《云数据的可信删除技术与价值》由会员分享,可在线阅读,更多相关《云数据的可信删除技术与价值(6页珍藏版)》请在金锄头文库上搜索。
1、云数据的可信删除: 技术与价值徐明, 罗玉川, 付绍静国防科学技术大学计算机学院摘 要云计算逐渐成为信息基础设施建构的重要途径,对于未来国防信息系统建设也具有重要价值。由于云计算模式下,用户不能对存储在云服务器上自己的数据直接进行控制,那么如何确保已删除的数据真正得到删除,永远不能恢复变得至关重要。迄今为止,该问题尚无有效而彻底的解决方案。本文首先给出了数据可信删除的设计目标,梳理云环境数据可信删除的存储模型和安全模型;在此基础上,总结分析当前三种数据可信删除方案的理论基础、技术途径及其优缺点;最后,本文探讨云存储数据可信删除的技术挑战和军事应用延伸价值。关键词云计算; 云存储; 数据删除;
2、可信性;The Research and Development of Assured Data Deletion in Cloud StorageXU Ming, LUO Yuchuan, FU ShaojingSchool of Computer, National University of Defense Technology, China1 AbstractWith the advent of cloud storage model, more and more users, including enterprises and personal users, choose to tr
3、ansfer their data into the cloud without leaving local copies. In this new data hosting paradigm, users lose direct control over their outsourced data, which makes it a crucial problem of how to ensure the un-recoverability of deleted data. In this paper, we have made a survey on this problem. First
4、ly, we give a description of the storage model, security model and design goals for assured deletion in the cloud. Secondly, classification of the existing assured deletion protocols are analyzed, and on the basis of the classification, many typical assured deletion schemes are introduced and compar
5、ed. Lastly, challenges and future research trends of assured deletion in the cloud are reviewed.Key words: Cloud Computing; Cloud Storage; Data Deletion; Assurance; 1 前言当前,以信息化为核心的我国新军事变革不断发展,争夺信息优势、夺取制信息权将成为决定战争胜负的关键。军用信息系统及其技术的发展和应用,不仅成为现代军事科技、各种军事系统和武器系统研制开发的重要物质基础和技术支柱,而且也是现代战争作战指挥、通信联络、后勤保障等诸多决
6、定战争胜负关键因素的依靠和保证,并在对传统的军事理论和军事观念产生着巨大而深远的影响。 随着互联网技术的广泛普与纵深发展,云计算模式被越来越多的人所认识和推崇。云计算具有按需服务、即用即取、资源租用、应用托管、服务外包等一系列特征和技术优势因而成为当前和今后的信息基础设施主要途径,也对国防信息系统的设计与建设带来了巨大的影响1。美国国防信息局(DISA)从2008年起着手研发一系列云计算解决方案,包括Forge.mil、快速响应计算环境(RACE)等。RACE、Forge.mil、GCDS以及NCES等DISA 的其他项目,使DISA能及时响应美军战场上数据与信息服务的相关需求。2012年7月
7、11日,美国国防部发布了云计算战略,明确将美军军用信息技术资源向保密云计算环境迁移。 与传统的计算模式不同的是,云计算是通过资源共享和虚拟化技术为用户提供按用量付费的弹性计算资源2。用户需要多少计算资源,云就可以为用户提供多少;云为用户提供了多少计算资源,用户就需要付多少费用3。云计算所提供的弹性计算能力还能够动态满足用户的计算需求变化,更重要的是通过云计算所提供的弹性计算资源,可以很好的应对用户数量的爆炸式增长。作为云计算的一个重要应用,云存储可以为用户提供弹性的存储服务。在云存储模式下,用户将数据上传到云端并且删除本地的备份,这样可以降低用户的存储成本,并且提高数据的可靠性。因为云服务提供
8、商往往具有更加雄厚的技术基础,并且会对数据进行多个备份,然后存放在多个在线或者离线的服务器上。虽然采用云存储服务具有很多好处,但是在云存储环境下用户失去了对数据的直接控制,这也会对数据的安全造成巨大威胁,比如如何确保云端数据的机密性、完整性等等。其中一个重要的问题是云服务提供商可能在收到用户的删除请求时并没有真正的删除其数据或者只是删除了部分备份,这使得用户已删除的数据存在以后被泄露的风险4。本文通过对现有的多种数据可信删除机制进行对比分析,探讨了适合云存储的数据可信删除机制,指出云可信删除的重要意义与军事应用价值,最后对云数据可信删除机制发展趋势进行了展望。2 云存储环境中的数据可信删除本节
