一種私有云的數(shù)據(jù)完整性驗證方案

劉繼光 陳峰 楊豪璞

摘要：針對云計算平臺的數(shù)據(jù)完整性問題，對云計算數(shù)據(jù)完整性驗證的主要方法和第三方驗證方案進行了簡要介紹，在分析私有云的用戶及其使用特點的基礎上，提出了一種基于數(shù)據(jù)持有性證明方法的私有云數(shù)據(jù)完整性驗證方案，并描述了方案驗證的基本流程，方案以云計算平臺服務的方式替代用戶或第三方作為數(shù)據(jù)持有性證明的執(zhí)行者，提高了私有云數(shù)據(jù)完整性驗證的效率。

關鍵詞：云計算；數(shù)據(jù)安全；完整性

中圖分類號：TP393.1文獻標志碼：A文章編號：1008-1739（2019）02-66-3

0引言

隨著云計算技術的發(fā)展，政府、企業(yè)及院校等社會各個行業(yè)都創(chuàng)建一些云計算平臺，作為集約高效的信息基礎設施來推進自身的信息化建設。按照部署模式劃分，這些云計算平臺均屬于私有云，即云計算平臺被某單一組織擁有或租用，且該基礎設施只為該組織服務[1]。這些私有云通常部署于所屬單位的內部網(wǎng)絡中來降低病毒傳播、非法訪問和掃描攻擊等外部網(wǎng)絡威脅行為。但根據(jù)國際云安全組織CSA發(fā)布的云安全威脅研究報告，影響云計算平臺數(shù)據(jù)安全的很多因素來自內部，特別是數(shù)據(jù)完整性問題，內部人員的操作失誤就可能造成數(shù)據(jù)丟失或數(shù)據(jù)損壞，直接威脅到存儲在云計算平臺中的數(shù)據(jù)。

1數(shù)據(jù)完整性驗證

數(shù)據(jù)完整性一般是指非授權實體無法篡改數(shù)據(jù)資源，側重于數(shù)據(jù)在存儲狀態(tài)或傳輸過程中保持完全不變，通過校驗的方式來實現(xiàn)對數(shù)據(jù)完整性的驗證。云計算平臺的數(shù)據(jù)完整性驗證是基于用戶對云計算平臺不信任條件下的一種可證明的約束機制，是云計算平臺對用戶提出的數(shù)據(jù)完整性“挑戰(zhàn)”給出可證明的“響應”。

1.1驗證方法

目前云計算平臺數(shù)據(jù)完整性驗證的基本方法有數(shù)據(jù)持有性證明（Provable Data Possession，PDP）和數(shù)據(jù)可恢復性證明（Proofs of Retrievability，POR）[2-6]。

在數(shù)據(jù)持有性證明中，用戶為了減少驗證過程中文件下載和計算的資源消耗，預先將整個文件分割成若干塊，并為每個分塊分別生成關聯(lián)性標簽數(shù)據(jù)，這些關聯(lián)標簽數(shù)據(jù)和數(shù)據(jù)文件一起存儲到云計算平臺上。用戶在必要時或不定期地通過“挑戰(zhàn)-應答”的方式對云計算平臺存儲的數(shù)據(jù)文件進行完整性驗證，云計算平臺必須依據(jù)用戶的挑戰(zhàn)要求，利用存儲的用戶數(shù)據(jù)文件和關聯(lián)標簽計算并返回相應的應答，最后由用戶根據(jù)應答判斷云計算平臺是否完整保存了數(shù)據(jù)文件。用戶可以針對地性驗證某個分塊，或隨機性驗證某些分塊是否具有完整性。

數(shù)據(jù)可恢復性證明與數(shù)據(jù)持有性證明相似，也是采用“挑戰(zhàn)-應答”的方式來驗證云計算平臺存儲的數(shù)據(jù)是否完整，不同之處在于其加入了糾錯碼機制。用戶在向云計算平臺存儲之前，將數(shù)據(jù)文件進行了糾錯編碼，為用戶數(shù)據(jù)出現(xiàn)錯誤時恢復原始數(shù)據(jù)提供一定保障。同時，用戶在數(shù)據(jù)文件中隨機嵌入了一些特殊數(shù)據(jù)塊，被稱為“哨兵”，用于監(jiān)測一部分數(shù)據(jù)，用戶通過隨機挑選“哨兵”來驗證這部分數(shù)據(jù)是否完整，是否可恢復。

1.2公開驗證

云計算平臺數(shù)據(jù)完整性的驗證技術不斷深化，在驗證過程中引入了第三方驗證者的概念，也稱公開驗證方案[6]。無論是數(shù)據(jù)持有性證明還是數(shù)據(jù)可恢復性證明的驗證過程都需要用戶的參加，是由用戶在獲取較少數(shù)據(jù)的情況下，通過知識證明協(xié)議和概率分析手段，以高置信概率判斷數(shù)據(jù)存儲的完整性，大量占用用戶時間、計算內存及網(wǎng)絡帶寬等資源。公開驗證方案則提出由用戶與云計算平臺之外可信任的第三方驗證者對用戶存儲在云計算平臺中的數(shù)據(jù)進行驗證，并得出結論提供給用戶。公開驗證的流程關系如圖1所示。

