云计算中的数据隐私性保护策略研究

摘要

随着云计算技术的广泛应用和普及，用户数据的隐私正在成为一个重要的挑战。例如：在公共云中，当用户数据被上传到云端服务器，用户将不再能够保证数据得到保护。本文探讨的方式可靠的数据隐私保护，并与可信计算技术和虚拟机监视器，以达到消除原型系统的。实验结果表明，该数据生命周期管理，使用受信任的虚拟机监视器是负责保护敏感数据，可根据用户的命令完全破坏的信息，可以有效保护数据隐私。

关键词

云计算  数据隐私保护 原型系统虚拟化销毁

一，引言

一个云计算在企业应用的未来发展方向的快速成长的IT应用普及。然而，大多数云计算应用大多局限于虚拟化和内部IT资源的自动化管理​​，因为所有的数据是由企业管理，云计算模式被称为私有云。另一种模式被称为第三方云计算公共云或云。它具有更大的灵活性和成本优势，计算和存储企业可以外包给云服务提供商，而无需自己购买设备或投资专业人士做的云系统的维护，还可以灵活地改变需求变化的租金云计算资源。然而，外包，外包意味着计算和存储数据，在租来关注企业云计算服务对敏感数据的隐私仍然存在。目前，数据隐私是最重要的公共云扩散问题之一，网友们担心一旦敏感数据被上传到云服务器端，失去绝对控制权的数据，这可能是对隐私问题的威胁。

加强公共云计算数据隐私保护，我们研究用户数据隐私的生命周期管理，以及基于Xen的虚拟机监视器和混沌系统提出消除原型系统上。损坏，以确保只有一个私有空间中的明文用户数据运行，用户密钥只存在于虚拟机监视器，由用户指定的时间内未完成的存储器空间时，用户将被迫破坏数据存储器键，从而保证数据的私密性。

二，技术背景

2.1为基础的虚拟机监视器进步保护技术

混沌系统，如Xen和虚拟机监视器将运行操作系统和用户数据空间隔离，为用户的私人数据在运行时操作提供空间，以及操作系统的用户数据存储空间独立于操作系统没有直接的访问即使操作系统无法侵入并控制的攻击者获得用户数据保证在内存中。

在虚拟化环境中，虚拟机监视器，在最高特权级运行时，所述第一系统被配置为一个事件的虚拟机监控器。系统是由事件的非特权阶级结构的最高特权级别的事件，包括外部中断，异常和在秋天，系统调用，因为作为特权指令的执行。

2.1.1内存保护技术，用户进程

X86构架的MMU （内存管理单元）由段寄存器和页表。需要经过所有的CPU访问内存MMU的转换和权限检查。在虚拟化系统中，虚拟机监视器来替换操作系统，用于控制分配和访问整个组物理存储器，具体体现在一个特定的硬件环境中，段寄存器和页表是由虚拟机监视器维护没有写访问给操作系统，虚拟机监视器，负责分配多个虚拟机到物理内存，操作系统负责为属于每个用户进程的每个虚拟机的虚拟机的内存分配。不同的是，操作系统不能直接用作页表来完成的分配和回收内存，由于操作系统的页表是只读的，修改页表页将触发保护异常，异常而加工机监控虚拟，操作系统会检查内存映射的合法性，以及新一代操作系统页表进行更改。

混沌规定，需要由两个不同的页表被保护的操作系统和用户进程。内存页映射表完整用户模式用户进程和页表所使用的操作系统，这部分的地图被完全清除。换句话说，操作系统不是用户程序访问物理内存MMU 。在另一方面，在虚拟机监控每个物理存储器页面将记录一些信息，标记过程是否属于用户的保护。当操作系统内存映射操作，虚拟机监视器内存页面映射请求将被拒绝保护。

