一種支持隱私保護的加密方法在云存儲中的應用

張林（商洛學院 電子信息與電氣工程學院，陜西 商洛 726000）

一種支持隱私保護的加密方法在云存儲中的應用

張林
（商洛學院 電子信息與電氣工程學院，陜西 商洛 726000）

隨著云存儲技術的快速發展，云存儲的數據安全性成了一個最為關鍵的問題。加密是一種對數據進行保護的有效方法。為了提高云存儲環境中對客戶隱私的保護，本文設計研究了一種支持隱私保護的云存儲加密方法CESVMC。通過對矩陣和向量進行加、減、乘、除運算，完成對云存儲數據和客戶信息的保密工作。最后經過安全分析和對其性能進行評測，證明CESVMC加密技術具有較高的安全性能，以及合理的運算復雜度，滿足日常云存儲的工作需要。

云存儲；安全；加密；隱私保護

近年來，隨著云計算技術和軟件即服務（SaaS）思想的興起，云存儲已經成為信息存儲領域中的一個熱點研究課題［1-3］。云存儲是通過網絡將本地數據存放到云存儲服務提供商（SSP）提供的網絡存儲空間中，即云存儲服務商提供存儲服務［4］。因此，用戶不再需要建立自己的存儲空間，只需向服務商提起存儲申請，就可以享受到異地存儲和按自己實際需要進行存儲的便利服務，為用戶大大節約了購買和維護軟硬件設備的費用。但是在現有的云存儲服務當中，人們一直擔心云存儲的信息安全可靠性，并已經成為阻礙云存儲推廣和發展的重要原因之一。用戶的隱私數據主要包括兩大類，一類是用于識別個人身份的信息，如用戶家庭情況、電話號碼和銀行卡號等信息；另一類是用戶比較敏感的個人信息，如個人身體狀況、收入情況和機密文件等［5］。

云存儲的數據存儲安全問題來源于云存儲數據的外包服務的特點，客戶的數據存儲到云環境中，無法直接對數據進行直接的控制，因此可能導致個人信息的泄漏或被盜用［6］。近年來Salesforce.com和Google等云服務商泄漏客戶數據信息的事件已經引起人們對云存儲的懷疑，因此為了更好的保護客戶的數據信息不被盜用或者丟失，合理的對用戶數據進行加密是必不可少的。

然而目前的加密方法大都不支持對密文的加密，例如對個人的隱私信息進行模糊檢索等。為了對云存儲的用戶信息進行更好的保護，本文提出了一種支持隱私保護的云存儲加密方法，該方法是基于向量和矩陣的可計算云存儲加密方案CESVMC（Computable Encryption Scheme Based on vector and Matrix calculations）。CESVMC的加密策略是將數值數據和字符串數據分為兩大類，將支持模糊檢索的字符串和加密數據進行加、減、乘、除運算，以保證云數據存儲與讀寫等過程的安全性。

1　問題提出

可計算的加密技術是是通過將加密后的數據進行某種運算而使用戶信息更加安全的策略。目前已有的支持可計算的云存儲加密技術主要包括兩類：一類是支持可運算的加密技術［7］，另一類是支持檢索的加密技術。目前的加密方案還不能夠支持同時對字符串檢索和數據數值進行混合運算，且目前還沒有一個實際可行的檢索方案實現對字符串的模糊檢索，另外目前的加密方案還很難解決整數和浮點數的混合加、減、乘、除運算。針對以上問題設計了一種支持矩陣和向量的加密方案（CESVMC），該加密方案支持對云存儲中字符串的模糊檢索核對加密數據的四則運算。

