云计算环境下隐私保护研究+文献综述(5)
4.2数据隔离
目前在网络中用户基本采用数据加密方式共享数据,但在云计算环境下,如果能够将自己的数据与其他用户的数据隔离开可以更加有效地保证数据安全,从而解决隐私保护问题。搭建于云计算平台的软件系统广泛采用Multi-Tenancy( 多租户) 架构,因为所有客户数据将被共同保存在唯一的一个软件系统实例内,所以需要开发额外的数据隔离机制来保证各个客户之间的数据的保密性并提供相应的灾备方案。现行的几种成熟的架构能够为系统实现数据隔离: 共享表架构、分离数据库架构、以及分离表架构。不过目前云计算的数据隔离技术也仅仅是最大限度地保证用户私有数据的安全性,绝对的安全很难做到。单租户专用数据平台能够更好地为云计算用户提供数据隔离,但其耗资巨大,并非每个用户所能承担。由此可见云计算环境下的数据隔离技术需进一步改进,以推动云计算的发展。
表1 云计算多租户环境威胁分类
威胁类型 受害者 攻击者 发生可能性 后果 解决办法
一个租户部署的有漏洞或者配置错误 租户自己 其他租户或云外部攻击者 高 数据丢失以及服务崩溃 检查代码bug;防火墙和IDS保护;
云基础平台无法防side-channel的攻击 所有租户 其他租户 中 拒绝服务以及有可能数据泄密 可信云技术;虚拟机中部署omnisep
一个租户的系统程序库或内核有BUG 租户自己 其他租户或云外部攻击者 中 数据丢失以及服务崩溃 及时更新;虚拟机中部署omnisep
云服务提供商自身是恶意进攻者 所有租户 云服务商提供的雇员 低 所有租户的数据和服务被攻破 员工背景审查,数据全程加密
4.3认证机制和访问控制
用户数据隐私也可以通过强认证机制和访问控制来确保。如果有第三方想访问用户数据和数据加密密钥,必须通过云存储平台经过一步步的严格的认证。云服务的系统中如果没有强认证机制,恶意侵犯者就有可以通过猜测合法用户的口令来解密用户数据。通过严格的用户认证机制盒访问控制策略,可以保证恶意侵犯者和内部工作人员都不可能随意地使用云存储,以此来保护云计算环境下的隐私。
云计算本质是一个分布式的系统,因此各个节点( 包括各个服务) 之间的访问控制策略的互理解能力也成为云计算安全领域中的一个重要问题。在访问控制策略方面,有一种基于数据属性来定义来增强访问控制的策略,其理论基础包含基于属性加密的密钥策略( KP-ABE) ,代理重加密(PRE) 和惰性重加密(LRE) 三个方面。密钥策略是一个利用了双线性映射和离散对数问题的一对多的公钥加密通信机制。允许单个数据拥有者与多个数据使用者进行安全数据分发;代理重加密是一种加密机制,其中的半信任代理能够将Alice 公钥加密的密文转换为另外一份密文,使得在不查看原始明文的基础上,密文能够被Bob 的私钥解密。用密钥策略来管理数据拥有者与数据使用者之间的信息交换密钥会导致数据拥有者异常繁重的计算任务(尤其是在移除用户时,数据拥有者必须自己计算更新所有与移除用户关联的文件的密钥)。因此,结合代理重加密,将繁重的密钥计算任务委托给云服务器,而不需要向云服务器揭示底层的文件内容。这样的结构降低了用户端的计算负载,并保证了数据的安全。为了进一步降低云服务器的计算压力,利用了惰性重加密,允许云服务器积累多个系统操作的计算任务进行批量计算。云服务器的计算复杂度与系统属性个数成正比,且与用户访问结构树的大小成线性关系,与云系统中的用户个数无关,从而获得可扩展性,也防止用户隐私信息在云服务器端泄漏。