許鐘華 張龍軍

(武警工程大學(xué)信息工程系 陜西 西安 710086）

技術(shù)論壇

改進(jìn)的云計算環(huán)境下數(shù)據(jù)確定性刪除模型

許鐘華 張龍軍

(武警工程大學(xué)信息工程系 陜西 西安 710086）

針對云計算環(huán)境下用戶要通過云服務(wù)提供商進(jìn)行數(shù)據(jù)管理，缺乏直接管理權(quán)限的情況進(jìn)行研究，改進(jìn)了利用分布式哈希表（DHT）網(wǎng)絡(luò)特性實現(xiàn)云環(huán)境下數(shù)據(jù)確定性刪除的方案，提出KDTPC模型，讓數(shù)據(jù)擁有者在保留由密鑰派生樹生成的加密密鑰的同時，也保留提取出的部分密文，并且在分發(fā)密鑰時去掉計算最小樹密鑰集合的步驟。該方案可以加大用戶對云中數(shù)據(jù)的控制，增強(qiáng)密文抗暴力攻擊的能力，在保證安全性能不降低的前提下減少時間開銷。

云計算數(shù)據(jù)刪除秘密共享方案密鑰管理DHT網(wǎng)絡(luò)

1 引言

在云計算環(huán)境下，用戶的數(shù)據(jù)都交由云服務(wù)提供商（Cloud Service Provider,CSP）管理，數(shù)據(jù)存儲的物理位置和組織方式對用戶來說都是透明的[1]，用戶對自己的數(shù)據(jù)并不能完全掌控，有被泄露出去的危險[2]，而數(shù)據(jù)所有權(quán)和數(shù)據(jù)管理權(quán)的分離是云存儲系統(tǒng)中數(shù)據(jù)安全問題[3-5]的根本所在。因此除了保證用戶數(shù)據(jù)放在云環(huán)境下是完整可用的以外，當(dāng)用戶不想保留某些數(shù)據(jù)時，也應(yīng)該有方案來保證數(shù)據(jù)的刪除。目前有很多學(xué)者對這方面做了研究。復(fù)旦大學(xué)并行處理研究所設(shè)計并實現(xiàn)了Dissolver系統(tǒng)[6]，用戶可以指定數(shù)據(jù)的生存時間，使得在到達(dá)生存時間后數(shù)據(jù)能由Dissolver系統(tǒng)自動銷毀，在到達(dá)生存時間之前用戶也可以通過指令銷毀數(shù)據(jù)。在此基礎(chǔ)上，文獻(xiàn)[7]提出了數(shù)據(jù)覆寫算法，以解決數(shù)據(jù)殘留問題，避免數(shù)據(jù)刪除后被惡意恢復(fù)的可能性，同時加入心跳機(jī)制，在存儲節(jié)點(diǎn)失效時能自動檢測到，并銷毀相關(guān)數(shù)據(jù)。但是在此系統(tǒng)中，用戶必須提前確定數(shù)據(jù)的生命周期，不能靈活處理不確定有效時限的數(shù)據(jù)。利用DHT網(wǎng)絡(luò)的動態(tài)性可以在非人為操作的情況下實現(xiàn)數(shù)據(jù)的確定性刪除。文獻(xiàn)[8]中提出SSDD方案，將各個密文數(shù)據(jù)塊分別提取出一部分進(jìn)行耦合計算后，由用戶保留，剩下的密文再放到云環(huán)境中，在有訪問請求時,通過DHT網(wǎng)絡(luò)來傳輸密鑰和耦合后的部分密文，增強(qiáng)了抵御暴力破解的能力。文獻(xiàn)[9]也提出了一種基于數(shù)據(jù)分割的數(shù)據(jù)存儲方法，將數(shù)據(jù)分為一定的大塊和小塊，小塊的數(shù)據(jù)塊留在用戶端。但是另一方面，由于單個密鑰加密全部數(shù)據(jù)在云存儲環(huán)境下，并不能對海量的數(shù)據(jù)進(jìn)行細(xì)粒度的管理和操作[10]，“一數(shù)據(jù)一密”的制度下加解密密鑰的數(shù)據(jù)量又比較大，增加了存儲空間的開銷和管理負(fù)擔(dān)。

