基于多級(jí)安全策略的云計(jì)算數(shù)據(jù)完整性保護(hù)模型構(gòu)建?

龔建鋒

基于多級(jí)安全策略的云計(jì)算數(shù)據(jù)完整性保護(hù)模型構(gòu)建?

龔建鋒

（茂名職業(yè)技術(shù)學(xué)院茂名525000）

為提高云計(jì)算環(huán)境下的用戶數(shù)據(jù)的安全性，除保證傳統(tǒng)的靜態(tài)數(shù)據(jù)安全性元不能滿足安全要求。對(duì)此，提出一種基于包含靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)在內(nèi)的多種安全策略數(shù)據(jù)完整性保護(hù)模型。通過構(gòu)建多副本的數(shù)據(jù)完整性保護(hù)方案，保護(hù)靜態(tài)數(shù)據(jù)的完整性；通過分散流信息控制的數(shù)據(jù)安全保護(hù)模型，對(duì)數(shù)據(jù)對(duì)象的細(xì)粒度追蹤，并對(duì)不同云計(jì)算用戶數(shù)據(jù)進(jìn)行隔離和保護(hù)，從而通過這種不同的安全策略，實(shí)現(xiàn)云計(jì)算平臺(tái)數(shù)據(jù)的多級(jí)安全保護(hù)。

靜態(tài)數(shù)據(jù)；動(dòng)態(tài)數(shù)據(jù)；完整性保護(hù)；分散信息流；云存儲(chǔ)

Class NumberTP393

1引言

云計(jì)算作為一種可動(dòng)態(tài)搜索虛擬化資源，可通過互聯(lián)網(wǎng)為廣大的用戶提供計(jì)算模式。在該計(jì)算模式下，用戶不需要去構(gòu)建或者管理資源，而只需要通過付費(fèi)的方式即可享受云服務(wù)上提供的資源和服務(wù)。云計(jì)算平臺(tái)的出現(xiàn)，改變了傳統(tǒng)的網(wǎng)絡(luò)服務(wù)模式，成為數(shù)據(jù)共享史上的一次革命，被廣泛地應(yīng)用在各個(gè)領(lǐng)域。云計(jì)算平臺(tái)的廣泛應(yīng)用不可避免地會(huì)存在各種安全漏洞，如惡意破壞、篡改、刪除用戶數(shù)據(jù)等問題，甚至對(duì)云服務(wù)商的可信性產(chǎn)生了疑問。因此，為解決上述存在的問題，提高云計(jì)算平臺(tái)下的數(shù)據(jù)安全，姜路提出一種基于虛擬機(jī)間的動(dòng)態(tài)完整性模型，并通過無干擾理論對(duì)模型進(jìn)行了證明，驗(yàn)證該算法對(duì)可信和不可行平臺(tái)都有很強(qiáng)的抵御能力。李琳從云服務(wù)商提供的對(duì)象入手，針對(duì)多租戶的特點(diǎn)，對(duì)動(dòng)態(tài)完整性數(shù)據(jù)提出一種TDIC保護(hù)機(jī)制，從而對(duì)云計(jì)算平臺(tái)中用戶的數(shù)據(jù)進(jìn)行檢驗(yàn)，驗(yàn)證是否被刪、修改等［5］。結(jié)合上述的需求，本文提出一種基于多種安全策略的數(shù)據(jù)完整性保護(hù)模型，并分別就其中的靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的完整性檢驗(yàn)算法進(jìn)行設(shè)計(jì)。

