淺析基于可驗證計算的可信云計算優秀論文

1 引 言

　　云計算作為一種新興的網絡計算商業服務模式，使得用戶可以隨時在遠端的云服務器存儲數據和運行程序.但這種新興的計算模式在給用戶帶來諸多便利性的同時，也帶來了一些新的安全挑戰.用戶可能擔心云計算平臺本身的安全性，比如云平臺漏洞和錯誤配置、管理員的惡意行為等等，而這都可能直接導致用戶數據的完整性和隱私性受到危害，導致用戶應用程序無法正確執行.這就產生了一個問題：用戶如何相信云提供商執行的程序結果是正確的?如何確保存儲在遠端的數據的完整性和私密性?檢測遠程服務器返回的結果是否正確的傳統解決方案有以下幾種：

　　(1)采用審計的方法，即隨機選取服務器執行的一小部分程序進行驗證，這就可能發生錯誤執行的程序沒有被服務器驗證的情況，所以說這種方法必須假設錯誤執行的程序的發生頻率是很小的;

　　(2)利用可信硬件和遠程證明來保證遠程服務器運行的程序是正確的，但是這種方法必須假設云提供商是完全可信的，由于硬件基礎設施是在云提供商的控制之下，如果云提供商內部人員惡意控制了可信硬件(如CPU、TPM)，就無法保障云提供商運行的程序的機密性和可驗證性.而且還需要假設存在一個可信鏈，而運行時可信鏈的建立在可信計算領域依然是一個難題.事實上，在實際的云計算應用場景中這兩個假設通常是無法滿足的.在云計算場景中，用戶無法完全相信云提供商，即使用戶出于聲譽的考慮相信云提供商本身，也無法相信其內部管理人員;

　　(3)采用冗余計算的方法，用戶可以讓多個遠程服務器把相同的程序執行多次，然后檢測他們返回的結果是否一致.但這在云計算中也是行不通的，云計算中的軟硬件平臺配置通常是相同的，而這違背了冗余計算中錯誤必須是不相關的假設，且遠程服務器很容易竄通，合謀返回一個錯誤的程序執行結果.

　　而可證明數據持有(Provable Data Possession，PDP)方法和可恢復證明(Proof of Retrievability，POR)方法可以用來確保存儲在遠端的數據的完整性，避免云提供商刪除和篡改數據.相比PDP方法，POR除了能確保數據的完整性之外，還能確保數據的可恢復性，但是PDP和POR無法確保在云提供商端執行的程序的正確性.另一方面，基于復雜性理論的交互式證明系統(Interactive Proof system，IPs)和概率可驗證證明系統(Probabilistically Checkable Proof system，PCPs)以及密碼學理論構造的可驗證計算協議能以很高的正確率檢測出遠程服務器返回的程序執行結果是否正確并且不需要對遠程服務器(云提供商)做任何假設.可驗證計算協議致力于設計驗證者與證明者之間的協議，協議允許在計算能力上相對較弱的驗證者(如云計算中的用戶)將其程序發送到一個計算能力強大的，但不可信的證明者(例如云提供商)，并要求證明者執行其發送的程序.所設計的協議應確保證明者不但返回程序的執行結果給驗證者，并且使得驗證者相信這個程序執行結果是正確的.其主要目標是使得服務器在發送程序執行結果的同時提供程序正確執行的證據，而用戶驗證證據的過程必須要比用戶自己執行程序的開銷小(當然有時由于資源比如存儲的限制，用戶根本無法自己執行程序，在這種情況下是指和假設用戶有足夠的資源執行程序時的開銷相比要小)。

　　2 問題描述和協議設計原則問題描述：

　　驗證者V把程序f和輸入變量x發送給證明者P，P計算f(x)，并把f(x)賦值給變量y，返回y給V，然后V 和P 以如下方式進行交互：

　　(1)如果y=f(x)，那么P 應該能向V 證明y的正確性，即使得V 接受y.其中，證明可以通過回答V 提出的一些問題完成，也可以通過給V 提供一個證書完成.

