基于响应模糊化的抗附加块攻击云数据安全去重方法

附加块攻击是威胁云数据跨用户去重安全性的一种重要攻击手段,它通过将随机数量的非命中块附加在待检测文件上,使得云服务商无法判断所检测文件的真实存在性,从而难以通过常规的响应模糊化方法保护云数据的存在性隐私。针对这个问题,提出一种基于响应模糊化的新型抗附加块攻击的云数据安全去重方法。该方法通过计算附加块数量,统计未命中块数,并比较二者以确定响应中包含的最少冗余块数,实现响应模糊化,从而只需付出少量的额外通信开销就可确保攻击者难以根据响应判断所检测文件的存在性。安全性分析和实验结果表明,相比该领域的最新工作,所提方法更高的安全性只需更低的开销,或在开销相当或少量增加的情况下显著提高安全性。     

基于存储网关的数据安全去重方案

在实行客户端去重的云存储系统中,通过所有权证明可以解决攻击者仅凭借文件摘要获得整个文件的问题。然而,基于所有权证明的去重方案容易遭受侧信道攻击。攻击者通过上传文件来观察是否发生去重,即可判断该文件是否存在于云服务器中。基于存储网关提出一种改进的所有权证明去重方案,存储网关代替用户与云服务器进行交互,使得去重过程对用户透明,并采用流量混淆的方法抵抗侧信道攻击和关联文件攻击。分析与比较表明,该方案降低了客户端计算开销,并提高了安全性。     

边信道攻击防范措施的研究

边信道攻击通过收集密码设备的功耗、电磁辐射、算法执行时间等信息来获取密钥信息。文章通过分析典型的边信道攻击,对照信息安全等级保护的技术标准,分别从硬件和软件两个方面论述了常见的边信道攻击防范措施,并且给出了一般防范措施的设计准则。根据给出的软件措施设计准则,使用Koblitz椭圆曲线设计了一个可以抵抗边信道攻击的公钥加解密算法,分析表明该算法在保持高效的同时实现了运行的安全性,适用于智能卡、PDA等移动设备。随着当前密码学的广泛应用和边信道攻击成本的大幅降低,对边信道攻击的防范应尽快纳入信息安全的标准规范当中。     

一种混合云环境下基于Merkle哈希树的数据安全去重方案

重复数据删除技术是云存储系统中一种高效的数据压缩和存储优化技术,能够通过检测和消除冗余数据来减少存储空间、降低传输带宽消耗。针对现有的云存储系统中数据安全去重方案所采用的收敛加密算法容易遭受暴力攻击和密文计算时间开销过大等问题,提出了一种混合云环境下基于Merkle哈希树的数据安全去重方案MTHDedup。该方案通过引入权限等级函数和去重系数来计算去重标签,高效地实现了支持访问控制的数据安全去重系统;同时通过执行额外的加密算法,在文件级和数据块级的数据去重过程中构造Merkle哈希树来生成加密密钥,保证了生成的密文变得不可预测。安全性分析表明,该方案能够有效地抵制内部和外部攻击者发起的暴力攻击,从而提高数据的安全性。仿真实验结果表明,MTHDedup方案能有效地降低密文生成的计算开销,减少密钥的存储空间,而且随着权限集数目的增加,性能优势将更加明显。     

抗边信道攻击的快速并行标量乘法

在椭圆曲线密码体制里面,标量乘法是一个非常重要的运算,它的性能对整个密码体制的效率有着举足轻重的作用。论文首先提出一个快速窗口算法用以实现标量乘法,此算法利用了NAF表示的窗口算法和边信道原子块(side channel atomicity)方法,所以算法有效,快速而且可以边信道攻击。在此基础上提出了一个并行算法,它对于边信道攻击是安全的,高效的。     

基于汉明重的EPCBC代数侧信道攻击

为评估EPCBC密码的安全性,在汉明重的基础上,提出一种EPCBC密码代数侧信道攻击方法,并研究影响攻击效率的因素。构建该算法的代数方程组,通过功耗泄露情况推断汉明重,将其转化为代数方程组,并利用解析器求解密钥。实验结果表明,该方法在已知明密文和未知明密文条件下均可恢复出完整密钥。     

改进的高效云存储数据去重方案

针对Chen等人提出的云存储数据去重方案BL-MLE的计算开销过大的问题,对其方案进行了改进,提出了一种更高效的数据去重方案。首先对BL-MLE方案进行了分析,指出其在计算效率等方面的不足;随后通过使用hash函数和标签决策树对BL-MLE的块标签生成过程以及块标签比较过程进行改进;最后,实验仿真了改进的方案。结果表明,改进后的方案在块标签比较所需次数更少,且块标签生成上时间开销更低,能更好地适应当前的云存储环境。     

