1． 技術(shù)背景介紹

近年來(lái)，跨數(shù)據(jù)中心的大數(shù)據(jù)遷移需求日益旺盛，一方面是由于云計(jì)算技術(shù)的發(fā)展使得數(shù)據(jù)中心之間的數(shù)據(jù)共享變得更容易，另一方面是企業(yè)業(yè)務(wù)的訴求推動(dòng)。比如，跨站點(diǎn)的虛擬機(jī)容災(zāi)恢復(fù)技術(shù)，就需要傳輸虛擬機(jī)鏡像這類大文件（通常幾十個(gè)G）；在比如，跨站點(diǎn)的虛擬機(jī)整機(jī)遷移技術(shù)，也需要傳輸鏡像文件。

云環(huán)境一般采用的方式是建立一個(gè)私有網(wǎng)絡(luò)，實(shí)現(xiàn)站點(diǎn)間的點(diǎn)對(duì)點(diǎn)傳輸，這樣可以保證傳輸效率，而且和公網(wǎng)隔離，安全性高。不幸的是，建立私有網(wǎng)絡(luò)通道的成本太高，而且，跨國(guó)站點(diǎn)還需要獲得當(dāng)?shù)卣脑S可，手續(xù)繁瑣。

另一種方式是利用公網(wǎng)完成數(shù)據(jù)傳輸。這種方式的挑戰(zhàn)是要確保數(shù)據(jù)的安全傳輸，以及高吞吐量，同時(shí)要具備可擴(kuò)展性?，F(xiàn)有的網(wǎng)絡(luò)安全傳輸機(jī)制，比如公鑰授權(quán)（PKI），SSL／TLS協(xié)議，可以提升公網(wǎng)環(huán)境下的數(shù)據(jù)安全性。盡管這些機(jī)制在不斷的加強(qiáng)和改進(jìn)，但是使用公共網(wǎng)絡(luò)作為底層數(shù)據(jù)傳輸意味著發(fā)送方和接收方實(shí)體不能通過(guò)設(shè)計(jì)來(lái)控制數(shù)據(jù)傳輸路徑中的所有節(jié)點(diǎn)。因此，這些機(jī)制可能仍然容易受到竊聽(tīng)、偽裝和其他類型的網(wǎng)絡(luò)攻擊。

2． VMWARE專利方案

2．1 總體架構(gòu)

本專利通過(guò)區(qū)塊鏈技術(shù)，云存儲(chǔ)服務(wù)，實(shí)現(xiàn)了在公網(wǎng)環(huán)境下安全，高性能數(shù)據(jù)傳輸技術(shù)，有效解決了跨站點(diǎn)大數(shù)據(jù)傳輸?shù)耐袋c(diǎn)。

系統(tǒng)環(huán)境中，發(fā)送者位于第一個(gè)站點(diǎn)，接收者位于第二個(gè)站點(diǎn)，兩個(gè)站點(diǎn)可能是地理位置隔離的辦公地點(diǎn)或者數(shù)據(jù)中心。發(fā)送者可以將大容量的虛擬機(jī)鏡像文件發(fā)送給接收者（通常在容災(zāi)恢復(fù)場(chǎng)景以及虛擬機(jī)整機(jī)遷移場(chǎng)景）。這兩個(gè)站點(diǎn)通過(guò)網(wǎng)管接入公網(wǎng)，可以同時(shí)訪問(wèn)區(qū)塊鏈網(wǎng)絡(luò)以及云存儲(chǔ)網(wǎng)絡(luò)。

區(qū)塊鏈網(wǎng)絡(luò)為雙方提供安全的認(rèn)證機(jī)制以及可信傳輸機(jī)制；云存儲(chǔ)網(wǎng)絡(luò)則提供高性能數(shù)據(jù)傳輸。可以簡(jiǎn)單將區(qū)塊鏈網(wǎng)絡(luò)理解為傳輸控制面，云存儲(chǔ)網(wǎng)絡(luò)理解為傳輸數(shù)據(jù)，二者各司其職。

2．1．1區(qū)塊鏈網(wǎng)絡(luò)

通過(guò)區(qū)塊鏈網(wǎng)絡(luò)，發(fā)送方和接收方可以在公網(wǎng)環(huán)境下安全的交換信息。這些信息被加密后保存在區(qū)塊鏈上，利用強(qiáng)大的算力做背書，防止數(shù)據(jù)被篡改。而且只有接收方才能利用私鑰將信息解密后查看。可以選擇比特幣，萊特幣等主流的區(qū)塊鏈網(wǎng)絡(luò)。

2．1．2云存儲(chǔ)服務(wù)

云存儲(chǔ)為數(shù)據(jù)傳輸提供高性能傳輸通道，發(fā)送方上傳到云存儲(chǔ)后，接收方從相同地址下載。存儲(chǔ)服務(wù)包括下載地址，賬號(hào)密碼等信息，提供數(shù)據(jù)安全保證。目前主流的公有云對(duì)象存儲(chǔ)服務(wù)包括亞馬遜的S3，Google Drive，Dropbox，微軟的One－Drive等等。

