公共云存儲信息安全與隱私保護(hù)技術(shù)綜述

公共云存儲信息安全與隱私保護(hù)技術(shù)綜述

隨著網(wǎng)絡(luò)帶寬的增加和移動互聯(lián)網(wǎng)的普及，云存儲已經(jīng)成為云計(jì)算中最常見的應(yīng)用程序之一。用戶可以同時(shí)擁有各種設(shè)備，如pc、計(jì)算機(jī)、平板電腦、智能手機(jī)和其他終端。例如，不同的地方和設(shè)備之間的數(shù)據(jù)被掃描，云存儲為幫助這些設(shè)備之間共享數(shù)據(jù)提供了最合適的解決方案。dropbox、googledrive、金山快盤等云存儲應(yīng)用的數(shù)量正在迅速增加。目前，dropbox的用戶已經(jīng)達(dá)到75億。云存儲對于更多的用戶來說是方便的。此外，云服務(wù)提供商可以在云中存儲數(shù)據(jù)。由于系統(tǒng)故障，用戶的數(shù)據(jù)可能會丟失。攻擊者還可以通過攻擊csp服務(wù)器獲取用戶數(shù)據(jù)，這會讓用戶擔(dān)心信息泄露或數(shù)據(jù)丟失。為保護(hù)云存儲應(yīng)用的用戶數(shù)據(jù)隱私,數(shù)據(jù)所有者可以在將其數(shù)據(jù)上傳到CSP之前對數(shù)據(jù)進(jìn)行加密.然而加密云存儲在應(yīng)用過程中還存在許多需要解決的問題.1)要選擇適當(dāng)?shù)臄?shù)據(jù)加密機(jī)制,以適應(yīng)只包含數(shù)據(jù)所有者的單用戶場景和需要數(shù)據(jù)共享的多用戶場景.2)當(dāng)大量的數(shù)據(jù)以密文方式存儲在云端之后,數(shù)據(jù)所有者或者被授權(quán)的數(shù)據(jù)使用者如何有效地查找或定位這些數(shù)據(jù).因?yàn)閷γ芪臄?shù)據(jù)的搜索要比對明文的搜索要困難得多.3)存儲在CSP的數(shù)據(jù)完整性和可用性是否能夠高效地被第三方公開審計(jì),在審計(jì)過程中是否可以保護(hù)數(shù)據(jù)的隱私以及數(shù)據(jù)所有者的身份隱私?4)當(dāng)需要刪除保存在CSP的數(shù)據(jù)時(shí),數(shù)據(jù)所有者如何確信CSP真正刪除了這些數(shù)據(jù).目前已經(jīng)提出了一些兼容現(xiàn)有公共云存儲服務(wù)的安全解決方案.Yun等人提出了一個(gè)密碼文件系統(tǒng),使用基于通用Hash的消息認(rèn)證碼樹對外包數(shù)據(jù)提供加密和完整性保證,并實(shí)現(xiàn)了一個(gè)原型系統(tǒng),通過修改的文件系統(tǒng)可以和不可信的云存儲服務(wù)器互操作.JungleDisk和Cumulus都保護(hù)外包數(shù)據(jù)的機(jī)密性,他們的原型系統(tǒng)都以AmazonS3作為后端存儲.這2個(gè)系統(tǒng)都只是實(shí)現(xiàn)了簡單的加密操作.本文將以公共云存儲服務(wù)數(shù)據(jù)安全和隱私保護(hù)為背景,對前述4方面的研究進(jìn)展進(jìn)行綜述.1抗適應(yīng)性選擇密文攻擊針對公共云存儲服務(wù),使用混合加密機(jī)制來保證公共云存儲數(shù)據(jù)安全是一個(gè)合適的選擇.混合加密機(jī)制包括密鑰封裝機(jī)制(keyencapsulationmechanism,KEM)和數(shù)據(jù)封裝機(jī)制(dataencapsulationmechanism,DEM).其中DEM采用對稱密碼算法加密數(shù)據(jù)量較大的數(shù)據(jù)文件,以保證加解密運(yùn)算具有高速度和低復(fù)雜性.而KEM則以公鑰密碼算法封裝了用戶加密數(shù)據(jù)文件的對稱密鑰K,如圖1所示.文獻(xiàn)給出了抗適應(yīng)性選擇密文攻擊(adaptivechosenciphertextattack,CCA2)的混合加密方案.數(shù)據(jù)所有者使用混合加密方案將加密的文件存儲到CSP,而數(shù)據(jù)使用者通過解封裝KEM,得到文件的對稱加密密鑰K,并解密數(shù)據(jù)文件進(jìn)行訪問.混合加密機(jī)制的優(yōu)點(diǎn)是每個(gè)數(shù)據(jù)文件使用隨機(jī)的密鑰加密,隨機(jī)密鑰K只以加密方式保存在云端,本地只保存KEM的密鑰對,降低了客戶端密鑰管理的復(fù)雜性.通過對KEM方式的控制,可以實(shí)現(xiàn)多種靈活的加密文件訪問控制方式.1.1基于傳統(tǒng)非對稱密碼體制在單用戶環(huán)境下,數(shù)據(jù)所有者自己使用云存儲服務(wù),可以使用基于傳統(tǒng)非對稱密碼體制實(shí)現(xiàn)KEM.即自己產(chǎn)生一個(gè)加解密的密鑰對,用公鑰實(shí)現(xiàn)KEM,自己保存私鑰.