龚建锋

基于多级安全策略的云计算数据完整性保护模型构建∗

龚建锋

（茂名职业技术学院茂名525000）

为提高云计算环境下的用户数据的安全性，除保证传统的静态数据安全性元不能满足安全要求。对此，提出一种基于包含静态数据和动态数据在内的多种安全策略数据完整性保护模型。通过构建多副本的数据完整性保护方案，保护静态数据的完整性；通过分散流信息控制的数据安全保护模型，对数据对象的细粒度追踪，并对不同云计算用户数据进行隔离和保护，从而通过这种不同的安全策略，实现云计算平台数据的多级安全保护。

静态数据；动态数据；完整性保护；分散信息流；云存储

Class NumberTP393

1引言

云计算作为一种可动态搜索虚拟化资源，可通过互联网为广大的用户提供计算模式。在该计算模式下，用户不需要去构建或者管理资源，而只需要通过付费的方式即可享受云服务上提供的资源和服务。云计算平台的出现，改变了传统的网络服务模式，成为数据共享史上的一次革命，被广泛地应用在各个领域。云计算平台的广泛应用不可避免地会存在各种安全漏洞，如恶意破坏、篡改、删除用户数据等问题，甚至对云服务商的可信性产生了疑问。因此，为解决上述存在的问题，提高云计算平台下的数据安全，姜路提出一种基于虚拟机间的动态完整性模型，并通过无干扰理论对模型进行了证明，验证该算法对可信和不可行平台都有很强的抵御能力。李琳从云服务商提供的对象入手，针对多租户的特点，对动态完整性数据提出一种TDIC保护机制，从而对云计算平台中用户的数据进行检验，验证是否被删、修改等［5］。结合上述的需求，本文提出一种基于多种安全策略的数据完整性保护模型，并分别就其中的静态数据和动态数据的完整性检验算法进行设计。

2 数据完整性保护模型构建思路

2.1当前云计算平台数据安全性存在的问题

传统的云计算数据安全保护主要通过输入口令和密码的操作，实现对云计算平台后台的登录。但随着这种保护机制的应用，其安全性存在很大漏洞。于是人们开始引入第三方可信平台，通过第三方认证的方式，消除用户对云服务商的不信任。但通过这种第三方可信认证的方式，需要解决对第三方平台信任问题。因此，在不确定云服务商是否可信的情况下，需要让用户通过一定的远程机制对存储在云服务商的数据完整性进行验证。同时，针对SaaS应用中存在的安全漏洞导致的用户数据泄漏问题，如恶意用户借助数据漏洞对数据进行破坏、修改、篡改等，造成该问题的关键在于云计算平台中出现的安全漏洞给恶意攻击者提供了窃取用户权限的机会，必须对不同不同的用户权限进行隔离和保护。因此，本文则结合云计算平台，提出一种基于动态和静态的多级安全策略数据保护模型。

2.2保护模型构建思路

针对上述的问题，笔者结合当前的各种计算机技术和原理，将模型构建思路设计为如图1所示。

图1 数据完整性保护模型构建思路

3多副本数据完整性验证设计

3.1基本符号定义

多副本机制表示，一个文件都有多个相同的副本被存储在不同的服务器之上。为标记不同的副本和不同的文件，对每个文件分配相应的序列号。

3.2验证方案设计思路及架构

对该方案的设计主要采用以下步骤：

1）利用多副本机制对数据进行拆分，并将其分布到不同的服务器上；

2）结合多副本机制，提出一种“挑战-应答”协议，从而使用户可及时、准确地判定云端数据的完整性，并找到出错的服务器。

因此，结合上述的思路，将该方案的具体架构设计为如图2所示。

表1 基本的概念

图2 验证方案存储架构图

在该方案中包含三个不同的组件共同实现多副本协作验证，其中数据处理中心（Data Processer，DP）负责对客户端文件进行上传的前期准备工作，从而发起客户端与云端服务器的应答工作；凭据证据生成器（Proof Generation Controller，PGC）通过位于服务器端的主控节点，对凭据的生成过程进行验证，并将验证凭据的计算过程分配到不同的协调器当中，最后将结果返还给客户端；协调器（Coordina⁃tor，C）主要位于服务器端上的Slave节点，根据PGC所传递的具体参数，对制定的文件夹生成验证凭证。在图2中，通常假设PGC是可信的，而其中的Slave节点不可信，因此，Slave节点可能攻击其他的节点。对此，PGC与Slave节点的通信采用对方公钥加密，而密文则采用自身密钥加密的方法。具体过程可以分为两个文件准备和挑战-应答过程。

