基于编码Hash同态性的数据持有性证明方案

为了保证用户在云存储服务器中数据的完整性,在分析已有数据持有性证明方案的基础上,提出了一种基于编码Hash同态性的数据持有性证明方案。通过将伪随机数与数据块进行“捆绑”作为标签来固定数据块位置,同时引进一种基于编码的Hash,并利用同态性来完成数据持有性验证。该方案的安全性依赖于译码的NP完全问题,可抵抗量子攻击,较传统的基于Hash同态性的数据持有性证明方案更难被攻破,同时通过理论分析,算法时间开销比以往方案更快,更有效。     

基于数据持有性证明的完整性验证技术综述

在云存储环境中,为确保用户数据的完整性和可用性,用户需要对存储在云服务器中的数据进行完整性验证。现有的数据完整性验证机制主要有两种：数据持有性证明（Provable Data Possession,PDP）与可恢复数据证明（Proof of Retrievability,POR）。重点讨论了基于PDP的云存储数据完整性验证机制。结合PDP验证机制特性,对PDP方案进行分类,并总结了各分类使用的关键技术;根据分类阐述了PDP方案的研究现状,并对典型方案在动态验证、批量审计、计算开销等几个方面进行了对比分析;讨论了基于PDP的云存储数据完整性验证机制未来的发展方向。     

多云存储中基于身份的数据持有性公开证明方案

数据持有性证明技术是解决云存储中数据安全问题的关键技术之一,多云存储下的数据持有性证明则是具有分布式特性的较新的一个研究课题。为了解决目前多云存储下的数据持有性证明技术方案少、安全性差、计算效率低等问题,提出一个适用于多云存储的、基于身份的、支持公开证明的数据持有性证明方案,并对方案的正确性、安全性和性能进行了详细的分析。分析比较结果说明所提方案比其他方案具有更好的性能,尤其具有高得多的计算效率。     

云存储中支持数据去重的群组数据持有性证明

数据持有性证明(Provable Data Possession,简称PDP)和数据可恢复性证明 (Proofs of Retrievability,简称POR)是客户端用来验证存储在云端服务器上的数据完整性的主要技术.近几年它在学术界和工业界的应用广泛,很多PDP和POR方案相继出现,但是由于不同群组的特殊性和独特要求,使得群组PDP/POR方案多样化,并且群组应用中的许多重要功能(例如数据去重)没有被实现,如何构造高效及满足群组特定功能和安全需求的PDP/POR方案已经引起了人们的广泛关注.本文给出了一个支持数据去重的群组PDP方案(GPDP),基于矩阵计算和伪随机函数,GPDP可以在支持数据去重的基础上,高效的完成数据持有性证明,并且可以在群组中抵抗恶意方选择成员攻击.在标准模型下证明了GPDP的安全性,并且在百度云平台上实现了GPDP的原型系统.为了评估方案的性能,我们使用了10GB的数据量进行实验和分析,结果表明GPDP方案在达到群组中数据去重的目标基础上,可以高效地保证抵抗选择攻击和数据持有性,即预处理效率高于私有验证方案,而验证效率高于公开验证方案(与私有验证效率几乎相同).另外,与其他群组PDP/POR方案相比,GPDP方案将额外存储代价和通信代价都降到了最低.     

具有数据上传管控的无证书可证明数据持有方案

随着大数据技术的发展,云存储受到了越来越多的关注。它在给用户带来诸多便利的同时,也产生了新的安全挑战。由于用户在将数据存储到云端后就失去了对数据的直接控制,如何安全有效地检测存储在云端数据的完整性成为一个重要的安全挑战。可证明数据持有技术(PDP)是近年来的一个研究热点,它可以在不下载全部数据的情况下实现云数据的完整性检测。然而,绝大多数已存在的PDP方案或者存在复杂的证书管理问题,或者存在密钥托管问题。除此之外,这些方案都没有考虑数据上传的管控问题。针对上述问题,文章提出了一种具有数据上传管控的无证书可证明数据持有的方案,该方案首先利用权限管理和秘密共享技术,实现了对数据上传过程的管控,即只有当超过一定门限值的用户同意后才可将数据上传到云端,避免了用户随意上传数据的行为;其次利用无证书的密码技术,既避免了密钥托管问题,又简化了证书管理的操作。同时,也对方案的安全性和性能进行了分析。     

云存储中数据持有性证明模型的设计与分析

提出一种云存储环境下的数据持有性证明模型CS PDP,该模型主要采用抽样检测的概率型验证和同态验证方法.模型中引入云存储提供商代理CSPP来协助用户与各个云存储提供商进行存储验证交互.该代理拥有三个核心模块:存储分配管理模块SAM、接收/响应挑战模块RRCM和通知/收集证明模块NCPM.对CS PDP模型的主要算法、工作流程和核心技术进行详细阐述;并且通过理论和实验两大手段,从安全性、概率型验证、以及开销(存储开销、计算开销和通信开销)等三个方面对CS PDP模型进行分析,结果表明CS PDP是一种高效可行的云环境下数据持有性证明模型.     

