云存储中数据持有性证明模型的设计与分析

提出一种云存储环境下的数据持有性证明模型CS PDP,该模型主要采用抽样检测的概率型验证和同态验证方法.模型中引入云存储提供商代理CSPP来协助用户与各个云存储提供商进行存储验证交互.该代理拥有三个核心模块:存储分配管理模块SAM、接收/响应挑战模块RRCM和通知/收集证明模块NCPM.对CS PDP模型的主要算法、工作流程和核心技术进行详细阐述;并且通过理论和实验两大手段,从安全性、概率型验证、以及开销(存储开销、计算开销和通信开销)等三个方面对CS PDP模型进行分析,结果表明CS PDP是一种高效可行的云环境下数据持有性证明模型.     

基于数据持有性证明的完整性验证技术综述

在云存储环境中,为确保用户数据的完整性和可用性,用户需要对存储在云服务器中的数据进行完整性验证。现有的数据完整性验证机制主要有两种：数据持有性证明（Provable Data Possession,PDP）与可恢复数据证明（Proof of Retrievability,POR）。重点讨论了基于PDP的云存储数据完整性验证机制。结合PDP验证机制特性,对PDP方案进行分类,并总结了各分类使用的关键技术;根据分类阐述了PDP方案的研究现状,并对典型方案在动态验证、批量审计、计算开销等几个方面进行了对比分析;讨论了基于PDP的云存储数据完整性验证机制未来的发展方向。     

面向云存储的多副本文件完整性验证方案

文件完整性验证是云存储服务的一项重要安全需求.研究者已经提出多项针对云存储文件完整性验证的机制,例如数据持有性验证(prove of data possession,PDP)或者数据可恢复证明(proof of retrievability,POR)机制.但是,现有方案只能够证明远程云存储持有一份正确的数据,不能检验其是否保存多份冗余存储.在云存储场景中,用户需要验证云存储确实持有一定副本数的正确文件,以防止部分文件意外损坏时无法通过正确的副本进行恢复.提出的多副本文件完整性验证方案,能够帮助用户确定服务器正确持有的文件副本数目,并能够定位出错的文件块位置,从而指导用户进行数据恢复.实验证明,充分利用了多服务器分布式计算的优势,在验证效率上优于单副本验证方案.     

高效可撤销的共享数据云存储审计

共享数据的云存储审计是指对群用户共享的云数据的完整性进行审计. 由于在共享数据云存储审计中, 用户可能因各种原因加入和离开用户群, 因此这种方案通常支持群用户撤销. 在大多数现存的共享数据云审计方案中, 用户撤销的计算开销与用户群要上传的文件块总数成线性关系, 造成很大的计算和通信代价, 如何减少用户撤销产生的计算和通...     

基于同态哈希函数的隐私保护性公钥审计算法

在云存储服务中,为使第三方可以验证存储服务提供者持有(保存)用户数据的正确性,且用户的数据不会泄露给第三方,提出一种基于同态哈希函数的隐私保护性公钥审计算法.通过在文件的线性组合中插入一个随机向量的方法,实现用户数据隐私保护,并可同时对多个不同身份标识的文件进行数据持有性证明.分析结果表明,在计算性Diffie-Hellman困难问题假设下,该算法能够抵抗服务器伪造攻击,用户数据的隐私安全依赖于离散对数困难问题,在用户签名和服务器产生证据阶段,算法的计算效率较高.     

基于B+树的动态数据持有性证明方案

针对云存储环境下的数据持有性证明（PDP）方案效率较低、不能很好支持全动态更新的问题,设计了一种基于B⁺树的动态数据持有性证明方案。该方案引入双线性对技术和数据版本表,支持用户进行数据块级的细粒度动态操作并能保护用户的数据隐私。通过优化系统模型并设计节点索引值,使第三方检测机构能识别错误数据并进行精确定位。理论分析及实验结果表明,与基于Merkel哈希树（MHT）的方案相比,所提方案能够显著降低系统构造认证数据结构的时间开销,并且简化了动态更新过程,提高了第三方检测机构的验证效率。     

云存储中一种动态模糊多关键字检索方案

随着云计算技术的迅速发展,云存储的数据安全和隐私保护问题受到了人们密切关注。为了保护用户的隐私数据,云端一般是以密文形式存储文件,给检索带来了不便。为了解决云环境中使用关键字查找密文文件的问题,有必要构建支持隐私保护的安全云存储系统。基于MRSE方案并引入了TF-IDF规则,给出了云环境下动态模糊多关键字排行搜索方案。并将第三方审计机制加入到系统当中,进行文件可持有性验证和密钥管理。     