當(dāng)從CSP取回加密文件后,可以用保存的私鑰解開KEM,從而能夠解密數(shù)據(jù).1.2不同類型的代理重加密方案代理重加密是指允許第三方(代理Trent)改變由Alice加密的密文,使得Bob可以解密,而Trent并不知道原來的明文.在公共云存儲應(yīng)用中,如果數(shù)據(jù)所有者Alice想將其加密的文件分享給一個(gè)特定的數(shù)據(jù)使用者Bob時(shí),可以使用代理重加密機(jī)制,委托CSP將由Alice公鑰封裝的KEM轉(zhuǎn)換為Bob公鑰封裝的KEM,而CSP并不能解開KEM.重加密的操作由CSP完成,以節(jié)省Alice的運(yùn)算開銷.代理重加密除與普通的對稱和非對稱加密相同的步驟之外,還包括2個(gè)步驟:1)指派.允許Bob基于其私密鑰和Alice的公鑰產(chǎn)生重加密的密鑰.該重加密密鑰由CSP用于重加密函數(shù)的輸入,該函數(shù)由CSP運(yùn)行將密文轉(zhuǎn)換為Bob的密鑰加密的密文.非對稱代理重加密方案分為雙向和單向兩類.雙向方案中重加密是可逆的,而單向重加密則是不可逆的.2)傳遞.可傳遞的代理重加密方案允許密文重加密的次數(shù)無限制.不可傳遞的代理重加密方案只允許重加密一次.目前,還沒有已知的單向的、可傳遞的代理重加密方案.這樣的構(gòu)造是否可能仍然是一個(gè)公開問題.1998年Blaze,Bleumer,Strauss(BSS)提出了一個(gè)atomicproxyre-encryption方案,該方案基于Elgamal體制,允許一個(gè)半可信的代理者將Alice的密文轉(zhuǎn)換為Bob可以解密的密文,同時(shí)不泄漏Alice的明文消息.該方案是一個(gè)雙向方案,并且將單向方案的構(gòu)造遺留為一個(gè)公開問題.2005年Ateniese等人提出了一個(gè)更為有效的代理重加密方案,這是一個(gè)單向方案,但是代價(jià)是該方案是一個(gè)不可傳遞的重加密方案.這2個(gè)方案都是選擇明文安全的(CPA).Green和Ateniese提出了基于身份的代理重加密方案,Hohenberger等人提出了安全混淆重加密方案.2007年Canetti和Hohenberger提出了選擇密文安全(CCA)的雙向代理重加密方案.Weng等人提出了條件代理重加密方案,引入了訪問控制機(jī)制,只有當(dāng)滿足條件時(shí)才能完成委托.Libert等人提出了一個(gè)在標(biāo)準(zhǔn)模型雙線性映射Diffie-Hellman假設(shè)下CCA安全的單向代理重加密方案.Matsuda等人提出了一個(gè)標(biāo)準(zhǔn)模型不使用雙線性對DDH假設(shè)下CCA安全的雙向代理重加密方案.Chow等人提出隨機(jī)預(yù)言機(jī)模型下基于CDH假設(shè)的單向代理重加密方案.Wang等人則提出了隨機(jī)預(yù)言機(jī)模型下基于DBDH假設(shè)的IND-CCA2安全單向代理重加密方案.Xagawa等人則提出了一個(gè)基于LWE(learningwitherror)問題的代理重加密方案.1.3廣播加密方案當(dāng)數(shù)據(jù)所有者希望向多個(gè)數(shù)據(jù)使用者分享數(shù)據(jù)時(shí),可以使用廣播加密機(jī)制進(jìn)行KEM.在廣播加密過程中,廣播者為動態(tài)選擇的接收用戶子集加密消息,子集中的任意用戶都可以用自己的私鑰解密消息,而子集外的用戶即使合謀也無法解密消息.接收用戶應(yīng)是無狀態(tài)的,即每個(gè)用戶持有的密鑰在系統(tǒng)的整個(gè)生存期內(nèi)都不需要更新.第1個(gè)廣播加密方案由Fiat和Naor提出,文獻(xiàn)提出了2個(gè)適用于無狀態(tài)接收者的子集覆蓋方案.在這種方案中,每個(gè)用戶屬于一個(gè)子集的集合,并且存儲有所有這些子集對應(yīng)的密鑰.發(fā)送者選擇適當(dāng)?shù)淖蛹采w所有合法用戶而不包括被撤銷的用戶,用這些子集對應(yīng)的密鑰加密消息.文獻(xiàn)[19-20]提出了“分層子集差”方法以減小傳輸開銷.也有一些方案不采用子集覆蓋,如文獻(xiàn)[21-24]在廣播中指出所有撤銷的用戶,而文獻(xiàn)[25-29]則包含廣播中所有接收者的集合,并且使用被撤銷用戶或者目的接收用戶的信息來推導(dǎo)會話密鑰.文獻(xiàn)[30-32]還考慮了用戶擁有不同權(quán)利的情況,文獻(xiàn)中用戶的權(quán)利是靜態(tài)的,而文獻(xiàn)[31-32]考慮了線型結(jié)構(gòu)的動態(tài)權(quán)利廣播加密方案.廣播加密的關(guān)鍵指標(biāo)包括KEM的密文尺寸、公鑰尺寸和每個(gè)用戶存儲的私鑰數(shù)量.