魯恩銘+鄧艷

摘要：該文論述了基于PKI技術的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究意義，國內外的研究現(xiàn)狀，提出了基于PKI技術的多類型云存儲用戶身份認證解決方案，然后結合PKI的數(shù)字簽名技術，最后充分利用AD的統(tǒng)一身份管理和目錄文件的訪問控制，從而實現(xiàn)基于PKI技術的企業(yè)級云存儲出錯數(shù)據(jù)的證明。

關鍵詞：PKI技術；云存儲；出錯數(shù)據(jù)；身份認證；數(shù)字簽名；AD

中圖分類號：TP309.3 文獻標識碼：A 文章編號：1009-3044（2016）15-0247-03

Abstract：This paper discusses the significance of the research and research Status of this subject both at home and abroad based on PKI technology. Putting forward the solution of multi-type cloud storage user authentication based on PKI technology and then combining with the PKI digital signature technology and finally takes full advantage of the AD unified identity management and directory of the file access control， so as to realize the data error proof based on PKI technology enterprise class cloud storage.

Key words：PKI technology； cloud storage； error data； identity authentication； digital signature； AD

信息時代，最寶貴的無疑是用戶的核心數(shù)據(jù)。建立、處理、存儲、保護、使用和銷毀這些數(shù)據(jù)，即信息的全生命周期運動，構成了信息時代社會信息流的大動脈。當今信息存儲系統(tǒng)朝無限的帶寬、無限的容量和無限的處理能力，即“3i”方向發(fā)展，提出“Anytime，Anywhere，Anything”的目標，即要求數(shù)據(jù)在任意時間、任意地點實現(xiàn)任意數(shù)據(jù)訪問.存儲產(chǎn)品不再是附屬于服務器的輔助設備，而成為互聯(lián)網(wǎng)中最主要的花費所在。信息技術正從以計算為核心的計算時代進入到以存儲為核心的存儲時代，網(wǎng)絡化存儲將成為未來存儲市場的熱點.而目前的云存儲服務是網(wǎng)絡存儲發(fā)展的必然趨勢[1]。

但是，因為云存儲的安全性、可靠性及服務水平等還存在眾多問題亟待解決，所以云存儲并未出現(xiàn)爆炸式的增長，特別是很多企業(yè)仍然采用傳統(tǒng)的存儲方法，并未用到云存儲，企業(yè)級云存儲用戶并不多。究其原因主要是這些用戶對于云存儲數(shù)據(jù)安全性的擔心，企業(yè)級云存儲用戶和服務提供商之間的一種不信任，用戶擔心自己的數(shù)據(jù)出錯，以及出錯所帶來的巨大損失。他們最關心的是數(shù)據(jù)是否完整無誤；如果有一套可證明數(shù)據(jù)出錯的完整方案提供給用戶，該方案能具體到其出錯數(shù)據(jù)類型、出錯數(shù)據(jù)大小、出錯起點、出錯終點、出錯范圍、出錯時間、出錯原因、出錯的損失、責任劃分甚至可恢復方案，并且該方案企業(yè)級云存儲用戶和服務提供商之間均可認可，并最終具有法律效應，那么企業(yè)級云存儲用戶和服務提供商之間就會建立信任關系，從而企業(yè)級用戶會趨之若鶩地把自己的關鍵數(shù)據(jù)存放在云端，從而推動云存儲技術的發(fā)展。綜上所述，研究基于云存儲的企業(yè)級用戶數(shù)據(jù)中出錯部分的證明有較大的現(xiàn)實意義和應用價值。

1 國內外研究現(xiàn)狀

云存儲是在云計算概念上延伸和發(fā)展出來的一個新的概念，云計算是指不在本地而在集中的多個服務器組成的計算中心進行運算，由多個服務器同時完成運算任務，從而能解放本地運算功能提高運算效率的一種技術。而云存儲是云計算的重要應用，是指將企業(yè)或個人的文件或數(shù)據(jù)集中存儲在數(shù)據(jù)中心而非本地，并按實際使用進行付費的技術[2]。

