沈迪爾 李欣

摘 要：目前圍繞如何確保云端個(gè)人數(shù)據(jù)被徹底銷毀的社會(huì)關(guān)注愈加熱切。數(shù)據(jù)可銷毀性是衡量云服務(wù)提供商是否可信的重要指標(biāo)。針對目前數(shù)據(jù)可銷毀性定義不統(tǒng)一，且缺乏客觀的第三方檢測工具的問題，對現(xiàn)有服務(wù)等級協(xié)議（SLA）進(jìn)行對比與分析，明確數(shù)據(jù)銷毀關(guān)鍵時(shí)間點(diǎn)，進(jìn)一步規(guī)范數(shù)據(jù)可銷毀性的定義，從第三方角度提出一種客觀檢測方法。實(shí)驗(yàn)結(jié)果表明，該方法具有較高的有效性，可為未來研究打下基礎(chǔ)。

關(guān)鍵詞：云平臺;服務(wù)等級協(xié)議;數(shù)據(jù)可銷毀性;數(shù)據(jù)擦除

DOI：10. 11907/rjdk. 182228

中圖分類號：TP306文獻(xiàn)標(biāo)識碼：A文章編號：1672-7800（2019）002-0024-04

Abstract：How to ensure that the personal data in the cloud can be destroyed completely is increasingly deeply concerned by the public. Feasibility of data-destruction is an important metric to measure the credibility of cloud service providers. Aiming at the problem that the current definition of the feasibility of data-destruction is not integrated and the lack of objective third-party testing tools， from the angel of the key time points for data destruction， we make research and analysis of the existing service level agreement （SLA）， further define the feasibility of data-destruction， and propose an objective detection method from the perspective of a third party. Experimental results show that the method is effective， which lays the foundation for further research.

Key Words：cloud platform; service level agreement; feasibility of data-destruction; data overwriting

0 引言

由于云計(jì)算的外包特性，用戶實(shí)際得到的只是數(shù)據(jù)邏輯管理權(quán)，失去了對數(shù)據(jù)的物理控制[1]。大量用戶數(shù)據(jù)若在被邏輯刪除之后依然殘留在云中，其隱私和敏感數(shù)據(jù)也容易在資源轉(zhuǎn)售中產(chǎn)生數(shù)據(jù)遷移和泄露。當(dāng)用戶進(jìn)行刪除操作、終止使用云服務(wù)時(shí)，如何確定刪除操作是否不可逆成為重點(diǎn)關(guān)注問題。目前，在眾多云服務(wù)提供商的SLA中，對數(shù)據(jù)可銷毀性的定義不統(tǒng)一、不全面，同時(shí)，缺乏一個(gè)客觀機(jī)制檢測SLA是否達(dá)標(biāo)[2]。

傳統(tǒng)存儲(chǔ)環(huán)境中用戶即使擁有絕對物理控制權(quán)，在不進(jìn)行專業(yè)復(fù)寫或消磁操作前，被刪除的數(shù)據(jù)實(shí)際上仍可以通過數(shù)據(jù)恢復(fù)技術(shù)還原或部分修復(fù)[3-6]。云計(jì)算技術(shù)提供的存儲(chǔ)服務(wù)仍存在這樣的風(fēng)險(xiǎn)，甚至在失去實(shí)際物理控制權(quán)的情況下，該風(fēng)險(xiǎn)大幅增加。

