基于云計(jì)算的計(jì)算機(jī)信息安全技術(shù)分析

王 娜

(中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司 北京 100033)

0 引言

云計(jì)算數(shù)據(jù)安全管理是將計(jì)算任務(wù)部署到云端,通過基于云端數(shù)據(jù)庫、服務(wù)器、OpenID的統(tǒng)一身份管理模型、PGP全信任模型等軟硬件,建立起統(tǒng)一資源定位符(uniform resource locator, URL)數(shù)字身份認(rèn)證、公鑰環(huán)數(shù)字簽名加密管理系統(tǒng),進(jìn)行用戶跨域、跨服務(wù)器登錄的身份認(rèn)證,并根據(jù)終端用戶授權(quán)共享其部分身份信息。隨后引入基于數(shù)據(jù)分離的安全存儲(chǔ)算法(KPDA data separation algorithm, KPDA),設(shè)置分布式存儲(chǔ)系統(tǒng)的有限域、數(shù)據(jù)信息長(zhǎng)度,計(jì)算出不同數(shù)據(jù)切片的元素集合,將其分發(fā)、存儲(chǔ)至相應(yīng)的云服務(wù)器中,數(shù)據(jù)恢復(fù)時(shí)應(yīng)通過先獲取云服務(wù)器的身份信息、再還原數(shù)據(jù)塊矩陣階梯陣列向量,得到原始的網(wǎng)絡(luò)數(shù)據(jù)信息。

1 基于OpenID統(tǒng)一身份認(rèn)證模型的云計(jì)算用戶訪問管理控制

1.1 云計(jì)算網(wǎng)絡(luò)安全的用戶統(tǒng)一身份管理需求

云計(jì)算網(wǎng)絡(luò)平臺(tái)屬于異構(gòu)的數(shù)據(jù)傳輸與存儲(chǔ)模型,用戶訪問的數(shù)據(jù)資源、功能服務(wù)被配置于不同域中,使用傳統(tǒng)單點(diǎn)登錄URL網(wǎng)絡(luò)站點(diǎn)的訪問模式,只能被用于解決域內(nèi)的訪問需求,而不能對(duì)跨域訪問用戶做出認(rèn)證。因而引入基于OpenID的統(tǒng)一身份認(rèn)證模型,以用戶為中心設(shè)置開放化、分散化的數(shù)字身份識(shí)別框架,只需要用戶在OpenID服務(wù)網(wǎng)站處預(yù)先注冊(cè),獲取其OpenID身份標(biāo)識(shí)符URI(uniform resource identifier, URI)/XRI,由OpenID服務(wù)提供商在用戶登錄時(shí)鑒權(quán)其終端身份,包括URI身份信息、XRI字符串標(biāo)識(shí)符,若OpenID 服務(wù)網(wǎng)站驗(yàn)證用戶身份通過后,則將跳轉(zhuǎn)至支持OpenID身份認(rèn)證的服務(wù)方(relying party, RP)網(wǎng)絡(luò)站點(diǎn),此時(shí)無須再進(jìn)行用戶名、密碼的重新認(rèn)證[1]。

在用戶統(tǒng)一身份認(rèn)證管理過程中,基于OpenID URI數(shù)字身份的認(rèn)證方案,具有去中心化、便捷化特征,通過將用戶身份認(rèn)證、應(yīng)用服務(wù)相分離,由OpenID認(rèn)證服務(wù)器對(duì)用戶URI/XRI身份標(biāo)識(shí)信息、登錄密碼做出統(tǒng)一認(rèn)證,終端用戶也可自行管理個(gè)人身份標(biāo)識(shí)信息的分發(fā),滿足用戶不同的數(shù)據(jù)及服務(wù)訪問需求。

