基于PKI技术的企业级云存储出错数据证明的研究
2016-07-04鲁恩铭邓艳
鲁恩铭+邓艳
摘要:该文论述了基于PKI技术的企业级云存储出错数据证明的研究意义,国内外的研究现状,提出了基于PKI技术的多类型云存储用户身份认证解决方案,然后结合PKI的数字签名技术,最后充分利用AD的统一身份管理和目录文件的访问控制,从而实现基于PKI技术的企业级云存储出错数据的证明。
关键词:PKI技术;云存储;出错数据;身份认证;数字签名;AD
中图分类号:TP309.3 文献标识码:A 文章编号:1009-3044(2016)15-0247-03
Abstract:This paper discusses the significance of the research and research Status of this subject both at home and abroad based on PKI technology. Putting forward the solution of multi-type cloud storage user authentication based on PKI technology and then combining with the PKI digital signature technology and finally takes full advantage of the AD unified identity management and directory of the file access control, so as to realize the data error proof based on PKI technology enterprise class cloud storage.
Key words:PKI technology; cloud storage; error data; identity authentication; digital signature; AD
信息时代,最宝贵的无疑是用户的核心数据。建立、处理、存储、保护、使用和销毁这些数据,即信息的全生命周期运动,构成了信息时代社会信息流的大动脉。当今信息存储系统朝无限的带宽、无限的容量和无限的处理能力,即“3i”方向发展,提出“Anytime,Anywhere,Anything”的目标,即要求数据在任意时间、任意地点实现任意数据访问.存储产品不再是附属于服务器的辅助设备,而成为互联网中最主要的花费所在。信息技术正从以计算为核心的计算时代进入到以存储为核心的存储时代,网络化存储将成为未来存储市场的热点.而目前的云存储服务是网络存储发展的必然趋势[1]。
但是,因为云存储的安全性、可靠性及服务水平等还存在众多问题亟待解决,所以云存储并未出现爆炸式的增长,特别是很多企业仍然采用传统的存储方法,并未用到云存储,企业级云存储用户并不多。究其原因主要是这些用户对于云存储数据安全性的担心,企业级云存储用户和服务提供商之间的一种不信任,用户担心自己的数据出错,以及出错所带来的巨大损失。他们最关心的是数据是否完整无误;如果有一套可证明数据出错的完整方案提供给用户,该方案能具体到其出错数据类型、出错数据大小、出错起点、出错终点、出错范围、出错时间、出错原因、出错的损失、责任划分甚至可恢复方案,并且该方案企业级云存储用户和服务提供商之间均可认可,并最终具有法律效应,那么企业级云存储用户和服务提供商之间就会建立信任关系,从而企业级用户会趋之若鹜地把自己的关键数据存放在云端,从而推动云存储技术的发展。综上所述,研究基于云存储的企业级用户数据中出错部分的证明有较大的现实意义和应用价值。
1 国内外研究现状
云存储是在云计算概念上延伸和发展出来的一个新的概念,云计算是指不在本地而在集中的多个服务器组成的计算中心进行运算,由多个服务器同时完成运算任务,从而能解放本地运算功能提高运算效率的一种技术。而云存储是云计算的重要应用,是指将企业或个人的文件或数据集中存储在数据中心而非本地,并按实际使用进行付费的技术[2]。