　　(2)如果y≠f(x)，V 能以很高的概率拒絕接受y.可驗證計算協議的設計必須滿足3個基本原則：(1)協議應該使得驗證者的開銷比其在本地執行程序f(x)的開銷要低，但可以允許證明者為達到協議的目標產生合理的開銷，因為提供運行程序的正確性保障本身就需要用戶付出一定的代價，在云計算實際場景中，表現為云提供商可能會對需要提供程序正確執行證據的用戶收取額外的費用;

　　(2)不能假設證明者完全遵守協議，也就是說證明者可能是惡意的，這和云計算中不能假設云提供商是完全可信的實際場景也是十分吻合的;

　　(3)f 應該是通用程序，然而在具體的協議設計中，可能需要對f 表示的程序做一些假設，從而通過限制可驗證計算協議適用的應用程序種類使得協議的性能達到實際應用場景的要求，但是可驗證計算協議的設計原則依然是盡量能表示通用程序.

　　通常的安全保障工具比如說病毒檢測關注的都是不正確的行為的識別和防范，可驗證計算協議則有所不同，其不關心證明者可能的不正確行為，比如犯了什么錯誤，出現了什么故障等等，而只關心其執行程序的結果是否是正確的，卻無法推測程序錯誤執行的原因.這和云計算中用戶對于程序執行的要求也是相符的.

　　3 協議流程和關鍵

　　3.1 可驗證計算協議流程

　　可驗證計算協議的流程主要包括編譯處理和證明系統，具體流程如圖1所示.首先是編譯處理階段，驗證者V 和證明者P 將高級語言(比如C 語言)編寫的程序轉換成一組布爾電路集(根據協議的不同，也可以是其他計算模型比如算術電路集或者約束集等).接下來，P 和V 進行一系列協議交互，不失一般性，這里用布爾電路集C表示程序f.V 把輸入變量x傳輸給P，P 計算C，輸出程序執行結果y和C正確執行的一組軌跡{C，x，y｝給V，{C，x，y｝也稱為C的一個可滿足性賦值z.其中，C正確執行的一組軌跡是指C的輸入線路被賦值為x，輸出線路被賦值為f(x)時，電路集中所有電路門的賦值集合.在程序執行的過程中，證明者P 獲得了正確計算電路的執行軌跡{C，x，y｝.如果P 聲稱的輸出y是不正確的，即y不等于f(x)，那么對于{C，x，y｝，就不可能存在一個有效的執行軌跡(電路C正確計算的一個證明).因此，如果P 能夠對{C，x，y｝構建一個有效的執行軌跡，那么就一定能使得驗證者V 相信它返回的結果是正確的.顯然，電路正確計算過程中的各個門的賦值本身就能說明存在有效的執行軌跡.但是，如果需要V 依次驗證所有電路門在計算電路過程中的值，進而確定程序是否正確執行，這個工作量和V 本地執行f 是相當的，這就違背了可驗證計算協議設計的基本原則.所以，圖中第步就需要證明者對程序執行軌跡編碼，生成一個很長的字符串，并使得不同的執行軌跡生成的編碼在所有不同的位置的取值是不相同的.這樣，驗證者就可以通過檢查隨機選擇的編碼的特定的位置的取值，來驗證執行軌跡的有效性，進而對返回的結果采取特定的測試來確定證明者返回的結果是否正確.

　　3.2 可驗證計算協議的理論依據

　　理解可驗證計算協議的原理和流程關鍵在于理解兩個等價關系，如3.1節所述，可驗證計算協議的流程主要包括編譯處理和證明系統.其中，編譯處理階段，編譯器完成高級語言程序到電路集或者約束集(可以看做方程組)等計算模型的轉化，其實現的理論依據在于等價關系：程序執行的正確性等價于電路集或者約束集可滿足問題.