本文在文獻(xiàn)[11]的基礎(chǔ)上，結(jié)合提取部分密文的思想提出一種改進(jìn)的數(shù)據(jù)刪除方案，在保證用戶端數(shù)據(jù)量較小的同時，增加抗暴力攻擊的能力，提高云中數(shù)據(jù)的安全性，并且用戶能確定數(shù)據(jù)是否被刪除。

2 對文獻(xiàn)[11]的分析

武漢大學(xué)的王麗娜教授提出對每一個數(shù)據(jù)塊都使用不同的密鑰進(jìn)行加密，達(dá)到數(shù)據(jù)塊級細(xì)粒度管理的目的，并在研究中使用密鑰派生樹的算法，將用戶要保管大量密鑰的負(fù)擔(dān)縮減為只需保管好密鑰派生樹的根密鑰、派生規(guī)則和轉(zhuǎn)換算法等少量數(shù)據(jù)，大大減小用戶對數(shù)據(jù)加密密鑰管理的開銷，這種邏輯結(jié)構(gòu)上的合理構(gòu)造在云計算環(huán)境的海量數(shù)據(jù)下十分適用。

在文獻(xiàn)[11]的方案中，數(shù)據(jù)擁有者把數(shù)據(jù)加密后交給CSP，授權(quán)和密鑰等信息發(fā)送給數(shù)據(jù)使用者，然后Data User再通過授權(quán)信息從CSP處取得數(shù)據(jù)密文，解密數(shù)據(jù)并進(jìn)行訪問。

在分發(fā)密鑰時傳遞的是最小樹密鑰集合，具體的加密密鑰由后臺處理程序計算得到。這樣可以防止嗅探攻擊和跳躍攻擊在網(wǎng)絡(luò)中找到足夠的密鑰分量，進(jìn)而分析重構(gòu)出密鑰。但是這樣需要把密鑰派生規(guī)則和轉(zhuǎn)換算法都交給后臺處理程序，如果程序遭到攻擊，例如被植入木馬病毒等，派生規(guī)則和轉(zhuǎn)換算法就會被竊取，進(jìn)而一旦最小樹密鑰集合暴露，他們的孩子節(jié)點(diǎn)和對應(yīng)的密鑰就都能被輕易獲取。

根據(jù)文獻(xiàn)[11]，全部密文都交給CSP，即使密鑰被刪除，在一定的時間允許的條件下，攻擊者仍有可能通過對密文進(jìn)行分析，使用字典攻擊、窮舉攻擊等暴力手段破解密文，致使數(shù)據(jù)泄露。特別是在云計算環(huán)境下，攻擊者需要付出的時間和金錢代價都大大降低，把全部密文放在云環(huán)境下十分不安全。

3 改進(jìn)的方案模型與安全假定

3.1 提出模型

在本文提出的KDTPC模型中，Data Owner根據(jù)系統(tǒng)產(chǎn)生的隨機(jī)根密鑰，利用派生規(guī)則和轉(zhuǎn)換算法得到每個數(shù)據(jù)塊的加密密鑰，在對數(shù)據(jù)塊完成加密后提取出部分密文，剩余密文交由CSP存放在云環(huán)境下的服務(wù)器端。擁有者自己保留根密鑰、派生規(guī)則、轉(zhuǎn)換算法及部分密文，其余加密密鑰和明文都可以丟棄，以節(jié)省存儲空間并保證數(shù)據(jù)不暴露。合法的Data User提出訪問請求后，擁有者根據(jù)所申請的數(shù)據(jù)塊計算加密密鑰，再結(jié)合相應(yīng)的部分密文一起，利用秘密共享算法分發(fā)到DHT網(wǎng)絡(luò)中。使用者從DHT網(wǎng)絡(luò)中獲取加密密鑰和部分密文，CSP再找出相應(yīng)數(shù)據(jù)塊的剩余密文數(shù)據(jù)，解密后向用戶提供，訪問結(jié)束。KDTPC模型如圖1所示。

