周洪丞,楊 超,馬建峰,張俊偉

(西安電子科技大學,陜西西安 710000)

?

云端數(shù)據(jù)異地容災驗證方案研究

周洪丞,楊 超,馬建峰,張俊偉

(西安電子科技大學,陜西西安 710000)

云存儲中,應用異地容災備份的方式,可有效防止大規(guī)模停電和天災發(fā)生情況下的數(shù)據(jù)丟失.目前對于異地容災能力的保障大多基于云存儲服務提供商的合同約束,還沒有高效且安全的數(shù)據(jù)異地容災能力驗證機制.針對此問題,本文提出了一種對云端數(shù)據(jù)的異地容災能力進行驗證的方案——DPBDL(Data disaster-tolerant Proving Based on Different Location),其核心思想是使用時延與數(shù)據(jù)可恢復性驗證結(jié)合的方法,對云端數(shù)據(jù)的異地容災能力進行遠程驗證;并且,對其安全性和性能進行了理論分析與實際測試,分析與測試結(jié)果表明該方案能夠達到可證明的安全強度,并能較好的判斷云端數(shù)據(jù)的異地容災能力.

云存儲;異地容災;數(shù)據(jù)完整性驗證

1 引言

當使用云存儲時,用戶可能會要求存儲服務商在多個地理位置為其存儲多個文件備份.這樣有多個優(yōu)點:首先,可以在某個存儲數(shù)據(jù)中心地區(qū)發(fā)生大規(guī)模停電或嚴重自然災害時保證數(shù)據(jù)仍然可以被用戶獲得;其次,可以根據(jù)請求的地理位置選擇距離最近的文件備份,并發(fā)送給用戶.

據(jù)我們所知,目前還沒有高效且安全的數(shù)據(jù)異地容災能力驗證機制.所以,亟需一種數(shù)據(jù)的異地容災驗證方案,在損失未發(fā)生時,對云端的數(shù)據(jù)進行異地容災驗證.

早期,RSA公司的Juels和EMC公司的Kaliski提出的基于崗哨的可恢復證明系統(tǒng)POR[1].其基本思想是首先用對稱加密體制將文件加密并用糾錯碼編碼,然后在編碼后文件的一些隨機位置插入和文件數(shù)據(jù)不可區(qū)分的“崗哨”;檢查者在數(shù)據(jù)請求時要求服務器返回一些隨機位置的崗哨.然而,這種方案的缺點在于每次需要消耗掉一個崗哨,此外,在文件需要更新時,需要找出所有未使用的崗哨,然后重新編碼.POR方案只能進行有限的驗證,因此不能很好滿足異地容災驗證的要求.

幾乎與POR同時,Ateniese等人提出了可證明數(shù)據(jù)持有(Provable Data Possession,PDP)模型[2].PDP通過檢查一個小的采樣數(shù)據(jù)塊完整性,來判斷更大數(shù)據(jù)的完整性.但是,此方案計算開銷較大.在數(shù)據(jù)異地容災能力驗證過程中,可能需要對較大的數(shù)據(jù)進行完整性驗證,采用PDP方法會消耗過多的時間,因而并不適用.

后來,Bowers等人[3]建立一個協(xié)議,允許用戶驗證他們的數(shù)據(jù)是否被復制存儲在同一地理位置的多個磁盤上.其思想是,同時讀取多個文件數(shù)據(jù)塊,根據(jù)讀取時間判斷是否在同一磁盤上.但這種方案無法擴展到多個地理位置存儲中.

接下來,Benson等[4]提出了一種驗證云端存儲數(shù)據(jù)是否在聲明的某幾個地理位置的協(xié)議.在此協(xié)議中,用戶指定哪些數(shù)據(jù)中心應該存儲文件備份,他們使用基于傳輸時間的方案,使用多個地標,向多個數(shù)據(jù)中心進行數(shù)據(jù)請求,并假設(shè)已知所有數(shù)據(jù)中心的位置,驗證者如果能夠在某個指定時間內(nèi)獲得數(shù)據(jù),可由此判定數(shù)據(jù)中心存儲有數(shù)據(jù)備份.但是,此方案存在以下問題:

(1)不能驗證容災數(shù)據(jù)完整性.由于未使用數(shù)據(jù)可恢復性驗證方案,客戶端不能驗證文件的完整性.

