一种基于第三方可信平台的混合云安全存储新型系统

作者：郑晓敏

  混合云计算的安全问题主要包括数据传输安全、数据存储安全、数据隐私安全、身份认证、资源迁移、资源跨云，服务器正确持有数据以及数据删除后服务器的伪造攻击等。由于混合云计算环境的开放性，服务器提供商可以通过管理权限直接获取用户数据，特别是隐私数据，那么用户在存储和搜索过程中极容易产生数据泄露。同时，“不诚信”的云服务提供商还会利用已有信息伪造数据，所以对于存储数据亟需进行验证。数据共享中，服务器提供商也可能联合共享用户进行合谋攻击，导致数据泄露。在混合云架构下，传统公有云中的身份管理模式在信任假设、身份验证和授权等方面都受到很大影响，已经应用的解决方案现在已经无法完成混合云的认证需要。文献[1]分析云计算安全威胁，提出了可信云服务的构想，从用户信任预期、安全威胁来源和技术针对的安全目标等角度对可信云服务研究技术的类型进行了划分，系统梳理了数据存储外包、计算外包、虚拟机外包等云服务的安全可信研究工作。文献[6]中提出基于Hadoop分布式计算平台的混合云存储系统，在企业私有云中对数据进行加密、合并、分割等处理，提高公有云端数据的安全性和数据访问的隐私性，用户与私有云存储系统位于企业网络内部，由企业用户管理，但该方案只是初步设计，系统只能部分解决数据存储安全要求且效率较低。文献[7]提出了一种基于Kerberos的混合云服务中跨云的认证机制，云终端采取基于身份认证的方式直接和私有云进行认证，凭借企业私有云发放的票据访问企业存放在公有云中的数据。该机制也存在相当大的缺陷，增加了企业私有云系统的负担，一旦企业私有云与公有云之间的共享密钥被攻破，该认证系统便不能提供安全认证。针对上述混合云环境下存储安全问题，本文基于可信计算技术结合云架构，提出了一种保障混合云环境安全的改进方案。可信计算技术是当前新发展的系统安全技术，它可以为云环境下的数据提供严密的安全保障，从而为云计算环境提供保护。

1可信计算

1.1可信计算特点

    可信计算技术平台普遍应用于计算和通信领域，以硬件安全模块为基础，以提高系统安全为目的，具有以下特点。

    1)完整性好。可信计算技术能够有效防止病毒入侵。能够使硬件配置和操作系统完整布置，保证应用程序和服务完整进行。

    2)真实性强。可信计算会对用户身份进行严格确认，能够唯一识别。

    3)保密性好。系统中所存储信息的安全性和文件传输的机密性通过加密进行保障。

    4)控制性强。系统中实施平台监控，对日志进行有效管理，保护整个系统安全。

1.2可信计算平台

    可信计算平台主要包括：

    1)可信平台模块。小型SoC芯片系统中TPM含有密码计算与存储部件保障物理层安全。

    2)可信存储。TCG使用的是自加密驱动器，可信存储规范实现了全磁盘加密，实现可信存储的自加密与认证功能。

    3)可信网络连接，平台处于专有网络，增加网络攻击难度，使访问更安全。

1.3可信计算功能

    可信平台提供的基本功能包括数据保护、身份证明、完整性测量。

  数据保护是通过建立平台屏蔽保护区域，实现敏感数据的访问授权，从而控制外部实体对这些敏感数据的访问。

    身份证明包括TPM可信性证明、平台身份证明、平台可信状态证明。TPM可信性证明通过使用AIK对IPM内部的明确数据进行数字签名。平台身份证明是指提供证据证明平台是可以被信任的。平台可信状态证明是指提供一组可证明有效的平台完整性测量数据的过程。

    完整性测量是对影响平台完整性的部件进行测量，获得测量值并将测量值的信息摘要记入PCR。完整性存储包括存储完整性测量值的日志和在PCR中存储这些测量值的信息摘要。完整性报告用于证实完整性存储内容。

    TCG定义了7种密钥类型：签名密钥、存储密钥、平台身份认证密钥、签署密钥、绑定密钥、继承密钥、验证密钥。证书有签署证书、符合性证书、平台证书、认证证书、身份认证证书。

2第三方可信平台管理方案

    下面运用可信计算技术在混合云系统中构建第三方信任平台，建立混合云平台信任机制。如果平台能够对托管环境和用户双方进行监督管理，拥有自主权益并技术可信，能够保证双方安全的责任机制，那么这样的平台可以作为第三方信任平台。