圖1 KDTPC模型

Data Owner和Data User通過DHT網(wǎng)絡(luò)傳遞加密密鑰和部分密文的過程，如圖2所示,加密密鑰和部分密文結(jié)合后用表示。

圖2 加密密鑰和部分密文傳輸過程

3.2 DHT網(wǎng)絡(luò)

DHT是P2P網(wǎng)絡(luò)中的一種分布式存儲方法，它有以下3個特點(diǎn)：①可用性：DHT網(wǎng)絡(luò)可以提供可靠穩(wěn)定的分布式存儲環(huán)境，并已得到大量使用。在DHT網(wǎng)絡(luò)的生命周期內(nèi)數(shù)據(jù)都是可用的；②規(guī)模大：如Vuze這樣的DHT網(wǎng)絡(luò)，其活躍的節(jié)點(diǎn)超過百萬個，并且物理分布在超過190個不同的國家。由于其地理位置分布廣泛，攻擊者想對Vuze進(jìn)行攻擊是困難的，增強(qiáng)了網(wǎng)絡(luò)的健壯性；③周期動態(tài)性：DHT網(wǎng)絡(luò)每經(jīng)過一段特定的時間，稱為DHT網(wǎng)絡(luò)的生命周期，網(wǎng)絡(luò)中的節(jié)點(diǎn)就會自動更新，原有的數(shù)據(jù)都會被清除并接受新存儲的數(shù)據(jù)。每個DHT網(wǎng)絡(luò)的生命周期不盡相同。本文就是利用了DHT網(wǎng)絡(luò)的動態(tài)周期性來保證對數(shù)據(jù)的加密密鑰能夠被確定刪除。

3.2.1密鑰派生樹

為達(dá)到數(shù)據(jù)的細(xì)粒度管理，數(shù)據(jù)被分割為多個小的數(shù)據(jù)塊，每個數(shù)據(jù)塊單獨(dú)使用一個密鑰進(jìn)行加密。由于數(shù)據(jù)量大時需要的加密密鑰也隨之增多，加大了網(wǎng)絡(luò)維護(hù)密鑰的開銷，同時也不利于Data Owner對密鑰的管理，因此采用密鑰派生樹的思想，所有對數(shù)據(jù)塊的加密密鑰都由一個根密鑰派生出來，減小了保存加密密鑰的存儲空間，降低密鑰的維護(hù)開銷。

密鑰派生樹是利用二叉樹的結(jié)構(gòu)和性質(zhì)生成得到的。首先生成根密鑰，其次根據(jù)派生函數(shù)得到的左孩子，根據(jù)派生函數(shù)得到的右孩子。以此類推，得到葉子節(jié)點(diǎn)上的密鑰，m表示m層，i表示第m層的第i個節(jié)點(diǎn)。再次，將葉子節(jié)點(diǎn)上的通過變換函數(shù)g變換為加密密鑰ki。全部加密密鑰稱為k。此時的ki可以用于對第i個數(shù)據(jù)塊進(jìn)行加密。這樣可以保證在根密鑰和派生規(guī)則、同時泄漏的情況下數(shù)據(jù)塊依舊安全。

3.2.2 部分密文提取

用加密密鑰對數(shù)據(jù)塊進(jìn)行加密得到密文c，如果像文獻(xiàn)[11]中提出的方案那樣，只把k分發(fā)到DHT網(wǎng)絡(luò)中，即使在DHT網(wǎng)絡(luò)的生命周期結(jié)束，k被刪除了，密文c仍存在于云環(huán)境中，由CSP負(fù)責(zé)管理。這種情況下如果CSP遭到攻擊，或者自身因為利益追求、法律規(guī)定和政府要求等主動交出密文，只要有足夠的時間和資源，密文c就存在被暴力破解的危險。根據(jù)文獻(xiàn)[8]提出的方案，將密文c提取出部分?jǐn)?shù)據(jù)c'，與加密密鑰k結(jié)合得到密鑰并放到DHT網(wǎng)絡(luò)中。當(dāng)DHT網(wǎng)絡(luò)的生命周期結(jié)束后，被刪除，留在CSP那里的是不完整的密文數(shù)據(jù)，大大增加了攻擊者想要暴力破解密文的代價，即使在數(shù)據(jù)過期，密鑰已經(jīng)被刪除的情況下，仍能保持?jǐn)?shù)據(jù)的安全性。