2.1.2数据交换保护

用户进程的内存保护技术是完全禁止访问受保护的操作系统用户进程的内存中。然而，一些连接是合法和必要的。这些访问包括系统调用传递参数，文件读写，返回栈内存映射文件，如阅读和写作，以及信号。混沌使用虚拟机监控器数据的透明传输。例如，当系统的呼叫根据上述虚拟机监视器的系统调用接口的传输参数的语义传递参数，有将被复制到堆栈和堆缓冲区在操作系统中的参数的中间来访问和修改系统调用指针指向相应的缓存位置。

在阅读和写作，无论是通过系统来读取或sys - write系统调用或写入读通过内存映射文件，通过数据交换的虚拟机监视器混乱，以帮助这一进程作为中间文件。此外，混沌系统使用这个机会，同时进行数据的加密和解密。

2.1.3解密数据传输和处理

混沌保护每个进程保持打开的文件列表。读取和写入访问文件文件，如果该文件是在本地磁盘的过程中，虚拟机监视器将写入文件中添加额外的加密和解密。

当一个用户进程文件的读写，根据虚拟机监控系统的语义要求，解决了地址参数1 / O的缓存。当读取该文件，更改I / O缓冲区的地址为虚拟机监视器系统调用的操作系统参数的临时缓存可以被访问，然后去到操作系统的文件中读取。在系统调用返回时，虚拟机监视器，然后将临时缓冲区中的内容复制到用户指定的过程I / O缓存。在此之前访问用户的本地磁盘，如果在文件虚拟机监视器中的数据将被复制到用户空间是用来对数据进行解密， I / O缓存对应的键。

反之，当文件被写入时， I / O缓存内容复制到一个临时的缓存来存取作业系统，然后修改用户进程的I / O缓冲区的地址参数的系统调用的第一个虚拟机监视器的用户存储空间的临时缓存中，然后系统调用的操作系统句柄。 *如果用户的本地磁盘文件的访问，虚拟机监视器中的高速缓存I / O数据的临时副本将首次使用适当的键盘，对数据进行加密。

2.2可信计算技术

每个文件的完整性，可以用于测量的哈希算法。为了保证整个软件栈的操作的完整性，采用可信计算技术的信任链的想法，该软件必须通过软件激活推出了其在遵循各项措施，并测量结果存储顺序TPM硬件芯片。因此，整个过程将开始在一个链中的记载，由用户对链的开头的每个表格的哈希值进行比较就可以知道，该系统是由软件激活。 TPM芯片目前使用散列算法来测量光每次启动软件，并将结果存储在PCR平台配置寄存器。 PCR寄存器接口只有两个命令：零点命令和扩展。扩展命令完成后，结合PCR的光的电流值的一个新的散列， PCR ，然后计算并存储在新的哈希光：

PCR_new = SHA1 （ PCR_current | | new_hash ）

因此，这个过程是不可逆的，而这个过程启动所有运行后，软件会忠实地记录在TPM的PCR寄存器。为了充分告知用户PCR值，可信计算远程作证机制（远程认证）技术提供。在制作永久的RSA非对称密钥对每个TPM芯片产生的，它是2048 b EK （代言键）是在TPM芯片固化后产生的一个关键组成部分是存储在一个可信的第三方CA证书的公共部分这个。

远程作证，用户发送一个随机数160B时间戳服务器，该服务器使用TPM的私钥签名呼吁TPM_quote命令PCR值和随机数一起，并把结果返回给用户报价：报价= SIGsk （ PCRvalue ，杜撰）

因为私钥不能被欺诈的签名TPM ，用户可以确保其签名数据的完整性。使当前正在运行中的软件栈的信息，以确定服务器是否应该可信远程服务器。

三，数据隐私保护系统研究原型的破坏

3.1数据生命周期保护

用户数据保护是数据上载，存储，计算和生命周期的销毁过程的保护。以下是数据生命周期的描述。

3.1.1建立一个可信的环境

在启动过程中的云服务器需要可信计算技术启动软件度量，和传统的可信计算是不同的，虚拟机监视器软件度量的破坏后是不需要的。因为在虚拟机监视器软件层的顶部是不可信的，它不影响操作的系统完全破坏，云服务器需要启动的BIOS， GRUB ，和虚拟机监视器指标纳入TPM芯片的PCR 。

