基于PKI技術(shù)的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究

基于PKI技術(shù)的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究基于PKI技術(shù)的企業(yè)級云存儲出錯數(shù)據(jù)證明的研究

中圖分類號：TP309.3文獻標識碼：A文章編號：1009-3044〔2022〕15-0247-03

Abstract：ThispaperdiscussesthesignificanceoftheresearchandresearchStatusofthissubjectbothathomeandabroadbasedonPKItechnology.Puttingforwardthesolutionofmulti-typecloudstorageuserauthenticationbasedonPKItechnologyandthencombiningwiththePKIdigitalsignaturetechnologyandfinallytakesfulladvantageoftheADunifiedidentitymanagementanddirectoryofthefileaccesscontrol，soastorealizethedataerrorproofbasedonPKItechnologyenterpriseclasscloudstorage.

Keywords：PKItechnology；cloudstorage；errordata；identityauthentication；digitalsignature；AD

信息時代，最珍貴的無疑是用戶的核心數(shù)據(jù)。建立、處理、存儲、愛護、使用和銷毀這些數(shù)據(jù)，即信息的全生命周期運動，構(gòu)成了信息時代社會信息流的大動脈。當今信息存儲系統(tǒng)朝無限的帶寬、無限的容量和無限的處理能力，即“3i〞方向開展，提出“Anytime，Anywhere，Anything〞的目標，即要求數(shù)據(jù)在任意時間、任意地點實現(xiàn)任意數(shù)據(jù)訪問.存儲產(chǎn)品不再是從屬于效勞器的輔助設備，而成為互聯(lián)網(wǎng)中最主要的花費所在。信息技術(shù)正從以計算為核心的計算時代進入到以存儲為核心的存儲時代，網(wǎng)絡化存儲將成為未來存儲市場的熱點.而目前的云存儲效勞是網(wǎng)絡存儲開展的必然趨勢[1]。

但是，因為云存儲的平安性、可靠性及效勞水平等還存在眾多問題亟待解決，所以云存儲并未出現(xiàn)爆炸式的增長，特別是很多企業(yè)仍然采用傳統(tǒng)的存儲辦法，并未用到云存儲，企業(yè)級云存儲用戶并不多。究其原因主要是這些用戶對于云存儲數(shù)據(jù)平安性的擔憂，企業(yè)級云存儲用戶和效勞提供商之間的一種不信任，用戶擔憂自己的數(shù)據(jù)出錯，以及出錯所帶來的巨大損失。他們最關懷的是數(shù)據(jù)是否完整無誤；如果有一套可證明數(shù)據(jù)出錯的完整計劃提供應用戶，該計劃能具體到其出錯數(shù)據(jù)類型、出錯數(shù)據(jù)大小、出錯起點、出錯終點、出錯范圍、出錯時間、出錯原因、出錯的損失、責任劃分甚至可恢復計劃，并且該計劃企業(yè)級云存儲用戶和效勞提供商之間均可認可，并最終具有法律效應，則企業(yè)級云存儲用戶和效勞提供商之間就會建立信任關系，從而企業(yè)級用戶會趨之假設鶩地把自己的關鍵數(shù)據(jù)寄存在云端，從而推動云存儲技術(shù)的開展。綜上所述，研究基于云存儲的企業(yè)級用戶數(shù)據(jù)中出錯局部的證明有較大的現(xiàn)實意義和應用價值。

1國內(nèi)外研究現(xiàn)狀

云存儲是在云計算概念上延伸和開展出來的一個新的概念，云計算是指不在本地而在集中的多個效勞器組成的計算中心進行運算，由多個效勞器同時完成運算任務，從而能解放本地運算功能提高運算效率的一種技術(shù)。而云存儲是云計算的重要應用，是指將企業(yè)或個人的文件或數(shù)據(jù)集中存儲在數(shù)據(jù)中心而非本地，并按實際使用進行付費的技術(shù)[2]。

在國外，很多IT界巨頭紛紛推出基于云存儲的不同效勞，影響較大的云存儲產(chǎn)品只有iCloud、SkyDrive、GoogleDrive、Dropbox四家。國內(nèi)云存儲行業(yè)也正加速升溫，各大IT效勞商紛紛推出各種云存儲效勞。國內(nèi)的網(wǎng)盤效勞開展蓬勃，酷盤、金山快盤、華為Dbank網(wǎng)盤等免費網(wǎng)盤企業(yè)的大幅擴張業(yè)務。

在國內(nèi)，云存儲也被很多廠商看好，并且很多廠商都紛紛瞄準了這塊領域。隨著傳統(tǒng)的網(wǎng)盤技術(shù)已顯力不從心，并受到傳輸速度慢、冗災備份及恢復能力低、平安性差、營運本錢高等瓶頸的困擾，最新應用的云計算儲存技術(shù)為網(wǎng)盤行業(yè)帶來了新的革命，相信傳統(tǒng)的網(wǎng)盤將逐步被云存儲取代[3]。

