收稿日期:2021-03-25
基金项目:贵州省教育厅青年科技人才成长项目“基于同态加密算法的对等云安全研究”,项目编号:黔教合KY 字[2018] 391;贵州省教育厅青年科技人才成长项目“云计算环境中的远程可信认证机制研究”,项目编号:黔教合KY 字
[2018]397;贵州工程应用技术学院本科教学质量提升工程项目“大学生计算机导论”,项目编号:2019SZ007。
作者简介:贺道德(1979-),男,湖南津市人,贵州工程应用技术学院信息工程学院副教授。研究方向:对等云计算、无线传感
器网络技术等。
彭佩(1976-),女,贵州毕节人,贵州工程应用技术学院信息工程学院副教授。研究方向:计算机科学与技术。
2021年第3期第39卷(总第212期)NO.3,2021Vol.39General No.212
贵州工程应用技术学院学报JOURNAL OF GUIZHOU UNIVERSITY OF ENGINEERING SCIENCE 摘要:对等云存储技术运用对等网来构建云系统的底层覆盖网络,具有扩展性好、成本低等优点。但由于对等网络中的节点存在信任度低等问题,因此,采用常规安全技术已不适应对等云存储的需求。针对这些问题,运用洋葱加密的组合加密机制,在资源发布时,运用同态加密技术对其关键字进行加密;在数据存储时,运用对称加密技术对数据进行加密,然后运用非对称加密技术加密对称密钥。经分析说明,提出的加密机制在确保安全的情况下兼顾了效率与易用性,对解决对等云系统的安全问题具有一定的价值。 关键词:同态加密;洋葱加密;对等云存储;信息安全
中图分类号:TP393文献标识码:A 文章编号:2096-0239(2021)03-0024-06
基于洋葱加密的对等云存储安全研究
贺道德,彭佩
刷式密封(贵州工程应用技术学院信息工程学院,贵州毕节551700)
引言
对等云存储技术是充分结合对等网扩展性好、价格低廉等特征,以及云计算具有隐定性好、可靠性人脸抓拍系统
高等特性而构成的一种存储技术[1,2]。目前,作为底层覆盖网络最好的对等系统为结构化的对等网络,它
采用分布式哈希表(DHT Distributed Hash Table)来对资源进行发布与定位[3];分布式哈希表技术指的是在节点对等的情况下,各节点负责一个小范围的路由表(即哈希表),路由表中的节点标识由节点的相关信息经过哈希计算而获得,从而实现整个网络的架构。虽然结构化的对等系统中的节点运用哈希表进行路由,可隐藏节点相关隐私信息,但由于对等网络上的节点相互对等,具有网络异构的特征,因此,需要一定的信任机制来确保网络的安全性。本文运用同态密码技术(Homomorphic encryption technology )来实现对资源安全性保护,又能实现在密文下对资源同态操作[4];然而,目前的同态密码技术效率低,不适合大量数据的加密;因此,同态加密仅用于对资源关键字的处理,以确保其安全性与易用性。为实现对数据的进一步安全处理,本文运用洋葱加密机制的组合加密方法,对内层资源数据采用对称密码技术进行加密[5];然后运用非对称密码技术加密对称密钥[6]。在资源使用者需获取资源时,运用同态密码技术查询资源,运用非对称密码技术解密以获得对称密钥,再运用对称密钥解密以获得资源。
1相关研究
1.1结构化的对等系统结构化的对等系统运用DHT 方法来构建网络,目前常用的DHT 方法包括Chord [7]、Pastry [8]、CAN [9]及
透水混凝土施工方案
Tapestry[10]等。各种不同的DHT方法都具有各自定义的规则,但其都是运用哈希算法来进行资源的发布与定位。具体规则如下所示:
1.1.1结构化的对等系统在资源发布与定位时,采用K/V对(关键字/节点值)进行资源数据索引,K 为文件的关键字,它是存储数据的相关关键信息,例如文件名等;V则是资源数据存储节点的相关信息,可以是节点编号、IP地址以及其它描述信息等;
1.1.2所有的资源数据索引条目K/V对组成一张大的数据索引哈希表,当需要进行数据定位时,用户只需输入相应目标数据的K值,即可从此哈希表中查出存储数据节点的V值;
1.1.3将大的数据索引哈希表分割成若干小的哈希表,不同的对等系统按其特定的规则将小哈希表分布到相应的网络节点中,从而形成分布式哈希表DHT;
1.1.4各个网络节点负责维护分布式哈希表中的一块,各节点在查询数据文件时,只需将查询信息路由到相应节点。
结构化的对等系统运用分布式哈希表来构建网络,在资源发布与定位时,采用哈希值进行定位与查,从而节省路由开销,具有路由延时小的特点。此外,结构化的对等系统还在节点失效处理、负载均衡及抗攻击性等方面都具有较好的表现,此外,其还具有较好的扩展性。因此,用其构造云系统的底层覆盖网络具有较高的性价比。
1.2同态加密技术
保鲜膜切割盒
同态加密指的是将数据按同态加密算法进行加密后,形成的密文可以在未解密的情况下如明文一样进行运算。具体操作方法如下:
1.2.1数据拥有者拥有明文数据P,需运用同态加密算法进行处理;