3.2.3 (t,n)門限方案

3.3 KDTPC模型算法描述

模型主要由以下算法構(gòu)成：

3.4 安全假定

安全假定的情況如下：

①CSP不完全可信，提供商有能力對其所擁有的數(shù)據(jù)進(jìn)行查看和分析，并可能泄露給未授權(quán)的實體；

②Data Owner自身的存儲環(huán)境是安全的，即用戶端保留的根密鑰等信息不會被攻擊，并且擁有者不會主動泄露信息；

③Data User可信，訪問數(shù)據(jù)結(jié)束后不會泄漏明文數(shù)據(jù)，也不會保留數(shù)據(jù)塊的加密密鑰和部分密文；

④Data Owner和Data User都可以連接到DHT網(wǎng)絡(luò)，但CSP沒有權(quán)限；

⑤用于計算加密密鑰的后臺處理程序不可靠，有遭到攻擊的可能性；

⑥此方案中存放的數(shù)據(jù)都是Data Owner的敏感信息，例如賬戶口令和客戶名單等，數(shù)據(jù)量不會過大。

4 數(shù)據(jù)的刪除

Data Owner對數(shù)據(jù)的管理可分為以下幾種情況。

①未到DHT生命周期的部分?jǐn)?shù)據(jù)刪除。此時Data Owner只用對需要刪除的數(shù)據(jù)塊所對應(yīng)的部分密文作出標(biāo)記，說明該部分密文c'已經(jīng)作廢，不再對用戶分發(fā)，那么與其關(guān)聯(lián)的剩下的不完整的密文數(shù)據(jù)塊無法被解密，即相當(dāng)于被刪除；

②未到DHT生命周期的全部數(shù)據(jù)刪除，此時Data Owner只需要將自己保存的根密鑰、變換函數(shù)g、派生函數(shù)和和隨機(jī)參數(shù)r刪除，這樣就不能計算出各個數(shù)據(jù)塊的加密密鑰ki，或者直接把用戶端保存的全部數(shù)據(jù)塊的部分密文刪除，實現(xiàn)全部數(shù)據(jù)的刪除；

③DHT生命周期結(jié)束后的數(shù)據(jù)刪除，在DHT網(wǎng)絡(luò)的生命周期結(jié)束后，原來存儲的數(shù)據(jù)會被自動銷毀，即網(wǎng)絡(luò)中的加密密鑰k和部分密文c'都不可用。此時Data Owner只需要將自己保存的根密鑰、變換函數(shù)g、派生函數(shù)和、隨機(jī)參數(shù)r和部分密文c'刪除，而云服務(wù)器上的全部數(shù)據(jù)都是被分割不完整的數(shù)據(jù)塊密文，無法解密使用，實現(xiàn)全部數(shù)據(jù)的刪除；

④DHT生命周期結(jié)束后的數(shù)據(jù)保存，有的時候Data Owner希望自己的數(shù)據(jù)能保存更長的時間，那么就要避免由于DHT網(wǎng)絡(luò)的動態(tài)更新導(dǎo)致的數(shù)據(jù)丟失。這時，可以在DHT生命周期結(jié)束之前通過秘密共享算法重新對數(shù)據(jù)塊的加密密鑰k和部分密文c'進(jìn)行劃分，然后再利用新的隨機(jī)參數(shù)r'把新的密鑰分量結(jié)合部分密文一起定位到DHT網(wǎng)絡(luò)中。這樣每次更新的密鑰分量都不相同，并且在DHT網(wǎng)絡(luò)中的位置也產(chǎn)生變化，大大地提高了抗攻擊的能力。

5 安全與效率分析

5.1 安全分析

通過DHT網(wǎng)絡(luò)的動態(tài)性，能保證在生命周期結(jié)束后網(wǎng)絡(luò)中的數(shù)據(jù)可以自動被銷毀，不需要第三方安全機(jī)制的參與，也就不用擔(dān)心第三方會惡意泄露信息，或者由于抗攻擊強(qiáng)度不夠而被攻破利用。