針對上述安全問題，國內(nèi)外研究目前主要集中于可確定刪除技術(shù)（Data Assured Deletion）。Perman[7-9]設(shè)計(jì)了第一個(gè)確定刪除文件的系統(tǒng)原型Ephemerizer，通過將秘鑰和密文分開管理，在合適的時(shí)間銷毀秘鑰使密文不可恢復(fù);在此基礎(chǔ)上，Tang等[10-11]考慮到不同文件應(yīng)具有不同訪問控制策略以實(shí)現(xiàn)對文件細(xì)粒度安全訪問，提出FADE方案。但上述集中管理秘鑰的方式過于依賴可信服務(wù)器，容易出現(xiàn)單點(diǎn)失效的問題， 為此，Geambasu等[12]首次提出Vanish原型系統(tǒng)，利用DHT網(wǎng)絡(luò)分布式和周期性更新的特點(diǎn)實(shí)現(xiàn)秘鑰分散管理和刪除;薛靚[13]提出一個(gè)可證明的數(shù)據(jù)刪除方法，允許云服務(wù)器生成一個(gè)簡潔的證明，使用戶相信數(shù)據(jù)被完整地刪除;王敏燊等[14]通過對DHT各網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行信任評估以提高密文刪除可信度;Mo等[15]提出一個(gè)無需秘鑰管理第三方的細(xì)粒度可確定刪除方案，可消除對可信服務(wù)器的依賴性。

現(xiàn)有研究基本集中于提高云服務(wù)商存儲(chǔ)數(shù)據(jù)自身安全性，在直接審查云端數(shù)據(jù)可銷毀性相關(guān)方面還缺乏行之有效的解決方案。

云服務(wù)商簽訂服務(wù)等級協(xié)議（SLA）直接定義服務(wù)類型、服務(wù)質(zhì)量和客戶付款等術(shù)語。若能以第三方監(jiān)察機(jī)構(gòu)的身份審計(jì)云服務(wù)商是否真實(shí)履行承諾，從SLA檢測的角度保證數(shù)據(jù)銷毀可信性，不僅可以方便確認(rèn)責(zé)任歸屬，還可在很大程度上督促云服務(wù)商履行自己的承諾。

在SLA檢測研究領(lǐng)域，目前中國工業(yè)和信息化部主導(dǎo)的數(shù)據(jù)中心聯(lián)盟研發(fā)了云眾測項(xiàng)目，但是該業(yè)務(wù)大多數(shù)SLA指標(biāo)（如可銷毀性測試）是通過專家審計(jì)打分的形式完成的，主觀性較強(qiáng)，缺乏客觀說服力。

針對上述問題，本文對數(shù)據(jù)可銷毀性的定義進(jìn)行完善，并提出一個(gè)結(jié)合客觀檢測和人工審查的第三方檢測流程，通過實(shí)驗(yàn)證明該方法可行性和有效性。

1 云服務(wù)數(shù)據(jù)可銷毀性

云計(jì)算服務(wù)的外包模式使用戶無需關(guān)心計(jì)算機(jī)底層邏輯關(guān)系即可完成數(shù)據(jù)存儲(chǔ)和計(jì)算操作，但與此同時(shí)，用戶自身也失去了數(shù)據(jù)控制權(quán)，因此用戶十分關(guān)心自己銷毀的數(shù)據(jù)是否無法被他人獲取。

目前主流云服務(wù)商在SLA中均提供關(guān)于可銷毀性的不同指標(biāo)。表1總結(jié)歸納出部分云服務(wù)商指標(biāo)。

從表1可以看出，不同云服務(wù)商SLA數(shù)據(jù)銷毀方法各不相同，并且沒有提供客觀檢測方案。因此，需要對SLA可銷毀性進(jìn)行規(guī)范化定義，并補(bǔ)充檢測方案，以保證云計(jì)算服務(wù)中數(shù)據(jù)可銷毀性的客觀性和可檢測性。

云服務(wù)數(shù)據(jù)可銷毀性指云服務(wù)商在合同終止后、設(shè)備轉(zhuǎn)售前，有能力且必須對相關(guān)數(shù)據(jù)進(jìn)行不可逆的刪除操作，在設(shè)備棄置前或用戶付費(fèi)請求時(shí)有能力且必須對相關(guān)設(shè)備進(jìn)行物理消磁操作，并保留可供審查的日志。該定義中的“不可逆的刪除操作”指以現(xiàn)有數(shù)據(jù)恢復(fù)手段無法恢復(fù)的各類技術(shù)操作。目前公認(rèn)可行的技術(shù)主要有全零寫入、全一寫入、隨機(jī)寫入等不同方式[16]，云服務(wù)商可使用任意組合技術(shù)進(jìn)行數(shù)據(jù)銷毀。在定義中，可明確兩個(gè)具體操作關(guān)鍵時(shí)間點(diǎn)：T1指合同終止后、設(shè)備轉(zhuǎn)售前;T2指設(shè)備棄置前或用戶付費(fèi)請求時(shí)。

