魯恩銘+鄧艷

摘要：該文論述了基于PKI技術(shù)的企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的研究意義，國(guó)內(nèi)外的研究現(xiàn)狀，提出了基于PKI技術(shù)的多類型云存儲(chǔ)用戶身份認(rèn)證解決方案，然后結(jié)合PKI的數(shù)字簽名技術(shù)，最后充分利用AD的統(tǒng)一身份管理和目錄文件的訪問控制，從而實(shí)現(xiàn)基于PKI技術(shù)的企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)的證明。

關(guān)鍵詞：PKI技術(shù)；云存儲(chǔ)；出錯(cuò)數(shù)據(jù)；身份認(rèn)證；數(shù)字簽名；AD

中圖分類號(hào)：TP309.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）15-0247-03

Abstract：This paper discusses the significance of the research and research Status of this subject both at home and abroad based on PKI technology. Putting forward the solution of multi-type cloud storage user authentication based on PKI technology and then combining with the PKI digital signature technology and finally takes full advantage of the AD unified identity management and directory of the file access control， so as to realize the data error proof based on PKI technology enterprise class cloud storage.

Key words：PKI technology； cloud storage； error data； identity authentication； digital signature； AD

信息時(shí)代，最寶貴的無疑是用戶的核心數(shù)據(jù)。建立、處理、存儲(chǔ)、保護(hù)、使用和銷毀這些數(shù)據(jù)，即信息的全生命周期運(yùn)動(dòng)，構(gòu)成了信息時(shí)代社會(huì)信息流的大動(dòng)脈。當(dāng)今信息存儲(chǔ)系統(tǒng)朝無限的帶寬、無限的容量和無限的處理能力，即“3i”方向發(fā)展，提出“Anytime，Anywhere，Anything”的目標(biāo)，即要求數(shù)據(jù)在任意時(shí)間、任意地點(diǎn)實(shí)現(xiàn)任意數(shù)據(jù)訪問.存儲(chǔ)產(chǎn)品不再是附屬于服務(wù)器的輔助設(shè)備，而成為互聯(lián)網(wǎng)中最主要的花費(fèi)所在。信息技術(shù)正從以計(jì)算為核心的計(jì)算時(shí)代進(jìn)入到以存儲(chǔ)為核心的存儲(chǔ)時(shí)代，網(wǎng)絡(luò)化存儲(chǔ)將成為未來存儲(chǔ)市場(chǎng)的熱點(diǎn).而目前的云存儲(chǔ)服務(wù)是網(wǎng)絡(luò)存儲(chǔ)發(fā)展的必然趨勢(shì)[1]。

但是，因?yàn)樵拼鎯?chǔ)的安全性、可靠性及服務(wù)水平等還存在眾多問題亟待解決，所以云存儲(chǔ)并未出現(xiàn)爆炸式的增長(zhǎng)，特別是很多企業(yè)仍然采用傳統(tǒng)的存儲(chǔ)方法，并未用到云存儲(chǔ)，企業(yè)級(jí)云存儲(chǔ)用戶并不多。究其原因主要是這些用戶對(duì)于云存儲(chǔ)數(shù)據(jù)安全性的擔(dān)心，企業(yè)級(jí)云存儲(chǔ)用戶和服務(wù)提供商之間的一種不信任，用戶擔(dān)心自己的數(shù)據(jù)出錯(cuò)，以及出錯(cuò)所帶來的巨大損失。他們最關(guān)心的是數(shù)據(jù)是否完整無誤；如果有一套可證明數(shù)據(jù)出錯(cuò)的完整方案提供給用戶，該方案能具體到其出錯(cuò)數(shù)據(jù)類型、出錯(cuò)數(shù)據(jù)大小、出錯(cuò)起點(diǎn)、出錯(cuò)終點(diǎn)、出錯(cuò)范圍、出錯(cuò)時(shí)間、出錯(cuò)原因、出錯(cuò)的損失、責(zé)任劃分甚至可恢復(fù)方案，并且該方案企業(yè)級(jí)云存儲(chǔ)用戶和服務(wù)提供商之間均可認(rèn)可，并最終具有法律效應(yīng)，那么企業(yè)級(jí)云存儲(chǔ)用戶和服務(wù)提供商之間就會(huì)建立信任關(guān)系，從而企業(yè)級(jí)用戶會(huì)趨之若鶩地把自己的關(guān)鍵數(shù)據(jù)存放在云端，從而推動(dòng)云存儲(chǔ)技術(shù)的發(fā)展。綜上所述，研究基于云存儲(chǔ)的企業(yè)級(jí)用戶數(shù)據(jù)中出錯(cuò)部分的證明有較大的現(xiàn)實(shí)意義和應(yīng)用價(jià)值。