2.1身份认证

    1)身份认证概念

    可信计算涉及的关键技术在硬件上主要是TPM技术。它存储了平台信息、加密密钥和一个用于加密算法的随机数发生器。

    用户在可信计算平台注册，通过TPM，用户获得身份认证证书和平台身份认证密钥。用户证书和专有密钥以加密方式保存在可信平台，TPM的受保护存储功能能够提供安全封闭的空间存储信息，对敏感信息进行硬件保护存储。用户信息则保存在用户信任的私有云中。由于TPM具有自主管理功能，可信平台对进入混合云环境的用户行为进行监管，用户在环境中留下的身份信息被记下并被保护。

    用户登录可信计算平台，可信计算平台对其身份认证证书进行识别，完成其身份认证，进入混合云环境。进入混合云环境的用户通过可信计算平台的第三方信任机制对

用户实施隐私保护，消除用户在混合云环境中各站点的记录，同样可信计算平台会对访问者的行为和资源进行监视，保障混合云内部安全，如图1所示。

    A为用户；S为可信平台；A。为可信平台给出的用户标识，包含用户信用等级和用户唯一签密认证。Na为消息新鲜数；为可信平台给出的身份认证密钥和通信验证密钥；T为交互时间戳信息；TA，为注册时间戳信息，TAs+test为请求认证时间戳信息。

  身份认证步骤：

  2)可信计算平台中划分信用组别

  由于混合云的优点，导致进入和使用混合云的用户很多，不同的访问方式和不同的目的使得用户类型很复杂。可信计算将这些用户分组，对于不同组别的用户，用户获得的权限和能够使用的资源有所区别。用户使用混合云时，可信计算平台作为第三方运用身份认证给出用户唯一标识。

    对平台的信任是基于TPM和CRTM的可信性，信任传递产生信任链条，从而扩展到整个平台。平台对用户进行信用描述，建立信用等级，把不同信用等级的用户区分开来，保护用户隐私。

    完全可信用户（A，．）：用户密钥完全保留在可信平台，在可信平台认证中和混合云操作中具有良好信用记录，此类用户将获得高度授权并且优先处理事务。

    一般可信用户（A。：）：用户对第三方信任平台存在保留，数据一般保存在私有云中，通常在混合云环境中进行少量操作。

    条件可信用户（A。，）：用户在混合云环境公有云中频繁操作，信用记录存在风险，第三方信任平台将限制其操作次数并降低授权。

    不可信用户(A。)：攻击系统的非注册用户、非法登录用户和注册用户恶意获取其他用户加密数据等都被信任平台划分为不可信用户，禁止授权，强行驱逐。

    同样，可信计算也会对混合云上的各种应用和事项进行等级评估，划分不同信用组别，实行监控。

2.2存储方案

    现有的研究方法是对数据进行加密存储，保护密钥对于数据安全而言是一大难题。优秀的密钥管理系统不但要生成安全密钥，防止非授权用户获取，还要及时对密钥进行备份并销毁无用密钥。

    用户上传数据文件到混合云存储数据库中，自主决定存放在公有云还是私有云，以及是否共享。

    1)存放私有云

    对于存放在私有云中的数据，用户可自主采用数据加密来保护数据安全。可信机制把用户的隐私和敏感数据留在模块中运算，对于需处理的非敏感数据，可信计算机制对这些数据采用全同态加密算法传输，密钥由可信平台管理。数据就这样分段外包到公有云上进行事务处理，再将处理好的结果加密后返还。可信平台完整性测量形成信任链，使用户可以验证计算结果，保证用户的事务被正确处理：

  存储包括以下步骤：

  (1)存储系统私有云

其中，KA为用户加密密钥；E为确认信息；H为信任平台检测记录标签；D为标记标签。

    2)存放公有云

    对于存放在公有云中的数据，重点是保障数据完整性、动态更改、管理用户权限。

    数据完整性包括加密保存、正确持有证明、防止数据篡改和服务器合谋攻击。动态更改有增加、删除和修改。用户权限主要针对非授权用户和用户权限撤销。

   

    最后，用户需要查阅PCR并对比身份认证证书，检测数据是否完整保存。数据更新等操作同样使用测量日志完成。

用户权限撤销通过可信平台及时进行。当数据存储用户提出权限禁止时，可信平台给出新的跨云认证密钥，销毁原有跨云密钥，存储方案如图2所示。

2.3跨云身份认证机制

  为了混合云环境安全，数据用户对混合云存储系统中的数据进行读取时，若数据文件存放在私有云存储空间内，则用户可直接进行访问。而对于存放在公有云数据中心的数据文件，则需要进行身份认证。各个站点下的云服务器之间由第三方认证管理，用户跨云计算时，由可信平台自主进行身份认证：授权后，用户访问环境资源、频繁跨云处理事务，都不需要重复登录和认证。