3.1.2建立可信的沟通渠道

用户首先需要在与服务器的可信通信通道创建一个虚拟机监视器，那么你就可以放心地数据上传到云中。

以下过程来建立一个安全通道。首先，用户需要生成一对RSA非对称密钥160B的随机数和时间戳。然后用户发送一个请求到云服务器，它包含一个随机数和时间戳完整性RSA公钥。

虚拟机监视器高端服务器响应用户的请求。首先，虚拟机监视器生成一个会话密钥Ksession ，随机时间戳用户的公钥和用户的北方的会话密钥Ksession SHA1哈希值和哈希值计算单元160b ，然后调用虚拟机监视器TPM引用命令，其中散列值作为参数，以获得与TPM的签名帖证词，虚拟机监视器会话密钥Ksession ，与用户的公共密钥对传输的见证报价和CA证书加密的用户私钥。

当用户从服务器合法性收到响应，你可以验证一个可信的第三方CA服务器证书，确认后，您可以使用引用的证词包，使公钥证书的验证，确认，确实经过证实，对签名TPM再次，用户将可以检查服务器PCR的值来确认虚拟机监视器当前运行的版本是正确的，完整的，再次确认，用户可以使用RSA私钥解开会话密钥包，得到Ksession ，然后用户认证服务器和浅散列算法发明， Ksession和Ksession不管它们是否匹配，如果我们能匹配，那么这种沟通一直没有中间人攻击。

用户和会话密钥Ksession服务器的虚拟机监视器之间的加密的会话密钥协议通信。

3.1.3数据上传

之前，用户需要上传数据，在数据加密破坏的框架，数据保护是围绕应用程序和应用程序组，单个应用程序或一组应用程序由一个主可执行文件，一些可执行文件，和几个数据文件。

用户首先需要生成一个应用程序组，应用程序和数据文件的非对称密钥加密与AES 128 B产生一个对称密钥。然后使用对称密钥文本的可执行文件和数据文件进行加密来保护先前产生的额外的程序文件加密的对称密钥加密的应用程序工具端的AES密钥。

3.1.4数据存储

用户数据传输的云存储服务器，如灾难恢复和系统维护的密文形式可以被认为是云数据备份服务和更多的积分。另外，恶意的内部用户数据可以被非法复制，但是，因为数据以加密形式存储，数据的这些合法或非法复制，而不会造成数据的隐私威胁。

3.1.5程序执行

在运行程序的过程中，它的私有存储器空间执行不能是虚拟机监视器其它进程访问和操作系统，操作系统和用户的操作系统之间的用户进程中的作用，作为用于数据的桥梁当交换的内存空间，拷贝数据的读写，因为操作系统不具有写权限的虚拟机监视器将取代操作系统的复制操作，具体操作步骤：

1 ）参数修改系统调用，因此操作系统将数据加密磁盘复制到虚拟机监视器提供了一个临时的缓存页面PTEMP 。

2 ）查询进程ID当前正在运行的保障。

3）检查表ID的关键，以获得相应的I / O键Ksession程序

4 ）数据PTEMP数据页和Ksession PTEMP内容解密，程序的私有内存页PUSER的纯文本副本。 。

相反，该程序的副本从私有存储器的步骤之外的数据：

1 ）查询身份保护程序运行时，该SPID 。

2 ）该SPID查询键表，相应的I / 0键Ksession程序。

3 ）用户数据页面PUSER用密钥加密Ksession ，存储在一个临时的缓存内容页PTEMP的。

4）修改系统调用的参数，操作系统读取PTEMP的I / 0数据英寸

3.1.6数据销毁协议

在用户指定的时间，一个可执行文件将摧毁破坏程序相关的数据文件， AES密钥和非对称密钥等。有两种方法来破坏数据，第一个是当数据到达用户指定的时间限制损害存活时间，二是抵达明确的命令来发送数据破坏前的用户数据破坏数据，生存时间。