一种新型的Merkle哈希树云数据完整性审计方案

在云存储中,针对现有云数据完整性审计方案所采用的认证数据结构存在的缺陷,设计了一种二叉有序默克尔哈希树认证数据结构BO-MHT。在节点上存储数据块信息提高节点利用率;采用局部权威根节点缩短认证路径长度。通过在节点增设版本标识来维持节点信息的新鲜性;在数据持有性证明PDP模型下采用BO-MHT结构设计实现一种新型的云数据完整性审计方案。理论分析及实验结果表明,该方案较好地实现了完整性审计功能,能有效地降低计算及通信开销,并且具有较高的审计效率。     

具有紧凑标签的基于身份匿名云审计方案

云存储技术具有效率高、可扩展性强等优点。用户可以借助云存储技术节省本地的存储开销,并与他人共享数据。然而,数据存储到云服务器后,用户失去对数据的物理控制,需要有相应的机制保证云中数据的完整性。数据拥有证明（PDP,provable data possession）机制允许用户或用户委托的第三方审计员（TPA,third party auditor）对数据完整性进行验证。但在实际应用中,数据通常由多个用户共同维护,用户在进行完整性验证请求的同时泄露了自己的身份。匿名云审计支持 TPA 在完成数据完整性验证时保证用户的匿名性。在基于身份体制下,匿名云审计方案通常需要借助基于身份的环签名或群签名技术实现,数据标签的构成元素与用户数量相关,使得数据标签不够紧凑,存储效率较低。为了解决这一问题,提出一种基于身份的匿名云审计方案通用构造,使用一个传统体制下的签名方案和一个传统体制下的匿名云审计方案即可构造一个基于身份的匿名云审计方案。基于该通用构造,使用 BLS 签名和一个传统体制下具有紧凑标签的匿名云审计方案设计了具有紧凑标签的基于身份匿名云审计方案。该方案主要优势在于数据标签短,能够减少云服务器的存储压力,提高存储效率。此外,证明了该方案的不可欺骗性和匿名性。     

云存储中利用TPA的数据隐私保护公共审计方案

针对云存储中用户数据完整性和私密性易受破坏的问题,提出了一种能够保证云数据完整性和私密性的高效方法。首先定义了隐私保护公共审计算法,然后采用第三方审计方法为用户进行数据审计,最后在随机oracle模型上验证了方案具有较高的安全性和隐私性。计算开销分析表明,相比其他审计方案,所提出方案在服务计算方面更加高效。     

基于区块链的云数据审计方案

云存储凭借高扩展性、高可靠性、低成本的数据管理优点得到用户青睐。然而,如何确保云数据完整性成为亟待解决的安全挑战。目前的云数据完整性审计方案,绝大部分是基于半可信第三方来提供公共审计服务,它们存在单点失效、性能瓶颈以及泄露用户隐私等问题。针对这些缺点提出了基于区块链的审计模型。该模型采用分布式网络、共识算法建立一个去中心化、易扩展的网络解决单点失效问题和计算力瓶颈,利用区块链技术和共识算法加密用户数据保证数据不可窜改和伪造,确保了用户数据的隐私。实验结果表明,与基于半可信第三方云数据审计方案相比,该模型能够保护用户隐私,显著提高了审计效率,减少通信开销。     

Proofs of retrievability with tag outsourcing based on Goppa codes

In cloud storage, because the data owner loses the physical control of the data, the data may be tampered with or deleted. Although, it has been proposed to adopt provable data possession (PDP) or proofs of retrievability (POR) mechanism to ensure the integrity of cloud storage data. However, at present, most PDP/POR schemes are based on traditional cryptographic mechanisms and cannot resist quantum computer attacks. For this reason, the first POR scheme based on coding mechanism (BC-POR) is proposed in this paper. The scheme is constructed based on the difficulty assumptions of 2-regular word syndrome decoding (2-RWSD) problem and Goppa code distinguishing problem. Moreover, considering the low computing power of lightweight users, this paper adopts an audit scheme that supports the outsourcing of data tag calculation on the client side, that is, the calculation of data tag generation is outsourced to a third-party institution for execution. First of all, this scheme can prevent third-party institution from obtaining the real content of the data in the process of calculation tags and realize the privacy protection of user data. Secondly, the scheme uses a FSB hash function to generate a decodable syndrome, and this algorithm does not require iterative operations during the tagging process, thereby reducing the computational overhead of the tag. Finally, the provable security method is used to prove the security of the proposed scheme, and the performance of the proposed audit scheme is evaluated to prove the effectiveness of the scheme.     

