用户可动态撤销及数据可实时更新的云审计方案

随着云存储的出现,越来越多的用户选择将大量数据存储在远程云服务器上,以节约本地存储资源.如何验证用户远程存储在云端数据的完整性,成为近年来学术界的一个研究热点.虽然现已提出了很多云审计方案,但大多数方案都假设个人和企业在使用云存储系统的整个过程中,用户及其公私钥始终不变,且不能高效地对数据进行实时动态更新.为此,提出一种轻量级的支持用户可动态撤销及存储数据可动态更新的云审计方案.首先,该方案允许用户可高效地动态撤销（包括更换公私钥）,在用户撤销阶段,采用了多重单向代理重签名技术,新用户只需计算重签名密钥,而无需从云端下载数据再重新签名后上传到云端;其次,该方案能够保证数据可实时动态更新（插入、删除、修改）,通过在数据块的身份识别码中引入虚拟索引,数据动态更新时,只有被更新数据块的身份识别码发生变化,其余数据块的身份识别码保持不变;最后,在重签名阶段,云服务器代替新用户进行签名,在审计阶段,第三方审计者代表当前用户对存储在远程云服务器上的数据进行完整性验证,减轻了终端用户的计算开销及系统的通信开销（轻量级）.安全性分析和性能分析进一步说明,该方案是安全的和高效的.     

支持文件动态更新的基于属性可搜索加密方案

针对云存储环境中重要通知、消息广播、数据共享等敏感性较高的数据访问控制需求,提出和设计一种云存储环境中支持文件动态更新的可搜索加密方案。方案中的文件明文采用基于属性的加密算法加密,将密文与私钥和属性相关联,可以非常灵活的表示访问控制策略,大大降低了数据共享细粒度访问控制所带来的网络带宽和发送节点的处理开销,可以实现文件只加密一次就可被多个用户私钥搜索,避免了针对不同用户需要多次加密的问题。但是现有的基于属性的可搜索加密方案无法实现文件的动态更新操作,针对此问题,采用对称可搜索加密的思想来建立索引,这种通过数组和链表来来存储索引信息的方式可以实现只搜索一次就可以获得包含此关键字的所有文件,无需逐个文件进行遍历,所以具有较高的搜索效率。并通过添加额外删除数组、列表,实现了文件的动态更新,可以增加或者删除密文文件。最后给出了方案的安全性分析和性能分析,并与几种类似的索引建立方案进行了对比,对比发现本方案搜索效率高,索引长度较少,实现了文件的动态更新还能达到更高的安全级别（CKA-2）,具有更好的应用性和扩展性。     

一种基于重复数据删除技术的云中云存储系统

随着云存储技术的快速发展和应用,越来越多的企业和用户都开始将数据从本地转移到云存储服务提供商进行存储.但是,在享受云存储高质量服务的同时,将数据仅仅存储于单个云存储服务商中会带来一定的风险,例如云存储服务提供商的垄断、数据可用性和安全性等问题.为了解决这个问题,提出了一种基于重复数据删除技术的云中云存储系统架构,首先消除云存储系统中的冗余数据量,然后基于重复数据删除集中的数据块引用率将数据块以复制和纠删码2种数据布局方式存储在多个云存储服务提供商中.基于复制的数据布局方式易于实现部署,但是存储开销大;基于纠删码的数据布局方式存储开销小,但是需要编码和解码,计算开销大.为了充分挖掘复制和纠删码数据布局的优点并结合重复数据删除技术中数据引用的特点,新方法用复制方式存储高引用数据块,用纠删码方式存储其他数据块,从而使系统整体性能和成本达到较优.通过原型系统的实现和测试验证了相比现有云中云存储策略,新方法在性能和成本上都有大幅度提高.     

