cloudsky:不可信云存储网络中的可控数据自销毁系统。

1.问题和背景：

云存储和检索用来支持云服务。云系统通常缓存、复制和/或存档大量用户数据来优化服务处理，但是公开用户数据具有风险，因为云存储网络通常不安全，易受攻击，且会出现软件/硬件故障。云服务供应商还需要保证用户隐私。

实现这些目标挑战在于：用户敏感数据的多样化需求，需要一个，隐私安全且灵活，所有制可控授权数据安全系统。

Vanish系统，提出了一种通过自毁数据来加强安全。利用基于dht的P2P系统中的动态节点来维护被分割的密钥。随着时间的推移，节点的加入和退出P2P系统，越来越难以收集到足够数量的密钥部分来恢复密钥。因此无法解密加密的数据，从而加强了安全性。

Vanish对于一些特殊的P2Poriented攻击其安全性并不强。Vanish的另一个缺点是无法控制密钥的保存时间。

为了解决这个问题，引入了SafeVanish和SeDas。

SafeVanish通过扩展密钥共享的长度范围来防止跳变攻击，SeDas则通过利用活跃的存储网络[10]、[11]而不是P2P中的节点的潜力来扩展Vanish的思想，以维护被分割的密钥，增加攻击成本。但只针对特定类型的攻，也不能保证密钥的存活时间。

SeDas的特点是允许用户控制键的生存时间，但没有访问控制，用户授权和撤销。

此外，这两个系统都缺乏数据完整性的概念，因此无法处理不可信云存储网络中的软硬件故障，这也是本文的重点。

本文，通过扩展SeDas，我们提出了CloudSky，一种用于云存储网络的可控数据自毁系统。

·继承了丝绸的优势，利用活跃的存储系统管理分裂的密钥的生存时间

·集成基于属性的加密(ABE)算法来实现访问控制加密的数据

·数据所有者有用户授权和撤销授权功能

CloudSky以两种方式处理不可信的云存储网络。一个是数据自毁。SeDas划分存储原始密钥DES，而CloudSky通过ABE框架存分开存储加密密钥DES。即使攻击者可恢复加密密钥,仍然无法解密它由于缺乏密钥,它克服了SafeVanish的缺点。

另一个是使用基于哈希的消息验证码(HMAC)[13]，确保数据完整性。HMAC是一个消息验证代码，由一个安全哈希函数和一个密钥组合计算。只有密钥持有者才能计算和验证HMAC。

 

2.相关工作：

数据自毁应用于存储系统通常分为两类:

1)不需要可信第三方的任务(如Vanish[5]、SafeVanish[8]、SeDas[9]和FullPP[14])。类似p2p环境，但是可能会面临Sybil攻击。

2）需要可信第三方的那些(受信任的授权)来管理和分发密钥，因此扩展性有限。

Vanish是一个创建消息的系统，该消息在一段时间后自动自毁。我们以前提出了一个新方案,称为SafeVanish,防止跳hopping attack],一种特殊Sybil攻击,通过增加密钥共享范围增加攻击成本,并提出一些优化沙米尔年代秘密共享算法。

P2P特性仍然是Vanish和SafeVanish的致命弱点，因为针对P2P方法的特定攻击(如跳变攻击和Sybil攻击[7])仍然是可能的。在Vanish系统中，密钥存活时间由已定义的DHT决定，不受控制。本文，提出了一种基于活动存储的跨云分布式对象存储系统来实现数据自毁功能。我们的系统结合了对象存储技术中的主动方法，允许用户指定分布密钥的生存时间，然后利用扩展接口的设置导出和控制密钥的生命周期。

与Vanish和SafeVanish类似，SeDas将Shamir的秘密共享算法[6]集成到存储系统中，但它采用主动存储对象(active storage object, ASO)控制密钥的删除。CloudSky不同于这两个系统都是可信任的——第三方免费的，因为它是围绕一个可信任的权威构建的。因此，它可以利用基于属性的加密(ABE)算法对加密后的数据执行更多样化的访问控制，而且与SeDas相比，它还具有独特的密钥管理和数据完整性机制，在不可信的云存储网络中更安全、更高效。FullPP基于基于身份的timedrelease加密算法和分布式哈希表(distributed hash table, DHT)网络，利用一种提取算法将敏感数据加密成密文，再将密文分解为提取密文和封装密文。

Kallahalla等人将Plutus作为一个加密文件系统，以实现安全的文件共享，而无需对文件服务器给予太多信任。Plutus的特点是采用可伸缩的密钥管理，同时允许每个用户直接控制对其文件的访问。通过使用文件组，Plutus减少了用户之间交换的密钥数量，区分了文件的读写访问，有效地处理了用户的撤销，并允许不受信任的服务器对文件的写操作进行授权。