(2)數(shù)據(jù)中心準確位置難以確定.該方案需要知道所有數(shù)據(jù)中心的準確位置,但實際情況中,大多云存儲服務提供商不會提供數(shù)據(jù)中心的準確位置.

(3)異地容災驗證結(jié)果誤差大.此方案在進行異地容災驗證時,要求服務器將部分驗證文件發(fā)回到地標進行驗證,造成過大的傳輸延遲,因此不能準確判斷地理位置.

近期,Watson等人[5]提出方案,在很大的地理范圍內(nèi)使用地標服務器,并利用數(shù)據(jù)可恢復性算法來驗證數(shù)據(jù)的完整性,從而判斷數(shù)據(jù)被完整的存儲在某個區(qū)域.方案不是確定文件被存儲在多個位置,而是要確定某個地理位置確實存儲有文件的完整備份.但是,這種方案需要借助數(shù)量眾多的地理位置已知的驗證服務器,且此方案的目的是驗證某個確定地理位置存儲有文件的完整備份,而非驗證數(shù)據(jù)的異地容災能力,其與本文針對的問題不盡相同.

關(guān)于驗證云存儲服務商是否達到承諾的存儲容錯問題,其他研究人員針對不同的側(cè)面也進行了相關(guān)研究.例如,文獻[6]提出一種基于約束的數(shù)據(jù)地理定位,使用包括拓撲感知模型的通用模型,并對Amazon S3上的數(shù)據(jù)進行測試.文獻[7,8]討論云環(huán)境下共享同一臺物理機的兩臺虛擬機可能存在信息泄露,設(shè)計一種檢測兩份文件是否存在于同一個物理硬盤的方案.文獻[9]研究如何驗證是否存儲了多個備份,其特點是無需知道文件的存儲布局.文獻[10]允許用戶指定某個地理區(qū)域內(nèi)禁止存放數(shù)據(jù),且使用基于零知識證明和基于屬性的加密.文獻[11,12]使用了帶有GPS的驗證者,并對文件進行分塊,加入隨機字符并加密存儲,將地理位置驗證與云端文件認證相結(jié)合.文獻[13]研究了如何在不可信的與存儲服務器上對損壞的文件進行自我修復.同樣,也有許多方案例如文獻[14,15]等,都對云端數(shù)據(jù)的完整性驗證的問題進行的分析和研究,以及一些關(guān)于云端數(shù)據(jù)確認性刪除的研究[16].但以上文獻研究的問題與本文研究的如何驗證云存儲服務商是否將文件存儲在不同的地理位置從而保證云端數(shù)據(jù)的異地容災能力不同,其提出的方案不能適用于本文針對的場景與問題.

針對上述問題,本文提出了數(shù)據(jù)的異地容災能力驗證DPBDL(Data disaster-tolerant Proving Based on Different Location)方案.方案的基本思路是:首先,利用數(shù)據(jù)可恢復性驗證方案驗證數(shù)據(jù)是否完整的存儲在某個服務器上;其次,利用地標服務器對云端數(shù)據(jù)進行數(shù)據(jù)請求時記錄數(shù)據(jù)請求和響應的時間,利用時間差計算云端數(shù)據(jù)與驗證服務器的距離[17],并利用此距離判斷數(shù)據(jù)是否來源于不同的地點.

2 系統(tǒng)存儲模型

本文考慮的應用場景包括如下四個角色,如圖1所示,用戶(User,U)、云存儲服務提供商(Cloud Storage Service Provider,CSP)、云存儲服務器(Cloud Storage Server,S)、驗證地標(Landmark,L).

用戶User是文件擁有者,他將要在云端存儲的文件進行對稱加密,并添加冗余碼,為其指定分節(jié)數(shù)并生成文件標簽,最后將文件及文件標簽一起上傳至云存儲服務提供商CSP.

云存儲服務商CSP接收到用戶上傳的文件和文件標簽后,根據(jù)用戶要求選擇滿足條件的云存儲服務器S,并根據(jù)云存儲服務器特征碼對文件標簽進行重編碼,最后將文件及重編碼后的標簽發(fā)送給對應的云存放服務器S,將存儲文件的存儲服務器信息返回給用戶.

云存儲服務器S接收云存儲服務提供商發(fā)送來的文件及文件標簽并對其進行存儲,在接收到地標L的數(shù)據(jù)請求時,按照指定參數(shù)對請求進行響應,并將響應結(jié)果返回給發(fā)送請求的地標L.