1.2 OpenID用戶統(tǒng)一身份認(rèn)證的模型架構(gòu)

OpenID統(tǒng)一身份認(rèn)證模型內(nèi)包含用戶、OpenID服務(wù)器、RP服務(wù)方站點(diǎn)等組成實(shí)體[2]。用戶可根據(jù)需求選擇某一分散的OpenID認(rèn)證服務(wù)器注冊(cè)個(gè)人登錄信息,OpenID認(rèn)證服務(wù)器向用戶發(fā)送唯一的URI身份標(biāo)識(shí)信息(如username.op.com)。同時(shí)用戶可在多個(gè)OpenID認(rèn)證服務(wù)器中注冊(cè)個(gè)人信息,當(dāng)某一OpenID認(rèn)證服務(wù)器發(fā)生故障時(shí),可按照XRDS系統(tǒng)設(shè)定的優(yōu)先級(jí)順序選擇其他OpenID服務(wù)器,完成用戶身份認(rèn)證,支持OpenID協(xié)議的所有云服務(wù)訪問。

假設(shè)訪問用戶為Alice,用戶Alice在OpenID 服務(wù)網(wǎng)站中注冊(cè)的URI身份標(biāo)識(shí)為“alice.openid-provider.org”,此時(shí)用戶Alice若要使用該URI身份標(biāo)識(shí)登錄至RP服務(wù)方的“example.com”網(wǎng)絡(luò)站點(diǎn),則需要經(jīng)歷以下的OpenID身份認(rèn)證流程。

(1)用戶Alice在網(wǎng)絡(luò)計(jì)算機(jī)瀏覽器內(nèi)輸入“example.com”網(wǎng)絡(luò)訪問站點(diǎn),example.com收到訪問服務(wù)請(qǐng)求立即跳轉(zhuǎn)至OpenID身份認(rèn)證頁面。OpenID服務(wù)器、RP服務(wù)方站點(diǎn)間通過共享密鑰建立關(guān)聯(lián),利用會(huì)話請(qǐng)求、會(huì)話響應(yīng)階段的共享密鑰,可檢驗(yàn)XRI Resolution協(xié)議(用于解析XRI)、Yadis協(xié)議(用于解析URL)的合法性。

(2)由OpenID認(rèn)證服務(wù)器根據(jù)用戶輸入的個(gè)人注冊(cè)信息登錄表單,認(rèn)證用戶“xri://$ip”“xri://$dns”或URI身份標(biāo)識(shí)信息的合法性,若合法則允許用戶登錄至OpenID服務(wù)器。

(3)RP服務(wù)方存儲(chǔ)關(guān)聯(lián)句柄,并向OpenID服務(wù)器發(fā)出認(rèn)證用戶身份請(qǐng)求。OpenID服務(wù)器、RP服務(wù)方站點(diǎn)間使用Diffie-Hellman密鑰交換協(xié)議進(jìn)行通信,使用共享密鑰對(duì)完成數(shù)據(jù)消息的數(shù)字簽名和驗(yàn)證。

(4)RP服務(wù)方自動(dòng)發(fā)現(xiàn)用戶的URI地址、“openid-provider.org”身份標(biāo)識(shí)信息,并創(chuàng)建與OpenID服務(wù)器方的Association關(guān)聯(lián)的共享密鑰,向OpenID服務(wù)器發(fā)送用戶身份標(biāo)識(shí)斷言的請(qǐng)求,OpenID認(rèn)證服務(wù)器接收請(qǐng)求后,返回驗(yàn)證過的URI身份標(biāo)識(shí)信息和關(guān)聯(lián)句柄。

(5)RP服務(wù)方會(huì)將自身發(fā)現(xiàn)查詢的“openid-provider.org”身份標(biāo)識(shí)信息與OpenID服務(wù)器返回的URI身份標(biāo)識(shí)信息進(jìn)行匹配,若用戶Alice的身份標(biāo)識(shí)信息“openid-provider.org”不合法,則RP服務(wù)方得到否定回答,“example.com”網(wǎng)絡(luò)站點(diǎn)拒絕用戶登錄;若“openid-provider.org”身份標(biāo)識(shí)信息合法,則RP服務(wù)方允許用戶Alice登錄,隨后網(wǎng)絡(luò)站點(diǎn)保存該次會(huì)話。

