基于云存储的个人数据安全保护机制

摘要：该文对在云存储环境下所存储个人数据的安全保护方案进行了探讨，针对现有云存储系统的安全缺陷，提出了一套全方位的个人数据安全保护机制，对云计算的应用的未来发展具有很重要的意义。

关键词：云计算；云存储；数据安全；身份认证；指纹识别

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)15-3549-03

Personal Data security Protection Mechanism in Cloud Storage

QIU Bo-yun

(Hangzhou Synochip Technology Co., Ltd, Hangzhou 310012, China)

Abstract：This paper studies the security protection of personal data stored in cloud storage environment. In order to avoid security vulner abilities of current cloud storage system, it provides a comprehensive personal data security protection mechanism, which is significant to the future development of cloud computing applications.

Key words：cloud computing; cloud storage; data security; Identity authentication ;fingerprint identification

继个人计算机变革、互联网变革之后，云计算被看作第三次IT浪潮，是中国战略性新兴产业的重要组成部分。它将带来生活、生产方式和商业模式的根本性改变，成为当前全社会关注的热点。

云存储是在云计算概念上延伸出来的一个新概念，它是指通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。

云存储承诺将满足未来出现的大量的存储需求，而且要以非常好的性价比实现这个目的。那么从根本上来说，云存储技术是一种实用型服务，它可以为众多用户提供一个通过网络访问的共享存储池。存储云是可以调整的，它们可以很轻松地扩展或根据客户需求定制。云存储对使用者来讲，不是指某一个具体的设备，而是指一个由许许多多个存储设备和服务器所构成的集合体。使用者使用云存储，并不是使用某一个存储设备，而是使用整个云存储系统带来的一种数据访问服务。所以严格来讲，云存储不是存储，而是一种服务。

云存储作为一种在线存储服务，数据处于其他人控制的服务器上，因此数据安全变得至关重要，调查数据显示，无论是政府、企业还是个人，都把数据安全、隐私保护、数据等作为核心关注。可以说，未来云存储的普及关键就在于安全。

目前针对云存储安全技术，大多延续大型服务器的安全技术，用以保证服务器的可靠性，例如防火墙、服务器加密机等，但因为在存储云中你的数据会与别人的数据位于同一个磁盘，所以加密的做法很重要。而服务器、密匙、加密算法都为服务商掌握，用户的数据受运营商限制，用户存在对数据安全的担心，限制了云存储的发展。

所以，本文对云存储环境下所存储个人数据的安全保护方案进行了探讨，对具体的安全方案进行了分析。

1云存储个人数据安全系统的总体设计

1.1云端安全服务系统构成

云端安全服务系统由：云盾终端、云盾辅助软件、云盾服务器、认证服务器（CA中心）、应用接口几个部分组成，如图1所示。

1.2云端安全服务系统构成的详细介绍

认证服务器：提供严格的身份认证，保证上网用户根据业务系统的授权来访问系统资源，这里主要指CA认证中心。

应用接口API：应用编程接口，提供给其他云存储等应用系统接入本系统的接口。

云盾服务器：主要包括了除CA认证之外的其他认证系统，例如指纹认证服务器、OTP认证服务器、辅助口令认证服务器等等。

云盾辅助软件：根据应用环境不同，需要一套配套的辅助软件，用以配合云盾终端和云盾服务器工作。

云盾终端：以硬件形式向用户提供，可确认用户的合法身份。

1.3云端安全服务系统的核心技术

系统的个人数据安全主要通过两方面技术来保护，第一是基于本人的身份认证安全，第二是基于数据的自主加解密安全。

2个人身份认证安全

个人身份认证犹如我们家中的大门，保证个人身份认证安全，就可以将盗贼拒之门外。

2.1个人身份认证方式组成

主要包括包括PKI在内的数字证书认证体系，目前银行金融，数字版权方面，都采用基于该技术的数字认证。

其次还包括辅助因子认证，常见的认证方式包括生物识别认证：主要是指通过人类生物特征进行身份认证的一种技术，例如指纹识别，面部识别等；OTP认证：也称动态口令，通过专门算法生成一个不可预测的随机数字组合进行认证，每个口令只能使用一次；智能卡认证：通过一定代表身份的数字证件，进行认证等。

综合以上的认证的方式，可实现多因子认证方式，提高身份认证的安全性。如下（图2）所示：

2.2系统认证原理如(图3)所示

步骤1：用户请求认证/登陆

步骤2：应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证;

步骤3：认证服务器向终端发起认证，用户终端弹出身份认证对话框或提示认证过程;

步骤4：用户根据提示，进行相关身份认证操作（例如：生物识别认证-输入指纹；OTP认证-输入OTP密码；USBKEY-插入KEY+输入密码等）

步骤5：用户终端将认证信息通过网络传输给认证服务器;

步骤6：认证服务器调用客户信息，结合云盾服务器进行生物特征/OTP/密码等认证因素比对，判别客户身份的合法性和真实性;

步骤7：认证服务器将认证结果报告给应用服务器;

步骤8：应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

2.3身份认证系统示意图

云存储系统通过认证中间件，与认证服务器层进行通讯，获取身份认证信息，从而决定是否允许访问云存储机其他云应用服务器。如（图4）

步骤1：客户端向中间层发送认证信息

步骤2：中间层解析信息并向认证中心发送认证请求

步骤3：认证中心向中间层反馈认证结果

步骤4：中间层向客户端发送认证结果，并根据认证结果执行相应操作

3数据自主加解密安全

数据自主加解密，犹如家中的保险箱，将重要的物品（数据），放到保险箱中（加密起来），可以防止盗贼窃取家中的贵重物品（重要数据）。

主要包括数据加解密功能、数据加密推送、文件粉碎功能、密钥保护及恢复。如图5所示：

1）数据流加解密功能：通过云盾终端设备，对数据经行硬件加解密功能，终端通过内部保存的私钥，利用内置的加解密算法，例如AES、DES/3DES等，对数据流经行加解密，并且使用算法和加密程度要求可选，支持常规国际标准算法和国密算法。支持全加密，部分加密，索引加密等功能。支持一些权限的设置，例如删除文件时，需要授权，或者进入该模块时需要重新认证，离开时及时注销等等细节。

2）数据加密推送功能：将数据加密后，可通过事先约定的协议接口，推送至相应的云存储服务器。

3）文件粉碎功能：将文件彻底删除的工具，而不是将数据仅仅去除索引，使用某些工具后仍能复原。

4）密钥保护及恢复功能：云盾需保证加密密钥的安全；系统需保证在云盾遗失情况下能够通过一定人工认证的方式恢复密钥。

4结束语

本文分析了通过云盾安全服务系统的设计，从个人身份认证和个人主动数据加解密两个方面来保证个人数据在云存储服务器中的安全。通过云盾终端硬件，实现多种因子认证的可能，实际应用中，可根据实际安全需要，采取一种或多种因子认证方式，将盗贼拒之门外，同时，通过主动对数据进行加密，将重要数据放到自己的保险箱中，盗贼没有密钥无法打开，从而进一步保证了个人数据的安全。为解决云计算的核心关注，推动未来云存储的普及，具有重要的参考意义。

参考文献：

[1]马泽尔,卡玛日萨米尼.云计算安全与隐私[M].北京：机械工业出版社,2011.

[2]刘鹏.云计算[M]. 2版.北京：电子工业出版社,2011.