改進的云計算環境下數據確定性刪除模型

許鐘華 張龍軍

(武警工程大學信息工程系 陜西 西安 710086）

技術論壇

改進的云計算環境下數據確定性刪除模型

許鐘華 張龍軍

(武警工程大學信息工程系 陜西 西安 710086）

針對云計算環境下用戶要通過云服務提供商進行數據管理，缺乏直接管理權限的情況進行研究，改進了利用分布式哈希表（DHT）網絡特性實現云環境下數據確定性刪除的方案，提出KDTPC模型，讓數據擁有者在保留由密鑰派生樹生成的加密密鑰的同時，也保留提取出的部分密文，并且在分發密鑰時去掉計算最小樹密鑰集合的步驟。該方案可以加大用戶對云中數據的控制，增強密文抗暴力攻擊的能力，在保證安全性能不降低的前提下減少時間開銷。

云計算數據刪除秘密共享方案密鑰管理DHT網絡

1 引言

在云計算環境下，用戶的數據都交由云服務提供商（Cloud Service Provider,CSP）管理，數據存儲的物理位置和組織方式對用戶來說都是透明的[1]，用戶對自己的數據并不能完全掌控，有被泄露出去的危險[2]，而數據所有權和數據管理權的分離是云存儲系統中數據安全問題[3-5]的根本所在。因此除了保證用戶數據放在云環境下是完整可用的以外，當用戶不想保留某些數據時，也應該有方案來保證數據的刪除。目前有很多學者對這方面做了研究。復旦大學并行處理研究所設計并實現了Dissolver系統[6]，用戶可以指定數據的生存時間，使得在到達生存時間后數據能由Dissolver系統自動銷毀，在到達生存時間之前用戶也可以通過指令銷毀數據。在此基礎上，文獻[7]提出了數據覆寫算法，以解決數據殘留問題，避免數據刪除后被惡意恢復的可能性，同時加入心跳機制，在存儲節點失效時能自動檢測到，并銷毀相關數據。但是在此系統中，用戶必須提前確定數據的生命周期，不能靈活處理不確定有效時限的數據。利用DHT網絡的動態性可以在非人為操作的情況下實現數據的確定性刪除。文獻[8]中提出SSDD方案，將各個密文數據塊分別提取出一部分進行耦合計算后，由用戶保留，剩下的密文再放到云環境中，在有訪問請求時,通過DHT網絡來傳輸密鑰和耦合后的部分密文，增強了抵御暴力破解的能力。文獻[9]也提出了一種基于數據分割的數據存儲方法，將數據分為一定的大塊和小塊，小塊的數據塊留在用戶端。但是另一方面，由于單個密鑰加密全部數據在云存儲環境下，并不能對海量的數據進行細粒度的管理和操作[10]，“一數據一密”的制度下加解密密鑰的數據量又比較大，增加了存儲空間的開銷和管理負擔。

本文在文獻[11]的基礎上，結合提取部分密文的思想提出一種改進的數據刪除方案，在保證用戶端數據量較小的同時，增加抗暴力攻擊的能力，提高云中數據的安全性，并且用戶能確定數據是否被刪除。

2 對文獻[11]的分析

武漢大學的王麗娜教授提出對每一個數據塊都使用不同的密鑰進行加密，達到數據塊級細粒度管理的目的，并在研究中使用密鑰派生樹的算法，將用戶要保管大量密鑰的負擔縮減為只需保管好密鑰派生樹的根密鑰、派生規則和轉換算法等少量數據，大大減小用戶對數據加密密鑰管理的開銷，這種邏輯結構上的合理構造在云計算環境的海量數據下十分適用。

在文獻[11]的方案中，數據擁有者把數據加密后交給CSP，授權和密鑰等信息發送給數據使用者，然后Data User再通過授權信息從CSP處取得數據密文，解密數據并進行訪問。

在分發密鑰時傳遞的是最小樹密鑰集合，具體的加密密鑰由后臺處理程序計算得到。這樣可以防止嗅探攻擊和跳躍攻擊在網絡中找到足夠的密鑰分量，進而分析重構出密鑰。但是這樣需要把密鑰派生規則和轉換算法都交給后臺處理程序，如果程序遭到攻擊，例如被植入木馬病毒等，派生規則和轉換算法就會被竊取，進而一旦最小樹密鑰集合暴露，他們的孩子節點和對應的密鑰就都能被輕易獲取。

