沈迪爾 李欣

摘 要：目前圍繞如何確保云端個人數(shù)據(jù)被徹底銷毀的社會關注愈加熱切。數(shù)據(jù)可銷毀性是衡量云服務提供商是否可信的重要指標。針對目前數(shù)據(jù)可銷毀性定義不統(tǒng)一，且缺乏客觀的第三方檢測工具的問題，對現(xiàn)有服務等級協(xié)議（SLA）進行對比與分析，明確數(shù)據(jù)銷毀關鍵時間點，進一步規(guī)范數(shù)據(jù)可銷毀性的定義，從第三方角度提出一種客觀檢測方法。實驗結果表明，該方法具有較高的有效性，可為未來研究打下基礎。

關鍵詞：云平臺;服務等級協(xié)議;數(shù)據(jù)可銷毀性;數(shù)據(jù)擦除

DOI：10. 11907/rjdk. 182228

中圖分類號：TP306文獻標識碼：A文章編號：1672-7800（2019）002-0024-04

Abstract：How to ensure that the personal data in the cloud can be destroyed completely is increasingly deeply concerned by the public. Feasibility of data-destruction is an important metric to measure the credibility of cloud service providers. Aiming at the problem that the current definition of the feasibility of data-destruction is not integrated and the lack of objective third-party testing tools， from the angel of the key time points for data destruction， we make research and analysis of the existing service level agreement （SLA）， further define the feasibility of data-destruction， and propose an objective detection method from the perspective of a third party. Experimental results show that the method is effective， which lays the foundation for further research.

Key Words：cloud platform; service level agreement; feasibility of data-destruction; data overwriting

0 引言

由于云計算的外包特性，用戶實際得到的只是數(shù)據(jù)邏輯管理權，失去了對數(shù)據(jù)的物理控制[1]。大量用戶數(shù)據(jù)若在被邏輯刪除之后依然殘留在云中，其隱私和敏感數(shù)據(jù)也容易在資源轉(zhuǎn)售中產(chǎn)生數(shù)據(jù)遷移和泄露。當用戶進行刪除操作、終止使用云服務時，如何確定刪除操作是否不可逆成為重點關注問題。目前，在眾多云服務提供商的SLA中，對數(shù)據(jù)可銷毀性的定義不統(tǒng)一、不全面，同時，缺乏一個客觀機制檢測SLA是否達標[2]。

傳統(tǒng)存儲環(huán)境中用戶即使擁有絕對物理控制權，在不進行專業(yè)復寫或消磁操作前，被刪除的數(shù)據(jù)實際上仍可以通過數(shù)據(jù)恢復技術還原或部分修復[3-6]。云計算技術提供的存儲服務仍存在這樣的風險，甚至在失去實際物理控制權的情況下，該風險大幅增加。

針對上述安全問題，國內(nèi)外研究目前主要集中于可確定刪除技術（Data Assured Deletion）。Perman[7-9]設計了第一個確定刪除文件的系統(tǒng)原型Ephemerizer，通過將秘鑰和密文分開管理，在合適的時間銷毀秘鑰使密文不可恢復;在此基礎上，Tang等[10-11]考慮到不同文件應具有不同訪問控制策略以實現(xiàn)對文件細粒度安全訪問，提出FADE方案。但上述集中管理秘鑰的方式過于依賴可信服務器，容易出現(xiàn)單點失效的問題， 為此，Geambasu等[12]首次提出Vanish原型系統(tǒng)，利用DHT網(wǎng)絡分布式和周期性更新的特點實現(xiàn)秘鑰分散管理和刪除;薛靚[13]提出一個可證明的數(shù)據(jù)刪除方法，允許云服務器生成一個簡潔的證明，使用戶相信數(shù)據(jù)被完整地刪除;王敏燊等[14]通過對DHT各網(wǎng)絡節(jié)點進行信任評估以提高密文刪除可信度;Mo等[15]提出一個無需秘鑰管理第三方的細粒度可確定刪除方案，可消除對可信服務器的依賴性。

現(xiàn)有研究基本集中于提高云服務商存儲數(shù)據(jù)自身安全性，在直接審查云端數(shù)據(jù)可銷毀性相關方面還缺乏行之有效的解決方案。

云服務商簽訂服務等級協(xié)議（SLA）直接定義服務類型、服務質(zhì)量和客戶付款等術語。若能以第三方監(jiān)察機構的身份審計云服務商是否真實履行承諾，從SLA檢測的角度保證數(shù)據(jù)銷毀可信性，不僅可以方便確認責任歸屬，還可在很大程度上督促云服務商履行自己的承諾。

