云存储安全技术研究 本文关键词:技术研究
云存储安全技术研究 本文简介:【摘要】作为近几年发展较为迅速的互联网服务模式之一,云存储成为了各行业的热点,其快捷、节省运营成本、提高运营效率等优点成为其抢占市场的优势。然而,由于云存储服务中用户数据管理权与所有权的不同归属,使云存储安全技术的研究成为当前研究热点。本文综述了四项关键安全技术的研究内容。其中,数据去重通过去除云服
云存储安全技术研究 本文内容:
【摘要】作为近几年发展较为迅速的互联网服务模式之一,云存储成为了各行业的热点,其快捷、节省运营成本、提高运营效率等优点成为其抢占市场的优势。然而,由于云存储服务中用户数据管理权与所有权的不同归属,使云存储安全技术的研究成为当前研究热点。本文综述了四项关键安全技术的研究内容。其中,数据去重通过去除云服务器中的重复数据,可提高云存储效率和节约网络带宽;数据加密和密文检索的结合可提高用户存储在云端数据的安全,防止数据泄露;数据完整性验证技术可在不下载数据的前提下,高效验证云端数据完整性。
【关键词】云存储安全;数据去重;密文检索;数据完整性验证
1引言
云存储作为近期发展最为迅速的互联网服务模式之一,已成为了目前学术界和工业界的研究热点[1]。云存储服务减少客户的运营成本,提高了存储效率,极大地便利了用户。然而这种模式也有着不可忽视的安全隐患,尤其是2018年8月野前沿数控技术新媒体冶在腾讯云的数据丢失事件,再次引起人们对云存储安全问题的重视。这是因为云存储不同于传统存储方式,用户数据的所有权并不属于自己,而只拥有管理权。对用户而言,在享受便捷云存储服务的同时也担心自己数据的安全问题。而对服务商而言,如何获得用户的信任是亟待解决的问题。目前主流的云存储安全技术大体可分为四类[1]院淤数据加密技术允许用户将数据以加密形式存储在服务端,保护用户数据隐私曰于密文检索技术使得服务商可向用户提供基于数据密文的检索,而无需在检索前对数据进行解密曰盂重复数据删除技术既可以节省网络带宽也提高了服务商的存储效率曰榆数据完整性验证技术为用户提供了验证其云端数据完整性的便捷方案,同时还可提供一定程度的数据恢复。这些安全技术的研究可同时保护用户和云服务商的权益,增强双方的信任,极大地促进了云存储服务的发展。
2数据加密技术
传统的数据加密技术可分为对称加密技术和非对称加密技术[7]。其中,对称加密使用相同的加密和解密秘钥,如AES加密算法尧DES加密算法。非对称加密使用公钥加密和私钥解密,如RSA算法。对称加密的效率较高,但非对称加密的安全性更高。然而,这些传统的加密方案在云端环境中会面临密钥分发和密钥管理等复杂问题,而且由于云存储系统中用户数据放在开放环境下,对数据安全性和可操作性的要求更高。与传统数据加密技术相比,同态加密技术可以兼顾安全性和可操作性,更适用于云端的数据加密要求。目前常见的云存储数据加密系统包括三个角色院用户尧云存储服务商和身份认证机构。其中,身份认证机构是第三方可信机构,用户通过该机构进行身份认证和密钥管理,云存储服务商通过该机构完成用户密钥信息的交互,用户与云存储服务商之间通过网络传输加密文件。
2.1同态加密机制
同态加密渊HomomorphicEncryption,HE冤指的是对同态加密后的数据进行某种处理得到的输出进行解密后的结果,与同种处理未加密的原始数据得到的结果相同。现有的同态加密根据能够实现的密文运算种类和次数可分为部分同态加密尧浅同态加密和全同态加密。1978年,Rivest等人[7]提出RSA算法,支持乘法同态,引出同态加密概念。2009年,Gentry等人[8]提出基于理想格的同态加密算法,支持任意次数的密文同态运算,首个全同态加密技术出现。在此基础上,近年来学术界对同态加密展开了诸多研究,同态加密目前在云存储系统中多用于密文检索尧分类和统计领域,但其效率和安全性还有待进一步探索。
2.2基于属性的加密机制
基于属性的加密方式渊Attribute-basedEncryption,ABE冤也是云存储数据加密技术的研究热点。该加密方式属于非对称加密,将公钥细粒度为用户属性,用户私钥也与属性有关,只有用户私钥满足解密属性时才可解密数据。Yang等人[9]提出了云存储系统的多认证机构数据访问控制,采用基于密文策略的属性加密机制实现了安全有效的属性分发和收回机制。Zhu等人[10]通过将基于密文策略的属性加密和OAuth身份认证机制相结合,提出了云存储的模糊认证机制,允许不同云服务端的用户文件共享。虽然基于属性的加密方式可提高云存储服务的管理效率和服务质量,但由于其加密复杂度高等缺点,该加密方式仍在研究中,未大规模使用。