根據文獻[11]，全部密文都交給CSP，即使密鑰被刪除，在一定的時間允許的條件下，攻擊者仍有可能通過對密文進行分析，使用字典攻擊、窮舉攻擊等暴力手段破解密文，致使數據泄露。特別是在云計算環境下，攻擊者需要付出的時間和金錢代價都大大降低，把全部密文放在云環境下十分不安全。

3 改進的方案模型與安全假定

3.1 提出模型

在本文提出的KDTPC模型中，Data Owner根據系統產生的隨機根密鑰，利用派生規則和轉換算法得到每個數據塊的加密密鑰，在對數據塊完成加密后提取出部分密文，剩余密文交由CSP存放在云環境下的服務器端。擁有者自己保留根密鑰、派生規則、轉換算法及部分密文，其余加密密鑰和明文都可以丟棄，以節省存儲空間并保證數據不暴露。合法的Data User提出訪問請求后，擁有者根據所申請的數據塊計算加密密鑰，再結合相應的部分密文一起，利用秘密共享算法分發到DHT網絡中。使用者從DHT網絡中獲取加密密鑰和部分密文，CSP再找出相應數據塊的剩余密文數據，解密后向用戶提供，訪問結束。KDTPC模型如圖1所示。

圖1 KDTPC模型

Data Owner和Data User通過DHT網絡傳遞加密密鑰和部分密文的過程，如圖2所示,加密密鑰和部分密文結合后用表示。

圖2 加密密鑰和部分密文傳輸過程

3.2 DHT網絡

DHT是P2P網絡中的一種分布式存儲方法，它有以下3個特點：①可用性：DHT網絡可以提供可靠穩定的分布式存儲環境，并已得到大量使用。在DHT網絡的生命周期內數據都是可用的；②規模大：如Vuze這樣的DHT網絡，其活躍的節點超過百萬個，并且物理分布在超過190個不同的國家。由于其地理位置分布廣泛，攻擊者想對Vuze進行攻擊是困難的，增強了網絡的健壯性；③周期動態性：DHT網絡每經過一段特定的時間，稱為DHT網絡的生命周期，網絡中的節點就會自動更新，原有的數據都會被清除并接受新存儲的數據。每個DHT網絡的生命周期不盡相同。本文就是利用了DHT網絡的動態周期性來保證對數據的加密密鑰能夠被確定刪除。

3.2.1密鑰派生樹

為達到數據的細粒度管理，數據被分割為多個小的數據塊，每個數據塊單獨使用一個密鑰進行加密。由于數據量大時需要的加密密鑰也隨之增多，加大了網絡維護密鑰的開銷，同時也不利于Data Owner對密鑰的管理，因此采用密鑰派生樹的思想，所有對數據塊的加密密鑰都由一個根密鑰派生出來，減小了保存加密密鑰的存儲空間，降低密鑰的維護開銷。

密鑰派生樹是利用二叉樹的結構和性質生成得到的。首先生成根密鑰，其次根據派生函數得到的左孩子，根據派生函數得到的右孩子。以此類推，得到葉子節點上的密鑰，m表示m層，i表示第m層的第i個節點。再次，將葉子節點上的通過變換函數g變換為加密密鑰ki。全部加密密鑰稱為k。此時的ki可以用于對第i個數據塊進行加密。這樣可以保證在根密鑰和派生規則、同時泄漏的情況下數據塊依舊安全。

3.2.2 部分密文提取

用加密密鑰對數據塊進行加密得到密文c，如果像文獻[11]中提出的方案那樣，只把k分發到DHT網絡中，即使在DHT網絡的生命周期結束，k被刪除了，密文c仍存在于云環境中，由CSP負責管理。這種情況下如果CSP遭到攻擊，或者自身因為利益追求、法律規定和政府要求等主動交出密文，只要有足夠的時間和資源，密文c就存在被暴力破解的危險。根據文獻[8]提出的方案，將密文c提取出部分數據c'，與加密密鑰k結合得到密鑰并放到DHT網絡中。當DHT網絡的生命周期結束后，被刪除，留在CSP那里的是不完整的密文數據，大大增加了攻擊者想要暴力破解密文的代價，即使在數據過期，密鑰已經被刪除的情況下，仍能保持數據的安全性。

