Privacy Preserving Query over Encrypted Multidimensional Massive Data in Cloud Storage

Cloud storage is widely used in massive data outsourcing, but how to efficiently query encrypted multidimensional data stored in an untrusted cloud environment remains a research challenge. We propose a high performance and privacy-preserving query (pLSH-PPQ) scheme over encrypted multidimensional data to address this challenge. In our scheme, for a given query, the proxy server will return K top similar data object identifiers. An enhanced Ciphertext-Policy Attribute-Based Encryption (CP-ABE) policy is used to control access to the search results. Therefore, only the requester with the permission attribute can obtain correct secret keys to decrypt the data. Security analysis proves that the pLSH-PPQ scheme achieves data confidentiality and reserves the data owner’s privacy in a semi-trusted cloud. In addition, evaluations demonstrate that the pLSH-PPQ scheme can significantly reduce response time and provide high search efficiency without compromising on search quality.     

安全云环境中基于minhash函数的多关键字检索方案

为了降低硬件购置成本,许多机构倾向于使用稳健快速的云服务将他们的数据转包出去;然而,外包数据可能含有需要防护的敏感数据;而云提供商并不能可靠满足这一要求.因此,必须采取防护措施,以保护敏感数据不受到云服务器和其他未授权机构的破坏.提出了一种基于Minhash函数的高效加密云数据隐私保护多关键字检索方法;该方法根据数据所有者生成并外包给云服务器的加密可检索索引进行加密云检索.已知检索内容后,服务器采用tf-idf加权法将检索内容与可检索索引相比较,除了鉴于隐私因素可被泄露的信息外,不需其他信息即可返回结果.基于公开的Enron数据集的仿真实验结果表明,该方法可保证用户只会检索到最相关的条目,不会对用户造成不必要的通信和计算负担.另外,在检索精度方面,也要优于现有的方法.     

一种基于异或运算的属性撤销CP-ABE方案

针对属性撤销CP-ABE方案中密钥更新时属性授权机构与用户之间的通信开销过大及密文更新时云存储中心的计算复杂度过高的问题,本文提出一种基于异或运算的、支持属性级撤销的密文策略属性基加密方案. 在该方案中,属性授权机构先将需要撤销的属性名称、被撤销用户的标识及新的时间参数发送给云存储中心,然后云存储中心根据用户标识和新的时间参数的异或结果与密文的一部分进行异或运算,得到新密文.收到新密文后,正常用户可以利用自己的密钥解密得到原密文,进而得到明文,而被撤销用户则只能使用已撤销属性的新密钥才能解密得到原密文,从而实现属性级撤销. 理论分析和数值模拟表明,在保证系统安全性的前提下,该方案能够减少属性授权机构与用户间的通信开销,降低云存储中心的计算复杂度.     

Public Auditing for Encrypted Data with Client-Side Deduplication in Cloud Storage

Storage auditing and client-side deduplication techniques have been proposed to assure data integrity and improve storage efficiency, respectively. Recently, a few schemes start to consider these two different aspects together. However, these schemes either only support plaintext data file or have been proved insecure. In this paper, we propose a public auditing scheme for cloud storage systems, in which deduplication of encrypted data and data integrity checking can be achieved within the same framework. The cloud server can correctly check the ownership for new owners and the auditor can correctly check the integrity of deduplicated data. Our scheme supports deduplication of encrypted data by using the method of proxy re-encryption and also achieves deduplication of data tags by aggregating the tags from different owners. The analysis and experiment results show that our scheme is provably secure and efficient.     

面向多用户的多层嵌套数据库加密方案

围绕外包数据的安全性问题与用户隐私性问题,展开对加密数据库方案的研究,提出了一个面向多用户的多层嵌套数据库加密方案.该方案根据洋葱模型多层理论,采用多种不同类型的加密算法对用户的外包数据进行多层嵌套加密,实现了既保证数据机密性又满足多种不同SQL查询类型的数据库加密方案.针对用户递交包含敏感信息的查询语句在一定程度上泄露用户自身的隐私这一问题,设计了基于单服务器私有信息检索(private information retrieval,PIR)技术的用户隐私保护机制,实现了用户匿名查询.安全性分析表明,该方案满足数据机密性与用户隐私性.Sysbench基准测试实验分析表明,该方案具有良好的查询处理效率、读写吞吐量以及健壮性.     