1.2.2系统用运同态加密函数对数据P进行同态加密HE(P),输出为同态密文M;
加密存储1.2.3数据使用者在获得同态密文M,并运用同态操作方法HM(M)在密文状态下对数据进行运算;
1.2.4对密文的运算等价于对明文的运算,可验证为:HM(M)=HM(HE(P))HM(P)。
根据同态加密技术所支持的密文运算类型又可分为部分同态加密与全同态加密两种算法。部分同态加密算法仅支持加法运算或乘法运算,不能支持所有的同态运算,而其性能差,但因其性能单一而使其具有加密速度快的优势。全同态加密算法支持密文下任意运算而成为目前最有价值的同态加密技术。
目前最流行的全同态加密技术为Gentry、Sahai以及Waters提出的基于容错学习(Learning With Er⁃ror,LWE)的同态密码体制GSW。[11]该密码体制运用近似特征向量结合矩阵形式来构造同态方案,其为一种基于身份的密码系统,且无需同态操作密钥;相比于传统同态加密算法,其具有算法简
单容易实现等特征。其于上述特点,本对等云存储安全系统运用GSW算法来完成系统的同态运算操作。GSW由初始化操作、私钥生成函数、公钥生成函数、同态加密函数以及两个解密函数等六个部分组成;用户可运用GSW提供的同态数乘、同态加法、同态乘法等同态方法及其组合执行同态操作。1.3洋葱加密模型
洋葱加密模型(Onion Encryption)来源于洋葱路由的数据结构[12],洋葱路由是在通信网络中进行加密数据传输的过程,在消息被传输前,分级多层对消息进行封装;消息经由若干路由器传递到目的地,每经过一个路由器,将对最外层进行解密,直到目的地解密最后一层封装,从而获取原始消息;洋葱路由依分层加密的思想,使得位于不同层次的路由器获得不同级别的消息,从而满足机密性与效用的合理结合。依据洋葱路由思想,Popa等人在文献[13]中提出洋葱加密这种组合加密模型。该模型对数据库采用分类和分层两种不同的组合方法来实现加密。在分类方式中,运用对数据库不同的字段采用不同的加密算法进行加密。在分层方式中,加密算法依据安全级别的不同,以洋葱模式进行组合;其特点为:越靠近外层,算法的安全性越高,而功能性越低,反之,越靠近内层,则功能性要求越高,而安全性越低。依据洋葱加密模型的思想,本文从功能性与安全性两方面的需求出发,提出在云存储系统的不同
层级组合不同类型的加密算法来实现系统的安全模型。
2基于洋葱加密的对等云存储安全模型
乙酰氨基阿维菌素本对等云系统采用结构化的对等网络作为底层物理网络,结构化对等网络运用分布式哈希表来发布资源与定位;在构建网络时,资源拥有者运用哈希函数将资源关键字哈希成对象标识objId,然后运用路由算法查到节点标识nodeId与资源的objId最相近的节点,并将资源发布到该节点;当用户需要资源时,运用查关键字计算出objId,然后运用路由算法定位到资源存储节点。由于对等系统采用哈希算法将资源关键字哈希成各不相干的对象标识,因此,底层网络的资源发布本身具有安全处理的功能,即为本洋葱加密模型的第一层。
对等云系统在资源定位时,其资源关键字会哈希成对象标识,从而在网络中能确保其安全性;然而,对等云系统此特征使得资源的易用性受到限制,例如,多用户需分布式完成搜索任务时,因ogjId完全不相干而造成其无法完成;因此,对等云系统的关键字还需随资源一并发布到存储节点,以实现相关资源运算操作。但是,关键字采用明文存储则会导致其安全性得不到保证,若按密文存储又不能确保其易用性。为解决上述矛盾,本文采用同态加密算法对资源关键字进行同态加密,以实现其密文运算的效果,即运用同态加密算法完成本模型的第二层设计。
资源拥有者在发布资源时,若以明文形式发布,则不能确保数据的安全性,因此,在发布资源前,需采用加密算法加密数据。考虑到安全性与效率兼顾,资源拥有者运用非对称加密算法加密对称密钥,因非对称加密算法无需分发密钥,资源拥有者只需从系统认证单元获得相关公钥,执行加密对称密钥操作即可,此为本洋葱加密模型的第三层。
因对称加密算法效率高且具有较强的安全性,本系统采用对称加密算法对数据执行加密操作,即为本系统模型的第四层。资源拥有者将加密好的密文数据、运用同态算法加密后的关键字,及运用非对称加密算法加密后的对称密钥一并发布到资源节点以实现基于洋葱加密的云安全存储,具体模型图如图1所示。
图1基于洋葱加密的对等云存储安全模型
图1为本文提出的洋葱加密模型,最外层Overlay为底层覆盖网络,由DHT分布式哈希表来构造,因对关键字运用哈希算法计算对象标识从而确保了网络在构造时数据的安全性。虽然关键字在网络构造时采用哈希运算而确保其安全性,但哈希获得的对象标识不包含关键字任何信息,即不适用于对数据的相关操作;因此,图中第二层描述了对关键字Key的安全性处理。关键字的处理运用全同态加密算法FHE,即关键字在密文的状态下可以执行同态运算,以既确保了数据的隐私与安全,又保障了数据的易用性。图的第三层Encryption Skey为加密对称密钥,为安全将对称密钥传递给数据的合法用户,本文运用AEA非对称密码技术来加密对称密钥以形成数字信封。图的第四层为DATA数据层,为确保数据的安全性,本文运用SEA对称密码技术对数据进行安全处理。