在国外,很多IT界巨头纷纷推出基于云存储的不同服务,影响较大的云存储产品只有iCloud、SkyDrive、GoogleDrive、Dropbox四家。国内云存储行业也正加速升温,各大IT服务商纷纷推出各种云存储服务。国内的网盘服务发展蓬勃,酷盘、金山快盘、华为Dbank网盘等免费网盘企业的大幅扩张业务。
在国内,云存储也被很多厂商看好,并且很多厂商都纷纷瞄准了这块领域。随着传统的网盘技术已显力不从心,并受到传输速度慢、冗灾备份及恢复能力低、安全性差、营运成本高等瓶颈的困扰,最新应用的云计算储存技术为网盘行业带来了新的革命,相信传统的网盘将逐步被云存储取代[3]。
《2012年中国云存储研究报告》显示,得益于云计算、移动互联网以及移动智能终端的发展,个人云存储市场得以迅速活跃起来。云存储产品与传统存储产品最显著的区别在于同步,使用户在任何时间、习惯任何地点都可以通过PC、手机、平板电脑来访问和共享文档、照片、音乐和其他全面的数字生活,同时能够安全、合理、高效地为用户存储资源。包括新浪、金山、网易、百度、腾讯、华为等在内的多家知名互联网公司纷纷进入云存储市场掘金。可以说目前的个人云存储市场正是“群雄逐鹿”的时代,各家的产品处于体验升级中,用户的使用也在逐步形成。相较于个人云存储市场的火热,企业用户对于云存储的态度则稍显保守。《2012年中国云存储研究报告》显示,企业用户对于数据向云上的迁移的意愿并不强烈。一是由于对云存储产品可用性的疑虑,更多地则是对云存储产品安全性的担忧[4]。具相关数据表明,目前大约有80%左右的企业不愿意将企业内的业务数据放在云存储产品中,究其主要原因是从数据安全性的角度考虑[5]。
我们应当在数据安全性上狠下功夫,让用户敢于把关键文件存放到云端,对云存储产生依赖,真正让云落地,让云存储备份成为企业私有云,使企业数据中心的运行更与互联网相似,使得企业能够将资源切换到需要的应用上,根据需求访问备份的数据。
目前企业级云存储数据的出错证明及恢复主要通过多种级别的容错技术以及检错纠错技术来实现,如硬盘级、节点级和Domain/Site级的数据可靠性技术,国内外不乏有一些研究文献,其中,文献[9]中提到目前安全云存储系统的关键技术之一就是基于密文的数据持有性证明,其中POR方案,在数据持有性证明的基础上,添加数据恢复机制。此方案通过计算散列值等方法主要来验证数据的完整性,以期达到数据的持有性证明;文献[6]中分析了现有的云存储平台在数据完整性检验检测方面的不足,并提出了云数据完整性检测系统IDBRS,设计并实现了基于IDBRS模型的云数据完整性检测系统和数据恢复系统。提到了改进的数据完整性并未涉及云存储用户部分数据出错时出错;文献[7]中提到一种基于Kademlia 的云存储系统数据冗余方案,通过数据的冗余从而实现云存储系统中出错数据的检错和纠错;文献[8]提到一种RS(reed solomon)纠错编码,其具有很强的检错和纠错能力,能够实现从k 个接收到的数据包精确恢复原始数据。文献[9]在云存储环境下构建安全网盘系统时,可在服务器中根据用户需求建立信任域,然后利用公钥基础设施PKI进行身份认证,保证了用户数据的不可欺骗性和不可抵赖性,从而实现存储安全。但这些研究文献并未提出利用PKI技术,实现企业级云存储出错数据证明的详细方案。
2 多类型云存储用户身份认证
云生态系统是一个庞大的分布式系统,拥有海量的用户,具有动态性、跨域性等特性[10],它的云存储服务能力为典型的SPI(SaaS,PaaS,IaaS)云交互三层模式:
IaaS用户类型:主要满足开发人员和IT管理员,主要包括计费管理员,系统管理员,网络工程师,备份管理员和防火墙管理员。
PaaS用户类型:主要满足管理员,开发人员,测试人员,终端用户。
SaaS用户类型:主要满足快速周转的大量企业用户,以及第三方用以支持外包业务处理。企业用户也会要求提供不同级别的权限(角色)用以满足用户工作职能的需要。
在PKI体系中有两种类型的策略:
一是证书策略,用于管理证书的使用,包括证书的审查、私钥的安全以及个人信息的提交方式;将此策略应用于典型的SPI三层云存储服务模式中时,证书的审查针对不同类型的云存储用户设置成非常严格、严格和合格三个策略等级;私钥的安全针对不同类型的云存储用户设置成软硬件保护、硬件保护和软件保护三个策略等级;而个人信息的提交方式针对不同类型的云存储用户设置成实名和非实名两个策略等级,如表1所示。