原型系统实现3.2Destroy

基于Xen的虚拟机监视器和混乱的过程保护系统，我们实现了破坏系统，该系统设置了一个专用的虚拟机来驱动硬件设备，为管理员提供管理界面，这个专用的虚拟机被称为虚拟机特权。因为在虚拟机监视器控制网络本身是不实际由特权虚拟机接收时，新的虚拟机中的权限的服务内容传送过程的第一通信网络被用作虚拟机监视器，通讯用户之间的桥梁。在这里，破坏了原型系统的体系结构。

基于Xen的虚拟机监视器上，摧毁加入了四个主要模块，即接口模块，远程作证模块，密钥管理模块和定时模块。下面描述的功能，以实现这四个模块。

3.2.1接口模块

接口模块主要负责对损坏与用户交互来分析用户的命令，并防止假冒用户命令攻击。用户接口模块支持六个命令：命令寄存器，新的程序注册命令，程序运行一个命令扩展命令数据的生命，破坏命令数据，并指定命令销毁所有数据。

新用户注册命令传递明文，则该命令不包含从会话密钥加密的信息，其它命令的隐私。

在运行程序的命令，用户需要提供运行注册的应用程序的名称。

命令来扩展数据的寿命，用户需要指定应用程序和注册的寿命长，消除将延伸至连接到现有的寿命延长长度的寿命所需的长度。

在该命令指定的用户指定名称的数据销毁程序被破坏，毁灭破坏与程序相关联的所有数据。

用户命令销毁所有有关的所有程序和数据被破坏的数据。

除了新的用户注册，订单数据包是一个不同版本的命令字段，版本号的产生来保持用户命令64 - 位字宽的序列号递增。从理论上讲，通过用户部发送的任何两个命令数据包将不会有版本号包含相同的命令，所有命令也关系。损害接到指令后，该数据包将超过版本号是版本号必须是在一个大的接收命令时，如果达不到这样的解释，拒绝这个命令的破坏做出反应。这种机制可以有效的防御中介重放攻击。

3.2.2密钥管理模块

当注册一个新的程序组，程序会给用户公开Ksession密钥管理模块存储的破坏。对于每个用户，密钥管理模块维护程序键表。为表中对应的RSA公钥元组的每一项应用程序的名称。程序运行时，主程序文件的结尾将是AES-128对称密钥的动态密钥管理模块进行解密，公开和对称密钥的所有程序存储在虚拟机监控器的内存不会被切换到磁盘或其他存储设备。

上灭表给出了系统密码管理和分配表，接收用户命令或数据销毁数据的生命周期到期时，相应的关键密钥管理模块将从列表中删除，并通知服务进程的用户正在运行的程序终止时，密文数据和磁盘取出。密钥管理模块，以确保关键是破坏，任何地方这些键将不再以纯文本的形式存在。

3.2.3定时模块

定时模块负责计算用户数据的剩余生命周期，请致电密钥管理模块删除键，当它到达最后期限，并通知服务进程终止用户进程，删除存储的数据。

在时序逻辑，虚拟机监视器任务调度定时插入模块时，用户程序是通过记录当前时间的计时模块在受保护的工作日程安排，获得的过程片段△预定运行时间和相位△方案应减去的剩余寿命该程序的长度定在正常运行时，计时机制不起作用。如下图所示。

当用户程序的生命的长度为0时，定时器模块的数据和键的破坏。如果服务进程的顶部不能在规定时间内终止用户进程，定时器模块强制数据销毁，数据销毁操作将强制用户进程的内存空间被清除所有页面后，程序将无法继续运行清晰。因此，数据的破坏，以确保寿命数据没有明显的结束从云后的任何地方，从而有效地防止攻击追溯。

