第1章安全云存储系统综述
　　1.1云存储系统的安全需求
　　随着计算机技术和互联网应用的迅速发展，数据正以几何级数的方式增长，传统的并行计算和其他数据处理技术已经难以满足人们日益增长的数据处理需求，这种情况下云计算登上了海量数据处理的舞台。
　　云计算⑴因能有效地降低应用成本、充分地利用资源、提高计算能力、使用方便而颇受欢迎。云存储的概念是由云计算的概念发展而来的，通过现有的一些网络技术的结合将网络中大量的存储设备集中在一个虚拟资源池中来统一调度、分配、使用。云存储服务提供商通过向用户提供公开统一的接口来提供服务，用户可以通过这些接口方便快捷地管理自己的数据，企业则可以通过租用云服务来减少企业开支和降低维护设备的成本。云存储不单是一种存储方式，而是一种建立在互联网上的服务，它具有本地存储所不具备的众多优点，如海量存储、资源共享、成本低廉。
　　然而，云存储环境使用户对数据的绝对控制权由用户转移到云服务提供商处，用户不再真正（物理）拥有数据，用户数据面临一系列的风险。例如，云存储环境中的数据为了方便检索，增删数据通常是明文形式存储的，这样就对用户的敏感数据造成了巨大的威胁，不仅黑客可能盗取云服务提供商处存储的数据来恶意利用，并且云服务提供商本身也可能对用户数据进行分析来牟取利益。事实上，云服务提供商安全泄密事件层出不穷，Google、Salesforce和MediaMax等均发生过泄密事件，并且随着云存储的推广，用户不断增多，这类安全问题会越发严重。
　　根据2016年度TechTarget云存储调查报告[3]，可以发现只有1/3的企业在使用云存储服务。Verizon在2015年度数据泄露调查报告中指出，除了黑客攻击、木马病毒、钓鱼网站等外部因素，缺乏整套行之有效的安全管理系统，内部员工泄密及内部管理不当等内部因素成为引发数据泄密事件的主要原因[4]。由此可见云存储的用户难以完全信任云服务提供商。数据安全问题成为云存储推广路上的绊脚石，合理高效的安全机制对云存储至关重要。
　　云计算进入大众视野仅仅十多年，云存储的发展还处于早期阶段，云存储安全方面的研究更是刚刚踏上“万里长征第一步”，安全问题不解决，云计算与云存储发展和推广势必举步维艰。因此云存储安全技术的研究，不仅可以减少用户及云服务提供商的损失，而且对于云存储的推广更是具有重大的意义。
　　1.2安全云存储系统的关键技术
　　1.2.1数据加密技术
　　现有的数据加密算法分为对称加密和非对称加密（公钥加密），对称加密的加解密密钥可以互推。对称加密具有加密速度快、效率高的优点，常用于大量数据的加密工作。其缺点在于数据传输时，发送方和接收方都需要管理好密钥，其中一方泄露，那么密钥就不再安全，并且每对使用对称加密的用户密钥都是唯一的，因此对称密钥的数量是和文件数量成正比的，文件的逐渐增多会给对称密钥的管理带来不小的难度，因此文件的安全问题等同于密钥管理的安全问题。常用的对称加密密钥有数据加密标准（data encryption standard，DES）、高级加密标准（advanced encryption standard，AES）、三重数据加密算法（triple data encryption algorithm，TDEA，或称3DES）、对称分组加密算法（symmetric block cipher algorithm）、对称加密算法（symmetric encryption algorithms）、参数可变的分组密码算法（block cipher algorithm with variable parameters）、国际数据加密算法（international data encryption algorithm，IDEA）等。
　　非对称加密（公钥加密）加解密密钥无法互推。非对称加密不需要通信双方传输存储大量的密钥，数据接收方将公钥以明文形式发布出去，数据发送方采用接收方的公钥对数据进行加密，之后数据接收方用自己的私钥再将密文数据解密成明文使用。非对称加密的缺点是运算量较大，实现效率低，对机器负担较重。云计算可以从一定程度上弥补这些缺点。常用的公钥加密算法有RSA（Rivest-Shamir-Adleman）、ElGamal（非对称加密算法）、背包算法、Diffie-Hellman密钥交换协议中的公钥加密算法等，其中RSA是影响力最大的公钥加密算法，它可以抵御已知的绝大多数密码攻击，并且被国际标准化组织推荐为公钥数据加密标准。
　　云存储中数据安全加密的机制按加密对象分可以分为密钥封装机制（key encapsulation mechanism，KEM）和数据封装机制（data encapsulation mechanism，DEM）。KEM多采用公钥加密算法，通过对KEM的控制，可以实现灵活的访问控制策略。DEM多采用对称加密算法，不同的方案视情况采取KEM或者DEM，也有的采取混合加密。按照加密原理和加密功能又分为以下4种主流的数据加密机制。
　　1）代理重加密机制
　　代理重加密（proxy re-encryption，PRE）机制是指允许第三方C改变由A加密的密文，使得B可以解密文件，而第三方C却不知晓数据明文信息。吴世坤[5]对代理重加密方案进行了详尽的研究，PRE机制允许第三方代理者C加密A的密文，使得B可以解密数据密文。代理重加密适合于分布式文件存储系统和电子邮件的离线转发等场景。
　　2）广播加密机制
　　广播加密机制适用于多用户场景，当数据拥有者需要对其他用户分享数据时，可以动态地选择拥有权限的用户作为可解密的子集，只有合法（被授权）的用户才能解密数据。广播加密方案解决了合谋攻击，被撤销权限的用户即使联合起来，也不能获得广播明文。针对现有的广播加密机制在加解密性能和安全性方面的不足，文献[6]提出了一种基于拉格朗日插值多项式的匿名广播加密方法，降低了通信开销。广播加密方案在付费有线电视、视频会议等领域已经得到应用。