在國外，很多IT界巨頭紛紛推出基于云存儲的不同服務，影響較大的云存儲產(chǎn)品只有iCloud、SkyDrive、GoogleDrive、Dropbox四家。國內云存儲行業(yè)也正加速升溫，各大IT服務商紛紛推出各種云存儲服務。國內的網(wǎng)盤服務發(fā)展蓬勃，酷盤、金山快盤、華為Dbank網(wǎng)盤等免費網(wǎng)盤企業(yè)的大幅擴張業(yè)務。

在國內，云存儲也被很多廠商看好，并且很多廠商都紛紛瞄準了這塊領域。隨著傳統(tǒng)的網(wǎng)盤技術已顯力不從心，并受到傳輸速度慢、冗災備份及恢復能力低、安全性差、營運成本高等瓶頸的困擾，最新應用的云計算儲存技術為網(wǎng)盤行業(yè)帶來了新的革命，相信傳統(tǒng)的網(wǎng)盤將逐步被云存儲取代[3]。

《2012年中國云存儲研究報告》顯示，得益于云計算、移動互聯(lián)網(wǎng)以及移動智能終端的發(fā)展，個人云存儲市場得以迅速活躍起來。云存儲產(chǎn)品與傳統(tǒng)存儲產(chǎn)品最顯著的區(qū)別在于同步，使用戶在任何時間、習慣任何地點都可以通過PC、手機、平板電腦來訪問和共享文檔、照片、音樂和其他全面的數(shù)字生活，同時能夠安全、合理、高效地為用戶存儲資源。包括新浪、金山、網(wǎng)易、百度、騰訊、華為等在內的多家知名互聯(lián)網(wǎng)公司紛紛進入云存儲市場掘金?？梢哉f目前的個人云存儲市場正是“群雄逐鹿”的時代，各家的產(chǎn)品處于體驗升級中，用戶的使用也在逐步形成。相較于個人云存儲市場的火熱，企業(yè)用戶對于云存儲的態(tài)度則稍顯保守?！?012年中國云存儲研究報告》顯示，企業(yè)用戶對于數(shù)據(jù)向云上的遷移的意愿并不強烈。一是由于對云存儲產(chǎn)品可用性的疑慮，更多地則是對云存儲產(chǎn)品安全性的擔憂[4]。具相關數(shù)據(jù)表明，目前大約有80%左右的企業(yè)不愿意將企業(yè)內的業(yè)務數(shù)據(jù)放在云存儲產(chǎn)品中，究其主要原因是從數(shù)據(jù)安全性的角度考慮[5]。

我們應當在數(shù)據(jù)安全性上狠下功夫，讓用戶敢于把關鍵文件存放到云端，對云存儲產(chǎn)生依賴，真正讓云落地，讓云存儲備份成為企業(yè)私有云，使企業(yè)數(shù)據(jù)中心的運行更與互聯(lián)網(wǎng)相似，使得企業(yè)能夠將資源切換到需要的應用上，根據(jù)需求訪問備份的數(shù)據(jù)。

