基于多分支路径树的云存储数据完整性验证机制

随着云存储技术的发展,为了节约存储成本,越来越多的用户选择将数据存储在云端,但同时用户也失去了对数据的控制权,无法确保云端数据的完整性。因此,云服务提供商(cloud service provider,CSP)需要通过一种有效的协议向用户提供数据完整性证明。目前许多方案仍存在无法支持全动态(插入、修改和删除)更新,或方案计算、存储和通信开销大等问题。针对上述问题,该文提出基于多分支路径树(large branching tree,LBT)的数据完整性验证机制,通过构建结构简单的认证树,简化动态更新过程,实现全动态更新。实验结果表明:该方案在动态更新过程中,能够减少协议各实体的计算负担,高效完成大量数据更新的云存储数据完整性验证。     

一种高效的多副本数据持有性证明方案

为了验证云存储中服务提供商是否完整地存储了用户的数据副本,在分析支持动态数据的持有性证明方案(RDPC)的安全缺陷(无法抵抗替换和重放攻击)的基础上,对其进行了改进和扩展,提出一种基于同态哈希技术的多副本持有性证明方案。该方案能够同时对多个副本的持有性进行验证,具有抵抗替换攻击、重放攻击和伪造攻击的能力。通过对Merkel哈希树进行改进,使方案更好地支持动态数据操作,同时利用γ编码技术,使得对数据块的验证和更新等操作过程中通信的数据量更小。     

云存储中动态多副本数据的完整性验证

云存储环境下,如何高效且动态地完成对用户多副本数据的完整性验证是一个极具挑战性的课题.在现有云数据完整性验证方案的基础上提出了一种多副本数据持有性证明方案,通过引入认证的副本哈希数组数据结构实现了多副本文件的可动态更新验证.方案实现了数据的安全存储与更新,并有效保证了数据多副本的隐私安全.安全性分析与实验表明了方案的安全性与有效性.     

基于Hash聚合动态数据持有性方案安全性分析

为了防止数据丢失、修改或破坏等,需要对存储在云端的远程数据进行持有性验证。云端动态数据可持有性是当前云数据安全领域的研究热点之一。该文针对已有典型基于Hash聚合动态数据持有性证明方案,分析其验证过程存在的安全问题及其产生原因。结果表明:Hash聚合方法能有效减少由于数据动态操作而增加的数据存储量、计算量、传输量等验证成本,但是如果忽略对于数据块位置与数据块值对应关系的验证则会面临替换攻击,导致严重的安全问题。     

基于Shamir秘密共享的云端多副本审计

针对云端多副本审计问题,提出了一种基于Shamir秘密共享的审计方案.该方案利用Shamir秘密共享算法为同一数据文件的所有副本生成不同的数据标签,以防范云服务提供商的多种攻击,且根据该算法特性生成的聚合标签能有助于实现云服务提供商未完全持有全部副本数据时的出错定位;利用BLS(BonehLynn-Shacham)签名和双线性映射技术实现了多副本的批量审计,避免了云服务提供商与审计者之间的多次交互,从而降低了审计过程中的通信开销;通过在用户数据预处理阶段引入随机掩码实现了对合谋攻击的防范,并在审计过程中应用随机掩码避免了用户隐私的泄漏.对提出方案的安全性进行了理论证明,并与已有方法在性能方面进行了比较和实验分析.结果表明:提出的方案能够有效地实现多副本数据的安全审计,并较之已有方法具有更小的时空开销.     

EPoWs云存储认证算法

采用副本消除技术的云存储系统在认证过程中面临Hash泄露的威胁;基于PoWs(prove of owner-ships)的云存储认证算法有效解决了Hash泄露的问题,但是无法对抗重放攻击和Hash树还原攻击.针对这些问题,在分析PoWs算法的基础上提出一种改进的PoWs认证方案,在不增加密钥协商机制的基础上对部分认证信息进行加密,使得中间人无法还原Hash树.同时在加密过程中引入时间戳机制,对抗重放攻击,降低了PoWs认证过程中云端的负载.     

