基于密碼學的云數(shù)據(jù)確定性刪除研究進展

2016-11-24 07:29:22熊金波李鳳華王彥超馬建峰姚志強

通信學報 2016年8期

熊金波，李鳳華，王彥超，馬建峰，姚志強

(1. 中國科學院信息工程研究所信息安全國家重點實驗室，北京 100093；2. 福建師范大學軟件學院，福建福州350117；3. 西安電子科技大學計算機學院，陜西西安710071)

熊金波1,2，李鳳華1，王彥超1，馬建峰3，姚志強2

系統(tǒng)分析云環(huán)境中數(shù)據(jù)確定性刪除面臨的主要挑戰(zhàn)，指出云計算虛擬化與多租戶的特征，以及租賃、按需交付的商業(yè)模式是云環(huán)境中存在諸多安全問題需要確定性刪除服務的根本原因，并給出云數(shù)據(jù)確定性刪除的深層次含義；面向安全的角度從基于可信執(zhí)行環(huán)境的確定性刪除、基于密鑰管理的確定性刪除和基于訪問控制策略的確定性刪除3個方面對近年來相關研究工作進行深入分析和評述，并指出各種關鍵技術與方法的優(yōu)勢及存在的共性問題；最后給出云數(shù)據(jù)確定性刪除領域未來的發(fā)展趨勢。

云數(shù)據(jù)安全；確定性刪除；隱私保護；密鑰管理；訪問控制

1 引言

移動通信技術、互聯(lián)網(wǎng)技術和信息技術的相互融合與交織發(fā)展，加速了大規(guī)模分布式計算技術及其配套服務模式的演進與變革，促進了以資源聚合及虛擬化、應用服務與專業(yè)化、按需供給和靈便使用為特色的云服務的形成與發(fā)展，并深刻改變了人們的生產、工作、學習與生活方式，如電子政務、網(wǎng)上購物、社交網(wǎng)絡等；同時，新型服務模式的演進帶動人類社會快速信息化，社會信息化的核心體現(xiàn)在社會成員的信息化，平均每天都有數(shù)以億計用戶的電子健康檔案、私密郵件和敏感文件等隱私數(shù)據(jù)存儲到云服務提供商(CSP,cloud service provider)。由于使用云計算技術，使云數(shù)據(jù)的所有權與管理權分離，用戶失去對數(shù)據(jù)的物理控制，導致CSP中用戶數(shù)據(jù)發(fā)生泄露、跨云的非法遷移和非授權訪問等安全問題，如小米 800萬用戶數(shù)據(jù)泄露、130萬考研用戶信息被泄露、東航大量用戶訂單信息遭非法訪問、12306網(wǎng)站大規(guī)模用戶數(shù)據(jù)泄露等，必然要求用戶對數(shù)據(jù)實施加密處理。進一步地，用戶數(shù)據(jù)若長期存儲在 CSP而缺乏有效的確定性刪除機制，不僅造成CSP存儲空間的極大浪費，而且容易導致用戶數(shù)據(jù)的濫用和隱私泄露等嚴重問題。

誠然，云服務的一個核心問題便是如何讓用戶確信存儲在CSP中的數(shù)據(jù)是安全的，其主要原因是由于用戶失去對云端數(shù)據(jù)的物理控制，無法完全相信 CSP的操作行為。為此，文獻[1～4]分別從云數(shù)據(jù)加密存儲、數(shù)據(jù)完整性審計、細粒度訪問控制和密文關鍵詞搜索等方面對面向云存儲的數(shù)據(jù)安全問題進行了歸納與總結，其目標之一是證實數(shù)據(jù)本身在CSP中是完整、存在的。本文主要關注另一個重要且互補的問題，如何證實數(shù)據(jù)本身在CSP中是失效、不可恢復的，即云數(shù)據(jù)的確定性刪除問題。當用戶刪除云端數(shù)據(jù)，如何才能確信由 CSP執(zhí)行刪除操作的被刪數(shù)據(jù)在將來永遠失效、不會再次出現(xiàn)，如何確認云端數(shù)據(jù)被刪后的非存在性。

云數(shù)據(jù)的確定性刪除既是云數(shù)據(jù)安全存儲[1,2,5]領域的核心技術，也是可信云服務[6]中可信數(shù)據(jù)存儲外包的關鍵服務，已經(jīng)得到學術界和產業(yè)界的廣泛關注。關于數(shù)據(jù)的安全刪除問題，可以從數(shù)據(jù)管理的角度進行研究，因為數(shù)據(jù)存儲在服務器的數(shù)據(jù)庫或文件中，刪除的可能僅僅是數(shù)據(jù)庫中的某些鏈接、指針索引數(shù)據(jù)，并非底層的整個文件。然而，這種方式可以通過數(shù)據(jù)恢復相關技術對被刪數(shù)據(jù)進行恢復，無法實現(xiàn)對數(shù)據(jù)的確定性刪除[7]；本文主要從安全的角度對已有研究工作進行梳理與分析，相關研究已圍繞基于可信執(zhí)行環(huán)境的確定性刪除、基于密鑰管理的確定性刪除和基于訪問控制策略的確定性刪除3個領域展開。本文對其代表性成果進行分析與評述，對存在的局限性進行歸納和總結，對云數(shù)據(jù)確定性刪除的未來研究趨勢進行展望與預測，以期為科研人員準確把握該領域最新研究動態(tài)和未來發(fā)展方向提供借鑒。