3.2.3 (t,n)門限方案

3.3 KDTPC模型算法描述

模型主要由以下算法構成：

3.4 安全假定

安全假定的情況如下：

①CSP不完全可信，提供商有能力對其所擁有的數據進行查看和分析，并可能泄露給未授權的實體；

②Data Owner自身的存儲環境是安全的，即用戶端保留的根密鑰等信息不會被攻擊，并且擁有者不會主動泄露信息；

③Data User可信，訪問數據結束后不會泄漏明文數據，也不會保留數據塊的加密密鑰和部分密文；

④Data Owner和Data User都可以連接到DHT網絡，但CSP沒有權限；

⑤用于計算加密密鑰的后臺處理程序不可靠，有遭到攻擊的可能性；

⑥此方案中存放的數據都是Data Owner的敏感信息，例如賬戶口令和客戶名單等，數據量不會過大。

4 數據的刪除

Data Owner對數據的管理可分為以下幾種情況。

①未到DHT生命周期的部分數據刪除。此時Data Owner只用對需要刪除的數據塊所對應的部分密文作出標記，說明該部分密文c'已經作廢，不再對用戶分發，那么與其關聯的剩下的不完整的密文數據塊無法被解密，即相當于被刪除；

②未到DHT生命周期的全部數據刪除，此時Data Owner只需要將自己保存的根密鑰、變換函數g、派生函數和和隨機參數r刪除，這樣就不能計算出各個數據塊的加密密鑰ki，或者直接把用戶端保存的全部數據塊的部分密文刪除，實現全部數據的刪除；

③DHT生命周期結束后的數據刪除，在DHT網絡的生命周期結束后，原來存儲的數據會被自動銷毀，即網絡中的加密密鑰k和部分密文c'都不可用。此時Data Owner只需要將自己保存的根密鑰、變換函數g、派生函數和、隨機參數r和部分密文c'刪除，而云服務器上的全部數據都是被分割不完整的數據塊密文，無法解密使用，實現全部數據的刪除；

④DHT生命周期結束后的數據保存，有的時候Data Owner希望自己的數據能保存更長的時間，那么就要避免由于DHT網絡的動態更新導致的數據丟失。這時，可以在DHT生命周期結束之前通過秘密共享算法重新對數據塊的加密密鑰k和部分密文c'進行劃分，然后再利用新的隨機參數r'把新的密鑰分量結合部分密文一起定位到DHT網絡中。這樣每次更新的密鑰分量都不相同，并且在DHT網絡中的位置也產生變化，大大地提高了抗攻擊的能力。

5 安全與效率分析

5.1 安全分析

通過DHT網絡的動態性，能保證在生命周期結束后網絡中的數據可以自動被銷毀，不需要第三方安全機制的參與，也就不用擔心第三方會惡意泄露信息，或者由于抗攻擊強度不夠而被攻破利用。

使用的AES對稱加密算法，有不輸于三重DES的安全性，有很好的抵抗差分密碼分析和線性密碼分析的能力，并且比三重DES更快[12]。SHA-1是安全的哈希算法，具有不可逆性，保證父親節點不會因為子節點暴露而被計算出來。

與原方案相比，不計算最小樹密鑰集合，也不用通過后臺處理程序為Data User提供各個加密密鑰，避免了后臺處理程序遭到惡意攻擊導致的密鑰派生規則和轉換算法泄露。同時又因為DHT網絡的構造特性，通過查找嗅探攻擊、存儲嗅探攻擊和標準DHT攻擊等來獲取足夠多的密鑰分量是不可能的。文獻[13]詳細分析了針對各種DHT網絡的攻擊，并且在Vuze DHT網絡環境下做了大量的模擬實驗，證明了攻擊DHT網絡來獲得密鑰分量將會非常困難。

在云計算環境下，攻擊者可利用的計算資源幾乎是無限強大的，想暴力破解密文的代價大大降低。CSP不完全可信的情況下，直接把密文交由CSP放到云服務器里會加大受攻擊的可能性，十分不安全。本文的方案提出將部分密文提取出來由Data Owner自己保管，使得攻擊者在云服務器中不能獲取到完整的密文，并且提取部分密文時每32 bit取4 bit數據，避免留下連續的的剩余密文，這樣能增加暴力破解的復雜性，提高抗暴力攻擊的能力。

由于DHT網絡動態特性可能使得用戶希望保留的密鑰被刪除，本文方案在新的DHT網絡生命周期開始前更新密鑰分量和節點定位，并且類似“一次一密”的方式縮短了密鑰索引信息的有效時間，能夠大大降低密鑰暴露的可能性。

5.2 效率分析

與文獻[11]的方案相比較，免除Data Owner計算最小樹密鑰集合及后臺處理程序計算各加密密鑰的過程，節省了這部分的時間。此方案中存儲的都是對用戶來說比較關鍵的敏感數據，數據量不會過大，這樣在構造密鑰派生樹時樹的結構不會太復雜導致計算量變大，計算各層節點直到葉子節點所需時間在可接受的范圍內。