基于双层加密和密钥共享的云数据去重方法

数据去重技术在云存储系统中的广泛应用,可以有效地节省网络通信带宽,提高云服务器的存储效率.随着信息安全问题的日益凸显,用户对于数据隐私的重视程度越来越高.为保护数据隐私,用户普遍将数据加密后上传至云服务器.相同的数据经过不同用户加密后得到不同的密文,使得云服务器难以进行数据重复性检测.如何在保护数据隐私的前提下,实现云存储中加密数据的去重,成为研究的热点问题.现有方案大多借助可信第三方实现云数据安全去重,但可信第三方在现实应用中极难部署,且易成为系统瓶颈.提出一种基于双层加密和密钥共享的云数据去重方案,无需可信第三方参与,实现云存储中加密数据的安全去重.通过划分数据流行度,对隐私程度较高的非流行数据采用双层加密机制进行保护.内层为收敛加密,外层为对称加密.借助门限秘密共享机制,将外层加密使用的加密密钥保存到多个密钥管理服务器,实现不同用户间的密钥共享.对隐私程度不高的流行数据,采用简单高效的收敛加密.安全性分析与性能对比体现本文的方案具有较高的安全性与执行效率.通过仿真实验,验证了方案的可行性和高效性.     

基于Bloom Filter的混合云存储安全去重方案

针对现有云存储系统中数据去重采用的收敛加密算法容易遭到暴力破解以及猜测攻击等不足,提出一种基于布隆过滤器的混合云存储安全去重方案BFHDedup,改进现有混合云存储系统模型,私有云部署密钥服务器Key Server支持布隆过滤器认证用户的权限身份,实现了用户的细粒度访问控制。同时使用双层加密机制,在传统收敛加密算法基础上增加额外的加密算法并且将文件级别去重和块级别去重相结合实现细粒度去重。此外,BFHDedup采用密钥加密链机制应对去重带来的密钥管理难题。安全性分析及仿真实验结果表明,该方案在可容忍的时间开销代价下实现了较高的数据机密性,有效抵抗暴力破解以及猜测攻击,提高了去重比率并且减少了存储空间。     

云存储中支持数据去重的群组数据持有性证明

数据持有性证明(Provable Data Possession,简称PDP)和数据可恢复性证明 (Proofs of Retrievability,简称POR)是客户端用来验证存储在云端服务器上的数据完整性的主要技术.近几年它在学术界和工业界的应用广泛,很多PDP和POR方案相继出现,但是由于不同群组的特殊性和独特要求,使得群组PDP/POR方案多样化,并且群组应用中的许多重要功能(例如数据去重)没有被实现,如何构造高效及满足群组特定功能和安全需求的PDP/POR方案已经引起了人们的广泛关注.本文给出了一个支持数据去重的群组PDP方案(GPDP),基于矩阵计算和伪随机函数,GPDP可以在支持数据去重的基础上,高效的完成数据持有性证明,并且可以在群组中抵抗恶意方选择成员攻击.在标准模型下证明了GPDP的安全性,并且在百度云平台上实现了GPDP的原型系统.为了评估方案的性能,我们使用了10GB的数据量进行实验和分析,结果表明GPDP方案在达到群组中数据去重的目标基础上,可以高效地保证抵抗选择攻击和数据持有性,即预处理效率高于私有验证方案,而验证效率高于公开验证方案(与私有验证效率几乎相同).另外,与其他群组PDP/POR方案相比,GPDP方案将额外存储代价和通信代价都降到了最低.     

基于Swift的可去重校园云存储系统的设计与实现

随着高校信息化的发展以及教学、科研和管理应用系统的广泛应用,数据资源如:图片、文档、视频等非结构化资源增长十分迅速。如何应对校园网络环境中不断增大的存储需求,提高存储资源的利用效率,是校园数据中心运维中一个比较重要的问题。本文介绍了基于开源软件 Swift 的云存储平台的搭建,以及带有重复数据删除功能的校园云存储系统(Dedupe_swift) 的设计与实现。通过重复数据删除功能的引入,提高了底层存储空间利用率;采用源端去重机制,为用户缩短了重复文件的上传时间;通过 Web 服务将存储作为服务提供给用户,为用户提供良好的云存储访问体验。     

防范边信道攻击的逆伪操作实现算法

针对模幂运算的二元表示(BR)算法在防范边信道攻击方面存在的问题,以消除运算单元之间的功耗差异为目的,提出模幂运算的逆伪操作算法。通过对基本BR算法和逆伪操作算法的实测功耗轨迹对比和对逆伪操作算法防范边信道攻击分析,证明逆伪操作运算已达到消除运算单元之间功耗差异的预期目标。     

一种针对RSA抗侧信道攻击的改进窗口算法

现有的改进RAS公钥密码算法在抵抗侧信道攻击时,运算速度较慢且防御效率较低.为解决该问题,提出一种针对RSA抗侧信道攻击的改进窗口算法.采用密钥段迭代处理方法,在预计算时只产生奇次幂的余数表,并给出该算法的蒙哥马利实现形式.分析结果表明,该算法在保证抗侧信道攻击的同时,执行效率有较大提高.     