2　CESVNC云加密算法描述

CESVNC加密算法是將云存儲數據分為字符串和數值兩大類，然后將加密字符串的模糊檢索和加密數值的數據進行加、減、乘、除基本運算進行加密。

2.1加密過程算法

當User想要檢索字符串nq時，用戶需要先選擇一個隨機數r（r＞0且r∈R），并將字符串轉化為對應的一個（n-1）維的向量q，然后將q進行擴充為一個d維的向量nq（n-1）q′=r×（q，其中rj是隨機數，且rj∈ R，即計算的元素為ce′=（q，1），隨機元素組可以表示為re′=（w1，隨后用戶可以根據分裂串S將q′分割為兩個d維的向量q1′和q2′子空間，如果S［z］=1，那么就將q′的第z個元素q′［z］分解為x1和x2，即q′［z］=x1+x2，將x1和x2分別記為q1′［z］和q2′［z］；如果S［z］=0，那么就將q′的第z個元素q′［z］不進行分解，即q1′［z］=q2′［z］=q′［z］；然后對q1′和q2′進行加密運算得到Q1=q1′×（M-1）和Q2=q2′×（M-1），最后將Q= （Q1，Q2）提交給SP，作為解密時的運算密鑰。

2.2解密過程算法

當SP收到數據檢索請求后，它將對User的權限范圍內的Pi進行如下計算：

然后將計算結果與SP進行比較，因此比較得到的值越大，說明nq與npi越相似。

假設p1與p2是兩個包外字符串np1和np2所對應的加密向量，Q是檢索參數nq的加密向量，因此有：

其中向量p和q的歐幾里得距離表示為d（p，q），因此d （pi，q）≥0且r∈R+

所以有

即，通過對pi和Q標量機從大到小進行排列，就可以確定一個相似度從高到低排列的序列SP，因此就實現了模糊檢索。

2.3解密過程算法

解密算法Dec:Dec（P，M，S，op）→m，其中op表示計算類型，，當op="add"時，表示對數據進行加運算；當op="sub"時，表示對數據進行減操作；當op="mul"時，表示對數據進行乘操作；當op="div"時，表示對數據進行除運算。

轉換一個d維的數值數據np的過程主要包括4個步驟：首先，選擇（da-1）個隨機數｛ar1，ar2，…arda-1｝（ari∈R且i∈［1， da-1］），并計算得到一個da維的向量p=（ar1，ar2，…，arda）T；然后再生成da個隨機數｛cr1，cr2，…crda），（cri∈R且i∈［1，da］），使得p變換為p′=（ar1+cr1+…+arda+crda）T。然后，隨機選擇（dm-1）個隨機序列｛mr1，mr2，…，mrdm-1｝，計算這樣用戶端自動將p′轉換為一個（da+dm）維的向量。隨后用戶通過加入一系列的隨機元素re對p″進行擴充，構造一個（da+dm+k）維的向量最后用戶加密的p?形成了一個外包向量p=M×pm，并將其存儲到SP的服務器上。

3　CESVMC加密性能分析

將CESVMC云存儲加密方案與已有的加密方案進行比較分析，對CESVNC的性能進行評估分析。對比的加密方案包括支持乘法同態的unpadded_RSA、支持加法同態的paillier和基于OPES的云加密字符串模糊檢索方法。其中，對比的性能指標包括計算性能、加/解密性能和存儲與同行負載等指標。實驗在華為公司提供的數據存儲試驗臺上進行。

實驗中首先對不同長度的字符串進行了加/解密和檢索性能分析。其中CESVMC的輸入向量維度為d=10；OPES的輸入分布的桶數為b1=6，輸出分布的桶數為b2=4，實驗結果如圖1所示。可以發現當數據長度len≤500時，采用本文的CESVMC的數據加密時間比OPES的加密時間要小，但是當len＞500時，CESVMC的加密時間要比OPES的加密時間長，并且隨著len的增加，時間差距逐漸變大。另外CESVMC的檢索參數加密時間和解密時間都比OPES的要小，并且隨著len值的增加，節約的時間越多。

