劉繼光 陳峰 楊豪璞

摘要：針對(duì)云計(jì)算平臺(tái)的數(shù)據(jù)完整性問(wèn)題，對(duì)云計(jì)算數(shù)據(jù)完整性驗(yàn)證的主要方法和第三方驗(yàn)證方案進(jìn)行了簡(jiǎn)要介紹，在分析私有云的用戶(hù)及其使用特點(diǎn)的基礎(chǔ)上，提出了一種基于數(shù)據(jù)持有性證明方法的私有云數(shù)據(jù)完整性驗(yàn)證方案，并描述了方案驗(yàn)證的基本流程，方案以云計(jì)算平臺(tái)服務(wù)的方式替代用戶(hù)或第三方作為數(shù)據(jù)持有性證明的執(zhí)行者，提高了私有云數(shù)據(jù)完整性驗(yàn)證的效率。

關(guān)鍵詞：云計(jì)算；數(shù)據(jù)安全；完整性

中圖分類(lèi)號(hào)：TP393.1文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2019）02-66-3

0引言

隨著云計(jì)算技術(shù)的發(fā)展，政府、企業(yè)及院校等社會(huì)各個(gè)行業(yè)都創(chuàng)建一些云計(jì)算平臺(tái)，作為集約高效的信息基礎(chǔ)設(shè)施來(lái)推進(jìn)自身的信息化建設(shè)。按照部署模式劃分，這些云計(jì)算平臺(tái)均屬于私有云，即云計(jì)算平臺(tái)被某單一組織擁有或租用，且該基礎(chǔ)設(shè)施只為該組織服務(wù)[1]。這些私有云通常部署于所屬單位的內(nèi)部網(wǎng)絡(luò)中來(lái)降低病毒傳播、非法訪問(wèn)和掃描攻擊等外部網(wǎng)絡(luò)威脅行為。但根據(jù)國(guó)際云安全組織CSA發(fā)布的云安全威脅研究報(bào)告，影響云計(jì)算平臺(tái)數(shù)據(jù)安全的很多因素來(lái)自?xún)?nèi)部，特別是數(shù)據(jù)完整性問(wèn)題，內(nèi)部人員的操作失誤就可能造成數(shù)據(jù)丟失或數(shù)據(jù)損壞，直接威脅到存儲(chǔ)在云計(jì)算平臺(tái)中的數(shù)據(jù)。

1數(shù)據(jù)完整性驗(yàn)證

數(shù)據(jù)完整性一般是指非授權(quán)實(shí)體無(wú)法篡改數(shù)據(jù)資源，側(cè)重于數(shù)據(jù)在存儲(chǔ)狀態(tài)或傳輸過(guò)程中保持完全不變，通過(guò)校驗(yàn)的方式來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)完整性的驗(yàn)證。云計(jì)算平臺(tái)的數(shù)據(jù)完整性驗(yàn)證是基于用戶(hù)對(duì)云計(jì)算平臺(tái)不信任條件下的一種可證明的約束機(jī)制，是云計(jì)算平臺(tái)對(duì)用戶(hù)提出的數(shù)據(jù)完整性“挑戰(zhàn)”給出可證明的“響應(yīng)”。

1.1驗(yàn)證方法

目前云計(jì)算平臺(tái)數(shù)據(jù)完整性驗(yàn)證的基本方法有數(shù)據(jù)持有性證明（Provable Data Possession，PDP）和數(shù)據(jù)可恢復(fù)性證明（Proofs of Retrievability，POR）[2-6]。

在數(shù)據(jù)持有性證明中，用戶(hù)為了減少驗(yàn)證過(guò)程中文件下載和計(jì)算的資源消耗，預(yù)先將整個(gè)文件分割成若干塊，并為每個(gè)分塊分別生成關(guān)聯(lián)性標(biāo)簽數(shù)據(jù)，這些關(guān)聯(lián)標(biāo)簽數(shù)據(jù)和數(shù)據(jù)文件一起存儲(chǔ)到云計(jì)算平臺(tái)上。用戶(hù)在必要時(shí)或不定期地通過(guò)“挑戰(zhàn)-應(yīng)答”的方式對(duì)云計(jì)算平臺(tái)存儲(chǔ)的數(shù)據(jù)文件進(jìn)行完整性驗(yàn)證，云計(jì)算平臺(tái)必須依據(jù)用戶(hù)的挑戰(zhàn)要求，利用存儲(chǔ)的用戶(hù)數(shù)據(jù)文件和關(guān)聯(lián)標(biāo)簽計(jì)算并返回相應(yīng)的應(yīng)答，最后由用戶(hù)根據(jù)應(yīng)答判斷云計(jì)算平臺(tái)是否完整保存了數(shù)據(jù)文件。用戶(hù)可以針對(duì)地性驗(yàn)證某個(gè)分塊，或隨機(jī)性驗(yàn)證某些分塊是否具有完整性。