3密文检索技术
绝大多数云存储系统均提供了数据检索机制,以便用户高效准确地搜索到其云端资源。为保证云端数据的安全性,防止用户隐私数据被篡改或窃取,现有的云存储系统通常会采用数据加密技术将数据密文存储于云服务器。在此情境下,基于明文数据的检索需要用户提前将数据下载,这将耗费大量网络带宽,容易泄露用户隐私数据。因此,基于密文数据的检索成为影响云存储系统安全性的关键技术之一。在云存储系统中,由于用户加密方式和密钥不同,传统的密文检索技术不再适用。目前主流的云存储系统的密文检索机制按照加密方式分为基于对称加密的密文检索技术和基于非对称加密的密文检索技术。此外,随着同态加密技术在云存储系统中的应用,基于同态加密的密文检索技术也在起步研究阶段。
3.1基于对称加密的密文检索机制
基于对称加密的密文检索机制中数据拥有者和数据使用者共享相同密钥。Song等人[11]首次提出基于对称加密的密文检索方案,对文档中每个单词分别加密,密文搜索时需遍历整个文档,该机制效率较低,且存在加密技术兼容性尧数据格式限制等问题,不能抵抗密文频率攻击。Kamara等人[12]利用伪随机技术构建关键词安全索引和查询请求,在提高加密效率基础上支持了文件动态更新。Sun等人[13]提出支持多搜索关键词的密文检索方案,通过多维B树提高了搜索效率,通过余弦相似性测量提高了搜索准确度,并支持搜索结果验证。基于对称加密的密文检索机制无法支持多个数据拥有者,已渐渐不再适用于当前云端协同办公的趋势。
3.2基于非对称加密的密文检索机制
Boneh等人[14]首次提出基于非对称加密的密文检索机制,支持所有公钥持有者写入数据,但仅被授权的私钥拥有者可搜索密文数据。Li等人[15]提出基于谓词加密的密文检索方案,支持多用户操作,并实现可授权密文搜索,但该方案扩展性和安全性均有待改进。Sun等人[16]在此基础上提出基于属性加密的密文检索机制,数据拥有者通过访问控制策略构建安全索引,支持可授权搜索和多关键词搜索。该方案极大地扩展了密文检索的应用场景。基于非对称加密的密文检索机制更适用于云存储系统,但目前还受限于双线性对的操作,限制了搜索效率和搜索结果的验证。
3.3基于同态加密的密文检索机制
Dijk等人[17]提出了整数的同态加密方案,并论文了密文搜索可行性。2013年,宋丹劼等人[18]提出基于同态加密的云存储密文检索方案,用户不再需要向云服务器传递密钥,提高了密文检索的安全性。魏润琪等人[19]提出基于TF-IDF向量模型的同态加密密文检索机制,进一步提高了搜索效率。由于同态加密技术目前还在深入研究阶段,基于同态加密的密文检索机制还有诸多问题有待解决,因此在云存储系统中的应用还在起步阶段。
4重复数据删除技术
目前云存储服务器所存储的数据量极为庞大,数据去重成为云存储服务商亟待解决的问题。重复数据删除技术可在保证安全性和隐私性的基础上删除用户的重复数据,以减少资源耗费和提高管理效率。云存储服务商可通过该技术删除不同用户的重复数据副本,在云端只保留一份数据和其余副本的索引,以达到最大化存储效率的目的。重复数据删除技术按照操作端的不同可分为基于源端的去重技术渊Source-basedDeduplication冤和基于目标端的去重技术渊Target-basedDeduplication冤。
4.1基于源端的重复数据删除技术
基于源端的重复数据删除是在云存储客户端完成去重。Douceur等人[21]提出了CE去重算法,客户端在上传文件前需要计算文件的散列值H渊F冤,并将该值作为文件id传给云服务器,云服务器验证服务器端是否已存在该文件,若存在,则无需客户端上传文件。若不存在,则通知客户端进行文件上传,客户端以该散列值H渊F冤为加密密钥加密文件,并将文件密文和H渊F冤一起上传给云服务器进行存储。下载文件时,只需将文件散列值H渊F冤传给服务器,由服务器返回文件密文给客户端,客户端通过解密密钥获取文件内容。基于源端的重复数据删除技术不会在网络中传输重复数据副本,节约网络带宽的同时提高了存储效率。然而,基于源端的去重对客户端不透明,会有很多安全隐患,如侧信道攻击等。
4.2基于目标端的重复数据删除技术