2 面臨的挑戰(zhàn)

在傳統(tǒng)信息系統(tǒng)中，數(shù)據(jù)確定性刪除主要關注面向存儲介質的數(shù)據(jù)安全刪除[8～10]，而在云環(huán)境中，除了關注面向存儲介質外，還應更多關注云計算的特征及其商業(yè)模式帶來的新挑戰(zhàn)。在云環(huán)境中，用戶數(shù)據(jù)若要安全存儲在云端，則需要先經(jīng)過加密處理；云計算的虛擬化特征決定了要實現(xiàn)集中式的數(shù)據(jù)存儲必須確保不同用戶的數(shù)據(jù)相互安全隔離[1]；虛擬化與多租戶的特征、租賃與按需交付的商業(yè)模式?jīng)Q定了同一個存儲空間需要被多個用戶使用，因而在新用戶使用之前原用戶數(shù)據(jù)需要被確定性刪除。云環(huán)境下數(shù)據(jù)確定性刪除面臨如下挑戰(zhàn)。

1)數(shù)據(jù)外包與安全。云計算的顯著優(yōu)勢是能夠為用戶按需提供計算和存儲能力，用戶無需自己投資計算和存儲資源，只需將數(shù)據(jù)外包存儲到云端交由CSP管理。由于采用數(shù)據(jù)外包技術，導致數(shù)據(jù)的管理權和所有權分離，用戶無法實際管控數(shù)據(jù)，使傳統(tǒng)的數(shù)據(jù)安全刪除技術無法適應于云環(huán)境。英國Glasgow大學的研究人員指出注1注1：Deleted cloud files can be recovered from smartphones,researchers find.http://www.infoworld.com/t/mobile-security/deleted-cloud-files-can-be-recovered-smartphones-researchers-find-214779。，他們使用智能手機能夠完全恢復出從 Dropbox、Box和 SugarSync中刪除的圖片、音頻文件、PDF和Word文檔。

2)數(shù)據(jù)遷移與多副本。一方面，CSP為了提高數(shù)據(jù)的可用性與可靠性，或者為了某種經(jīng)濟利益，均可能將用戶數(shù)據(jù)遷移到其他 CSP進行多云備份處理；另一方面，當CSP的服務不能滿足用戶需求，或者當用戶尋求新的服務時，需要將當前進程或相關數(shù)據(jù)遷移到其他CSP；無論是云數(shù)據(jù)的備份、動態(tài)遷移、云搜索，還是動態(tài)多數(shù)據(jù)共享等都將產生數(shù)據(jù)多副本問題。當用戶需要刪除某個數(shù)據(jù)時，為了確保用戶數(shù)據(jù)的后向安全，需要確定性刪除該數(shù)據(jù)關聯(lián)的其他副本，以避免發(fā)生數(shù)據(jù)副本隱私泄露和非授權訪問等安全隱患。

3)數(shù)據(jù)殘留與銷毀。由于云計算采用虛擬化技術，用戶將數(shù)據(jù)刪除后，僅實現(xiàn)邏輯刪除，物理存儲空間上的數(shù)據(jù)依然存在，形成數(shù)據(jù)殘留。上述數(shù)據(jù)遷移和數(shù)據(jù)多副本在刪除時都將產生數(shù)據(jù)殘留，而數(shù)據(jù)殘留可能泄露隱私信息；又由于在云服務應用中，采用租賃模式，導致一個用戶邏輯刪除的數(shù)據(jù)容易被無意透露給其他非授權的用戶，如果發(fā)生類似殘留數(shù)據(jù)泄露，用戶需要獨立的第三方機構或安全工具對CSP產生數(shù)據(jù)多副本的行為進行追蹤，并對所有數(shù)據(jù)殘留副本進行銷毀。但迄今為止，該問題仍缺乏行之有效的解決方案。

3 概念與模型

3.1 相關概念

云環(huán)境中，包含隱私信息的數(shù)據(jù)外包存儲到CSP都應該具備一定的授權期限，在該期限內能夠被授權用戶正常訪問，超過該期限后的過期時間點則需要確定性刪除。本文涉及的概念如下。

1)授權期限是一個設定的時間段，如圖1所示，起始于數(shù)據(jù)外包到 CSP后允許被訪問之時(t1)，終止于數(shù)據(jù)的授權期結束點(t2)。在該期限范圍([t1,t2])內，云數(shù)據(jù)應該滿足數(shù)據(jù)機密性、完整性和可用性的安全屬性要求，CSP應為用戶提供細粒度訪問控制、密文搜索、完整性校驗和安全審計等服務。

圖1 云數(shù)據(jù)生命周期

2)生命周期是一個設定的時間段，起始于數(shù)據(jù)創(chuàng)建后加密、外包存儲到云服務器之時(t0)，包含未被授權允許訪問的那段時間([t0,t1))、中間為數(shù)據(jù)的授權期、授權期后的存檔期((t2,t3))，終止于數(shù)據(jù)的過期時間點(t3)，超過t3后，數(shù)據(jù)被確定性刪除。