在SLA檢測研究領域，目前中國工業(yè)和信息化部主導的數(shù)據(jù)中心聯(lián)盟研發(fā)了云眾測項目，但是該業(yè)務大多數(shù)SLA指標（如可銷毀性測試）是通過專家審計打分的形式完成的，主觀性較強，缺乏客觀說服力。

針對上述問題，本文對數(shù)據(jù)可銷毀性的定義進行完善，并提出一個結合客觀檢測和人工審查的第三方檢測流程，通過實驗證明該方法可行性和有效性。

1 云服務數(shù)據(jù)可銷毀性

云計算服務的外包模式使用戶無需關心計算機底層邏輯關系即可完成數(shù)據(jù)存儲和計算操作，但與此同時，用戶自身也失去了數(shù)據(jù)控制權，因此用戶十分關心自己銷毀的數(shù)據(jù)是否無法被他人獲取。

目前主流云服務商在SLA中均提供關于可銷毀性的不同指標。表1總結歸納出部分云服務商指標。

從表1可以看出，不同云服務商SLA數(shù)據(jù)銷毀方法各不相同，并且沒有提供客觀檢測方案。因此，需要對SLA可銷毀性進行規(guī)范化定義，并補充檢測方案，以保證云計算服務中數(shù)據(jù)可銷毀性的客觀性和可檢測性。

云服務數(shù)據(jù)可銷毀性指云服務商在合同終止后、設備轉(zhuǎn)售前，有能力且必須對相關數(shù)據(jù)進行不可逆的刪除操作，在設備棄置前或用戶付費請求時有能力且必須對相關設備進行物理消磁操作，并保留可供審查的日志。該定義中的“不可逆的刪除操作”指以現(xiàn)有數(shù)據(jù)恢復手段無法恢復的各類技術操作。目前公認可行的技術主要有全零寫入、全一寫入、隨機寫入等不同方式[16]，云服務商可使用任意組合技術進行數(shù)據(jù)銷毀。在定義中，可明確兩個具體操作關鍵時間點：T1指合同終止后、設備轉(zhuǎn)售前;T2指設備棄置前或用戶付費請求時。

2 數(shù)據(jù)可銷毀性檢測方法

2.1 云計算存儲策略

云服務商在進行數(shù)據(jù)存儲時，通常會考慮傳輸開銷、冗余備份等因素，將云端大數(shù)據(jù)劃分為若干有序的邏輯數(shù)據(jù)塊，然后通過自身平臺云存儲策略索引將劃分完成的邏輯數(shù)據(jù)塊存儲在云服務商存儲介質(zhì)中。文獻[17-18]指出不同云服務商存儲策略各不相同，但對于任何數(shù)據(jù)均可根據(jù)存儲策略得到云租戶在云存儲服務平臺中的存儲路徑映射Mappingstorage_path ={Data. （Pi（M1，M2，M3，…，Mj））}，其中Pi （M1，M2，M3，…，Mj）表示序號為i的存儲服務提供者擁有的第j個介質(zhì)。

2.2 檢測原理

在傳統(tǒng)介質(zhì)數(shù)據(jù)銷毀檢測中，檢測方可直接對硬盤進行磁道和block掃描以判斷數(shù)據(jù)是否可恢復。而在云計算環(huán)境下，用戶可訪問虛擬機提供的公開服務，但無法知曉虛擬機調(diào)度信息，直接在虛擬機中檢測是不客觀的。

根據(jù)定義，在測試環(huán)境下，第三檢測方在獲得云服務商存儲策略后，可對虛擬機存儲數(shù)據(jù)進行溯源，從而在宿主機中進行數(shù)據(jù)可銷毀性檢測。通過對宿主機硬盤磁道和block檢查01序列和數(shù)據(jù)讀取恢復，確定云服務商可銷毀性是否達標。

2.3 安全假設

為保證檢測結果可靠，本文假設云服務商不可信，有可能在可銷毀性檢測時提供錯誤存儲路徑以干擾檢測真實性。在獲得云服務商提供的存儲路徑后，需要進行一次可信驗證以保證路徑正確性。

2.4 云存儲可銷毀性檢測步驟

第三方對可銷毀性進行測試步驟，總體上分為準備、可信驗證、逆向恢復、檢測銷毀方式和審核銷毀日志5個階段組成，具體原理和對應時間點如圖1所示。

（1）準備階段。云服務商需要向第三方提供一個初始化測試虛擬機，并且提供實際存儲路徑以供第三方對存儲進行溯源，用于后續(xù)驗證。

（2）可信驗證階段。首先在測試虛擬機中寫入測試數(shù)據(jù)集，進行MD5記錄。完成上述步驟后，在獲得的存儲路徑中讀取數(shù)據(jù)塊，進行MD5記錄并與測試數(shù)據(jù)集比較。