數(shù)據(jù)可恢復(fù)性證明與數(shù)據(jù)持有性證明相似，也是采用“挑戰(zhàn)-應(yīng)答”的方式來(lái)驗(yàn)證云計(jì)算平臺(tái)存儲(chǔ)的數(shù)據(jù)是否完整，不同之處在于其加入了糾錯(cuò)碼機(jī)制。用戶(hù)在向云計(jì)算平臺(tái)存儲(chǔ)之前，將數(shù)據(jù)文件進(jìn)行了糾錯(cuò)編碼，為用戶(hù)數(shù)據(jù)出現(xiàn)錯(cuò)誤時(shí)恢復(fù)原始數(shù)據(jù)提供一定保障。同時(shí)，用戶(hù)在數(shù)據(jù)文件中隨機(jī)嵌入了一些特殊數(shù)據(jù)塊，被稱(chēng)為“哨兵”，用于監(jiān)測(cè)一部分?jǐn)?shù)據(jù)，用戶(hù)通過(guò)隨機(jī)挑選“哨兵”來(lái)驗(yàn)證這部分?jǐn)?shù)據(jù)是否完整，是否可恢復(fù)。

1.2公開(kāi)驗(yàn)證

云計(jì)算平臺(tái)數(shù)據(jù)完整性的驗(yàn)證技術(shù)不斷深化，在驗(yàn)證過(guò)程中引入了第三方驗(yàn)證者的概念，也稱(chēng)公開(kāi)驗(yàn)證方案[6]。無(wú)論是數(shù)據(jù)持有性證明還是數(shù)據(jù)可恢復(fù)性證明的驗(yàn)證過(guò)程都需要用戶(hù)的參加，是由用戶(hù)在獲取較少數(shù)據(jù)的情況下，通過(guò)知識(shí)證明協(xié)議和概率分析手段，以高置信概率判斷數(shù)據(jù)存儲(chǔ)的完整性，大量占用用戶(hù)時(shí)間、計(jì)算內(nèi)存及網(wǎng)絡(luò)帶寬等資源。公開(kāi)驗(yàn)證方案則提出由用戶(hù)與云計(jì)算平臺(tái)之外可信任的第三方驗(yàn)證者對(duì)用戶(hù)存儲(chǔ)在云計(jì)算平臺(tái)中的數(shù)據(jù)進(jìn)行驗(yàn)證，并得出結(jié)論提供給用戶(hù)。公開(kāi)驗(yàn)證的流程關(guān)系如圖1所示。

公開(kāi)驗(yàn)證由用戶(hù)、云計(jì)算平臺(tái)及第三方驗(yàn)證者組成，基本流程是用戶(hù)向云計(jì)算平臺(tái)存儲(chǔ)數(shù)據(jù)之前，預(yù)先處理生成數(shù)據(jù)文件的相關(guān)驗(yàn)證信息，如關(guān)聯(lián)性標(biāo)簽數(shù)據(jù)，在將數(shù)據(jù)文件和驗(yàn)證信息存儲(chǔ)到云計(jì)算平臺(tái)的同時(shí)，也將這些驗(yàn)證信息和驗(yàn)證要求提交給第三方驗(yàn)證者。第三方驗(yàn)證者根據(jù)用戶(hù)驗(yàn)證要求，采用適當(dāng)?shù)臄?shù)據(jù)完整性驗(yàn)證方法向云計(jì)算平臺(tái)驗(yàn)證用戶(hù)的數(shù)據(jù)文件，之后將驗(yàn)證結(jié)果反饋給用戶(hù)。如果數(shù)據(jù)完整性驗(yàn)證通過(guò)，用戶(hù)在使用數(shù)據(jù)文件時(shí)，只需直接讀取云計(jì)算平臺(tái)存儲(chǔ)的數(shù)據(jù)文件。