目前最好的廣播加密方案公鑰尺寸為O(n)量級,而密文和私鑰尺寸均為常數(shù),n為接收者的數(shù)目;或者公鑰和密文尺寸均為量級,私鑰尺寸為常數(shù).近期的研究結(jié)果大多關(guān)注于標(biāo)準(zhǔn)模型以及更為常用的安全假設(shè)下的方案構(gòu)造,對于如何提高成員動態(tài)變化時(shí)的處理效率仍然需要加強(qiáng)研究,文獻(xiàn)[22,27]在一定程度上能適應(yīng)用戶動態(tài)增加和注銷的情況,但仍不理想.1.4重新分配解密私鑰份額基于屬性的加密機(jī)制(attribute-basedencryption,ABE)是另一種控制接收者對加密數(shù)據(jù)的解密能力的密碼機(jī)制,當(dāng)用戶所擁有的屬性滿足一定的接入策略時(shí)就可以解密信息.接入策略可以用邏輯表達(dá)式表示,也可轉(zhuǎn)化為樹型結(jié)構(gòu)表示.數(shù)據(jù)所有者可以使用ABE實(shí)現(xiàn)KEM,以控制加密數(shù)據(jù)文件在滿足接入策略的用戶集合中共享.第1個(gè)ABE方案由Sahai等人提出,發(fā)送者加密一個(gè)數(shù)據(jù),并且指定一個(gè)屬性集合和數(shù)值d,只用擁有至少d個(gè)給定屬性的接收者才能恢復(fù)對KEM解密的密鑰并恢復(fù)KEM中封裝的數(shù)據(jù).基于這個(gè)方案,Goyal等人提出了一個(gè)結(jié)合細(xì)粒度訪問控制的ABE方案,可以支持任意單調(diào)的包含與/或限門的接入公式.這個(gè)方案又被稱為密鑰策略的ABE(KP-ABE),因?yàn)榻尤氩呗允乔度朐谒借€當(dāng)中,當(dāng)用戶屬性滿足接入公式時(shí)可以恢復(fù)密鑰,從而解密消息,其本質(zhì)是一個(gè)多級的秘密共享機(jī)制.隨后Ostrocsky等人提出了非單調(diào)接入結(jié)構(gòu)的ABE方案.KP-ABE方案需要根據(jù)接入策略的不同,向具有權(quán)限的用戶分配解密私鑰份額,尤其是當(dāng)接入策略改變時(shí),需要重新分配解密私鑰份額,這樣對用戶帶來了較大的密鑰管理開銷.Bethencourt等人提出了密文策略的ABE(CP-ABE),接入策略嵌入在KEM的密文當(dāng)中,而解密私鑰只與屬性集合相關(guān),因此當(dāng)密文的接入策略改變時(shí)只需要重新加密密文,不需要重新分配屬性對應(yīng)的解密私鑰,因此CP-ABE方案更加類似于基于角色的訪問控制,也與廣播加密的接收者無狀態(tài)的要求相一致.為了抗合謀攻擊,每個(gè)用戶擁有屬性的對應(yīng)私鑰對應(yīng)于不同的隨機(jī)數(shù),擁有這個(gè)隨機(jī)數(shù)信息才能解密信息.因此將不同用戶的屬性私鑰組合起來無法解密密文.CP-ABE方案需要對屬性以及屬性對應(yīng)的解密私鑰進(jìn)行管理,通常需要一個(gè)屬性授權(quán)中心.數(shù)據(jù)所有者也可以自己管理屬性和分配屬性管理密鑰.Chase提出了一個(gè)多授權(quán)中心ABE系統(tǒng),每個(gè)授權(quán)中心管理不同的屬性域.隨后Chase等人又提出了一個(gè)實(shí)用的多中心ABE系統(tǒng),該系統(tǒng)去除了可信的授權(quán)中心同時(shí)能保護(hù)用戶隱私.Muller等人提出了一個(gè)有效的支持析取范式策略的分布式ABE方案.Yu等人則提出了一個(gè)安全、可擴(kuò)展的細(xì)粒度訪問控制的ABE方案.Li等人提出了一個(gè)支持用戶審計(jì)的細(xì)粒度訪問控制的ABE方案,以防止云當(dāng)中非法的密鑰共享.上述CP-ABE方案密文尺寸與密文接入策略涉及到的屬性數(shù)目呈線性關(guān)系.文獻(xiàn)[42-49]分別提出了具有常數(shù)量級密文尺寸的CP-ABE方案,文獻(xiàn)提出了一個(gè)常數(shù)密文尺寸的KP-ABE方案,Liu和Cao等人提出了一個(gè)多中心的基于標(biāo)準(zhǔn)模型的CP-ABE方案,這些方案的密文尺寸大小與屬性數(shù)目無關(guān).ABE加密和解密的計(jì)算比較復(fù)雜,通常涉及多個(gè)雙線性對運(yùn)算,特別是在接入策略的表述比較復(fù)雜的情況下,將部分計(jì)算外包到CSP有助于減少數(shù)據(jù)使用者終端的開銷.文獻(xiàn)給出了一個(gè)ABE外包解密方案,將復(fù)雜的解密操作由CSP轉(zhuǎn)化為一個(gè)普通的ElGamal解密問題,終端只需要一次模指數(shù)運(yùn)算,可有效降低終端的解密計(jì)算量.Lai等人在文獻(xiàn)的基礎(chǔ)上對CSP解密轉(zhuǎn)換正確性增加了可驗(yàn)證屬性.CP-ABE的另一個(gè)問題是當(dāng)屬性撤銷或者屬性中一個(gè)用戶撤銷時(shí)的密鑰更新問題.