基于数据持有性证明的完整性验证技术综述

在云存储环境中,为确保用户数据的完整性和可用性,用户需要对存储在云服务器中的数据进行完整性验证。现有的数据完整性验证机制主要有两种：数据持有性证明（Provable Data Possession,PDP）与可恢复数据证明（Proof of Retrievability,POR）。重点讨论了基于PDP的云存储数据完整性验证机制。结合PDP验证机制特性,对PDP方案进行分类,并总结了各分类使用的关键技术;根据分类阐述了PDP方案的研究现状,并对典型方案在动态验证、批量审计、计算开销等几个方面进行了对比分析;讨论了基于PDP的云存储数据完整性验证机制未来的发展方向。     

基于部分授权的可证明数据持有性验证

可证明数据持有性验证(provable data possession, PDP)是云存储中重要的完整性验证技术,采用可证明数据持有验证,客户可通过常量级运算验证云服务器是否诚实地持有客户数据.某些情况下,客户无法亲自验证云端的数据持有,此时客户需要授权代理对云端数据进行持有验证.针对上述问题,提出了一种基于部分授权的可证明数据持有验证方案(provable data possession based on partial delegation, PDPPD),新方案基于双线性对及部分授权技术支持数据拥有者直接通过密钥变形方式委任代理方进行数据持有验证,并且数据拥有者可以随时撤销或更换代理方,证明了方案的安全性.与现有数据持有性验证方案相比,新方案在保证相同安全强度的条件下,具有更小的计算量和通信量,且应用场景更加广泛.     

一种层次式远程数据持有检测方法

在云存储环境下,云服务器并不完全可信。用户如何以较低开销验证云上数据的完整性成为用户日益关心的问题。目前已提出多种保护方法,这些方法在认证多个文件时需要对文件逐一进行认证,因此当文件数很大时其计算和通信开销仍较大。针对此问题,提出一种层次式远程数据持有检测方法。该方法与远程数据持有检测方法相结合,能提供高效且安全的远程数据完整性保护,并支持动态数据操作。对提出的方法进行了安全性分析和实验评估,结果表明,提出的方法安全可靠,在较低的漏检率下,相比远程数据持有检测方法有45%～80%的性能提升。     

基于同态hash的数据多副本持有性证明方案

为检查云存储中服务提供商(CSP)是否按协议完整地存储了用户的所有数据副本,在分析并指出一个基于同态hash的数据持有性证明方案安全缺陷的基础上,对其进行了改进和扩展,提出了一个多副本持有性证明方案。为实现多副本检查,将各副本编号与文件连接后利用相同密钥加密以生成副本文件,既有效防止了CSP各服务器的合谋攻击,又简化了用户和文件的授权访问者的密钥管理;为提高检查效率,利用同态hash为数据块生成验证标签,实现了对所有副本的批量检查;为保证方案安全性,将文件标志和块位置信息添加到数据块标签中,有效防止了CSP进行替换和重放攻击。安全性证明和性能分析表明,该方案是正确和完备的,并具有计算、存储和通信负载低,以及支持公开验证等特点,从而为云存储中数据完整性检查提供了一种可行的方法。     

云存储中的数据完整性证明研究及进展

随着云存储模式的出现,越来越多的用户选择将应用和数据移植到云中,但他们在本地可能并没有保存任何数据副本,无法确保存储在云中的数据是完整的.如何确保云存储环境下用户数据的完整性,成为近来学术界研究的一个热点.数据完整性证明(Provable Data Integrity,PDI)被认为是解决这一问题的重要手段,该文对此进行了综述.首先,给出了数据完整性证明机制的协议框架,分析了云存储环境下数据完整性证明所具备的特征;其次,对各种数据完整性证明机制加以分类,在此分类基础上,介绍了各种典型的数据完整性验证机制并进行了对比;最后,指出了云存储中数据完整性验证面临的挑战及发展趋势.     

