刍议云数据安全存储技术

张彭 张永健

（泰州市自然资源和规划局，江苏泰州 225300）

0.引言

当前，云数据存储模式正快速发展，随着云计算技术水平提升，这种存储模式也将会成为主流趋势。本文主要就云数据存储的安全问题进行了研究，希望能够对相关技术领域有所帮助。

1.云数据存储模式

云数据存储模式主要是基于云计算来实现，其具有存储能力更强、计算处理水平更高以及资源利用更充分等优势。近年来，相关数据表明，云计算在技术领域开始广受欢迎，相应的云服务市场规模逐渐扩大，许多IT企业也开始加大开发云计算项目的投资。但云计算发展突飞猛进，同时，其数据存储模式也开始出现安全问题，一些企业不采取云计算的原因也是担忧会泄露隐私性数据。因此，数据安全难以有效保证也成为云数据存储模式的发展弊端。当前，学术界就云数据存储的安全主要是围绕着3个方面探讨，分别为数据安全审计、保密性存储以及密文的访问控制，未来云计算存储也将会向更加安全的方向发展[1]。

2.云数据安全存储技术面临的问题

2.1 数据加密存储的问题

云数据安全存储技术与一般数据统计下的加密技术相比，其安全程度会更高，且数据处理功能也会更强。不过，真正实现云数据的安全存储却具有一定难度，尤其是加密存储方面会出现一些问题：第一，所谓云数据就是数据文件的一种云模式，而这种模式对网络空间的神经系统具有较强的依赖性，用户会被授权对虚拟资源加以使用，进而基于云数据平台来获取想要的数据文件，但云模式具有着加密难度高以及较为繁琐的特征，这也使其对相关技术要求更高，数据隐私性与安全性威胁日益增加。例如，美国的有关部门对云数据平台安全事故发生率进行过调查，结果表明，在接受调查的企业中有将近六成企业的平台遭受过不良攻击，甚至有用户私人信息数据被泄露，这种调查结果也导致越来越多人开始关注云数据存储技术的安全问题。第二，在技术上存在着限制情况，导致数据的加密和处理之间存在冲突，比如进行了加密的数据将无法实现处理操作，这是由于数据加密之后会与系统中的检索功能矛盾造成禁止操作，因此就陷入两难的尴尬局面，即加密数据无法操作而不加密又会导致数据安全受到威胁[2]。

2.2 数据隔离的问题

在云数据存储技术当中，有一项极为基础的技术叫作多租户技术，该技术特征是让多个用户能够在相同的平台上将数据信息进行存储，不同的用户数据信息还会在平台中存入同一个数据表当中，甚至没有隔离机制，其容易导致不同数据相互交叉，进而出现系统性错误，这就是数据隔离问题，发生这类问题也会给云数据存储的安全性带来极大隐患。从目前情况来看，许多提供云服务的供应方也开始尽可能在数据中采取隔离手段，以免云存储的部分数据被非授权人员访问，但实际上隔离效果并不佳，相应的数据隔离技术还有着很大发展空间。同时，还有一些借助于第三方安全软件来开展存储数据防护，降低混合数据的不良影响，但这种软件也会在用户交互访问时出现一定漏洞。除此之外，很多安全软件也并非真的由无关第三方机构提供，因而在管理上颇具困难，无法实现云数据的安全存储。

2.3 数据转移的问题

基于云存储的模式，相关用户在使用数据时能够快速执行，为了保证满足用户需求，其数据计算的系统还会对存储数据开展转移，本质上是一种移动磁盘静态数据和动态数据的活动。在转移时，不能够让用户感受到“宕机”情况，因此数据转移要保证高速进行，且转移之后也要确保数据的完整性，数据转移过程也可以看作是一种为数据处理提供便利并确保数据安全的程序，若是云数据在输送过程中安全受到威胁，会产生许多不良影响。比如其转移后仍旧存在部分数据残留，没办法切实删除干净，会直接影响到数据本身的安全性。再比如，数据转移过程中出现监管缺失情况，一些云计算平台方为了谋取私利而将数据转移残留下的痕迹重新回收，然后将这些数据卖给其他主体获取利益。