為了對CESVMC測試不同維度d讀取數據的情況，下面設定長度len=200對字符串加解密和和檢索性能進行評價。加解密及檢索性能測試如圖2所示，可以發現隨著字符串長度的增加，加解密及檢索所耗費的時間急劇增加，這是由于加解密的運算復雜度O（d2）隨著字符串長度的增加而快速增大的結果。

圖1　加、解密性能對比

圖2　加解密及檢索性能分析

存儲和通信性能評價結果如圖3所示，可以發現隨著字符串長度的增加，CESVMC的通信與存儲負載能力正比增長，這是因為通信與存儲的復雜度為O（d），成一次比例關系。

圖3　存儲預通信負載測試

4　結束語

通過將CESVMC加密算法的性能與其他加密算法進行對比發現：1）CESVMC的加/解密性能較優；2）CESVMC的加減法效率很高，但是在對字符串模糊檢索和乘除法方面的運算速度較慢，花費的時間較大；3）CESVMC在通信與存儲時的負載能力較強；4）加密與解密性能隨著維度的增加而增加。

針對當前云存儲中的隱私安全的問題，本文提出了一種支持隱私保護的云存儲加密運算模型（CESVMC），該加密方法支持對加密字符串的迷糊檢索以及對加密數值數據進行加、減、乘、除四則運算。最后通過安全分析，證明了對于字符串的操作，當攻擊者只獲得外包數據時采用CESVMC加密方案具有較高的安全系數；當對于數值數據進行操作時，如果加法算子大于3，則系統具有較高的安全系數。綜上，采用CESVMC云存儲加密算法能夠有效的保證客戶的數據的安全，且具有較好的運算速度。

［1］NAMJOSHI J，GUPTE A.Service oriented architecture for cloud based travel reservation software as a service［C］//Proc of the2009IEEEInternational ConferenceonCloud Computing.Washington DC:IEEE Computer Society，2009: 147-150.

［2］HAYES B.Cloud computing［J］.Communications of the ACM，2008，51（7）:9-11.

［3］LIN G，DASMALCHI G，ZHU J.Cloud computing and IT as a service:opportunities and challenges［C］//Proc of the 6th IEEEInternational ConferenceonWebServices.Los Alamitos:IEEE Computer Society，2008:1-5.

［4］WANGJuan，LIFei，ZHANGLu-qiao.Task scheduling algorithm in cloud storage system using PSO with limited solution domain［J］.Application Research of Computers，2013，30（1）：127-129.

［5］HUANG Ru-Wei，GUI Xiao-Lin，YU Si，et al.Privacy-preservingcomputableencryptionschemeofcloud computing［J］.Chinese journal of computers，2011，34（12）：2391-2402.

［6］WANG Guan，FAN Hong，DU Dahai.Security analysis and improvement of access control scheme for cloud storage［J］. Journal of Computer Applications，2014，34（2）：373-376.

［7］Agrawal R，Kiernan J，Srikant R，et al Order-preserving encryption for numeric data［C］//Proceedings of the 2004 ACM SIGMOD International Conference on Management of Data（SIGMOD’04）.Paris，France，2004:563-574.

A support privacy encryption method in the application of the cloud storage

ZHANG Lin
（School of Electronic Information and Electrical Engineering，Shangluo University，Shangluo 726000，China）

With the rapid development of cloud storage technology，cloud storage data security has become a key problem.Encryption is an effective method for protection of data.In order to improve the cloud storage environment，the protection of customer privacy，this article design research a kind of support CESVMC privacy cloud storage encryption method.Based on the matrix and vector add，subtract，multiply，divide，complete the cloud storage data and customer information confidential work. Finally through security analysis and performance evaluation，prove CESVMC encryption technology has high safety performance，and reasonable operation complexity，meet the needs of the daily work of cloud storage.

cloud storage；safety；encryption；privacy protection

TN03

A

1674－6236（2016）11-0124-03

2015-06-16稿件編號：201506167

張 林（1986—），男，黑龍江訥河人，碩士研究生，助教。研究方向：嵌入式系統的研究與開發。