多云存储中基于身份的数据持有性公开证明方案

数据持有性证明技术是解决云存储中数据安全问题的关键技术之一,多云存储下的数据持有性证明则是具有分布式特性的较新的一个研究课题。为了解决目前多云存储下的数据持有性证明技术方案少、安全性差、计算效率低等问题,提出一个适用于多云存储的、基于身份的、支持公开证明的数据持有性证明方案,并对方案的正确性、安全性和性能进行了详细的分析。分析比较结果说明所提方案比其他方案具有更好的性能,尤其具有高得多的计算效率。     

云存储服务中可证明数据持有及恢复技术研究

云存储可以实现任意地点、任意时间、任意数据访问及保障法规遵从的需求等.对存储需求不可预测、需要廉价存储的用户来说,按需购买存储容量的云存储与一次性购买整套存储系统相比显然会带来更多的方便和效益,且云存储在为用户节省投资的同时也节约了社会资源与能源.但是,因为云存储的安全性、可靠性及服务水平等还存在众多问题亟待解决,所以云存储还未得到人们的广泛认可与使用.当用户将数据存放在云存储中,他们最关心的是数据是否完整无误;如果出现故障,是否可以恢复其数据.所以,在云存储中只有让用户可以验证存储服务提供者正确地持有其数据,且当检测到错误时可实现数据恢复,他们才可放心地使用云存储.综述了可证明数据持有及恢复技术在国内外的研究现状,讨论了云存储服务的安全性与可靠性需求,并研究云存储服务对可证明数据持有及恢复方案的特殊要求,从而明确在云存储环境下可证明数据持有及恢复技术的研究方向.     

云存储中支持数据去重的群组数据持有性证明

数据持有性证明(Provable Data Possession,简称PDP)和数据可恢复性证明 (Proofs of Retrievability,简称POR)是客户端用来验证存储在云端服务器上的数据完整性的主要技术.近几年它在学术界和工业界的应用广泛,很多PDP和POR方案相继出现,但是由于不同群组的特殊性和独特要求,使得群组PDP/POR方案多样化,并且群组应用中的许多重要功能(例如数据去重)没有被实现,如何构造高效及满足群组特定功能和安全需求的PDP/POR方案已经引起了人们的广泛关注.本文给出了一个支持数据去重的群组PDP方案(GPDP),基于矩阵计算和伪随机函数,GPDP可以在支持数据去重的基础上,高效的完成数据持有性证明,并且可以在群组中抵抗恶意方选择成员攻击.在标准模型下证明了GPDP的安全性,并且在百度云平台上实现了GPDP的原型系统.为了评估方案的性能,我们使用了10GB的数据量进行实验和分析,结果表明GPDP方案在达到群组中数据去重的目标基础上,可以高效地保证抵抗选择攻击和数据持有性,即预处理效率高于私有验证方案,而验证效率高于公开验证方案(与私有验证效率几乎相同).另外,与其他群组PDP/POR方案相比,GPDP方案将额外存储代价和通信代价都降到了最低.     

云存储中数据持有性证明模型的设计与分析

提出一种云存储环境下的数据持有性证明模型CS PDP,该模型主要采用抽样检测的概率型验证和同态验证方法.模型中引入云存储提供商代理CSPP来协助用户与各个云存储提供商进行存储验证交互.该代理拥有三个核心模块:存储分配管理模块SAM、接收/响应挑战模块RRCM和通知/收集证明模块NCPM.对CS PDP模型的主要算法、工作流程和核心技术进行详细阐述;并且通过理论和实验两大手段,从安全性、概率型验证、以及开销(存储开销、计算开销和通信开销)等三个方面对CS PDP模型进行分析,结果表明CS PDP是一种高效可行的云环境下数据持有性证明模型.     

一个支持错误定位的批处理数据拥有性证明方案

数据拥有性证明技术是当前云存储安全领域中的一大重要研究内容,目的是不必下载所有文件,就能安全而高效地远程校验存储在云服务器中的数据是否完整.目前已陆续提出了许多批处理数据拥有性证明方案,但大多数方案都没有考虑用户数据出错后的错误定位问题,仅有的几个批处理校验方案也只能单独定位错误数据所在服务器或其所属用户.提出了利用定位标签辅助第三方审计员快速定位错误的方法,并在Zhou等人工作的基础上,利用Merkle Hash Tree构造数据定位标签,实现了一个多用户、多服务器环境下支持批处理校验且具备错误数据定位功能的数据拥有性证明方案,可以在批处理校验失败后快速定位错误数据的拥有者和所在服务器.在随机谕言机模型下,该方案是可证明安全的,且性能分析表明,定位错误数据的能力和效率比其他具有单一定位功能的方案更高.     