    用户进行搜索时，可信平台对用户跨云进行身份认证，用户需对搜索任务定义多个关键字。可信平台采用层次式授权检索，进行分级搜索并发送搜索日志PCR，搜索PCR为，id为请求搜索用户，Tim为搜索时间，W为搜索操作信息，D为搜索信息摘要，O为确认信息。

  搜索步骤：

其中，SS为搜索请求；G为关键字；为依关键字搜索的信息摘要和搜索日志，如图3所示。

3性能分析

3.1通信开销

    方案通信开销主要有身份认证、共享通信、数据外包、完整性检测、用户搜索。在身份认证中用户只进行一次认证，发送信息主要为kbit的时间戳，平台返回身份认证、密钥和时间戳为3k bit，总的为4k bit，开销比较小。

    用户共享过程中，完成本次共享过程所需开销（10k+N）bit，开销增加。而数据外包计算通信开销也比较大为(12k+9N)bit。用户通信开销也主要集中在完整性检测，为（llk+3N）bit。最后用户搜索开销为8k bit。

    由以上分析发现，机制通信开销主要是时间戳的增加，

通过压缩聚合时间戳可以大大减少通信开销。

3.2存储开销

    可信平台的存储开销主要是密钥与认证身份的存储。对于每个用户的单个开销为（2k+N）bit。当用户量增加时开销相应增大，而且对于变化用户的密钥和身份认证的删除存在延迟，所以本方案适用于用户变化不大的一般性企业。

3.3计算开销

    计算开销主要集中在身份认证计算、通信时加解密运算、用户数据外包操作、完整性验证和搜索加密。

    身份认证需要是对bit的数据进行验算，计算复杂度为O(k)。由于用户单次操作只需进行一次身份认证，所以计算开销较低。通信时的加密解密运算将多次进行，加密解密信息为kbit的整数倍数据块，计算复杂度为O(nk)，n为较小整数，其计算开销为(nk)。Sp，Sp为对1 bit进行加解密运算的开销。通过上述分析可以看到，加解密运算多次使用同类型的加密解密对，在进行同类运算时，时间复杂度将大大减小。

3.4平台对比

    1)可行性分析

    混合云托管环境目前已有许多大型公司构建，所以，在部署好的混合云环境中使用可信计算技术，建立第三方可信平台，保障混合云安全已经可以实现。

    2)数据安全性分析

    首先对于密钥管理，可信计算平台对内部各种密钥，在多个站点进行复制加密存储。由可信计算进行安全组别划分，增大外在和内部的攻击难度，数据无论在私有云存储还是在公有云进行计算，都有可信计算技术的保护机制．攻击者无法直接获取，更无法获取处理前的数据。

    3)数据可用性分析

    用户的数据文件被冗余地存放在多个数据站点中，如果某个站点数据不再可用，系统仍然可以从其他的数据中心获得相同的用户数据，保证用户数据的可用性和完整性。

    4)用户隐私安全分析

    以可信计算技术构建第三方信任平台，大大降低了用户在混合云环境中的暴露风险，有私有云模块以及可信技术的保护机制，用户隐私将获得极大保护。

    5)系统可扩展性分析

    根据混合云部署模式，系统可按需扩展站点，扩展站点也是相同的布置和管理模式。

    6)系统性能分析

    混合云部署采用VNP通道，加入VM虚拟机增强基础设施性能，加入的可信计算采用专用网络，形成信任链，用户单点登录一次认证进入混合云环境，大大提升系统效率和性能。

4结束语

混合云计算的优势和前景已毋庸置疑，要使混合云计算继续健康发展，对混合云环境安全问题的研究必须加大力度。本文深入分析了混合云特点和安全威胁，利用可信计算技术的优势，提出了以可信计算技术作为第三方信任平台来保障混合云环境中用户安全，并从混合云环境中用户身份安全、隐私安全、用户数据安全、跨云服务等方面进行分析，表明这种解决方案是有效的。未来的研究方向将是对移动终端上混合云计算的安全研究。

5摘要：文章首先分析了现实中混合云存在的安全问题：由于混合云的开放性，云服务器的管理者与外部攻击者能够直接或间接获取用户数据，特别是用户敏感数据，从而造成用户隐私数据泄漏与滥用。文章结合可信计算技术对各问题做出解决，并给出具体的操作步骤：身份认证中为用户划分信用组别，同时也对混合云上的各种应用和事项进行登记评估；存储中将数据分开处理，采用全同态加密算法加密数据后再对其进行操作，并对服务器数据的完整持有进行验证，保障数据正确持有；跨云身份认证中由第三方认证平台管理用户身份，用户跨云无需多次认证。然后对此方案的性能进行分析，说明此方案适用于用户变化不大的一般性企业。最后，对可行性、数据安全性、数据可用性、用户隐私安全、效率性等指标与现有研究方案进行比较，表明此混合云安全存储系统具有更好的优越性。