隐藏访问模式的高效安全云存储方案

围绕当前云存储环境中用户数据机密性和隐私泄露问题,提出一个隐藏访问模式的高效安全云存储方案.该方案首先将文件分为固定大小的数据块,利用伪随机函数和抗碰撞哈希函数将数据块编码、加密,并将密态数据块上传至云服务器的伪随机集合超集内,构建安全云存储结构;同时,设计两轮用户访问策略,在隐藏访问模式的同时降低了存储代价和访问交互次数,实现文件的动态高效更新.安全分析表明,选择适当的安全参数,方案满足L₁L₂-动态自适应安全性.实验结果表明,本方案在保证数据机密性的同时,更适用于实际的云存储环境.     

一个盲公开可验证的矩阵乘积外包计算方案

基于可验证数据库,提出了支持盲公开可验证的矩阵乘积匿名外包计算方案,该方案满足对计算结果公开可验证,同时可以保护用户身份及数据的隐私,防止恶意云服务器的欺骗行为。给出的安全性分析说明了方案在随机预言机模型下是适应性选择消息安全的。方案使用摊销模型,以降低计算开销,并通过模拟实验证明,与已有方案相比本方案计算开销更小。     

云计算中可验证的外包数据库加密搜索方案

云上外包数据库的安全问题已成为云计算安全的研究热点。给出两个具有数据保密性的云上外包数据库模型,可以验证查询完整性,并能有效保护数据搜索者的搜索隐私。这两个数据库模型支持单属性等值选择操作及其与投影的复合操作,支持数据的添加与删除。与已有的此类方案相比,在计算量相当的前提下,具有较高的安全性和较多的功能。     

数据库中字符型数据的加密及查询

加密是保护数据库中敏感信息的一种有效手段,如何在保证数据库安全的同时,实现对加密数据的高效查询是目前的一个难题。在此提出一个针对字符型数据的保存顺序加密方案,能直接在加密数据上执行字符串的等值查询;同时,通过构造索引字段储存字符串的结构信息,使子串查询时只需解密部分相关记录,较大地提高了子串查询性能。最后通过实验验证了加密系统的安全性与查询性能的提高。     

Aggregation Tree Statistical Computing Based on Functional Encryption

The medical monitoring system is widely used. In the medical monitoring system, each user only possesses one piece of data logging that participates in statistical computing. Specifically in such a situation, a feasible solution is to scatter its statistical computing workload to corresponding statistical nodes. Moreover, there are still two problems that should be resolved. One is how the server takes advantage of intermediate results obtained through statistical node aggregation to perform statistical computing. Statistical variable decomposition technique points out the direction for statistical projects. The other problem is how to design an efficient topological structure for statistical computing. In this paper, tree topology was adopted to implement data aggregation to improve aggregation efficiency. And two experiments were done for time consumption of statistical computing which focuses on encrypted data aggregation and encrypted data computing. The first experiment indicates that encrypted data aggregation efficiency of the scheme proposed in this paper is better than that of Drosatos' scheme, and the second indicates that improving computing power of the server or computational efficiency of the functional encryption scheme can shorten the computation time.     

基于CP-ABE的自定义读写策略的云数据共享方案

为解决现有研究中用户权限分类的云存储数据共享的研究少,且已存研究算法复杂、通信开销大、安全漏洞多等问题,提出一种去中心化的用户自定义读写权限的数据安全共享方案.本文采用密文政策的基于属性的加密算法与短群签名相结合,使数据拥有者自定义只读用户和修改用户的属性条件,并将条件绑定密文托管至云服务器中,使得符合条件的用户能够自行解密数据.实验结果表明,所提云数据共享方案保证数据读写机密性,算法简单、计算量通信量小、参数少、签名长度短并且能弥补同类方案的安全漏洞.      

基于以太坊的格上属性基可搜索加密方案

提出了一种基于以太坊的安全、灵活、高效的格上属性基可搜索加密方案.方案基于格密码体制提出,解决了传统基于双线性配对技术的属性基可搜索加密方案存在的不可抗量子攻击安全问题.方案使用基于以太坊技术的分散存储方法解决了传统云存储系统中单点故障问题,并且方案中数据拥有者代替私钥生成器为用户生成私钥,这避免传统方案由于密钥托管问...     

外包空间数据库的完整性保证机制

存储在云计算服务提供商上的用户数据可能被篡改或删除,查询完整性验证方案的作用是确保查询用户能够验证查询结果中的数据是真实的且包含所有满足条件的数据.本文在现有验证树结构基础上进行改进,提出了一种空间验证数据结构VSS-tree.利用SS-tree作为基本结构并为其附加验证信息,采用边界球进行区域划分增大了节点的度,有效降低了验证树的高度,并避免了不必要的磁盘访问,从而提高了空间查询验证的处理效率.实验结果表明,该方案比MR-tree具有更好的性能.     

