摘 要：随着云计算技术的发展，云中数据安全性越来越多的受到关注，为使云中的数据计算、数据存储、数据通信更加安全，通过分析主要风险及现有安全措施，提出通过通信信道加密技术加强云计算数据通信的安全，从而提升云计算数据安全性。
　　关键词：云计算；数据安全；数据加密；访问控制；信道加密
　　Improve the Security of Cloud Computing Data with Encrypting the Communication Channel
　　（ShanXi Institute of Mechanical & Electrical Engineering， ChangZhi ShanXi 046000，China）
　　Abstract： With the development of cloud computing， the security of cloud data gets more and more attention， in order to make the data in the cloud computing， data storage， data communication be more secure， this paper analyzes main risk and the existed security measures， puts forward through encrypting the communication channel to strengthening communications’ security， which could promote cloud computing data security.
　　Keywords： Cloud Computing； Data Security； Data Encryption； Access Control； Channel Encryption
　　引 言
　　自2010年以来，云服务得到广泛的应用，云计算、云存储、云平台几乎渗透到工作、学习、生活的各个领域，许多企业纷纷搭建云平台以提供云服务，还有一些企业则开始迁移企业数据至云平台，以节约成本、提高效率。由于云计算对网络的依赖，使其除了云计算技术本身安全性外，同时更要考虑计算机网络的安全风险。如何保障云中数据的安全性，成为云技术发展的重要课题。
　　1 云计算数据风险分析
　　云计算的一个主要特征就是网络依赖，其一切服务均通过计算机网络来实现，用户的数据存放在云端，无论使用PaaS、IaaS还是SaaS服务，均需要通过网络与用户通信。因此，云计算在平台架构、网络连接、用户访问等环节均存在安全风险。
　　1.1 平台架构
　　2010年以来，OpenStack提供了最简单可行的私有云平台架构技术，支持仅通过5台计算机建立一个正常运行的简单云计算平台，5台计算机功能分别是计算服务器nova、存储服务器swift、镜像管理服务器glance、身份与访问管理服务器keystone和Web服务接口Horizon，其中计算服务器Nova是OpenStack的核心，负责管理和优化云计算资源配置[1]。因此，如果Nova节点出现故障（SPoF，single point of failure），将直接导致OpenStack云平台的崩溃，云中数据的可用性也不复存在[2]。
　　1.2 网络连接
　　由于云计算对网络的依赖性，所以一般网络存在的安全风险在云计算中同样存在，如中间节点、网络设备、连接设备等构成云计算网络每个环节的安全性，不仅如此，云计算平台构建的网络连接本身也将是云中数据安全的重要一环。
　　1.3 用户访问
　　分布式虚拟技术是云计算关键技术之一，在云中，用户不仅不清楚自己的数据储存在哪台服务器上，也不了解服务器具体放置何处，用户之间通过分布式虚拟技术实现共享计算或存储资源，此时若用户之间安全隔离不够，就使得一些恶意用户利用溢出等攻击技术读取共享区数据，从而使得用户数据被窃取、篡改或丢失。
　　2 云计算数据安全主要措施
　　为保障云中数据安全，目前采用的安全保障措施主要包括数据加密和采用访问控制策略。
　　2.1 数据加密
　　采用数据加密技术是实现用户信息在云计算环境下安全存储与安全隔离[3]的有效手段，目前比较流行的数据加密方法有同态加密[4-6]和基于属性的加密。同态加密使云端在不知道用户明文数据m情况下，对加密的用户数据e直接进行操作，如同对明文进行操作，另外也有类似的半同态或somewhat同态加密技术。基于属性的加密使用用户的属性集合作为公钥对用户数据加密[7]，若一个访问用户要解密一个密文，则要求该用户的属性集合与公钥的属性集合相同属性的数量达到要求数量才能解密。但加密数据的密钥管理往往成为另一个新的问题。
　　2.2 访问控制
　　用户访问云中数据时，必须经过云服务商CSP认证，因此，云服务商需要采用访问控制策略来控制用户对云中数据和云服务的访问[8]。由于云计算中，用户都有自己的数字ID，因此基于身份的加密IBE和签名IBS的IBACC认证协议广泛用于云计算身份认证，采用此身份认证方式，可以进行实时身份监控、权限认证和证书检查，从而防止来自恶意用户的越权访问。访问控制不能就消息传输过程的安全性作出反应。
　　3 通信信道加密保障安全
　　正如密码学上经典的Alice和Bob通信问题，目前保障云中数据安全的方法无论加密消息本身还是在Alice和Bob之间设置访问控制协议，均各有利弊。为保障云中数据的安全可靠，除采用数据加密和访问控制外，充分借鉴计算机网络通信加密技术提出通过信道加密来保障云数据安全。OSI通信模型中，加密可以发生在通信低层如物理层、数据链路层，也可以发生在如应用层等较高层。物理层与数据链路层等低层加密也叫链—链加密（link-by-link encryption），即通过该链路的所有数据将被加密；发生在较高层（如应用层）的加密叫端—端加密（end-to-end encryption），数据传输到此处时被有选择性地加密，并且只在最后的接收端解密[9]。以下为加密具体实现方法。

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。