2 數(shù)據(jù)完整性保護(hù)模型構(gòu)建思路

2.1當(dāng)前云計(jì)算平臺(tái)數(shù)據(jù)安全性存在的問題

傳統(tǒng)的云計(jì)算數(shù)據(jù)安全保護(hù)主要通過輸入口令和密碼的操作，實(shí)現(xiàn)對(duì)云計(jì)算平臺(tái)后臺(tái)的登錄。但隨著這種保護(hù)機(jī)制的應(yīng)用，其安全性存在很大漏洞。于是人們開始引入第三方可信平臺(tái)，通過第三方認(rèn)證的方式，消除用戶對(duì)云服務(wù)商的不信任。但通過這種第三方可信認(rèn)證的方式，需要解決對(duì)第三方平臺(tái)信任問題。因此，在不確定云服務(wù)商是否可信的情況下，需要讓用戶通過一定的遠(yuǎn)程機(jī)制對(duì)存儲(chǔ)在云服務(wù)商的數(shù)據(jù)完整性進(jìn)行驗(yàn)證。同時(shí)，針對(duì)SaaS應(yīng)用中存在的安全漏洞導(dǎo)致的用戶數(shù)據(jù)泄漏問題，如惡意用戶借助數(shù)據(jù)漏洞對(duì)數(shù)據(jù)進(jìn)行破壞、修改、篡改等，造成該問題的關(guān)鍵在于云計(jì)算平臺(tái)中出現(xiàn)的安全漏洞給惡意攻擊者提供了竊取用戶權(quán)限的機(jī)會(huì)，必須對(duì)不同不同的用戶權(quán)限進(jìn)行隔離和保護(hù)。因此，本文則結(jié)合云計(jì)算平臺(tái)，提出一種基于動(dòng)態(tài)和靜態(tài)的多級(jí)安全策略數(shù)據(jù)保護(hù)模型。

2.2保護(hù)模型構(gòu)建思路

針對(duì)上述的問題，筆者結(jié)合當(dāng)前的各種計(jì)算機(jī)技術(shù)和原理，將模型構(gòu)建思路設(shè)計(jì)為如圖1所示。

圖1 數(shù)據(jù)完整性保護(hù)模型構(gòu)建思路

3多副本數(shù)據(jù)完整性驗(yàn)證設(shè)計(jì)

3.1基本符號(hào)定義

多副本機(jī)制表示，一個(gè)文件都有多個(gè)相同的副本被存儲(chǔ)在不同的服務(wù)器之上。為標(biāo)記不同的副本和不同的文件，對(duì)每個(gè)文件分配相應(yīng)的序列號(hào)。

3.2驗(yàn)證方案設(shè)計(jì)思路及架構(gòu)

對(duì)該方案的設(shè)計(jì)主要采用以下步驟：

1）利用多副本機(jī)制對(duì)數(shù)據(jù)進(jìn)行拆分，并將其分布到不同的服務(wù)器上；

2）結(jié)合多副本機(jī)制，提出一種“挑戰(zhàn)-應(yīng)答”協(xié)議，從而使用戶可及時(shí)、準(zhǔn)確地判定云端數(shù)據(jù)的完整性，并找到出錯(cuò)的服務(wù)器。

因此，結(jié)合上述的思路，將該方案的具體架構(gòu)設(shè)計(jì)為如圖2所示。

表1 基本的概念

圖2 驗(yàn)證方案存儲(chǔ)架構(gòu)圖

在該方案中包含三個(gè)不同的組件共同實(shí)現(xiàn)多副本協(xié)作驗(yàn)證，其中數(shù)據(jù)處理中心（Data Processer，DP）負(fù)責(zé)對(duì)客戶端文件進(jìn)行上傳的前期準(zhǔn)備工作，從而發(fā)起客戶端與云端服務(wù)器的應(yīng)答工作；憑據(jù)證據(jù)生成器（Proof Generation Controller，PGC）通過位于服務(wù)器端的主控節(jié)點(diǎn)，對(duì)憑據(jù)的生成過程進(jìn)行驗(yàn)證，并將驗(yàn)證憑據(jù)的計(jì)算過程分配到不同的協(xié)調(diào)器當(dāng)中，最后將結(jié)果返還給客戶端；協(xié)調(diào)器（Coordina?tor，C）主要位于服務(wù)器端上的Slave節(jié)點(diǎn)，根據(jù)PGC所傳遞的具體參數(shù)，對(duì)制定的文件夾生成驗(yàn)證憑證。在圖2中，通常假設(shè)PGC是可信的，而其中的Slave節(jié)點(diǎn)不可信，因此，Slave節(jié)點(diǎn)可能攻擊其他的節(jié)點(diǎn)。對(duì)此，PGC與Slave節(jié)點(diǎn)的通信采用對(duì)方公鑰加密，而密文則采用自身密鑰加密的方法。具體過程可以分為兩個(gè)文件準(zhǔn)備和挑戰(zhàn)-應(yīng)答過程。

1）前期準(zhǔn)備

為進(jìn)一步驗(yàn)證數(shù)據(jù)的完整性，首先會(huì)在客戶端保留不同的元數(shù)據(jù)。在對(duì)數(shù)據(jù)進(jìn)行上傳時(shí)，數(shù)據(jù)處理中心首先會(huì)對(duì)數(shù)據(jù)進(jìn)行秘密處理，然后在生成tag的文件后，上傳到服務(wù)器。在該部分具體處理過程為：

