《安全协议》课件10.5云计算.ppt

1、云存储数据的持有性证明n传统数据完整性的检测方法nMACn数字签名n云计算环境n数据全部取回验证不实际n云存储特性n云服务器无法完全被信任n服务方式以合约为基础n受限的客户端资源及带宽数据持有性证明的要求n稳固性n机密性n动态审计性n高效性Ateniese等人的PDP方案初始化阶段n用户也就是文件F的所有者首先对要存储的文件进行分块，再对每个数据块计算标签：运行算法 ，产生整个数据持有性证明过程的公私钥。n运行标签生成算法 ，为所有的数据块计算其相对应的标签值 。n接着，用户把文件F，公钥pk和标签集 外包存储在云服务器上。n用户将文件F和相对应的标签集 从本地刪除，自己只需保存密钥对 即可。

2、(1)(,)kKeyGenpk sk(,)1iimTagBlock pk sk mTin imT1(,.,)immTT,pk sk数据分块、标签计算和存储数据数据校验标签数据分块校验标签计算校验标签Ateniese等人的PDP方案挑战阶段n客户端随机生成一个包含被挑战的数据块的数目及位置的挑战值chal，并将其提交给云服务器，对其发起挑战。n服务器收到来自客户端的挑战后，运行证据生成算法 再将计算得到的结果，也就是持有性证明值V发送给客户端n用户执行证据验证算法 来验证V是否正确(,)GenProof pk F chalV(,)CheckProof sk pk chal V聚合聚合校验1.校验

3、标签具有同态特性校验标签具有同态特性2.关键是寻找高效的同态标签方案，关键是寻找高效的同态标签方案，具有低的计算复杂度具有低的计算复杂度校验请求（欲检验的数据块标号）第三方审计者验证聚合聚合检验的数据块标号第三方公开审计第三方公开审计校验请求公开审计需要可公开验证的同态可聚合标签生成算法多副本持有性证明多副本持有性证明MR-PDP有6个算法nKeyGen是密钥生成算法，由客户端在初始化阶段运行nReplicaGen算法用于在客户端生成文件副本nTagBlock用于在客户端为文件块生成验证标签nGenProof由服务器端运行用于证据生成nCheckProof由客户端运行用于证明数据持有性多副本持

4、有性证明多副本持有性证明MR-PDP有3个阶段n初始化阶段：客户端运行KeyGen来初始化此方案，使用ReplicaGen为文件F生成t个副本，再调用TagBlock为副本文件生成验证标签。客户端将副本文件和标签存储到服务器端，自身保留很少量的信息用于接下来的证据挑战。最后，客户端将原文件、副本文件以及标签都从本地删除。n副本处理阶段：这个阶段允许客户端执行副本的维护，客户端可以调用ReplicaGen动态的创建新的副本。多副本持有性证明多副本持有性证明MR-PDP有3个阶段n挑战阶段：客户端可以进行对单个文件副本的挑战或者全体副本的挑战。对于单一副本来说，客户端选择要挑战的服务器Su，然后验

5、证Su在挑战的过程中是否正确地持有其相应的副本Fu，对全体副本的挑战包含了t个单一副本的挑战，是可以并行执行的：对于 来说，客户端挑战服务器Su来证明副本Fu的持有性，且对于挑战次数是没有限制的。1ut云存储数据的可搜索加密n可搜索加密使用户具有在密文域上进行关键字搜索的能力n文件加密n陷门生成n查询检索n文件解密n可搜索加密类型n对称可搜索加密(SSE，symmetric searchable encryption)n非对称可搜索加密(ASE，asymmetric searchable encryption)可搜索加密三种三种基本基本模式模式对称可搜索加密对称可搜索加密SSE非对称可搜索加密

6、非对称可搜索加密保密的信息检索保密的信息检索PIR数据和附加索引加密并且存储在服数据和附加索引加密并且存储在服务器端，只有拥有密钥的人才可以务器端，只有拥有密钥的人才可以访问。所有有关用户访问模式将被访问。所有有关用户访问模式将被隐藏。隐藏。例：发送者利用接收者公钥发送邮例：发送者利用接收者公钥发送邮件给邮件服务件给邮件服务 器。任何一个拥有公器。任何一个拥有公钥的用户都可以向索引中增添文字，钥的用户都可以向索引中增添文字，但是只有拥有私钥的接收可以生成但是只有拥有私钥的接收可以生成“陷门陷门”去检测具有一关键字的邮去检测具有一关键字的邮件件在不泄露访问模式并且总通信量少在不泄露访问模式并且总

7、通信量少于数据大小的前提下从存储有未加于数据大小的前提下从存储有未加密数据的服务器端检索出数据的体密数据的服务器端检索出数据的体制。制。12对称可搜索加密n定义在字典=Wl，W2，Wd上的SSE算法SSE=(KeyGen,Encrypt,Trapdoor,Search,Decrypt)nK=KeyGen()：输入安全参数，根据安全参数输出加密密钥Kn(I,C)=Encrypt(K,D)：输入密钥K和明文文件。D是明文文件集合，D=(Dl,D2,Dn)，输出文件索引I和密文文件集C=(Cl，C2，Cn)，部分方案不需要生成索引nTw=Trapdoor(K,W)：输入需要查询的关键词W，输出关键词