云存储环境下数据持有性证明研究综述

随着网络存储技术的发展,越来越多的用户选择将数据存储到云端,从而用户失去对数据的直接控制.如何验证存储在云端的数据完整性便成为用户最关心的问题之一.学术界和工业界普遍认为数据持有性证明(provable data possession,PDP)机制是解决该问题的重要手段,本文对现有的部分经典数据持有性证明方案进行了梳理.给出了数据持有性证明系统模型和审计框架;分析了数据持有性证明系统的功能特性和安全需求;分别从实现原理、应用场景和不同实体3个不同的视角,对目前主要的数据持有性证明方案进行了总结归纳,并对未来的研究趋势进行了展望.     

基于CP-ABE的云存储数据访问控制方案

结合云存储的应用环境,构造了一种基于密文策略属性的加密(ciphertext policy attribute based encryption,CP-ABE)技术和收敛加密技术的混合加密数据访问控制方案.该方案包括密钥发布中心、用户和云服务器三方实体,能高效、灵活、细粒度地进行数据的访问控制,可提高云存储服务器的空间利用率,并使用签名技术支持数据源认证和数据完整性认证.理论分析与实验验证了该方案具有较高的实际应用价值.     

支持隐私保护的云存储框架设计

针对云存储中的隐私安全问题,设计了一个支持隐私保护的、高效且安全的云存储框架.该框架采用多叉树结构构建数据索引,设计密钥推导算法EKDA(Extirpation-Based Key Derivation Alogrithm)实现密钥的管理和分发,构建关键字检索算法DLSEK(Discrete Logarithm-Based Search on Encrypted Keyword)实现对数据共享和密文检索的支持,并结合延迟更新技术解决用户访问权限变更和数据更新问题.从EKDA的有效性、DLSEK的性能和隐私安全方面进行实验评估和安全分析,结果表明:EKDA能有效地减少通信和存储负载,DLSEK是一种具有单向性安全的支持检索的加密技术,整个框架的设计能有效地保护用户的隐私,同时支持高效的数据访问.     

基于动态布隆过滤器的云存储数据持有性验证方法

针对现有云存储数据持有性验证方法验证效率低的问题,提出一种基于动态布隆过滤器的云存储数据持有性验证方法.首先使用同态哈希函数对云存储数据进行处理,简化客户端计算量;然后第三方验证平台使用数据块标签构造动态布隆过滤器,支持云存储数据的全动态操作;最后通过随机验证路径生成持有证据,增强云存储数据持有性验证的安全性.实验结果表明该方法可有效减少证明计算开销,提高了验证安全性和验证效率.     

一种隐蔽用户身份信息的认证方案

分析了一种基于随机数和Hash函数的认证方案(NHRA)的认证过程,发现该方案存在着远程主机上容易泄露用户身份信息的安全问题。针对该问题,构造了一个基于随机数和Hash函数、隐蔽用户身份信息远程身份认证方案。该方案允许用户自主选择和更改口令、能够抵御假冒远程主机攻击、抵御假冒合法用户攻击,对用户身份信息认证更加安全有效。     

基于同态哈希函数和虚拟索引的动态云审计方案

为更好地实现云存储的数据完整性验证，解决云数据安全更新效率低的问题，提出一种基于同态哈希函数和虚拟索引的动态审计方案。首先对上传云服务器的数据进行盲化，以保护原始数据在云中的隐私；接着利用同态哈希算法对盲化后的数据进行签名，以便签名聚合的计算；然后利用虚拟索引实现对特定数据块快速查找和更新的同时，不对其他数据造成影响；最后，将提出的动态云审计方案扩展为批量验证方案，从而提高多用户场景下完整性验证的效率。理论分析表明，该方案是安全高效的。     

面向云平台的异构监控数据存储方法

针对云平台监控数据异构、数据量大、冗余量大、时序性强的特点,提出一种异构监控数据存储方法。该方法以反范式化为基础,采用统一数据表达方式兼容异构源数据,通过结合标签分离、数据压缩、预热缓存、索引等机制实现了云平台监控数据的高效存储,提高了存储空间利用率,增强了数据的可扩展性,简化数据管理,降低了数据的开发维护成本。实验结果表明:本文所提出方法满足云平台监控数据高效写入、实时更新与快速查询的实际要求。     

基于CP-ABE算法的云存储数据保护机制

针对电子政务和企业外包数据服务,在用户并不能完全信任云服务提供商这一前提下,研究了基于密文策略属性基加密(CPABE)算法的云存储安全机制,实现了类似基于角色的数据访问控制机制.还将CP-ABE加密和层级访问控制机制相结合,构造简单高效的访问结构树,从而简化了密钥管理的过程;同时利用代理重加密技术实现权限撤销,从而将大部分计算任务交给云服务提供商完成.     