使用的AES對稱加密算法，有不輸于三重DES的安全性，有很好的抵抗差分密碼分析和線性密碼分析的能力，并且比三重DES更快[12]。SHA-1是安全的哈希算法，具有不可逆性，保證父親節(jié)點(diǎn)不會因為子節(jié)點(diǎn)暴露而被計算出來。

與原方案相比，不計算最小樹密鑰集合，也不用通過后臺處理程序為Data User提供各個加密密鑰，避免了后臺處理程序遭到惡意攻擊導(dǎo)致的密鑰派生規(guī)則和轉(zhuǎn)換算法泄露。同時又因為DHT網(wǎng)絡(luò)的構(gòu)造特性，通過查找嗅探攻擊、存儲嗅探攻擊和標(biāo)準(zhǔn)DHT攻擊等來獲取足夠多的密鑰分量是不可能的。文獻(xiàn)[13]詳細(xì)分析了針對各種DHT網(wǎng)絡(luò)的攻擊，并且在Vuze DHT網(wǎng)絡(luò)環(huán)境下做了大量的模擬實驗，證明了攻擊DHT網(wǎng)絡(luò)來獲得密鑰分量將會非常困難。

在云計算環(huán)境下，攻擊者可利用的計算資源幾乎是無限強(qiáng)大的，想暴力破解密文的代價大大降低。CSP不完全可信的情況下，直接把密文交由CSP放到云服務(wù)器里會加大受攻擊的可能性，十分不安全。本文的方案提出將部分密文提取出來由Data Owner自己保管，使得攻擊者在云服務(wù)器中不能獲取到完整的密文，并且提取部分密文時每32 bit取4 bit數(shù)據(jù)，避免留下連續(xù)的的剩余密文，這樣能增加暴力破解的復(fù)雜性，提高抗暴力攻擊的能力。

由于DHT網(wǎng)絡(luò)動態(tài)特性可能使得用戶希望保留的密鑰被刪除，本文方案在新的DHT網(wǎng)絡(luò)生命周期開始前更新密鑰分量和節(jié)點(diǎn)定位，并且類似“一次一密”的方式縮短了密鑰索引信息的有效時間，能夠大大降低密鑰暴露的可能性。

5.2 效率分析

與文獻(xiàn)[11]的方案相比較，免除Data Owner計算最小樹密鑰集合及后臺處理程序計算各加密密鑰的過程，節(jié)省了這部分的時間。此方案中存儲的都是對用戶來說比較關(guān)鍵的敏感數(shù)據(jù)，數(shù)據(jù)量不會過大，這樣在構(gòu)造密鑰派生樹時樹的結(jié)構(gòu)不會太復(fù)雜導(dǎo)致計算量變大，計算各層節(jié)點(diǎn)直到葉子節(jié)點(diǎn)所需時間在可接受的范圍內(nèi)。

本文在原來方案中分發(fā)256 bit加密密鑰的基礎(chǔ)上增加了16 bit的部分密文，信息長度增加6.2%，幾乎可以忽略部分密文分發(fā)到網(wǎng)絡(luò)中所增加的網(wǎng)絡(luò)通信開銷。

6 結(jié)束語

由于敏感信息數(shù)據(jù)量較小，劃分?jǐn)?shù)據(jù)塊后產(chǎn)生的密鑰派生樹不至于層次太多而反而加大計算量。并且由于數(shù)據(jù)量不大，用戶端計算密鑰和分發(fā)密鑰的計算開銷也能在可承擔(dān)的范圍內(nèi)。本文方案中，AES對稱加密算法的加密密鑰長度是數(shù)據(jù)塊長度的2倍，Data Owner自己保存全部密鑰的存儲開銷也是明文的2倍，反而加大了用戶端保管信息的負(fù)擔(dān)。采用密鑰派生樹的結(jié)構(gòu)大大減少了Data Owner需要保管的數(shù)據(jù)量，在保證不占用用戶端過多存儲空間的同時，實現(xiàn)了多密鑰對數(shù)據(jù)的細(xì)粒度管理。與文獻(xiàn)[11]相比，由于同時將部分密文和加密密鑰都分發(fā)到DHT網(wǎng)絡(luò)中，提高了密文數(shù)據(jù)的安全性，能夠抵御攻擊者對密文數(shù)據(jù)的暴力破解，并且簡化了密鑰分發(fā)步驟，節(jié)省時間開銷。KDTPC模型還加入了DHT網(wǎng)絡(luò)動態(tài)更新導(dǎo)致的數(shù)據(jù)存在時間過短的考慮，完善用戶對數(shù)據(jù)的操作，更有利于實現(xiàn)數(shù)據(jù)的合法訪問和確定性刪除。

