張林（商洛學(xué)院 電子信息與電氣工程學(xué)院，陜西 商洛 726000）

一種支持隱私保護(hù)的加密方法在云存儲(chǔ)中的應(yīng)用

張林
（商洛學(xué)院 電子信息與電氣工程學(xué)院，陜西 商洛 726000）

隨著云存儲(chǔ)技術(shù)的快速發(fā)展，云存儲(chǔ)的數(shù)據(jù)安全性成了一個(gè)最為關(guān)鍵的問(wèn)題。加密是一種對(duì)數(shù)據(jù)進(jìn)行保護(hù)的有效方法。為了提高云存儲(chǔ)環(huán)境中對(duì)客戶隱私的保護(hù)，本文設(shè)計(jì)研究了一種支持隱私保護(hù)的云存儲(chǔ)加密方法CESVMC。通過(guò)對(duì)矩陣和向量進(jìn)行加、減、乘、除運(yùn)算，完成對(duì)云存儲(chǔ)數(shù)據(jù)和客戶信息的保密工作。最后經(jīng)過(guò)安全分析和對(duì)其性能進(jìn)行評(píng)測(cè)，證明CESVMC加密技術(shù)具有較高的安全性能，以及合理的運(yùn)算復(fù)雜度，滿足日常云存儲(chǔ)的工作需要。

云存儲(chǔ)；安全；加密；隱私保護(hù)

近年來(lái)，隨著云計(jì)算技術(shù)和軟件即服務(wù)（SaaS）思想的興起，云存儲(chǔ)已經(jīng)成為信息存儲(chǔ)領(lǐng)域中的一個(gè)熱點(diǎn)研究課題［1-3］。云存儲(chǔ)是通過(guò)網(wǎng)絡(luò)將本地?cái)?shù)據(jù)存放到云存儲(chǔ)服務(wù)提供商（SSP）提供的網(wǎng)絡(luò)存儲(chǔ)空間中，即云存儲(chǔ)服務(wù)商提供存儲(chǔ)服務(wù)［4］。因此，用戶不再需要建立自己的存儲(chǔ)空間，只需向服務(wù)商提起存儲(chǔ)申請(qǐng)，就可以享受到異地存儲(chǔ)和按自己實(shí)際需要進(jìn)行存儲(chǔ)的便利服務(wù)，為用戶大大節(jié)約了購(gòu)買和維護(hù)軟硬件設(shè)備的費(fèi)用。但是在現(xiàn)有的云存儲(chǔ)服務(wù)當(dāng)中，人們一直擔(dān)心云存儲(chǔ)的信息安全可靠性，并已經(jīng)成為阻礙云存儲(chǔ)推廣和發(fā)展的重要原因之一。用戶的隱私數(shù)據(jù)主要包括兩大類，一類是用于識(shí)別個(gè)人身份的信息，如用戶家庭情況、電話號(hào)碼和銀行卡號(hào)等信息；另一類是用戶比較敏感的個(gè)人信息，如個(gè)人身體狀況、收入情況和機(jī)密文件等［5］。

云存儲(chǔ)的數(shù)據(jù)存儲(chǔ)安全問(wèn)題來(lái)源于云存儲(chǔ)數(shù)據(jù)的外包服務(wù)的特點(diǎn)，客戶的數(shù)據(jù)存儲(chǔ)到云環(huán)境中，無(wú)法直接對(duì)數(shù)據(jù)進(jìn)行直接的控制，因此可能導(dǎo)致個(gè)人信息的泄漏或被盜用［6］。近年來(lái)Salesforce.com和Google等云服務(wù)商泄漏客戶數(shù)據(jù)信息的事件已經(jīng)引起人們對(duì)云存儲(chǔ)的懷疑，因此為了更好的保護(hù)客戶的數(shù)據(jù)信息不被盜用或者丟失，合理的對(duì)用戶數(shù)據(jù)進(jìn)行加密是必不可少的。

