云计算环境下隐私保护方案

云计算中的用户隐私保护问题是云计算安全应用的挑战之一。现有的隐私保护方案大多面向用户可用数据的保护而忽视了个人身份信息的保护。为了解决这个问题,该文首先针对可用数据保护提出基于二次混淆的隐式分割机制;同时针对用户身份信息的保护提出基于可信服务器的云存储架构,实现数据存储和用户个人信息管理隔离。云服务器利用可信服务器提供的存储认证码判断用户的存储权限,用户的身份信息存储于可信服务器。安全分析表明:该架构能够隐藏存储在云服务器上的数据子块的特征,并且能对用户身份信息进行有效保护。     

一种基于节点映射关系的云数据安全代理访问机制

随着移动终端多媒体技术的发展,用户逐渐将本地数据通过各种网络备份到云存储服务器上.云平台在提供廉价便捷的数据存储服务的同时也存在数据安全防护问题,尤其是密文数据访问控制完全依赖于云服务商.为了防止数据被非授权用户和半可信云存储提供商的非法访问,提出一种基于节点映射关系的CP-ABE属性加密算法,即通过属性管理降低权限管理的复杂度.在密文访问控制机制中引入密钥授权中心和安全代理实现存储服务与安全服务异地存储,保证在开放环境下云存储系统中数据的安全性.实验结果表明,这种属性管理机制在少量的系统开销下实现了数据存储与密钥存储的分离,具有较高的应用价值.     

电子交易中保护消费者隐私相关性分析

对电子交易中的消费数据进行统计分析能方便向消费者提供更好的服务.针对消费数据容易暴露消费者隐私等安全问题,提出了一种有效实用的解决方案,首先将消费者数据分块存储在多服务器中,同时服务器采用Paillier同态加密算法对各自所存储的数据加密,并对分析者进行访问控制,确保仅授权分析者可获得结果.最后在密文域上完成安全计算与统计分析,有效防止半诚实服务器的内部攻击.分析表明,在不泄露消费者隐私的前提下,可有效完成相关统计分析,具有较高实用价值.     

一种在云计算下的细粒度数据访问控制算法

经过对现存数据访问控制算法和数据加密算法的研究与分析,在一个由云服务商、数据拥有者和用户组成的云数据访问控制模型的基础上,将细粒度控制和基于角色访问策略的思想相结合,把要存放在云中的数据,根据用户需要按照数据内容对其进行多层次的细粒度划分,在此基础上提出一种基于用户角色权限的细粒度数据访问控制算法,从而避免访问信息时容易泄漏数据的弱点.     

基于CP-ABE的云存储数据访问控制方案

结合云存储的应用环境,构造了一种基于密文策略属性的加密(ciphertext policy attribute based encryption,CP-ABE)技术和收敛加密技术的混合加密数据访问控制方案.该方案包括密钥发布中心、用户和云服务器三方实体,能高效、灵活、细粒度地进行数据的访问控制,可提高云存储服务器的空间利用率,并使用签名技术支持数据源认证和数据完整性认证.理论分析与实验验证了该方案具有较高的实际应用价值.     

一种新型的安全云存储模型

针对云存储中的数据安全访问控制问题,设计了一个以云服务器为中心节点,支持不同权限多用户访问的安全高效的云存储模型。该模型利用椭圆曲线公钥密码设计具有语义安全的可搜索加密算法,并结合关键字相关度定义和保序加密算法提高数据检索准确性,降低系统通信负担;通过代理加密思想、用户访问控制列表和用户——数据访问控制矩阵实现不同权限用户的访问控制,安全灵活解决动态用户密钥管理问题。最后通过对模型安全性和模型效率两个方面对比分析,对模型可行性给出了证明。     