相比用戶(hù)直接參與驗(yàn)證過(guò)程，公開(kāi)驗(yàn)證能夠大大減少用戶(hù)工作量，并且第三方驗(yàn)證者可以同時(shí)為很多用戶(hù)或同一用戶(hù)的多個(gè)數(shù)據(jù)文件提供驗(yàn)證服務(wù)，提高了批量數(shù)據(jù)完整性驗(yàn)證的效率。此外，第三方驗(yàn)證者的角色具有中立性，還可以減少用戶(hù)與云計(jì)算平臺(tái)的爭(zhēng)議性問(wèn)題。

2驗(yàn)證方案

相對(duì)于公有云、混合云等其他部署模式，私有云部署在一個(gè)單位網(wǎng)絡(luò)內(nèi)部，擁有獨(dú)立使用的基礎(chǔ)設(shè)施，因此具有一定的先天優(yōu)勢(shì)，比如網(wǎng)絡(luò)條件優(yōu)良、云計(jì)算平臺(tái)不易受外部流量侵襲及網(wǎng)絡(luò)服務(wù)質(zhì)量有保障等，同時(shí)內(nèi)部數(shù)據(jù)得到有效隔離，減少了由于外部原因帶來(lái)的數(shù)據(jù)安全威脅。但研究機(jī)構(gòu)也提出，無(wú)論是公有云還是私有云，內(nèi)部原因都是云計(jì)算平臺(tái)數(shù)據(jù)完整性的重要威脅來(lái)源之一，因此有必要結(jié)合私有云的特點(diǎn)，針對(duì)性地研究數(shù)據(jù)完整性驗(yàn)證問(wèn)題。

2.1私有云特點(diǎn)

從用戶(hù)關(guān)系角度看，通常公有云中數(shù)據(jù)完整性驗(yàn)證的出發(fā)點(diǎn)是基于用戶(hù)對(duì)云計(jì)算平臺(tái)的不信任，驗(yàn)證的結(jié)果是為了給用戶(hù)證明云計(jì)算平臺(tái)是可信的，但在私有云中，用戶(hù)與云計(jì)算平臺(tái)同屬于一個(gè)政府部門(mén)、公司或院校，二者之間的關(guān)系有著明顯的特殊性。對(duì)于私有云計(jì)算平臺(tái)來(lái)說(shuō)，用戶(hù)作為私有云所屬各單位的人員，一方面當(dāng)他們?cè)谑褂盟接性频臉I(yè)務(wù)數(shù)據(jù)時(shí)，具有普通用戶(hù)的共同特點(diǎn)，另一方面當(dāng)他們履行業(yè)務(wù)數(shù)據(jù)建設(shè)的職責(zé)，在向私有云存儲(chǔ)數(shù)據(jù)時(shí)是作為私有云的數(shù)據(jù)保障成員，或者認(rèn)為私有云是他們自身保存和管理數(shù)據(jù)的平臺(tái)，是可以信任的平臺(tái)。同時(shí)意味著業(yè)務(wù)數(shù)據(jù)匯總到私有云后，私有云必須確保自身是可信任的，因此用戶(hù)數(shù)據(jù)完整性驗(yàn)證完全可以由私有云承擔(dān)。

此外，云計(jì)算平臺(tái)數(shù)據(jù)完整性驗(yàn)證的復(fù)雜度與用戶(hù)的數(shù)據(jù)操作方式密切相關(guān)。用戶(hù)對(duì)云計(jì)算平臺(tái)存儲(chǔ)的數(shù)據(jù)，既有讀取的操作，也有修改寫(xiě)入的操作，因此通用云計(jì)算平臺(tái)數(shù)據(jù)完整性驗(yàn)證需支持動(dòng)態(tài)更新操作。但對(duì)于一些私有云來(lái)說(shuō)，業(yè)務(wù)數(shù)據(jù)具有嚴(yán)格的管理流程，不能被輕易修改，無(wú)論是提交數(shù)據(jù)的用戶(hù)還是使用數(shù)據(jù)的其他人員，意味著一些私有云計(jì)算平臺(tái)的數(shù)據(jù)完整性驗(yàn)證以支持靜態(tài)操作為主。

2.2驗(yàn)證方案

針對(duì)私有云的特點(diǎn)，借鑒公開(kāi)驗(yàn)證方案的思路，提出一種基于PDP模型的私有云數(shù)據(jù)完整性驗(yàn)證方案。該方案的核心思想是基于用戶(hù)對(duì)私有云的信任，將數(shù)據(jù)完整性驗(yàn)證工作納入到云計(jì)算平臺(tái)內(nèi)部，在其內(nèi)部設(shè)置一個(gè)專(zhuān)用的驗(yàn)證服務(wù)，作為實(shí)施用戶(hù)數(shù)據(jù)完整性驗(yàn)證的實(shí)體，驗(yàn)證流程關(guān)系如圖2所示。