目前企業(yè)級云存儲數(shù)據(jù)的出錯證明及恢復主要通過多種級別的容錯技術以及檢錯糾錯技術來實現(xiàn)，如硬盤級、節(jié)點級和Domain/Site級的數(shù)據(jù)可靠性技術，國內外不乏有一些研究文獻，其中，文獻[9]中提到目前安全云存儲系統(tǒng)的關鍵技術之一就是基于密文的數(shù)據(jù)持有性證明，其中POR方案，在數(shù)據(jù)持有性證明的基礎上，添加數(shù)據(jù)恢復機制。此方案通過計算散列值等方法主要來驗證數(shù)據(jù)的完整性，以期達到數(shù)據(jù)的持有性證明；文獻[6]中分析了現(xiàn)有的云存儲平臺在數(shù)據(jù)完整性檢驗檢測方面的不足，并提出了云數(shù)據(jù)完整性檢測系統(tǒng)IDBRS，設計并實現(xiàn)了基于IDBRS模型的云數(shù)據(jù)完整性檢測系統(tǒng)和數(shù)據(jù)恢復系統(tǒng)。提到了改進的數(shù)據(jù)完整性并未涉及云存儲用戶部分數(shù)據(jù)出錯時出錯；文獻[7]中提到一種基于Kademlia 的云存儲系統(tǒng)數(shù)據(jù)冗余方案，通過數(shù)據(jù)的冗余從而實現(xiàn)云存儲系統(tǒng)中出錯數(shù)據(jù)的檢錯和糾錯；文獻[8]提到一種RS（reed solomon）糾錯編碼，其具有很強的檢錯和糾錯能力，能夠實現(xiàn)從k 個接收到的數(shù)據(jù)包精確恢復原始數(shù)據(jù)。文獻[9]在云存儲環(huán)境下構建安全網(wǎng)盤系統(tǒng)時，可在服務器中根據(jù)用戶需求建立信任域，然后利用公鑰基礎設施PKI進行身份認證，保證了用戶數(shù)據(jù)的不可欺騙性和不可抵賴性，從而實現(xiàn)存儲安全。但這些研究文獻并未提出利用PKI技術，實現(xiàn)企業(yè)級云存儲出錯數(shù)據(jù)證明的詳細方案。

2 多類型云存儲用戶身份認證

云生態(tài)系統(tǒng)是一個龐大的分布式系統(tǒng)，擁有海量的用戶，具有動態(tài)性、跨域性等特性[10]，它的云存儲服務能力為典型的SPI（SaaS，PaaS，IaaS）云交互三層模式：

IaaS用戶類型：主要滿足開發(fā)人員和IT管理員，主要包括計費管理員，系統(tǒng)管理員，網(wǎng)絡工程師，備份管理員和防火墻管理員。

PaaS用戶類型：主要滿足管理員，開發(fā)人員，測試人員，終端用戶。

SaaS用戶類型：主要滿足快速周轉的大量企業(yè)用戶，以及第三方用以支持外包業(yè)務處理。企業(yè)用戶也會要求提供不同級別的權限（角色）用以滿足用戶工作職能的需要。

在PKI體系中有兩種類型的策略：

一是證書策略，用于管理證書的使用，包括證書的審查、私鑰的安全以及個人信息的提交方式；將此策略應用于典型的SPI三層云存儲服務模式中時，證書的審查針對不同類型的云存儲用戶設置成非常嚴格、嚴格和合格三個策略等級；私鑰的安全針對不同類型的云存儲用戶設置成軟硬件保護、硬件保護和軟件保護三個策略等級；而個人信息的提交方式針對不同類型的云存儲用戶設置成實名和非實名兩個策略等級，如表1所示。

二是證書操作管理規(guī)范CPS，主要包括在實踐中增強和支持安全策略的一些操作過程的詳細文檔。包括CA的建立和運作，證書的發(fā)行、接收和廢除，密鑰的產(chǎn)生、注冊，以及密鑰的存儲等。將此策略應用于云存儲服務模式中時，亦設置成非常嚴格、嚴格和合格三個等級，如表2所示。

不同類型云存儲用戶的訪問權限主要分為讀、寫和執(zhí)行，它們所獲取的具體權限如表3所示。

由于同一層相同類型的云存儲用戶在不同的條件和環(huán)境下面，所需要的服務不盡相同，為了滿足云存儲用戶工作職能的需要，我們需要適當?shù)恼{整證書策略和訪問控制權限，這時就需要特權訪問，需要設置特定權限用以滿足特定用戶的特定需求，從而達到靈活處理的目的。

3 云存儲用戶和服務提供商之間的數(shù)字簽名

在 PKI 系統(tǒng)中，云存儲用戶和云服務提供商為了實現(xiàn)相互識別和信任，需要一個具有公信力、申請者都信任的CA簽發(fā)數(shù)字證書，云存儲用戶使用云服務之前應相互認證身份，具體流程如圖1所示。