?2022年中國云存儲研究報告》顯示，得益于云計算、移動互聯(lián)網(wǎng)以及移動智能終端的開展，個人云存儲市場得以迅速活潑起來。云存儲產(chǎn)品與傳統(tǒng)存儲產(chǎn)品最顯著的區(qū)別在于同步，使用戶在任何時間、習慣任何地點都可以通過PC、手機、平板電腦來訪問和共享文檔、照片、音樂和其他全面的數(shù)字生活，同時能夠平安、合理、高效地為用戶存儲資源。包括新浪、金山、網(wǎng)易、百度、騰訊、華為等在內(nèi)的多家出名互聯(lián)網(wǎng)公司紛紛進入云存儲市場掘金。可以說目前的個人云存儲市場正是“群雄逐鹿〞的時代，各家的產(chǎn)品處于體驗升級中，用戶的使用也在逐步形成。相較于個人云存儲市場的熾熱，企業(yè)用戶對于云存儲的態(tài)度那么稍顯保守。?2022年中國云存儲研究報告》顯示，企業(yè)用戶對于數(shù)據(jù)向云上的遷移的意愿并不強烈。一是由于對云存儲產(chǎn)品可用性的疑慮，更多地那么是對云存儲產(chǎn)品平安性的擔心[4]。具相關數(shù)據(jù)說明，目前大約有80%左右的企業(yè)不愿意將企業(yè)內(nèi)的業(yè)務數(shù)據(jù)放在云存儲產(chǎn)品中，究其主要原因是從數(shù)據(jù)平安性的角度考慮[5]。我們應當在數(shù)據(jù)平安性上狠下功夫，讓用戶敢于把關鍵文件寄存到云端，對云存儲產(chǎn)生依賴，真正讓云落地，讓云存儲藏份成為企業(yè)私有云，使企業(yè)數(shù)據(jù)中心的運行更與互聯(lián)網(wǎng)相似，使得企業(yè)能夠?qū)①Y源切換到需要的應用上，根據(jù)需求訪問備份的數(shù)據(jù)。

目前企業(yè)級云存儲數(shù)據(jù)的出錯證明及恢復主要通過多種級別的容錯技術(shù)以及檢錯糾錯技術(shù)來實現(xiàn)，如硬盤級、節(jié)點級和Domain/Site級的數(shù)據(jù)可靠性技術(shù)，國內(nèi)外不乏有一些研究文獻，其中，文獻[9]中提到目前平安云存儲系統(tǒng)的關鍵技術(shù)之一就是基于密文的數(shù)據(jù)持有性證明，其中POR計劃，在數(shù)據(jù)持有性證明的根底上，添加數(shù)據(jù)恢復機制。此計劃通過計算散列值等辦法主要來驗證數(shù)據(jù)的完整性，以期到達數(shù)據(jù)的持有性證明；文獻[6]中分析了現(xiàn)有的云存儲平臺在數(shù)據(jù)完整性檢驗檢測方面的缺乏，并提出了云數(shù)據(jù)完整性檢測系統(tǒng)IDBRS，設計并實現(xiàn)了基于IDBRS模型的云數(shù)據(jù)完整性檢測系統(tǒng)和數(shù)據(jù)恢復系統(tǒng)。提到了改良的數(shù)據(jù)完整性并未波及云存儲用戶局部數(shù)據(jù)出錯時出錯；文獻[7]中提到一種基于Kademlia的云存儲系統(tǒng)數(shù)據(jù)冗余計劃，通過數(shù)據(jù)的冗余從而實現(xiàn)云存儲系統(tǒng)中出錯數(shù)據(jù)的檢錯和糾錯；文獻[8]提到一種RS〔reedsolomon〕糾錯編碼，其具有很強的檢錯和糾錯能力，能夠?qū)崿F(xiàn)從k個接收到的數(shù)據(jù)包精確恢還原始數(shù)據(jù)。文獻[9]在云存儲環(huán)境下構(gòu)建平安網(wǎng)盤系統(tǒng)時，可在效勞器中根據(jù)用戶需求建立信任域，然后利用公鑰根底設施PKI進行身份認證，保證了用戶數(shù)據(jù)的不可欺騙性和不可抵賴性，從而實現(xiàn)存儲平安。但這些研究文獻并未提出利用PKI技術(shù)，實現(xiàn)企業(yè)級云存儲出錯數(shù)據(jù)證明的詳細計劃。