3)確定性刪除在云環(huán)境中，如果一個給定某種系統(tǒng)訪問行為的敵手在多項式時間內不能從系統(tǒng)中恢復出被刪除的數(shù)據(jù)，則認為用戶數(shù)據(jù)從系統(tǒng)中被確定性刪除，包含3層含義：1)刪除加密密鑰使數(shù)據(jù)密文不可讀，實現(xiàn)用戶數(shù)據(jù)安全刪除，達到不泄露敏感信息的目的；2)在跨云計算模式中，建立不同CSP中所有數(shù)據(jù)副本的關聯(lián)關系，刪除所有數(shù)據(jù)副本并釋放相應存儲空間；3)在跨云計算模式中，CSP釋放空間后給數(shù)據(jù)所有者反饋可驗證的信息確認數(shù)據(jù)安全刪除，為數(shù)據(jù)隱私安全提供可信保障。

3.2 系統(tǒng)模型

云環(huán)境中云數(shù)據(jù)確定性刪除方案的通用系統(tǒng)模型如圖2所示，共包含5個實體：數(shù)據(jù)所有者、云服務提供商、授權用戶、潛在攻擊者和密鑰管理途徑。數(shù)據(jù)所有者是文件的創(chuàng)建者，文件創(chuàng)建好后加密并外包給CSP，將相應的密鑰分發(fā)到密鑰管理途徑中。云服務提供商負責存儲密文數(shù)據(jù)，并認證只有授權用戶才能訪問適當?shù)臄?shù)據(jù)密文。授權用戶是數(shù)據(jù)所有者指定的隱私數(shù)據(jù)共享者，不同的授權用戶擁有不同的身份或屬性，具有不同的訪問權限；潛在攻擊者試圖從CSP或其他用戶獲取密文或密鑰以最終獲得隱私信息。密鑰管理途徑用于分發(fā)和管理密鑰，可以為集中式的可信密鑰服務器，也可以為分散式的分布式散列表(DHT,distributed hash table)網(wǎng)絡、萬維網(wǎng)(WWW,World Wide Web)、社交網(wǎng)頁等。

圖2 云數(shù)據(jù)確定性刪除方案的系統(tǒng)模型

3.3 安全假設與攻擊類型

在云環(huán)境中，數(shù)據(jù)確定性刪除的目標是要支持數(shù)據(jù)生命周期的隱私安全，如法院傳票、法律命令、惡意捕獲數(shù)據(jù)和數(shù)據(jù)泄露等情況時保護數(shù)據(jù)隱私。在圖2所示系統(tǒng)模型的各實體中，數(shù)據(jù)屬主是文件的創(chuàng)建者，是可信的；授權用戶是可信的，不會主動泄露或備份獲得的數(shù)據(jù)密文或相關解密密鑰；CSP是半可信的，即誠實且好奇的，既能遵守設定的協(xié)議規(guī)范，同時也盡可能獲取用戶的隱私信息，如多次備份密文數(shù)據(jù)或被迫泄露給法律機構等[11]；潛在攻擊者旨在從其他用戶或 CSP試圖獲得用戶數(shù)據(jù)的隱私信息，包括捕獲密鑰、竊取外包的數(shù)據(jù)密文等，主要考慮3種攻擊類型：1)在云數(shù)據(jù)的授權期限內，對管理密鑰的實體發(fā)起攻擊試圖獲取解密密鑰；2)在授權期限后，對 CSP發(fā)起攻擊試圖獲取數(shù)據(jù)密文；3)在數(shù)據(jù)的生命周期內的任意時刻，同時攻擊密鑰管理實體和CSP，試圖獲取數(shù)據(jù)的隱私信息。通?？紤]最壞的第3種類型即可。系統(tǒng)模型中各實體之間的安全通信信道可以使用常用的安全協(xié)議，如IPSec、SSL等。

4 國內外研究進展與分析

已有數(shù)據(jù)刪除相關研究成果基本滿足第一層含義的數(shù)據(jù)確定性刪除，如Perlman設計了第一個文件確定性刪除系統(tǒng)，指出通過在合適的時間銷毀密鑰(destroy key)使密文永遠不可恢復(impossible to recover)，實現(xiàn)對文件的確定性刪除[12,13]；Mo等[14]指出確定性刪除要求數(shù)據(jù)條目的加密密鑰不可恢復(unrecoverable)，則數(shù)據(jù)被安全刪除；Reardon等[15,16]指出當敵手具備訪問系統(tǒng)的某些方式后仍然不能從系統(tǒng)中恢復被刪的數(shù)據(jù)時即認為數(shù)據(jù)被安全刪除。在云環(huán)境中，數(shù)據(jù)的所有權與管理權發(fā)生分離，為了保護數(shù)據(jù)的機密性與隱私安全，必須在數(shù)據(jù)外包到云端之前先進行加密處理，則云端數(shù)據(jù)的確定性刪除問題實際上轉化為用戶端對應密鑰的安全刪除問題[2]。因此，如何安全刪除密鑰，使半可信的CSP即使保留被刪除數(shù)據(jù)的密文殘留，或者潛在攻擊者從CSP獲得被刪除的數(shù)據(jù)密文，均不能在多項式時間內解密，從而保障數(shù)據(jù)全生命周期的隱私安全，這一問題近年來成為學術界的研究熱點，已經(jīng)取得了一定的研究成果，相關工作可以細分為基于可信執(zhí)行環(huán)境的確定性刪除、基于密鑰管理的確定性刪除和基于訪問控制策略的確定性刪除，下面分別對上述研究工作進行梳理、歸納和總結。