混合云环境中多用户数据共享问题研究 *

针对混合云环境多用户数据共享进行了研究,为了完善混合云环境多用户数据共享机制、提高用户存储安全、解决权限撤销延迟问题,此次应用全同态加密算法,并结合门限技术,提出了一个改进的混合云环境多用户数据共享新方案。方案首先对明文进行顺序性分块,之后以改进后的全同态加密算法对明文加密,并发送至混合云存储。方案中为每个共享用户生成等级权限和时间约束信息,实现对共享用户权限管理,同时建立数据完整性标签,验证存储数据的完整性。最后通过实验进行模拟,权限撤销时间小于2s,数据完整性验证中对数据的改变控制在以内,同时访问中增加一个用户只延迟5s。与已有方案相比,表明新方案在实现数据共享的各个方面都获得较好的改善。     

基于Paillier加密的数据多副本持有性验证方案

云存储服务中,用户将数据存储在不可信的云储存服务器上,为检查云存储中服务提供商(CSP)是否按协议完整地存储了用户的所有数据副本,提出一种 支持对数据副本进行动态操作 的基于Paillier加密的数据多副本持有性验证方案, 即DMR-PDP方案。该方案为实现多副本检查,将文件块以文件副本形式存储在云服务器上,将各副本编号与文件连接后利用Paillier密码系统生成副本文件以防止CSP各服务器的合谋攻击。利用BLS签名实现对所有副本的批量验证。将文件标志和块位置信息添加到数据块标签中,以保证本方案的安全性,支持对文件的动态更新操作。安全性分析和仿真实验结果表明,该方案在安全性、通信和计算开销方面的性能优于其他文献提出的方案,极大地提高了文件存储和验证的效率,减少了计算开销。     

客户端密文去重方案的新设计

云存储可以使用户在不扩大自身存储的情况下保存更多数据,而客户端去重技术的引入使用户在本地对重复数据进行有效删除,极大提高云存储利用率,节省通信开销.本文利用文献[10]中基于盲签名随机化收敛密钥的思想,提出了一个新的基于客户端密文去重方案.新方案中重复验证标签和拥有权证明可有效抵抗暴力字典攻击,并利用三方密钥协商方案的思想设计了灵活的加密密钥管理方案.实验结果表明新方案能够有效降低用户存储和计算开销.     

面向资源受限用户的高效动态数据审计方案

物联网（IoT）设备推动着云存储外包数据服务的快速发展,从而使云存储外包数据服务得到越来越多终端用户的青睐,因此如何确保云服务器中用户数据的完整性验证成为一个亟待解决的热点问题。针对资源受限的用户,目前的云数据审计方案存在运算复杂、开销高和效率低等问题。为了解决这些问题,提出一个面向资源受限用户的高效动态数据审计方案。首先提出一个支持动态审计的NCBF-M-MHT数据结构,其中：新颖的计数布隆过滤器（NCBF）结构能在O（1）时间内实现数据的动态更新请求,从而保证审计的高效性;多棵Merkle哈希树（M-MHT）结构的根节点则通过用户身份验证进行签名,进而保证数据的安全性。然后对审计各实体采用不同的分配方式,并使用数据证据和标签证据来验证数据的正确性和完整性。实验结果表明,相比基于动态哈希表的审计方案（DHT Audit）、基于MHT的审计方案（MHT Audit）和基于位置数组双向链接信息表的审计方案（LA-DLIT Audit）,所提出的方案在审计验证阶段的时间开销分别降低了45.40%、23.71%和13.85%,在动态更新阶段的时间开销分别降低了43.33%、27.50%和17.58%。     

基于区块链的微电网数据安全存储与删除验证方案

针对区块链存储容量有限以及数据删除无法验证的问题,在边缘计算环境下提出一种基于区块链的微电网数据安全存储与删除验证方案。利用边缘计算对电力数据进行预处理,减小数据规模,提高数据质量;分别基于K-Raft(Kademlia-Raft)和Streamlet共识协议构建安全存储链与删除验证链,前者存储密文哈希等相关信息,后者存储删除证明,实现真正的分布式存储。安全性分析与实验分析表明,该方案可以实现微电网数据的安全存储以及外包数据的高效删除验证。     

支持关键字更新的基于属性可搜索加密方案

针对云存储环境中重要通知、广播消息、数据共享等敏感性较高的数据访问控制需求,提出和设计出一种适用于云存储环境支持关键字更新的可搜索加密方案。方案中的文件明文采用基于属性的加密算法,可以实现文件密文只加密一次就可被多个用户私钥搜索,避免了针对不同用户数据拥有者需要多次加密的问题,降低了网络开销。但是现有的基于属性的可搜索加密方案无法实现文件索引的更新,针对此问题,采用带计数器的布隆过滤器对文件关键字进行处理,能够允许用户在索引密文中添加或者删除关键字,实现文件索引的动态更新,提高了检索效率。给出方案的正确性分析、安全分析以及效率分析。分析结果表明:文件索引和陷门经过带计数器的布隆过滤器并进行向量加密后,的确能够实现增加和删除关键字;采用对称加密的思想对文件和索引进行加密后,明文和索引也都是安全的;通过与其他方案的计算量和适应性对比,可以发现方案的计算量较低,适应性强。     