云存储安全技术研究进展综述

云存储服务涉及大量的用户隐私数 据,因此其安全性和隐私性至关重要。为此,本文针对云存储的重复数据删除、隐藏存储、 数据加密与密文搜索以及数据完整性审计４个方面,介绍当前云存储安全技术研究的进 展, 并探讨提高商业云存储系统的安 全性和隐私性的未来研究方向。 其中,云存储的可重复数据删除技术旨在同时对抗文件识别攻击等多种攻击,减少额外 服务器开支,并提高用户收益。隐藏存储技术采用模块化结构和异步机制等方法降低 云存储系统的计算量,并提高其安全性和可扩展性。云存储的数据加密和密文搜索在传统加 密的基础上,基于密文策略属性的加密技术实现,提供密文搜索,防止用户身份隐私的泄露 。数据完整性审计系统针对用户密钥泄露等安全问题,旨在为用户提供安全、高效和支持审 计的存储服务。     

基于RCE的云存储动态所有权管理数据去重方案

数据去重技术在云存储中应用广泛,通过存储数据的一个副本节省存储空间、降低通信开销。为了实现安全的数据去重复,收敛加密以及其很多变体相应被提出,然而,很多方案没有考虑所有权改变和所有权证明(PoW)问题。提出一种安全高效的动态所有权管理去重方案,通过更新组密钥对密钥密文进行重加密实现云用户所有权撤销后的管理问题,阻止撤销所有权的用户正确解密密文,构造了基于布隆过滤器的所有权证明,提出延迟更新策略进一步降低计算开销。分析和实验表明,该方案具有较小的开销,在动态所有权管理中是有效的。     

访问驱动下的Cache侧信道攻击研究综述

近年来,海量异构的物联网终端设备承载着核心功能,更易成为攻击者的直接目标.Cache侧信道攻击越来越多地出现在终端设备和云平台中,该攻击通过构建细粒度、高隐蔽性的Cache侧信道从目标设备中提取加密密钥等敏感数据,打破设备的隔离保护机制.在综述中,针对访问驱动下的Cache侧信道攻击技术展开研究,介绍了Cache侧信道攻击技术的基本原理和研究现状,通过理论分析和实例验证的方式重点研究了“清除+重载”攻击、“填充+探测”攻击、“刷新+重载”攻击的攻击原理、攻击过程和攻击效果.以攻击特点、攻击范围和对应的防御方案为切入点,对上述3种攻击进行对比分析,指出不同攻击的优缺点和适用场景;进一步探讨攻击过程中存在的问题,提出了攻击最后一级缓存(last-level cache, LLC)和噪声处理方面面临的挑战.最后结合万物互联时代下,从Cache层次结构的逐步转变、云平台的海量数据存储、以及终端设备上可信应用环境的广泛部署等现状,讨论了未来可能的研究方向.     

基于Cache行为的旁路攻击

分析新型高速缓冲存储器(Cache)旁路攻击技术,给出一种Cache旁路攻击方法。针对S盒操作使用查找表处理的数据加密标准(DES)算法实现,通过获取DES加密过程中前2轮加密运算对应的Cache命中信息,结合数学分析方法,可以有效地缩小DES密钥搜索空间。对Cache存储器行为和数学分析攻击进行仿真实现的结果显示,通过26个选择明文,大约耗费230次离线DES加密时间成功地恢复了DES密钥。给出了防御Cache攻击的基本对策。     

基于重复数据删除的虚拟桌面存储优化技术

虚拟桌面基础架构依靠数据中心海量的云基础设施,为用户按需提供虚拟桌面部署所需的软硬件资源,但同时面临存储资源利用率低和虚拟机启动慢的困境.针对虚拟桌面存储中具有大量数据冗余的特性,采用重复数据删除技术缩减虚拟桌面基础架构的存储空间需求;并利用服务器本地磁盘缓存以及共享存储池内的固态硬盘来优化虚拟机的启动性能.通过原型实现,发现相比于基于内容分块的策略,静态分块策略更适合虚拟桌面存储进行重复数据删除,最优的分块大小为4KB,并能够缩减85%的存储空间容量;通过服务器本地磁盘缓存和基于闪存的固态硬盘进行I/O优化,虚拟机的启动速度能够获得35%的提升.