云安全中的可信密码技术研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇云安全中的可信密码技术研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要:针对云计算固有的虚拟性和透明性不足导致的认证困难。可信密码学技术是对由可信根生成的可信点集矩阵进行基于拓扑群分形变换操作,密钥和算法都具有可验证性。并以这些关键的云安全技术为基础,建造可信的云安全架构。
关键词:云计算;可信加密;架构
中图分类号:TP311
2009年4月,NIST专家给出了一个云计算定义草案:云计算是一种通过网络以便利的、按需的方式获取计算资源(网络、服务器、存储、应用和服务)的模式,这些资源来自一个共享的、可配置的资源池,并能够快速获取和释放。虽然云计算仍在不断发展和完善的,其外延和内涵还存在争议,但从不同的描述中,依然可以得出:云计算本质是定制和交付服务的超级计算。
看到其中蕴含的巨大商机和潜力,一些知名的IT企业相继推出自己的云服务。例如:IBM的“兰云”,Microsoft的Azure、Amazon的EC2/S3/SQS等等,而且一些新的应用还在不断的推出。但在这云应用繁荣的背后,隐藏大量以风险。以前的风险依然存在,在新的环境中还可能造成更大的危害。新出现的风险表现在:
由于云计算的复杂性,用户的动态性,固有的虚拟性,不充分的透明性以及对数据控制权的丧失,如何确保云计算环境中不同主体之间相互鉴别、信任和各个主体间通信机密性和完整性,计算的可用性和机密性,使云计算环境可以适用不同性质安全要求,稳定运行;如何确保物理身份和数字身份的一致性,该其他安全技术提供权限管理的依据,变得比以前的计算模式更加紧迫,具有重大的理论和现实意义。
可信云是可信技术在云计算中的扩展,相关技术即可信云安全技术。本文对可信云环境中三种关键的安全技术即:可信密码学、做了一些研究。可信密码学技术是对由可信根生成的可信点集矩阵进行基于拓扑群分形变换操作。可信密码学的密钥和算法都是随机可信的生物特征信息,因此密钥和算法凭都具有可验证性。并提出一种新颖的云安全框架。
本文的结构如下:第二部分可信密码学,第三部分是可信云安全架构。第四部分是总结。
1 可信密码学技术
可信密码学是以运行者自身的特征信息为信任根做可信变换计算的可信云安全技术。客户端和云计算中心之间隐蔽通信、“零知识”应答挑战以及加密/解密存储都需要对该信任根做加密/解密计算和模式识别认证。其预处理如下:(1)获取生物特征信息作为可信信息源,并将可信信息转换成可信点集矩阵G。生物信息可以是指纹、人脸、语音等等。指纹、人脸和语音等数据本身是二维以上的矩阵。但是一个文本文件,从语义角度看往往是一维的,因此需要扩展维数,进行二维以上的矩阵编码。例如可以增加位置参数,使任何字节与位置相关,从而把一个文本文件按照语义词语的位置,编码成二维点集矩阵。(2)可信点集矩阵G进行包括子集划分在内的各种初始化操作。(3)以密钥k为变换复杂度参数,对可信点集矩阵进行分形变换运算。如点集拓扑群单位环运算或单位环变换运算;单位点集拓扑群分形变幻环运算;点集拓扑群分形变幻环运算或者K单位点集分形变换环计算等。加密/解密过程本质上就是一个点集拓扑群分形变换计算,因此具有定义域和值域严格一致性的特征。同时产生的密钥生物信息特征值即具有保护该信息不被猜获的隐秘性,同时又可用于身份识别。以私钥k对可信点集矩阵进行变换运算,值为W=Gk=k*G,其中*是变换运算符,W是变换运算的结果。(4)将变换后的点集串行编码为字符串,将Gk串行编码为字符串“Gk”。获取并由私钥变换而得解密公钥。即W以及G。
非对称加密过程就是:
使用私钥j对G和W进行变换得到: Gj=j*G和Wj=j*W 。
加密明文M,得到密文C。C=Wj+M。
发送密文C和公钥Gj。
非对称解密过程即: E=C-K*Gj=C-Gkj
k*Gj=Gkj=Wj
