基于Paillier加密的数据多副本持有性验证方案

云存储服务中,用户将数据存储在不可信的云储存服务器上,为检查云存储中服务提供商(CSP)是否按协议完整地存储了用户的所有数据副本,提出一种 支持对数据副本进行动态操作 的基于Paillier加密的数据多副本持有性验证方案, 即DMR-PDP方案。该方案为实现多副本检查,将文件块以文件副本形式存储在云服务器上,将各副本编号与文件连接后利用Paillier密码系统生成副本文件以防止CSP各服务器的合谋攻击。利用BLS签名实现对所有副本的批量验证。将文件标志和块位置信息添加到数据块标签中,以保证本方案的安全性,支持对文件的动态更新操作。安全性分析和仿真实验结果表明,该方案在安全性、通信和计算开销方面的性能优于其他文献提出的方案,极大地提高了文件存储和验证的效率,减少了计算开销。     

基于B+树的动态数据持有性证明方案

针对云存储环境下的数据持有性证明（PDP）方案效率较低、不能很好支持全动态更新的问题,设计了一种基于B⁺树的动态数据持有性证明方案。该方案引入双线性对技术和数据版本表,支持用户进行数据块级的细粒度动态操作并能保护用户的数据隐私。通过优化系统模型并设计节点索引值,使第三方检测机构能识别错误数据并进行精确定位。理论分析及实验结果表明,与基于Merkel哈希树（MHT）的方案相比,所提方案能够显著降低系统构造认证数据结构的时间开销,并且简化了动态更新过程,提高了第三方检测机构的验证效率。     

面向公有云的数据完整性公开审计方案

针对云数据完整性公开审计中隐私泄漏给第三方审计者（TPA）以及云存储服务器（CSS）发起替代攻击的问题,提出一种面向公有云的数据完整性公开审计方案。该方案首先利用哈希值混淆方法,模糊化云存储服务器返回的证据,以防止TPA分析证据计算出原始数据;然后,在审计过程中,由TPA自行计算出文件Merkle哈希树（MHT）对应挑战请求所选数据块的覆盖树,并与CSS返回的覆盖树作结构匹配,以防止云存储服务器用其他已有数据响应审计挑战。实验结果表明,该方案解决了现有方案隐私问题及攻击问题后,在计算开销、存储开销和通信开销方面的性能不会有数量级变化。     

面向资源受限用户的高效动态数据审计方案

物联网（IoT）设备推动着云存储外包数据服务的快速发展,从而使云存储外包数据服务得到越来越多终端用户的青睐,因此如何确保云服务器中用户数据的完整性验证成为一个亟待解决的热点问题。针对资源受限的用户,目前的云数据审计方案存在运算复杂、开销高和效率低等问题。为了解决这些问题,提出一个面向资源受限用户的高效动态数据审计方案。首先提出一个支持动态审计的NCBF-M-MHT数据结构,其中：新颖的计数布隆过滤器（NCBF）结构能在O（1）时间内实现数据的动态更新请求,从而保证审计的高效性;多棵Merkle哈希树（M-MHT）结构的根节点则通过用户身份验证进行签名,进而保证数据的安全性。然后对审计各实体采用不同的分配方式,并使用数据证据和标签证据来验证数据的正确性和完整性。实验结果表明,相比基于动态哈希表的审计方案（DHT Audit）、基于MHT的审计方案（MHT Audit）和基于位置数组双向链接信息表的审计方案（LA-DLIT Audit）,所提出的方案在审计验证阶段的时间开销分别降低了45.40%、23.71%和13.85%,在动态更新阶段的时间开销分别降低了43.33%、27.50%和17.58%。     

一种基于公钥分割的多副本持有性证明方案

在数据外包的云存储环境中,如何验证存储服务方是否忠诚地按照客户需求保存足够数量的副本数据是一个挑战性问题。现有方案只能对各个副本逐一进行验证,存在验证效率低、计算开销大和对数据更新支持弱等缺点。提出一种带 Collector 的多副本云存储模型,在此基础上给出一种基于公钥分割的多副本持有性证明方案（multiple replica possession proving scheme based on public key partition , MRP‐PKP）。该方案将公钥分割为多个份额并分配给对应的副本存储节点;在验证时,能够一次性对所有副本的持有性进行高效验证。此外,该方案可有效防御同谋攻击,能够方便地支持数据块级更新操作。进一步理论分析和模拟实验表明：与传统方案相比,MRP‐PKP 方案具有安全性高、通信开销低、运算代价小等优势。     

云环境中基于相对索引散列树的数据审核方法

为了确保云环境外包数据不受窜改，提高数据完整性审核的效率，提出一种基于相对索引散列树(RI-MHT)的数据审核方法，首先修改经典MHT的每个节点以存储两条信息，即数据块的哈希值和节点的相对索引，将MHT与节点的相对索引集成，以降低数据块搜索的计算成本；然后通过添加数据的最后修改时间，确保数据的新鲜性。实验结果验证了所提方法的有效性，与其他同类方法相比，所提方法在计算成本、通信成本和存储成本方面具有一定优势，并以较高的概率检测服务器的不当操作。     