一种支持完美隐私保护的批处理数据拥有性证明方案

数据拥有性证明技术是当前云存储安全领域中的一项重要研究内容,可使用户无须下载所有文件就能高效地远程校验用户数据是否完整存储于云服务器。现实中,用户趋向于委托第三方验证机构TPA代替自己来验证数据的完整性;然而,多数支持第三方公开审计的数据拥有性证明方案通常只考虑恶意服务器是否能够伪造标签或证明的问题,鲜有考虑恶意TPA可能会窃取用户隐私的情况。近几年,一些既针对服务器保证数据的安全性又针对TPA实现数据隐私保护的数据拥有性证明方案逐渐被提出,但多应用于单云服务器环境下;个别应用在多云服务器环境下可支持批量审计的方案,或者不能有效抵抗恶意云服务器的攻击,或者无法实现针对TPA的零知识隐私保护。因此,文中在Yu等工作的基础上,提出了一个多云服务器环境下支持批量审计的数据拥有性证明方案。所提方案既可保证针对恶意云服务器的安全性,还可实现针对TPA的完美零知识隐私保护。性能分析及仿真实验表明所提方案是高效且可行的。     

面向云存储的多副本文件完整性验证方案

文件完整性验证是云存储服务的一项重要安全需求.研究者已经提出多项针对云存储文件完整性验证的机制,例如数据持有性验证(prove of data possession, PDP)或者数据可恢复证明(proof of retrievability, POR)机制.但是,现有方案只能够证明远程云存储持有一份正确的数据,不能检验其是否保存多份冗余存储.在云存储场景中,用户需要验证云存储确实持有一定副本数的正确文件,以防止部分文件意外损坏时无法通过正确的副本进行恢复.提出的多副本文件完整性验证方案,能够帮助用户确定服务器正确持有的文件副本数目,并能够定位出错的文件块位置,从而指导用户进行数据恢复.实验证明,充分利用了多服务器分布式计算的优势,在验证效率上优于单副本验证方案.     

云存储中一种基于格的数据完整性验证方法

随着云存储技术的发展,用户可以从远程云中按需获取高质量的应用和服务,而不用担心本地的数据管理存储.由于用户在本地不再保留任何数据副本,故无法确保云中数据的完整性.为了解决这一问题,提出了一种面向于云存储环境的、基于格的数据完有性验证机制,该机制能有效地识别云存储中侵犯用户数据完整性的违规行为,且在随机预言机模型下被证明是安全的.另外,设计的协议还具有其他3种好的属性,即支持数据块级的动态操作、支持签名数据上的同态计算及支持多用户验证.最后,给出了现有的多种完整性验证机制之间的对比,以及基于格的数据完整性验证方法存在的一些问题及发展方向.     

面向真实云存储环境的数据持有性证明系统

对数据动态更新和第三方审计的支持的实现方式是影响现有数据持有性证明（provable data possession,简称PDP）方案实用性的重要因素.提出面向真实云存储环境的安全、高效的PDP系统IDPA-MF-PDP.通过基于云存储数据更新模式的多文件持有性证明算法MF-PDP,显著减少审计多个文件的开销.通过隐式第三方审计架构和显篡改审计日志,最大限度地减少了对用户在线的需求.用户、云服务器和隐式审计者的三方交互协议,将MF-PDP和隐式第三方审计架构结合.理论分析和实验结果表明：IDPA-MF-PDP具有与单文件PDP方案等同的安全性,且审计日志提供了可信的审计结果历史记录;IDPA-MF-PDP将持有性审计的计算和通信开销由与文件数线性相关减少到接近常数.