地標L為地理位置已知的可信服務器,其主要負責生成對云存儲服務器S的數(shù)據(jù)請求,向S發(fā)送數(shù)據(jù)請求和接收S的響應,并對收到的響應進行驗證,判斷云存儲服務器S是否確實按照協(xié)議要求在不同的地理位置完整存儲用戶的文件.

由于本論文的目的是要驗證文件被存儲在不同的地理位置,從而判斷用戶文件是否具有異地容災能力.所以只需要判定數(shù)據(jù)是否存儲在距離較遠的多個云存儲服務器即可,從而體現(xiàn)異地容災能力.而將距離較近的服務器組合認為是一組整體的存儲服務器,他們不具有異地容災能力,也不需要進行異地性的區(qū)分.

3 DPBDL方案設(shè)計型

DPBDL方案主要包括兩個部份:云端數(shù)據(jù)異地性驗證和云端數(shù)據(jù)完整性驗證.云端數(shù)據(jù)異地性驗證完成對數(shù)據(jù)中心是否位于不同地理位置進行驗證;云端數(shù)據(jù)完整性驗證主要完成對云端數(shù)據(jù)的完整存儲進行驗證和判斷的功能,最終實現(xiàn)數(shù)據(jù)的異地容災能力驗證功能.

DPBDL方案特點:

(1)利用比較成熟的數(shù)據(jù)可恢復性驗證方案CPoR[18],在存儲文件的同時,存儲文件的標簽,在進行文件的數(shù)據(jù)可恢復性驗證的時候只需要傳輸少量的數(shù)據(jù),即可對文件的可恢復性進行驗證.從而避免了傳輸大量數(shù)據(jù)對判斷存儲服務器位置操作的判斷誤差.

(2)本方案利用地理位置已知的地標對云存儲服務器的地理位置進行判定,結(jié)合CPoR方案,能夠較準確地利用時延判斷存儲服務器的距離,并區(qū)分不同的存儲服務器.

下面先給出云端數(shù)據(jù)異地性驗證的子方案設(shè)計,然后將其與云端數(shù)據(jù)完整性驗證子方案進行統(tǒng)一,并給出DPBDL整體方案的詳細設(shè)計.

3.1 云端數(shù)據(jù)異地性驗證子方案

我們假設(shè)云存儲服務提供商CSP提供的滿足用戶要求的存儲位置為s1和s2.首先,我們假設(shè)服務商并沒有惡意,而只是為了節(jié)省費用而違反約定,從而沒有按照約定在指定的不同位置進行數(shù)據(jù)存儲.同時,我們做出如下假設(shè):

假設(shè)1 云存儲服務提供商CSP提供的存儲服務器位置都是已知的,并且,所有的數(shù)據(jù)都被存儲在這些數(shù)據(jù)中心中.

假設(shè)2 CSP的不同數(shù)據(jù)中心之間沒有專用的高速網(wǎng)絡連接.

假設(shè)3 對于每一個存儲服務器,都有一個已知地理位置的地標L,且地標L可以直接與所有數(shù)據(jù)中心進行相互通信以及存取數(shù)據(jù).

位置確定具體方案如下:

(3)從L1向s1和s2請求數(shù)據(jù),延遲時間為t11和t21;從L2向s1和s2請求數(shù)據(jù),延遲時間為t12和t21.根據(jù)這些時間,可以計算得到數(shù)據(jù)中心距離L1和L2的距離為:

s1到L1距離

s2到L1距離

s1到L2距離

s2到L2距離

(4)通過測量的時間延遲得到L1、L2之間的距離,可以判斷測得數(shù)據(jù)是否正常:

如果r11+r22>S,可以判定最終畫圖結(jié)果得到的區(qū)域會有相交,如圖2所示;

如果r11+r12

其他情況,能得到兩個不相交的區(qū)域,判定為s1和s2的可能區(qū)域,如圖3所示.

(5)由此可以得到四個圓形方程,分別為:

(1)

(6)首先考慮根據(jù)畫圖得到數(shù)據(jù)中心s1的可能位置.計算兩圓相交區(qū)域中心點距L1距離應該為r11-(r11+r12-S)/2=(S+r11-r12)/2.根據(jù)三角形相似原則得到公式

計算其坐標為

同理,可得到計算s2中心位置的公式如下

計算其坐標為

如果一組數(shù)據(jù)庫在位置上彼此非常接近,我們可以將在某個地理區(qū)域內(nèi)的數(shù)據(jù)中心分為一個組,并且驗證在這個區(qū)域內(nèi)至少存在一份數(shù)據(jù)備份,這也是用戶想要達到的目的.