Goh等人[21]设计了SiRiUS，一个建立在不安全网络和P2P文件系统之上的安全文件系统。它假定网络存储是不受信任的，并为文件级共享提供自己的读写密码访问控制。密钥管理是通过最小的带外通信来执行的。

Vimercati等人提出了两层加密强化访问控:内层用于提供初始保护，外层用于反映策略修改。

Wang等人提出并评估了一种新的基于分层属性的加密和可伸缩的用户撤销，用于在云服务器中共享数据，它不仅提供了细粒度的访问控制，而且实现了完全的委托和高性能。最近，Wang等人提出了一种先进的数据关联算法并实现了SSDD(电子数据的安全自毁方案)，它不仅能抵抗DHT网络中的攻击，而且还解决了传统的密码分析和蛮力攻击。Fu等人的[1]实现了一个自毁电子邮件系统，删除了一部分加密和分裂的数据，所以电子邮件的主体是不完整的，永远不会被破坏然而，由于大规模数据集，这些实现可能面临可伸缩性限制，它仍然不能解决我们的目标问题。

3.假设和威胁模型

假设

1）加密的数据的价值有期限

2）用户大致知道数据生命周期

3）用户通过与osd交互连接到云。用户和osd都有自己特定id

4）数据所有者宁愿提前销毁数据也不暴露

威胁

威胁模型和分析的重点在希望破坏数据隐私的攻击者

1）可信数据所有者/用户。合法访问相同文件的用户将彼此信任。

2）勾结弹性。未经授权的用户可能会为了了解敏感数据的内容而合作。要求数据自毁方案能抵抗合谋攻击。

3）对隐私的追溯攻击。保护用户私人数据副本。对手类别包括:用户的雇主、用户的ISP (Internet Service Provider)、用户的CSP和云中的无关恶意节点。例如，可能监视用户连接的ISP

4）妥协。存储设备被攻破时，不会泄露存储设备被攻破前生成的用户数据。

加密方法

不同性能，OSD-3定义了四种安全方法:NOSEC、CAPKEY、CMDRSP、ALLDATA。

CAPKEY方法在安全的网络环境(如IPsec)中提供访问控制安全性

CMDRSP和ALLDATA方法在不安全的网络环境中提供网络安全和访问控制。

4.设计和实现

架构

所有者和用户唯一区别是所有制定义策略

基于对象的存储设备(OSDs): OSDs表示一组存储节点。可身份验证，请求验证、授权（根据存储在其节点上的用户证书和acl）安全Manage和OSD之间验证OSD命令的共享密钥定期刷新。密钥交换协议通过 SET KEY and SET MASTER KEY.两个命令实现。

元数据服务器(MDS)负责用户管理、服务器管理、会话管理和对象元数据管理。MDS包括两个管理器:安全管理器(SM)和策略/存储管理器(P/SM)。SM负责授权和元数据维护、全局名称空间管理、密钥管理和工作负载平衡，以及与访问控制策略相关的其他信息。P/SM准备策略协调能力，允许SM实现它的目标

访问文件必须向SM请求，SM在收到请求后，联系P/SM管理器以获得与其权限相关的能。如果允许该操作，SM返回凭据给访问者。访问者通过TA的控件从OSDs上传或下载文件。

(Trusted authority, TA):可信权威负责控制用户对OSDs中加密数据的访问，并提供相应的内容服务。他将OSD中分散的密钥组装来控制加密数据，这是关键点。加密对访问者透明。

 

数据自毁方案

概述：在我们的方案中，数据所有者/用户在专用TA服务器上进行身份验证，并为后续访问云存储网络颁发身份密钥和主密钥。TA服务器独立地对用户进行身份验证：TA服务器存储和维护用户的身份信息。文件需要在多个用户之间共享，可以将文件设置为组，只有组中用户能访问。

数据共享：数据共享包括文件上传、文件下载、用户授权和用户撤销。通过ABE-based algorithms。

DEKGen（MK,U）输入：系统主密钥MK，用户集合U；输出：每个用户的数据加密密钥DEK。

SKGen（MK,《，U）输入：系统主密钥MK，属性的子集《，用户子集U；输出：它为U中的每个用户输出一组私有属性密钥SK，这些密钥用属性集标识。

DEKEncrypt（PK,DEK,A）随机算法，输入：系统公共密钥PK，数据加密密钥DEK，包含授权属性的访问结构A；输出：加密信息CM，一个用户只有具有访问结构A的属性才可以解密DEK。

DataEncrypt（DEK,D）对称加密。输入：数据加密密钥DEK，数据D，输出：加密密文CD

DEKDecrypt（CM,SK,K,《）输入：加密的DEK即CM，私有密钥SK，属性级，

DataDecrypt（CD，DEK）

完整性检查：通过重新计算HMAC，文件的创建者可以发现完整性是否已被破坏。。

可控数据自毁：当用户向CloudSky上传文件D时，他/她应该包含加密数据的系统PK、访问结构a和TTL(生存时间)