2多類型云存儲用戶身份認證

云生態(tài)系統(tǒng)是一個龐大的分布式系統(tǒng)，擁有海量的用戶，具有動態(tài)性、跨域性等特性[10]，它的云存儲效勞能力為典型的SPI〔SaaS，PaaS，IaaS〕云交互三層模式：

IaaS用戶類型：主要滿足開發(fā)人員和IT管理員，主要包括計費管理員，系統(tǒng)管理員，網(wǎng)絡項目師，備份管理員和防火墻管理員。

PaaS用戶類型：主要滿足管理員，開發(fā)人員，測試人員，終端用戶。

SaaS用戶類型：主要滿足快速周轉(zhuǎn)的大量企業(yè)用戶，以及第三方用以支持外包業(yè)務處理。企業(yè)用戶也會要求提供不同級別的權(quán)限〔角色〕用以滿足用戶工作職能的需要。

在PKI體系中有兩種類型的策略：

一是證書策略，用于管理證書的使用，包括證書的審查、私鑰的平安以及個人信息的提交方式；將此策略應用于典型的SPI三層云存儲效勞模式中時，證書的審查針對不同類型的云存儲用戶設置成非常嚴格、嚴格和合格三個策略等級；私鑰的平安針對不同類型的云存儲用戶設置成軟硬件愛護、硬件愛護和軟件愛護三個策略等級；而個人信息的提交方式針對不同類型的云存儲用戶設置成實名和非實名兩個策略等級，如表1所示。

二是證書操作管理標準CPS，主要包括在實踐中增強和支持平安策略的一些操作過程的詳細文檔。包括CA的建立和運作，證書的發(fā)行、接收和廢除，密鑰的產(chǎn)生、注冊，以及密鑰的存儲等。將此策略應用于云存儲效勞模式中時，亦設置成非常嚴格、嚴格和合格三個等級，如表2所示。

不同類型云存儲用戶的訪問權(quán)限主要分為讀、寫和執(zhí)行，它們所獲取的具體權(quán)限如表3所示。

由于同一層相同類型的云存儲用戶在不同的條件和環(huán)境下面，所需要的效勞不盡相同，為了滿足云存儲用戶工作職能的需要，我們需要適當?shù)恼{(diào)整證書策略和訪問控制權(quán)限，這時就需要特權(quán)訪問，需要設置特定權(quán)限用以滿足特定用戶的特定需求，從而到達靈活處理的目的。

3云存儲用戶和效勞提供商之間的數(shù)字簽名

在PKI系統(tǒng)中，云存儲用戶和云效勞提供商為了實現(xiàn)相互辨認和信任，需要一個具有公信力、申請者都信任的CA簽發(fā)數(shù)字證書，云存儲用戶使用云效勞之前應相互認證身份，具體流程如圖1所示。

相互認證完畢后，根據(jù)云存儲用戶的具體權(quán)限生成效勞資源列表，進行本地授權(quán)，用戶可以與效勞資源〔SaaS、IaaS、PaaS〕交互。最終利用PKI技術(shù)平臺，實現(xiàn)云存儲用戶身份認證的證明。為云存儲用戶和云效勞提供商搭建權(quán)責明確并相互信任的平臺，推動云存儲技術(shù)的開展。

4基于AD的統(tǒng)一身份管理

在云生態(tài)系統(tǒng)中，云存儲用戶和云效勞提供商的身份認證以及數(shù)字簽名的問題解決之后，緊接著需要建立統(tǒng)一的身份管理平臺，從而解決企業(yè)級用戶和云存儲效勞提供商之間由于數(shù)據(jù)出錯而發(fā)生的糾紛，并最終建立相互信任的長效機制，而WindowsServer操作系統(tǒng)的AD活動目錄效勞，使用域的管理，具有方便管理、平安性高、可擴展性強、可冗余性等優(yōu)勢，受到越來越多企業(yè)的青睞。AD通過域控制器管理域內(nèi)用戶賬號和權(quán)限，用戶只需要域用戶賬號和密碼即可登錄系統(tǒng)，并呈現(xiàn)可訪問的目錄列表。訪問快捷方便，權(quán)責明確。而Samba效勞器是一種規(guī)范的提供Windows系統(tǒng)與與Linux/Unix系統(tǒng)互操作性的開源軟件包，其核心是SMB協(xié)議。在配置AD效勞器的同時，可配置好Samba效勞器，從而解決云生態(tài)系統(tǒng)中不同平臺、不同環(huán)境的問題，使得其具有普適性。由于云生態(tài)系統(tǒng)具有跨域性等特性，而AD是針對域內(nèi)用戶進行的管理，如何努力擴展云存儲用戶的身份信息，擴大AD域的適用范圍，使得AD技術(shù)能夠普適于云存儲技術(shù)，仍是一個亟待解決的問題