云計算下的一種數(shù)據(jù)加密存儲算法的研究

1、    云計算下的一種數(shù)據(jù)加密存儲算法的研究    陳暄摘要：伴隨著云計算的概念的不斷發(fā)展，基于云計算下的信息安全存儲模式正在引起廣泛的關(guān)注，該文首先闡述了云計算中的相關(guān)概念，其次描述密鑰聚合算法及其不足，提出了一種改進的密鑰聚合算法，通過對傳統(tǒng)密鑰聚合中extract和decrypt進行優(yōu)化，并進行了緊湊性分析和正確性證明，在云計算仿真平臺實驗中與傳統(tǒng)的des算法，aes算法進行相比取得了比較好的效果，說明該文算法在云計算平臺中具有一定的效果。關(guān)鍵詞：云計算；加密；聚合算法：tp393 ：1009-3044（2017）14-0056-03隨著“互聯(lián)網(wǎng)+

2、”，云計算概念不斷發(fā)展，有關(guān)云計算模式下的存儲技術(shù)正在引起大家廣泛的關(guān)注。云計算中的存儲是由云計算衍生和發(fā)展而來的一種存儲服務(wù)技術(shù)，其本質(zhì)是通過本地網(wǎng)絡(luò)將數(shù)據(jù)信息上傳到云計算服務(wù)提供商中，這樣可以有效的降低企業(yè)存儲數(shù)據(jù)成本、提高使用和高擴展性的優(yōu)勢，有利于滿足海量數(shù)據(jù)存儲中的需求，有效的成為信息存儲發(fā)展的重點領(lǐng)域。國內(nèi)外學(xué)者從不同的角度進行了研究，文獻1提出了利用同態(tài)加密技術(shù)應(yīng)用于云環(huán)境的數(shù)據(jù)傳輸，提高云環(huán)境中數(shù)據(jù)傳輸?shù)目煽啃耘c安全性；文獻2提出一種基于拉格朗日插值多項式的匿名廣播加密方法，實驗說明該方法具有較低的通信和計算開銷，可以有效地解決云存儲中密文數(shù)據(jù)的匿名訪問控制問題；文獻3對同態(tài)加

3、密未來的研究問題進行了分析；文獻4提出基于策略的多用戶全同態(tài)加密方案，性能評估說明該方案高效地實現(xiàn)密文數(shù)據(jù)的全同態(tài)運算，并能有效地支持訪問控制和多用戶共享；文獻5提出一種在非對稱可搜索加密算法上實現(xiàn)排序查詢功能的方案。實驗結(jié)果表明，該方法支持非對稱加密，具有較好的檢索效率，并且應(yīng)用性強；文獻6提出一種基于同態(tài)加密和密鑰策略基于屬性的混合加密方案，實現(xiàn)了對云用戶隱私信息分類加密保護，實驗結(jié)果表明，通過基于不同類別的加密方案，使得云用戶的數(shù)據(jù)共享更加安全便捷，混合方案更貼近用戶需求；文獻7設(shè)計了基于策略的文件加密存儲和安全刪除機制，仿真實驗說明該機制增加了云存儲環(huán)境下文件的安全性，且減小了空間和時

4、間開銷。本文在文獻8-9的基礎(chǔ)上，提出了一種改進的密鑰聚合算法，并對其進行了緊湊性分析和正確性證明。1云計算相關(guān)概念云計算中的hadoop架構(gòu)是一種開源的分布式計算框架，被廣泛的使用在大型的企業(yè)中，它實現(xiàn)了mapreduce模型。had-hoop架構(gòu)中包含了主控節(jié)點和計算節(jié)點兩個部分，其中主控節(jié)點（jobtracker）任務(wù)是用于調(diào)度和管理其他計算節(jié)點（task-tracker）。主控節(jié)點的作用是主要試運行在集群中的任何一臺計算機上。計算節(jié)點主要是負(fù)責(zé)在云端執(zhí)行任務(wù)的節(jié)點。主控節(jié)點將云計算模型中的map任務(wù)和reduce任務(wù)發(fā)給空閑的tasktracker執(zhí)行并進行監(jiān)控運行任務(wù)，當(dāng)出現(xiàn)主控節(jié)點

5、出現(xiàn)故障無法繼續(xù)主管任務(wù)的時候，它就會把其任務(wù)交給另一個計算節(jié)點并重新進行運行，因此hadoop是一種架構(gòu)可靠的分布式計算框架。而基于hadoop的hdfs采用的是master/slave架構(gòu)，采用一個管理節(jié)點namenode和若干個數(shù)據(jù)節(jié)點datanode組成，它主要是將云計算中的大型文件分割稱若干個block小塊分散存儲在不同的datanode上。hive是一個基于hadoop的數(shù)據(jù)倉庫的基礎(chǔ)架構(gòu)。它主要用來處理hdfs中的數(shù)據(jù)機制，是一種對海量數(shù)據(jù)進行提取并轉(zhuǎn)化加載的框架。hive的查詢主要是通過mapreduce框架來進行實現(xiàn)的，而mapreduce本身就是為實現(xiàn)針對海量數(shù)據(jù)的高性能處

