一种混合云环境下基于Merkle哈希树的数据安全去重方案

重复数据删除技术是云存储系统中一种高效的数据压缩和存储优化技术,能够通过检测和消除冗余数据来减少存储空间、降低传输带宽消耗。针对现有的云存储系统中数据安全去重方案所采用的收敛加密算法容易遭受暴力攻击和密文计算时间开销过大等问题,提出了一种混合云环境下基于Merkle哈希树的数据安全去重方案MTHDedup。该方案通过引入权限等级函数和去重系数来计算去重标签,高效地实现了支持访问控制的数据安全去重系统;同时通过执行额外的加密算法,在文件级和数据块级的数据去重过程中构造Merkle哈希树来生成加密密钥,保证了生成的密文变得不可预测。安全性分析表明,该方案能够有效地抵制内部和外部攻击者发起的暴力攻击,从而提高数据的安全性。仿真实验结果表明,MTHDedup方案能有效地降低密文生成的计算开销,减少密钥的存储空间,而且随着权限集数目的增加,性能优势将更加明显。     

客户端密文去重方案的新设计

云存储可以使用户在不扩大自身存储的情况下保存更多数据,而客户端去重技术的引入使用户在本地对重复数据进行有效删除,极大提高云存储利用率,节省通信开销.本文利用文献[10]中基于盲签名随机化收敛密钥的思想,提出了一个新的基于客户端密文去重方案.新方案中重复验证标签和拥有权证明可有效抵抗暴力字典攻击,并利用三方密钥协商方案的思想设计了灵活的加密密钥管理方案.实验结果表明新方案能够有效降低用户存储和计算开销.     

改进的高效云存储数据去重方案

针对Chen等人提出的云存储数据去重方案BL-MLE的计算开销过大的问题,对其方案进行了改进,提出了一种更高效的数据去重方案。首先对BL-MLE方案进行了分析,指出其在计算效率等方面的不足;随后通过使用hash函数和标签决策树对BL-MLE的块标签生成过程以及块标签比较过程进行改进;最后,实验仿真了改进的方案。结果表明,改进后的方案在块标签比较所需次数更少,且块标签生成上时间开销更低,能更好地适应当前的云存储环境。     

轻量级的安全跨域去重方案

云存储为用户提供文件外包存储功能,然而随着数据外包数量的激增,数据去重复变得至关重要.目前数据压缩非常有效也是很常用的一个手段是去重,即识别数据中冗余的数据块,只存储其中的一份.以前的方案可以满足不同的用户将相同的文件加密为相同的密文,这样暴露了文件的一致性,随后的方案提出基于集中式服务器作为去重辅助的方案,随着用户的增加,数据去重效率也随之降低.针对目前云存储的安全性及数据去重效率低等问题,本文提出了跨区域的重复数据删除方案.所提方案为每个数据生成随机标签和固定长度的随机密文,确保多域重复数据消除下的数据机密性及抵抗暴力攻击、保护信息平等信息不被披露.同时,对所提方案的实施情况和功能比较进行了仔细分析,安全性分析表明,所提方案在抵抗蛮力攻击的同时,实现了数据内容、平等信息和数据完整性等隐私保护,性能分析表明,所提方案展示了优于现有方案的重复搜索计算成本及时间复杂度,可实现轻量级特色.     

工业互联网中增强安全的云存储数据访问控制方案

在工业互联网应用中,由于异构节点计算和存储能力的差异,通常采用云方案提供数据存储和数据访问服务.云存储中的访问控制如扩展多权限的云存储数据访问控制方案(NEDAC-MACS),是保证云存储中数据的安全和数据隐私的基石.给出了一种攻击方法来证明NEDAC_MACS中,被撤销的用户仍然可以解密NEDAC-MACS中的新密文;并提出了一种增强NEDAC-MACS安全性的方案,该方案可以抵抗云服务器和用户之间的合谋攻击;最后通过形式密码分析和性能分析表明,该方案能够抵抗未授权用户之间以及云服务器与用户之间的合谋攻击,保证前向安全性、后向安全性和数据保密性.     

PDM中基于cuckoo filter的数据完整性校验算法设计与实现

为满足PDM海量数据存储与高并发访问要求,构建基于企业私有云的PDM系统成为未来的必然选择。现有文件系统数据完整性校验算法多是基于RSA公钥密码技术,但这种技术突出问题是需要大量的模指数运算,其计算开销较大,尤其在大数据存储的条件下。针对PDM文件的大数据校验和数据动态性问题,提出基于cuckoo filter的数据完整性校验算法,以cuckoo filter作为校验标签存储结构,将基于哈希算法中的校验哈希值进行压缩,在满足PDM动态数据校验要求的前提下,实现轻量级的完整性校验。最后论证了该方案的安全性,并通过性能分析和实验验证了该方法是高效可行的。     

