安全云存储系统的关键技术

    安全云存储系统的关键技术

    为了保证安全云存储系统的正确性和高效性，不同系统的设计者往往会根据自己系统的特征，为系统添加一些特定的解决方案，这些解决方案便称为安全云存储系统中的关键技术，在不同的系统中所使用的关键技术也不尽相同，特别是随着云存储的发展与应用，一些在传统安全网络存储系统中所不关注的技术在安全云存储系统中却受到了重视，现有的云存储系统中所使用到的关键技术大致可分为以下几类。

    1 安全、高效的密钥生成管理分发机制

    在目前的安全云存储系统中，数据加密存储是解决机密性问题的主流方法。数据加密时必须用到密钥，在不同系统中，根据密钥的生成粒度不同，需要管理的密钥数量级也不一样，若加密粒度太大，虽然用户可以很方便地管理，却不利于密钥的更新和分发；若加密粒度太小，虽然用户可以进行细粒度的访问权限控制，但密钥管理的开销也会变得非常大，现有的安全云存储系统大都采用了粒度偏小或适中的加密方式，在这种方式下系统将会产生大量密钥，如何安全、高效地生成密钥并对其进行管理与分发是安全云存储系统中需要解决的重要问题。

    1.1 密钥的生成机制

    密钥生成关键在于如何减少需要维护的密钥数量和能够高效处理密钥的更新，目前的安全云存储系统所采用的密钥生成机制主要有以下3种。

    1）随机生成

    随机生成密钥是最直接产生对称密钥的方式，CRUST和Plutus等系统均采用了这种方式产生对称密钥对数据进行加密，这种加密方式具有良好的私密性和可扩展性，数据内容不容易被破解，但是密钥不能用作其他用途（例如数据的完整性校验），生成的数据密文随机性较强，不利于系统的重复数据删除操作。

    2）数据收敛加密

    使用数据明文的某种（或多种）属性生成密钥对数据本身进行加密，使得相同数据明文经过加密后，生成的密文也相同的技术被称为数据收敛加密技术，Corslet系统利用收敛加密的思想提出了一种数据白加密的方式（如图2所示），通过每个文件块的散列值与偏移量作为密钥，对文件块本身进行加密。

    图 数据自加密

    数据收敛加密的好处主要体现在以下几个方面：①若密钥的生成方式与数据的散列值有关，生成的密钥则可以用来校验数据的完整性，从而节省了存储空间；

    ②修改数据的同时会修改密钥，因此特别适合懒惰权限撤销；

    懒惰权限撤销是指在基于共享的安全云存储系统中，若某个用户的访问权限被撤销，系统并不立即更换密钥对数据重新进行加密，而是采用触发的方式，当某个特定的事件发生时才对数据重新加密，例如，使用自加密技术后，若某个用户的访问权限被撤销，系统只需在访问控制信息中删除此用户的相关信息，待下次写操作发生时再对数据重新加密即可；

    ③相同内容的文件加密后密文依然相同，非常适合在系统中进行重复数据删除操作。