用于数字图像认证的智能云存储网关

黄成云，张志超，李军锋，李海涛，温满华

（广东电网有限责任公司教育培训评价中心，广东广州 510650）

0 引言

视频图像认证技术的发展主要得益于包括成像模式创建、图像存档和通信系统[1-2]在内的诸多领域技术的进步，其中关键技术是指负责图像采集、管理、存储、可视化和图像比对的系统[3-4]。图像数据激增使得图像识别出现大数据问题[5]。其主要特点是：在云计算的基础上，计算资源以弹性的方式进行提供，并且云软件的开发和维护变得更容易、更可靠、更安全。基于此现状，大量计算能力和海量互联网资源和服务被用于日常服务。然而关于图像认证的解决方案需要很高的维护成本，私有化部署的基础服务设施的可伸缩性是有限的[6]，尤其是图像认证服务迁移到云平台的过程中存在着较高的通信延迟[7]，因为通过公共互联网的远程访问要比内部网络连接慢得多。

针对此问题，目前最常见的缩短访问时间的技术手段是基于本地缓存和预取的机制，这种机制可以通过尝试预测用户的数据请求来分配资源。然而，它们的有效性取决于所需预测的数据类型。也就是说，这种机制仍然存在许多问题和限制。

基于以上问题，提出一种用于图像认证存储库的智能云存储网关，且重点研究如何降低通信延迟。其中所提出的体系结构是对以前方法的改进，同时结合静态规则和模式识别算法，从而使系统能够适应用户的日常应用。

1 数字图像认证技术需求

数字图像被用来保存重要的认证信息。但是，对这些图像提供完整性认证是一项具有挑战性的任务，因为它们越来越多地在不安全的网络上传输，需要对这些图像进行保护，以防止对它们的各种尝试。因此，重要的是解决图像认证问题的有效方法，即确保图像的完整性。数字图像认证系统应满足以下要求：（1）灵敏度：认证系统必须能够检测任何内容修改或操作。对于严格的认证算法，需要任何操作的检测，而不仅仅是内容修改。（2）健壮性：也称为容差。认证系统必须容忍内容保持操作。此属性仅适用于提供选择性验证服务的算法。（3）定位：认证系统必须能够定位已经改变的图像区域。（4）恢复：认证系统必须能够部分或完全恢复被篡改的图像区域。（5）安全性：认证系统必须具有保护认证数据免受任何篡改企图的能力。（6）可移植性：认证系统必须能够在任何传输、存储或处理操作期间携带受保护图像的签名。（7）复杂性：认证系统必须使用既不复杂也不慢的实时实现算法。

2 数字图像认证体系结构设计

提出一个新的云存储网关的体系结构，同时将对该结构中涉及到的各模块进行介绍。该体系结构支持分布式环境的缓存替换和规则预取，目的是通过学习用户的行为来最小化通信延迟。体系结构如图1所示。

图1 体系结构示意图

2.1 传感器模块

首先，对体系结构中所涉及的传感器、消息传感器、特征传感器和网络传感器作简要介绍。

传感器：数据系统根据环境条件进行行为预测，因此系统运行过程中必须配备不同类型的传感器来捕获这些数据条件。

消息传感器：该传感器是新模式识别系统最重要的来源，因为它可以接收识别本地区域网络以及远程云存档之间交换的消息。由于所提议的体系结构可以直接访问网关交换下的网络消息，因此在网关中集成一组侦听器，每当新消息被发送到存储库(或从存储库接收)时，此侦听器就会被唤醒。侦听器在每次消息交换时自动生成事件报告，并且自动保存在日志文件中，其主要包括的信息元素有：（1）消息交换的时间；（2）数据信息请求；（3）请求应用程序实体；（4）目标应用程序实体。

特征传感器：在某些特定情况下，交换的网络数据并不足以对使用模式进行评估。为有效避免此现象的影响，在该体系结构中利用特征传感器，它可以对存储库进行查询，从而使得对特定特征的提取更加方便。

网络传感器：为了优化系统，在结构中嵌入一种新的网络传感器，以便在进行预取之前对网络条件进行评估。该组件可以有效监视云网关通信，从而监视网络请求以及响应。通过这种方式，可以随时了解网络的运行状态。换言之，此传感器对于文中所探讨新机制的正确部署是非常必要的。

2.2 标签和模式识别模块

对体系结构中的标签和模式识别模块进行介绍。该模块所负责检测的用户行为结果主要依托于模式识别机制[8]，继而提出针对于用户行为结果的分类与理解。同时为了有效实现用户行为结果的分类理解，将使用人员的互动分为如下4种不同的使用行为模式：（1）单人认证：这是一种默认的使用模式，使用过程中需要快速访问图像以便保持服务质量；（2）形态校正：用户对特定情态的研究进行修改；（3）错误查询：用户错误查询模式下，图像数据无法正常下载；（4）其他使用：代表该架构下无法识别的场景模式。