基于无双线性对的可信云数据完整性验证方案

针对云审计中第三方审计机构（TPA）可能存在的恶意欺骗行为,提出一种无双线性对的、能够正确检查TPA行为的可信云审计方案。首先,利用伪随机比特生成器生成随机挑战信息,以保证TPA生成挑战信息可靠;其次,在证据生成过程中增加哈希值,从而有效保护用户数据隐私;然后,在证据验证过程中,增加用户和TPA结果的交互过程,根据这个结果检查数据完整性,并判断TPA是否如实完成审计请求;最后,扩展该方案以实现多项数据的批量审计。安全分析表明,所提方案能够抵抗替换攻击和伪造攻击,且能保护数据隐私。相比基于Merkle哈希树的无双线性对（MHT-WiBPA）审计方案,所提方案的验证证据时间接近,而标签生成时间降低约49.96%。效能分析表明,所提方案在保证审计结果可信的前提下,实现了更低的计算开销和通信开销。     

基于存储网关的数据安全去重方案

在实行客户端去重的云存储系统中,通过所有权证明可以解决攻击者仅凭借文件摘要获得整个文件的问题。然而,基于所有权证明的去重方案容易遭受侧信道攻击。攻击者通过上传文件来观察是否发生去重,即可判断该文件是否存在于云服务器中。基于存储网关提出一种改进的所有权证明去重方案,存储网关代替用户与云服务器进行交互,使得去重过程对用户透明,并采用流量混淆的方法抵抗侧信道攻击和关联文件攻击。分析与比较表明,该方案降低了客户端计算开销,并提高了安全性。     

面向公有云的数据完整性公开审计方案

针对云数据完整性公开审计中隐私泄漏给第三方审计者（TPA）以及云存储服务器（CSS）发起替代攻击的问题,提出一种面向公有云的数据完整性公开审计方案。该方案首先利用哈希值混淆方法,模糊化云存储服务器返回的证据,以防止TPA分析证据计算出原始数据;然后,在审计过程中,由TPA自行计算出文件Merkle哈希树（MHT）对应挑战请求所选数据块的覆盖树,并与CSS返回的覆盖树作结构匹配,以防止云存储服务器用其他已有数据响应审计挑战。实验结果表明,该方案解决了现有方案隐私问题及攻击问题后,在计算开销、存储开销和通信开销方面的性能不会有数量级变化。     

具有紧凑标签的基于身份匿名云审计方案

云存储技术具有效率高、可扩展性强等优点。用户可以借助云存储技术节省本地的存储开销,并与他人共享数据。然而,数据存储到云服务器后,用户失去对数据的物理控制,需要有相应的机制保证云中数据的完整性。数据拥有证明（PDP,provable data possession）机制允许用户或用户委托的第三方审计员（TPA,third party auditor）对数据完整性进行验证。但在实际应用中,数据通常由多个用户共同维护,用户在进行完整性验证请求的同时泄露了自己的身份。匿名云审计支持 TPA 在完成数据完整性验证时保证用户的匿名性。在基于身份体制下,匿名云审计方案通常需要借助基于身份的环签名或群签名技术实现,数据标签的构成元素与用户数量相关,使得数据标签不够紧凑,存储效率较低。为了解决这一问题,提出一种基于身份的匿名云审计方案通用构造,使用一个传统体制下的签名方案和一个传统体制下的匿名云审计方案即可构造一个基于身份的匿名云审计方案。基于该通用构造,使用 BLS 签名和一个传统体制下具有紧凑标签的匿名云审计方案设计了具有紧凑标签的基于身份匿名云审计方案。该方案主要优势在于数据标签短,能够减少云服务器的存储压力,提高存储效率。此外,证明了该方案的不可欺骗性和匿名性。     

基于同态哈希函数的云数据完整性验证算法

云存储已经成为未来存储发展的一种趋势,但也带来新的安全挑战,如云服务提供商可能出于某种目的篡改数据。为确保云数据的完整性,提出一种基于同态哈希函数的云数据完整性检查算法。该算法在可信第三方的审计下,通过聚合多个RSA签名,对云数据进行完整性验证。为不泄露用户数据信息,采用同态线性认证与随机掩蔽技术,实现隐私保护。分析结果表明,该算法不仅能有效地抵抗服务器的恶意攻击,而且支持数据更新,与现有审计算法相比,该算法在验证过程中能减少计算代价,在批量审计中降低通信量,从而提高验证的效率。     

一种面向云存储的数据动态验证方案

云存储是一种新型的数据存储体系结构,云储存中数据的安全性、易管理性等也面临着新的挑战。由于用户在本地不再保留任何数据副本,无法确保云中数据的完整性,因此保护云端数据的完整性是云数据安全性研究的重点方向。数据完整性证明(Provable Data Integrity,PDI)被认为是解决这一问题的重要手段。文中提出了一种面向云存储环境的、基于格的数据完整性验证方案。本方案在已有研究的基础上,基于带权默克尔树(Ranked Merkle Hash Tree,RMHT),实现了云数据的动态验证。方案实现了数据粒度的签名,降低了用户方生成认证标签所需的消耗;引入RMHT对数据进行更改验证,支持数据动态更新;具有较强的隐私保护能力,在验证过程中对用户的原始数据进行盲化,使得第三方无法获取用户的真实数据信息,用户的数据隐私得到了有效的保护。此外,为了防止恶意第三方对云服务器发动拒绝服务攻击,方案中只有授权的第三方才能对用户数据进行完整性验证,这在保护云服务器安全的同时也保障了用户数据的隐私性。安全分析和性能分析表明,该方案不仅具有不可伪造性、隐私保护等特性,其签名计算量也优于同类算法。     