2 數(shù)據(jù)可銷毀性檢測方法

2.1 云計(jì)算存儲(chǔ)策略

云服務(wù)商在進(jìn)行數(shù)據(jù)存儲(chǔ)時(shí)，通常會(huì)考慮傳輸開銷、冗余備份等因素，將云端大數(shù)據(jù)劃分為若干有序的邏輯數(shù)據(jù)塊，然后通過自身平臺云存儲(chǔ)策略索引將劃分完成的邏輯數(shù)據(jù)塊存儲(chǔ)在云服務(wù)商存儲(chǔ)介質(zhì)中。文獻(xiàn)[17-18]指出不同云服務(wù)商存儲(chǔ)策略各不相同，但對于任何數(shù)據(jù)均可根據(jù)存儲(chǔ)策略得到云租戶在云存儲(chǔ)服務(wù)平臺中的存儲(chǔ)路徑映射Mappingstorage_path ={Data. （Pi（M1，M2，M3，…，Mj））}，其中Pi （M1，M2，M3，…，Mj）表示序號為i的存儲(chǔ)服務(wù)提供者擁有的第j個(gè)介質(zhì)。

2.2 檢測原理

在傳統(tǒng)介質(zhì)數(shù)據(jù)銷毀檢測中，檢測方可直接對硬盤進(jìn)行磁道和block掃描以判斷數(shù)據(jù)是否可恢復(fù)。而在云計(jì)算環(huán)境下，用戶可訪問虛擬機(jī)提供的公開服務(wù)，但無法知曉虛擬機(jī)調(diào)度信息，直接在虛擬機(jī)中檢測是不客觀的。

根據(jù)定義，在測試環(huán)境下，第三檢測方在獲得云服務(wù)商存儲(chǔ)策略后，可對虛擬機(jī)存儲(chǔ)數(shù)據(jù)進(jìn)行溯源，從而在宿主機(jī)中進(jìn)行數(shù)據(jù)可銷毀性檢測。通過對宿主機(jī)硬盤磁道和block檢查01序列和數(shù)據(jù)讀取恢復(fù)，確定云服務(wù)商可銷毀性是否達(dá)標(biāo)。

2.3 安全假設(shè)

為保證檢測結(jié)果可靠，本文假設(shè)云服務(wù)商不可信，有可能在可銷毀性檢測時(shí)提供錯(cuò)誤存儲(chǔ)路徑以干擾檢測真實(shí)性。在獲得云服務(wù)商提供的存儲(chǔ)路徑后，需要進(jìn)行一次可信驗(yàn)證以保證路徑正確性。

2.4 云存儲(chǔ)可銷毀性檢測步驟

第三方對可銷毀性進(jìn)行測試步驟，總體上分為準(zhǔn)備、可信驗(yàn)證、逆向恢復(fù)、檢測銷毀方式和審核銷毀日志5個(gè)階段組成，具體原理和對應(yīng)時(shí)間點(diǎn)如圖1所示。

（1）準(zhǔn)備階段。云服務(wù)商需要向第三方提供一個(gè)初始化測試虛擬機(jī)，并且提供實(shí)際存儲(chǔ)路徑以供第三方對存儲(chǔ)進(jìn)行溯源，用于后續(xù)驗(yàn)證。

（2）可信驗(yàn)證階段。首先在測試虛擬機(jī)中寫入測試數(shù)據(jù)集，進(jìn)行MD5記錄。完成上述步驟后，在獲得的存儲(chǔ)路徑中讀取數(shù)據(jù)塊，進(jìn)行MD5記錄并與測試數(shù)據(jù)集比較。