然而目前的加密方法大都不支持對(duì)密文的加密，例如對(duì)個(gè)人的隱私信息進(jìn)行模糊檢索等。為了對(duì)云存儲(chǔ)的用戶信息進(jìn)行更好的保護(hù)，本文提出了一種支持隱私保護(hù)的云存儲(chǔ)加密方法，該方法是基于向量和矩陣的可計(jì)算云存儲(chǔ)加密方案CESVMC（Computable Encryption Scheme Based on vector and Matrix calculations）。CESVMC的加密策略是將數(shù)值數(shù)據(jù)和字符串?dāng)?shù)據(jù)分為兩大類，將支持模糊檢索的字符串和加密數(shù)據(jù)進(jìn)行加、減、乘、除運(yùn)算，以保證云數(shù)據(jù)存儲(chǔ)與讀寫(xiě)等過(guò)程的安全性。

1　問(wèn)題提出

可計(jì)算的加密技術(shù)是是通過(guò)將加密后的數(shù)據(jù)進(jìn)行某種運(yùn)算而使用戶信息更加安全的策略。目前已有的支持可計(jì)算的云存儲(chǔ)加密技術(shù)主要包括兩類：一類是支持可運(yùn)算的加密技術(shù)［7］，另一類是支持檢索的加密技術(shù)。目前的加密方案還不能夠支持同時(shí)對(duì)字符串檢索和數(shù)據(jù)數(shù)值進(jìn)行混合運(yùn)算，且目前還沒(méi)有一個(gè)實(shí)際可行的檢索方案實(shí)現(xiàn)對(duì)字符串的模糊檢索，另外目前的加密方案還很難解決整數(shù)和浮點(diǎn)數(shù)的混合加、減、乘、除運(yùn)算。針對(duì)以上問(wèn)題設(shè)計(jì)了一種支持矩陣和向量的加密方案（CESVMC），該加密方案支持對(duì)云存儲(chǔ)中字符串的模糊檢索核對(duì)加密數(shù)據(jù)的四則運(yùn)算。

2　CESVNC云加密算法描述

CESVNC加密算法是將云存儲(chǔ)數(shù)據(jù)分為字符串和數(shù)值兩大類，然后將加密字符串的模糊檢索和加密數(shù)值的數(shù)據(jù)進(jìn)行加、減、乘、除基本運(yùn)算進(jìn)行加密。

2.1加密過(guò)程算法

當(dāng)User想要檢索字符串nq時(shí)，用戶需要先選擇一個(gè)隨機(jī)數(shù)r（r＞0且r∈R），并將字符串轉(zhuǎn)化為對(duì)應(yīng)的一個(gè)（n-1）維的向量q，然后將q進(jìn)行擴(kuò)充為一個(gè)d維的向量nq（n-1）q′=r×（q，其中rj是隨機(jī)數(shù)，且rj∈ R，即計(jì)算的元素為ce′=（q，1），隨機(jī)元素組可以表示為re′=（w1，隨后用戶可以根據(jù)分裂串S將q′分割為兩個(gè)d維的向量q1′和q2′子空間，如果S［z］=1，那么就將q′的第z個(gè)元素q′［z］分解為x1和x2，即q′［z］=x1+x2，將x1和x2分別記為q1′［z］和q2′［z］；如果S［z］=0，那么就將q′的第z個(gè)元素q′［z］不進(jìn)行分解，即q1′［z］=q2′［z］=q′［z］；然后對(duì)q1′和q2′進(jìn)行加密運(yùn)算得到Q1=q1′×（M-1）和Q2=q2′×（M-1），最后將Q= （Q1，Q2）提交給SP，作為解密時(shí)的運(yùn)算密鑰。

2.2解密過(guò)程算法

當(dāng)SP收到數(shù)據(jù)檢索請(qǐng)求后，它將對(duì)User的權(quán)限范圍內(nèi)的Pi進(jìn)行如下計(jì)算：

然后將計(jì)算結(jié)果與SP進(jìn)行比較，因此比較得到的值越大，說(shuō)明nq與npi越相似。

假設(shè)p1與p2是兩個(gè)包外字符串np1和np2所對(duì)應(yīng)的加密向量，Q是檢索參數(shù)nq的加密向量，因此有：

其中向量p和q的歐幾里得距離表示為d（p，q），因此d （pi，q）≥0且r∈R+

所以有

即，通過(guò)對(duì)pi和Q標(biāo)量機(jī)從大到小進(jìn)行排列，就可以確定一個(gè)相似度從高到低排列的序列SP，因此就實(shí)現(xiàn)了模糊檢索。