3.2 DPBDL方案詳細設(shè)計

DPBDL方案的流程如圖4所示.

其詳細設(shè)計步驟如下:

步驟1 利用加鹽數(shù)據(jù){α1,α2,…,αs}和加密后的文件F′,分別計算密文文件F′每一塊文件對應的標簽σi,其計算公式如下:

(2)

步驟2 文件擁有者User根據(jù)需求選擇一個存儲服務器集合C,將密文文件F′及其標簽σi一起上傳云儲存服務商,云存儲服務商將密文文件F′及其標簽σi發(fā)送至服務器集合C中的每一個文件存儲服務器.

步驟3 云存儲服務商Provider為每個文件存儲服務器Storage分配一個唯一的服務器標記ρ,并利用ρ對文件標簽σi進行重編碼,計算過程表示如下.

σρ,i←σi+hskr(ρ)

(3)

其中,skr是文件標簽進行重編碼時使用的密鑰,ρ是存儲服務器的標簽,hskr(ρ) 是以ρ為輸入的哈希算法,σi是文件上傳者生成的第i塊文件的文件標簽,σρ,i是存儲服務器ρ對文件標簽σi進行重編碼后得到的新文件標簽.

步驟4 地標服務器L對文件存儲服務器Storage進行數(shù)據(jù)請求.

(b)地標服務器L使用偽隨機數(shù)生成方案,生成一組數(shù)據(jù)請求Q,發(fā)送給某個文件存儲服務器Storage,并由存儲服務器計算標簽響應值和文件塊響應值,標簽的響應值σρ計算如下:

(4)

文件塊響應值μj的計算公式如下:

(5)

文件存儲服務器Storage將計算得到的標簽響應值σρ和文件響應值{μ}發(fā)送給地標服務器L,地標服務器L接收響應并記錄時間為tre.

步驟5 地標服務器L判斷文件的完整性和地理位置.

(a)地標服務器L使用收到的文件響應值{μ},得到結(jié)果標簽σL,其計算公式如下:

(6)

(b)地標服務器L驗證結(jié)果標簽σL與收到的標簽響應值σρ是否相同,根據(jù)發(fā)送數(shù)據(jù)請求時間tch和接收響應的時間tre,計算存儲服務器與地標服務器L的距離:r=V*(tre-tch);

(c)文件擁有者User分別以所述的地標服務器L、L′的位置為圓心,以r與r′為半徑作圓,用該兩圓的交匯區(qū)域作為存儲服務器Storage的測量位置.

步驟6 文件擁有者User按照步驟5,計算服務器集合C中所有存儲服務器的測量位置,判斷所有存儲服務器測量位置是否滿足User對地理位置的要求.

4 DPBDL方案安全性分析

(7)

我們看到數(shù)據(jù)請求者在攻擊者A的q次協(xié)議執(zhí)行中退出的概率為:

(8)

這個概率是可以忽略的. 證畢

5 DPBDL方案性能分析與評估

據(jù)我們所知,目前還沒有類似針對云端數(shù)據(jù)的異地容災能力進行驗證的可行方案,因此本文與現(xiàn)有的方案沒有可比性,所以本文的測試方案只是分別對云端數(shù)據(jù)的異地存儲驗證DPBDL方案進行測試及DPBDL方案中各參數(shù)對驗證的影響進行測試和分析.

5.1 DPBDL方案性能的理論分析

5.1.1 DPBDL方案的整體性能理論分析

DPBDL數(shù)據(jù)完整性驗證子方案的性能:采用CPOR[11],其在初始化階段的計算開銷為O(ns),在響應階段的計算開銷為O(s),驗證階段的計算開銷為O(s),傳輸開銷為O(s),存儲開銷為O(n),其中n為文件的分塊數(shù),s為文件的分節(jié)數(shù).

總體看來,DPBDL方案的整體計算開銷為O(ns),方案的計算開銷是很小的,即此方案是可行的.