KeyGen(k)→{sk，pk}為客戶端成成的密鑰算法，該算法以k為輸入，從而產(chǎn)生的私鑰sk和公鑰pk，其中sk=(p，q，g)，pk=(N)，其中p，q為大像素，N=p×q，g表示ZN當(dāng)中的一個(gè)元素。

Prepare(sk，pk，F(xiàn))→T{t{M1}，t{M2}…}為文件處理算法，具體是將客戶端中的元數(shù)據(jù)分為多個(gè)文件，t{Mi}=gmimod N。

2）挑戰(zhàn)-應(yīng)答階段

在該階段中主要包含兩個(gè)過程：

Ch allenge(sk，i)→S算法發(fā)起挑戰(zhàn)，將用戶的私鑰和驗(yàn)證隨機(jī)數(shù)i作為輸入，并將輸出，挑戰(zhàn)種子S，并將結(jié)果傳遞給服務(wù)器；

Prove(pk，S，F(xiàn))→PF是將服務(wù)器得到的驗(yàn)證憑證，返回給客戶端，該算法是以pk，S，F(xiàn)作為輸入，以驗(yàn)證結(jié)果作為輸出。

4基于分散信息流控制的數(shù)據(jù)安全保護(hù)模型構(gòu)建

4.1分散信息流規(guī)則定義

為描述訪問控制的規(guī)則，模型定義相關(guān)規(guī)則：

規(guī)則1：（標(biāo)記變換規(guī)則）線程p將自設(shè)的標(biāo)記由原來的L變換為L(zhǎng)'是安全的，同時(shí)當(dāng)且僅當(dāng)：

其中Cp表示主體p的有效能力集。

規(guī)則2：（信息流規(guī)則）由實(shí)體x到實(shí)體y為安全，并且當(dāng)且僅當(dāng)：

其中，Sx、Sy分別表示實(shí)體x和實(shí)體y的一組機(jī)密性標(biāo)簽集合，Ix、Iy實(shí)體x和實(shí)體y的一組完整性標(biāo)簽集合。

定義1：數(shù)據(jù)安全保護(hù)系統(tǒng)是一個(gè)六元組＜?，?，∪，∩，?，?p＞。其中，?表示為標(biāo)記集合；?為特權(quán)集合，?表示信息流向，?p表示一個(gè)二元關(guān)系，是在特權(quán)p下的信息流向，∪為標(biāo)記的并運(yùn)算，∩為標(biāo)記的并運(yùn)算。

定義2：（信息流向引入規(guī)則）對(duì)任意的標(biāo)記的兩個(gè)實(shí)體＜S1，I1＞，＜S2，I2＞，對(duì)其信息流行“?”的定義規(guī)則為

定義3：（在特權(quán)p下的信息流向引入規(guī)則）對(duì)任意實(shí)體＜S1，I1＞，＜S2，I2＞，在?下的引入規(guī)則為

定義4：對(duì)具有特權(quán)P的主體，如將特權(quán)授予其他的主體P'，則P、P'之間的關(guān)系可定義為P→P'。

4.2數(shù)據(jù)保護(hù)安全系統(tǒng)模型構(gòu)建

對(duì)保護(hù)系統(tǒng)進(jìn)行構(gòu)建前，首先必須明確可信計(jì)算模型。假設(shè)虛擬機(jī)開啟在可信增強(qiáng)的IaaS，用戶使用的平臺(tái)卻是SaaS平臺(tái)。服務(wù)商要保障SaaS用戶數(shù)據(jù)的安全，主要是為虛擬機(jī)中計(jì)算的數(shù)據(jù)提供保護(hù)機(jī)制，即本文構(gòu)建的數(shù)據(jù)保護(hù)安全系統(tǒng)。具體系統(tǒng)結(jié)構(gòu)如圖3所示。