（3）逆向恢復階段。第三方刪除測試虛擬機，在獲得的存儲路徑中調(diào)用數(shù)據(jù)恢復工具進行數(shù)據(jù)恢復。

（4）檢測銷毀方式階段。依據(jù)第三方檢測獲得的存儲路徑中磁盤01序列，判斷是否與SLA承諾的銷毀方式一致。

（5）審核銷毀日志階段。 第三方人工審查云服務商提供的銷毀磁盤日志是否符合標準。第三檢測方對數(shù)據(jù)可銷毀性檢測流程如圖2所示。

3 實驗與分析

本文在實驗云環(huán)境下，用3個實驗驗證檢測流程可行性和客觀性。

3.1 環(huán)境搭建

本次實驗云平臺采用Openstack L版，在3臺操作系統(tǒng)為Linux內(nèi)核3.0、centos7，內(nèi)存為128GB的服務器OS01、OS02、OS03上搭建。外接三臺Ceph存儲服務器OS04、OS05、OS06，總存儲容量30TB，單個運行內(nèi)存為64GB。調(diào)用軟件Extundelete與WxHexedit。

因本文研究的是云存儲可銷毀性檢測，所以本次實驗假設、測試虛擬機存儲空間均來自存儲資源池，計算資源池僅提供虛擬機基本計算能力。測試虛擬機通過OS01跳板登陸，用戶名為ppsuc，操作系統(tǒng)為Ubuntu16.04。具體架構如圖3所示。

3.2 可信驗證實驗（實驗1）

以OS04服務器為例，磁盤掛載情況如圖4所示，為模擬云存儲環(huán)境，實驗調(diào)用fdisk工具將sdb1和sdc1再次分區(qū)出sdb4和sdc4并掛載于測試虛擬機，分別模擬測試虛擬機自身存儲和掛載的云硬盤，即sdb4和sdc4是本次實驗的存儲策略和測試虛擬機的存儲路徑。 sdb4和sdc4具體參數(shù)如圖5所示。

本實驗數(shù)據(jù)用于集中驗證存儲路徑的準確性，以及在后續(xù)逆向恢復階段判定數(shù)據(jù)是否被銷毀。由于虛擬化技術的原因，虛擬機中連續(xù)文件并不總是以連續(xù)block形式出現(xiàn)在存儲路徑中，所以本次試驗采用較小的block以提高實驗成功率。數(shù)據(jù)集由大小為1KB的相同文本文檔組成，總數(shù)為10 000個，內(nèi)容均為字符串。

在測試虛擬機中寫入測試數(shù)據(jù)集，記錄MD5值后關閉虛擬機。登陸Ceph服務器以root身份卸載sdb4，使用命令mkfs.vfat將其格式化為vfat后，掛載至測試目錄 /home/sdr/test，運行extundelete，掃描sdb4后提取出第一個可以恢復的inode，輸出目標文件并與MD5值對比。實驗結果如表2所示。

實驗結果顯示，該存儲路徑為云服務商真實存儲策略，證明了該檢測方法可行。

3.3 逆向恢復實驗（實驗2）

在測試虛擬機云硬盤中寫入測試數(shù)據(jù)集后，刪除虛擬機。不采取任何操作，登陸Ceph服務器，以root身份卸載sdc4，格式化為vfat后，掛載至 /home/sdr/test，使用如下命令恢復所有文件：

逆向恢復數(shù)據(jù)存儲于當前路徑中RECOVER_FILES文件夾，如圖6所示。

記錄此次恢復文件數(shù)量S1后，調(diào)用十六進制編輯器WxHexedit，讀取3段偏移量中Block的01序列，記錄后用于實驗3原始數(shù)據(jù)比對。

再次調(diào)用WxHexedit，對磁盤進行一次全零擦除，輸入相同命令恢復所有文件，記錄本次文件恢復數(shù)量S2 ，實驗結果如表3所示。

由實驗結果可知，若云服務商對合同到期的虛擬機采取任何銷毀操作，則可恢復部分殘留數(shù)據(jù)，證明該方法有效性;但另一方面，由于虛擬化[19-20]的原因，不采取任何操作時只能恢復較少數(shù)據(jù)，在極限情況下，恢復數(shù)逼近0，在實際云環(huán)境中，會影響檢測準確性。

3.4 檢測銷毀方式實驗（實驗3）

在實驗2的基礎上，調(diào)用十六進制編輯器WxHexedit對sdc4進行磁盤擦除。首先進行一次全零擦除，并用Wxhexedit讀取block 16進制排列，結果如圖7所示。

重復上述步驟，分別進行全一擦除、隨機擦除、隨機Block零擦除、隨機block隨機數(shù)擦除后，記錄不同偏移量之間16進制數(shù)，實驗結果如表4所示。