1）前期准备

为进一步验证数据的完整性，首先会在客户端保留不同的元数据。在对数据进行上传时，数据处理中心首先会对数据进行秘密处理，然后在生成tag的文件后，上传到服务器。在该部分具体处理过程为：

KeyGen(k)→{sk，pk}为客户端成成的密钥算法，该算法以k为输入，从而产生的私钥sk和公钥pk，其中sk=(p，q，g)，pk=(N)，其中p，q为大像素，N=p×q，g表示ZN当中的一个元素。

Prepare(sk，pk，F)→T{t{M1}，t{M2}…}为文件处理算法，具体是将客户端中的元数据分为多个文件，t{Mi}=gmimod N。

2）挑战-应答阶段

在该阶段中主要包含两个过程：

Ch allenge(sk，i)→S算法发起挑战，将用户的私钥和验证随机数i作为输入，并将输出，挑战种子S，并将结果传递给服务器；

Prove(pk，S，F)→PF是将服务器得到的验证凭证，返回给客户端，该算法是以pk，S，F作为输入，以验证结果作为输出。

4基于分散信息流控制的数据安全保护模型构建

4.1分散信息流规则定义

为描述访问控制的规则，模型定义相关规则：

规则1：（标记变换规则）线程p将自设的标记由原来的L变换为L'是安全的，同时当且仅当：

其中Cp表示主体p的有效能力集。

规则2：（信息流规则）由实体x到实体y为安全，并且当且仅当：

其中，Sx、Sy分别表示实体x和实体y的一组机密性标签集合，Ix、Iy实体x和实体y的一组完整性标签集合。

定义1：数据安全保护系统是一个六元组＜ℓ，℘，∪，∩，⊑，⊑p＞。其中，ℓ表示为标记集合；℘为特权集合，⊑表示信息流向，⊑p表示一个二元关系，是在特权p下的信息流向，∪为标记的并运算，∩为标记的并运算。

定义2：（信息流向引入规则）对任意的标记的两个实体＜S1，I1＞，＜S2，I2＞，对其信息流行“⊑”的定义规则为

定义3：（在特权p下的信息流向引入规则）对任意实体＜S1，I1＞，＜S2，I2＞，在⊑下的引入规则为

定义4：对具有特权P的主体，如将特权授予其他的主体P'，则P、P'之间的关系可定义为P→P'。

4.2数据保护安全系统模型构建

对保护系统进行构建前，首先必须明确可信计算模型。假设虚拟机开启在可信增强的IaaS，用户使用的平台却是SaaS平台。服务商要保障SaaS用户数据的安全，主要是为虚拟机中计算的数据提供保护机制，即本文构建的数据保护安全系统。具体系统结构如图3所示。

图3 数据安全保护系统整体模型

通过图3看出，本模型将数据安全保护系统分为编程语言层（PL）和操作系统层（OS）的信息流向控制，其中PL层主要实现对数据对象的标记和追踪，实现对细粒度的安全保护。OS层主要为上层的Java VM提供可与DIFC信息流控制相关的系统，并通过上下文传递给OS层，OS线程再根据细粒度中提供的保护策略对数据进行保护，实现统一的安全策略。

4.3 OS层保护实现机制

要实现对不同信息流的标记，关键是要实现操作系统与保护系统之间不同元数据的标记。而OS中的标记和程序代码中的数据对象表示式在一个空间之内。在对敏感文件进行标记中，需要满足信息流规则约束，即对于进程主体标记{Sp，Ip}，可创建标记文件{Sf，If}，则有：

线程主体的能力集可使其获得{Sp，Ip}的标记，并标记父目录，防止在创建时候出现泄漏的问题。

4.4模型安全性证明

下面对模型的安全性进行证明，并分析特权集合存在时候必须具备的安全约束条件。

定理1：（ℓ，⊑）是偏序集合。

根据蕴含关系→自身具有的传递性和自反性可以得到⊑也存在传递性和自反性。对∀L1，L2∈ℓ，L1⊑L2，L2⊑L1⊦L1=L2，由此，根据定义1可以得出L为唯一标识，因此，⊑具有反对称性。由此可证明（ℓ，⊑）为偏序集。

而通过定理1表明，上述的符号构成了安全类“格”，并被后续的信息流语义证明是安全的。

定理2：给定特权P、P'，对任意的L1，L2∈ℓ，如果P→P'，且L1⊑p’L2成立，则L1⊑pL2。

证明：根据定义4则有，对于任意的L1，L2∈ℓ，如果L1⊑p’L2成立，则存在S2∧P'→S1，并且有I1∧P'→I2。而根据P→P'，则可以推断出S2∧P→S1且I1∧P→I2，由此根据P→P'，可以证明L1⊑pL2。