2．1．3 HBDT模塊

HBDT全稱為Hybird Blockchain－based Data Transfer（混合區(qū)塊鏈數(shù)據(jù)傳輸），同時(shí)部署在發(fā)送方和接收方，屬于核心的通信裝置。HBDT需要利用區(qū)塊鏈網(wǎng)絡(luò)傳輸數(shù)據(jù)控制信息，所以，包含一個(gè)或多個(gè)區(qū)塊鏈客戶端，同時(shí)，HBDT需要具備和云存儲(chǔ)通信的能力，完成大數(shù)據(jù)量傳輸工作，下面的流程展示了HBDT的主要功能。

2．2 總體流程

發(fā)送方通過(guò)區(qū)塊鏈向接收方轉(zhuǎn)移一個(gè)token，其內(nèi)容包含數(shù)據(jù)所在的云存儲(chǔ)信息，元數(shù)據(jù)信息等，也就是將數(shù)據(jù)的下載地址告訴接收方。然后，接收方通過(guò)私鑰提取出數(shù)據(jù)地址信息后，回復(fù)一個(gè)token表示ACK。

接著，發(fā)送方將數(shù)據(jù)上傳到云存儲(chǔ)網(wǎng)絡(luò)，同時(shí)，接收方從相同的云存儲(chǔ)地址下載數(shù)據(jù)。上述過(guò)程會(huì)不斷重復(fù)，直到數(shù)據(jù)下載完成，具體流程如下圖所示：

本專利方案有以下幾點(diǎn)優(yōu)勢(shì)：

1）實(shí)現(xiàn)了公網(wǎng)環(huán)境下的數(shù)據(jù)傳輸，節(jié)約成本；

2）與現(xiàn)有的安全傳輸機(jī)制相比，專利方案提供更加安全，防篡改的特性，抵御多種網(wǎng)絡(luò)攻擊。這得益于區(qū)塊鏈網(wǎng)絡(luò)的特點(diǎn)；

3）區(qū)塊鏈網(wǎng)絡(luò)只負(fù)責(zé)完成控制面數(shù)據(jù)傳輸，云存儲(chǔ)網(wǎng)絡(luò)則負(fù)責(zé)數(shù)據(jù)面?zhèn)鬏?。這主要是因?yàn)椋袇^(qū)塊鏈網(wǎng)絡(luò)的性能較低，而且傳輸成本比較昂貴（例如，比特幣網(wǎng)絡(luò)1MB數(shù)據(jù)大概需要3美元），所以，將大體量的數(shù)據(jù)面信息通過(guò)價(jià)格低廉的云存儲(chǔ)網(wǎng)絡(luò)傳輸；

控制面和數(shù)據(jù)面解耦后，系統(tǒng)的架構(gòu)更加靈活，擴(kuò)展性更強(qiáng)，可以組裝不同的公有區(qū)塊鏈網(wǎng)絡(luò)以及多個(gè)云存儲(chǔ)服務(wù)。

2．3 認(rèn)證流程

區(qū)塊鏈的token交易信息中，交易發(fā)起方可以在交易信息中記錄一些私有信息（只有接收方可見(jiàn)）。認(rèn)證流程就是利用這些私有信息，交換公鑰和證書，完成雙方的身份確認(rèn)。具體流程如下：

2．4 token交換流程

發(fā)送方將元數(shù)據(jù)信息，云存儲(chǔ)地址信息寫入token交易的私有信息中，然后，將token發(fā)送到接收方的區(qū)塊鏈地址上。其中，DSpec表示元數(shù)據(jù)信息，例如，數(shù)據(jù)長(zhǎng)度，CSpec表示云存儲(chǔ)信息，例如，存儲(chǔ)對(duì)象的URL地址、登錄賬號(hào)等信息。

接收方收到token后，用私鑰解密出私有信息后，進(jìn)行校驗(yàn)，然后，將校驗(yàn)結(jié)果通過(guò)token私有信息發(fā)送回去，完成確認(rèn)。具體流程如下：

2．5 云存儲(chǔ)上傳／下載流程

發(fā)送方將數(shù)據(jù)上傳到約定的云存儲(chǔ)地址上，然后，接收方開(kāi)始下載，一旦下載完成，則刪除數(shù)據(jù)，并發(fā)送一個(gè)token給發(fā)送方，通知本輪數(shù)據(jù)傳輸已完成，可以進(jìn)行下一輪數(shù)據(jù)傳輸。發(fā)送方收到token后，確認(rèn)下載完成，則重復(fù)上述過(guò)程進(jìn)行下一輪數(shù)據(jù)上傳，知道所有數(shù)據(jù)全部傳輸完成，具體流程如下：

3． 總結(jié)

數(shù)據(jù)的安全性一直是云計(jì)算領(lǐng)域的重要問(wèn)題之一，特別是公網(wǎng)環(huán)境下的公有云。而區(qū)塊鏈技術(shù)作為可信數(shù)據(jù)傳輸?shù)妮d體，為云計(jì)算領(lǐng)域帶來(lái)了全新的問(wèn)題解決思路。相信在未來(lái)，區(qū)塊鏈的安全技術(shù)會(huì)在越來(lái)越多的領(lǐng)域發(fā)揮它的價(jià)值。

審核編輯：符乾江