云存储系统中数据去重安全性方法研究

摘要

随着全球数据总量的指数级增长，大规模数据的存储和保护成为重要研究挑战。云存储系统提供大容量、可扩展和按需付费服务，因此越来越多的用户和企业将数据发送到云存储系统。针对数据集分析发现存储系统中存在大量冗余数据，云存储系统采用数据去重来削减冗余数据以节省存储成本和网络带宽。然而数据去重云存储系统面临着安全风险及其解决方法带来的性能问题，例如数据去重加密方法的机密性与时间开销，文件上传和文件访问中的隐私保护与计算开销，以及共享数据的可用性保障与存储开销等问题。如何构建安全且高效的基于数据去重的云存储系统是目前亟待解决的问题。因此，研究了云存储系统中数据去重的高效机密性保护，文件上传和文件访问中的数据隐私性保护，以及系统可用性保障等相关方法。 针对现有的数据去重加密方法面临的暴力破解攻击或较大时间开销问题，提出了一种基于用户感知的收敛加密方法SecDep，采用了用户间文件级基于服务器协助加密算法并结合用户内块级基于用户协助加密算法生成随机安全密钥，以抵抗暴力破解攻击和减少整体时间开销。用户间去重面临的安全风险高，现有方法是在块级采用基于服务器协助加密算法提高安全性，但需要大量幂指数运算导致时间开销大。分析发现用户间冗余数据主要是重复文件，因此SecDep在用户间文件级采用高安全加密算法而在用户内块级采用低开销加密算法，同时采用了用户间文件级和用户内块级的两级去重保证去重率。为保证密钥安全性，SecDep利用文件级密钥加密块级密钥，然后利用Shamir秘密共享编码文件级密钥并发送到分布式密钥服务器。安全分析证明SecDep能抵抗暴力破解攻击和保证数据机密性。实验测试表明相对于现有抵抗暴力破击攻击的方法DupLESS-chunk，SecDep减少了52%-92%时间开销且只损失2.8%-7.35%的去重率。 在基于数据去重的云存储系统的文件上传时，客户端需要向云存储服务端进行所有权证明以保证确实拥有文件内容来抵抗哈希证明攻击。针对现有的所有权证明方法存在误判导致的隐私泄露和数据更新开销大的问题，提出了一种基于两级验证和高效数据更新的所有权证明方法AS-PoW，结合布谷鸟过滤器验证和代数签名验证的挑战应答协议来抵抗哈希证明攻击和避免隐私泄露，同时通过准确定位和部分更新来减少更新开销。为避免隐私泄露，AS-PoW对文件的数据块密文构建布谷鸟过滤器，并利用布谷鸟过滤器进行两级验证的挑战应答，即云存储服务端首先随机选择多个块索引作为挑战块并在布谷鸟过滤器中检查客户端应答信息，若通过第一级验证，云存储服务端进一步验证代数签名同态性，通过计算挑战块和的签名是否等于挑战块签名的和进行判定。现有的基于布隆过滤器方法采用定长分块且不支持删除操作导致更新开销大，因此AS-PoW利用基于内容的分块方法快速地定位更新内容，且利用支持删除的布谷鸟过滤器只上传更新数据来减少更新开销。安全分析证明AS-PoW能抵抗哈希证明攻击和保证数据隐私性。测试结果表明相对于BF-PoW，AS-PoW减少了64.5%-66.5%的更新时间开销。 在基于数据去重的云存储系统的文件访问中，对多用户共享数据采用访问控制方法来保证数据隐私性。针对现有的访问控制方法存在对小文件计算开销大且不支持灵活用户撤销的问题，提出了一种基于相似性加密去重的访问控制方法EDedup，聚合小文件成段并利用相似性生成密钥加密数据来减少计算开销，同时利用基于代理的属性加密管理文件元数据以实现灵活用户撤销和减少元数据开销。传统采用最小哈希作为代表哈希的相似性方法会导致隐私泄露，因此EDedup利用源端相似段检测来选择代表哈希并在段级利用基于服务器协助加密算法加密数据，且在目标端进行重复数据块检查保证隐私性。为减少元数据开销和支持灵活撤销，EDedup对重复文件元数据只保存一份，且用户被撤销时由代理对密文重加密。测试表明相对于SecDep，EDedup提升了约36%的加密速度；相对于REED减少39.9%-65.7%的元数据开销。 针对现有的数据去重可用性保障方法存在扩展性差或存储开销较大的问题，提出了一种基于数据去重感知的低开销数据冗余方法DARM，发掘数据去重语义特征来标记数据块，然后对文件间和高引用数据块采用副本策略来提高扩展性而对其他块采用纠删码策略，从而保证数据可用性和降低存储开销。分析数据去重语义特征，例如，文件间/文件内重复块、数据块大小和块引用计数等特征，发现文件间和高引用数据块对存储可用性影响大且占据空间小，因此对于文件间和高引用数据块，DARM采用动态副本策略并随引用次数适当增加副本个数来提升可用性；而对于非重复和低引用数据块，DARM采用纠删码策略来保证存储效率，从而以较低存储开销来增强存储可用性。测试结果显示相对于经典的Deep Store，DARM最高减少了43.4%的存储开销且只降低很少的数据可用性。

目录

D201377693-周玉坤-博士论文黑色页眉 - combine

摘 要

Abstract

1 绪论

1.1 数据去重的研究背景

1.2 云存储系统中数据去重面临的安全问题

1.3 云存储系统中数据去重安全方法研究现状

1.4 本文的主要研究内容和组织结构

2 基于用户感知的收敛加密和密钥管理方法

2.1 数据去重加密和密钥管理方法分析和研究动机

2.2 基于用户感知的收敛加密和多级密钥管理算法

2.3 SecDep的威胁模型和安全性分析

2.4 SecDep性能评价

2.5 本章小结

3 基于两级验证和高效数据更新的所有权证明方法

3.1 数据去重中所有权证明方法研究现状及分析

3.2 基于两级验证和高效数据更新的所有权证明算法

3.3 AS-PoW威胁模型和安全性分析

3.4 AS-PoW性能评价

3.5 本章小结

4 基于相似性加密去重的访问控制方法

4.1 数据去重的访问控制方法研究现状及分析

4.2 基于相似性加密去重和支持灵活撤销的访问控制算法

4.3 EDedup的威胁模型和安全性分析

4.4 EDedup性能评价

4.5 本章小结

5 基于数据去重感知的低开销数据冗余方法

5.1 数据去重可用性研究现状及分析

5.2 数据去重的语义特征分析

5.3 基于数据去重感知的低开销数据冗余算法

5.4 DARM性能评价

5.5 本章小结

6 全文总结与展望

6.1 主要成果

6.2 研究展望

致 谢

参考文献

1 攻读博士学位期间发表的学术论文目录

2 攻读博士学位期间申请的发明专利和其他成果

3 攻读博士学位期间参与的科研项目