1 國(guó)內(nèi)外研究現(xiàn)狀

云存儲(chǔ)是在云計(jì)算概念上延伸和發(fā)展出來的一個(gè)新的概念，云計(jì)算是指不在本地而在集中的多個(gè)服務(wù)器組成的計(jì)算中心進(jìn)行運(yùn)算，由多個(gè)服務(wù)器同時(shí)完成運(yùn)算任務(wù)，從而能解放本地運(yùn)算功能提高運(yùn)算效率的一種技術(shù)。而云存儲(chǔ)是云計(jì)算的重要應(yīng)用，是指將企業(yè)或個(gè)人的文件或數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)中心而非本地，并按實(shí)際使用進(jìn)行付費(fèi)的技術(shù)[2]。

在國(guó)外，很多IT界巨頭紛紛推出基于云存儲(chǔ)的不同服務(wù)，影響較大的云存儲(chǔ)產(chǎn)品只有iCloud、SkyDrive、GoogleDrive、Dropbox四家。國(guó)內(nèi)云存儲(chǔ)行業(yè)也正加速升溫，各大IT服務(wù)商紛紛推出各種云存儲(chǔ)服務(wù)。國(guó)內(nèi)的網(wǎng)盤服務(wù)發(fā)展蓬勃，酷盤、金山快盤、華為Dbank網(wǎng)盤等免費(fèi)網(wǎng)盤企業(yè)的大幅擴(kuò)張業(yè)務(wù)。

在國(guó)內(nèi)，云存儲(chǔ)也被很多廠商看好，并且很多廠商都紛紛瞄準(zhǔn)了這塊領(lǐng)域。隨著傳統(tǒng)的網(wǎng)盤技術(shù)已顯力不從心，并受到傳輸速度慢、冗災(zāi)備份及恢復(fù)能力低、安全性差、營(yíng)運(yùn)成本高等瓶頸的困擾，最新應(yīng)用的云計(jì)算儲(chǔ)存技術(shù)為網(wǎng)盤行業(yè)帶來了新的革命，相信傳統(tǒng)的網(wǎng)盤將逐步被云存儲(chǔ)取代[3]。

《2012年中國(guó)云存儲(chǔ)研究報(bào)告》顯示，得益于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)以及移動(dòng)智能終端的發(fā)展，個(gè)人云存儲(chǔ)市場(chǎng)得以迅速活躍起來。云存儲(chǔ)產(chǎn)品與傳統(tǒng)存儲(chǔ)產(chǎn)品最顯著的區(qū)別在于同步，使用戶在任何時(shí)間、習(xí)慣任何地點(diǎn)都可以通過PC、手機(jī)、平板電腦來訪問和共享文檔、照片、音樂和其他全面的數(shù)字生活，同時(shí)能夠安全、合理、高效地為用戶存儲(chǔ)資源。包括新浪、金山、網(wǎng)易、百度、騰訊、華為等在內(nèi)的多家知名互聯(lián)網(wǎng)公司紛紛進(jìn)入云存儲(chǔ)市場(chǎng)掘金?？梢哉f目前的個(gè)人云存儲(chǔ)市場(chǎng)正是“群雄逐鹿”的時(shí)代，各家的產(chǎn)品處于體驗(yàn)升級(jí)中，用戶的使用也在逐步形成。相較于個(gè)人云存儲(chǔ)市場(chǎng)的火熱，企業(yè)用戶對(duì)于云存儲(chǔ)的態(tài)度則稍顯保守?！?012年中國(guó)云存儲(chǔ)研究報(bào)告》顯示，企業(yè)用戶對(duì)于數(shù)據(jù)向云上的遷移的意愿并不強(qiáng)烈。一是由于對(duì)云存儲(chǔ)產(chǎn)品可用性的疑慮，更多地則是對(duì)云存儲(chǔ)產(chǎn)品安全性的擔(dān)憂[4]。具相關(guān)數(shù)據(jù)表明，目前大約有80%左右的企業(yè)不愿意將企業(yè)內(nèi)的業(yè)務(wù)數(shù)據(jù)放在云存儲(chǔ)產(chǎn)品中，究其主要原因是從數(shù)據(jù)安全性的角度考慮[5]。