文獻(xiàn)討論了這一問題并分析了現(xiàn)有撤銷方案的不足,但是其提出的方案引入了對稱密鑰的群組密鑰管理方案,也不是十分理想.CP-ABE的高效動態(tài)權(quán)利管理仍是一個(gè)需要解決的問題.一般基于屬性的加密只提供文件內(nèi)容的保密性,而很多情形下,除了提供文件的保密性之外,還需要保護(hù)密文中的屬性和相關(guān)策略的隱私性,Kapadia等人提出了匿名ABE以解決這個(gè)問題.現(xiàn)有的匿名ABE方案大部分僅支持直接的解密方式,即用戶只有在執(zhí)行了包含大量計(jì)算的解密過程之后,才能判斷接入策略匹配是否成功.這種方法在用戶端帶來巨大的解密開銷,存在嚴(yán)重的效率缺陷.為了解決以上問題,我們提出了一個(gè)新技術(shù)“matchthen-decrypt”.該技術(shù)在匿名ABE的解密階段之前加入了一個(gè)屬性匹配階段,在密文中引入了一些專用分量,用于實(shí)現(xiàn)解密之前的屬性匹配檢測,以判定屬性私鑰是否與密文中潛在的訪問策略相匹配.其代價(jià)遠(yuǎn)遠(yuǎn)小于一次解密的代價(jià),從而在根本上避免了傳統(tǒng)的直接解密方式帶來的巨大開銷.總體說來,ABE更加適應(yīng)于具有較多用戶的群組加密數(shù)據(jù)共享場合.根據(jù)應(yīng)用場景的需要,用戶可以選擇合適的KEM機(jī)制.2可搜索加密機(jī)制對加密數(shù)據(jù)的搜索是安全云存儲應(yīng)用中的一個(gè)基本功能,典型的具備隱私保護(hù)功能的密文關(guān)鍵詞搜索系統(tǒng)如圖2所示,其包括數(shù)據(jù)所有者、數(shù)據(jù)使用者和CSP三個(gè)參與者.數(shù)據(jù)所有者將加密數(shù)據(jù)和安全索引上傳存儲在CSP,數(shù)據(jù)一般使用諸如AES之類的密碼算法加密,而安全索引則使用特定的可搜索加密機(jī)制生成.可搜索加密機(jī)制可以分為非對稱密鑰可搜索加密和對稱密鑰可搜索加密.當(dāng)用戶想搜索云服務(wù)器中的加密數(shù)據(jù)時(shí),數(shù)據(jù)使用者會產(chǎn)生陷門(采用非對稱可搜索加密時(shí))或者向數(shù)據(jù)所有者請求陷門(采用對稱可搜索加密時(shí)),然后將陷門發(fā)送給CSP.CSP執(zhí)行搜索算法,向數(shù)據(jù)使用者返回搜索的結(jié)果.搜索可以基于一定的排序準(zhǔn)則,將最匹配的前n個(gè)相關(guān)的結(jié)果返回.2.1數(shù)據(jù)索引、搜索及信息目前從整體上看是客現(xiàn)有大多數(shù)搜索方案的典型威脅模型是考慮云服務(wù)器是半可信的,即它誠實(shí)地按照預(yù)定的協(xié)議和步驟完成操作,但是會試圖分析用戶的數(shù)據(jù)、索引以及搜索協(xié)議過程中交互的消息以獲得額外的信息.2.2搜索隱私搜索過程中數(shù)據(jù)所有者和數(shù)據(jù)使用者所關(guān)心的隱私大致包括3個(gè)方面:1不同邊域電子攻擊如何在陷門中對CSP保護(hù)數(shù)據(jù)使用者感興趣關(guān)鍵詞的隱私是密文關(guān)鍵詞搜索隱私保護(hù)的一個(gè)重要課題.盡管關(guān)鍵詞的陷門都是被加密的,但是CSP可以通過其他的邊信息攻擊方式獲取用戶感興趣的關(guān)鍵詞,比如詞頻分析攻擊.給定一個(gè)特定數(shù)據(jù)集中特定關(guān)鍵詞文件頻率(包含特定關(guān)鍵詞的文件數(shù))或者關(guān)鍵詞頻率(一個(gè)文件中含有多少個(gè)關(guān)鍵詞)分布,攻擊者可以通過逆向工程恢復(fù)出陷門中的關(guān)鍵詞.2不同關(guān)鍵詞的頻率.陷門應(yīng)該以隨機(jī)方式產(chǎn)生,否則給定任意兩個(gè)陷門,攻擊者可以容易地確定他們之間的關(guān)系,比如限門里是否包含有相同的關(guān)鍵詞集合.如果不滿足這一要求,也會導(dǎo)致關(guān)鍵詞隱私的泄露,因?yàn)镃SP可以累加不同搜索請求中不同關(guān)鍵詞的頻率.3不現(xiàn)實(shí)的保護(hù)接入模式接入模式是指返回文件的次序.可以使用秘密信息獲取(privateinformationretrieval)技術(shù)來保護(hù)接入模式的隱私,但是這一方式代價(jià)很大,其要求搜索算法遍歷所有存儲到云上的數(shù)據(jù),這對大規(guī)模的云存儲系統(tǒng)是不現(xiàn)實(shí)的.