基于安全性验证的云数据存储与访问算法.pdf

1、书书书第 卷 第 期年 月沈阳工业大学学报 收稿日期：基金项目：河北省教育厅高等学校科学技术研究项目（）；河北省中医药管理局科研计划项目（）作者简介：程顺达（），男，河北石家庄人，教授级高级工程师，硕士，主要从事数据信息化建设等方面的研究 ：基于安全性验证的云数据存储与访问算法程顺达，（河北大学 网络空间安全与计算机学院，河北 保定 ；河北省中医院 信息中心，石家庄 ）摘要：针对传统方法在对海量云数据进行存储时无法满足安全需求的问题，提出了一种基于安全性验证的云数据存储与访问算法 该算法将用户传输至云端的数据进行分块重组，同时使用交叉加密方法对不同大小的数据块进行加密，从而实现数据的安全保护与

2、快速加密 当用户申请访问数据时，通过基于安全性验证的访问判断及解密返回用户请求的数据 实验与分析结果表明，所提出的方法能够显著提升云数据存储的安全性并减少数据加密、解密的计算开销，且相比于传统方法，该方法具有更优的存储与访问性能关键词：云安全；数据存储；秘钥；分块重组；密文策略；交叉加密；解密；云计算中图分类号：文献标志码：文章编号：（），（，；，）：，：；在互联网与信息技术快速发展的背景下，每时每刻都会产生并存储大量数据，但传统的数据存储方法已难以满足海量数据的需求 为了解决存储需求问题，云计算技术被提出 传统的云存储为了保障用户数据的机密性，主要采用云端加密的方法 该方法将用户数据存储在客

3、户端 ，并由云服务器生成与管理用户的秘钥，再在云端对数据进行加密，且将加密后的数据存储在云端 该方法虽实现了用户数据的云端加密及解密，但当云存储服务商出现不诚信行为时，会导致用户信息的泄露 同时，该加密方式的算法固定且安全性较低，一旦算法被破解，将给用户的隐私带来较大的安全隐患 为解决上述问题，本文提出了一种基于数据分块重组的云数据存储与加密方法，该方法通过加大传统数据分块重组中子文件所包含有效信息的获取难度来提高用户数据的安全性此外，为了安全、有效地读取到用户数据，本文提出了基于角色的访问控制模型与基于属性的访问控制方法 其中，基于角色的访问控制模型主要应用于大型办公系统中，其将用户角色与所

4、能访问的资源进行绑定，并对不同的用户赋予不同的访问权限 ；而基于属性的访问控制方法则将属性集合与访问结构进行匹配，即通过判断用户的属性集合是否满足访问结构来判断用户的访问权限 根据用户属性加密方式的不同，基于属性的访问控制方法又可分为基于秘钥策略与基于密文策略的属性加密方法：前者将用户的属性集合包含在密文数据中，且将访问结构包含在用户私钥中；后者则恰好相反，其将数据的访问结构与密文一起存储，而将用户的属性集合与用户的私钥一起存储 基于属性的访问控制方法所采用的数据访问结构均由用户确定，但实际上数据的发送者仅能决定密文的属性集合，而难以匹配实际应用场景，故无法达到理想的访问控制效果为了应对海量数

5、据的存储需求，实现细粒度数据访问控制方式，本文结合基于数据分块重组的云数据存储与加密方法及基于属性的云数据访问方法，提出了一种新的基于安全性验证的数据存储与访问方法 基于数据分块重组的云数据存储当用户将数据传输至云存储服务器时，为了达到保护数据隐私的目的，需对数据进行预处理和加密 为解决传统云存储加密方法存在的问题，本文基于数据分块重组技术提出了一种新的云数据存储与加密方法传统的数据分块重组方法是将数据进行简单的线性分割，并按照大小将数据保存为若干个子文件，而分割后的数据按照顺序进行读取即可得到源文件 该种线性分割方法简单易行，能在一定程度上增加用户数据的保密效果，但其生成的子文件通常包含丰富

6、的信息且重组难度较低，窃密者可轻易地根据子文件内的信息与顺序来获取原文件的信息 因此，传统的线性分割方法并不适用于云数据的存储 为解决该问题，本文通过提升用户获取子文件中有效信息的难度来提高用户数据的保密性 通过使用传统的数据分块重组方法将原文件分块处理，并未将这些文件作为最终的子文件加以重组，而是对子文件进行二次分块后再按照一定的规律实现重组，具体步骤如下：）假设用户上传的数据文件为 ，该文件的大小为 ；）根据文件的特点与用户的需求，本文分别设置两次操作时子文件的分块粒度为 和 ；）判断 是否为分块粒度乘积 的整数倍，若不是，则在原文件 后面补 得到文件 ，且 的大小 为 的整数倍；）令 ，