属性加密及其应用综述

由于经济社会的不断发展与变革,各行各业都产生了大量的数据,由此导致的数据存储问题和数据共享的安全问题成为人们的困扰。云服务(cloud server)应运而生。用户将数据存在"可信但有好奇心"的云服务提供商处,于是能否实现有效的数据访问控制策略和保障数据的安全存放成为云服务面临的主要挑战。基于属性加密(ABE)方面的研究已成为解决云服务安全隐患的研究热点。     

基于属性加密的用户隐私保护云存储方案

为了保护云存储环境下用户数据的隐私,该文提出一种基于属性加密(ciphertext-policy attribute based encryption,CP-ABE)的用户隐私保护云存储(user privacy-preserving cloud storage,UPCS)方案。首先,数据所有者为不同的文件设置不同的访问权限属性;其次,可信第三方使用CP-ABE方案将访问属性嵌入到密文中,只有当用户的属性满足密文的访问属性,才能解密相应密文;最后,为减少数据所有者和用户的计算时间开销,在索引生成和文件解密阶段,将部分操作授权给分布式代理服务器。结果表明:该方案可以有效地保证用户数据和关键词的隐私以及减少数据所有者和用户的计算时间开销。     

基于BLS的动态云数据完整性验证方案

随着云存储技术的发展,更多的用户选择将数据存储在云端,这虽然为用户节约了存储空间,但同时也让用户失去了对数据的控制权,无法确保云端数据的完整性.因此,检验数据的完整性便成为一个亟需解决的问题.当前许多数据完整性验证方案仍存在无法支持全动态更新(插入、修改和删除)的问题.本文提出一种基于BLS(Boneh–Lynn–Shacham signature scheme,BLS)短签名即基于双线性对构造的云数据完整性验证方案,实现了对云端数据的高效动态完整性更新和验证.经过实验分析,本文所提方案在达到同等安全程度上,极大地缩短了签名的长度,并提高了云存储空间的利用率.     

基于动态重加密的云计算存储平台权限撤销优化机制

针对云存储服务中用户访问权限撤销计算与带宽代价过大、复杂度过高等问题。以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计出一种基于动态重加密的云存储权限撤销优化机制,即DR-PRO。该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销实现过程。通过理论分析与模拟实验评估表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高。     

一种基于散列链的无线网络重编程安全认证机制

现有的无线传感器网络重编程安全机制大多基于无线重编程协议Deluge,主要解决无线重编程中更新代码的安全认证问题,但恶意节点很容易通过伪造控制消息对参与无线重编程的节点实施DoS攻击．文中将“抗DoS方案ADV—Hash”与“更新代码安全认证协议”相结合,将广告散列链和更新代码散列链相结合,提出了一种基于散列链的无线传感器网络重编程安全认证的改进方案ADV—Data—Hash．该方案利用散列链和一次数字签名相结合的方案实现了对无线重编程轻量认证．理论分析和仿真实验表明该方案在不影响Deluge协议原有特性的同时,能有效避免由虚假广告引发的DoS攻击以及对更新代码的篡改和伪造,确保网络重编程协议的可用性．     

校园私有云存储方案的探索

随着高校数字化移动应用层次的不断提高;校园中文档存储共享需求突显.为了解决如何构建校园私有云并与当前公有云存储并存的问题,通过实践应用,提出并实现了基于高校自身管理、应用特色的私有云存储的解决方案.该方案重点是在高校私有云存储的用户组织管理,云存储后端及Swift对象存储的改进,以及一种智能云数据更新的客户端技术方案的探索.