5.1.2 初始化階段與參數(shù)選擇的關(guān)系

每個文件塊的標簽計算需要s次乘法和s次加法,假設(shè)每次加法需要處理時間為t1,每次乘法需要的計算時間是t2.則可以計算每個文件標簽計算時間為s×(t1+t2),而所有文件標簽計算時間之和為

即,文件的所有標簽計算時間應該是與文件的分節(jié)數(shù)無關(guān)的,僅與文件大小成正比.

5.1.3 數(shù)據(jù)請求和驗證階段與參數(shù)選擇的關(guān)系

生成響應的過程中,響應數(shù)據(jù)大小與數(shù)據(jù)塊分節(jié)數(shù)即每節(jié)大小相關(guān).設(shè)數(shù)據(jù)分節(jié)數(shù)為s,每一小節(jié)的文件大小為λ.生成的響應數(shù)據(jù)大小應為(s+1)×λ,在分節(jié)數(shù)和每節(jié)數(shù)據(jù)大小固定的情況下,計算得到的響應數(shù)據(jù)大小是相同的.

為了避免響應數(shù)據(jù)的大小不同對響應傳輸時間造成影響,從而影響對存儲文件距離的估算,我們將響應數(shù)據(jù)的前1024位作為響應標記首先返回至地標,再將響應數(shù)據(jù)整體返回并與響應標記對比.因此,響應標記的返回時間應該與文件大小和分節(jié)數(shù)等無關(guān),而只與云端存儲文件與地標的距離有關(guān).

(9)

可得:

(10)

n、q和c都已知的情況下,可以得到t的計算式為:

(11)

這里我們假設(shè)數(shù)據(jù)塊數(shù)n=1000,每次數(shù)據(jù)請求是數(shù)據(jù)塊數(shù)為20,如果需要數(shù)據(jù)請求的數(shù)據(jù)塊總數(shù)為459塊[19～21],代入上式計算得到t=31,即需要31次測試可以在概率上覆蓋459塊數(shù)據(jù)塊.

5.2 DPBDL方案實際測試與結(jié)果分析

5.2.1 測試場景

為了測試方案對異地存儲文件的性能,我們租用4臺云服務器,服務器具體參數(shù)如表1所示.

表1 云服務器參數(shù)

5.2.2 測試方案

在使用DPBDL方案對云端數(shù)據(jù)異地容災能力進行測試的過程中,我們需要云端數(shù)據(jù)異地性以及云端數(shù)據(jù)完整性驗證的參數(shù)選擇進行測試.

首先,我們分別使用云端主機A、B、C和D對數(shù)據(jù)的異地性進行測試;接著對數(shù)據(jù)可恢復性驗證過程中的各個參數(shù)進行測試分析,分別包括不同分節(jié)數(shù)、不同文件大小和不同數(shù)據(jù)請求組數(shù),具體方案分為如下四點.

(1)數(shù)據(jù)的異地性測試.

(a)學習階段:使用主機A和B作為存儲服務器和地標服務器,并分別進行100組測試;

(b)測量時間:使用主機A和主機B作為地標驗證服務器,主機C和主機D作為數(shù)據(jù)存儲服務器,分別進行100組測試,并選擇100組測試結(jié)果的中值作為每兩個主機之間的延遲時間.

(2)對于固定大小的文件,分別將文件分節(jié)數(shù)設(shè)置為100、200、400、800、1600、3200和6400,并驗證產(chǎn)生數(shù)據(jù)標簽的大小、計算標簽的時間、響應數(shù)據(jù)的大小、響應數(shù)據(jù)的計算時間、響應傳輸時間以及驗證時間.

(3)針對不同大小的文件,采用相同的分節(jié)數(shù),文件大小包括100KB、1MB、10MB、100MB和1GB的文件,分別測試響應數(shù)據(jù)的大小和驗證時間.

(4)針對相同大小的文件和相同的分節(jié)數(shù),采用不同的數(shù)據(jù)請求組數(shù),分別測量響應大小、數(shù)據(jù)請求時間、響應計算時間、傳輸時間以及驗證時間.

5.2.3 測試結(jié)果與分析

(1)數(shù)據(jù)異地性驗證方案準確性測試

(a)學習階段:結(jié)果如圖5所示.

為了學習階段的準確性,我們分別進行了100組測試,分別得到測試階段時間的最低值、最高值、平均值和中值.計算得到,L1對L2進行測試的時間最小值為34194μs,中值為34364μs,L2對L1進行測試的時間最小值為34098μs,中值為34328μs,我們使用測量結(jié)果中的兩個中值的平均值34346μs作為測試結(jié)果，如圖6所示.