7、且记 个输出流对象为 ，；）从文件 的起始位置开始，以数据大小 为单位读取用户数据，共得到 个数据块，记为，本文将第 个数据块追加至第 个输出流 ；）重复步骤 ）的操作，得到输出流 ，并将这 个输出流保存至云端作为 个子文件使用上述步骤进行文件分块能够得到一系列不连续且混乱的子文件，这一操作可显著降低每个子文件所包含的有效信息 同时，由于子文件的顺序及数量与两次分块的粒度 和 有关，因而当窃密者不了解详细的数据分块方法时，难以通过对数据进行重组得到原文件 基于交叉加密的云数据保护为了保障云存储数据的安全性，本文结合对称加密算法与非对称加密算法的优点，提出了一种交叉加密算法来对分块后的数据文件进

8、行加密 该算法综合考虑加密数据的安全性及加密速度，对大数据块和小数据块采用不同的加密方法，在兼顾处理速度的同时，也提升了数据的安全性基于交叉加密的云数据加密流程为：）设置加密单元的大小为，加密数据比为；）对待加密文件 进行分块处理得到 ，且每个子文件块的大小为 ；）按照加密数据比 将每个子文件块分为两部分，且两部分比值为 ；）使用步骤）对 个数据块进行划分，得到 和 ，分别使用对称加密算法与非对称加密算法对两文件进行加密处理，得到 个加密文件；）合并步骤 ）得到的 个文件，并获取最终的密文文件 对加密后的文件进行解密的流程为：）根据用户请求读取待解密的密文文件；）获取密文加密参数，即加密单元的

9、大小 及加密数据比 ；沈阳工业大学学报第 卷）根据 和 对 进行划分，得到 ，；）使用对称加密算法对 进行解密，使用非对称加密算法对 进行解密，得到 个明文数据；）合并步骤 ）得到的 个明文数据，并获取最终的数据文件 基于密文策略的云数据访问本文基于密文策略的云数据访问方法共包括以下 个阶段：）初始化 使用文献 所述的方法生成公钥 和主秘钥 ）数据加密 该过程主要目的是使用公钥 和主秘钥 对数据文件进行加密，包括构造访问结果树的多项式与密文计算两个步骤 访问结构树，即表现用户访问权限需求的数据结构 本文假设该树结构的根节点为 ，并随机生成一个最高阶数为 、常数项为 的多项式，然后使用该多项式的

10、生成方式定义其他节点的多项式 当构造完成访问树后，生成待加密数据的密文 ）秘钥生成 该过程主要生成数据访问者的私钥，且在该过程中会对隐式编码用户的属性集合进行处理 即使用用户的属性集合与主秘钥来生成包含用户属性的特定用户私钥）数据解密 使用特定用户的私钥 对密文数据 进行解密，得到用户需访问的原始数据 随后本文使用文献 提出的递归算法来判断属性集合在私钥中的编码是否满足其对应的密文访问结构 当解密成功后，将向用户发送解密得到的明文数据；否则，返回解密失败的信息 性能分析结合上文介绍的基于数据分块重组的云数据存储、基于交叉加密的云数据保护与基于属性的云数据访问方法，本文提出了基于安全性验证的数据

11、存储与访问机制 具体地，当用户上传数据至云数据平台后，首先对数据进行分块重组和加密，实现数据的安全保护；然后将处理后的数据保存到云数据服务端，并将重组和加密阶段产生的参数数据作为元数据进行保存；当用户申请访问数据时，通过访问判断和解密，返回用户请求的数据 这一操作过程不仅能保障数据的安全，还可实现对云端数据的访问控制用户请求云服务器存储的数据时，应先对用户的签名进行安全性验证 假设用户的签名为 ，私钥为 ，公钥为 ，用户对数据块 的签名为，则对用户进行安全性验证表达式为（，）（，）式中：为哈希编码数据；为仿射变换函数 基于该安全性验证方法，本文对 条用户请求进行安全性验证，其中包括 条正确请求

12、和 条错误请求，结果表明所提出的方法能够有效保证用户访问的安全性同时，本文分析了所提方法的加密效率及对公钥替换攻击和恶意 攻击的抵抗能力，并将本文方法与文献 、所提方法进行比较，结果如表 所示，其中 表示双线性运算的时间复杂度，表示指数运算的时间复杂度，表示乘法运算的时间复杂度，表示哈希运算的时间复杂度 从表 中可以看出，本文方法具有更少的计算量 同时，公钥替换攻击和恶意 攻击实验使用随机选择的 个不同数据块进行仿真实验 其中，本文方法根据公钥间的关联关系对公钥进行验证，从而判定用户公钥的真假 本文使用随机生成的 组公钥进行仿真实验，结果表明所提方法具有抵抗公钥替换的能力 同时，本文也使用随机