2.4 数据安全审计的问题

在相应计算平台开展云数据的存储时，多是采用外包形式，因此也会产生一定的数据存储安全问题。一方面是无法保证外包存储数据切实存入用户本人拥有的云盘设备当中；另一方面则是无法确保只有用户本人拥有数据访问和操作的权限，存在着他人修改用户数据的风险，导致云数据存储安全性下降。在云服务运行的过程中，还需要对数据进行安全审计工作，一般由第三方认证机构来执行，相应的云服务提供方会尽可能保证用户信息数据不出现泄漏，再找到合适的审计方开展审计，将可开放的信息数据进行开放，但是这种审计还可能会出现时效性较差的问题[3]。

3.云数据安全存储技术问题产生的原因

上述分析的云数据安全存储技术问题出现主要是以下几种原因：一是云计算租用商业模式的影响。在这种模式下，数据计算和存储都可以看作是外包形式，因而具有着不可控的特点，用户的隐私性数据信息很可能被云服务供应商获取，同时也可能存在被其他用户或对手企业获取风险，具体数据信息泄露范围视情况而定；二是虚拟化技术的影响。云模式中所运用的关键技术即为虚拟化技术员，其作用于资源的动态性伸缩，可以将硬件资源进行虚拟化处理，而其处理设备为虚拟机监控器，该设备中的资源还会被相互隔离，进一步保证数据安全，不过事实上仍旧有攻击者可以对虚拟机进行非法流量分析，或是从旁路入侵，获取其中数据信息，造成多种云数据安全存储问题出现；三是多租户技术的影响。正如上述分析，该技术也是关键技术之一，不管多租户技术应用中对数据进行怎样的隔离或是标签区分，都可能存在被他人旁路入侵或是漏洞攻击的风险，造成数据的泄露。

4.云数据安全存储技术的改进方向

4.1 基于加密的云数据安全存储技术

对云数据安全存储技术的改进主要是为了提升其存储的安全性、高效性以及可靠性，有效提高技术安全水平的关键就在于实施保护云加密，从这一方面出发，搭建出基于加密的云数据安全存储技术，主要围绕核心技术本身和安全存储的框架来开展研究。例如，可以将VMM数据保护技术作为研究基础，有关该技术的加密存储框架是由微软研究院首次提出，随后面向大众并持续性发展，在实践运用过程中也得到了进一步延伸。该技术下的云数据安全存储具有着加密系统，系统包含了多维度功能模块，如数据验证、数据处理、凭证验证以及生成令牌等，其中数据验证与数据处理功能发挥是基于数据处理相应组件，能够将输入系统中的数据进一步归类并存储，同时配合着数据存储的组件，确保数据具有完整性。生成令牌也有着相应组件，其负责对数据进行分块、编码以及加密。在这种加密系统设计中，用户能够依据本身的权限，通过程序操作获得相应的令牌，再对加密处理的数据进行访问，其技术优势就在于切实保护重要数据与用户隐私的安全，同时还可以为电子取证、法律诉讼等方面提供云数据类型的证据，具有较高应用价值。除此之外，实现加密的云数据安全存储技术还有多种类型，比如说有学者研究过一种在不可信服务器上进行云数据文件安全存储的加密系统Plutus，这种系统是将具有一定相似性的数据文件按照共享属性特点来划分为多个组别，在每一个组别当中都设计了一个关联性的对称密钥，使用密钥对所有数据文件块实现加密。同时，数据文件组本身也具有锁箱密钥，其是对数据文件块的密钥再添一重加密，若是用户要将数据文件进行共享，就需要将文件组的锁箱密钥发送给将共享的一方，这种形式下的云数据存储安全性显著提升，不过其密钥管理方面颇为复杂[4]。