我們應(yīng)當(dāng)在數(shù)據(jù)安全性上狠下功夫，讓用戶敢于把關(guān)鍵文件存放到云端，對(duì)云存儲(chǔ)產(chǎn)生依賴，真正讓云落地，讓云存儲(chǔ)備份成為企業(yè)私有云，使企業(yè)數(shù)據(jù)中心的運(yùn)行更與互聯(lián)網(wǎng)相似，使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問備份的數(shù)據(jù)。

目前企業(yè)級(jí)云存儲(chǔ)數(shù)據(jù)的出錯(cuò)證明及恢復(fù)主要通過多種級(jí)別的容錯(cuò)技術(shù)以及檢錯(cuò)糾錯(cuò)技術(shù)來實(shí)現(xiàn)，如硬盤級(jí)、節(jié)點(diǎn)級(jí)和Domain/Site級(jí)的數(shù)據(jù)可靠性技術(shù)，國(guó)內(nèi)外不乏有一些研究文獻(xiàn)，其中，文獻(xiàn)[9]中提到目前安全云存儲(chǔ)系統(tǒng)的關(guān)鍵技術(shù)之一就是基于密文的數(shù)據(jù)持有性證明，其中POR方案，在數(shù)據(jù)持有性證明的基礎(chǔ)上，添加數(shù)據(jù)恢復(fù)機(jī)制。此方案通過計(jì)算散列值等方法主要來驗(yàn)證數(shù)據(jù)的完整性，以期達(dá)到數(shù)據(jù)的持有性證明；文獻(xiàn)[6]中分析了現(xiàn)有的云存儲(chǔ)平臺(tái)在數(shù)據(jù)完整性檢驗(yàn)檢測(cè)方面的不足，并提出了云數(shù)據(jù)完整性檢測(cè)系統(tǒng)IDBRS，設(shè)計(jì)并實(shí)現(xiàn)了基于IDBRS模型的云數(shù)據(jù)完整性檢測(cè)系統(tǒng)和數(shù)據(jù)恢復(fù)系統(tǒng)。提到了改進(jìn)的數(shù)據(jù)完整性并未涉及云存儲(chǔ)用戶部分?jǐn)?shù)據(jù)出錯(cuò)時(shí)出錯(cuò)；文獻(xiàn)[7]中提到一種基于Kademlia 的云存儲(chǔ)系統(tǒng)數(shù)據(jù)冗余方案，通過數(shù)據(jù)的冗余從而實(shí)現(xiàn)云存儲(chǔ)系統(tǒng)中出錯(cuò)數(shù)據(jù)的檢錯(cuò)和糾錯(cuò)；文獻(xiàn)[8]提到一種RS（reed solomon）糾錯(cuò)編碼，其具有很強(qiáng)的檢錯(cuò)和糾錯(cuò)能力，能夠?qū)崿F(xiàn)從k 個(gè)接收到的數(shù)據(jù)包精確恢復(fù)原始數(shù)據(jù)。文獻(xiàn)[9]在云存儲(chǔ)環(huán)境下構(gòu)建安全網(wǎng)盤系統(tǒng)時(shí)，可在服務(wù)器中根據(jù)用戶需求建立信任域，然后利用公鑰基礎(chǔ)設(shè)施PKI進(jìn)行身份認(rèn)證，保證了用戶數(shù)據(jù)的不可欺騙性和不可抵賴性，從而實(shí)現(xiàn)存儲(chǔ)安全。但這些研究文獻(xiàn)并未提出利用PKI技術(shù)，實(shí)現(xiàn)企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的詳細(xì)方案。

2 多類型云存儲(chǔ)用戶身份認(rèn)證

云生態(tài)系統(tǒng)是一個(gè)龐大的分布式系統(tǒng)，擁有海量的用戶，具有動(dòng)態(tài)性、跨域性等特性[10]，它的云存儲(chǔ)服務(wù)能力為典型的SPI（SaaS，PaaS，IaaS）云交互三層模式：

IaaS用戶類型：主要滿足開發(fā)人員和IT管理員，主要包括計(jì)費(fèi)管理員，系統(tǒng)管理員，網(wǎng)絡(luò)工程師，備份管理員和防火墻管理員。