基于模糊身份的动态数据审计方案

云存储服务的快速发展,也带来众多安全挑战.针对云存储数据的完整性,已有的基于模糊身份的审计方案仅仅支持静态数据,因此很多情况并不适用.本文提出了一种基于模糊身份的动态数据完整性审计方案,结合默克哈希树的动态数据结构,实现用户对云端数据的完全动态操作.该方案采用基于模糊身份的密码体制,与基于公钥基础设施的数据完整性审计方案相比,避免了对公钥证书颁发、管理、吊销的过程,降低了通信代价.并且该方案能够支持批量验证,提高认证效率.最后,本文从安全性和功能上对新方案进行分析,能够抵抗伪造攻击,也保护了数据隐私安全,并且在功能上较其他方案也有一定的优势.     

一个网络归档存储中实用的数据持有性检查方案

在网络归档存储中,数据持有性检查(DPC)用来在实际文件访问发生之前实时地检测远端服务器是否仍然完好地持有文件.提出一个实用的DPC方案.在一个挑战-应答协议中,检查者要求服务器计算文件中若干随机指定的数据块的一个Hash值,并和对应的校验块一起返回,以此判断文件的持有性.通过这种随机抽样校验的方法,在保证足够的置信度的同时降低了持有性检查的计算和通信开销.同时提出一个基于校验块循环队列的挑战更新机制,从而允许动态增加检查者可发起的有效挑战的次数.分析表明检查者端的存储开销和检查者和服务器间的通信开销均为常数量级.测试结果表明一次置信度为99.4%的持有性检查的计算开销为1.8ms,和磁盘I/O开销相比可以忽略不计;通过避免使用公钥密码系统,将文件预处理的计算开销降低了3个数量级.     

基于改进索引散列树的动态大数据审核方法

为了解决公共审核和数据动态性问题,以及降低计算成本,提出一种改进的索引散列树的数据审核方法。该方法在经典Merkle散列树MHT(Merkle Hash Tree)和BLS签名的基础上,提出一种改进的MHT。增加节点字段,修改MHT树的节点信息,使每个节点信息均包含存储数据块的哈希值和相对索引。通过时间戳字段与MHT的根节点相关联,以提供数据新鲜性。数据分析表明,该方法的不当操作检测概率较高,具有较好的安全性。与其他方法相比,该方法的计算成本较低,服务器和审核者的总体时间复杂度为O(n),验证了对MHT的改进行之有效。     

基于同态hash的数据多副本持有性证明方案

为检查云存储中服务提供商(CSP)是否按协议完整地存储了用户的所有数据副本,在分析并指出一个基于同态hash的数据持有性证明方案安全缺陷的基础上,对其进行了改进和扩展,提出了一个多副本持有性证明方案。为实现多副本检查,将各副本编号与文件连接后利用相同密钥加密以生成副本文件,既有效防止了CSP各服务器的合谋攻击,又简化了用户和文件的授权访问者的密钥管理;为提高检查效率,利用同态hash为数据块生成验证标签,实现了对所有副本的批量检查;为保证方案安全性,将文件标志和块位置信息添加到数据块标签中,有效防止了CSP进行替换和重放攻击。安全性证明和性能分析表明,该方案是正确和完备的,并具有计算、存储和通信负载低,以及支持公开验证等特点,从而为云存储中数据完整性检查提供了一种可行的方法。     

用户可动态撤销及数据可实时更新的云审计方案

随着云存储的出现,越来越多的用户选择将大量数据存储在远程云服务器上,以节约本地存储资源.如何验证用户远程存储在云端数据的完整性,成为近年来学术界的一个研究热点.虽然现已提出了很多云审计方案,但大多数方案都假设个人和企业在使用云存储系统的整个过程中,用户及其公私钥始终不变,且不能高效地对数据进行实时动态更新.为此,提出一种轻量级的支持用户可动态撤销及存储数据可动态更新的云审计方案.首先,该方案允许用户可高效地动态撤销（包括更换公私钥）,在用户撤销阶段,采用了多重单向代理重签名技术,新用户只需计算重签名密钥,而无需从云端下载数据再重新签名后上传到云端;其次,该方案能够保证数据可实时动态更新（插入、删除、修改）,通过在数据块的身份识别码中引入虚拟索引,数据动态更新时,只有被更新数据块的身份识别码发生变化,其余数据块的身份识别码保持不变;最后,在重签名阶段,云服务器代替新用户进行签名,在审计阶段,第三方审计者代表当前用户对存储在远程云服务器上的数据进行完整性验证,减轻了终端用户的计算开销及系统的通信开销（轻量级）.安全性分析和性能分析进一步说明,该方案是安全的和高效的.     

