多用戶(hù)共享云計(jì)算服務(wù)環(huán)境下安全問(wèn)題研究.pdf

1、云計(jì)算技術(shù)正在成為未來(lái)IT技術(shù)發(fā)展的最為重要的趨勢(shì)之一。企業(yè)將數(shù)據(jù)和服務(wù)外包到云端，能夠降低成本、提高效率，但是，目前大多數(shù)企業(yè)只愿意將業(yè)務(wù)無(wú)關(guān)的數(shù)據(jù)和非關(guān)鍵業(yè)務(wù)外包到云中。最重要的原因是擔(dān)心敏感數(shù)據(jù)被云服務(wù)提供商(Cloud Service Provider,CSP)泄露。本文將CSP視為潛在的攻擊者，面向多用戶(hù)共享云計(jì)算服務(wù)環(huán)境設(shè)計(jì)安全方案和協(xié)議。典型的應(yīng)用場(chǎng)景是某企業(yè)將數(shù)據(jù)外包到云端，并授權(quán)企業(yè)內(nèi)部員工訪問(wèn)數(shù)據(jù)。
　　本文研

2、究的安全問(wèn)題如下:(1)數(shù)據(jù)安全性。企業(yè)數(shù)據(jù)往往涉及企業(yè)的隱秘信息，因此需要保證云端存儲(chǔ)的數(shù)據(jù)內(nèi)容只能被具有訪問(wèn)權(quán)限的數(shù)據(jù)用戶(hù)訪問(wèn);(2)用戶(hù)撤銷(xiāo)機(jī)制。企業(yè)內(nèi)部人事變動(dòng)頻繁，當(dāng)一個(gè)員工離開(kāi)該企業(yè)需要有效地撤銷(xiāo)其對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限;(3)用戶(hù)檢索隱私。海量數(shù)據(jù)存放在云中，數(shù)據(jù)用戶(hù)只訪問(wèn)自己感興趣的內(nèi)容，因此需要保護(hù)用戶(hù)在檢索數(shù)據(jù)過(guò)程中的隱私。
　　首先，為了保證數(shù)據(jù)安全性，一般采取的方法是對(duì)數(shù)據(jù)進(jìn)行加密后再存放到云端，使得只有擁有解密

3、密鑰的實(shí)體才能解密密文訪問(wèn)數(shù)據(jù)內(nèi)容。如何高效地實(shí)現(xiàn)基于密文的細(xì)粒度訪問(wèn)控制是亟待解決的問(wèn)題。其次，由于數(shù)據(jù)以加密形式存放在云端，一旦一個(gè)用戶(hù)的訪問(wèn)權(quán)限被撤銷(xiāo)，數(shù)據(jù)擁有者需要重新加密密文，并發(fā)布新的解密密鑰給合法用戶(hù)。當(dāng)用戶(hù)撤銷(xiāo)頻繁，將可能成為性能瓶頸。第三，存放在云中數(shù)據(jù)可以分為:公共數(shù)據(jù)和私有數(shù)據(jù)?？刹樵?xún)加密（SearchableEncryption，SE）方案可用于保護(hù)用戶(hù)檢索私有數(shù)據(jù)時(shí)的隱私;基于數(shù)據(jù)流的私有檢索(Private

4、Search on Streaming Data，PSSD)協(xié)議可用于保護(hù)用戶(hù)檢索公共數(shù)據(jù)時(shí)的隱私。然而，現(xiàn)有安全方案和協(xié)議在客戶(hù)端或在云端引起的開(kāi)銷(xiāo)很大，無(wú)法滿(mǎn)足用戶(hù)隨時(shí)隨地存取數(shù)據(jù)的需求，違背了成本經(jīng)濟(jì)的初衷。基于以上分析，本文的主要貢獻(xiàn)包括:
　　1.提出了基于層次屬性的加密（Hierarchical Attribute-BasedEncryption，HABE）方案。HABE方案利用精確身份與屬性同時(shí)標(biāo)識(shí)用戶(hù)，不僅能夠高效

5、地實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制，而且支持層次結(jié)構(gòu)的密鑰生成方式，更適合于多用戶(hù)共享云計(jì)算服務(wù)環(huán)境。
　　2.提出了基于時(shí)間的代理重新加密（Time-Based ProxyRe-Encryption，TimePRE）方案。TimePRE方案允許CSP在不知道數(shù)據(jù)內(nèi)容的前提下，依據(jù)時(shí)間自動(dòng)地重新加密密文，在無(wú)需數(shù)據(jù)擁有者參與的情況下有效地實(shí)現(xiàn)用戶(hù)訪問(wèn)權(quán)限撤銷(xiāo)。
　　3.提出了高效的可查詢(xún)加密(Efficient Searchable En

6、cryption，ESE)方案。ESE方案允許CSP在不知道數(shù)據(jù)內(nèi)容的前提下，找到滿(mǎn)足查詢(xún)條件的密文，并參與到部分解密過(guò)程中，為用戶(hù)分擔(dān)解密開(kāi)銷(xiāo)，更好地滿(mǎn)足用戶(hù)隨時(shí)隨地存取數(shù)據(jù)的需求。
　　4.設(shè)計(jì)了合作私有檢索（Cooperative Private Search，COPS）協(xié)議。COPS協(xié)議改進(jìn)了PSSD協(xié)議的性能，在用戶(hù)與CSP之間引入了一個(gè)中間層，用于合并用戶(hù)查詢(xún)并將查詢(xún)結(jié)果發(fā)布給用戶(hù)，在保護(hù)用戶(hù)檢索隱私的前提下，很大程度

7、地減輕了云端的計(jì)算與通信開(kāi)銷(xiāo)。
　　5.設(shè)計(jì)了支持等級(jí)查詢(xún)的高效信息檢索（Efficient InformationRetrieval for Ranked Queries，EIRQ）協(xié)議。EIRQ協(xié)議基于COPS協(xié)議提出的合作私有檢索模型，實(shí)現(xiàn)了等級(jí)查詢(xún)服務(wù)，使得用戶(hù)能夠按需取回不同比例的滿(mǎn)足查詢(xún)條件的數(shù)據(jù)。
　　論文的現(xiàn)有研究成果和進(jìn)一步的深入研究將開(kāi)創(chuàng)多用戶(hù)共享安全云計(jì)算服務(wù)研究的新局面，并極大地促進(jìn)安全云計(jì)算中若干關(guān)