综合以上4种行为模式，可以知道此模块的功能如下：首先，它将消息传感器所感知的信息进行分割。然后，对这些信息进行预处理并执行特征提取，最后将其发送到一组经过训练的多层感知器(Multi Layer Perceptron，MLP)模型中进行分析。

2.3 缓存替换与预取规则模块

缓存替换模块由缓存管理器代理和驱逐代理构成。缓存管理器主要负责对成像数据进行管理，并将其存储在缓存系统中；驱逐代理则负责对已达到一定比例且可能会阻碍结构运行的信息数据的存储。该模块由于实现相对简单且性能良好，因此通常被用于实际环境中。

在整个体系结构中，缓存替换模块是非常重要的，因为它连接了存储库和数据库。只有通过缓存替换模块，才可以评估存储的数据量、存储的图像、研究结果、用户数据以及存储在缓存中的图像时间，继而更好地执行驱逐代理。

预取代理分为短期预取和长期预取，但是在本节中，主要对短期预取进行介绍。短期预取是在用户发送数据请求之前对请求时间进行预测分析以及评估。且在预取过程中，将主要执行2个并行进程：（1）对用户查询结果进行评估，并选择与使用模式相匹配的结果进行预取；（2）预取代理根据使用模式识别模块的新输出来对存储库进行查询。

为了让预取代理可以快速选取研究节点，通过嵌入预取规则来为每个认证节点提供MLP多层神经网络。该神经网络每天使用检索到的研究数据作为训练数据。如果在搜索之后对某些实例发送了研究请求，那么这些实例将被标记为积极实例。

通过对上述体系模块的分析介绍，可知该体系架构的一些模块需要与第三方图像认证设备进行通信。因此，系统将自动提供通信接口模块。从而有效地将系统中其他模块的请求转换为接口请求并将它们发送到目标地址。

3 体系测试与评价

在第2章中，对网关所用体系结构的各项模块进行介绍，并且明确其工作定义，但是对于此体系结构在避免通信延迟的效果尚需要验证。因此在本节中，对体系结构进行测试评价，从而验证该体系结构可以有效避免通信延迟。

在不同的环境条件(网络、用户时间表、工作站数量等)下，不同用户体系结构可能会对常规体系结构预取过程造成影响，因为一些测试会使服务器和网络达到超负荷的状态。为了预知以及有效避免这种现象的发生，在不同的条件下，利用真实的数据集中进行模拟测试。整个模拟测试过程中，每个不同的场景将被模拟10次，随后将系统某些参数（如MLPs）对随机初始化的影响最小化，最后将使用两个度量来对系统性能进行分析：（1）命中率：通过请求对象存储在缓存中的次数除以对象请求的数量来计算；（2）每个图像的检索时间：计算方法是将检索研究请求所需的总时间除以对象请求的数量。

在通过体系结构对用户数据请求进行受理分析过程中，为使得其数据能够在高效且无缺失的情况下传达至各模块，使用真实数据集来对数据进行管理分析。

真实数据集由两个部分组成，一部分是XML文件，其中包括网络交换过程所需信息；另一部分是一个数据索引，主要包含存储在机构中用于研究的匿名认证信息，这些信息包括：（1）测试规模；（2）文件数量；（3）查询检索的结果；（4）图像资料；（5）特征库。基于此，建立一个存储数据库的副本，在此副本的基础上通过应用单向函数(例如哈希散列)来删除敏感数据，例如用户姓名。该策略同样允许对用户查询检索到的结果进行重新生成，值得一提的是整个过程无需访问实际的原始数据。最后，在系统中导入并应用网关中已经使用的静态规则。

测试执行时需要模拟包括缓存大小在内的不同情况。同时，考虑到数据集的大小，将分别使用2.5 GB、10 GB、50 GB和100 GB共计5种缓存类别。且对于每个缓存类别，将利用系统进行如下配置测试：（1）配置1：选择LRU（Leastrecently used，最近最少使用）作为驱逐策略，并不使用预取策略；（2）配置2：选择LRU作为驱逐策略，同时使用短期和长期的预取模式。

此外，所有配置都有被动缓存填充模式，这意味着所有通过网关的研究也都存储在缓存中。

4 结论

提出一个减少访问远程图像认证存储库时所造成的通信延迟的智能云存储网关。而且通过对该网关所用体系结构介绍可知，此体系结构使用一组预取策略，在适用范围方面也能够适应不同系统机构以及特定的工作流，同时在系统性能方面也具有显著的改进。最后对该系统在真实数据集中方面提出测试方法，对于较大的图像认证数据缓存，本文作者所提网关中的驱逐策略与预取策略的组合使用可以显著降低通信延迟。