(6)屬性交換。在RP服務(wù)方提交用戶身份驗(yàn)證請(qǐng)求的過程中,向OpenID認(rèn)證服務(wù)器發(fā)出自身需要某些用戶信息字段(也即用戶屬性信息)的請(qǐng)求,隨后OpenID認(rèn)證服務(wù)器將這一用戶信息訪問請(qǐng)求發(fā)送至用戶終端,由用戶決定是否向其提供身份屬性信息,若用戶同意則由OpenID服務(wù)器返回類似“http://openid.net/srv/ax/1.0”的身份屬性信息,RP服務(wù)方接收指定的屬性列表、身份屬性信息,若不同意則拒絕訪問。

2 基于PGP全信任模型的云計(jì)算網(wǎng)絡(luò)數(shù)據(jù)數(shù)字簽名加密

PGP全信任模型為依托于OpenPGP數(shù)字簽名標(biāo)準(zhǔn)規(guī)格的密文加密技術(shù),負(fù)責(zé)生成公鑰密碼的密鑰對(duì)、加密和解密、數(shù)字簽名生成和驗(yàn)證等操作。基于PGP信任模型的去中心化分布式網(wǎng)絡(luò)數(shù)據(jù)加密,通常采取公鑰環(huán)信任模式,實(shí)現(xiàn)一次性會(huì)話密鑰的加密、解密、生成數(shù)字簽名、驗(yàn)證數(shù)字簽名,進(jìn)而確保分布式網(wǎng)絡(luò)數(shù)據(jù)消息傳輸、存儲(chǔ)的安全性[3]。具體的PGP全信任模型的云計(jì)算數(shù)據(jù)加密、數(shù)字簽名流程如圖1所示。

(1)分布式網(wǎng)絡(luò)數(shù)據(jù)消息加密。使用偽隨機(jī)數(shù)生成器自動(dòng)生成會(huì)話密鑰對(duì),用接收者的公鑰密碼加密會(huì)話密鑰,用會(huì)話密鑰對(duì)數(shù)據(jù)壓縮消息加密,將經(jīng)過加密后的網(wǎng)絡(luò)數(shù)據(jù)消息、加密后的會(huì)話密鑰合并,并將加密后的網(wǎng)絡(luò)文本數(shù)據(jù)轉(zhuǎn)換為報(bào)文數(shù)據(jù)。

(2)壓縮數(shù)據(jù)消息解密。接收者輸入解密的口令,使用單向散列函數(shù)求取口令的散列值(如用戶登錄身份認(rèn)證的password口令),生成私鑰的解密密鑰。對(duì)接收與轉(zhuǎn)換完成的報(bào)文數(shù)據(jù),使用私鑰進(jìn)行會(huì)話密鑰解密,再使用會(huì)話密鑰的對(duì)稱密碼解密壓縮數(shù)據(jù),得到原始的數(shù)據(jù)消息。

(3)生成數(shù)字簽名。由發(fā)送用戶輸入數(shù)字簽名口令Signature,確定與接收用戶PGP公鑰相關(guān)的“密鑰所有者”“密鑰數(shù)字簽名”“密鑰合法性Key Legitimacy”等指示字段。使用單向散列函數(shù)求取簽名口令的散列值,對(duì)原始數(shù)據(jù)消息的散列值進(jìn)行數(shù)字簽名,將原始數(shù)據(jù)消息、簽名后的數(shù)據(jù)散列值合并,壓縮為文本數(shù)據(jù),通過二進(jìn)制文本轉(zhuǎn)換器轉(zhuǎn)換為報(bào)文數(shù)據(jù)。

(4)驗(yàn)證數(shù)字簽名。使用二進(jìn)制文本轉(zhuǎn)換器,將報(bào)文數(shù)據(jù)轉(zhuǎn)換成二進(jìn)制文本數(shù)據(jù),對(duì)壓縮過的數(shù)據(jù)解壓縮,分解解壓縮后的數(shù)據(jù)為原始數(shù)據(jù)消息、簽名后的數(shù)據(jù)散列值。將簽名后的數(shù)據(jù)散列值使用發(fā)送用戶的PGP公鑰解密,使用單向散列函數(shù)計(jì)算分解的原始數(shù)據(jù)消息散列值,比較二者生成的散列值結(jié)果,若相等則表明數(shù)字簽名驗(yàn)證成功,否則表示驗(yàn)證失敗。