基于智能合约的工业互联网数据公开审计方案

随着工业互联网产生的数据量日益增加,越来越多的企业选择将工业互联网数据外包存储在云服务器上以节省存储开销.为了防止外包存储的数据被篡改或删除,企业需要定期对其进行审计.提出了一种基于智能合约的工业互联网数据公开审计方案.该方案基于博弈论的思想,设计了一系列智能合约,以高效地抵抗参与者恶意行为.与现有抗合谋的公开审计方案相比,该方案不依赖于复杂的密码学工具实现对参与者恶意行为的抵抗,使得其更为高效,进而能够更好地应用于海量且频繁更新的工业互联网数据场景中.特别地,所设计的博弈合约作为一种独立的工具,能够与现有的公开审计方案有效结合,在不降低其审计效率的同时,增加方案的安全性.在本地环境和以太坊公有测试链Ropsten上对博弈合约以及整体方案进行了一系列的测试,结果表明,所设计的合约运行花费低且对运行环境适应性强,对原有完整性审计方案的效率影响小;同时,与其他抗审计者恶意行为的完整性方案相比,该方案更为高效.     

云数据持有性审计研究与进展

作为云计算的重要分支,云存储以高性能和低成本等优势吸引了越来越多的组织和个人将大规模数据托管于其上。然而,云数据的外包特性和近年来频繁爆出的安全事件,使得用户对云存储服务的信心不足,其关键问题是如何确保存储在云端的数据的完整性。为应对该挑战,云数据持有性审计在最近几年被提出并受到了广泛的关注,文中对此进行了综述。首先,回顾了云数据持有性审计的一般模型和审计系统的设计目标;其次,按照实现的审计功能,对近年来的研究成果进行了分类介绍及对比分析;最后,指出了云数据持有性审计研究中存在的开放问题及发展趋势。     

基于嵌套Merkle Hash tree区块链的云数据动态审计模型

云存储凭借高扩展性、高可靠性、低成本的数据管理优点得到用户青睐。然而,如何确保云数据完整性成为亟待解决的安全问题。当前最成熟、高效的云数据完整性审计方案是基于半可信第三方来提供公共审计服务,但基于半可信第三方审计方案存在单点失效、算力瓶颈和错误数据定位效率低等问题。为了解决上述问题,提出了基于区块链的云数据动态审计模型。首先,采用分布式网络、共识算法建立一个由众多审计实体组成的区块链审计网络,并以此来解决单点失效和算力瓶颈问题;然后,在保证区块链数据可信度的前提下,引入变色龙哈希算法和嵌套MHT结构,以实现云数据标签在区块链上的动态操作;最后,借助嵌套MHT结构以及辅助路径信息,提高了在审计发生错误时对错误数据的定位效率。实验结果表明,与基于半可信第三方云数据动态审计方案相比,所提模型显著提高了审计效率,降低了数据动态操作时间开销,并提升了错误数据定位效率。     

物联网环境下基于云边协同的数据审计方案

针对数据完整性审计过程中,半可信的云服务提供商存在不诚实地选取数据的行为,提出一种物联网环境下基于云边协同的高效数据审计方案。首先,为了适应物联网环境,采用端—边—云三层审计框架,将标签生成算法外包到边缘节点进行,提高响应速度,降低物联网设备端的计算成本。其次,设计了一种链表结构存储文件信息,以支持数据监测和实时更新。最后,根据用户对文件的访问频率将数据分为非风险数据和风险数据,并设计了基于用户行为的抽样方法,通过优先审计风险数据实现有效的针对性审计。安全性分析和实验表明,该方案能实现更安全、更高效的审计。     

支持受损数据定位与恢复的动态群用户可证明存储

The outsourced storage mode of cloud computing leads to the separation of data ownership and management rights of data owners, which changes the data storage network model and security model. To effectively deal with the software and hardware failures of the cloud server and the potential dishonest service provider and also ensure the availability of the data owners’ data, the design of secure and efficient data availability and recoverability auditing scheme has both theoretical and practical importance in solving the concern of users and ensuring the security of cloud data. However, most of the existing studies were designed for the security and efficiency of data integrity or recoverability schemes, without considering the fast identification and reliable recovery of damaged data under dynamic group users. Thus, to quickly identify and recover damaged data, a publicly verifiable proof of storage scheme was proposed for dynamic group cloud users. The designed scheme enabled a trusted third-party auditor to efficiently identify the damaged files through a challenge-response protocol and allowed the cloud storage server to effectively recover them when the degree of data damage is less than an error correction ability threshold. The scheme combined association calculation and accumulation calculation, which effectively reduced the number of calculations for the identification of damaged data. By combining erasure coding and shared coding technology, the scheme achieved effective recovery of damaged data of dynamic group users. At the same time, the scheme also supported dynamic user revocation, which ensured the integrity audit and reliable recovery of the collective data after user revocation. The network model and threat model of the designed scheme were defined and the security of the scheme under the corresponding security model was proved. Through the prototype implementation of the scheme in the real environment and the modular performance analysis, it is proved that the proposed scheme can effectively identify the damaged data and reliably recover the cloud data when the data is damaged. Besides, compared with other schemes, it is also proved that the proposed scheme has less computational overhead in identifying and recovering damaged data. © 2022, Beijing Xintong Media Co., Ltd.. All rights reserved.