8、W对应的陷门TwnD(W)=Search(I,Tw)：输入生成的陷门Tw以及文件的索引I，输出包含关键词W的文件集合D(W)nDi=Decrypt(K,Ci)：输入密钥K和返回的密文文件Ci，输出明文文件Di非对称可搜索加密nBoneh等提出PEKS(public key encryption with keyword search)概念PEKS=(KeyGen,Encrypt,Trapdoor,Test)n(pk,sk)=KeyGen()：是安全参数，该算法根据安全参数生成公钥pk和私钥sknCW=Encrypt(pk,W)：利用生成的公钥pk和加密文件的关键词W，生成关键词密文CWnTW=

9、Trapdoor(sk,W)：利用生成的私钥sk和用户输入的关键词W，生成关键词W的陷门TWnb=Test(pk,CW,TW)：根据生成的公钥pk、关键词W的陷门TW和关键词密文CW计算匹配相似度，输出判定值b0,1公钥可搜索加密不同的发送者可以用不同的发送者可以用Alice的公钥向的公钥向Alice发送加密的文发送加密的文件，同时件，同时Alice可以搜索确定文件中是否带有特定的关可以搜索确定文件中是否带有特定的关键词键词W1,W2,EApub msg;PEKS(Apub;W1);PEKS(Apub;Wk)PEKS为可搜索公钥加密方法为可搜索公钥加密方法 邮件服务器Tw带有关键字W的邮件15

10、可搜索加密模糊关键词搜索模糊关键词搜索搜索结果排序搜索结果排序16基于属性加密的云数据共享n非信任的云系统n用户更希望自己来定义访问控制的策略，确保任何不满足访问控制策略的实体包括云端都不能读取敏感数据传统访问控制模型Access control list:Kevin,Dave,andanyone in IT departmentSarah:IT department,backup manager?v优点优点:灵活的接入策略v缺点缺点:数据对服务器的泄露是脆弱的 必须相信服务器的安全性18加密文件存储v 更安全更安全,但丢失灵活性但丢失灵活性v 每个文件新的密钥每个文件新的密钥:必须在线分发密

11、钥v 许多文件有相同的密钥许多文件有相同的密钥:不可能实行细粒度访问控制19基于密钥策略的属性加密(KP-ABE)KP-ABE有如下四个算法n(1)设置(setup)：由授权中心运行，输入一个隐藏的安全参数，输出公钥PK和一个主私钥MK。n(2)密钥生成(KeyGen)：输入访问结构树A、主密钥MK、公钥PK，输出用户私钥SK。n(3)加密(Encrypt)：输入一个消息M、一组属性Y、公钥PK，输出密文E。n(4)解密(Decrypt)：基于属性组Y加密的密文E，对应访问结构A的解密密钥D，公开参数PK。如果YA，输出消息M。与销售部经理数据属主：市场部，经理，工程师用户2用户1或与市场部经

12、理运维部基于密钥策略的属性加密示例基于密文策略的属性加密(CP-ABE)CP-ABE有如下四个算法n(1)设置：输入隐藏的安全参数，输出公开参数PK和一个主密钥MK。n(2)加密：输入一个消息M、一个访问结构A、公开参数PK，输出密文E。n(3)密钥生成：输入一组属性Y、主密钥MK、公开参数PK，输出一个解密密钥D。n(4)解密：输入基于访问结构A加密的密文E，对应属性组Y的解密密钥D，公开参数PK。如果YA，输出消息M。基于密文策略的属性加密示例或与运维部市场部经理数据属主用户1：市场部，经理，工程师 用户2：销售部，经理 基于代理重加密的云数据共享 代理重加密是指允许第三方（代理）改变由数

13、据所有者加密的密文，使得代理重加密是指允许第三方（代理）改变由数据所有者加密的密文，使得数据所有者可以委托云服务将加密的文档交互给另一方解密，而云服务并不数据所有者可以委托云服务将加密的文档交互给另一方解密，而云服务并不知道数据的明文。知道数据的明文。AliceBobTrentAlice密钥密钥转换密钥转换密钥Bob密钥密钥发送者用发送者用Alice的公钥加密邮件，并将密文发送给的公钥加密邮件，并将密文发送给Alice并存储在邮件服务器中，并存储在邮件服务器中，然而然而Alice可能由于某些原因无法及时处理这些邮件，她希望邮件服务器能够将可能由于某些原因无法及时处理这些邮件，她希望邮件服务器能

14、够将这些密文转发给秘书这些密文转发给秘书 Bob 来处理来处理代理重加密25云计算环境下外包计算n安全外包计算需要解决两个问题n一是将计算任务外包时能够保护用户不泄露敏感数据隐私(包括计算函数本身的隐私)n二是能够获得正确的计算结果，并且保证计算结果的隐私性。数据计算的隐私保护数据计算的隐私保护-同态加密同态加密同态加密同态加密 H-Enc dataE_DataCloud Computingf(E_Data)f(E_Data)同态解密同态解密H-Decf(data)f:用户委托云对数据用户委托云对数据data进行的运算函数进行的运算函数,同态加密要求加解密满同态加密要求加解密满足如下性质足如下

15、性质()()()Dec f Enc dataDec Enc f dataf data为保证保护隐私的云计算的适用性，希望加密和解密对任何函数为保证保护隐私的云计算的适用性，希望加密和解密对任何函数f 都具有同态特都具有同态特性。性。27n传统的密码算法只对几种有限的运算具有同态特性。如RSA算法对乘法运算具有同态性（对密文相乘后解密等于明文相乘）1212(mod)(mod)()modeeemN mNm mN是否存在加密算法对所有的运算都具有同态特性是否存在加密算法对所有的运算都具有同态特性完全完全同态加密？同态加密？Fully Homomorphic Encryption(FHE)数据计算的隐私保护数据计算的隐私保护-同态加密同态加密Paillier加密加密28