（3）逆向恢復(fù)階段。第三方刪除測試虛擬機(jī)，在獲得的存儲(chǔ)路徑中調(diào)用數(shù)據(jù)恢復(fù)工具進(jìn)行數(shù)據(jù)恢復(fù)。

（4）檢測銷毀方式階段。依據(jù)第三方檢測獲得的存儲(chǔ)路徑中磁盤01序列，判斷是否與SLA承諾的銷毀方式一致。

（5）審核銷毀日志階段。 第三方人工審查云服務(wù)商提供的銷毀磁盤日志是否符合標(biāo)準(zhǔn)。第三檢測方對數(shù)據(jù)可銷毀性檢測流程如圖2所示。

3 實(shí)驗(yàn)與分析

本文在實(shí)驗(yàn)云環(huán)境下，用3個(gè)實(shí)驗(yàn)驗(yàn)證檢測流程可行性和客觀性。

3.1 環(huán)境搭建

本次實(shí)驗(yàn)云平臺采用Openstack L版，在3臺操作系統(tǒng)為Linux內(nèi)核3.0、centos7，內(nèi)存為128GB的服務(wù)器OS01、OS02、OS03上搭建。外接三臺Ceph存儲(chǔ)服務(wù)器OS04、OS05、OS06，總存儲(chǔ)容量30TB，單個(gè)運(yùn)行內(nèi)存為64GB。調(diào)用軟件Extundelete與WxHexedit。

因本文研究的是云存儲(chǔ)可銷毀性檢測，所以本次實(shí)驗(yàn)假設(shè)、測試虛擬機(jī)存儲(chǔ)空間均來自存儲(chǔ)資源池，計(jì)算資源池僅提供虛擬機(jī)基本計(jì)算能力。測試虛擬機(jī)通過OS01跳板登陸，用戶名為ppsuc，操作系統(tǒng)為Ubuntu16.04。具體架構(gòu)如圖3所示。

3.2 可信驗(yàn)證實(shí)驗(yàn)（實(shí)驗(yàn)1）

以O(shè)S04服務(wù)器為例，磁盤掛載情況如圖4所示，為模擬云存儲(chǔ)環(huán)境，實(shí)驗(yàn)調(diào)用fdisk工具將sdb1和sdc1再次分區(qū)出sdb4和sdc4并掛載于測試虛擬機(jī)，分別模擬測試虛擬機(jī)自身存儲(chǔ)和掛載的云硬盤，即sdb4和sdc4是本次實(shí)驗(yàn)的存儲(chǔ)策略和測試虛擬機(jī)的存儲(chǔ)路徑。 sdb4和sdc4具體參數(shù)如圖5所示。

本實(shí)驗(yàn)數(shù)據(jù)用于集中驗(yàn)證存儲(chǔ)路徑的準(zhǔn)確性，以及在后續(xù)逆向恢復(fù)階段判定數(shù)據(jù)是否被銷毀。由于虛擬化技術(shù)的原因，虛擬機(jī)中連續(xù)文件并不總是以連續(xù)block形式出現(xiàn)在存儲(chǔ)路徑中，所以本次試驗(yàn)采用較小的block以提高實(shí)驗(yàn)成功率。數(shù)據(jù)集由大小為1KB的相同文本文檔組成，總數(shù)為10 000個(gè)，內(nèi)容均為字符串。

在測試虛擬機(jī)中寫入測試數(shù)據(jù)集，記錄MD5值后關(guān)閉虛擬機(jī)。登陸Ceph服務(wù)器以root身份卸載sdb4，使用命令mkfs.vfat將其格式化為vfat后，掛載至測試目錄 /home/sdr/test，運(yùn)行extundelete，掃描sdb4后提取出第一個(gè)可以恢復(fù)的inode，輸出目標(biāo)文件并與MD5值對比。實(shí)驗(yàn)結(jié)果如表2所示。