　　3）基于属性的加密机制
　基于属性基加密（attribute-basedencryption，ABE）机制是指加密数据时以某种
　　属性作为公钥对数据进行加密，用户的私钥也具有某种属性，只有当用户私钥的属性满足公钥的属性要求时才能解密数据。例如，密文要求用户私钥属性具有《和办，当用户私钥属性只有《或^时就不行。当密文要求用户私钥属性是《或6时，用户私钥属性只有a或只有b或者具有a与b都能解密密文。Sahai和Waters[7]提出了第一个ABE方案，文献[8]提出了一个多授权机构支持策略更新的CP（ciphertextpolicy）-ABE方案，对属性及解密密钥进行管理，类似于基于角色的访问控制。
　　ABE机制支持灵活的访问控制策略，适合多用户共享文件数据等场合，但是目前ABE方案还存在时间复杂度高、重加密代价大的问题。
　　4）全同态加密
　　全同态加密是指数据加密后，可以进行和明文一样的操作，包括加减乘除，若只能加或只能乘，则称为半同态加密。全同态加密的密文经过处理后得到的结果与明文处理后得到的结果完全一致，这是解决数据安全悖论（若数据加密则无法对数据进行操作，若不加密则安全性不保）最好的办法，保证了数据处理者可以正常操作，数据却无法得到数据明文。2009年国际商业机器公司（International Business Machines Corporation，IBM）的研究员Gentry[9]通过理想格（ideallattice）的数学对象，完成了对加密数据的充分操作，但是全同态加密现阶段密文处理效率很低，难以实际应用。
　　1.2.2访问控制技术
　　存储在云中的数据往往含有大量和个人隐私相关的敏感数据，如果不对这些数据提供可靠的保护，则一旦泄露会给用户带来巨大的损失。通过访问控制技术的实施，可以促使信息资源使用合法性得到保证：
　　（1）防止非法的用户访问受保护的云存储系统信息资源；
　　（2）允许合法用户访问受保护的云存储系统信息资源；
　　（3）防止合法的用户对受保护的云存储系统信息资源进行非授权的访问。
　　因此，访问控制技术是云安全问题的关键，通过限制用户对数据信息的访问
　　能力及范围，保证信息资源不被非法使用和访问。根据访问控制模型功能的不同，研究的内容和方法也不同，研究比较多的有基于角色的访问控制、基于任务的访问控制、基于属性模型的云计算访问控制、基于UCON（usagecontrol）模型的云计算访问控制、基于BLP（Bell-La Padula）模型的云计算访问控制等。
　　1.2.3数据完整性审计技术
　　随着数据指数式的增长，同时加上本机存储有限的资源，如果将大量数据存储在本地，则势必会对本地存储容量带来严重挑战。因此数据拥有者将数据上传到云端，以便节省本地存储空间。但为了确保自己数据的安全，有必要对数据进行完整性审计。一种方法是把数据从云端直接下载下来进行完整性审计，这种方法无疑在正确性方面能做到最好，但是十分消耗资源和时间，降低审计的效率。为了减少客户端审计开销，目前主要的方法是数据拥有者将审计任务委托给第三方审计机构去审计。而第三方审计机构采用随机抽样的方法，即从用户上传到云端的所有数据中抽取一部分进行完整性审计，根据这部分的审计结果估测整体数据的完整性，从而确定数据是不是安全。随机抽样的方法兼顾正确性和审计效率，与上面方法相比，正确性有所下降，但是审计效率却是翻倍地提高。
　　数据完整性审计模型一般包括三部分实体：数据拥有者（data owner，DO）、云服务提供商（cloud server provider，CSP）和第三方审计机构（third party auditor，TPA），如图1.1所示。各个实体部分的主要功能如下所示。
　　数据拥有者：对要上传到云端的数据进行一系列的处理，如加密、分块和计算标签等。
　　云服务提供商：提供数据存储和共享功能，根据第三方审计机构的挑战请求计算响应证据。
　　第三方审计机构：依据数据拥有者的审计委托，对存储在云端的数据进行完整性审计并将审计结果如实地反馈给数据拥有者。
　　1.2.4可搜索加密技术
　　在云计算环境下，保护用户数据隐私的同时，如何使密文数据得到高效利用成为亟待解决的重要研究课题。可搜索加密是云计算安全领域的一个前沿研究方向，是一种支持用户在密文中进行关键字检索的新技术，主要通过构造可搜索加密算法，解决云计算环境下如何利用不可信的服务器为用户提供安全高效的搜索服务。通常情况下，可搜索加密机制可以根据加密方法分为对称可搜索加密和公钥可搜索加密。
　　1）对称可搜索加密
　　对称可搜索加密算法可描述为五元组：SSE=（KeyGen，Encrypt，Trapdoor，Search，Decrypt）。
　　（1）Key—KeyGen（l）：输入安全参数I，输出对称密钥Key。
　　（2）（I，O—Encrypt（Key，D）：输入对称密钥Key和明文集合D=（A，D2， ，Dn），输出加密索引I和密文集合C=（C1，C2， ，Cn）。
　　（3）TD—Trapdoor（Key，w）：输入对称密钥Key和查询关键字w，输出关键字陷门TD。
　　（4）D（w）—Search（/，TD）:输入安全索引I和关键字陷门TD，输出包含查询关键字w文件的标识符构成的集合D（w）。
　　（5）A—Decrypt（Key，C）：输入对称密钥Key和密文Q，输出相应明文D。
　　2）公钥可搜索加密
　　公钥可搜索加密算法可描述为六兀组：PEK=（Setup，KeyGen，Encrypt，Trapdoor，Search，Decrypt）。
　　（1）Params—Setup（