由圖6可以看出,使用L2對L1進行數(shù)據(jù)請求的時間無論最大值、最小值或平均值都小于L1對L2的數(shù)據(jù)請求.經(jīng)測試發(fā)現(xiàn),兩個方向的路由不完全相同,因此造成了一定的差異,但由于差異很小,可以忽略不計.

(b)測量階段:結(jié)果如圖7所示.

由圖7可以看出無論L1或L2對存儲服務器S1進行數(shù)據(jù)請求時,都會有一些測試時間遠大于其他值,由此我們推測,迅速互聯(lián)所提供的服務器網(wǎng)絡情況并不穩(wěn)定.

我們在百度地圖上測量北京與杭州之間的距離為1130km.根據(jù)之前學習階段和測試階段的時間,可以在百度地圖上畫出相應的距離半徑.根據(jù)測試階段得到的時間,可以計算出地標與存儲服務器之間的距離,分別得到L1-S1距離為117.3km,L1-S2距離為998.5km,L2-S1距離為1101.2km,L2-S2距離為214km.在地圖上分別以L1和L2為圓心,以相應距離為半徑畫圓,得到圖8.

由圖8可以看出,有北京和杭州的地標服務器發(fā)出了數(shù)據(jù)請求,將位于北京和上海的存儲服務器進行數(shù)據(jù)請求的時間,轉(zhuǎn)換為在地圖上的顯示距離.根據(jù)此測試時間計算得到的存儲服務器位于相距很遠的不同地理位置.

我們可以使用之前得到的公式,計算出兩個存儲服務器之間的距離,我們得到r11=117.3km,r12=998.5km,r21=1101.2km,r22=214km.

(2)分節(jié)數(shù)對方案性能的影響

隨著分節(jié)數(shù)s的增大,在可恢復性證明中的性能變化.如圖9～12所示.

圖9產(chǎn)生的原因是,隨著分節(jié)數(shù)s的增多,分塊數(shù)n是在不斷減小的,每塊文件生成的tag大小是固定的λ位,所以生成的tag總大小是會隨著減小的.

圖10產(chǎn)生的原因是,對于不同的分塊和分節(jié)方案,都需要對每一節(jié)文件進行處理,而且在計算過程中是在Zp域內(nèi)進行的,不會因為參與計算的數(shù)據(jù)塊數(shù)增多而是數(shù)據(jù)量變得很大從而減慢計算速度.

圖11產(chǎn)生的響應數(shù)量是與文件的分節(jié)數(shù)相關(guān)聯(lián)的,即響應塊數(shù)量與分節(jié)數(shù)相同,而與文件大小及分塊數(shù)量n無關(guān).

圖12原因是在進行計算前的準備階段和結(jié)束階段花費了一定的時間,而進行計算響應的時間基本上是成倍增長的.

對不同分節(jié)數(shù)情況下響應的傳輸時間進行測量.結(jié)果如圖13所示.

驗證地理位置的響應使用的是響應結(jié)果的前1024字節(jié).在接收完驗證地理位置的信息后再傳輸完整的驗證結(jié)果并進行比對.如圖14所示.

由圖14可以看出,對于不同的文件大小應該選擇的文件分節(jié)數(shù)不完全相同.

(3)文件大小對方案性能的影響

隨著文件大小的增加,tag大小、計算tag時間等數(shù)據(jù)都是增加的.響應大小基本保持不變原因是響應大小是與文件分節(jié)數(shù)相關(guān)的,在采用相同分節(jié)數(shù)的情況下,數(shù)據(jù)請求大小基本保持不變,如圖15所示.

圖15從側(cè)面證明了需要針對不同的文件大小選擇不同的分節(jié)數(shù),否則在文件大小增大時可能會使驗證時間急劇增大.

(4)數(shù)據(jù)請求數(shù)對方案性能的影響

具體結(jié)果如圖16所示.圖16產(chǎn)生的原因是,數(shù)據(jù)請求數(shù)量增多,計算響應時參與計算的文件塊數(shù)增多,因此對應的計算時間也會增加.