云环境下基于代数签名的支持所有权动态变更的安全审计和去冗方案北大核心CSCD

云数据完整性检测和重复数据删除技术在云存储的快速发展中扮演着重要角色。近年来,许多专家提出一些在云环境下同时支持数据完整性审计和数据去冗的方案。然而,在用户生成认证器的阶段,这些方案会有较大的计算开销。文章方案利用代数签名生成文件签名,利用异或操作实现对明文信息的加密,较大程度地降低了用户对大数据的计算开销。此外,方案利用效率更高的重加密算法,实现了在事先不知道可能用户的情况下真正意义上的所有权的动态变更。安全性分析和性能分析表明,方案是安全和高效的。     

云加密数据安全重复删除方法

在云环境存储模式中,采用用户端数据加密虽然能够有效降低数据的存储安全风险,但同时会使云服务商丧失重复数据鉴别能力,导致存储开销随数据量增大而不断攀升.加密数据重复删除技术是解决该问题的方法之一,现有方案通常基于可信第三方设计,安全性假设过强,执行效率较低.基于椭圆曲线与密文策略属性加密两种高安全密码学原语,构造了重复加密数据识别与离线密钥共享两种安全算法,进而实现一种无需初始数据上传用户与可信第三方实时在线的加密数据重复删除方法.详细的安全性与仿真实验分析,证明该方法不仅实现数据的语义安全,同时能够保证系统的高效率运行.     

基于多机构属性加密的云数据确定性删除方案

云存储服务的使用越来越普遍,但是将大量数据存储在第三方云服务器中,给用户带来便利的同时也提出了更高的安全要求。由于云存储服务是半可信的,使得如何确定性删除云存储数据成为需要解决的问题。目前,云存储数据的确定性删除的相关研究大多基于单机构管理属性的属性基加密,该类方案虽然满足云数据的细粒度访问控制,但容易引起单点故障等问题。因此,提出一种基于多机构属性基加密的云存储数据确定性删除方案。将多机构属性基加密应用于该方案,不仅支持有多个机构管理属性时对云存储数据的安全删除,并实现了云数据的细粒度访问。此外,该方案通过利用策略隐藏保护存储在云服务器中的访问策略的隐私。最后,通过撤销属性改变密文实现云数据删除,并通过区块链存储删除证明实现删除结果公开可验证和责任可追溯。实验仿真和对比分析表明,该方案在云存储数据删除方面具有较高的安全性,为云储存数据的删除提供一种实用方案。     

基于SBT全结点存储的云数据完整性

云存储可以为用户提供高质量、按需分配的数据存储服务,使用户用低廉的价格就能享受到海量的存储能力,但是对于用户而言,云存储服务器并不是完全可信,因此会担心存储在云端的数据出现安全性问题,同时为了满足云中的应用,需要完整性验证机制支持全动态操作以及第三方公开认证。因此,提出一种基于全结点存储的云数据完整性方案。引入平衡二叉搜索树结构--结点大小平衡树(SizeBalancedTree,SBT),该结构使得树中所有的结点都可以用来存储实际的数据,相比叶子结点存储的树,无疑减少了服务器上的空间开销,同时降低了树的高度,从而也降低了进行数据插入删除等基本操作的时间复杂度。该方案在支持动态操作上具有更好的效率,能够很好地支持云存储环境下数据完整性验证。     

一种改进的基于身份广播代理重加密云存储方案

存储安全是公共云应用诸多安全问题中最关键的问题之一,对云服务的快速发展有着重大影响。结合身份加密、代理重加密以及广播加密的特点,提出了一种新的云存储方案。该方案通过条件控制,实现了用户对远程密文数据代理重加密过程中的细粒度访问控制;基于身份加密,利用用户的身份属性作为公钥,减少了证书验证过程;结合广播的思想,以用户集合为单位进行加密,减少系统的计算消耗。实验表明,文章提出的方案可以实现密文数据云存储和共享,主要函数的时间开销合理,能够保证大规模用户接入时系统高效。     

