基于PKI技術(shù)的企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的研究

基于PKI技術(shù)的企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的研究基于PKI技術(shù)的企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的研究

中圖分類號(hào)：TP309.3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044〔2022〕15-0247-03

Abstract：ThispaperdiscussesthesignificanceoftheresearchandresearchStatusofthissubjectbothathomeandabroadbasedonPKItechnology.Puttingforwardthesolutionofmulti-typecloudstorageuserauthenticationbasedonPKItechnologyandthencombiningwiththePKIdigitalsignaturetechnologyandfinallytakesfulladvantageoftheADunifiedidentitymanagementanddirectoryofthefileaccesscontrol，soastorealizethedataerrorproofbasedonPKItechnologyenterpriseclasscloudstorage.

Keywords：PKItechnology；cloudstorage；errordata；identityauthentication；digitalsignature；AD

信息時(shí)代，最珍貴的無疑是用戶的核心數(shù)據(jù)。建立、處理、存儲(chǔ)、愛護(hù)、使用和銷毀這些數(shù)據(jù)，即信息的全生命周期運(yùn)動(dòng)，構(gòu)成了信息時(shí)代社會(huì)信息流的大動(dòng)脈。當(dāng)今信息存儲(chǔ)系統(tǒng)朝無限的帶寬、無限的容量和無限的處理能力，即“3i〞方向開展，提出“Anytime，Anywhere，Anything〞的目標(biāo)，即要求數(shù)據(jù)在任意時(shí)間、任意地點(diǎn)實(shí)現(xiàn)任意數(shù)據(jù)訪問.存儲(chǔ)產(chǎn)品不再是從屬于效勞器的輔助設(shè)備，而成為互聯(lián)網(wǎng)中最主要的花費(fèi)所在。信息技術(shù)正從以計(jì)算為核心的計(jì)算時(shí)代進(jìn)入到以存儲(chǔ)為核心的存儲(chǔ)時(shí)代，網(wǎng)絡(luò)化存儲(chǔ)將成為未來存儲(chǔ)市場(chǎng)的熱點(diǎn).而目前的云存儲(chǔ)效勞是網(wǎng)絡(luò)存儲(chǔ)開展的必然趨勢(shì)[1]。

但是，因?yàn)樵拼鎯?chǔ)的平安性、可靠性及效勞水平等還存在眾多問題亟待解決，所以云存儲(chǔ)并未出現(xiàn)爆炸式的增長(zhǎng)，特別是很多企業(yè)仍然采用傳統(tǒng)的存儲(chǔ)辦法，并未用到云存儲(chǔ)，企業(yè)級(jí)云存儲(chǔ)用戶并不多。究其原因主要是這些用戶對(duì)于云存儲(chǔ)數(shù)據(jù)平安性的擔(dān)憂，企業(yè)級(jí)云存儲(chǔ)用戶和效勞提供商之間的一種不信任，用戶擔(dān)憂自己的數(shù)據(jù)出錯(cuò)，以及出錯(cuò)所帶來的巨大損失。他們最關(guān)懷的是數(shù)據(jù)是否完整無誤；如果有一套可證明數(shù)據(jù)出錯(cuò)的完整計(jì)劃提供應(yīng)用戶，該計(jì)劃能具體到其出錯(cuò)數(shù)據(jù)類型、出錯(cuò)數(shù)據(jù)大小、出錯(cuò)起點(diǎn)、出錯(cuò)終點(diǎn)、出錯(cuò)范圍、出錯(cuò)時(shí)間、出錯(cuò)原因、出錯(cuò)的損失、責(zé)任劃分甚至可恢復(fù)計(jì)劃，并且該計(jì)劃企業(yè)級(jí)云存儲(chǔ)用戶和效勞提供商之間均可認(rèn)可，并最終具有法律效應(yīng)，則企業(yè)級(jí)云存儲(chǔ)用戶和效勞提供商之間就會(huì)建立信任關(guān)系，從而企業(yè)級(jí)用戶會(huì)趨之假設(shè)鶩地把自己的關(guān)鍵數(shù)據(jù)寄存在云端，從而推動(dòng)云存儲(chǔ)技術(shù)的開展。綜上所述，研究基于云存儲(chǔ)的企業(yè)級(jí)用戶數(shù)據(jù)中出錯(cuò)局部的證明有較大的現(xiàn)實(shí)意義和應(yīng)用價(jià)值。