公開驗證由用戶、云計算平臺及第三方驗證者組成，基本流程是用戶向云計算平臺存儲數(shù)據(jù)之前，預先處理生成數(shù)據(jù)文件的相關驗證信息，如關聯(lián)性標簽數(shù)據(jù)，在將數(shù)據(jù)文件和驗證信息存儲到云計算平臺的同時，也將這些驗證信息和驗證要求提交給第三方驗證者。第三方驗證者根據(jù)用戶驗證要求，采用適當?shù)臄?shù)據(jù)完整性驗證方法向云計算平臺驗證用戶的數(shù)據(jù)文件，之后將驗證結果反饋給用戶。如果數(shù)據(jù)完整性驗證通過，用戶在使用數(shù)據(jù)文件時，只需直接讀取云計算平臺存儲的數(shù)據(jù)文件。

相比用戶直接參與驗證過程，公開驗證能夠大大減少用戶工作量，并且第三方驗證者可以同時為很多用戶或同一用戶的多個數(shù)據(jù)文件提供驗證服務，提高了批量數(shù)據(jù)完整性驗證的效率。此外，第三方驗證者的角色具有中立性，還可以減少用戶與云計算平臺的爭議性問題。

2驗證方案

相對于公有云、混合云等其他部署模式，私有云部署在一個單位網(wǎng)絡內部，擁有獨立使用的基礎設施，因此具有一定的先天優(yōu)勢，比如網(wǎng)絡條件優(yōu)良、云計算平臺不易受外部流量侵襲及網(wǎng)絡服務質量有保障等，同時內部數(shù)據(jù)得到有效隔離，減少了由于外部原因帶來的數(shù)據(jù)安全威脅。但研究機構也提出，無論是公有云還是私有云，內部原因都是云計算平臺數(shù)據(jù)完整性的重要威脅來源之一，因此有必要結合私有云的特點，針對性地研究數(shù)據(jù)完整性驗證問題。

2.1私有云特點

從用戶關系角度看，通常公有云中數(shù)據(jù)完整性驗證的出發(fā)點是基于用戶對云計算平臺的不信任，驗證的結果是為了給用戶證明云計算平臺是可信的，但在私有云中，用戶與云計算平臺同屬于一個政府部門、公司或院校，二者之間的關系有著明顯的特殊性。對于私有云計算平臺來說，用戶作為私有云所屬各單位的人員，一方面當他們在使用私有云的業(yè)務數(shù)據(jù)時，具有普通用戶的共同特點，另一方面當他們履行業(yè)務數(shù)據(jù)建設的職責，在向私有云存儲數(shù)據(jù)時是作為私有云的數(shù)據(jù)保障成員，或者認為私有云是他們自身保存和管理數(shù)據(jù)的平臺，是可以信任的平臺。同時意味著業(yè)務數(shù)據(jù)匯總到私有云后，私有云必須確保自身是可信任的，因此用戶數(shù)據(jù)完整性驗證完全可以由私有云承擔。

此外，云計算平臺數(shù)據(jù)完整性驗證的復雜度與用戶的數(shù)據(jù)操作方式密切相關。用戶對云計算平臺存儲的數(shù)據(jù)，既有讀取的操作，也有修改寫入的操作，因此通用云計算平臺數(shù)據(jù)完整性驗證需支持動態(tài)更新操作。但對于一些私有云來說，業(yè)務數(shù)據(jù)具有嚴格的管理流程，不能被輕易修改，無論是提交數(shù)據(jù)的用戶還是使用數(shù)據(jù)的其他人員，意味著一些私有云計算平臺的數(shù)據(jù)完整性驗證以支持靜態(tài)操作為主。

2.2驗證方案

針對私有云的特點，借鑒公開驗證方案的思路，提出一種基于PDP模型的私有云數(shù)據(jù)完整性驗證方案。該方案的核心思想是基于用戶對私有云的信任，將數(shù)據(jù)完整性驗證工作納入到云計算平臺內部，在其內部設置一個專用的驗證服務，作為實施用戶數(shù)據(jù)完整性驗證的實體，驗證流程關系如圖2所示。

該驗證方案由用戶和私有云計算平臺組成，私有云計算平臺提供了驗證和數(shù)據(jù)存儲2個服務。①驗證服務作為專用服務，既承擔了用戶數(shù)據(jù)的接收和預處理工作，也承擔了數(shù)據(jù)完整性驗證的工作；②數(shù)據(jù)存儲服務是基礎服務，具體負責用戶數(shù)據(jù)文件等信息的存儲和管理，配合驗證服務進行數(shù)據(jù)完整性驗證，并為用戶提供數(shù)據(jù)文件讀取訪問服務。

該方案在私有云計算平臺內部設置驗證服務，從地位上看，驗證服務起到了第三方驗證者的作用，但由于私有云計算平臺與用戶是可信任關系，無需第三方提供數(shù)據(jù)完整性驗證結果，因此可將第三方整合到私有云計算平臺內部，放置到數(shù)據(jù)存儲的前端對數(shù)據(jù)文件進行預處理并保存驗證信息，同時可以不受人為因素干擾，完成對用戶數(shù)據(jù)文件周期性的完整性驗證。