云存储中基于MHT的动态数据完整性验证与恢复方案

针对云服务器上存储数据完整性验证过程中的高通信开销和动态数据验证问题,提出一种基于Merkle哈希树(MHT)的动态数据完整性验证与恢复方案。首先,基于MHT构建了一种新型分层认证数据结构,将数据块的每个副本块组织成副本子树,以此大幅降低多副本更新验证的通信开销。然后,在数据验证中,融入了对服务器安全索引信息的认证,以此避免服务器攻击。最后,当发现数据损坏时,通过二分查找和Shamir秘密共享机制来恢复数据。实验结果表明,该方案在验证过程中能有效降低计算和通讯开销,并能够很好地支持数据的动态操作。     

基于密文强不可分性的云数据确定性删除方案

实现云数据删除的确定性是云存储安全领域亟待解决的关键问题。现有方案普遍存在过度依赖于密钥销毁、不具备密文强不可分性和加解密开销过大等缺陷。结合AONT转换与分组加密，提出一种基于密文强不可分性的云数据确定性删除方案，通过混淆原始数据本身实现密文数据的强不可分性。理论分析和实验结果表明，该方案销毁密文数据的任何一个密文数据块都将导致原始数据无法复原，摆脱了对密钥销毁的过度依赖，实现了确定性删除的预期目标；通过引入数据块乱序并减少密码运算次数，在提升抗密文分析能力的同时大幅降低了计算开销，与现有方案相比具有明显的性能优势。     

基于布隆过滤器所有权证明的高效安全可去重云存储方案

可去重云存储系统中一般采用收敛加密算法,通过计算数据的哈希值作为其加密密钥,使得重复的数据加密后得到相同的密文,可实现对重复数据的删除;然后通过所有权证明（PoW）,验证用户数据的真实性来保障数据安全。针对可去重云存储系统中所有权证明时间开销过高导致整个系统性能下降问题,提出了一种基于布隆过滤器进行所有权证明的高效安全方法,实现用户计算哈希值与初始化值的快速验证。最后,提出一种支持细粒度重复数据删除的BF方案,当文件级数据存在重复时进行所有权证明,否则只需要进行局部的文件块级数据重复检测。通过仿真对比实验,结果表明所提BF方案空间开销低于经典Baseline方案,同时时间开销低于经典Baseline方案,在数据文件越大的情况下性能优势更加明显。     

基于RCE的云存储动态所有权管理数据去重方案

数据去重技术在云存储中应用广泛,通过存储数据的一个副本节省存储空间、降低通信开销。为了实现安全的数据去重复,收敛加密以及其很多变体相应被提出,然而,很多方案没有考虑所有权改变和所有权证明（PoW）问题。提出一种安全高效的动态所有权管理去重方案,通过更新组密钥对密钥密文进行重加密实现云用户所有权撤销后的管理问题,阻止撤销所有权的用户正确解密密文,构造了基于布隆过滤器的所有权证明,提出延迟更新策略进一步降低计算开销。分析和实验表明,该方案具有较小的开销,在动态所有权管理中是有效的。     

基于属性加密的雾协同云数据共享方案

为解决现有的属性加密数据共享方案粗粒度和开销大等问题,提出一种能保证数据隐私且访问控制灵活的雾协同云数据共享方案(FAC-ABE)。设计属性加密机制,将数据的访问控制策略分为个性化和专业化两种。通过个性化的访问策略,根据用户的经验和偏好,将数据共享给相应的云端。利用雾节点对数据分类,将共享的数据分流,保障数据共享给专业的云服务器。安全分析结果表明,该方案能保障数据机密性,实现更细粒度的访问控制。实验结果表明,用户能将加密开销转移到雾节点上,降低了云端用户开销。     

基于区块链的5G物联网数据共享方案

海量的物联网数据拥有巨大价值,而现有基于云的数据共享机制,面临单点故障、内部泄露等问题,无法确保用户数据的安全共享。为实现高效可信的数据共享,利用区块链技术,提出了基于区块链的5G物联网数据共享方案。该方案首先设计了数据共享框架和数据共享流程;然后基于闪电网络方案,提出了面向物联网数据共享的链下交易机制。实验分析表明,基于区块链的5G物联网数据共享方案具有较强的抗攻击能力;基于闪电网络的交易机制,能够大幅提高交易吞吐量、降低交易时延。