因此，我們提出一種對(duì)云供應(yīng)商無信任要求的系統(tǒng)方案。該方案可以使數(shù)據(jù)的安全將被數(shù)據(jù)所有者完全掌控，它還將包含一個(gè)可以讓數(shù)據(jù)所有者對(duì)其數(shù)據(jù)進(jìn)行訪問授權(quán)的工具，當(dāng)有安全漏洞產(chǎn)生時(shí)，數(shù)據(jù)所有者能被告知并可將其數(shù)據(jù)撤回。該系統(tǒng)方案還允許用戶在一個(gè)加密數(shù)據(jù)庫中通過一種改進(jìn)的有序關(guān)鍵字索引來查找數(shù)據(jù)。

業(yè)界呼喚高安全云存儲(chǔ)系統(tǒng)

盡管許多云供應(yīng)商已經(jīng)注意到存儲(chǔ)安全的重要性，并為客戶數(shù)據(jù)提供更高層次的保護(hù)，但我們認(rèn)為諸如可搜索加密以及安全外包計(jì)算的先進(jìn)技術(shù)將為客戶提供更高安全要求的云，并在不久的將來會(huì)受到廣泛地歡迎。

我們主要研究對(duì)存儲(chǔ)服務(wù)器無信任要求的相關(guān)技術(shù)，數(shù)據(jù)在發(fā)到服務(wù)器之前先進(jìn)行加密。這種技術(shù)保證了數(shù)據(jù)被安全地存儲(chǔ)到服務(wù)終端，同時(shí)當(dāng)發(fā)生安全隱患時(shí)提醒數(shù)據(jù)所有者。

所有的商業(yè)云為用戶至少提供一種云存儲(chǔ)服務(wù)：例如較熱門的亞馬遜的S3和simple DB、微軟的Azure存儲(chǔ)服務(wù)等。這些產(chǎn)品都提供了很強(qiáng)大的存儲(chǔ)能力和可擴(kuò)展能力，但是他們的安全機(jī)制卻不高明。

為此，可搜索加密能幫用戶對(duì)數(shù)據(jù)加密，隨后在數(shù)據(jù)中搜索關(guān)鍵字來找到匹配的數(shù)據(jù)。我們的方案使用Waters等人所使用的技術(shù)。他們開發(fā)了同時(shí)使用對(duì)稱和非對(duì)稱可搜索加密技術(shù)的兩個(gè)系統(tǒng)。目前各大互聯(lián)網(wǎng)公司已經(jīng)發(fā)現(xiàn)向公眾出售閑置計(jì)算資源的商業(yè)可行性。

通過分析可知，傳統(tǒng)云存儲(chǔ)系統(tǒng)對(duì)安全要求如下:系統(tǒng)需要保持機(jī)密性，即只有授權(quán)用戶可以訪問所有者的數(shù)據(jù);應(yīng)維護(hù)數(shù)據(jù)的完整性，即任何對(duì)數(shù)據(jù)的修改都應(yīng)該被告知。這種系統(tǒng)的基本要求是應(yīng)當(dāng)提供文件共享以及具備授予和撤銷訪問功能，有必要為用戶提供利用加密內(nèi)容搜索并返回與之相匹配查詢結(jié)果的能力來解決加密數(shù)據(jù)過濾的問題，還應(yīng)該有相應(yīng)的機(jī)制來識(shí)別出密鑰已被盜用。

讓數(shù)據(jù)所有者擁有安全控制權(quán)限

我們提出的系統(tǒng)的設(shè)計(jì)不要求對(duì)服務(wù)供應(yīng)商信任，而是授予數(shù)據(jù)所有者安全控制權(quán)限。系統(tǒng)整體構(gòu)架如圖1所示，該系統(tǒng)有兩個(gè)組件：一是提供所有安全操作的客戶端應(yīng)用程序，一是連接存儲(chǔ)云，并提供所有密碼操作的服務(wù)器應(yīng)用程序。服務(wù)器應(yīng)用程序還提供搜索功能。

A.客戶端應(yīng)用程序

客戶端應(yīng)用程序負(fù)責(zé)在IFC中的所有加密操作。用戶通過設(shè)置文件中一個(gè)指定的RSA密鑰對(duì)來登錄應(yīng)用程序。這個(gè)設(shè)置文件還包含了云計(jì)算服務(wù)器實(shí)例的地址、登錄用戶的ID以及存儲(chǔ)訪問密鑰。一旦用戶登錄，他們可以執(zhí)行訪問權(quán)限內(nèi)的一系列操作。擁有讀訪問的用戶可以進(jìn)行如下操作：從存儲(chǔ)服務(wù)中加載一個(gè)IFC;檢查IFC以及數(shù)據(jù)完整性;列出用戶和權(quán)限;上傳一個(gè)IFC到存儲(chǔ)服務(wù)中;將IFC的內(nèi)容保存到文件系統(tǒng)中。

只擁有讀權(quán)限的惡意訪問用戶可以修改文件內(nèi)容，但是這些操作會(huì)被檢測(cè)到，因?yàn)檫@些用戶不能生成一個(gè)數(shù)據(jù)摘要。寫訪問權(quán)限用戶除了可以執(zhí)行寫訪問用戶的所有操作外，還可執(zhí)行其他操作實(shí)現(xiàn)。

客戶端應(yīng)用程序會(huì)執(zhí)行一些文件系統(tǒng)指令：上傳、下載、移動(dòng)、列出、查找。上傳指令用于將一個(gè)IFC存儲(chǔ)到存儲(chǔ)服務(wù)中。移動(dòng)指令用于給定一個(gè)文件名后將該對(duì)象從存儲(chǔ)服務(wù)中刪除。列出指令用于在存儲(chǔ)服務(wù)中返回一個(gè)列表。搜索指令用于發(fā)送搜索請(qǐng)求到服務(wù)器，服務(wù)器接到請(qǐng)求后將返回滿足搜索條件的文件列表。

B.服務(wù)器應(yīng)用程序

服務(wù)器應(yīng)用程序充當(dāng)客戶端應(yīng)用程序和存儲(chǔ)服務(wù)的中介，并在計(jì)算云中執(zhí)行。這個(gè)應(yīng)用程序用于驗(yàn)證用戶身份，并提供一個(gè)從客戶端到存儲(chǔ)服務(wù)的安全連接。只有當(dāng)請(qǐng)求為搜索詢問時(shí)服務(wù)器應(yīng)用程序才會(huì)執(zhí)行批量處理，而其他請(qǐng)求服務(wù)器應(yīng)用程序在接收后將直接轉(zhuǎn)給存儲(chǔ)服務(wù)。

C.網(wǎng)絡(luò)協(xié)議

每個(gè)客戶都有一份用于與服務(wù)器安全通信的服務(wù)器公共密鑰。客戶端會(huì)產(chǎn)生一個(gè)被服務(wù)器公共密鑰加密的對(duì)稱會(huì)話密鑰。服務(wù)器和客戶端之間的進(jìn)一步通信將使用這個(gè)會(huì)話密鑰。然后客戶端將把公共密鑰、檢索密鑰散列以及被會(huì)話密鑰