[1]王意潔,孫偉東,周松，等.云計算環(huán)境下的分布存儲關(guān)鍵技術(shù)[J].軟件學(xué)報,2010,23(4):962-986.

[2]陳康,鄭緯民.云計算:系統(tǒng)實例與研究現(xiàn)狀[J].軟件學(xué)報, 2009,20(5):1337-1348.

[3]馮登國,張敏,張妍,等.云計算安全研究[J].軟件學(xué)報, 2011,22(1):71-83.

[4]胡剛.云防御系統(tǒng)中用戶隱私保護(hù)機(jī)制研究[D].華中科技大學(xué),2012.

[5]馬瑋駿,吳海佳,劉鵬.MassCloud云存儲系統(tǒng)架構(gòu)及可靠性機(jī)制[J].河海大學(xué)學(xué)報:自然科學(xué)版,2011,39(3):348-352.

[6]張逢喆,陳進(jìn),陳海波,等.云計算中的數(shù)據(jù)隱私性保護(hù)與自我銷毀[J].計算機(jī)研究與發(fā)展,2011,48(7):1155-1167.

[7]鄧謙.基于Hadoop的云計算安全機(jī)制研究[D].南京郵電大學(xué),2013.

[8]FENG Shun-yue,GUOJun-Wang,Qin Liu.A Secure Self-Destructing Scheme For Electronic Data[C].Pro Of EUC 2010,New York:IEEE Press,2010:651-658.

[9]徐小龍,周靜嵐,楊庚.一種基于數(shù)據(jù)分割與分級的云存儲數(shù)據(jù)隱私保護(hù)機(jī)制[J].計算機(jī)科學(xué),2013,40(2):98-102.

[10]王鐵軍,劉恒,孫明,等.資源定位服務(wù)的分布式生成樹模型及算法研究[J].電子學(xué)報,2011,39(1):364,369.

[11]王麗娜,任正偉,余榮威,等.一種適于云存儲的數(shù)據(jù)確定性刪除方法[J].電子學(xué)報,2012,40(2):266-272.

[12]GRANADO J M.,VEGA-RODRIGUEZ M A, SANCHEZ-PEREZ J M.,et al.IDEA and AES,Tow Cryptographic Algorithms Implemented Using Partial and Dynamic Reconfiguration[J].Microelectronics Journal,2009 (40):1032-1040.

Improved Data Assured Deletion Model in Cloud Computing Environment

XU Zhong-hua ZHANG Long-jun
(Department of Information Engineering,Engineering University of CAPF,Xi'an Shaanxi 710086,China)

In cloud computing environment,the user hasn’t direct management authority for data if the data management performed by cloud service provider.Aiming at this problem,this paper improves the scheme of data assured deletion in cloud environment implemented by using Distributed Hash Tables(DHT)network characteristics,proposes the KDTPC model which allows the data owners to keep the encryption keys generated by key derivation tree and the extracted partial ciphertext at the same time,and eliminates the calculation process of minimum tree keys set when distributing the keys.This scheme can enhance the users'data control in cloud, strengthen the resistance capability of violence attacks,and reduce the time overhead under the premise of ensuring safety performance.

cloud computing;data deletion;secret sharing scheme;key management;DHT network

TP309

A

1008-1739（2014）21-58-5

定稿日期：2014-09-26

國家自然科學(xué)基金（61309008）；國家自然科學(xué)基金（61309022）；陜西省自然科學(xué)基金（2013JQ8031）