基于数据持有性证明的完整性验证技术综述

在云存储环境中,为确保用户数据的完整性和可用性,用户需要对存储在云服务器中的数据进行完整性验证。现有的数据完整性验证机制主要有两种：数据持有性证明（Provable Data Possession,PDP）与可恢复数据证明（Proof of Retrievability,POR）。重点讨论了基于PDP的云存储数据完整性验证机制。结合PDP验证机制特性,对PDP方案进行分类,并总结了各分类使用的关键技术;根据分类阐述了PDP方案的研究现状,并对典型方案在动态验证、批量审计、计算开销等几个方面进行了对比分析;讨论了基于PDP的云存储数据完整性验证机制未来的发展方向。     

基于同态哈希函数的云数据完整性验证算法

云存储已经成为未来存储发展的一种趋势,但也带来新的安全挑战,如云服务提供商可能出于某种目的篡改数据。为确保云数据的完整性,提出一种基于同态哈希函数的云数据完整性检查算法。该算法在可信第三方的审计下,通过聚合多个RSA签名,对云数据进行完整性验证。为不泄露用户数据信息,采用同态线性认证与随机掩蔽技术,实现隐私保护。分析结果表明,该算法不仅能有效地抵抗服务器的恶意攻击,而且支持数据更新,与现有审计算法相比,该算法在验证过程中能减少计算代价,在批量审计中降低通信量,从而提高验证的效率。     

理性与可验证的联邦学习框架

联邦学习作为解决数据孤岛问题的有效方法,在服务器计算全部梯度的过程中,由于服务器的惰性和自利性会存在全局梯度不正确计算问题,因此需要验证全局梯度的完整性.现有的基于密码算法的方案验证开销过大.针对这些问题,提出一种理性与可验证的联邦学习框架.首先,结合博弈论,设计囚徒合约与背叛合约迫使服务器诚实.其次,所提方案使用基于复制的验证方案实现全局梯度的完整性验证,且支持客户端离线.最后,经分析证明所提方案的正确性,并经实验表明,该方案与已有的验证算法相比,客户端的计算开销降为0,一次迭代的通信轮数由原来的3轮优化到2轮,且训练开销与客户端的离线率成反比.     

Integrity-verifiable conjunctive keyword searchable encryption in cloud storage

Conjunctive searchable encryption is an efficient way to perform multi-keyword search over encrypted data in cloud storage. However, most existing methods do not take into account the integrity verification of the search result. Moreover, existing integrity verification methods can only verify the integrity of single-keyword search results, which cannot meet the requirements of conjunctive search. To address this problem, we proposed a conjunctive keyword searchable encryption scheme with an authentication mechanism that can efficiently verify the integrity of search results. The proposed scheme is based on the dynamic searchable symmetric encryption and adopts the Merkle tree and bilinear map accumulator to prove the correctness of set operations. It supports conjunctive keyword as input for conjunctive search and gives the server the ability to prove the integrity of the search result to the user. Formal proofs and extensive experiments show that the proposed scheme is efficient, unforgeable and adaptive secure against chosen-keyword attacks.     

基于联盟链的跨域认证方案

针对传统跨域认证易单点失效、过度依赖第三方等安全问题,提出了一种结合基于身份的密码（IBC,identity-based cryptography）体制与联盟链的跨域认证方案。通过设计包括实体层、代理层、区块链层、存储层在内的分层跨域认证架构,在跨域认证场景中引入联盟链,从而能够使两者较好地融合,增加了联盟链在跨域认证场景中的适应性。在存储层,设计摘要数据格式,将其存储于链上,摘要数据对应的完整数据存储于链下的星际文件系统,从而形成一种安全可靠的链上链下分布式存储方案,解决引入区块链后存在的链上存储受到限制的问题。提出一种基于永久自主权身份和临时身份的身份管理方案,解决结合IBC体制后身份难以注销和匿名身份难以监管的问题。在此基础上,设计完整的跨域全认证、重认证以及密钥协商协议以实现跨域认证流程。在安全性方面,使用 SVO 逻辑对认证协议进行分析,证明了跨域认证协议的安全性。通过仿真对计算负载性能、通信负载以及联盟链性能进行了测试与分析。分析表明,与相关方案相比,协议在满足安全性的同时,在服务端和用户端均有较好的计算负载表现。在通信效率上,相较于其他方案有不错的表现。通过联盟链工具对链上读写时延进行了测试,结果表明所提方案有良好的可用性。     

基于MHT的云环境下数据完整性检验方案

云计算环境下数据量十分庞大,传统的基于MHT的数据完整性检验方案在快速和低开销2个优点上不能较好地兼备。提出的MHB-Tree方案增加了树中节点包含的信息量,缩小了检验大量数据时所需要构建的树的规模,结合平衡二叉树特性保证树的结构不变,有利于数据节点的增加和删除。结果证明方案可以在保证安全性能的情况下提高完整性检验的效率,并节省了较大的时间和空间开销。