1國(guó)內(nèi)外研究現(xiàn)狀

云存儲(chǔ)是在云計(jì)算概念上延伸和開展出來的一個(gè)新的概念，云計(jì)算是指不在本地而在集中的多個(gè)效勞器組成的計(jì)算中心進(jìn)行運(yùn)算，由多個(gè)效勞器同時(shí)完成運(yùn)算任務(wù)，從而能解放本地運(yùn)算功能提高運(yùn)算效率的一種技術(shù)。而云存儲(chǔ)是云計(jì)算的重要應(yīng)用，是指將企業(yè)或個(gè)人的文件或數(shù)據(jù)集中存儲(chǔ)在數(shù)據(jù)中心而非本地，并按實(shí)際使用進(jìn)行付費(fèi)的技術(shù)[2]。

在國(guó)外，很多IT界巨頭紛紛推出基于云存儲(chǔ)的不同效勞，影響較大的云存儲(chǔ)產(chǎn)品只有iCloud、SkyDrive、GoogleDrive、Dropbox四家。國(guó)內(nèi)云存儲(chǔ)行業(yè)也正加速升溫，各大IT效勞商紛紛推出各種云存儲(chǔ)效勞。國(guó)內(nèi)的網(wǎng)盤效勞開展蓬勃，酷盤、金山快盤、華為Dbank網(wǎng)盤等免費(fèi)網(wǎng)盤企業(yè)的大幅擴(kuò)張業(yè)務(wù)。

在國(guó)內(nèi)，云存儲(chǔ)也被很多廠商看好，并且很多廠商都紛紛瞄準(zhǔn)了這塊領(lǐng)域。隨著傳統(tǒng)的網(wǎng)盤技術(shù)已顯力不從心，并受到傳輸速度慢、冗災(zāi)備份及恢復(fù)能力低、平安性差、營(yíng)運(yùn)本錢高等瓶頸的困擾，最新應(yīng)用的云計(jì)算儲(chǔ)存技術(shù)為網(wǎng)盤行業(yè)帶來了新的革命，相信傳統(tǒng)的網(wǎng)盤將逐步被云存儲(chǔ)取代[3]。

?2022年中國(guó)云存儲(chǔ)研究報(bào)告》顯示，得益于云計(jì)算、移動(dòng)互聯(lián)網(wǎng)以及移動(dòng)智能終端的開展，個(gè)人云存儲(chǔ)市場(chǎng)得以迅速活潑起來。云存儲(chǔ)產(chǎn)品與傳統(tǒng)存儲(chǔ)產(chǎn)品最顯著的區(qū)別在于同步，使用戶在任何時(shí)間、習(xí)慣任何地點(diǎn)都可以通過PC、手機(jī)、平板電腦來訪問和共享文檔、照片、音樂和其他全面的數(shù)字生活，同時(shí)能夠平安、合理、高效地為用戶存儲(chǔ)資源。包括新浪、金山、網(wǎng)易、百度、騰訊、華為等在內(nèi)的多家出名互聯(lián)網(wǎng)公司紛紛進(jìn)入云存儲(chǔ)市場(chǎng)掘金?？梢哉f目前的個(gè)人云存儲(chǔ)市場(chǎng)正是“群雄逐鹿〞的時(shí)代，各家的產(chǎn)品處于體驗(yàn)升級(jí)中，用戶的使用也在逐步形成。相較于個(gè)人云存儲(chǔ)市場(chǎng)的熾熱，企業(yè)用戶對(duì)于云存儲(chǔ)的態(tài)度那么稍顯保守。?2022年中國(guó)云存儲(chǔ)研究報(bào)告》顯示，企業(yè)用戶對(duì)于數(shù)據(jù)向云上的遷移的意愿并不強(qiáng)烈。一是由于對(duì)云存儲(chǔ)產(chǎn)品可用性的疑慮，更多地那么是對(duì)云存儲(chǔ)產(chǎn)品平安性的擔(dān)心[4]。具相關(guān)數(shù)據(jù)說明，目前大約有80%左右的企業(yè)不愿意將企業(yè)內(nèi)的業(yè)務(wù)數(shù)據(jù)放在云存儲(chǔ)產(chǎn)品中，究其主要原因是從數(shù)據(jù)平安性的角度考慮[5]。我們應(yīng)當(dāng)在數(shù)據(jù)平安性上狠下功夫，讓用戶敢于把關(guān)鍵文件寄存到云端，對(duì)云存儲(chǔ)產(chǎn)生依賴，真正讓云落地，讓云存儲(chǔ)藏份成為企業(yè)私有云，使企業(yè)數(shù)據(jù)中心的運(yùn)行更與互聯(lián)網(wǎng)相似，使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問備份的數(shù)據(jù)。