支持用户撤销的多授权机构的属性加密方案

目前多数基于属性加密的云存储访问控制研究是基于单授权机构,系统内仅有一个授权机构为用户颁发属性密钥,可信而好奇的单授权机构会凭借用户提交的属性对用户的身份、职业等隐私信息进行判断和推测,特别是在单授权机构不可信或遭受恶意攻击的情况下,可能造成密钥泄露而导致云端数据被非法解密。为了避免上述两种安全问题,结合现有的多授权机构的思想,使不同权限的授权机构管理不同属性并进行属性相关密钥分发,大大降低了单一信任机构的工作量,解决了单授权机构下的密钥泄露或滥用问题,同时提高了用户的隐私数据保护;通过访问树技术实现了AND、OR及Threshold灵活访问策略,且将用户身份标识设置在访问树中来实现用户的撤销,撤销出现后只需更新部分密文而无需更新属性密钥,因而减少了计算开销。在标准模型下证明了该方案在选择身份属性攻击模型下是安全的,其安全性规约到判定性双线性Diffie-Hellman(decisional bilinear Diffie-Hellman, DBDH)问题。     

基于双重身份认证的云计算访问控制模型

针对云计算中用户访问的安全性问题,提出一个基于双重身份认证的安全策略模型.基于单向散列函数的特性,利用主机MAC地址和用户指纹的唯一性,建立按用户类型进行身份认证的访问控制策略,并在用户和云服务器之间建立一种相互认证关系,确保通信双方的合法身份,保护了用户安全性和云服务器数据的保密性.     

混合云模式下数据安全存储方案

针对混合云模式下数据安全存储与共享使用的问题,提出一种适用于混合云模式下的高效数据安全共享方案,该方案采用密文策略的属性基加密机制加密数据,通过私有云将密文数据存储在公有云上;移动用户访问云数据时,采用匿名密钥协商技术和委托加解密方法,保证用户对数据的快速访问.实验结果表明,本方案能够保证公有云上数据的安全存储,支持细粒度的访问控制,同时将大部分解密计算委托给私有云,减少移动云用户访问云数据的处理时间,使得其加解密时间为恒定值,不会随着属性的增多而线性增长.      

面向云审计的轻量级隐私保护方案

在大数据爆发式增长背景下,云存储服务的发展为用户数据存储带来了极大的方便,按需服务特性使其备受青睐。但由于失去了对云服务器中数据的直接控制,不确定因素可能导致用户的数据损坏,这给云存储发展带来极大挑战。笔者提出轻量级计算和验证的数据审计方案,简化了用户在上传数据之前的标签计算操作,保证用户上传数据的安全性。此外,云服务器和审计者的计算任务也得到减轻,进一步降低计算开销。为保护用户数据隐私,借鉴了图像加密中的置乱加密,让用户使用随机函数对数据块的位置进行置乱,同时让审计者计算出数据块的真实位置,完成审计操作。实验结果表明,该方案有效节省了审计流程中用户和服务器、审计者3方的计算资源,提升流程效率。     

适用于云存储的并行无证书代理重加密方案

为了保证云存储中数据的安全访问控制,并基于CPU已进入多核阶段的现状,将并行计算思想用于代理重加密算法中,提出了一个并行代理重加密方案(PCL-PRE).数据拥有者使用对称加密密钥(DEK)加密敏感数据,同时使用代理重加密算法加密该DEK,将这些加密内容存储于云存储中心.云存储中心作为半可信的代理节点,根据访问控制列表,将数据拥有者的DEK进行代理加密,转化为多个接收者可以用自己私钥解密的密文,而在整个过程中都无法获取任何明文信息.接收者收到密文后,即可解密.该方案使用随机数复用技术,对消息进行优化并行,并结合密文聚合,进一步提高了传输效率.实验表明,并行代理重加密方案具有明显的效率优势.     

基于区块链的物联网安全数据共享系统

针对传统数据共享方法存在隐私泄露、易受到拒绝服务攻击和黑客入侵等问题,通过密文属性策略基加密、同步聚合签名、可验证随机函数等方法,设计基于区块链的物联网安全数据共享系统。首先,物联网设备利用密文属性策略基加密方案对数据进行加密,从而对数据使用者的属性进行限定,实现细粒度的数据共享访问控制,并且可以定义使用者的访问次数;其次,在数据共享系统中引入付费商业模型,让云服务器可以为提供的服务进行收费,并且通过可验证随机函数和同步聚合签名产生相应的资源使用证明;然后,物联网设备管理方利用区块链智能合约可以对云服务器产生的证明进行自动化验证;最后,通过外包计算方法将大量运算外包给云服务器进行计算,从而降低用户端的解密开销。本文系统的优势是抵抗针对云存储密文的分布式拒绝服务供给,降低细粒度安全数据共享中用户的解密开销,以及利用区块链智能合约对云平台提供的服务进行审计。通过同步聚合签名可以将多个服务证明进行聚合,从而提高审计的效率。实验结果表明,该系统能够实现分布式的信任管理,对物联网数据的处理速度效率高,能够对加密数据进行细粒度的共享和管理。     