在一个具体实施方式中，系统的寿命是破坏单位长度的20多岁，在注册过程中，用户的数据，以确定寿命的初始长度，例如中，一天的长度被设定为设定的长度为3 ×60× 24寿命参数，即， 4320 。类似的也延长后续命令数据组的长度的使用寿命。

此外，由于运行时间开始统计计算，用户程序启动时，它才接收用户命令，并不会降低生活的过程。为了防止DOS攻击将阻止所有的用户命令，然后停止定时器程序生命。故障时间没有硬性规定的程序开始，当超过24小时，但还没有收到用户的命令，破坏将被迫销毁数据和密钥。

四，绩效评估

为消除原型系统，我们进行了性能测试，以下描述了测试环境和测试系统，并且测试结果进行分析。

4.1系统测试环境

对于硬件测试环境中，我们使用HP DC7900工作站作为测试机，它配备了英特尔Q9400四核处理器，主频为2.67 GHz内存3 GB ， 500 GB SATA HDD硬盘，千兆以太网和一个RTL8l69 。对于软件环境， Fedora 10中， Xen使用一个修改过的Linux院系2.6.l6电缆安装 - 使用修改后的监视器32 3.0.2虚拟机操作系统内核。

我们使用的两个测试环境的相对性能破坏受保护的用户进程：

正常工作模式：正常工作绩效评估程序，在这种方法中， Xen和Linux中，新的数据保护机制没有被激活，它与原来的Xen和Linux系统相当的性能。

操作的加密模式：用户上传的加密测试程序，打开防护操作。

4.2性能数据和分析

我们使用三种方法来测试的破坏的性能。利用微测试程序LMbench的单一功能的测试系统，用它来显示一些当地的模块被破坏的实现对性能的影响，杜绝使用中计算密集型应用SPECINT -2000测试性能损失;使用机械化部队破坏vsftpd的性能测试。

如上所示是LMbench的性能测试结果，并在空气中的系统调用，性能故障的1.7倍，平均损耗为正常操作中，文件系统相关的系统调用，表现出相对高损耗的性能大致约2倍。但是，这些损失都在预期的性能。基于过程CHAOS保护框架，所有的系统通过虚拟机监视器调用，一个额外的页表转换和数据加密和解密过程，一个单一的系统调用拦截带来了不小的性能损失。然而，发生的频率一般是由于系统调用是比较低的，在计算密集型或I / O密集型任务时，性能开销一般会被摊薄至占据更多的运行时操作。

图SPECINT -2000是一个性能测试，从图中可以看出，四个测试方案具有非常轻微的性能损失，即使是轻微的增加性能，这可能是由于在测试中的错误所讨论的过程中可以忽略。海湾合作委员会，是在所有测试案例的性能损失最大的高达5.2 ％的性能损失。

上图显示的性能损失vsftpd的服务程序，包括延迟和吞吐量测试。我们可以看到，文件服务器的传输速率并没有受到很大的影响破坏系统，密集的I / 0操作大大削弱所造成的开销保护机制的损害。然而，从一个单一的连接可以在响应时间，消除微观性能的影响被看作是比较大的，达到了46.2 ％ ，由于原型系统的破坏，从而优化性能尚未加入，这里仍有较大空间有所改善。

结论

在本文中，公共云的基础上的安全性，引入了虚拟机监视器进程保护技术，可信计算技术研究周期性数据管理，基于Xen的虚拟机监视器和工艺上的保护，消除混乱的问题该原型系统的系统，以确保用户在整个生命周期都没有明确的恶意攻击者得到云内，并在指定时间后，在云服务器的任何地方不再在关键实验的形式存在，表明用户数据的明文密码，原型可以增强用户的数据隐私。