PaaS用戶類型：主要滿足管理員，開發(fā)人員，測(cè)試人員，終端用戶。

SaaS用戶類型：主要滿足快速周轉(zhuǎn)的大量企業(yè)用戶，以及第三方用以支持外包業(yè)務(wù)處理。企業(yè)用戶也會(huì)要求提供不同級(jí)別的權(quán)限（角色）用以滿足用戶工作職能的需要。

在PKI體系中有兩種類型的策略：

一是證書策略，用于管理證書的使用，包括證書的審查、私鑰的安全以及個(gè)人信息的提交方式；將此策略應(yīng)用于典型的SPI三層云存儲(chǔ)服務(wù)模式中時(shí)，證書的審查針對(duì)不同類型的云存儲(chǔ)用戶設(shè)置成非常嚴(yán)格、嚴(yán)格和合格三個(gè)策略等級(jí)；私鑰的安全針對(duì)不同類型的云存儲(chǔ)用戶設(shè)置成軟硬件保護(hù)、硬件保護(hù)和軟件保護(hù)三個(gè)策略等級(jí)；而個(gè)人信息的提交方式針對(duì)不同類型的云存儲(chǔ)用戶設(shè)置成實(shí)名和非實(shí)名兩個(gè)策略等級(jí)，如表1所示。

二是證書操作管理規(guī)范CPS，主要包括在實(shí)踐中增強(qiáng)和支持安全策略的一些操作過程的詳細(xì)文檔。包括CA的建立和運(yùn)作，證書的發(fā)行、接收和廢除，密鑰的產(chǎn)生、注冊(cè)，以及密鑰的存儲(chǔ)等。將此策略應(yīng)用于云存儲(chǔ)服務(wù)模式中時(shí)，亦設(shè)置成非常嚴(yán)格、嚴(yán)格和合格三個(gè)等級(jí)，如表2所示。

不同類型云存儲(chǔ)用戶的訪問權(quán)限主要分為讀、寫和執(zhí)行，它們所獲取的具體權(quán)限如表3所示。

由于同一層相同類型的云存儲(chǔ)用戶在不同的條件和環(huán)境下面，所需要的服務(wù)不盡相同，為了滿足云存儲(chǔ)用戶工作職能的需要，我們需要適當(dāng)?shù)恼{(diào)整證書策略和訪問控制權(quán)限，這時(shí)就需要特權(quán)訪問，需要設(shè)置特定權(quán)限用以滿足特定用戶的特定需求，從而達(dá)到靈活處理的目的。

3 云存儲(chǔ)用戶和服務(wù)提供商之間的數(shù)字簽名

在 PKI 系統(tǒng)中，云存儲(chǔ)用戶和云服務(wù)提供商為了實(shí)現(xiàn)相互識(shí)別和信任，需要一個(gè)具有公信力、申請(qǐng)者都信任的CA簽發(fā)數(shù)字證書，云存儲(chǔ)用戶使用云服務(wù)之前應(yīng)相互認(rèn)證身份，具體流程如圖1所示。

相互認(rèn)證完畢后，根據(jù)云存儲(chǔ)用戶的具體權(quán)限生成服務(wù)資源列表，進(jìn)行本地授權(quán)，用戶可以與服務(wù)資源（SaaS、IaaS、PaaS）交互。最終利用PKI技術(shù)平臺(tái)，實(shí)現(xiàn)云存儲(chǔ)用戶身份認(rèn)證的證明。為云存儲(chǔ)用戶和云服務(wù)提供商搭建權(quán)責(zé)明確并相互信任的平臺(tái)，推動(dòng)云存儲(chǔ)技術(shù)的發(fā)展。