3基于洋葱加密的对等云存储安全技术
为实现数据拥有者在对等云系统中安全发布数据,数据使用者安全使用数据等,依据上一小节设计的对等云存储安全模型,在本小节,本文设计了基于洋葱加密的安全存储方法。为进一步描述存储方法,将系统角分为数据拥有者(Data Master,DM)、系统认证单元(System Authentication Unit,SAU)、数据存储节点单元(Node Unit,NU)以及数据使用者(Data User,DU)等四种角。各角之间的数据交换方法如图2所示:
图2基于洋葱加密的对等云存储数据交换时序图
图2为本文提出的基于洋葱加密的对等云系统数据交换的时序图,在本图中,可以看出本系统的物理网络分为两层,即由数据存储单元组成的底层结构化对等系统,以及由系统认证单元组成的上层云控制结构。图中第1步至第4步骤为完成数据拥有者与数据使用者加入系统的认证;在完成任证后,
DM或DU才可以通过SAU来进行数据的安全存储与运用等。
数据拥有者DM需发布数据时,应完成图中第5至9步;在数据发布前,DM需从SAU获得加密对称密钥的公钥,然后运用对称密钥对数据进行加密,运用公钥加密对称密钥,运用FHE加密关键字KEY;再通过结构化对等系统的路由算法路由到对应的存储单元NU,将数据及相关信息发布到此NU。
数据使用者DU需使用数据时,应完成图中第10至13步;DU依据对数据的需求类型,提交数据请求到SAU,然后由SAU运用结构化对等系统的查询算法以完成对数据的查询运算操作;最后由SAU将数据运算结果返回给DU即可。
从上述步骤我们可以看出,本安全的底层覆盖网络结构化对等系统中存储的数据按洋葱加密模型进行了安全处理,确保了底层存储节点的安全性,从而克服了对等网络节点的会话异构性等带来信任度低等安全问题。此外,数据使用者DU通过云系统认证单元访问底层对等系统来完成对数据运算,从而使DU不会直接参与对等系统的数据运算而确保数据的安全性。
4结束语
本文首先采用结构化的对等云系统构成云系统的底层网络,运用系统认证单元控制云系统中的数据运算;即在去中心化的对等系统的基础上,架构一层云系统认证单元来进行安全处理。然后采用洋葱模型依据不同层级的安全需求而构建相关加密算法,最终解决了对等云存储系统的安全问题。运用对称密码体制结合非对称密码体制以实现对数据的加密,运用同态加密体制加密需进行相关运算的关键字,以确保数据可执行密文运算。本系统的数据运算交由上层云系统认证单元来完成,因此其安全依赖于认证单元的安全,下一步的工作是设计对系统认证单元的安全处理,即认证单元失效、失信等情况下,确保系统能安全运行。
参考文献:
[1]刘成山,张秀君.基于对等云的数字图书馆动态服务聚合[J].四川大学学报(哲学社会科学版),2019(2):
112-117.
[2]王军正.基于对等结构云存储的副本管理研究[D].电子科技大学,2016.
[3]孙延涛,位月,耿岚岚,贾泽,石贺.一种基于DHT的数据中心网络租户隔离技术[J].北京交通大学学
报,2018(5):55-60.
[4]车小亮,周昊楠,周潭平,李宁波,杨晓元.基于NTRU的多密钥同态加密方案解密结构[J].计算机应用,
2020(7):1959-1964.
[5]张瑜.信息安全技术综述[J].电子技术与软件工程,2020(1):243-244.
[6]刘艳华.非对称密钥算法在区块链专利中的应用分析[J].中国科技信息,2020(21):18-20.
[7]S Ratnasamy,P Francis,M Handley,et al.A scalable Content-addressable Network[C]//SIGCOMM.
2001,San Diego,CA,USA,2001:325-336.
[8]Antony Rowstron,Peter Druschel.Pastry:Scalable,decentralized object location and routing for
large-scale peer-to-peer systems[C]//Int’l Conf on Distributed Systems Platforms(Middle-ware),Hei-derberg,Germany,2001:93-103.
[9]I Stcica,R Morris,D Rarger,et al.Chord:A scalable Peer-to-peer lookup service for Internet applica-
tions[C]//SIGCOMM2001,San Diego,CA,USA,2001:532-543.
[10]B Y Zhao,L Huang,and J Stribling,et al.Tapestry:A resilient global-scable overlay for service deploy-