該驗(yàn)證方案由用戶(hù)和私有云計(jì)算平臺(tái)組成，私有云計(jì)算平臺(tái)提供了驗(yàn)證和數(shù)據(jù)存儲(chǔ)2個(gè)服務(wù)。①驗(yàn)證服務(wù)作為專(zhuān)用服務(wù)，既承擔(dān)了用戶(hù)數(shù)據(jù)的接收和預(yù)處理工作，也承擔(dān)了數(shù)據(jù)完整性驗(yàn)證的工作；②數(shù)據(jù)存儲(chǔ)服務(wù)是基礎(chǔ)服務(wù)，具體負(fù)責(zé)用戶(hù)數(shù)據(jù)文件等信息的存儲(chǔ)和管理，配合驗(yàn)證服務(wù)進(jìn)行數(shù)據(jù)完整性驗(yàn)證，并為用戶(hù)提供數(shù)據(jù)文件讀取訪問(wèn)服務(wù)。

該方案在私有云計(jì)算平臺(tái)內(nèi)部設(shè)置驗(yàn)證服務(wù)，從地位上看，驗(yàn)證服務(wù)起到了第三方驗(yàn)證者的作用，但由于私有云計(jì)算平臺(tái)與用戶(hù)是可信任關(guān)系，無(wú)需第三方提供數(shù)據(jù)完整性驗(yàn)證結(jié)果，因此可將第三方整合到私有云計(jì)算平臺(tái)內(nèi)部，放置到數(shù)據(jù)存儲(chǔ)的前端對(duì)數(shù)據(jù)文件進(jìn)行預(yù)處理并保存驗(yàn)證信息，同時(shí)可以不受人為因素干擾，完成對(duì)用戶(hù)數(shù)據(jù)文件周期性的完整性驗(yàn)證。

3驗(yàn)證流程

驗(yàn)證過(guò)程基于PDP方法，分為準(zhǔn)備階段和驗(yàn)證階段。不同于其他驗(yàn)證方案中由用戶(hù)完成的準(zhǔn)備階段，該方案的準(zhǔn)備階段主要由私有云計(jì)算平臺(tái)的驗(yàn)證服務(wù)完成。驗(yàn)證階段由驗(yàn)證服務(wù)和數(shù)據(jù)存儲(chǔ)服務(wù)配合完成，具體流程如下。

（1）準(zhǔn)備階段

由驗(yàn)證服務(wù)執(zhí)行，驗(yàn)證服務(wù)首先接收用戶(hù)上報(bào)的數(shù)據(jù)，運(yùn)行預(yù)處理程序，對(duì)用戶(hù)數(shù)據(jù)文件進(jìn)行分塊并為文件中的每一個(gè)數(shù)據(jù)塊生成關(guān)聯(lián)性標(biāo)簽，之后將數(shù)據(jù)文件和標(biāo)簽集合同時(shí)發(fā)送給數(shù)據(jù)存儲(chǔ)服務(wù)，具體過(guò)程如下：

①標(biāo)簽生產(chǎn)準(zhǔn)備：根據(jù)用戶(hù)的數(shù)據(jù)文件和安全需要，確定驗(yàn)證過(guò)程相應(yīng)的安全強(qiáng)度，主要是對(duì)應(yīng)到公鑰、私鑰的取值范圍?？衫肦SA等秘鑰算法，最終返回一個(gè)匹配的公鑰、私鑰對(duì)。

②文件分塊準(zhǔn)備：將用戶(hù)數(shù)據(jù)文件劃分為任意個(gè)數(shù)據(jù)文件塊，數(shù)據(jù)文件塊按次序編號(hào)。

③標(biāo)簽集合生成：使用之前生成的私鑰，為用戶(hù)數(shù)據(jù)文件劃分得到的每個(gè)數(shù)據(jù)文件塊生成具有同態(tài)性質(zhì)的標(biāo)簽，最終得到相應(yīng)的標(biāo)簽集合，以此作為驗(yàn)證的元數(shù)據(jù)；

④數(shù)據(jù)文件存儲(chǔ)：將用戶(hù)數(shù)據(jù)文件及其相應(yīng)的標(biāo)簽集合提供給數(shù)據(jù)存儲(chǔ)服務(wù)，由其保存在云計(jì)算平臺(tái)中。