4.1 基于可信執(zhí)行環(huán)境的確定性刪除

基于可信執(zhí)行環(huán)境的確定性刪除的基本思想是從硬件和軟件兩方面入手，構建一個安全刪除的可信執(zhí)行環(huán)境，實施對云數(shù)據(jù)的確定性刪除。

在硬盤、閃存等持久性存儲介質中存儲使用口令保護的加密數(shù)據(jù)時，其口令容易遭受敵手的字典攻擊，或被法院采取強制性手段強迫用戶交出口令，采用多級隱藏卷及基于軟/硬件的全盤加密技術(FDE,full disk encryption)均不能很好地抵抗這些攻擊。為此，Zhao等[17]指出針對這些威脅，采用一種快速、可證明的方式使數(shù)據(jù)安全刪除(unreadable)是一種更好的選擇，尤其是那些包含敏感信息的數(shù)據(jù)。利用TPM和現(xiàn)代CPU的可信執(zhí)行模式(如Intel TXT)提供的安全存儲功能，設計了一個Gracewipe系統(tǒng)，通過一個特殊的刪除口令，實現(xiàn)安全和可驗證的密鑰刪除。該方案僅允許在有效的 Gracewipe環(huán)境(可信執(zhí)行環(huán)境)下才能通過猜測現(xiàn)實口令去解鎖保護的加密密鑰，但由于敵手不能區(qū)分現(xiàn)實口令和刪除口令，當敵手試圖猜測刪除口令時將觸發(fā)真正加密密鑰的刪除。在Gracewipe基礎上，Zhao等實現(xiàn)了2個原型系統(tǒng)：采用具有隱藏卷的TrueCrypt構造了一個基于軟件的FDE系統(tǒng)，采用希捷自加密驅動構造了一個基于硬件的FDE系統(tǒng)，均實現(xiàn)對存儲數(shù)據(jù)的確定性刪除。

與持久性存儲介質不同，張等[18]借助可信平臺模塊(TPM,trusted platform module)作為硬件的可信基礎、虛擬機監(jiān)控器作為軟件的可信基礎，提出了一種云計算環(huán)境中用戶數(shù)據(jù)生命周期的隱私性管理及強制性數(shù)據(jù)銷毀協(xié)議，設計并實現(xiàn)了一個提供云服務的Dissolver原型系統(tǒng)，如圖3所示。該系統(tǒng)基于 TPM 的可信硬件基礎上，構建基于可信軟件的私密內存空間與虛擬機監(jiān)控器內存空間(可信執(zhí)行環(huán)境)。當用戶數(shù)據(jù)加密并外包上傳(步驟(a))到云服務器存儲(步驟(b))之后，能保證其data明文僅在可信的私密內存空間中進行云處理(步驟(c))，密鑰(key)僅存儲于可信的虛擬機監(jiān)控器的內存空間，當云數(shù)據(jù)到達用戶設定的時限或用戶顯式發(fā)送數(shù)據(jù)銷毀命令(步驟(d))時，私密內存空間中的data明文與虛擬機監(jiān)控器內存中的key將被強制性銷毀，不可恢復，從而實現(xiàn)對云端隱私數(shù)據(jù)的安全保護與自我銷毀。

圖3 基于可信計算的數(shù)據(jù)隱私性保護與強制性銷毀架構

上述方案可對外包數(shù)據(jù)實現(xiàn)第一層面的數(shù)據(jù)確定性刪除，可解決可信執(zhí)行環(huán)境中的數(shù)據(jù)殘留問題，但缺乏對數(shù)據(jù)遷移和數(shù)據(jù)多副本方面的考慮，且方案的實現(xiàn)強調構建可信執(zhí)行環(huán)境，需要在已有云計算基礎設施上實施可信增強設置，由于可信計算技術的不成熟[1]，導致上述方案難以有效推廣。而在云計算環(huán)境、尤其是跨云計算模式中，針對數(shù)據(jù)的所有權與管理權分離問題，為了確保數(shù)據(jù)的機密性，常采用加密外包的方式。因此，基于密鑰管理的方式實現(xiàn)數(shù)據(jù)確定性刪除成為學術界研究熱點。

4.2 基于密鑰管理的確定性刪除

基于密鑰管理的確定性刪除機制的基本思想是：將數(shù)據(jù)加密后存儲到CSP，用戶對密鑰進行管理，當密鑰過期后實施安全刪除使密文不可恢復，從而實現(xiàn)對云數(shù)據(jù)的確定性刪除。根據(jù)圖2系統(tǒng)模型中密鑰管理方式的不同可分為密鑰集中管理下的刪除機制、密鑰分散管理下的刪除機制和層次密鑰管理的刪除機制，其抽象框架如圖4所示。