6、理而設(shè)計的。所以hive架構(gòu)就具有了高效的處理海量數(shù)據(jù)。mapreduce框架是一個負(fù)責(zé)它云計算作業(yè)中的所有任務(wù)調(diào)度，把這些任務(wù)分配到不同的slave節(jié)點上，jobtracker同時監(jiān)控他們的執(zhí)行狀態(tài)，mapreduce通常過程中會把輸入的數(shù)據(jù)集合分解成若干個獨立數(shù)據(jù)塊，并且產(chǎn)生一組輸出的鍵值（key/val-ues）。mapreduce中的常用兩個函數(shù)分別為map和reduce，map函數(shù)的處理并發(fā)的工作機并對其進行排序，并將排序結(jié)果輸出給reduce，reduce函數(shù)主要對中間鍵值進行處理，如圖1所示：2云計算下的聚合加密算法2.1密鑰聚合算法描述為了實現(xiàn)云計算下的數(shù)據(jù)有效共享，chu在2

7、014年提出了密鑰聚合加密機制，利用雙線性映射構(gòu)造而成，其實質(zhì)是在用戶的加密過程中，不僅僅是對信息進行簡單的使用公鑰加密，而是在密文信息中添加一個標(biāo)識記號，這就意味著加密后的密文被分解稱了幾個部分，密鑰的擁有者持有一個主密鑰，而從該密鑰中可以分離出不同類型的私密密鑰，被分離出來的密鑰成為聚合密鑰（aggregate key，ak），使用這種聚合密鑰加密的算法為聚合密鑰加密（key aggregate encryption，簡稱kae）算法。通常一個密鑰聚合加密算法有以下幾個部分組成：1）數(shù)據(jù)擁有者建立一個公共系統(tǒng)參數(shù)；2）通過keygen生成一個公共密鑰對；（3）消息通過encrypt并聯(lián)合明

8、文數(shù)據(jù)來決定密文中的標(biāo)識符；4）數(shù)據(jù)擁有者使用主/私密鑰來產(chǎn)生一個聚合解密密鑰給密文子集，通過分散函數(shù)產(chǎn)生，并通過安全的郵件傳給授權(quán)者；5）用戶使用decrypt函數(shù)，通過聚合密鑰來解密密文，在聚合密鑰中包含密文的表示符。步驟4：云端服務(wù)器收到了參數(shù)param和pk后，需要和用戶a的共享用戶通過私鑰來更新服務(wù)器上的信息。當(dāng)用戶a將一部分?jǐn)?shù)據(jù)集s分享給用戶b額時候，用戶a只需要執(zhí)行extract（msk，s）來計算聚合密鑰ks，通過安全郵件傳遞給用戶b步驟5：用戶b獲得訪問云端數(shù)據(jù)庫權(quán)限后，使用聚合密鑰下載云端中的數(shù)據(jù)，對于任意的is，用戶b能夠從服務(wù)器上通過decrypt（ks，s，i，ci）

9、函數(shù)解密下載各種密文ci3實驗說明為了進一步說明云計算存儲具有的安全性能，本文搭建了云計算存儲實驗平臺，并對采用了kae算法的存儲平臺進行性能測試。3.1測試環(huán)境系統(tǒng)的測試環(huán)境主要包括hadoop集群，應(yīng)用服務(wù)器、安全密鑰服務(wù)器和一些客戶端。其中hadoop存儲系統(tǒng)由4臺服務(wù)器組成，基本配置包括cpu為interxeone5606 2.13ghz，4ghz內(nèi)存，硬盤為1500g，資源池采用zfs，認(rèn)證服務(wù)器的操作系統(tǒng)為centos6.3，安全密鑰管理采用mysql的5.1.61，客戶端為win-dows7系統(tǒng)，如表1所示。3.2測試結(jié)果分析1）數(shù)據(jù)寫入考慮到云計算系統(tǒng)中的加密功能可能會對整個云

10、計算環(huán)境構(gòu)成影響，因此選擇大小不同的文件來進行數(shù)據(jù)的寫入和讀取，在測試過程中，選擇了三種不同的情況來進行比較，分別是使用des加密，使用aes加密和使用kae加密三種比較，如表2所示。圖2表示三種算法下的讀入文件的速度比。從圖2中可以發(fā)現(xiàn)，在整個云計算系統(tǒng)的文件中進行加密的時候，整個系統(tǒng)的文件寫入的時間都會增加，但隨著文件數(shù)量的大小的不斷增加，文件寫入的時間都會增加，導(dǎo)致整個文件的寫入時間相應(yīng)的增加，因此整體速度呈現(xiàn)下降趨勢，從圖中發(fā)現(xiàn)ake加密算法的效果要優(yōu)于其他兩種加密算法，這說明本文的算法能夠很好的滿足寫入數(shù)據(jù)的加密過程。2）數(shù)據(jù)讀取當(dāng)文件以加密的方式寫入到云計算系統(tǒng)中之后，當(dāng)文件的讀取就需要對其進行解密，才能對信息進行有效的讀取，表3描述了不同操作下文件讀取的時間對比，圖2表示了與之前相同的三種算法的讀取對比，從圖3中可以發(fā)現(xiàn)在采用ake算法后，文件的讀取時間和文件寫入時間大致基本相同，并且采用ake算法后的時間要多于其他兩種算法，這是合理正常的，因為就算法的復(fù)雜度而言，本文算法要高于其他兩種算法。綜合圖2和圖3的效果來看，在三種算法的情況下，文件的讀取速度差別大于寫入速度，這說明云計算用戶在進行下載相關(guān)信息的時候，采用kae算法與其他加密算法下載時間差別較小，這樣就能夠在一定程度上滿足文件的共享需求