6 結(jié)論

云計算越來越受到當今學術(shù)界和企業(yè)界的關(guān)注.在發(fā)生大規(guī)模停電和天災時要防止數(shù)據(jù)丟失,其關(guān)鍵是實現(xiàn)云端數(shù)據(jù)的異地備份容災.在現(xiàn)有的云存儲環(huán)境下,還沒有一種對云端數(shù)據(jù)的異地備份進行驗證的可行方法.針對該問題,本文提出了一種基于數(shù)據(jù)可恢復性驗證的數(shù)據(jù)多地理位置驗證方案.該方案中,用戶不需要下載數(shù)據(jù),就可以對數(shù)據(jù)的多地理位置及數(shù)據(jù)完整性進行檢查.性能分析和測試證明該方案具有較低的計算、存儲和傳輸負載.下一步研究的重點是在進行申請第三方公開性驗證時,如何確保數(shù)據(jù)的機密性,或者不需要引入可信第三方就可以實現(xiàn)公開性驗證,以及如何對動態(tài)數(shù)據(jù)的持有性進行多副本的驗證等[22～24].

[1]Juels A,Kaliski Jr B S.PORs:Proofs of retrievability for large files[A].Proceedings of the 14th ACM Conference on Computer and Communications Security[C].USA:ACM,2007.584-597.

[3]Bowers K D,van Dijk M,Juels A,et al.How to tell if your cloud files are vulnerable to drive crashes[A].Proceedings of the 18th ACM Conference on Computer and Communications Security[C].USA:ACM,2011.501-514.

[4]Benson K,Dowsley R,Shacham H.Do you know where your cloud files are?[A].Proceedings of the 3rd ACM Workshop on Cloud Computing Security Workshop[C].USA:ACM,2011.73-82.

[5]Watson G J,Safavi-Naini R,Alimomeni M,et al.LoSt:location based storage[A].Proceedings of the 2012 ACM Workshop on Cloud Computing Security Workshop[C].USA:ACM,2012.59-70.

[6]Gondree M,Peterson Z N J.Geolocation of data in the cloud[A].Proceedings of the Third ACM Conference on Data and Application Security and Privacy[C].USA:ACM,2013.25-36.

[7]Wang Z,Sun K,Jajodia S,et al.Disk storage isolation and verification in cloud[A].IEEE Global Communications Conference (GLOBECOM)[C].USA:IEEE,2012.771-776.

[8]Wang Z,Sun K,Jing J,et al.Verification of data redundancy in cloud storage[A].Proceedings of the 2013 International Workshop on Security in Cloud Computing[C].USA:ACM,2013.11-18.

[9]Wang Z,Sun K,Jajodia S,et al.Terracheck:Verification of dedicated cloud storage[A].Data and Applications Security and Privacy XXVII[M].Berlin Heidelberg:Springer,2013.113-127.

[10]Noman A,Adams C.Providing a data location assurance service for cloud storage environments[J].Journal of Mobile Multimedia,2012,8(4):265-286.

[11]Albeshri A,Boyd C,Nieto J G.Geoproof:proofs of geographic location for cloud computing environment[A].Proceedings of the 32nd International Conference on Distributed Computing Systems Workshops (ICDCSW)[C].USA:IEEE,2012.506-514.

[12]Albeshri A,Boyd C,Nieto J G.Enhanced GeoProof:improved geographic assurance for data in the cloud[J].International Journal of Information Security,2014,13(2):191-198.

[13]Chen B,Curtmola R.Towards self-repairing replication-based storage systems using untrusted clouds[A].Proceedings of the Third ACM Conference on Data and Application Security and Privacy[C].USA:ACM,2013.377-388.

[14]BOWERS K D,JUELS A,OPREA A.HAIL:Ahigt-aviailability and integrity layer for cloud storage[A].Proceedings of the 16th ACM Conference on Computer and Communications Security[C].USA:ACM,2009.67-76.

[15]周恩光,李舟軍,郭華,賈仰理.一個改進的云存儲數(shù)據(jù)完整性驗證方案[J].電子學報,2014,42 (1):150-154.

ZHOU En-guang,LI Zhou-jun,GUO Hua,JIA Yang-li.An improved data integrity verification scheme in cloud storage system[J].Acta Electronica Sinica,2014,42 (1):150-154.(in Chinese)

[16]王麗娜,任正偉,余榮威,韓鳳,董永峰.一種適于云存儲的數(shù)據(jù)確定性刪除方法[J].電子學報,2012,40(2):266-272.