云存储安全关键技术分析

随着云计算的流行,云存储也得到了广泛的关注和支持。但云存储自身的数据安全问题阻碍其推广应用,云存储的安全问题也不仅仅是传统安全能够完全解决的,这其中涉及到一些新的关键技术和管理技术。本文主要对云存储安全中的数据加密存储与检索、密文访问控制等关键技术进行了分析。     

一个基于物联网的电子商务在线溯源框架系统

电子商务过程中,能够对商品质量进行溯源是提高服务质量的关键,溯源是对商品生产、流通过程进行正向或反向跟踪,并根据溯源主体需求反馈商品在整个供应链中的实时信息。讨论了射频识别系统(radio frequencyidentification,RFID)和产品电子代码(electronic product code,EPC)等物联网技术在电子商务商品质量追溯系统中的应用,指出了集中存储式追溯模式的缺陷,即数据库服务器的负载能力、网络吞吐量容易造成系统瓶颈,提出一个通用的、基于云存储模式的在线溯源框架系统,以云存储模式为系统整体架构核心,体系层次间通过XML,Webservice数据接口实现跨平台数据交换,系统功能和编码方案可适应不同溯源主体的需求。     

基于UCON改进模型在云环境虚拟访问控制中的应用研究

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

基于CP-ABE算法的云存储数据保护机制

针对电子政务和企业外包数据服务,在用户并不能完全信任云服务提供商这一前提下,研究了基于密文策略属性基加密(CPABE)算法的云存储安全机制,实现了类似基于角色的数据访问控制机制.还将CP-ABE加密和层级访问控制机制相结合,构造简单高效的访问结构树,从而简化了密钥管理的过程;同时利用代理重加密技术实现权限撤销,从而将大部分计算任务交给云服务提供商完成.     

基于UCON改进模型在云环境虚拟访问控制中的应用

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

基于CP-ABE的自定义读写策略的云数据共享方案

为解决现有研究中用户权限分类的云存储数据共享的研究少,且已存研究算法复杂、通信开销大、安全漏洞多等问题,提出一种去中心化的用户自定义读写权限的数据安全共享方案.本文采用密文政策的基于属性的加密算法与短群签名相结合,使数据拥有者自定义只读用户和修改用户的属性条件,并将条件绑定密文托管至云服务器中,使得符合条件的用户能够自行解密数据.实验结果表明,所提云数据共享方案保证数据读写机密性,算法简单、计算量通信量小、参数少、签名长度短并且能弥补同类方案的安全漏洞.      

基于动态重加密的云计算存储平台权限撤销优化机制

针对云存储服务中用户访问权限撤销计算与带宽代价过大、复杂度过高等问题。以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计出一种基于动态重加密的云存储权限撤销优化机制,即DR-PRO。该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销实现过程。通过理论分析与模拟实验评估表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高。     

一种基于双线性对的云存储数据安全保护协议

针对支持公开验证的云存储模式中用户的数据隐私有可能泄露给第三方审计(TPA)的问题,为保护用户云端数据隐私和数据完整,提出一个基于双线性映射的云端数据完整性检测协议。该协议利用哈希函数单向性的性质,云存储服务器收到第三方审计的挑战请求后,对所需验证的数据块进行哈希运算处理,使第三方审计在验证阶段无法获得用户数据信息,从而保护用户的数据隐私;然后给出所提协议的正确性、数据完整性和数据隐私保护的分析;此外通过Merkel哈希树(MHT)的引入解决了数据动态更新的问题,如修改、删除、插入、追加。