3 基于KPDA數(shù)據(jù)分離算法的云計(jì)算數(shù)據(jù)安全存儲(chǔ)

3.1 數(shù)據(jù)分離與恢復(fù)算法的主要技術(shù)

KPDA數(shù)據(jù)分離算法也被稱為密鑰策略分散算法,主要面對(duì)C/S(服務(wù)器/客戶機(jī))結(jié)構(gòu)、數(shù)據(jù)塊存儲(chǔ)的服務(wù)器文件系統(tǒng),將云計(jì)算網(wǎng)絡(luò)數(shù)據(jù)分塊、獨(dú)立分布到n個(gè)物理節(jié)點(diǎn)之中保存,這時(shí)便需要用到數(shù)據(jù)分離與恢復(fù)算法?，F(xiàn)有的數(shù)據(jù)分離算法包括數(shù)據(jù)條帶分割技術(shù)、密鑰加密技術(shù)、糾刪編碼技術(shù)等[4]。

(1)數(shù)據(jù)條帶分割技術(shù)。數(shù)據(jù)條帶分割是將原始數(shù)據(jù)分割為若干個(gè)小段,保存不同數(shù)據(jù)塊至相應(yīng)的服務(wù)器存儲(chǔ)設(shè)備中。如:獨(dú)立磁盤冗余磁盤陣列(redundant array of independent disk, RAID)條帶分割技術(shù),是將數(shù)據(jù)分割存儲(chǔ)至RAID0、RAID1、…、RAIDn等的數(shù)據(jù)字節(jié),不同數(shù)據(jù)字節(jié)被寫入不同的存儲(chǔ)磁盤[5]。即使某一磁盤出現(xiàn)故障,其他磁盤不受影響,該磁盤分割的數(shù)據(jù)可通過奇偶校驗(yàn)、糾刪編碼等方式重建。

(2)密鑰加密技術(shù)。密鑰加密包括密鑰生成、數(shù)據(jù)加密等處理技術(shù)。在有限域內(nèi)圍繞原始網(wǎng)絡(luò)數(shù)據(jù),選定單個(gè)數(shù)據(jù)字段長(zhǎng)度n=2m,設(shè)置碼源長(zhǎng)度l、可糾錯(cuò)數(shù)量t,在原始數(shù)據(jù)集合GF()中構(gòu)造1×n階Goppa碼矩陣G=[IFl×(n-1)]、1×1階非奇異矩陣S、n×n階置換陣P,對(duì)G置亂生成加密密鑰G′=SGP。其中S、P表示私鑰,G′表示公鑰。

(3)糾刪編碼技術(shù)。糾刪編碼為提高數(shù)據(jù)可用性的處理技術(shù),采用糾刪編碼方式將原始明文數(shù)據(jù)轉(zhuǎn)換為密文,將分離后數(shù)據(jù)片段合并,設(shè)置為n塊。將其他冗余數(shù)據(jù)塊擴(kuò)展、編碼與存儲(chǔ)至相應(yīng)網(wǎng)絡(luò)節(jié)點(diǎn)或磁盤,如RS碼、Tornad碼以防止數(shù)據(jù)被竊取或丟失,保證網(wǎng)絡(luò)文本數(shù)據(jù)的可用性。

3.2 基于KPDA算法的數(shù)據(jù)分離模型

(1)密鑰生成與加密。利用構(gòu)造的1×n階Goppa碼矩陣G=[IFl×(n-l)]、G′公鑰,對(duì)n×n階的數(shù)據(jù)字段置換陣P做出加密操作。之后對(duì)加密數(shù)據(jù)做出壓縮變換,使原始數(shù)據(jù)D消除碼字間的線性關(guān)系,若原始數(shù)據(jù)D的長(zhǎng)度為N,則將不同網(wǎng)絡(luò)節(jié)點(diǎn)存儲(chǔ)的數(shù)據(jù)字段整合為矩陣D,表示如式(1)。將式(1)矩陣計(jì)算得到壓縮后的原始數(shù)據(jù)集合記作Mi=(d(l+1)/(i-1),d(l+2)/(i-1),…,dil)。