2.3解密過(guò)程算法

解密算法Dec:Dec（P，M，S，op）→m，其中op表示計(jì)算類型，，當(dāng)op="add"時(shí)，表示對(duì)數(shù)據(jù)進(jìn)行加運(yùn)算；當(dāng)op="sub"時(shí)，表示對(duì)數(shù)據(jù)進(jìn)行減操作；當(dāng)op="mul"時(shí)，表示對(duì)數(shù)據(jù)進(jìn)行乘操作；當(dāng)op="div"時(shí)，表示對(duì)數(shù)據(jù)進(jìn)行除運(yùn)算。

轉(zhuǎn)換一個(gè)d維的數(shù)值數(shù)據(jù)np的過(guò)程主要包括4個(gè)步驟：首先，選擇（da-1）個(gè)隨機(jī)數(shù)｛ar1，ar2，…arda-1｝（ari∈R且i∈［1， da-1］），并計(jì)算得到一個(gè)da維的向量p=（ar1，ar2，…，arda）T；然后再生成da個(gè)隨機(jī)數(shù)｛cr1，cr2，…crda），（cri∈R且i∈［1，da］），使得p變換為p′=（ar1+cr1+…+arda+crda）T。然后，隨機(jī)選擇（dm-1）個(gè)隨機(jī)序列｛mr1，mr2，…，mrdm-1｝，計(jì)算這樣用戶端自動(dòng)將p′轉(zhuǎn)換為一個(gè)（da+dm）維的向量。隨后用戶通過(guò)加入一系列的隨機(jī)元素re對(duì)p″進(jìn)行擴(kuò)充，構(gòu)造一個(gè)（da+dm+k）維的向量最后用戶加密的p?形成了一個(gè)外包向量p=M×pm，并將其存儲(chǔ)到SP的服務(wù)器上。

3　CESVMC加密性能分析

將CESVMC云存儲(chǔ)加密方案與已有的加密方案進(jìn)行比較分析，對(duì)CESVNC的性能進(jìn)行評(píng)估分析。對(duì)比的加密方案包括支持乘法同態(tài)的unpadded_RSA、支持加法同態(tài)的paillier和基于OPES的云加密字符串模糊檢索方法。其中，對(duì)比的性能指標(biāo)包括計(jì)算性能、加/解密性能和存儲(chǔ)與同行負(fù)載等指標(biāo)。實(shí)驗(yàn)在華為公司提供的數(shù)據(jù)存儲(chǔ)試驗(yàn)臺(tái)上進(jìn)行。

實(shí)驗(yàn)中首先對(duì)不同長(zhǎng)度的字符串進(jìn)行了加/解密和檢索性能分析。其中CESVMC的輸入向量維度為d=10；OPES的輸入分布的桶數(shù)為b1=6，輸出分布的桶數(shù)為b2=4，實(shí)驗(yàn)結(jié)果如圖1所示?？梢园l(fā)現(xiàn)當(dāng)數(shù)據(jù)長(zhǎng)度len≤500時(shí)，采用本文的CESVMC的數(shù)據(jù)加密時(shí)間比OPES的加密時(shí)間要小，但是當(dāng)len＞500時(shí)，CESVMC的加密時(shí)間要比OPES的加密時(shí)間長(zhǎng)，并且隨著len的增加，時(shí)間差距逐漸變大。另外CESVMC的檢索參數(shù)加密時(shí)間和解密時(shí)間都比OPES的要小，并且隨著len值的增加，節(jié)約的時(shí)間越多。

為了對(duì)CESVMC測(cè)試不同維度d讀取數(shù)據(jù)的情況，下面設(shè)定長(zhǎng)度len=200對(duì)字符串加解密和和檢索性能進(jìn)行評(píng)價(jià)。加解密及檢索性能測(cè)試如圖2所示，可以發(fā)現(xiàn)隨著字符串長(zhǎng)度的增加，加解密及檢索所耗費(fèi)的時(shí)間急劇增加，這是由于加解密的運(yùn)算復(fù)雜度O（d2）隨著字符串長(zhǎng)度的增加而快速增大的結(jié)果。

圖1　加、解密性能對(duì)比

圖2　加解密及檢索性能分析

存儲(chǔ)和通信性能評(píng)價(jià)結(jié)果如圖3所示，可以發(fā)現(xiàn)隨著字符串長(zhǎng)度的增加，CESVMC的通信與存儲(chǔ)負(fù)載能力正比增長(zhǎng)，這是因?yàn)橥ㄐ排c存儲(chǔ)的復(fù)雜度為O（d），成一次比例關(guān)系。