所以目前大多數(shù)密文搜索方案都不將保護(hù)接入模式作為安全目標(biāo).2.3基于對稱密鑰的多關(guān)鍵詞搜索方案其基本模式為數(shù)據(jù)的所有者和對這些數(shù)據(jù)進(jìn)行搜索的用戶共享相同的密鑰信息.Song等人首次提出基于對稱密鑰的可搜索加密方案,用一種特殊雙層結(jié)構(gòu)的加密方式對文檔中的每一個(gè)單詞分別進(jìn)行加密,對密文進(jìn)行搜索時(shí)需要遍歷這個(gè)文檔,來檢查其是否存在某一特定關(guān)鍵詞,這樣導(dǎo)致搜索效率低下.其次,所使用的加密方案同實(shí)際應(yīng)用中數(shù)據(jù)加密所用的標(biāo)準(zhǔn)加密技術(shù)截然不同,存在兼容性問題,不能處理壓縮和二進(jìn)制數(shù)據(jù),不能抵抗對密文的頻率攻擊.Goh提出了一種使用偽隨機(jī)函數(shù)和布隆過濾器(bloomfilter)對每個(gè)文件構(gòu)建一個(gè)安全索引的方案,搜索時(shí)間同文件數(shù)量成正比,由于使用布隆過濾器時(shí)不可避免地引入的誤差,使得搜索結(jié)果不完全正確.Chang等人和Curtmola等人幾乎同時(shí)提出了利用偽隨機(jī)技術(shù)構(gòu)建關(guān)鍵詞索引和查詢請求,使得搜索效率大為提高,但對動態(tài)的數(shù)據(jù)更新支持不夠,更新時(shí)所需的計(jì)算量極大,或需要重構(gòu)整個(gè)索引.Wang等人使用反向索引(invertedindex),利用順序保持加密(order-preservingencryption)技術(shù)對文件中的關(guān)鍵詞頻率進(jìn)行加密,同時(shí),能夠使得用戶對返回的搜索結(jié)果進(jìn)行驗(yàn)證.Kamara等人利用同文獻(xiàn)相同的安全索引構(gòu)造方法,提出了一種支持文件更新的加密數(shù)據(jù)檢索技術(shù).應(yīng)當(dāng)指出以上技術(shù)方案僅適用于單一關(guān)鍵詞搜索,無法滿足明文搜索中已廣泛支持的多關(guān)鍵詞搜索.當(dāng)然可以利用多次單一關(guān)鍵詞搜索后進(jìn)行交集操作來實(shí)現(xiàn)多關(guān)鍵詞搜索,但需要較大的運(yùn)算和通信開銷,效率極低.Cao等人通過對每一個(gè)文檔建立索引向量,利用矩陣加密,運(yùn)用查詢搜索后內(nèi)積值的大小排列來對密文進(jìn)行多關(guān)鍵詞搜索,并返回包含關(guān)鍵詞最多的前n個(gè)文件,但搜索效率不高,需要遍歷所有文件,且搜索結(jié)果的精確性較低.Vimercati等人提出一種將訪問控制和可搜索加密相融合的技術(shù)方案,通過訪問控制列表對用戶進(jìn)行劃分,用加鹽操作使得相同關(guān)鍵詞在不同用戶組中的索引不同,來保護(hù)關(guān)鍵詞的隱私安全,但這一方案的使用場景特殊,不具有普遍意義.Sun等人提出了一種安全多關(guān)鍵詞密文搜索方案,通過使用多維B樹(multi-dimensionalB-tree)技術(shù)大大提高了密文搜索效率,同時(shí)利用余弦相似性測量(cosinesimilaritymeasure)方法提高了返回結(jié)果的精確度,并且能夠?qū)λ阉鹘Y(jié)果進(jìn)行驗(yàn)證.應(yīng)當(dāng)指出,現(xiàn)有的基于對稱密鑰的可搜索加密方案,均無法支持系統(tǒng)中存在多個(gè)數(shù)據(jù)擁有者,或?qū)崿F(xiàn)代價(jià)極高,且效率和可用性低.2.4基于對稱密鑰的多關(guān)鍵詞求解技術(shù)Boneh等人提出了第1個(gè)非對稱可搜索加密方案,在這一方案中,任何公鑰所有者,都可以向服務(wù)器中寫入數(shù)據(jù),但只有授權(quán)的擁有私鑰的用戶才能夠?qū)γ芪倪M(jìn)行搜索.在文獻(xiàn)中,Abdalla等人對基于非對稱密鑰的可搜索加密方案進(jìn)行了改進(jìn).隨后,學(xué)術(shù)界提出了支持布爾關(guān)鍵詞操作、子集操作、范圍查詢等一系列密文搜索技術(shù)方案.Kerschbaum等人提出了基于身份加密的公鑰可搜索加密方案.Lin等人提出一種對單一關(guān)鍵詞搜索的公鑰加密方案,減少了對雙線性對的使用,效率大為提高,并提出了適用于網(wǎng)絡(luò)鑒證的應(yīng)用場景.Hwang等人在企業(yè)多用戶場景下提出了一種支持固定關(guān)鍵詞并集搜索的方案,同時(shí)使服務(wù)器利用用戶列表對用戶的搜索權(quán)限進(jìn)行控制,但此方案的擴(kuò)展性不好,當(dāng)系統(tǒng)中存在大量用戶時(shí),方案的效率會大幅降低,同時(shí)用戶不能對多關(guān)鍵詞進(jìn)行自由搜索.Li等人利用謂詞加密(predicateencryption)技術(shù)設(shè)計(jì)了一種支持多用戶、并可實(shí)現(xiàn)授權(quán)搜索的公鑰可搜索加密方案,同樣此方案存在著擴(kuò)展性不好的問題,同時(shí)由于用戶的搜索請求需要由可信的第三方產(chǎn)生,方案的效率較低,且不支持對文本、二進(jìn)制等其他文件類型的搜索,限制了方案的應(yīng)用場景.Sun等人第1次在基于屬性加密(attribute-basedencryption)技術(shù)的基礎(chǔ)上,提出了一種靈活、擴(kuò)展性強(qiáng)、支持授權(quán)搜索的安全密文搜索技術(shù),大大擴(kuò)展了密文搜索的應(yīng)用場景.