相互認證完畢后，根據(jù)云存儲用戶的具體權限生成服務資源列表，進行本地授權，用戶可以與服務資源（SaaS、IaaS、PaaS）交互。最終利用PKI技術平臺，實現(xiàn)云存儲用戶身份認證的證明。為云存儲用戶和云服務提供商搭建權責明確并相互信任的平臺，推動云存儲技術的發(fā)展。

4 基于AD的統(tǒng)一身份管理

在云生態(tài)系統(tǒng)中，云存儲用戶和云服務提供商的身份認證以及數(shù)字簽名的問題解決之后，緊接著需要建立統(tǒng)一的身份管理平臺，從而解決企業(yè)級用戶和云存儲服務提供商之間由于數(shù)據(jù)出錯而發(fā)生的糾紛，并最終建立相互信任的長效機制，而Windows Server操作系統(tǒng)的AD活動目錄服務，使用域的管理，具有方便管理、安全性高、可擴展性強、可冗余性等優(yōu)勢，受到越來越多企業(yè)的青睞。AD通過域控制器管理域內用戶賬號和權限，用戶只需要域用戶賬號和密碼即可登錄系統(tǒng)，并呈現(xiàn)可訪問的目錄列表。訪問快捷方便，權責明確。而Samba 服務器是一種標準的提供 Windows 系統(tǒng)與與Linux /Unix 系統(tǒng)互操作性的開源軟件包， 其核心是 SMB 協(xié)議。在配置AD服務器的同時，可配置好Samba 服務器，從而解決云生態(tài)系統(tǒng)中不同平臺、不同環(huán)境的問題，使得其具有普適性。由于云生態(tài)系統(tǒng)具有跨域性等特性，而AD是針對域內用戶進行的管理，如何努力擴展云存儲用戶的身份信息，擴大AD域的適用范圍，使得AD技術能夠普適于云存儲技術，仍是一個亟待解決的問題。

5 小結

云生態(tài)系統(tǒng)是一個龐大的分布式系統(tǒng)，擁有海量的用戶，具有動態(tài)性、跨域性等特性，云存儲技術為典型的三層云存儲結構，每一層對應不同需求的用戶類型，當把傳統(tǒng)的PKI技術應用于云存儲出錯數(shù)據(jù)的證明時，首先進行身份認證，就應該相應的建立不同級別、不同層次、不同類型的用戶，努力擴展云存儲用戶的身份信息，擴大PKI安全域的適用范圍，然后有效利用數(shù)字簽名技術，最后利用AD進行統(tǒng)一的身份管理和目錄文件的訪問控制，從而最終實現(xiàn)基于PKI技術的云存儲出錯數(shù)據(jù)的證明。

參考文獻：

[1] 陳蘭香，許力.云存儲環(huán)境中可證明數(shù)據(jù)持有及數(shù)據(jù)恢復技術研究[J].計算機研究與發(fā)展，2012（2）.

[2] 中國云存儲行業(yè)與用戶行為研究報告簡版—2012年.

[3] 企業(yè)云存儲何時迎來春天.中關村在線. 2012.04

[4] 2012年中國云存儲報告. 報告編號：155074

[5] 我國云存儲產(chǎn)業(yè)發(fā)展現(xiàn)狀. 中國產(chǎn)業(yè)信息網(wǎng).2012.09

[6] 林建清.云存儲環(huán)境下數(shù)據(jù)完整性檢驗和出錯數(shù)據(jù)恢復技術研究[D].國防科技大學，2011.

[7] 吳吉義，等. 基于Kademlia 的云存儲系統(tǒng)數(shù)據(jù)冗余方案研究[J].電信科學，2001（2）.

[8] Reed I S，Solomon G.Polynomial codes over certain finite fields[J].Journal of the Society for Industrial and Applied Mathematics，1960（8）：300-304.

[9] 舒繼武，傅穎勛.一種云存儲環(huán)境下的安全網(wǎng)盤系統(tǒng)的實現(xiàn)方法[專利].清華大學. 專利號：201210176807. 2012.10

[10] 李健， 張笈. PKI在云計算中的應用研究[J].信息網(wǎng)絡安全，2011（8）.