4 基于AD的統(tǒng)一身份管理

在云生態(tài)系統(tǒng)中，云存儲(chǔ)用戶和云服務(wù)提供商的身份認(rèn)證以及數(shù)字簽名的問題解決之后，緊接著需要建立統(tǒng)一的身份管理平臺(tái)，從而解決企業(yè)級(jí)用戶和云存儲(chǔ)服務(wù)提供商之間由于數(shù)據(jù)出錯(cuò)而發(fā)生的糾紛，并最終建立相互信任的長(zhǎng)效機(jī)制，而Windows Server操作系統(tǒng)的AD活動(dòng)目錄服務(wù)，使用域的管理，具有方便管理、安全性高、可擴(kuò)展性強(qiáng)、可冗余性等優(yōu)勢(shì)，受到越來越多企業(yè)的青睞。AD通過域控制器管理域內(nèi)用戶賬號(hào)和權(quán)限，用戶只需要域用戶賬號(hào)和密碼即可登錄系統(tǒng)，并呈現(xiàn)可訪問的目錄列表。訪問快捷方便，權(quán)責(zé)明確。而Samba 服務(wù)器是一種標(biāo)準(zhǔn)的提供 Windows 系統(tǒng)與與Linux /Unix 系統(tǒng)互操作性的開源軟件包， 其核心是 SMB 協(xié)議。在配置AD服務(wù)器的同時(shí)，可配置好Samba 服務(wù)器，從而解決云生態(tài)系統(tǒng)中不同平臺(tái)、不同環(huán)境的問題，使得其具有普適性。由于云生態(tài)系統(tǒng)具有跨域性等特性，而AD是針對(duì)域內(nèi)用戶進(jìn)行的管理，如何努力擴(kuò)展云存儲(chǔ)用戶的身份信息，擴(kuò)大AD域的適用范圍，使得AD技術(shù)能夠普適于云存儲(chǔ)技術(shù)，仍是一個(gè)亟待解決的問題。

5 小結(jié)

云生態(tài)系統(tǒng)是一個(gè)龐大的分布式系統(tǒng)，擁有海量的用戶，具有動(dòng)態(tài)性、跨域性等特性，云存儲(chǔ)技術(shù)為典型的三層云存儲(chǔ)結(jié)構(gòu)，每一層對(duì)應(yīng)不同需求的用戶類型，當(dāng)把傳統(tǒng)的PKI技術(shù)應(yīng)用于云存儲(chǔ)出錯(cuò)數(shù)據(jù)的證明時(shí)，首先進(jìn)行身份認(rèn)證，就應(yīng)該相應(yīng)的建立不同級(jí)別、不同層次、不同類型的用戶，努力擴(kuò)展云存儲(chǔ)用戶的身份信息，擴(kuò)大PKI安全域的適用范圍，然后有效利用數(shù)字簽名技術(shù)，最后利用AD進(jìn)行統(tǒng)一的身份管理和目錄文件的訪問控制，從而最終實(shí)現(xiàn)基于PKI技術(shù)的云存儲(chǔ)出錯(cuò)數(shù)據(jù)的證明。

參考文獻(xiàn)：

[1] 陳蘭香，許力.云存儲(chǔ)環(huán)境中可證明數(shù)據(jù)持有及數(shù)據(jù)恢復(fù)技術(shù)研究[J].計(jì)算機(jī)研究與發(fā)展，2012（2）.

[2] 中國(guó)云存儲(chǔ)行業(yè)與用戶行為研究報(bào)告簡(jiǎn)版—2012年.

[3] 企業(yè)云存儲(chǔ)何時(shí)迎來春天.中關(guān)村在線. 2012.04

[4] 2012年中國(guó)云存儲(chǔ)報(bào)告. 報(bào)告編號(hào)：155074

[5] 我國(guó)云存儲(chǔ)產(chǎn)業(yè)發(fā)展現(xiàn)狀. 中國(guó)產(chǎn)業(yè)信息網(wǎng).2012.09

[6] 林建清.云存儲(chǔ)環(huán)境下數(shù)據(jù)完整性檢驗(yàn)和出錯(cuò)數(shù)據(jù)恢復(fù)技術(shù)研究[D].國(guó)防科技大學(xué)，2011.

[7] 吳吉義，等. 基于Kademlia 的云存儲(chǔ)系統(tǒng)數(shù)據(jù)冗余方案研究[J].電信科學(xué)，2001（2）.

[8] Reed I S，Solomon G.Polynomial codes over certain finite fields[J].Journal of the Society for Industrial and Applied Mathematics，1960（8）：300-304.

[9] 舒繼武，傅穎勛.一種云存儲(chǔ)環(huán)境下的安全網(wǎng)盤系統(tǒng)的實(shí)現(xiàn)方法[專利].清華大學(xué). 專利號(hào)：201210176807. 2012.10

[10] 李健， 張?bào)? PKI在云計(jì)算中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2011（8）.