數(shù)據(jù)擁有者利用訪問控制策略構(gòu)建安全索引,當(dāng)且僅當(dāng)數(shù)據(jù)使用者的陷門中包含的用戶屬性滿足某一索引中的訪問控制策略,且這一索引包含用戶查詢的關(guān)鍵詞時(shí),相關(guān)的文件才能被搜索到.此方案不僅支持單一關(guān)鍵詞搜索,也支持固定多關(guān)鍵詞的并集搜索.需要指出的是,雖然非對稱可搜索加密技術(shù)更適用于多用戶的互聯(lián)網(wǎng)模型,但因現(xiàn)有方案不可避免地存在對雙線性對的操作,搜索效率不高,同時(shí)現(xiàn)有方案并不支持多關(guān)鍵詞的自由搜索,這也影響了這一技術(shù)在實(shí)際場景中的使用,另外現(xiàn)有工作缺少對密文數(shù)據(jù)更新和對搜索結(jié)果進(jìn)行認(rèn)證的支持.基于對稱密鑰的可搜索加密方案搜索效率高,且能夠支持對多關(guān)鍵詞的自由搜索,但當(dāng)系統(tǒng)存在大量用戶,且需要對用戶進(jìn)行訪問控制時(shí),同非對稱密文搜索技術(shù)相比,方案的靈活性和可擴(kuò)展性較低,應(yīng)用場景的局限性較強(qiáng).另外需要指出的是,從對查詢關(guān)鍵詞的精確程度上劃分,以上2種類型的可搜索加密方案均為針對精確關(guān)鍵詞的搜索,除此以外,還有一類支持模糊關(guān)鍵詞搜索的加密方案.當(dāng)用戶查詢的關(guān)鍵詞存在拼寫錯(cuò)誤時(shí),系統(tǒng)仍能夠辨識出其搜索目標(biāo),返回所需的搜索結(jié)果.Li等人提出利用編輯距離來衡量關(guān)鍵詞的相似程度,設(shè)計(jì)出基于通配符的模糊關(guān)鍵詞搜索的加密方案,其方案只針對單一關(guān)鍵詞搜索.Chuah等人利用布隆過濾器構(gòu)建關(guān)鍵詞索引,提出一種支持多關(guān)鍵詞模糊查詢的可搜索加密方案,但應(yīng)當(dāng)指出這不是傳統(tǒng)意義下的多關(guān)鍵詞概念,而是利用概率分布將相關(guān)單詞置于同一索引中.Wang等人利用位置敏感的散列函數(shù)(locality-sensitiveHash)技術(shù)提出了一種支持多關(guān)鍵詞模糊查詢的密文搜索方案,此方案真正實(shí)現(xiàn)了多關(guān)鍵詞的自由搜索,方案的靈活性較強(qiáng).但這類方案大多基于對稱密鑰實(shí)現(xiàn),并不支持復(fù)雜的多用戶場景.3生成數(shù)據(jù)的完整性審計(jì)當(dāng)用戶將其數(shù)據(jù)存儲到云端之后,他們最關(guān)心的問題之一就是存儲的文件是否完好.最直接的辦法是將文件全部取回檢查,但是這樣將耗費(fèi)大量的網(wǎng)絡(luò)帶寬,特別當(dāng)存儲在云端的數(shù)據(jù)量很大時(shí)是很不現(xiàn)實(shí)的.Juels等人提出了“可回收證明技術(shù)”(PoR)模型,通過抽樣和糾錯(cuò)碼技術(shù)來保證服務(wù)器正確保存了數(shù)據(jù),使用戶不用下載全部數(shù)據(jù)就可以驗(yàn)證保存的數(shù)據(jù)是完整的、可取回的.其主要思想是將文件分成多個(gè)數(shù)據(jù)塊,對每一個(gè)數(shù)據(jù)塊糾錯(cuò)編碼后計(jì)算由密鑰產(chǎn)生的消息認(rèn)證碼,密鑰由用戶保存,數(shù)據(jù)和消息認(rèn)證碼保存到CSP.校驗(yàn)時(shí),用戶隨機(jī)產(chǎn)生要檢查的數(shù)據(jù)塊位置作為挑戰(zhàn),CSP返回相應(yīng)位置的數(shù)據(jù)塊和消息認(rèn)證碼,用戶可以驗(yàn)證數(shù)據(jù)的完整性.由于該方案采用對稱密碼機(jī)制,不支持第三方的公開審計(jì);此外,審計(jì)過程需要用戶和云服務(wù)器之間的多輪交互,對用戶還是會造成一定的負(fù)擔(dān).由于在一些情況下,用戶需要頻繁的驗(yàn)證數(shù)據(jù)的完整性(例如需要頻繁使用的數(shù)據(jù),在每次使用之前都需要保證數(shù)據(jù)的完整性),而對應(yīng)所產(chǎn)生的驗(yàn)證開銷會給用戶帶來過多的負(fù)擔(dān).因此,人們自然地會想到將審計(jì)委托給一個(gè)可信任的第三方(TPA)來完成,用戶只需向TPA發(fā)出審計(jì)請求,TPA向CSP進(jìn)行多輪的審計(jì),將審計(jì)結(jié)果通知用戶.