圖3 數(shù)據(jù)安全保護(hù)系統(tǒng)整體模型

通過圖3看出，本模型將數(shù)據(jù)安全保護(hù)系統(tǒng)分為編程語言層（PL）和操作系統(tǒng)層（OS）的信息流向控制，其中PL層主要實(shí)現(xiàn)對(duì)數(shù)據(jù)對(duì)象的標(biāo)記和追蹤，實(shí)現(xiàn)對(duì)細(xì)粒度的安全保護(hù)。OS層主要為上層的Java VM提供可與DIFC信息流控制相關(guān)的系統(tǒng)，并通過上下文傳遞給OS層，OS線程再根據(jù)細(xì)粒度中提供的保護(hù)策略對(duì)數(shù)據(jù)進(jìn)行保護(hù)，實(shí)現(xiàn)統(tǒng)一的安全策略。

4.3 OS層保護(hù)實(shí)現(xiàn)機(jī)制

要實(shí)現(xiàn)對(duì)不同信息流的標(biāo)記，關(guān)鍵是要實(shí)現(xiàn)操作系統(tǒng)與保護(hù)系統(tǒng)之間不同元數(shù)據(jù)的標(biāo)記。而OS中的標(biāo)記和程序代碼中的數(shù)據(jù)對(duì)象表示式在一個(gè)空間之內(nèi)。在對(duì)敏感文件進(jìn)行標(biāo)記中，需要滿足信息流規(guī)則約束，即對(duì)于進(jìn)程主體標(biāo)記{Sp，Ip}，可創(chuàng)建標(biāo)記文件{Sf，If}，則有：

線程主體的能力集可使其獲得{Sp，Ip}的標(biāo)記，并標(biāo)記父目錄，防止在創(chuàng)建時(shí)候出現(xiàn)泄漏的問題。

4.4模型安全性證明

下面對(duì)模型的安全性進(jìn)行證明，并分析特權(quán)集合存在時(shí)候必須具備的安全約束條件。

定理1：（?，?）是偏序集合。

根據(jù)蘊(yùn)含關(guān)系→自身具有的傳遞性和自反性可以得到?也存在傳遞性和自反性。對(duì)?L1，L2∈?，L1?L2，L2?L1?L1=L2，由此，根據(jù)定義1可以得出L為唯一標(biāo)識(shí)，因此，?具有反對(duì)稱性。由此可證明（?，?）為偏序集。

而通過定理1表明，上述的符號(hào)構(gòu)成了安全類“格”，并被后續(xù)的信息流語義證明是安全的。

定理2：給定特權(quán)P、P'，對(duì)任意的L1，L2∈?，如果P→P'，且L1?p’L2成立，則L1?pL2。

證明：根據(jù)定義4則有，對(duì)于任意的L1，L2∈?，如果L1?p’L2成立，則存在S2∧P'→S1，并且有I1∧P'→I2。而根據(jù)P→P'，則可以推斷出S2∧P→S1且I1∧P→I2，由此根據(jù)P→P'，可以證明L1?pL2。

而通過定義4可以看出，對(duì)于任意的特權(quán)P'可解密或者是簽注一個(gè)實(shí)體，那么與之對(duì)應(yīng)的具有特權(quán)P的也可執(zhí)行相同操作。由此可以證明對(duì)具有特權(quán)的主體來講，必須對(duì)其進(jìn)行安全約束，才能保障安全。

5算法驗(yàn)證

為驗(yàn)證上述提出的動(dòng)態(tài)模型的可信性，選擇4臺(tái)CPU：Intel Corei5-2410M，內(nèi)存為4G的電腦，服務(wù)器CentOS 6.5，其中一臺(tái)為Master節(jié)點(diǎn)，三臺(tái)為Slave節(jié)點(diǎn)，虛擬機(jī)監(jiān)視器Xen4.0，操作系統(tǒng)為L(zhǎng)inux內(nèi)核版。驗(yàn)證文件大小為10G，文件數(shù)量為1000塊，默認(rèn)的文件塊大小為8MB，默認(rèn)副本數(shù)量為3。通過實(shí)驗(yàn)得到如圖4所示，可以看出本文采用的數(shù)據(jù)安全模型的有效檢測(cè)性要高于傳統(tǒng)的模型，從而表示在不同進(jìn)程下本文提出的數(shù)據(jù)保護(hù)模型要好于傳統(tǒng)的。

圖4 檢測(cè)有效性

6結(jié)語

本文根據(jù)當(dāng)前在數(shù)據(jù)完整性保護(hù)方面存在的問題，提出一種多級(jí)安全策略的數(shù)據(jù)安全保護(hù)模型，并通過搭建實(shí)驗(yàn)環(huán)境和結(jié)合定理對(duì)模型進(jìn)行了驗(yàn)證，證明上述算法的有效性和可行性，從而為數(shù)據(jù)安全性的保護(hù)提供了一種更為嚴(yán)格的安全保護(hù)方法。

［1］趙波，嚴(yán)飛，張立強(qiáng)，等.可信云計(jì)算環(huán)境的構(gòu)建［J］.中國(guó)計(jì)算機(jī)學(xué)會(huì)通訊，2012，7（8）：28-34.