（2）驗(yàn)證階段

驗(yàn)證階段采用“挑戰(zhàn)-響應(yīng)”模式，驗(yàn)證服務(wù)作為“挑戰(zhàn)”方提出挑戰(zhàn)請(qǐng)求，而數(shù)據(jù)存儲(chǔ)服務(wù)作為“響應(yīng)”方提供相應(yīng)的證據(jù)，驗(yàn)證服務(wù)得出最后的結(jié)論，具體過(guò)程如下：

①挑戰(zhàn)請(qǐng)求生成：根據(jù)用戶(hù)需要驗(yàn)證的數(shù)據(jù)塊規(guī)模，依據(jù)數(shù)據(jù)塊文件總數(shù)和隨機(jī)指定的驗(yàn)證文件塊數(shù)量，驗(yàn)證服務(wù)隨機(jī)產(chǎn)生需要驗(yàn)證的數(shù)據(jù)文件塊序號(hào)集，并為每個(gè)指定數(shù)據(jù)文件塊產(chǎn)生一個(gè)隨機(jī)組合系數(shù)，將數(shù)據(jù)文件塊序號(hào)集及其組合系數(shù)結(jié)果作為挑戰(zhàn)請(qǐng)求，發(fā)送給數(shù)據(jù)存儲(chǔ)服務(wù)。

②響應(yīng)證據(jù)生成：數(shù)據(jù)存儲(chǔ)服務(wù)根據(jù)云計(jì)算平臺(tái)存儲(chǔ)的數(shù)據(jù)文件、標(biāo)簽集合及接收到的挑戰(zhàn)請(qǐng)求，從數(shù)據(jù)文件和標(biāo)簽集合中讀取指定的數(shù)據(jù)文件塊信息，并通過(guò)計(jì)算得到數(shù)據(jù)完整性證據(jù)，即數(shù)據(jù)文件塊和標(biāo)簽的同態(tài)聚合結(jié)果，執(zhí)行過(guò)程中使用用戶(hù)的公鑰信息，數(shù)據(jù)存儲(chǔ)服務(wù)將完整性證據(jù)作為響應(yīng)發(fā)回給驗(yàn)證服務(wù)。

③驗(yàn)證結(jié)果得出：驗(yàn)證服務(wù)利用發(fā)出的挑戰(zhàn)請(qǐng)求和收到的完整性證據(jù)，進(jìn)行標(biāo)簽計(jì)算，并對(duì)比判斷證據(jù)的正確性，從而確定驗(yàn)證成功或失敗。如果驗(yàn)證失敗會(huì)向云計(jì)算平臺(tái)告警，并向用戶(hù)發(fā)出安全提醒。

4結(jié)束語(yǔ)

此私有云數(shù)據(jù)完整性驗(yàn)證方案簡(jiǎn)化了用戶(hù)所做的工作，有效解決了由于用戶(hù)開(kāi)展數(shù)據(jù)完整性驗(yàn)證帶來(lái)的網(wǎng)絡(luò)帶寬等資源消耗。同時(shí)，由私有云計(jì)算平臺(tái)統(tǒng)一調(diào)度驗(yàn)證服務(wù)與數(shù)據(jù)存儲(chǔ)服務(wù)來(lái)實(shí)施數(shù)據(jù)完整性驗(yàn)證，可以有效利用私有云計(jì)算平臺(tái)的空閑時(shí)段和空閑資源，有效提高用戶(hù)數(shù)據(jù)完整性驗(yàn)證效率和云計(jì)算平臺(tái)資源利用率。

參考文獻(xiàn)

[1]周洪波.云計(jì)算：技術(shù)、應(yīng)用、標(biāo)準(zhǔn)和商業(yè)模式[M].北京：電子工業(yè)出版社，2011.

[2]張玉清，王曉菲，劉雪峰，等.云計(jì)算環(huán)境安全綜述[J].軟件學(xué)報(bào)，2016，27（6）：1328-1348.

[3]俞能海，郝卓，徐甲甲，等.云安全研究進(jìn)展綜述[J].電子學(xué)報(bào)， 2013，41（2）：371-381.

[4]馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲(chǔ)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)， 2015，38（1）：150-163..

[5]黃勤龍，楊義先.云計(jì)算數(shù)據(jù)安全[M].北京：郵電大學(xué)出版社， 2018.

[6]陳龍，肖敏，羅文俊，等.云計(jì)算數(shù)據(jù)安全[M].北京：科學(xué)出版社，2016.