基于生物信息的可验证公钥可搜索加密协议

可搜索加密保证了加密云数据的可检索性,然而提供云服务的一方并不是完全可信的,利益驱使其不诚实地执行搜索或恶意隐瞒数据泄露,因此对加密搜索结果进行验证是非常必要的。结合已有的研究成果,得到了一个可验证公钥可搜索加密协议模型。从此模型出发,利用布隆过滤器建立搜索结构,利用基于生物信息的加密技术建立访问控制,利用双线性签名技术等建立认证,实现了基于生物特征的公钥可搜索加密协议的可验证性,最后对其正确性和安全性进行了证明。验证结果表明该方案在一定程度上保证了加密搜索的安全性和搜索结果的可验证性。     

A novel fuzzy keyword retrieval scheme over encrypted cloud data

In this paper, we focus on the fuzzy keyword search problem over the encrypted cloud data in the cloud computing and propose a novel Two-Step-Bloom-Secure-Filter (TSBSF) scheme based on Bloom filter to realize the efficiency and flexibility of data use. The proposed scheme not only reduces the space complexity significantly but also supports the data update with low time complexity and guarantees the search accuracy. Experimental results on real world data have certified the validity and practicality of this novel method.     

数据库安全机制的探讨与实现

数据库技术已经成为计算机技术的基础和核心,数据库中的数据会受到很多方面的攻击,为保护数据库中数据的安全,数据库提供了各级身份验证机制,防止用户非法登录;提供了服务器角色、数据库角色和权限来限制登录用户的操作;提供了数据加密,即使用户获取数据后需要解密才可以正确读取数据;触发器也可以作为辅助手段保护数据安全性.     

云环境下用户数据安全性访问控制算法

针对传统的用户数据安全性访问算法存在安全性及整体性能低下的问题,提出一种新的云环境下用户数据安全性访问控制算法。通过介绍所提算法的基本概念,利用模糊层次分析法计算云环境中用户数据直接信任值;通过用户和其他云服务之间的信任值求取用户数据推荐值;在此基础之上,确定用户数据综合信任值。通过用户数据信任等级分配得到用户访问权限,针对信任水平较低的用户,云服务供应商通过拒绝其访问保证整个云环境的安全性。实验结果表明,所提算法安全性高,整体性能强。     

公共云安全体系结构设计

针对云计算环境下新型服务模式的引入以及虚拟化技术的使用为信息安全带来一系列新的安全隐患问题, 对公共云的安全性进行研究。从用户安全目标数据安全性和云服务可用性及性能两方面入手, 全面分析公共云面临的安全威胁。设计了公共云安全参考框架, 提出从用户管理、 数据安全、 数据中心软硬件安全和控制权转移引发的安全问题加强公共云安全性。最后对云安全评估进行了讨论。实验结果表明, 该结构能整体提高公共安全性, 抵御各类安全威胁。     

密态数据库的检索与信息渗漏

为了提高数据库的安全,防止越过权限控制的信息泄露,利用数据项这一最小粒度作为加密单元,以增强数据库安全。分析了目前数据库中加密数据的方案。提出一种基于平均差值排序的密态数据库检索方法,以隐藏明文序列防止动态追踪。对字段级加密,通过引入干扰因子来隐藏信息的泄露。对可能出现的有限值域信息泄露进行了研究。对文献[5]提出的防泄露算法进行了分析。实验结果表明:改进的方法在增强数据安全的同时,也具有较短的响应时间。     

Improved verifiability scheme for data storage in cloud computing

In Cloud computing,data and service requests are responded by remote processes calls on huge data server clusters that are not totally trusted.The new computing pattern may cause many potential security threats.This paper explores how to ensure the integrity and correctness of data storage in cloud computing with user’s key pair.In this paper,we aim mainly at constructing of a quick data chunk verifying scheme to maintain data in data center by implementing a balance strategy of cloud computing costs,removing the heavy computing load of clients,and applying an automatic data integrity maintenance method.In our scheme,third party auditor (TPA) is kept in the scheme,for the sake of the client,to periodically check the integrity of data blocks stored in data center.Our scheme supports quick public data integrity verification and chunk redundancy strategy.Compared with the existing scheme,it takes the advantage of ocean data support and high performance.