4.2.1 密鑰集中管理下的確定性刪除

圖4 基于密鑰管理的確定性刪除的抽象框架

遠程服務器存儲的數(shù)據(jù)在一定時間后使其消失的技術稱為文件確定性刪除(file assured delete)，被設計用于確保雙方傳遞消息的隱私安全，如E-mail或SMS，用戶希望存儲于服務器的這些消息在過期后不可訪問。Perlman首次提出文件確定性刪除方法[12,13]，設計了一種以文件為基本單位，在其加密密鑰過期后即被刪除以致文件不可恢復的系統(tǒng)?；舅枷霝椋河脩?Alice在文件創(chuàng)建時即預設其到期時間(t3，如圖1所示)，將該文件用數(shù)據(jù)密鑰(DK，data key，DK和文件具有相同的t3)加密后存儲在一個文件系統(tǒng)內，而DK需再經(jīng)過Ephemerizer[19～21]的公鑰加密后外包給 Ephemerizer服務器管理；當需要解密文件時，授權用戶Bob先與Ephemerizer聯(lián)系，如果當前時間在預設的t3之前，則Ephemerizer使用私鑰解密獲得DK后安全傳遞給Bob，Bob用DK解密原文件密文獲得其明文；當預設t3到達時，Ephemerizer自動刪除相應的私鑰，從而無法恢復出DK，最終Bob無法解密文件以實現(xiàn)對文件的確定性刪除。該思想提出后即引起廣泛關注，但文獻[12,13]采用基于 Ephemerizer的2個通信協(xié)議均未進行安全性證明[19]，Nair等[22]指出 Ephemerizer的通信協(xié)議存在被中間人攻擊的危險，并進行形式化分析和可證明安全性驗證；此外，Ephemerizer系統(tǒng)的密鑰管理太過簡單，缺乏靈活性。因此，基于上述問題，Nair等[22]提出了一種混合的基于Ephemerizer系統(tǒng)的身份加密公鑰體制，基本方法是Alice將其訪問控制權限嵌入到Bob的公鑰當中，并同時保證 Ephemerizer為系統(tǒng)的密鑰產生中心，僅當嵌入的條件完全被證實以后，Ephemerizer才會計算出相應的私鑰，并將其發(fā)送給Bob，從而避免中間人攻擊。

然而，上述方案均未考慮不同文件應具有不同的訪問控制策略，無法實現(xiàn)對文件的細粒度安全訪問。在此基礎上，Tang等[23]對上述方案進行了擴展和延伸，基于已有云計算基礎設施構建了一個云覆蓋系統(tǒng)，并提出了基于策略的文件確定性刪除(FADE)方案，該方案的系統(tǒng)模型包含3個實體，分別為數(shù)據(jù)擁有者、可信密鑰管理者和云存儲服務器。FADE方案的基本思想為：一個文件與一個訪問策略或者多個訪問策略的布爾組合相關聯(lián)，每個訪問策略與一個控制密鑰(CK,control key)相關聯(lián)，系統(tǒng)中所有的CK由一個密鑰管理者負責管理和維護；需要保護的文件由DK加密，DK進一步依據(jù)訪問策略由相應的CK加密。如果某個文件需要確定性刪除時，只需要撤銷相應的文件訪問策略，則與之關聯(lián)的CK將被密鑰管理者刪除，從而無法恢復出 DK，進而不能恢復和讀取原文件以實現(xiàn)對文件的確定性刪除。FADE方案在實現(xiàn)訪問控制策略的同時，利用盲加密與盲解密技術增強了系統(tǒng)安全性。此外，該方案能夠無縫地集成到現(xiàn)有云存儲平臺和設備上，部署方便，無需額外的安全服務和專用安全設備。FADE的主要局限性在于其刪除策略被限制在一層或二層的布爾表達式，不能實現(xiàn)多樣化、細粒度的確定性刪除，且需要使用復雜的公鑰密碼系統(tǒng)。

Ranjana等[24]指出由于 CSP不公開其復制策略，所以用戶不知道他們的數(shù)據(jù)在CSP的備份數(shù)量以及存儲位置，也無法確定CSP是否真正刪除了他們所存儲的數(shù)據(jù)。為此，提出了一種方案對FADE進行擴展，使其更適合CSP存儲數(shù)據(jù)的安全性，確保對CSP存儲數(shù)據(jù)的訪問控制和確定性刪除。另一方面，F(xiàn)ADE方案中，所有的密鑰都由密鑰管理者管理和維護，容易導致單點失效問題。為此，Tang等[25]進一步對FADE進行了改進和擴展，增加了多個密鑰管理者，這些密鑰管理者基于Shamir的(k,n)門限秘密分享方案[26]，需要至少k個密鑰管理者保護訪問密鑰所需的密鑰分量和正確執(zhí)行密鑰操作。為了確定性刪除目標文件，至少需要安全刪除n?k+1個密鑰管理者的密鑰分量，上述方法可以避免單點失效問題并增加系統(tǒng)容錯性能，卻大幅增加了系統(tǒng)的性能開銷。表1從數(shù)據(jù)加密方式、密鑰管理方式、細粒度安全訪問、確定性刪除觸發(fā)機制和方案安全性等方面對上述解決方案進行了總結。