ZHAO Bo，YAN Fei，ZHANG Liqiang，et al.Construction of trusted cloud computing environment［J］.Communica?tions ofthe CCF，2012，7（8）：28-34.

［2］Baoyu An，Liang Zhou，Zhe Gong，et al.Light-weight Proofs of Retrievability in Cloud Archive Storage with Replications［J］.International Journal of Digital Con?tent Technology and its Applications，2012，6（10）：127-135.

［3］吳澤智.細(xì)粒度信息流控制模型及其關(guān)鍵技術(shù)研究［D］.北京：解放軍信息工程大學(xué)，2015.

WU Zezhi.Fine grained information flow control model and its key technology research［D］.Beijing：The PLA In?formation Engineering University，2015.

［4］江凌波，馬超，王加玉.DFCM：以數(shù)據(jù)為中心的安全控制機(jī)制［J］.計(jì)算機(jī)工程與應(yīng)用，2015，12：55-62.

JIANG Lingbo，MA Chao，WANG Jiayu.DFCM：data cen?tric security control mechanism［J］.computer engineering and application，2015，12：55-62.

［5］李琳，錢進(jìn)，張永新，等.軟件即服務(wù)模式下租戶多副本數(shù)據(jù)存儲(chǔ)完整性問題研究［J］.南京大學(xué)學(xué)報(bào)（自然科學(xué)），2016（2）：324-334.

LI Lin，QIAN Jin，ZHANG Yongxin，et al.Software as a service model under the multi tenant store a copy of data integrity problems［J］.Journal of Nanjing University（NATURAL SCIENCE），2016（2）：324-334.

［6］譚霜，賈焰，韓偉紅.云存儲(chǔ)中的數(shù)據(jù)完整性證明研究及進(jìn)展［J］.計(jì)算機(jī)學(xué)報(bào)，2015（1）：164-177.

TAN Shuang，JIA Yan，HAN Weihong.Data integrity that cloud storage in research and development of［J］.comput?er，2015（1）：164-177.

［7］付艷艷，張敏，陳開渠，等.面向云存儲(chǔ)的多副本文件完整性驗(yàn)證方案［J］.計(jì)算機(jī)研究與發(fā)展，2014（7）：1410-1416.

FU Yanyan，ZHANG Min，CHEN Kaiqu，et al.Multi copy file integrity verification scheme for cloud storage［J］.com?puter research and development，2014（7）：1410-1416.

［8］查雅行，羅守山，卞建超，等.基于多分支認(rèn)證樹的多用戶多副本數(shù)據(jù)持有性證明方案［J］.通信學(xué)報(bào)，2015（11）：80-91.

ZHA Yaxing，LUO Shoushan，BIAN Jianchao，et al.Based on the multi branch tree authentication multi-user multi copy data holds proof scheme［J］.Journal on communica?tions，2015（11）：80-91.

Construction of Cloud Computing Data Integrity Protection Model Based on MultiLevelSecurity Policy

GONG Jianfeng
（Maoming Polytechnic，Maoming 525000）

In order to improve the security ofuser data in the cloud computing environment，in addition to ensure thatthe tra?ditional static data security element can not meet the security requirements，in this paper，a data integrity protection model is pro?posed，which is based on a variety ofsecurity policies，including static data and dynamic data.For the establishmentofuser trustin security static data cloud storage platform，a dynamic update and publicly verified data integrity protection scheme is proposed，which provides remote data integrity verification for the users decentralized information flow controlbased on the theory，a decentral?ized information flow control model is proposed to protect data security，in order to achieve the fine-grained tracking of data ob?jects，and fordifferentusers ofcloud computing data isolation and protection.

static data，dynamic data，integrity protection，distributed information flow，cloud storage

TP393

10.3969/j.issn.1672-9722.2017.08.035

2017年2月5日，

2017年3月20日

龔建鋒，男，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。