第三方審計(jì)必然要求用戶對外包數(shù)據(jù)塊產(chǎn)生的消息認(rèn)證碼是可公開驗(yàn)證的,這就需要采用非對稱密碼機(jī)制.圖3是公開完整性審計(jì)示意圖:用戶將文件分組為(m1,m2,…,mn),并對每個(gè)分組產(chǎn)生認(rèn)證標(biāo)簽(σ1,σ2,…,σn),將文件和對應(yīng)標(biāo)簽上傳到一個(gè)半可信的CSP中.TPA是一個(gè)第三方審計(jì)機(jī)構(gòu),它通過與CSP之間的挑戰(zhàn)和響應(yīng)交互來審計(jì)數(shù)據(jù)的完整性.Ateniese等人在他們定義的“可證明的數(shù)據(jù)所有權(quán)”(PDP)模型中第1次考慮到了可公開審計(jì)性.該方案利用基于RSA的同態(tài)標(biāo)簽技術(shù)來對外包數(shù)據(jù)完整性進(jìn)行審計(jì).方案對待審計(jì)的數(shù)據(jù)文件進(jìn)行隨機(jī)采樣,為了降低審計(jì)過程中的通信開銷,方案中CSP將采樣數(shù)據(jù)塊的隨機(jī)線性組合和認(rèn)證標(biāo)簽提交給TPA.但是,在此方案中TPA可以通過多次審計(jì)請求的結(jié)果構(gòu)造一個(gè)方程組解得用戶的數(shù)據(jù),因此用戶數(shù)據(jù)的隱私無法得到保證.Shacham等人提出了一種改進(jìn)的PoR方案,利用了可證明安全的BLS短簽名構(gòu)造的可公開審計(jì)的同態(tài)標(biāo)簽技術(shù).同文獻(xiàn)的方案一樣,這一方法并不能夠?qū)崿F(xiàn)支持隱私保護(hù)的驗(yàn)證,TPA仍然可以獲得用戶的數(shù)據(jù)內(nèi)容.為解決這一隱私問題,Shah等人建議通過先加密數(shù)據(jù),然后將許多對加密數(shù)據(jù)預(yù)計(jì)算的、基于對稱密鑰的Hash值發(fā)送給審計(jì)方的方法來使TPA在保證驗(yàn)證數(shù)據(jù)文件的完整性的同時(shí),無法獲得用戶的隱私數(shù)據(jù).以上方案考慮的都是靜態(tài)數(shù)據(jù)的完整性審計(jì),如果考慮數(shù)據(jù)頻繁進(jìn)行插入、修改或者部分刪除等編輯操作,將導(dǎo)致整個(gè)標(biāo)簽或認(rèn)證碼的重新計(jì)算,這樣的更新方式并不有效.為有效地解決對動態(tài)變化數(shù)據(jù)的完整性審計(jì)支持,Ateniese等人提出了一個(gè)以之前PDP方案為基礎(chǔ)的部分動態(tài)版本,此方案僅支持動態(tài)的刪除和修改,但不能有效地支持插入.此外,該方案使用對稱加密技術(shù),并不能支持公開的數(shù)據(jù)審計(jì).Wang等人類似地提出了一個(gè)在云計(jì)算場景中支持部分動態(tài)數(shù)據(jù)存儲的方案,且此方案具有數(shù)據(jù)錯(cuò)誤定位的特性,即在數(shù)據(jù)的多個(gè)備份存儲在多個(gè)服務(wù)器的情況下,可以定位持有錯(cuò)誤數(shù)據(jù)的服務(wù)器.在接下來的工作中,Wang等人于2009年提出了一個(gè)安全的數(shù)據(jù)存儲審計(jì)方案,然而這一方案并不提供對用戶數(shù)據(jù)的隱私保護(hù),用戶的數(shù)據(jù)信息可能會泄露給提供審計(jì)服務(wù)的第三方.同時(shí),在審計(jì)過程的實(shí)施中,所需的通信量和計(jì)算量較大,影響了協(xié)議的運(yùn)行效率.與此同時(shí),Erway等人發(fā)展出了一個(gè)基于skiplists的方案,使得可證明數(shù)據(jù)所有權(quán)的擁有全動態(tài)支持.然而,由于需要采樣數(shù)據(jù)塊的線性組合,這一方案同樣不能保證在公開數(shù)據(jù)驗(yàn)證過程中的用戶的數(shù)據(jù)隱私安全.Wang等人于2010年提出了一個(gè)支持隱私保護(hù)的可公開審計(jì)的方案.在此方案中,通過利用基于公鑰的同態(tài)標(biāo)簽技術(shù),TPA無需從CSP上得到用戶的全部數(shù)據(jù)來進(jìn)行審計(jì),這樣就大大減少了協(xié)議運(yùn)行的通信量和計(jì)算量.該方案在每次CSP向TPA返回驗(yàn)證數(shù)據(jù)時(shí)增加了1個(gè)一次性隨機(jī)數(shù),這樣就使得TPA無法解出對應(yīng)的方程組,因此不會向TPA泄露用戶的數(shù)據(jù)內(nèi)容,保證了用戶數(shù)據(jù)的隱私安全.另外,此方案支持對不同用戶的數(shù)據(jù)進(jìn)行批量審計(jì),即在有多個(gè)審計(jì)任務(wù)的情況下,同時(shí)對這多個(gè)任務(wù)進(jìn)行審計(jì).