目前企業(yè)級(jí)云存儲(chǔ)數(shù)據(jù)的出錯(cuò)證明及恢復(fù)主要通過多種級(jí)別的容錯(cuò)技術(shù)以及檢錯(cuò)糾錯(cuò)技術(shù)來實(shí)現(xiàn)，如硬盤級(jí)、節(jié)點(diǎn)級(jí)和Domain/Site級(jí)的數(shù)據(jù)可靠性技術(shù)，國(guó)內(nèi)外不乏有一些研究文獻(xiàn)，其中，文獻(xiàn)[9]中提到目前平安云存儲(chǔ)系統(tǒng)的關(guān)鍵技術(shù)之一就是基于密文的數(shù)據(jù)持有性證明，其中POR計(jì)劃，在數(shù)據(jù)持有性證明的根底上，添加數(shù)據(jù)恢復(fù)機(jī)制。此計(jì)劃通過計(jì)算散列值等辦法主要來驗(yàn)證數(shù)據(jù)的完整性，以期到達(dá)數(shù)據(jù)的持有性證明；文獻(xiàn)[6]中分析了現(xiàn)有的云存儲(chǔ)平臺(tái)在數(shù)據(jù)完整性檢驗(yàn)檢測(cè)方面的缺乏，并提出了云數(shù)據(jù)完整性檢測(cè)系統(tǒng)IDBRS，設(shè)計(jì)并實(shí)現(xiàn)了基于IDBRS模型的云數(shù)據(jù)完整性檢測(cè)系統(tǒng)和數(shù)據(jù)恢復(fù)系統(tǒng)。提到了改良的數(shù)據(jù)完整性并未波及云存儲(chǔ)用戶局部數(shù)據(jù)出錯(cuò)時(shí)出錯(cuò)；文獻(xiàn)[7]中提到一種基于Kademlia的云存儲(chǔ)系統(tǒng)數(shù)據(jù)冗余計(jì)劃，通過數(shù)據(jù)的冗余從而實(shí)現(xiàn)云存儲(chǔ)系統(tǒng)中出錯(cuò)數(shù)據(jù)的檢錯(cuò)和糾錯(cuò)；文獻(xiàn)[8]提到一種RS〔reedsolomon〕糾錯(cuò)編碼，其具有很強(qiáng)的檢錯(cuò)和糾錯(cuò)能力，能夠?qū)崿F(xiàn)從k個(gè)接收到的數(shù)據(jù)包精確恢還原始數(shù)據(jù)。文獻(xiàn)[9]在云存儲(chǔ)環(huán)境下構(gòu)建平安網(wǎng)盤系統(tǒng)時(shí)，可在效勞器中根據(jù)用戶需求建立信任域，然后利用公鑰根底設(shè)施PKI進(jìn)行身份認(rèn)證，保證了用戶數(shù)據(jù)的不可欺騙性和不可抵賴性，從而實(shí)現(xiàn)存儲(chǔ)平安。但這些研究文獻(xiàn)并未提出利用PKI技術(shù)，實(shí)現(xiàn)企業(yè)級(jí)云存儲(chǔ)出錯(cuò)數(shù)據(jù)證明的詳細(xì)計(jì)劃。

2多類型云存儲(chǔ)用戶身份認(rèn)證

云生態(tài)系統(tǒng)是一個(gè)龐大的分布式系統(tǒng)，擁有海量的用戶，具有動(dòng)態(tài)性、跨域性等特性[10]，它的云存儲(chǔ)效勞能力為典型的SPI〔SaaS，PaaS，IaaS〕云交互三層模式：

IaaS用戶類型：主要滿足開發(fā)人員和IT管理員，主要包括計(jì)費(fèi)管理員，系統(tǒng)管理員，網(wǎng)絡(luò)項(xiàng)目師，備份管理員和防火墻管理員。

PaaS用戶類型：主要滿足管理員，開發(fā)人員，測(cè)試人員，終端用戶。

SaaS用戶類型：主要滿足快速周轉(zhuǎn)的大量企業(yè)用戶，以及第三方用以支持外包業(yè)務(wù)處理。企業(yè)用戶也會(huì)要求提供不同級(jí)別的權(quán)限〔角色〕用以滿足用戶工作職能的需要。

在PKI體系中有兩種類型的策略：

一是證書策略，用于管理證書的使用，包括證書的審查、私鑰的平安以及個(gè)人信息的提交方式；將此策略應(yīng)用于典型的SPI三層云存儲(chǔ)效勞模式中時(shí)，證書的審查針對(duì)不同類型的云存儲(chǔ)用戶設(shè)置成非常嚴(yán)格、嚴(yán)格和合格三個(gè)策略等級(jí)；私鑰的平安針對(duì)不同類型的云存儲(chǔ)用戶設(shè)置成軟硬件愛護(hù)、硬件愛護(hù)和軟件愛護(hù)三個(gè)策略等級(jí)；而個(gè)人信息的提交方式針對(duì)不同類型的云存儲(chǔ)用戶設(shè)置成實(shí)名和非實(shí)名兩個(gè)策略等級(jí)，如表1所示。