上述密鑰集中管理的解決方案一般通過不可恢復的數(shù)據(jù)多次覆寫[9]執(zhí)行對數(shù)據(jù)加密密鑰的安全刪除，系統(tǒng)實現(xiàn)簡單，能夠解決密鑰的數(shù)據(jù)殘留問題，且能大幅提高數(shù)據(jù)確定性刪除的效率。然而，密鑰集中管理下的數(shù)據(jù)確定性刪除解決方案仍然存在以下不足之處：1)集中式管理，密鑰管理過于依賴可信服務器，將成為敵手重點攻擊的目標而導致單點失效問題；2)因每個消息的加密均需要用戶和可信服務器的公鑰且可信服務器為每個消息的解密需要執(zhí)行復雜的解密操作，因此僅適應于小范圍、靜態(tài)用戶的場景，不適合大規(guī)模、動態(tài)用戶的應用；3)均需要可信服務器執(zhí)行刪除操作，如果該服務器失效，則確定性刪除無法實現(xiàn)；當接受政府或法律調查時，可信服務器管理者要求被迫交出密鑰管理權，此時密鑰和密文均被泄露；4)如果第三方服務器遭受內部或外部攻擊時，會增加系統(tǒng)安全的風險，規(guī)避該風險非常困難；5)需要人工設置密鑰的到期時間，不能實現(xiàn)自動刪除；如果要實現(xiàn)細粒度的確定性刪除，則每個數(shù)據(jù)條目需要一個密鑰，當數(shù)據(jù)規(guī)模較大時將產生巨大的密鑰管理開銷。因此，以上解決方案均不能很好地適應和解決云環(huán)境中用戶數(shù)據(jù)的確定性刪除問題，需要探尋密鑰分散管理下的云數(shù)據(jù)確定性刪除機制。

表1 密鑰集中式解決方案的綜合比較

4.2.2 密鑰分散管理下的確定性刪除

針對密鑰集中管理下的相關解決方案存在的問題，研究者們先后提出了多種分布式的確定性刪除解決方案，其核心思想為：將數(shù)據(jù)加密密鑰經(jīng)過秘密分享處理后變成n個密鑰分量，然后將這些密鑰分量進行分布式管理，主要通過 DHT網(wǎng)絡、WWW隨機網(wǎng)頁和主動存儲等途徑進行分散管理。

1)基于DHT網(wǎng)絡實現(xiàn)密鑰分散管理與刪除

Geambasu等[27]首次提出一種新穎的數(shù)據(jù)自毀方案，并實現(xiàn)了Vanish原型系統(tǒng)，基本思想是：用戶采用隨機生成的密鑰加密數(shù)據(jù)，將該密鑰經(jīng)過Shamir的(k,n)門限秘密分享[26]處理后發(fā)布到大規(guī)模分散的DHT網(wǎng)絡（如Vuze DHT注2注2：Azureus,http://www.vuze.com。）中并刪除該密鑰的本地備份，Vuze DHT網(wǎng)絡中每個節(jié)點將自己存儲的密鑰分量(key share)保存8 h，8 h后自動清除所存分量，隨著節(jié)點的不斷自更新，當清除的密鑰分量達到n?k+1個時，密鑰無法重構，使密文不可恢復，從而實現(xiàn)數(shù)據(jù)自毀而無需人為操作。

由于 Vanish系統(tǒng)中服務提供商存儲的是完整的數(shù)據(jù)密文，可能存在密碼分析攻擊和蠻力攻擊。為此，Wang等[28]改進Vanish方案，提出了一種電子數(shù)據(jù)自毀方案(SSDD)，在Vanish的基礎上，SSDD對密文進行變換處理并提取部分密文信息和密鑰一起經(jīng)過秘密分享后，產生密鑰分量并分發(fā)到DHT網(wǎng)絡中，從而有效抵抗對云端的密碼分析攻擊和蠻力攻擊。

然而，由于Vanish系統(tǒng)采用Vuze DHT網(wǎng)絡，該網(wǎng)絡具有以下特點：1)使用節(jié)點擾動機制實現(xiàn)數(shù)據(jù)的復制，并將數(shù)據(jù)復制給新加入的節(jié)點；2)節(jié)點每隔30 min將其保存的數(shù)據(jù)復制給他的鄰居；3)允許任意節(jié)點保持相同的 IP地址以不同的端口號重新加入到網(wǎng)絡中。這些特點為敵手提供一個以合法身份進入 Vuze DHT網(wǎng)絡的機會，其中，Hopping敵手通過每隔一段時間改變其端口號來加入到網(wǎng)絡中以復制相關定長的密鑰分量（通常為16～51 byte），而Sniffing敵手可以容易地通過Sniffing操作捕獲到密鑰分量的傳輸，Hopping攻擊與Sniffing攻擊均稱為Sybil攻擊。Wolchok和Hofmann分別組織團隊經(jīng)過多次實驗，證實Vanish系統(tǒng)存在DHT網(wǎng)絡的上述2類Sybil攻擊，敵手能夠在數(shù)據(jù)過期之前捕獲到足夠多的密鑰分量以恢復原始密鑰[29]。因此，Vanish系統(tǒng)及其相關的解決方案均存在安全漏洞。為此，Zeng等[30]提出一種解決方案SafeVanish，通過增加密文分量的長度以抵抗 Sybil Hopping攻擊、采用RSA加密對稱密鑰抵抗Sybil Sniffing攻擊，但該文獻并未給出具體的方案構造，且存儲在云端的用戶數(shù)據(jù)仍為完整密文，存在對云端的密碼分析與蠻力攻擊。