相比逐一審計(jì)的方式,批處理可以大大提高審計(jì)的總體效率.以上討論的云端存儲數(shù)據(jù)完整性審計(jì)都是針對數(shù)據(jù)屬于單一所有者的情況.當(dāng)考慮群組中多個(gè)用戶可以對數(shù)據(jù)進(jìn)行編輯、修改的情況下,群組共享數(shù)據(jù)的完整性公開審計(jì)面臨新的問題.其中,一個(gè)新的問題是TPA可以根據(jù)多次驗(yàn)證過程中獲得的驗(yàn)證信息,來分析驗(yàn)證信息的更新,從而分析出哪個(gè)用戶修改了哪部分?jǐn)?shù)據(jù),并分析哪個(gè)用戶在群組中具有更重要的作用,最終泄露群組用戶的身份隱私;另一個(gè)問題是當(dāng)群組成員撤銷時(shí),如何對被撤銷用戶產(chǎn)生的認(rèn)證標(biāo)簽進(jìn)行有效地處理以保證數(shù)據(jù)繼續(xù)能夠被TPA進(jìn)行完整性審計(jì),同時(shí)能夠盡量降低終端用戶的處理開銷.針對第1個(gè)問題,我們首先提出了一個(gè)解決方案Oruta.在該方案中,通過構(gòu)造基于環(huán)簽名的同態(tài)可認(rèn)證標(biāo)簽,對TPA保護(hù)了用戶的身份隱私.這一方案的不足之處是認(rèn)證標(biāo)簽的數(shù)據(jù)量以及審計(jì)過程的額外通信開銷隨群組中用戶數(shù)目線性增加,不適于大規(guī)模的群組共享數(shù)據(jù)的應(yīng)用場景,且新用戶的增加必需重新計(jì)算認(rèn)證標(biāo)簽;另一個(gè)特點(diǎn)是由于環(huán)簽名的特性,任何人都沒有辦法區(qū)分對某一數(shù)據(jù)塊的認(rèn)證標(biāo)簽是哪個(gè)用戶產(chǎn)生的.隨后我們又基于群簽名構(gòu)造的同態(tài)可認(rèn)證標(biāo)簽,設(shè)計(jì)了群組共享數(shù)據(jù)完整性審計(jì)方案Knox,該方案標(biāo)簽長度與群組用戶數(shù)無關(guān),當(dāng)必要時(shí),群控制者(一般是數(shù)據(jù)的原始創(chuàng)建者)可以揭示對某個(gè)數(shù)據(jù)塊的簽名者身份.在上述方案的基礎(chǔ)上,我們又基于代理重簽名的思想,設(shè)計(jì)了一個(gè)可以有效地支持群組用戶撤銷的云端群組數(shù)據(jù)的完整性審計(jì)方案.該方案在群組用戶的撤銷過程中,因維護(hù)數(shù)據(jù)完整性所產(chǎn)生的開銷主要由云端而不是用戶來承擔(dān),從而極大地減輕了群組在用戶撤銷過程中的計(jì)算和通信開銷.在此基礎(chǔ)上,我們還對最初的方案進(jìn)行了擴(kuò)展,使其能夠支持批處理的多個(gè)任務(wù)審計(jì)(即同時(shí)審計(jì)多個(gè)任務(wù)),從而能提高了在多個(gè)任務(wù)情況下的審計(jì)效率.4基于數(shù)據(jù)的加密刪除數(shù)據(jù)安全銷毀(securedatadeletion)是近年來云數(shù)據(jù)安全中的新的熱點(diǎn)問題.由于用戶在使用云數(shù)據(jù)服務(wù)的過程中,不再真正意義(物理)上擁有數(shù)據(jù),如何保證存儲在云端、不再需要的隱私數(shù)據(jù)能夠安全銷毀成為新的難點(diǎn)問題.傳統(tǒng)的保護(hù)存儲在云端隱私數(shù)據(jù)的方法是在將數(shù)據(jù)外包之前進(jìn)行加密.那么(云端)數(shù)據(jù)的安全銷毀實(shí)際上就轉(zhuǎn)化為(用戶端)對應(yīng)密鑰的安全銷毀.一旦用戶可以安全銷毀密鑰,那么即使不可信的云服務(wù)器仍然保留用戶本該銷毀的密文數(shù)據(jù),也不能破壞用戶數(shù)據(jù)的隱私.現(xiàn)有大量的系統(tǒng)是通過覆蓋來刪除所存儲的數(shù)據(jù).但是使用覆蓋的方法嚴(yán)重依賴于基本的物理存儲介質(zhì)的性質(zhì).對現(xiàn)在廣泛使用的云計(jì)算以及虛擬化模型來說,數(shù)據(jù)所有者失去了對數(shù)據(jù)存儲位置的物理控制.因此,基于存儲介質(zhì)的物理性質(zhì)的安全數(shù)據(jù)刪除方法并不能滿足現(xiàn)在的需求.張逢喆等人提出了一種基于可信計(jì)算數(shù)據(jù)銷毀機(jī)制.Boneh和Lipton提出了利用加密數(shù)據(jù)來銷毀信息的機(jī)制.DiCrescenzo等人針對文件集合中的任意一個(gè)文件的有效安全刪除引進(jìn)了樹狀結(jié)構(gòu).在樹的根節(jié)點(diǎn)上的主密鑰保持可擦除,樹中的每一個(gè)密鑰都加密下面的多個(gè)密鑰,而葉子節(jié)