而通过定义4可以看出，对于任意的特权P'可解密或者是签注一个实体，那么与之对应的具有特权P的也可执行相同操作。由此可以证明对具有特权的主体来讲，必须对其进行安全约束，才能保障安全。

5算法验证

为验证上述提出的动态模型的可信性，选择4台CPU：Intel Corei5-2410M，内存为4G的电脑，服务器CentOS 6.5，其中一台为Master节点，三台为Slave节点，虚拟机监视器Xen4.0，操作系统为Linux内核版。验证文件大小为10G，文件数量为1000块，默认的文件块大小为8MB，默认副本数量为3。通过实验得到如图4所示，可以看出本文采用的数据安全模型的有效检测性要高于传统的模型，从而表示在不同进程下本文提出的数据保护模型要好于传统的。

图4 检测有效性

6结语

本文根据当前在数据完整性保护方面存在的问题，提出一种多级安全策略的数据安全保护模型，并通过搭建实验环境和结合定理对模型进行了验证，证明上述算法的有效性和可行性，从而为数据安全性的保护提供了一种更为严格的安全保护方法。

［1］赵波，严飞，张立强，等.可信云计算环境的构建［J］.中国计算机学会通讯，2012，7（8）：28-34.

ZHAO Bo，YAN Fei，ZHANG Liqiang，et al.Construction of trusted cloud computing environment［J］.Communica⁃tions ofthe CCF，2012，7（8）：28-34.

［2］Baoyu An，Liang Zhou，Zhe Gong，et al.Light-weight Proofs of Retrievability in Cloud Archive Storage with Replications［J］.International Journal of Digital Con⁃tent Technology and its Applications，2012，6（10）：127-135.

［3］吴泽智.细粒度信息流控制模型及其关键技术研究［D］.北京：解放军信息工程大学，2015.

WU Zezhi.Fine grained information flow control model and its key technology research［D］.Beijing：The PLA In⁃formation Engineering University，2015.

［4］江凌波，马超，王加玉.DFCM：以数据为中心的安全控制机制［J］.计算机工程与应用，2015，12：55-62.

JIANG Lingbo，MA Chao，WANG Jiayu.DFCM：data cen⁃tric security control mechanism［J］.computer engineering and application，2015，12：55-62.

［5］李琳，钱进，张永新，等.软件即服务模式下租户多副本数据存储完整性问题研究［J］.南京大学学报（自然科学），2016（2）：324-334.

LI Lin，QIAN Jin，ZHANG Yongxin，et al.Software as a service model under the multi tenant store a copy of data integrity problems［J］.Journal of Nanjing University（NATURAL SCIENCE），2016（2）：324-334.

［6］谭霜，贾焰，韩伟红.云存储中的数据完整性证明研究及进展［J］.计算机学报，2015（1）：164-177.

TAN Shuang，JIA Yan，HAN Weihong.Data integrity that cloud storage in research and development of［J］.comput⁃er，2015（1）：164-177.

［7］付艳艳，张敏，陈开渠，等.面向云存储的多副本文件完整性验证方案［J］.计算机研究与发展，2014（7）：1410-1416.

FU Yanyan，ZHANG Min，CHEN Kaiqu，et al.Multi copy file integrity verification scheme for cloud storage［J］.com⁃puter research and development，2014（7）：1410-1416.

［8］查雅行，罗守山，卞建超，等.基于多分支认证树的多用户多副本数据持有性证明方案［J］.通信学报，2015（11）：80-91.

ZHA Yaxing，LUO Shoushan，BIAN Jianchao，et al.Based on the multi branch tree authentication multi-user multi copy data holds proof scheme［J］.Journal on communica⁃tions，2015（11）：80-91.

Construction of Cloud Computing Data Integrity Protection Model Based on MultiLevelSecurity Policy

GONG Jianfeng
（Maoming Polytechnic，Maoming 525000）

In order to improve the security ofuser data in the cloud computing environment，in addition to ensure thatthe tra⁃ditional static data security element can not meet the security requirements，in this paper，a data integrity protection model is pro⁃posed，which is based on a variety ofsecurity policies，including static data and dynamic data.For the establishmentofuser trustin security static data cloud storage platform，a dynamic update and publicly verified data integrity protection scheme is proposed，which provides remote data integrity verification for the users decentralized information flow controlbased on the theory，a decentral⁃ized information flow control model is proposed to protect data security，in order to achieve the fine-grained tracking of data ob⁃jects，and fordifferentusers ofcloud computing data isolation and protection.

static data，dynamic data，integrity protection，distributed information flow，cloud storage

TP393

10.3969/j.issn.1672-9722.2017.08.035

2017年2月5日，

2017年3月20日

龚建锋，男，硕士，讲师，研究方向：计算机网络技术。