上述解決方案中，均存在不同程度的安全問題，且未考慮云數(shù)據(jù)在被刪除之前對其實施細粒度的安全訪問問題。在以上研究工作的基礎上，Xiong等[31]分別針對云計算環(huán)境中的網(wǎng)絡隱私內容和結構化文檔等的確定性刪除需求，結合多級訪問控制思想和基于身份的加密算法(IBE,identity-based encryption)[32]，提出面向結構化文檔的安全自毀方案(ISDS)[33]和面向網(wǎng)絡內容隱私、基于 IBE的安全自毀方案(ISS)[34]，其中，ISS方案的工作原理如圖 5所示，核心思想為：依據(jù)多級安全思想，將要保護的數(shù)據(jù)對象依據(jù)敏感程度劃分為不同安全等級的數(shù)據(jù)塊，先經(jīng)對稱密鑰加密后轉變?yōu)樵济芪?，達到不同安全等級的細粒度控制；借助耦合和提取算法，將原始密文變換為耦合密文并進一步分解成提取密文和封裝密文，然后將封裝密文外包到 CSP，使密文不完整以抵抗密碼分析攻擊；對稱密鑰經(jīng)IBE加密后的密文與提取密文一起再經(jīng)過Shamir秘密分享處理后生成混合密文分量并分發(fā)到大規(guī)模分散的DHT網(wǎng)絡節(jié)點中，即使敵手通過Sybil攻擊獲取到混合密文分量，缺乏IBE私鑰，是無法在多項式時間內解密出原加密密鑰的，因此能夠抵抗Sybil的2類攻擊；當超過數(shù)據(jù)的生存期限，DHT網(wǎng)絡節(jié)點將自動清除所存密文分量信息，使對稱密鑰和原始密文均不可恢復，從而實現(xiàn)云數(shù)據(jù)的安全自毀。

圖5 ISS方案的工作原理

針對云環(huán)境下結構化文檔和組合文檔工作流的生命周期隱私安全問題，結合基于屬性的加密(ABE,attribute-based encryption)算法[35,36]和DHT網(wǎng)絡，Xiong等提出基于 ABE 的結構化文檔安全刪除方案[37]和組合文檔安全自毀(SelfDoc)[38]等解決方案。在SelfDoc中，引入多級安全思想創(chuàng)建新的組合文檔結構，采用訪問密鑰加密組合文檔內容、ABE算法加密訪問密鑰，兩者的密文經(jīng)過提取和變換后獲得密文分量和封裝自毀對象，分別存儲在 2個DHT網(wǎng)絡和CSP中。該方案引入ABE算法能夠在云環(huán)境中實施靈活的訪問控制策略，2個DHT網(wǎng)絡節(jié)點通過過期自動丟棄所存密文分量使原始組合文檔密文和訪問密鑰均不可恢復，從而實現(xiàn)對組合文檔的安全自毀。定時發(fā)布的加密算法(TRE,time-released encryption)[39]具有加密數(shù)據(jù)后其密文只有到達預設的未來某個時間點時方可解密的功能，在云計算環(huán)境中，面向預先設定的國際競賽等需要在未來某一時間點生效、超過有效期后即安全刪除這一類應用，姚等結合TRE、IBE (IB-TRE)算法和 DHT網(wǎng)絡提出基于身份加密的定時發(fā)布加密文檔自毀方案(ESITE)[40]和云數(shù)據(jù)全生命周期隱私保護方案(FullPP)[41]，該方案的主要優(yōu)點是采用IB-TRE算法加密數(shù)據(jù)密鑰，該數(shù)據(jù)密鑰被加密后，在預設的解密時間點到達之前，授權用戶無法獲得解密私鑰；只有到達預設的解密時間點時，才能獲取解密私鑰對密文進行正常解密；當授權期結束后通過自毀機制實現(xiàn)數(shù)據(jù)密文的不可恢復，達到確定性刪除的目的。

上述系列解決方案均基于 DHT網(wǎng)絡實現(xiàn)對云端數(shù)據(jù)的刪除或自毀，在Vanish系統(tǒng)的基礎上，上述方案在加密算法、密鑰管理和安全性方面均有不同程度的提高，表2從數(shù)據(jù)加密方式、密鑰加密方式、密文封裝、細粒度安全訪問、確定性刪除觸發(fā)機制等方面給出了上述方案的綜合比較。