13、选择的 个不同数据块分析各方法对恶意 攻击的抵抗能力，结果表明所提方法具有抵抗恶意 攻击的能力表 算法效率及攻击抵抗能力分析 方法计算量公钥替换攻击抵抗能力恶意 攻击抵抗能力文献 无无文献 无无本文方法 有有 实验与分析为验证所提出的数据存储与加密方法的有效性，本文进行了实验测试及分析 测试系统使用 操作系统，处理器为 ，主频为 ，内存首先验证所提出的数据分块重组方法的有效性，分别取大小为 、和 的数据进行测试，并取 次测试结果的平均值作为最终实验结果 图 是 为 ，分别为 、及 时数据分块与合成所需时间的变化情况 图 第 期程顺达：基于安全性验证的云数据存储与访问算法则是 为 ，为、和 时数

14、据分块与合成所需时间的变化情况 从图 可以看出，随着文件大小的增加，数据分块与合成所需的时间也在逐渐增加；分块的粒度越大，所需的时间也越长图 时数据分块和合成所需的时间 图 时数据分块和合成所需的时间 本文提出的交叉加密算法采用对称加密方法对大数据块进行加密，以提升其加密速度；而对小数据块则使用非对称加密算法进行加密，并提升数据的安全性 本部分从安全性与加密速度两方面来验证该方法的有效性 通过验证明文及秘钥的敏感性来验证该加密算法的安全性，其中，敏感性是指当明文数据中某些字节的数据发生变化时，密文数据的变化程度 表 为秘钥固定时，对不同明文数据进行加密得到的密文数据 从表 中可以看出，使用本文

15、算法得到的加密明文存在较大的变动，因此若试图通过分析密文数据来得到明文数据将异常困难 表 给出了使用不同的秘钥对相同的明文数据进行加密时得到的加密密文 根据表 结果可知，当秘钥出现变化时，加密后的数据产生更大的变化，这一现象表明所提出的方法具有较好的秘钥敏感性表 密文敏感性测试结果 明文数据密文数据 表 秘钥敏感性测试结果 秘钥数据密文数据 此外，本文也将不同加密算法对不同大小数据文件进行加密与解密所需的时间进行比较，结果如图 所示 从图 结果可以看出，所提算法相对于非对称加密算法的速度显著提升，而相对于对称加密算法，加密及解密速度较慢本文还比较了所提方法与文献 、方法的计算开销 图 为访问不

16、同大小的数据块时，各种方法所需的计算开销结果 由图 可知，对于不同大小的数据块，本方法所需的计算开销较小，更为有效本文利用云数据访问方法对元数据进行属性加密，并将所提方法与文献 、方法进行比较，结果如图 所示 根据图 可以看出，种方法的计算开销随着访问结构中属性数量的增加持续提高，但本方法在加密和解密过程的计算开销均较小沈阳工业大学学报第 卷图 加解密速度对比 图 不同方法计算开销对比 结论本文提出了一种新的基于密文策略的数据访问方法，以实现细粒度数据访问控制来应对云数据的访问存储需求 提出的基于安全性验证的数据存储与访问方法能有效对云数据进行存储和加密 当用户上传数据至云数据平台后，本文方法

17、首先对数据进行分块重组和加密来保护数据；然后将处理后的数据保存至云数据服务端，并将重组即加密阶段产生的参数数据作为元数据进行保存；当用户申请访问数据时，通过访问判断与解密返回用户请求的数据 实验与分析对比结果表明，所提方法能显著提升云数据存储的安全性，并减少数据加密、解密过程所需要的计算开销图 不同方法计算开销与属性数量的关系 参考文献（）：吴良 基于数据挖掘的集成信令存储和应用平台研究 电子科技，（）：（，（）：），（）：，（）：任金霞，刘敏 基于改进 的云计算任务调度策略 沈阳工业大学学报，（）：（，（）：），：李永刚 基于云计算的数据信息加密安全存储仿真研究 电子设计工程，（）：（，（）：）陈利锋，朱路平 一种基于云端加密的 自适应动态配置方法 计算机科学，（）：（，第 期程顺达：基于安全性验证的云数据存储与访问算法 ，（）：）蔡翔，宋贤睿，顾广宇，等 基于注入式 的云端存储安全研究 电子设计工程，（）：（，（）：）冯媛媛，张魏群，赵丽 利用递归加密算法和 的物联网安全架构 机床与液压，（）：（，（）：），（）：苏艳霞 云存储环境下数据的密钥聚合加密方法研究 太原：太原理工大学，（：，）刘琛，马驷俊，倪雪莉 基于属性的物联网感知层访问控制方案 电子科技，（）：（，（）：），：，：，（）：，：（责任编辑：景勇英文审校：尹淑英）沈阳工业大学学报第 卷