòu)利用一組被規(guī)劃服務(wù)器確保每個服務(wù)器承擔更低的內(nèi)部存取壓力。Hadoop數(shù)據(jù)被分割成塊分布在整個集群中。Mapreduce涉及映射和集約兩種操作，映射操作輸入密鑰數(shù)據(jù)對產(chǎn)生中間的密鑰/數(shù)據(jù)而規(guī)約操作將中間密鑰數(shù)據(jù)對劃分成更小的數(shù)據(jù)集合。MapReduce很適合大數(shù)據(jù)的處理。

1 云計算研究背景

云計算通過一些公有、私有的網(wǎng)絡(luò)連接很多系統(tǒng)，為應(yīng)用程序、數(shù)據(jù)、文件存儲提供基礎(chǔ)設(shè)施，具備可伸縮性和動態(tài)性，但是存在大量的安全問題。在公共云中常用的加密技術(shù)包括高級加密標準（Advanced Encryption Standard，AES）和橢圓曲線加密（Elliptic Curve Cryptography，ECC）。AES：基于替代和置換網(wǎng)絡(luò)，是一種對稱加密，相同的密約執(zhí)行加密和解密操作。ECC是一種公鑰加密方案基于橢圓曲線離散對數(shù)問題的困難性。每個用戶擁有公鑰和私鑰，公鑰用于加密和簽名驗證，私鑰用于解密和數(shù)字簽名生成。

本研究將橢圓曲線加密技術(shù)和高級加密技術(shù)高效組合應(yīng)用于由Hadoop和Cassandra構(gòu)成的云環(huán)境中，實現(xiàn)了公共云中實現(xiàn)數(shù)據(jù)完整性和高等級的安全。對稱加密如AES，公鑰如ECC。本系統(tǒng)的框圖如圖1所示。

2 系統(tǒng)開發(fā)所用技術(shù)

云提供者提供數(shù)據(jù)存取服務(wù)，云用戶可以訪問和存取數(shù)據(jù)。在當前的環(huán)境中，由于安全等級較低，數(shù)據(jù)很容易被第三方和匿名用戶竊取。在本研究中，為了數(shù)據(jù)的安全加密技術(shù)以一種更有效的方式融入。云存儲中加密技術(shù)實現(xiàn)數(shù)據(jù)的完整性驗證，無需可信的第三方認證（The Third Party Authentication, TTPA）。使用橢圓曲線加密提高安全性：Diffie-Hellman和ElGamal的安全性取決于有限循環(huán)群中的離散對數(shù)。用于公鑰加密的傳統(tǒng)群是Z*p，計算離散對數(shù)最常用的方法是指數(shù)計算法。RSA加密算法和ElGamal適合于橢圓曲線，各自的變體被稱為橢圓曲線。例如2048位密鑰的RSA算法的安全性可以達到224位橢圓曲線密鑰的安全性。

3 橢圓曲線的設(shè)計

圖1 本系統(tǒng)框圖

加密系統(tǒng)包括基于Diffie-Hellman算法的橢圓曲線模擬的方案生成密鑰和基于ElGamal的橢圓曲線模擬的方案用于加密和解密。

橢圓曲線是一條平面曲線，形式如下：

其中X和Y有限域上的元素。文中用到參數(shù)含義：E代表了橢圓曲線，P是曲線上的點，生成了一個n階的循環(huán)子群E。對于循環(huán)子群E，生成元P：

={8，2P，3P，…，（n-1）P}

3.1 密鑰生成

對應(yīng)Diffie-Hellman公鑰系統(tǒng)，可以通過如下方式在橢圓曲線上予以實現(xiàn)：在E上選取生成元P，要求由P產(chǎn)生的群元素足夠多，通信雙方A和B分別選取a和b，a和b予以保密，但將aP和bP公開，A和B間通信用的密鑰為abP，這是第三者無法得知的。

加密：將明文m嵌入到E上Pm點，選一點B∈E，每一用戶都選一整數(shù)a，0＜a＜N，N為階數(shù)已知，a保密，aB公開。欲向A送m，可送去下面一對數(shù)偶：［kB，Pm+k（aAB）］，k是隨機產(chǎn)生的整數(shù)。A可以從kB求得k（aAB）。通過：Pm+k（aAB）- k（aAB）=Pm恢復(fù)Pm。同樣對應(yīng)DSA，考慮如下等式：