二是证书操作管理规范CPS,主要包括在实践中增强和支持安全策略的一些操作过程的详细文档。包括CA的建立和运作,证书的发行、接收和废除,密钥的产生、注册,以及密钥的存储等。将此策略应用于云存储服务模式中时,亦设置成非常严格、严格和合格三个等级,如表2所示。
不同类型云存储用户的访问权限主要分为读、写和执行,它们所获取的具体权限如表3所示。
由于同一层相同类型的云存储用户在不同的条件和环境下面,所需要的服务不尽相同,为了满足云存储用户工作职能的需要,我们需要适当的调整证书策略和访问控制权限,这时就需要特权访问,需要设置特定权限用以满足特定用户的特定需求,从而达到灵活处理的目的。
3 云存储用户和服务提供商之间的数字签名
在 PKI 系统中,云存储用户和云服务提供商为了实现相互识别和信任,需要一个具有公信力、申请者都信任的CA签发数字证书,云存储用户使用云服务之前应相互认证身份,具体流程如图1所示。
相互认证完毕后,根据云存储用户的具体权限生成服务资源列表,进行本地授权,用户可以与服务资源(SaaS、IaaS、PaaS)交互。最终利用PKI技术平台,实现云存储用户身份认证的证明。为云存储用户和云服务提供商搭建权责明确并相互信任的平台,推动云存储技术的发展。
4 基于AD的统一身份管理
在云生态系统中,云存储用户和云服务提供商的身份认证以及数字签名的问题解决之后,紧接着需要建立统一的身份管理平台,从而解决企业级用户和云存储服务提供商之间由于数据出错而发生的纠纷,并最终建立相互信任的长效机制,而Windows Server操作系统的AD活动目录服务,使用域的管理,具有方便管理、安全性高、可扩展性强、可冗余性等优势,受到越来越多企业的青睐。AD通过域控制器管理域内用户账号和权限,用户只需要域用户账号和密码即可登录系统,并呈现可访问的目录列表。访问快捷方便,权责明确。而Samba 服务器是一种标准的提供 Windows 系统与与Linux /Unix 系统互操作性的开源软件包, 其核心是 SMB 协议。在配置AD服务器的同时,可配置好Samba 服务器,从而解决云生态系统中不同平台、不同环境的问题,使得其具有普适性。由于云生态系统具有跨域性等特性,而AD是针对域内用户进行的管理,如何努力扩展云存储用户的身份信息,扩大AD域的适用范围,使得AD技术能够普适于云存储技术,仍是一个亟待解决的问题。
5 小结
云生态系统是一个庞大的分布式系统,拥有海量的用户,具有动态性、跨域性等特性,云存储技术为典型的三层云存储结构,每一层对应不同需求的用户类型,当把传统的PKI技术应用于云存储出错数据的证明时,首先进行身份认证,就应该相应的建立不同级别、不同层次、不同类型的用户,努力扩展云存储用户的身份信息,扩大PKI安全域的适用范围,然后有效利用数字签名技术,最后利用AD进行统一的身份管理和目录文件的访问控制,从而最终实现基于PKI技术的云存储出错数据的证明。
参考文献:
[1] 陈兰香,许力.云存储环境中可证明数据持有及数据恢复技术研究[J].计算机研究与发展,2012(2).
[2] 中国云存储行业与用户行为研究报告简版—2012年.
[3] 企业云存储何时迎来春天.中关村在线. 2012.04
[4] 2012年中国云存储报告. 报告编号:155074
[5] 我国云存储产业发展现状. 中国产业信息网.2012.09
[6] 林建清.云存储环境下数据完整性检验和出错数据恢复技术研究[D].国防科技大学,2011.
[7] 吴吉义,等. 基于Kademlia 的云存储系统数据冗余方案研究[J].电信科学,2001(2).
[8] Reed I S,Solomon G.Polynomial codes over certain finite fields[J].Journal of the Society for Industrial and Applied Mathematics,1960(8):300-304.
[9] 舒继武,傅颖勋.一种云存储环境下的安全网盘系统的实现方法[专利].清华大学. 专利号:201210176807. 2012.10
[10] 李健, 张笈. PKI在云计算中的应用研究[J].信息网络安全,2011(8).