4.2 基于查询的云数据安全存储技术

云数据的存储要保证安全，很多情况下都是直接开展加密处理，这种途径也是广被采纳，但加密后的存储数据想要进行查询却具有很高的难度。由于加密数据本身会时刻处于机密状态，当进行提交后，平台的相关云数据信息也无法利用一般服务器查询，索引无法有效建立，导致无法显示，许多具有访问权限的用户查询目标数据时变十分不便。从功能特征上来说，云存储数据的加密以及查询本身相互矛盾，为了保证数据存储安全基础上，为数据访问用户提供更加优质的服务，一种基于查询的云数据加密存储技术被催生出来。这种查询为基础的技术叫作Searchable Encryption，可简称为SE，主要利用布尔型查询的原理，对于以相关性为排名的数据信息查询不予支持。在这种技术下，用户会云端的查询服务器中输入相应查询条件或是部分关键词，服务器会自动建立索引，以关键词查询为例，可以对词汇加以检索，在系统中搜寻并提取出符合词汇条件的数据，生成相应查询结果并发送给用户，整个查询的流程当中，已经被加密处理的数据也不会因此解密，但数据要获得查询结果也无需获取到相应密钥，既能够保证数据存储安全，也满足用户的查询需求。根据SE技术的相应要求，在查询时需保证输入的关键词格式正确，采取统一格式且不允许出现词汇错误。从这些特征来看，在云数据存储的环境中，SE在查询数据时还会面临两个困境，其一是用户输入的关键词若是不够准确，会导致查询结果不清晰，效率较低。其二是返发送给用户的数据文件会增加一定网络流量，这对于用户方来说也是一种负担。因此，为了保证查询的准确性，降低用户的流量成本，有学者提出一种针对云加密数据文件的模糊查询方法，可以让查询操作中不必输入关键词，也没有过于严苛的格式要求，这种模式下查询的关键词会自动集中匹配相似关键词，从而保证查询的效率[5]。

4.3 基于可信平台的云数据安全存储技术

云数据存储的过程中，其安全性还会受到软件与硬件是否可信的影响，在不可信的条件下，安全存储将会面临较高风险，因此，在云数据安全存储技术改进过程中，也需将基于可信平台的技术形式作为方向。例如，可以提高计算机硬件的技术可信度，通过基于可信计算再进一步开展软件的可信计算，将虚拟机监控器作为基础，为数据保护提供有效途径，其中，虚拟机监控器可以有效保护存储中具有较高敏感性的数据，如用户隐私数据，在必要情况下，用户还可对这类数据下达完全销毁的命令，就算是云服务器的管理员存在特殊权限，也没有办法将保护机制绕过且获取到被特殊保护的数据，提升云数据存储的安全水平，在这种技术方案下，计算机硬件、使用的软件都具有较高可信度，不过目前在实施上还缺乏相应的满足条件。也有学者以数据保护为优先，提出了一种以二次混淆为基础的隐式分割功能机制，在可信的服务器上，进一步搭建出保护用户私人信息的架构，让存储的数据和私人数据隔离开来，分开进行管理，而服务器还可以借助于认证码功能来判断用户是否具有存储权限。还有一种目前发展速度颇快的新型加密技术—同态加密技术，其安全性与功能性都比较好，主要是在明文上对制订的带入运算结果进一步执行，保证其能够与密文上另一个代数的相关运算结果达成一致。所谓同态加密就是指，若相关解密函数未知，那么用户也被允许对需要加密的数据开展计算，而相同的加密函数若是无法对乘法同态和加法同态同时满足，就会被称作是全同态加密函数；若是可以同时满足两种同态，那么就称作部分同态加密函数。同态加密技术为了确保数据安全得到有效保障，还可采用双重加密形式，其中第一重加密主要是让用户来完成，可靠性比较高，且用户也可以尽量降低加密负担，采取的加密方法可以为轻量级别，比如说将存储的数据文件采取秘密分割方法，获得重构后的文件加密处理，各个划分的文件块也会进行加密，再将两者直接上传到云端开展第二重加密，这时的加密应当保证强度级别较高，基于大数据并采用MapReduce编程加密手段，提升数据存储的安全性。除此之外，在数据销毁方面，一般是用户为了保护隐私且不需要某些数据时选择销毁，不过其部分数据为了保证安全性都进行过加密处理。那么，在销毁时也需采用一些特殊技术，才能够将所有相关数据备份彻底销毁，通常是利用覆写法，先将所有的数据进行覆盖，再进行无痕销毁处理，这种销毁是无法进行复原的。

5.结论

云数据存储可以有效提升数据利用水平，且可以进一步增强存储能力，因此成为广泛使用的数据存储模式，为了保证其存储数据的安全性，云数据安全存储技术成为研究热点。由本文分析可知，云数据安全存储技术的改进方向包括基于加密的云数据安全存储技术、基于查询的云数据安全存储技术和基于可信平台的云数据安全存储技术。