安全云存储的分层密钥管理-计算机系统结构专业论文.docxVIP

独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体 已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于 保密□， 在 年解密后适用本授权书。 不保密□。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 华 华 中 科 技 大 学 硕 士 学 位 论 文 I I 摘 要 云存储的迅猛发展给用户带来便捷的同时，也带来了许多的安全性问题。在云存 储环境下，数据拥有者把数据存储到云端，数据的控制权不能受到保证。数据加密和 控制数据的访问权限是保护数据免受非法访问的两种最基本技术。如何对云存储系统 中使用的各种密钥进行高效灵活的组织、分发、管理，如何应对访问控制策略变更带 来的数据重加密和密钥更新问题，已成为安全云存储密钥管理研究的问题关键。 提出层次化密钥管理方案，该方案基于 openstack 的核心子项目 swift 搭建云存储 平台，并假设云存储提供商（Cloud ServiceProvider，CSP）是“honest but curious”，即 CSP 会严格正确的执行来自数据拥有者及使用者的各项访问请求，但不排除会好奇地 根据已有的数据推测用户的明文数据的可能性。采用二叉 Trie 树对密钥进行分层管理， 并基于此树进行密钥推导，降低了数据拥有者管理密钥的复杂度，提高了数据的安全 性。为了解决频繁的访问策略变更带来的权限撤销代价过高的问题，引入了满足多跳 性的 ElGamal 代理重加密机制完成密钥的更新，将访问策略变更引发的密钥重加密负 担部分转移到 CSP，利用延迟更新策略将数据的重加密开销转移到被共享用户端。 对基于层次化密钥管理方案进行性能测试，测试结果表明：采用本文密钥管理方 案后，相对原始系统而言，平均写文件性能下降了约 6.8%；在角色数量为 300，资源 类数量为 3000 时，采用 CACDP 方法[42]对 1GB 文件进行数据重加密的时间开销大约 是 138.7s，而本文方案约为 123.6s，时间开销减少了约 10.8%。因此，本文的层次化密 钥管理方案为云存储系密钥管理提供了较理想的一种解决思路。 关键词：安全云存储；密钥管理；代理重加密；访问控制 II II Abstract As the rapid development of cloud storage, it not only brings a lot of convenience, but also brings many secure problems. In the cloud storage environment, data owner uploads data to the cloud, thus it lost the absolute control of data. The mainstream of secure cloud storage is to encrypt data and then upload the cipher to the cloud. How to organize, distribute, manage various keys, and how to deal with the problem of data re-encryption and keys updating while access control strategy changing becomes our design purpose. This paper proposes a hierarchical key management scheme, which adopts the mainstream secure scene—CSP is ‘honest but curious’, that is to say CSP will perform the request from data owners and users strictly and correctly. This scheme is based o