云存储服务中可证明数据持有及恢复技术研究

云存储可以实现任意地点、任意时间、任意数据访问及保障法规遵从的需求等.对存储需求不可预测、需要廉价存储的用户来说,按需购买存储容量的云存储与一次性购买整套存储系统相比显然会带来更多的方便和效益,且云存储在为用户节省投资的同时也节约了社会资源与能源.但是,因为云存储的安全性、可靠性及服务水平等还存在众多问题亟待解决,所以云存储还未得到人们的广泛认可与使用.当用户将数据存放在云存储中,他们最关心的是数据是否完整无误;如果出现故障,是否可以恢复其数据.所以,在云存储中只有让用户可以验证存储服务提供者正确地持有其数据,且当检测到错误时可实现数据恢复,他们才可放心地使用云存储.综述了可证明数据持有及恢复技术在国内外的研究现状,讨论了云存储服务的安全性与可靠性需求,并研究云存储服务对可证明数据持有及恢复方案的特殊要求,从而明确在云存储环境下可证明数据持有及恢复技术的研究方向.     

面向真实云存储环境的数据持有性证明系统

对数据动态更新和第三方审计的支持的实现方式是影响现有数据持有性证明（provable data possession,简称PDP）方案实用性的重要因素.提出面向真实云存储环境的安全、高效的PDP系统IDPA-MF-PDP.通过基于云存储数据更新模式的多文件持有性证明算法MF-PDP,显著减少审计多个文件的开销.通过隐式第三方审计架构和显篡改审计日志,最大限度地减少了对用户在线的需求.用户、云服务器和隐式审计者的三方交互协议,将MF-PDP和隐式第三方审计架构结合.理论分析和实验结果表明：IDPA-MF-PDP具有与单文件PDP方案等同的安全性,且审计日志提供了可信的审计结果历史记录;IDPA-MF-PDP将持有性审计的计算和通信开销由与文件数线性相关减少到接近常数.     

电子医疗下支持数据持有性验证检索方案

为了安全可靠地检索、持有性验证电子医疗系统中重要的病历数据,提出了一种适用于电子医疗系统下支持数据持有性验证的检索方案。结合编辑距离,实现了多关键字容错联合搜索功能;基于编码Hash相关知识实现了对电子医疗系统中病历数据的持有性验证;基于特权树权限控制,实现了对电子医疗系统中病历数据的细粒度权限控制。安全性分析表明,方案在理论分析上是安全可靠的。实验数据表明,方案在搜索效率以及数据持有性验证方面实际有效。     

云环境下基于代数签名持有性审计的大数据安全存储方案

针对存储在云端的大数据的安全性和动态更新问题,提出一种基于代数签名持有性审计的大数据安全存储方案。构建可信第三方审计者,利用代数签名(AS)技术对大数据进行数据持有性审计(DPA)以确保数据的完整性。另外,基于分而治之(DC)思想构建一种新型数据结构,使数据拥有者可以动态地进行修改、插入和删除操作,同时通过减少平移数据块的数量来降低操作的计算复杂度。实验结果表明,该方案能够有效地检测恶意操作,提供了较高的数据安全性,同时大大降低了服务器和审计端的计算量。     

一种层次式远程数据持有检测方法

在云存储环境下,云服务器并不完全可信。用户如何以较低开销验证云上数据的完整性成为用户日益关心的问题。目前已提出多种保护方法,这些方法在认证多个文件时需要对文件逐一进行认证,因此当文件数很大时其计算和通信开销仍较大。针对此问题,提出一种层次式远程数据持有检测方法。该方法与远程数据持有检测方法相结合,能提供高效且安全的远程数据完整性保护,并支持动态数据操作。对提出的方法进行了安全性分析和实验评估,结果表明,提出的方法安全可靠,在较低的漏检率下,相比远程数据持有检测方法有45%～80%的性能提升。     