實(shí)驗(yàn)結(jié)果顯示，該存儲(chǔ)路徑為云服務(wù)商真實(shí)存儲(chǔ)策略，證明了該檢測方法可行。

3.3 逆向恢復(fù)實(shí)驗(yàn)（實(shí)驗(yàn)2）

在測試虛擬機(jī)云硬盤中寫入測試數(shù)據(jù)集后，刪除虛擬機(jī)。不采取任何操作，登陸Ceph服務(wù)器，以root身份卸載sdc4，格式化為vfat后，掛載至 /home/sdr/test，使用如下命令恢復(fù)所有文件：

逆向恢復(fù)數(shù)據(jù)存儲(chǔ)于當(dāng)前路徑中RECOVER_FILES文件夾，如圖6所示。

記錄此次恢復(fù)文件數(shù)量S1后，調(diào)用十六進(jìn)制編輯器WxHexedit，讀取3段偏移量中Block的01序列，記錄后用于實(shí)驗(yàn)3原始數(shù)據(jù)比對。

再次調(diào)用WxHexedit，對磁盤進(jìn)行一次全零擦除，輸入相同命令恢復(fù)所有文件，記錄本次文件恢復(fù)數(shù)量S2 ，實(shí)驗(yàn)結(jié)果如表3所示。

由實(shí)驗(yàn)結(jié)果可知，若云服務(wù)商對合同到期的虛擬機(jī)采取任何銷毀操作，則可恢復(fù)部分殘留數(shù)據(jù)，證明該方法有效性;但另一方面，由于虛擬化[19-20]的原因，不采取任何操作時(shí)只能恢復(fù)較少數(shù)據(jù)，在極限情況下，恢復(fù)數(shù)逼近0，在實(shí)際云環(huán)境中，會(huì)影響檢測準(zhǔn)確性。

3.4 檢測銷毀方式實(shí)驗(yàn)（實(shí)驗(yàn)3）

在實(shí)驗(yàn)2的基礎(chǔ)上，調(diào)用十六進(jìn)制編輯器WxHexedit對sdc4進(jìn)行磁盤擦除。首先進(jìn)行一次全零擦除，并用Wxhexedit讀取block 16進(jìn)制排列，結(jié)果如圖7所示。

重復(fù)上述步驟，分別進(jìn)行全一擦除、隨機(jī)擦除、隨機(jī)Block零擦除、隨機(jī)block隨機(jī)數(shù)擦除后，記錄不同偏移量之間16進(jìn)制數(shù)，實(shí)驗(yàn)結(jié)果如表4所示。

實(shí)驗(yàn)結(jié)果表明，在云服務(wù)商實(shí)施SLA承諾的銷毀方式后，原始Block的01序列會(huì)發(fā)生改變。假設(shè)云服務(wù)商為獲得更多經(jīng)濟(jì)利益，采用隨機(jī)Block擦除的方式減少擦除時(shí)間成本，會(huì)大幅增加數(shù)據(jù)外流的風(fēng)險(xiǎn)。在這種情況下，可通過實(shí)驗(yàn)2判定數(shù)據(jù)銷毀性不達(dá)標(biāo)。

但該方法仍有不足之處，由表4可知，隨機(jī)擦除方式會(huì)產(chǎn)生偽隨機(jī)序列填充Block，無法準(zhǔn)確判斷云服務(wù)商采用的是隨機(jī)擦除還是隨機(jī)block隨機(jī)數(shù)擦除。

根據(jù)可銷毀性的定義，上述3個(gè)實(shí)驗(yàn)證明在T1時(shí)間段，本文提出的檢測方案可對云服務(wù)商SLA數(shù)據(jù)可銷毀性進(jìn)行客觀有效的檢測。在T2時(shí)間段內(nèi)，云服務(wù)商需提供相應(yīng)銷毀記錄日志，供第三方人工審查，至此，檢測流程結(jié)束。

4 結(jié)語

本文對目前主流云服務(wù)商SLA中數(shù)據(jù)可銷毀性指標(biāo)進(jìn)行全方位研究，對云存儲(chǔ)可銷毀性提出了更為具體的定義，并從第三檢測方角度提出一種全新的檢測方案，通過3個(gè)階段模擬實(shí)驗(yàn)，驗(yàn)證了檢測方案可行性和有效性。但在逆向恢復(fù)階段，該方案準(zhǔn)確性有待提高，并且無法檢測出部分銷毀方式，如何提高檢測全面性是下一步研究重點(diǎn)。

參考文獻(xiàn)：

[1] 丁滟， 王懷民， 史佩昌，等. 可信云服務(wù)[J]. 計(jì)算機(jī)學(xué)報(bào)， 2015， 38（1）：133-149.