本文在原來方案中分發256 bit加密密鑰的基礎上增加了16 bit的部分密文，信息長度增加6.2%，幾乎可以忽略部分密文分發到網絡中所增加的網絡通信開銷。

6 結束語

由于敏感信息數據量較小，劃分數據塊后產生的密鑰派生樹不至于層次太多而反而加大計算量。并且由于數據量不大，用戶端計算密鑰和分發密鑰的計算開銷也能在可承擔的范圍內。本文方案中，AES對稱加密算法的加密密鑰長度是數據塊長度的2倍，Data Owner自己保存全部密鑰的存儲開銷也是明文的2倍，反而加大了用戶端保管信息的負擔。采用密鑰派生樹的結構大大減少了Data Owner需要保管的數據量，在保證不占用用戶端過多存儲空間的同時，實現了多密鑰對數據的細粒度管理。與文獻[11]相比，由于同時將部分密文和加密密鑰都分發到DHT網絡中，提高了密文數據的安全性，能夠抵御攻擊者對密文數據的暴力破解，并且簡化了密鑰分發步驟，節省時間開銷。KDTPC模型還加入了DHT網絡動態更新導致的數據存在時間過短的考慮，完善用戶對數據的操作，更有利于實現數據的合法訪問和確定性刪除。

[1]王意潔,孫偉東,周松，等.云計算環境下的分布存儲關鍵技術[J].軟件學報,2010,23(4):962-986.

[2]陳康,鄭緯民.云計算:系統實例與研究現狀[J].軟件學報, 2009,20(5):1337-1348.

[3]馮登國,張敏,張妍,等.云計算安全研究[J].軟件學報, 2011,22(1):71-83.

[4]胡剛.云防御系統中用戶隱私保護機制研究[D].華中科技大學,2012.

[5]馬瑋駿,吳海佳,劉鵬.MassCloud云存儲系統架構及可靠性機制[J].河海大學學報:自然科學版,2011,39(3):348-352.

[6]張逢喆,陳進,陳海波,等.云計算中的數據隱私性保護與自我銷毀[J].計算機研究與發展,2011,48(7):1155-1167.

[7]鄧謙.基于Hadoop的云計算安全機制研究[D].南京郵電大學,2013.

[8]FENG Shun-yue,GUOJun-Wang,Qin Liu.A Secure Self-Destructing Scheme For Electronic Data[C].Pro Of EUC 2010,New York:IEEE Press,2010:651-658.

[9]徐小龍,周靜嵐,楊庚.一種基于數據分割與分級的云存儲數據隱私保護機制[J].計算機科學,2013,40(2):98-102.

[10]王鐵軍,劉恒,孫明,等.資源定位服務的分布式生成樹模型及算法研究[J].電子學報,2011,39(1):364,369.

[11]王麗娜,任正偉,余榮威,等.一種適于云存儲的數據確定性刪除方法[J].電子學報,2012,40(2):266-272.

[12]GRANADO J M.,VEGA-RODRIGUEZ M A, SANCHEZ-PEREZ J M.,et al.IDEA and AES,Tow Cryptographic Algorithms Implemented Using Partial and Dynamic Reconfiguration[J].Microelectronics Journal,2009 (40):1032-1040.

Improved Data Assured Deletion Model in Cloud Computing Environment

XU Zhong-hua ZHANG Long-jun
(Department of Information Engineering,Engineering University of CAPF,Xi'an Shaanxi 710086,China)

In cloud computing environment,the user hasn’t direct management authority for data if the data management performed by cloud service provider.Aiming at this problem,this paper improves the scheme of data assured deletion in cloud environment implemented by using Distributed Hash Tables(DHT)network characteristics,proposes the KDTPC model which allows the data owners to keep the encryption keys generated by key derivation tree and the extracted partial ciphertext at the same time,and eliminates the calculation process of minimum tree keys set when distributing the keys.This scheme can enhance the users'data control in cloud, strengthen the resistance capability of violence attacks,and reduce the time overhead under the premise of ensuring safety performance.

cloud computing;data deletion;secret sharing scheme;key management;DHT network

TP309

A

1008-1739（2014）21-58-5

定稿日期：2014-09-26

國家自然科學基金（61309008）；國家自然科學基金（61309022）；陜西省自然科學基金（2013JQ8031）