WANG Li-na,REN Zheng-wei,YU Rong-wei,HAN Feng,DONG Yong-feng.A data assured deletion approach adapted for cloud storage[J].Acta Electronica Sinica,2012,40(2):266-272.(in Chinese)

[17]沈鋼,魏震,蔡云澤,許曉鳴,何星,張衛(wèi)東.一種實時以太網(wǎng)介質(zhì)訪問控制協(xié)議的時延性能分析[J].電子學報,2003,31(2):175-179.

SHEN Gang,WEI Zhen,CAI Yun-ze,XU Xiao-ming,HE Xing,ZHANG Wei-dong.Delivery delay analysis of a real-time ethernet MAC protocol[J].Acta Electronica Sinica,2003,31(2):175-179.(in Chinese)

[18]Shacham H,Waters B.Compact proofs of retrievability[A].Advances in Cryptology-ASIACRYPT[M].Berlin Heidelberg:Springer,2008.90-107.

[19]Curtmola R,Khan O,Burns R,et al.MR-PDP:Multiple-replica provable data possession[A].Proceedings of the 28th International Conference on Distributed Computing Systems (ICDCS'08)[C].USA:IEEE,2008.411-420.

[20]李超零,陳越,譚鵬許,楊剛.基于同態(tài) hash 的數(shù)據(jù)多副本持有性證明方案[J].計算機應用研究,2013,30(1):265-269.

Li Chao-ling,Chen Yue,Tan Peng-xu,Yang Gang.Multiple-replica provable data possession based on homomorphic hash[J].Application Research of Computers,2013,30(1):265-269.(in Chinese)

[21]Yang C,Ren J,Ma J.Provable ownership of file in de-duplication cloud storage[A].Proceedings of Global Communications Conference (GLOBECOM)[C].USA:IEEE,2013.695-700.

[22]Erway C,Kupcu A,Papamanthou C,et al.Dynamic provable data possession[A].Proceedings of the 16th ACM Conference on Computer and Communications Security[C].USA:ACM,2009.213-222.

[23]李超零,陳越,譚鵬許,楊剛.一種高效的動態(tài)數(shù)據(jù)持有性證明方案[J].小型微型計算機系統(tǒng),2013,34(11):2461-2466.

LI Chao-ling,CHEN Yue,TAN Peng-xu,LI Min,YANG Gang.An efficient provable data possession scheme with data dynamics[J].Journal of Chinese Computer Systems,2013,34(11):2461-2466.(in Chinese)

[24]胡德敏,余星.一種基于同態(tài)標簽的動態(tài)云存儲數(shù)據(jù)完整性驗證方法[J].計算機應用研究,2014,31(5):1362-1365,1395.

HU De-min,YU Xing.Dynamic cloud storage data integrity verifying method based on homomorphic tags[J].Application Research of Computers,2014,31(5):1362-1365,1395.(in Chinese)

周洪丞 男,1989年生,山東威海人.西安電子科技大學碩士,主要研究方向為云計算和存儲安全.

楊 超 男,1979年生,陜西西安人.西安電子科技大學副教授,主要研究方向為密碼學與網(wǎng)絡安全、云計算及移動智能計算安全.

E-mail:chaoyang@mail.xidian.edu.cn

A Study Off-Site Disaster Recovery Performance of Cloud Data

ZHOU Hong-cheng,YANG Chao,MA Jian-feng,ZHANG Jun-wei

(XidianUniversity,Xi’an,Shaanxi710000,China)

Implementation of file fault tolerance is the key to preventing data loss in cloud,especially the off-site disaster recovery,which can prevent large-scale power outage and natural disaster occurs from losing data.Currently disaster recovery guarantees for multi-cloud-based storage service provider agreement.To solve these problems,we propose a remote disaster recovery capability for cloud data to validate the program——DPBDL,whose theory is to use time delay and the proofs of retrievability to check the off-site data recovery of cloud data.Then,we analysis its security and performance theoretically and practically,and the analysis result shows that its security and be able to accurately determine the cloud data off-site disaster recovery capabilities.

cloud storage;off-site disaster recovery;data integrity verification

2015-02-15;

2015-08-31;責任編輯:孫瑤

國家自然科學基金青年基金(No.61303219,No.61472310);陜西省自然科學基礎(chǔ)研究計劃(陜西省自然科學基金)(No.2014JQ8295);中央高校基本科研業(yè)務費(No.JB140303)

TP309

A

0372-2112 (2016)10-2485-10

??學報URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.10.029