K=kG [其中K，G為Ep（a，b）上的點，k為小于n（n是點G的階）的整數(shù)]

不難發(fā)現(xiàn)，給定k和G，根據(jù)加法法則，計算K很容易；但給定K和G，求k就相對困難了。點G稱為基點（base point），k（k

使用ECC，不同的會話分享不同的密鑰，因此入侵者不可能追蹤數(shù)據(jù)。因此安全性能高且密鑰發(fā)散問題得到保證。

3.2 設(shè)計實現(xiàn)

云系統(tǒng)中安全傳輸，利用Hadoop工具初始化云存儲器（例如超過1T的數(shù)據(jù)。當用戶1訪問存儲在云環(huán)境中的數(shù)據(jù)，需要發(fā)送用戶憑證（用戶名，id，密鑰）。

圖2描述了應(yīng)用AES技術(shù)完成身份驗證。應(yīng)用Cassandra工具，創(chuàng)建授權(quán)數(shù)據(jù)庫保存ID，用戶名和密鑰。

圖2 使用AES技術(shù)技能型加密認證

用戶1希望訪問存儲在Hadoop中的信息，集中式認證中心驗證數(shù)據(jù)庫中用戶身份憑證。如果用戶的身份憑證和授權(quán)數(shù)據(jù)庫中的信息匹配，如圖3所示，給集中式認真中心反饋”yes”。集中式認證中心接受用戶訪問數(shù)據(jù)。

圖3 表示應(yīng)用Cassandra工具創(chuàng)建授權(quán)數(shù)據(jù)庫

圖4描述一旦認證成功，應(yīng)用ECC加密在用戶和集中式認證中心之間傳送的信息。圖5顯示，一旦認證不成功，應(yīng)用ECC通信將被拒絕。

圖4 應(yīng)用ECC安全通信

圖5 拒絕黑客

表1描述了應(yīng)用ECC對不同長度的數(shù)據(jù)加密和解密時間，圖6描述了加密時間和解密時間的關(guān)系。

表1 應(yīng)用ECC對不同長度的數(shù)據(jù)加密和解密時間

4 結(jié)語

在由Hadoop和Cassandra組成云環(huán)境中。通過使用AES技術(shù)在用戶和授權(quán)數(shù)據(jù)庫之間認證用戶真實身份。一旦認證成功，使用橢圓曲線加密在技術(shù)在用戶和認證中心之間通信。這種加密方案強化數(shù)據(jù)安全性、保護用戶隱私，但同時安全開銷較小。實際應(yīng)用也證實這是一種高效安全的加密方案。

圖6 加密時間與解密時間關(guān)系

[1] DEVI D, ARUN P S.A Design for secure data sharing in cloud[J].International Journal of Engineering Research and General Science, 2014（5）：72-77.

[2]XIAO C Y, ZENG G L, HOON J L.An Efficient and Secured Data Storage Scheme in Cloud Computing Using ECC-based PKI[J]. International Conference on Applied Chemistry and Chemical Engineering，2014（10）：523-527.

[3]POOJA H P, NAGARATHNA N. Privacy Preserving Issues and their Solutions in Cloud Computing[J].International Journal of Computer Science and Information Technology, 2014（2）：1588-1592.

[4]洪澄，張敏，馮登國. AB-ACCS：一種云存儲密文訪問控制方法[J].計算機研究與發(fā)展，2010（Z1）：47.

Research on security strengthening property of technology in cloud computing

Yang Xiaojing, Chen Mingxi, Sun Tao
（Computer Science College of Xi’an Shiyou University, Xi’an 710065, China）

Privacy protection and data security in the cloud security is the focus of today’s research, to determine its future development prospects. Based on cloud computing security risk, this study applied elliptic curve encryption technology and advanced encryption technology efficient combination to the in the cloud environment composed of Hadoop and Cassandra, to ensure data security and privacy protection while minimizing the overhead, in order to protect the security of cloud, the application of the MATLAB technology is carried on the software development.

cloud computing; cloud security; elliptic curve cryptography; public key encryption; cloud storage; MATLAB

楊曉靜（1972— ），男，陜西西安；研究方向：云計算，網(wǎng)絡(luò)安全。