實驗結果表明，在云服務商實施SLA承諾的銷毀方式后，原始Block的01序列會發(fā)生改變。假設云服務商為獲得更多經(jīng)濟利益，采用隨機Block擦除的方式減少擦除時間成本，會大幅增加數(shù)據(jù)外流的風險。在這種情況下，可通過實驗2判定數(shù)據(jù)銷毀性不達標。

但該方法仍有不足之處，由表4可知，隨機擦除方式會產(chǎn)生偽隨機序列填充Block，無法準確判斷云服務商采用的是隨機擦除還是隨機block隨機數(shù)擦除。

根據(jù)可銷毀性的定義，上述3個實驗證明在T1時間段，本文提出的檢測方案可對云服務商SLA數(shù)據(jù)可銷毀性進行客觀有效的檢測。在T2時間段內(nèi)，云服務商需提供相應銷毀記錄日志，供第三方人工審查，至此，檢測流程結束。

4 結語

本文對目前主流云服務商SLA中數(shù)據(jù)可銷毀性指標進行全方位研究，對云存儲可銷毀性提出了更為具體的定義，并從第三檢測方角度提出一種全新的檢測方案，通過3個階段模擬實驗，驗證了檢測方案可行性和有效性。但在逆向恢復階段，該方案準確性有待提高，并且無法檢測出部分銷毀方式，如何提高檢測全面性是下一步研究重點。

參考文獻：

[1] 丁滟， 王懷民， 史佩昌，等. 可信云服務[J]. 計算機學報， 2015， 38（1）：133-149.

[2] MORIN J H，AUBERT J，GATEAU B. Towards cloud computing SLA risk management： issues and challenges[C]. Hawaii International Conference on System Sciences. IEEE Computer Society，2012：5509-5514.

[3] JOUKOV N，PAPAXENOPOULOS H，ZADOK E. Secure deletion myths， issues， and solutions[C]. ACM Workshop on Storage Security and Survivability. ACM， 2006：61-66.

[4] WEI M， GRUPP L M， SPADA F E， et al. Reliably erasing data from flash-based solid state drives[C]. Usenix Conference on File and Storage Technologies， 2011：105-117.

[5] BASIN D， CREMERS C. Keeping data secret under full compromise using porter devices[C]. ACM Computer Security Applications Conference， 2010：241-250.

[6] LUO Y， XU M， FU S， et al. Enabling assured deletion in the cloud storage by overwriting [C]. the 4th ACM International Workshop， 2016：17-23.

[7] PERLMAN R. File system design with assured delete[C]. Third IEEE International Security in Storage Workshop （SISW）， 2005： 83-88.

[8] PERLMAN R. File system design with assured delete[C].? The 14th Annual Network & Distributed System Security， 2007： 1-7.

[9] PERLMAN R. The Ephemerizer： making data disappear[M]. Sun Microsystems， Inc. 2005.

[10] TANG Q. Timed-Ephemerizer： make assured data appear and disappear[C]. European Workshop of Public Key Infrastructures， Services and Applications， 2009：195-208.

[11] TANG Y， LEE P P C， LUI J C S， et al. FADE： Secure overlay cloud storage with file assured deletion[C]. International ICST Conference on Security and Privacy in Communication Networks， 2010：380-397.

[12] GEAMBASU R， KOHNO T， LEVY A， et al. Vanish： increasing data privacy with self-destructing data[C]. The 18th USENIX Security Symposium， 2009： 299-315

[13] 薛靚.云存儲中的可證明數(shù)據(jù)刪除研究[D].成都：電子科技大學，2018.

[14] 王敏燊， 熊金波， 林倩，等. 基于密鑰分發(fā)和密文抽樣的云數(shù)據(jù)確定性刪除方案[J]. 計算機應用， 2018（1）：194-200.

[15] MO Z， QIAO Y， CHEN S. Two-party fine-Grained assured deletion of outsourced data in cloud systems[C]. International Conference on Distributed Computing Systems， 2014：308-317.

[16] GUTMANN P. Secure deletion of data from magnetic and solid-state memory[C]. Proceedings of Usenix Security Symposium， 1996：77-89.

[17] 程宏兵， 容淳銘， 楊庚，等. 基于路徑映射加密的云租戶數(shù)據(jù)安全存儲方案[J]. 南京郵電大學學報：自然科學版， 2015， 35（3）：89-96.

[18] 王意潔， 孫偉東， 周松，等. 云計算環(huán)境下的分布存儲關鍵技術[J]. 軟件學報， 2012， 23（4）：962-986.

[19] 劉亮. 基于虛擬化與分布式技術的云存儲研究[J]. 電腦知識與技術， 2012， 08（11）：2641-2642.

[20] 王慶波. 虛擬化與云計算[M]. 北京：電子工業(yè)出版社， 2009.

（責任編輯：江 艷）