一种基于LT码的数据云存储方案

拜占庭失效或恶意攻击会降低云服务供应商的云存储服务可靠性,为此,提出一种基于云计算的安全可靠数据存储方案。通过LT编码增加分布式云服务器的数据冗余度,在保证性能全局准最优的同时,提升数据用户在数据检索阶段的解码效率。利用支持公共数据完整性检查和准确数据修复,避免数据拥有者长期保持在线状态,并设计数据修复解决方案,使服务运行期间无需产生元数据也能进行数据修复。实验结果表明,与基于网络编码和基于RS码的云存储方案相比,该方案的通信成本只增加了15%,但数据检索效率却提高了约1倍。     

轻量级的数据融合隐私保护算法

针对隐私数据易受数据机密性、完整性和新鲜性攻击这一问题,提出了一种基于同态Hash函数的无线传感器网络(WSN)数据融合隐私保护算法--HPDA算法。利用同态加密算法保证了融合数据的机密性,通过构建同态Hash函数进行数据的完整性和新鲜性检测,通过改进的ID传输机制减少系统的通信开销。理论分析和实验仿真结果表明,HPDA算法在无线传感器网络数据融合过程中具有良好的数据机密性、完整性和新鲜性保护,且具有较低的通信开销。     

支持错误定位的远程数据完整性批量验证方案

远程数据完整性验证技术是保证云数据安全的一种重要技术,能通过与服务器进行少量交互,验证外包数据是否完整。在现实中,云存储服务通常是在多用户与多服务器之间存在的,最近多用户与多服务器环境下的批处理验证方案陆续被提出。但这些方案在数据出错后,往往于一次挑战中无法判定错误数据的拥有者或所在服务器。利用Merkle Hash Tree（MHT）提出了一种支持错误数据定位的批处理校验方案,可以在批处理校验不通过后,同时定位出错误数据的拥有者与其所存储的服务器。     

基于GlusterFS的分布式数据完整性验证系统

云存储为用户提供了弹性而可靠的数据存储方案,使得用户可以在任何时刻通过网络访问云服务器存取数据,大大降低了用户自己维护数据的成本,但也引发了一系列安全问题。对于云存储而言,采取审计措施用于检查数据的完整性至关重要,但已有的大多数云数据完整性审计机制只是通过模拟实验证明了方案具有高效性,并未结合具体云存储场景进行分析实验。针对上述问题,文章结合GlusterFS分布式文件系统与BLS短签名机制设计了一种分布式并行数据审计方案。利用GlusterFS的多个存储节点并行计算数据块所对应的标签,通过验证数据块对应标签的完整性来验证数据块的完整性,实现数据的单块审计、多块审计、多用户审计和异步审计,且不会泄露用户的隐私信息。此外,还进行了安全性分析。实验结果表明,文章方案可实现多块数据的高效并行审计,且并发量随节点的增加而线性增长。     

基于同态hash的数据多副本持有性证明方案

为检查云存储中服务提供商(CSP)是否按协议完整地存储了用户的所有数据副本,在分析并指出一个基于同态hash的数据持有性证明方案安全缺陷的基础上,对其进行了改进和扩展,提出了一个多副本持有性证明方案。为实现多副本检查,将各副本编号与文件连接后利用相同密钥加密以生成副本文件,既有效防止了CSP各服务器的合谋攻击,又简化了用户和文件的授权访问者的密钥管理;为提高检查效率,利用同态hash为数据块生成验证标签,实现了对所有副本的批量检查;为保证方案安全性,将文件标志和块位置信息添加到数据块标签中,有效防止了CSP进行替换和重放攻击。安全性证明和性能分析表明,该方案是正确和完备的,并具有计算、存储和通信负载低,以及支持公开验证等特点,从而为云存储中数据完整性检查提供了一种可行的方法。     

Comment on “Privacy-preserving public auditing for non-manager group shared data”

Using cloud storage, users can remotely store their data without the burden on complicated local storage management and maintenance. However, users will no longer physically possess the storage of their data after they upload the data to the cloud. It is very natural for users to suspect whether their data stored in the cloud is intact. To help users efficiently check the integrity of the outsourced data, many public auditing schemes have been proposed. Recently, Huang et al. have proposed a privacy-preserving public auditing scheme for non-manager group shared data. In this paper, we find a security flaw in their auditing scheme. Even if the cloud has deleted or polluted the whole outsourced data, it still can pass the verification of the verifier. And then, we overcome this shortcoming by improving their scheme, which prevents the cloud forging a valid proof to pass the integrity auditing. Last, we perform the concrete implementation of our improved scheme and Huang et al. ’s scheme.