9、将对云存储环境下数据可信删除的存储模型和安全模型进行介绍,并给出数据可信删除的设计目标。2.1 数据存储模型云存储环境下数据可信删除所采用数据存储模型包含三个实体:用户、云服务提供商和可信第三方(Trusted Third Party)5。 其中, 用户将自己的数据加密,然后将密文数据外包给云服务提供商,并将密钥托管到可信第三方;云服务提供商为用户提供弹性存储服务;可信第三方管理数据加密密钥,并根据删除策略销毁失效的密钥。引入可信第三方来管理数据密钥是因为数据可信删除机制会生成大量数据密钥,而用户端设备往往资源受限,处理这些密钥势必会消耗大量计算资源和存储资源。因此,可信第三方的引入不仅可以减
10、轻用户端的资源开销,还可以凭借专业密钥管理机构的能力提供密钥管理的效率,实现更高效的数据可信删除机制。2.2 安全威胁模型根据上述系统模型,云存储环境下的数据可信删除主要面临如下安全威胁:a) 云服务提供商是不可信的。在用户请求删除数据时,云服务提供商可能恶意保留用户数据或者只是删除了部分备份。b) 可信第三方会忠实用户的操作请求,但是可信第三方也会在强制力(比如政府指令)的要求下泄露用户的信息。c) 用户将数据加密后,将数据密文外包给云服务提供商,将数据密钥托管给可信第三方,并删除本地备份,在这种情况下用户就失去了对数据和密钥的直接控制。2.3 设计目标云存储环境下数据可信删除的设计目标是确
11、保已删除的数据将来不会再被恢复,以避免将来可能存在的隐私泄露。具体来说,数据可信删除机制有以下三个子目标:a) 云存储服务提供商在用户删除云端数据后无法再访问数据的内容,即使恶意的云服务商仍然保留着原始数据。b) 恶意攻击者在用户删除云端数据后无法再访问数据的内容,即使恶意攻击者获得了用户保存在云端的完整数据。c) 数据可信删除机制要尽量降低用户端的计算开销和存储开销,特别是对移动用户端。3 数据可信删除机制的分类图2 数据可信删除方案一览现有数据可信删除机制都是基于密码学的,其基本思想是“加密数据,销毁密钥”。因此现有数据可信删除方案中,可信删除问题等价于密钥的管理问题。根据密钥托管方式,可
12、以将数据可信删除机制分为三类:基于可信第三方的数据可信删除机制、基于DHT(Distributed Hash Table, DHT)的可信删除机制和无第三方的可信删除机制,如图2所示。3.1 基于可信第三方的可信删除机制基于可信第三方的可信删除机制最早见于文献6。在这篇论文中,Perlman等人首次提出利用加“加密数据,销毁密钥”的方式来实现电子数据的可信删除,并引入可信第三方来管理数据加密密钥。然而Perlman等人的方案只提供基于时间的可信删除操作,即在预先设定的有效期内用户可以正常访问外包到云端的数据,超过预设时间后数据就被自动的删除。因此,无法满足用户细粒度的可信删除操作。在Perlm
13、an方案的基础上,Tang等人提出了FADE系统57,该系统实现了一种基于策略的可信删除方式,其基本思想是将每个文件与一个或者多个策略相关联,通过回收策略来实现对应文件的可信删除。具体来说,用户首先随机生成一个数据密钥加密文件,然后为每个访问策略随机生成一个控制密钥,并按照访问策略之间的逻辑关系对数据密钥进行加密。可信第三方(即密钥管理服务器)为每个访问策略随机生成一个公私钥对,用户用公钥加密对应的控制密钥之后将数据密、数据密钥以及的密文上传到云端。当用户发出删除请求或者策略失效时,可信第三方(密钥管理服务器)即回收相应的私钥就能够保证无法恢复数据密钥以得到数据明文,从而实现了数据的可信删除。
14、该方案通过策略的混合,可以实现细粒度的可信删除操作。同时该方案还可以无访问控制实现无缝结合,为用户数据提供可信删除保护的同时提供访问控制保护。但是该方案依赖可信第三方来管理服务,访问数据或者删除数据都需要第三方参数,因此需要可信第三方保持在线状态。另外该方案也无法提供针对单个文件的细粒度可信删除,因为每回收一个策略,与该策略相关联的文件都有可能变成不可访问状态。在版本控制场景下,不同版本之间可能共享一个文件,如果直接应用传统的可信删除方案对每个版本分别进行加密,那么将会使存储开销显著增加;而如果只对不同版本间不同的部分重新加密,又会在删除一个版本的时候使得其它版本不完整。针对这个问题,Rahu
15、med等人利用层次加密的思想,将可信删除与版本控制相结合,提出了FadeVersion系统8。其具体过程为:假设文件对象出现在多个版本当中,首先随机生成一个数据密钥对进行加密,然后用与不同版本相对应的控制密钥加密数据密钥。FadeVersion系统这样的设计可以保证在删除一个版本后,仍然可以通过其它版本的控制密钥恢复数据密钥从而得到文件对象。但是FadeVersion系统需要为每个版本生成一个控制密钥,这给原本就沉重的密钥管理带来了更大的负担。3.2 基于DHT的可信删除机制与基于可信第三方的可信删除机制不同,基于DHT的可信删除机制利用采用DHT技术的P2P网络实现了密钥的分布式管理,消除了
16、第三方密钥管理者不可信或者泄露密钥的安全隐患,同时其可信删除过程由DHT网络自动完成,不需要用户干预。基于DHT的可信删除机制首先由Geambasu等人在文献9中提出。他们充分利用DHT定时动态更新以及分布式去中心化的特性,设计了一个针对电子邮件的电子数据自销毁系统Vanish。其基本思想是利用门限秘密共享算法将数据密钥分成多个密钥分量,然后将这些密钥分量随机发送至DHT网络的不同节点,使得当用户设定的时间到达后,密钥分量将被DHT网络删除,任何人都无法再从DHT网络获取足够的密钥分量来恢复数据密钥。Vanish系统的基本过程:用户在发送邮件之前随机生成数据密钥加密邮件,然后采用门限秘密共享算法将数据密钥分成份并保存到DHT网络的不同节点上,在用户设定的时间内,邮件接收者从DHT网络中获取份密钥分量就可以恢复数据密钥,从