基于目标端的重复数据删除技术指的是文件存储到服务器后,由云服务商进行去重操作。Bellare等人[20]提出了前事重复数据删除和后事重复数据删除两个概念。前事重复数据删除指在进入存储设备之前进行重复数据删除,因此可以减少进入服务端的数据量,但速度不如后者。后事重复删除技术则是在存储后进行重复数据删除。速度相对前者更快但是对存储设备的存储空间有要求。基于目标端的重复数据删除技术对客户端透明,但文件需要进行网络传输,因此虽然提高了云存储效率,但不会节约网络带宽。与基于源端的重复数据删除技术相比,该技术的安全性更高。
5数据完整性验证技术
云存储技术的出现使越来越多的用户将其数据存储在云端以节约其存储空间的消耗,用户以较低的花费即可享受云服务带来的计算尧管理和存储能力。然而,用户的数据可能会面临多种安全威胁院云服务器软件或硬件故障导致不可恢复的数据丢失或损坏曰云端数据遭到恶意攻击者的损坏或篡改曰云存储服务商可能会出于利益原因擅自删除用户不常访问的数据。由于现实中有些云存储用户并不会在本地保存数据副本,而从云端下载存储的海量数据一一验证会产生巨大的通信耗费和人力成本,因此,如何在不提前下载数据的前提下验证云端存储的数据完整性成为云存储安全技术近年来的研究热点之一。云存储的数据完整性验证模型通常包含三方院用户渊Cus鄄tomer,C冤尧云服务提供商渊CloudServerProvider,CSP冤和可信第三方审计方渊TrustedPartyAuditor,TPA冤。其中,用户享用定制的云存储服务,云服务提供商为用户提供存储尧管理尧计算数据的服务,可信第三方审计方可在用户授权下验证用户数据完整性。最基本的验证方式如下院用户C将文件F存储在云端,在此之前对文件F进行哈希运算,结果为hash渊F冤,假设云服务器CS渊CloudServer冤上存储的用户文件为F忆。可信第三方渊TPA冤在审计时会先向云服务商CS发起挑战,CS根据TPA或用户C提供的哈希函数计算F忆的哈希值hash渊F忆冤。由TPA比对hash渊F冤和hash渊F忆冤是否一致。若一致,则说明数据完整,反之,则说明数据已损坏。目前,数据完整性验证根据是否支持云端存储文件的容错处理分为两种机制院数据持有性证明机制渊ProvableData鄄Possession,PDP冤和数据可恢复性证明机制渊ProofsOfRetriev鄄ability,POR冤。5.1数据持有性证明PDP数据持有性证明渊PDP冤由Ateniese等人[1]于2007年提出,采用RSA构造同态验证标签和概率性抽样文件以验证数据完整性。随后,Curtmola等人[3]在此基础上提出适用于分布式存储环境的MR-PDP机制。Erway等人[4]改进了传统的PDP只支持静态文件完整性验证的缺点,针对动态操作的数据提出支持块级数据操作的机制。5.2数据可恢复性证明PORJuels[2]等人于2007年提出数据可恢复性证明渊POR冤,通过纠删纠错码对文件编码提出基于岗哨的POR验证机制,可恢复已损坏的数据文件。Schacham[5]等人在此基础上提出了针对私有验证和公开验证的CPOR机制。Cong等人[6]提出支持部分数据动态操作的改进POR机制。PDP机制与POR相比,可较为快速地验证数据完整性,POR则在此基础上增加了损坏数据定位和恢复机制。目前PDP机制主要用于大数据文件的完整性验证,POR机制则主要用于高度敏感和重要级数据的完整性验证,如压缩文件的压缩表等。
6总结与展望
随着大数据和云计算技术的飞速发展,诸多企业与用户对于存储的需求日益增加,传统存储技术已难以适应社会需求。因此,近年来云存储作为一种重要的存储手段成为研究热点。本文主要综述了四项云存储安全技术的特点和适用场景,包括数据加密技术尧密文检索技术尧重复数据删除技术和数据完整性验证技术。这些技术目前虽已被广泛使用,但仍有未成熟或未经实践的技术仍需要研究。如同态加密技术目前的主要技术瓶颈主要在效率,该问题的解决对云存储技术和其他技术领域的变革将会有重大推进。此外,随着云存储新技术的不断迭代,安全问题仍不容忽视,如何平衡云存储的稳定性尧高效性和安全性,是学术界和工业界需要不断研究的课题。在未来工作中,笔者将聚焦于提出一种基于源端的重复数据删除机制,使数据去重可以在节约网络带宽的同时,防御目前主流的攻击,如侧信道攻击等。此外,笔者将继续关注同态加密的进展,深入研究基于同态加密的密文检索技术,为云存储高效密文检索提出解决方案。
作者:颜嘉铭 单位:浙江金华第一中学浙江省
云存储安全技术研究 来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
相关文章