二是證書操作管理標(biāo)準(zhǔn)CPS，主要包括在實(shí)踐中增強(qiáng)和支持平安策略的一些操作過程的詳細(xì)文檔。包括CA的建立和運(yùn)作，證書的發(fā)行、接收和廢除，密鑰的產(chǎn)生、注冊(cè)，以及密鑰的存儲(chǔ)等。將此策略應(yīng)用于云存儲(chǔ)效勞模式中時(shí)，亦設(shè)置成非常嚴(yán)格、嚴(yán)格和合格三個(gè)等級(jí)，如表2所示。

不同類型云存儲(chǔ)用戶的訪問權(quán)限主要分為讀、寫和執(zhí)行，它們所獲取的具體權(quán)限如表3所示。

由于同一層相同類型的云存儲(chǔ)用戶在不同的條件和環(huán)境下面，所需要的效勞不盡相同，為了滿足云存儲(chǔ)用戶工作職能的需要，我們需要適當(dāng)?shù)恼{(diào)整證書策略和訪問控制權(quán)限，這時(shí)就需要特權(quán)訪問，需要設(shè)置特定權(quán)限用以滿足特定用戶的特定需求，從而到達(dá)靈活處理的目的。

3云存儲(chǔ)用戶和效勞提供商之間的數(shù)字簽名

在PKI系統(tǒng)中，云存儲(chǔ)用戶和云效勞提供商為了實(shí)現(xiàn)相互辨認(rèn)和信任，需要一個(gè)具有公信力、申請(qǐng)者都信任的CA簽發(fā)數(shù)字證書，云存儲(chǔ)用戶使用云效勞之前應(yīng)相互認(rèn)證身份，具體流程如圖1所示。

相互認(rèn)證完畢后，根據(jù)云存儲(chǔ)用戶的具體權(quán)限生成效勞資源列表，進(jìn)行本地授權(quán)，用戶可以與效勞資源〔SaaS、IaaS、PaaS〕交互。最終利用PKI技術(shù)平臺(tái)，實(shí)現(xiàn)云存儲(chǔ)用戶身份認(rèn)證的證明。為云存儲(chǔ)用戶和云效勞提供商搭建權(quán)責(zé)明確并相互信任的平臺(tái)，推動(dòng)云存儲(chǔ)技術(shù)的開展。

4基于AD的統(tǒng)一身份管理

在云生態(tài)系統(tǒng)中，云存儲(chǔ)用戶和云效勞提供商的身份認(rèn)證以及數(shù)字簽名的問題解決之后，緊接著需要建立統(tǒng)一的身份管理平臺(tái)，從而解決企業(yè)級(jí)用戶和云存儲(chǔ)效勞提供商之間由于數(shù)據(jù)出錯(cuò)而發(fā)生的糾紛，并最終建立相互信任的長(zhǎng)效機(jī)制，而WindowsServer操作系統(tǒng)的AD活動(dòng)目錄效勞，使用域的管理，具有方便管理、平安性高、可擴(kuò)展性強(qiáng)、可冗余性等優(yōu)勢(shì)，受到越來越多企業(yè)的青睞。AD通過域控制器管理域內(nèi)用戶賬號(hào)和權(quán)限，用戶只需要域用戶賬號(hào)和密碼即可登錄系統(tǒng)，并呈現(xiàn)可訪問的目錄列表。訪問快捷方便，權(quán)責(zé)明確。而Samba效勞器是一種規(guī)范的提供Windows系統(tǒng)與與Linux/Unix系統(tǒng)互操作性的開源軟件包，其核心是SMB協(xié)議。在配置AD效勞器的同時(shí)，可配置好Samba效勞器，從而解決云生態(tài)系統(tǒng)中不同平臺(tái)、不同環(huán)境的問題，使得其具有普適性。由于云生態(tài)系統(tǒng)具有跨域性等特性，而AD是針對(duì)域內(nèi)用戶進(jìn)行的管理，如何努力擴(kuò)展云存儲(chǔ)用戶的身份信息，擴(kuò)大AD域的適用范圍，使得AD技術(shù)能夠普適于云存儲(chǔ)技術(shù)，仍是一個(gè)亟待解決的問題