E=C-Gkj=WJ+M-Gjk=M
这里,k和j是私钥,G和W是公钥;运算符*是点集拓扑群分形变换运算符;值为W=Gk=k*G,是对公钥G进行私钥K的分形变换运算。
对称加密/解密。如果是对称的加密/解密算法,可以假设密钥就是“Gk”。
加密计算:C=MGk。
解密计算:E=CGk=MGkGk=M
可信密码学的优势包括以下:可信密码学算法和密钥都包含可信的生物特征信息,因此密钥和算法都可以凭可信特征信息验证。可信密码学的运算是基于点集拓扑群分形变换环运算操作,包括自组织数、分形数、混沌数的计算。在可信密码学中,随机运算基于用户可信信息特征作为随机信任根;因而能够同时做到隐蔽随机信任根又可公开可信认证该随机信任根,这是第三个优势。
2 可信云安全云技术组成架构
可信云安全技术的基础设施架构,按其功能可分为物理逻辑层、驱动管理层、系统应用层三层。
2.1 物理逻辑层
可信识别的物理逻辑层,即可信云用户端用于识别的计算机配置,包括采集人脸、语音、指纹、签字、基因等生物信息特征的相关传感器,甚至键盘、鼠标等也可作为人的行为信息传感器,因为每个人使用键盘、鼠标的习惯不同,采集该信息同样可以识别使用人。指纹识别器、麦克风、摄像头等传感器都是一些常用的配置,一切都是现存的,只要对物理对象进行类型定义和语义描述,计算机就能按要求实现可信模式识别技术。
可信密码学技术的物理层。即可信云数据中心、端互动通信的标准配置,包括数据中心管理平台的标准通信配置和可信云用户端的标准通信配置。对可信云通信的安全通道进行类型定义和语义描述,计算机就可以按照软件功能实现可信密码学技术。
可信融合验证的物理层描述。就是可信云、端互动认证的标准配置。包括可信云、端PKI服务器的标准物理配置。只要按照可信云、端互动认证的物理逻辑进行类型定义和语音描述。计算机就可以实现可信融合验证技术。
2.2 可信云的安全技术的驱动管理层。
驱动管理层包括可信识别、可信密码学和可信验证部分三部分。它一方面隔离物理逻辑的复杂性,对上层透明;计算机结合相关功能定义,管理、调度系统中的设备实现可信功能(如传感器的可信采集)。
2.3 可信云安全的系统应用层。系统应用层是管理以及调度传感器实现可信采集和识别认证功能的软件接口。应用层接口包括:可信模式识别技术,可信密码学技术、可信验证技术等接口。
3 结论
云计算在快速发展的同时,面临者巨大的安全挑战,这些挑战即来自传统的威胁,也来自云计算自身的特点,即虚拟化和用户对数据和过程不透明带来的不安全感。本文对云计算的一些关键安全技术作了一些探讨。可信加密技术/解密技术是以可信特征信息为信任跟,利用拓扑集群的变换对可信特征信息进行处理,使得这种技术保密性高、极难伪造,其密码和加密算法都具有可验证性。这些可信云安全技术的进一步研究以及随之而来的应用的展开。一定可以缓解客户对云计算的忧虑,催进云计算这种新的计算模式的发展。
参考文献:
[1]Weichao Wang,Zhiwei Li,Rodney Owens.Secure and Effcient Access to Outsourced Data.CCSW'09:Proceedings of the 2009 ACM workshop on Cloud computing security,pages 55-65.November 2009.
[2]Cloud Security Alliance. Security guidance for critical areas of focus in cloud computing.http:///,April 2009.
[3]F.Gens.IDC on‘the Cloud’:Get Ready for Expanded Research.http:///ie/?p=189,Sept.23,2008.
作者单位:西安石油大学计算机学院,西安 710065;中国电子科技集团公司20所,西安 710061