圖3　存儲(chǔ)預(yù)通信負(fù)載測(cè)試

4　結(jié)束語(yǔ)

通過(guò)將CESVMC加密算法的性能與其他加密算法進(jìn)行對(duì)比發(fā)現(xiàn)：1）CESVMC的加/解密性能較優(yōu)；2）CESVMC的加減法效率很高，但是在對(duì)字符串模糊檢索和乘除法方面的運(yùn)算速度較慢，花費(fèi)的時(shí)間較大；3）CESVMC在通信與存儲(chǔ)時(shí)的負(fù)載能力較強(qiáng)；4）加密與解密性能隨著維度的增加而增加。

針對(duì)當(dāng)前云存儲(chǔ)中的隱私安全的問(wèn)題，本文提出了一種支持隱私保護(hù)的云存儲(chǔ)加密運(yùn)算模型（CESVMC），該加密方法支持對(duì)加密字符串的迷糊檢索以及對(duì)加密數(shù)值數(shù)據(jù)進(jìn)行加、減、乘、除四則運(yùn)算。最后通過(guò)安全分析，證明了對(duì)于字符串的操作，當(dāng)攻擊者只獲得外包數(shù)據(jù)時(shí)采用CESVMC加密方案具有較高的安全系數(shù)；當(dāng)對(duì)于數(shù)值數(shù)據(jù)進(jìn)行操作時(shí)，如果加法算子大于3，則系統(tǒng)具有較高的安全系數(shù)。綜上，采用CESVMC云存儲(chǔ)加密算法能夠有效的保證客戶的數(shù)據(jù)的安全，且具有較好的運(yùn)算速度。

［1］NAMJOSHI J，GUPTE A.Service oriented architecture for cloud based travel reservation software as a service［C］//Proc of the2009IEEEInternational ConferenceonCloud Computing.Washington DC:IEEE Computer Society，2009: 147-150.

［2］HAYES B.Cloud computing［J］.Communications of the ACM，2008，51（7）:9-11.

［3］LIN G，DASMALCHI G，ZHU J.Cloud computing and IT as a service:opportunities and challenges［C］//Proc of the 6th IEEEInternational ConferenceonWebServices.Los Alamitos:IEEE Computer Society，2008:1-5.

［4］WANGJuan，LIFei，ZHANGLu-qiao.Task scheduling algorithm in cloud storage system using PSO with limited solution domain［J］.Application Research of Computers，2013，30（1）：127-129.

［5］HUANG Ru-Wei，GUI Xiao-Lin，YU Si，et al.Privacy-preservingcomputableencryptionschemeofcloud computing［J］.Chinese journal of computers，2011，34（12）：2391-2402.

［6］WANG Guan，F(xiàn)AN Hong，DU Dahai.Security analysis and improvement of access control scheme for cloud storage［J］. Journal of Computer Applications，2014，34（2）：373-376.

［7］Agrawal R，Kiernan J，Srikant R，et al Order-preserving encryption for numeric data［C］//Proceedings of the 2004 ACM SIGMOD International Conference on Management of Data（SIGMOD’04）.Paris，F(xiàn)rance，2004:563-574.

A support privacy encryption method in the application of the cloud storage

ZHANG Lin
（School of Electronic Information and Electrical Engineering，Shangluo University，Shangluo 726000，China）

With the rapid development of cloud storage technology，cloud storage data security has become a key problem.Encryption is an effective method for protection of data.In order to improve the cloud storage environment，the protection of customer privacy，this article design research a kind of support CESVMC privacy cloud storage encryption method.Based on the matrix and vector add，subtract，multiply，divide，complete the cloud storage data and customer information confidential work. Finally through security analysis and performance evaluation，prove CESVMC encryption technology has high safety performance，and reasonable operation complexity，meet the needs of the daily work of cloud storage.

cloud storage；safety；encryption；privacy protection

TN03

A

1674－6236（2016）11-0124-03

2015-06-16稿件編號(hào)：201506167

張 林（1986—），男，黑龍江訥河人，碩士研究生，助教。研究方向：嵌入式系統(tǒng)的研究與開(kāi)發(fā)。