(1)

(2)確定數(shù)據(jù)合并規(guī)則。依據(jù)G′公鑰將原始明文數(shù)據(jù)轉(zhuǎn)換為密文后,按照Ci=(ci1,ci2,…,cin)=MiG′=MiSGP的數(shù)據(jù)合并規(guī)則,設(shè)置n個(gè)分離的數(shù)據(jù)片段,構(gòu)成數(shù)據(jù)合并規(guī)則的線性方程組S=(S1,S2,…,Sn),計(jì)算公式如式(2)。其中di∈G,i={1,2,…,N/1}。

(2)

(3)糾刪編碼。使用諸如RS碼的循環(huán)碼、反饋線性移位寄存器,將S1、S2、…、Sn等數(shù)據(jù)份額集合做出糾刪編碼,分配至n個(gè)不同的網(wǎng)絡(luò)節(jié)點(diǎn)存儲(chǔ),根據(jù)循環(huán)碼固有的代數(shù)結(jié)構(gòu)完成線性分組方程的譯碼,直到所有數(shù)據(jù)份額集合分配完畢。

3.3 KPDA數(shù)據(jù)分離算法的存儲(chǔ)實(shí)驗(yàn)

利用硬件參數(shù)為Genuine Intel(R) CPU T2080 @1.73 GHz CPU 32 GB的虛擬機(jī)、LINUX操作系統(tǒng),安裝BitXMesh測(cè)試組件,搭建起用于KPDA數(shù)據(jù)分離算法存儲(chǔ)實(shí)驗(yàn)的環(huán)境。設(shè)置數(shù)據(jù)分離存儲(chǔ)實(shí)驗(yàn)的測(cè)試代碼,對(duì)參與實(shí)驗(yàn)的原始數(shù)據(jù)D做出確認(rèn)、密鑰加密、數(shù)據(jù)份額集合S設(shè)置與分配存儲(chǔ),得到不同吞吐數(shù)據(jù)量下的KPDA算法實(shí)驗(yàn)結(jié)果如表1所示。

表1 不同吞吐數(shù)據(jù)量下的KPDA算法實(shí)驗(yàn)結(jié)果

從表1可得出,當(dāng)原始數(shù)據(jù)D吞吐量(TPS)處于100～10 K范圍內(nèi)時(shí),利用KPDA數(shù)據(jù)分離算法對(duì)網(wǎng)絡(luò)隱私數(shù)據(jù)做出加密、分離與存儲(chǔ),其實(shí)用拜占庭容錯(cuò)算法(practical byzantine fault tolerance, PBFT)處于穩(wěn)步上升趨勢(shì)。當(dāng)面對(duì)海量化(TPS>10 K)數(shù)據(jù)的加密與存儲(chǔ)時(shí),PBET容錯(cuò)提升至90%,表現(xiàn)出明顯的安全防護(hù)優(yōu)勢(shì)。

4 結(jié)語

綜上所述,基于大數(shù)據(jù)及云計(jì)算技術(shù)的用戶訪問控制、數(shù)據(jù)安全管理,主要利用密文或密鑰策略的屬性基加密方案、RAA-CCP統(tǒng)一身份認(rèn)證協(xié)議等,完成用戶統(tǒng)一身份認(rèn)證、數(shù)據(jù)加密/解密傳輸、數(shù)據(jù)存儲(chǔ)等任務(wù)要求。通過引入基于OpenID統(tǒng)一身份認(rèn)證模型,獲取其OpenID身份標(biāo)識(shí)URI/XRI,由OpenID服務(wù)提供商在用戶登錄時(shí)鑒權(quán)其終端身份,使用PGP全信任模型進(jìn)行云計(jì)算網(wǎng)絡(luò)數(shù)據(jù)數(shù)字簽名加密,使用KPDA數(shù)據(jù)分離算法,建構(gòu)起用于數(shù)據(jù)塊文件分散、分布式私密數(shù)據(jù)存儲(chǔ)的管理系統(tǒng),實(shí)現(xiàn)不同類型數(shù)據(jù)資源的加密傳輸、安全存儲(chǔ)。