3驗證流程

驗證過程基于PDP方法，分為準備階段和驗證階段。不同于其他驗證方案中由用戶完成的準備階段，該方案的準備階段主要由私有云計算平臺的驗證服務完成。驗證階段由驗證服務和數(shù)據(jù)存儲服務配合完成，具體流程如下。

（1）準備階段

由驗證服務執(zhí)行，驗證服務首先接收用戶上報的數(shù)據(jù)，運行預處理程序，對用戶數(shù)據(jù)文件進行分塊并為文件中的每一個數(shù)據(jù)塊生成關聯(lián)性標簽，之后將數(shù)據(jù)文件和標簽集合同時發(fā)送給數(shù)據(jù)存儲服務，具體過程如下：

①標簽生產(chǎn)準備：根據(jù)用戶的數(shù)據(jù)文件和安全需要，確定驗證過程相應的安全強度，主要是對應到公鑰、私鑰的取值范圍?？衫肦SA等秘鑰算法，最終返回一個匹配的公鑰、私鑰對。

②文件分塊準備：將用戶數(shù)據(jù)文件劃分為任意個數(shù)據(jù)文件塊，數(shù)據(jù)文件塊按次序編號。

③標簽集合生成：使用之前生成的私鑰，為用戶數(shù)據(jù)文件劃分得到的每個數(shù)據(jù)文件塊生成具有同態(tài)性質的標簽，最終得到相應的標簽集合，以此作為驗證的元數(shù)據(jù)；

④數(shù)據(jù)文件存儲：將用戶數(shù)據(jù)文件及其相應的標簽集合提供給數(shù)據(jù)存儲服務，由其保存在云計算平臺中。

（2）驗證階段

驗證階段采用“挑戰(zhàn)-響應”模式，驗證服務作為“挑戰(zhàn)”方提出挑戰(zhàn)請求，而數(shù)據(jù)存儲服務作為“響應”方提供相應的證據(jù)，驗證服務得出最后的結論，具體過程如下：

①挑戰(zhàn)請求生成：根據(jù)用戶需要驗證的數(shù)據(jù)塊規(guī)模，依據(jù)數(shù)據(jù)塊文件總數(shù)和隨機指定的驗證文件塊數(shù)量，驗證服務隨機產(chǎn)生需要驗證的數(shù)據(jù)文件塊序號集，并為每個指定數(shù)據(jù)文件塊產(chǎn)生一個隨機組合系數(shù)，將數(shù)據(jù)文件塊序號集及其組合系數(shù)結果作為挑戰(zhàn)請求，發(fā)送給數(shù)據(jù)存儲服務。

②響應證據(jù)生成：數(shù)據(jù)存儲服務根據(jù)云計算平臺存儲的數(shù)據(jù)文件、標簽集合及接收到的挑戰(zhàn)請求，從數(shù)據(jù)文件和標簽集合中讀取指定的數(shù)據(jù)文件塊信息，并通過計算得到數(shù)據(jù)完整性證據(jù)，即數(shù)據(jù)文件塊和標簽的同態(tài)聚合結果，執(zhí)行過程中使用用戶的公鑰信息，數(shù)據(jù)存儲服務將完整性證據(jù)作為響應發(fā)回給驗證服務。

③驗證結果得出：驗證服務利用發(fā)出的挑戰(zhàn)請求和收到的完整性證據(jù)，進行標簽計算，并對比判斷證據(jù)的正確性，從而確定驗證成功或失敗。如果驗證失敗會向云計算平臺告警，并向用戶發(fā)出安全提醒。

4結束語

此私有云數(shù)據(jù)完整性驗證方案簡化了用戶所做的工作，有效解決了由于用戶開展數(shù)據(jù)完整性驗證帶來的網(wǎng)絡帶寬等資源消耗。同時，由私有云計算平臺統(tǒng)一調度驗證服務與數(shù)據(jù)存儲服務來實施數(shù)據(jù)完整性驗證，可以有效利用私有云計算平臺的空閑時段和空閑資源，有效提高用戶數(shù)據(jù)完整性驗證效率和云計算平臺資源利用率。

參考文獻

[1]周洪波.云計算：技術、應用、標準和商業(yè)模式[M].北京：電子工業(yè)出版社，2011.

[2]張玉清，王曉菲，劉雪峰，等.云計算環(huán)境安全綜述[J].軟件學報，2016，27（6）：1328-1348.

[3]俞能海，郝卓，徐甲甲，等.云安全研究進展綜述[J].電子學報， 2013，41（2）：371-381.

[4]馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲技術[J].計算機學報， 2015，38（1）：150-163..

[5]黃勤龍，楊義先.云計算數(shù)據(jù)安全[M].北京：郵電大學出版社， 2018.

[6]陳龍，肖敏，羅文俊，等.云計算數(shù)據(jù)安全[M].北京：科學出版社，2016.