云存储中数据完整性自适应审计方法

作为云存储安全的重要问题,数据完整性验证技术受到学术界和工业界的广泛关注.为了验证云端数据完整性,研究者提出了多个数据完整性公开审计模型.然而,现有的数据完整性审计模型采用固定参数审计所有文件,浪费了大量计算资源,导致系统审计效率不高.为了提高系统的审计效率,提出了一种自适应数据持有性证明方法(self-adaptive provable data possession, SA-PDP),该方法基于文件属性和用户需求动态调整文件的审计方案,使得文件的审计需求和审计方案的执行强度高度匹配.为了增强审计方案更新的灵活性,依据不同的审计需求发起者,设计了2种审计方案动态更新算法.主动更新算法保证了审计系统的覆盖率,而被动更新算法能够及时满足文件的审计需求.实验结果表明：相较于传统方法,SA-PDP的审计总执行时间至少减少了50%,有效增加了系统审计文件的数量.此外,SA-PDP方法生成的审计方案的达标率比传统审计方法提高了30%.     

具有私钥可恢复能力的云存储完整性检测方案

共享数据云存储完整性检测用来验证一个群体共享在云端数据的完整性,是最常见的云存储完整性检测方式之一.在云存储完整性检测中,用户用于生成数据签名的私钥可能会因为存储介质的损坏、故障等原因而无法使用.然而,目前已有的共享数据云存储完整性检测方案均没有考虑到这个现实问题.本文首次探索了如何解决共享数据云存储完整性检测中私钥不可用的问题,提出了第一个具有私钥可恢复能力的共享数据云存储完整性检测方案.在方案中,当一个群用户的私钥不可用时,可以通过群里的t个或者t个以上的用户帮助他恢复私钥.同时,设计了一个随机遮掩技术,用于确保参与成员私钥的安全性.用户也可验证被恢复私钥的正确性.最后,给出安全性和实验结果的分析,结果显示提出方案是安全高效的.     

一种面向云的大数据完整性检测协议

云计算的出现为计算机的发展提出了一个新的发展方向,但是其中的很多安全问题一直限制着云计算的发展,其中云存储的完整性检测问题最为突出。由于大数据的特性,现有的关于数据完整性检测的协议并不适合大数据的检测。通过对Juels协议的改进,文中提出一种新的更加适合大数据存储的数据完整性检测协议,改进了原有协议只能进行有限次数检测的缺陷,引入了纠删码技术,使得数据的可恢复性得到大幅提升。通过理论分析表明该协议在数据的计算量和用户数据存储量上都有明显优势。     

一种归档存储系统结构

针对归档数据的存储管理问题,提出一种归档存储体系结构AStore,采用数据指纹、数据压缩、数据分块和重复数据删除技术,设计归档存储系统的数据存储和管理策略。测试并分析不同参数设置下存储系统的性能,结果表明该策略能减少数据冗余,提高系统存储空间的利用率和访问性能。     

一个支持错误定位的批处理数据拥有性证明方案

数据拥有性证明技术是当前云存储安全领域中的一大重要研究内容,目的是不必下载所有文件,就能安全而高效地远程校验存储在云服务器中的数据是否完整.目前已陆续提出了许多批处理数据拥有性证明方案,但大多数方案都没有考虑用户数据出错后的错误定位问题,仅有的几个批处理校验方案也只能单独定位错误数据所在服务器或其所属用户.提出了利用定位标签辅助第三方审计员快速定位错误的方法,并在Zhou等人工作的基础上,利用Merkle Hash Tree构造数据定位标签,实现了一个多用户、多服务器环境下支持批处理校验且具备错误数据定位功能的数据拥有性证明方案,可以在批处理校验失败后快速定位错误数据的拥有者和所在服务器.在随机谕言机模型下,该方案是可证明安全的,且性能分析表明,定位错误数据的能力和效率比其他具有单一定位功能的方案更高.     

云存储完整性验证密码学技术研究进展

云存储完整性验证技术允许用户将数据存储至云端服务器,并为用户提供可验证的完整性保证。典型的云存储完整性验证方案由两个阶段组成：一是数据处理阶段,用户使用私钥处理数据、生成可验证的元数据存储于云服务器,而本地只需保存与数据相关的一些参数,如密钥和数据标签等;二是数据完整性验证阶段,验证者通过和云服务器交互执行一个挑战/证明协议,能够以极高的概率判断出云端数据当前的完整性。到目前为止,已经涌现了大量的相关密码学方案。本文对可证明安全的可公开验证的云存储完整性验证关键密码学技术研究进展进行简要回顾,主要涵盖代理数据外包技术、代理完整性验证技术、基于身份的数据外包技术以及几种计算和通信效率优化技术等。