[2] MORIN J H，AUBERT J，GATEAU B. Towards cloud computing SLA risk management： issues and challenges[C]. Hawaii International Conference on System Sciences. IEEE Computer Society，2012：5509-5514.

[3] JOUKOV N，PAPAXENOPOULOS H，ZADOK E. Secure deletion myths， issues， and solutions[C]. ACM Workshop on Storage Security and Survivability. ACM， 2006：61-66.

[4] WEI M， GRUPP L M， SPADA F E， et al. Reliably erasing data from flash-based solid state drives[C]. Usenix Conference on File and Storage Technologies， 2011：105-117.

[5] BASIN D， CREMERS C. Keeping data secret under full compromise using porter devices[C]. ACM Computer Security Applications Conference， 2010：241-250.

[6] LUO Y， XU M， FU S， et al. Enabling assured deletion in the cloud storage by overwriting [C]. the 4th ACM International Workshop， 2016：17-23.

[7] PERLMAN R. File system design with assured delete[C]. Third IEEE International Security in Storage Workshop （SISW）， 2005： 83-88.

[8] PERLMAN R. File system design with assured delete[C].? The 14th Annual Network & Distributed System Security， 2007： 1-7.

[9] PERLMAN R. The Ephemerizer： making data disappear[M]. Sun Microsystems， Inc. 2005.

[10] TANG Q. Timed-Ephemerizer： make assured data appear and disappear[C]. European Workshop of Public Key Infrastructures， Services and Applications， 2009：195-208.

[11] TANG Y， LEE P P C， LUI J C S， et al. FADE： Secure overlay cloud storage with file assured deletion[C]. International ICST Conference on Security and Privacy in Communication Networks， 2010：380-397.

[12] GEAMBASU R， KOHNO T， LEVY A， et al. Vanish： increasing data privacy with self-destructing data[C]. The 18th USENIX Security Symposium， 2009： 299-315

[13] 薛靚.云存儲(chǔ)中的可證明數(shù)據(jù)刪除研究[D].成都：電子科技大學(xué)，2018.

[14] 王敏燊， 熊金波， 林倩，等. 基于密鑰分發(fā)和密文抽樣的云數(shù)據(jù)確定性刪除方案[J]. 計(jì)算機(jī)應(yīng)用， 2018（1）：194-200.

[15] MO Z， QIAO Y， CHEN S. Two-party fine-Grained assured deletion of outsourced data in cloud systems[C]. International Conference on Distributed Computing Systems， 2014：308-317.

[16] GUTMANN P. Secure deletion of data from magnetic and solid-state memory[C]. Proceedings of Usenix Security Symposium， 1996：77-89.

[17] 程宏兵， 容淳銘， 楊庚，等. 基于路徑映射加密的云租戶數(shù)據(jù)安全存儲(chǔ)方案[J]. 南京郵電大學(xué)學(xué)報(bào)：自然科學(xué)版， 2015， 35（3）：89-96.

[18] 王意潔， 孫偉東， 周松，等. 云計(jì)算環(huán)境下的分布存儲(chǔ)關(guān)鍵技術(shù)[J]. 軟件學(xué)報(bào)， 2012， 23（4）：962-986.

[19] 劉亮. 基于虛擬化與分布式技術(shù)的云存儲(chǔ)研究[J]. 電腦知識與技術(shù)， 2012， 08（11）：2641-2642.

[20] 王慶波. 虛擬化與云計(jì)算[M]. 北京：電子工業(yè)出版社， 2009.

（責(zé)任編輯：江 艷）