下面從 DHT網(wǎng)絡安全性、算法安全性和系統(tǒng)整體安全性3個方面對上述研究成果進行歸納和總結，其結果如表3所示。

DHT網(wǎng)絡安全性分析。該安全性主要考慮在云數(shù)據(jù)授權期內對 DHT網(wǎng)絡節(jié)點中保存密鑰信息的Sybil攻擊。由上述分析可知，Vanish的密鑰分量定長且較短，容易遭受 Hopping攻擊，SafeVanish[30]指出增加密鑰分量的長度可以抵抗上述攻擊，該文在密鑰分量中增加一定量的隨機值以增加密鑰分量的長度，SSDD[28]通過將部分密文和密鑰一起產生密鑰分量也能增加其長度，均具有一定的抵抗能力；ISDS[33]和 ISS[34]方案均采用 IBE加密對稱密鑰、FullPP[41]和 ESITE[40]采用定時發(fā)布的身份加密算法加密對稱密鑰、SelfDoc[38]采用ABE加密對稱密鑰，其密鑰密文再結合部分數(shù)據(jù)密文一起產生混合密文分量，顯著增加了密鑰分量的長度，抵抗 Hopping攻擊能力強；在云數(shù)據(jù)的授權期內，敵手能夠從Vanish和SSDD的DHT網(wǎng)絡中嗅探出足夠多的密鑰分量以恢復出原對稱密鑰，因此存在Sybil的Sniffing攻擊；SafeVanish、ISDS、ISS、FullPP、ESITE 和SelfDoc等方案分別采用公鑰密碼技術的RSA、IBE和ABE等加密對稱密鑰后產生混合密文分量并分發(fā)到DHT網(wǎng)絡節(jié)點，即使敵手從DHT網(wǎng)絡中嗅探到足夠多的分量，由于缺乏相應的RSA、IBE或ABE的私鑰，不能解密出原始對稱密鑰，從而能夠抵抗Sybil的Sniffing攻擊；ISDS、ISS、FullPP、ESITE和 SelfDoc不需要預先產生所有用戶的公/私鑰對，也不需要頒發(fā)用戶的公鑰證書，因而不存在像SafeVanish系統(tǒng)中復雜的證書和密鑰管理問題。

表3 基于DHT網(wǎng)絡的各種確定性刪除方案抗攻擊能力的綜合比較

算法安全性分析。算法安全性主要體現(xiàn)在云端數(shù)據(jù)過期后對云端密文的攻擊，包含密碼分析和蠻力攻擊，二者均要求基于完整密文及密鑰空間大小持續(xù)嘗試所有可能的解密密鑰，直到密文被破解。Vanish和SafeVanish方案中存儲在服務提供商的密文是完整的密文，因此容易遭受這類攻擊；在SSDD、ISDS、ISS、FullPP、ESITE和 SelfDoc等方案中，存儲在CSP的數(shù)據(jù)密文是經(jīng)過提取處理之后的不完整密文，敵手即使從云端獲取到封裝數(shù)據(jù)，也不能嘗試出完整的解密密鑰，從而在一定程度上可以抵抗密碼分析和蠻力攻擊；由于云端存儲密文碎片，所以存在信息泄露的可能，但只要敵手在概率多項式時間內(PPT,probability polynomial time)無法解密，本文則認為是安全的。

系統(tǒng)整體安全性分析。Vanish、SafeVanish、SSDD和 ISDS僅考慮前 2種類型的攻擊，ISS、FullPP、ESITE和 SelfDoc均可以抵抗，下面綜合考慮云數(shù)據(jù)在生命周期的任意時刻對 DHT網(wǎng)絡的攻擊和對存儲在云端的數(shù)據(jù)密文封裝對象的同時攻擊。由上述分析可知，ISS、FullPP、ESITE和SelfDoc方案均采用相關算法加密對稱密鑰，能夠抵抗DHT網(wǎng)絡的Sybil攻擊，即使在攻擊DHT網(wǎng)絡的同時獲取到云端的數(shù)據(jù)密文封裝對象，也不能恢復出完整密文及重構出原始對稱密鑰。因此，上述4種方案能夠在任意時刻同時抵抗這兩大類型的攻擊，達到系統(tǒng)整體安全。

由表2和表3可以看出，ISDS、ISS、FullPP、ESITE和SelfDoc等方案在細粒度訪問控制和安全性方面具有較大優(yōu)勢。但是，仍然存在如下局限性.

在加密算法中都采用了非對稱的 IBE或 ABE算法，引入了雙線性映射函數(shù)，其算法復雜度和時間開銷相比其他方案有所增加，如一次雙線性對運算操作的時間近似為5.5 ms[34]。

確定性刪除的生存期限設置不能實現(xiàn)完全自主，雖然在FullPP和ESITE方案中，用戶可以預先設置生存期限，但當該期限大于 DHT網(wǎng)絡的節(jié)點自更新周期時，仍然受節(jié)點自更新的影響；其他方案則完全依賴 DHT網(wǎng)絡，不能實現(xiàn)數(shù)據(jù)生命周期的完全自主設置。

2)基于WWW的確定性刪除機制

基于 DHT網(wǎng)絡實現(xiàn)數(shù)據(jù)安全刪除或自毀的上述系列方案中，數(shù)據(jù)的生命周期仍受 DHT節(jié)點更新周期的限制。如采用Vuze DHT網(wǎng)絡，則節(jié)點更新周期為8 h，即節(jié)點中保存的密鑰分量信息每隔8 h會被自動清除，原存儲空間會釋放以保存新的數(shù)據(jù)；8 h的授權期對于許多實際云應用而言明顯偏短，若要延長時間且不改變系統(tǒng)的構建，最簡單的方法是待密鑰快到期時，重新加密數(shù)據(jù)，并重新將密鑰發(fā)布到 DHT網(wǎng)絡節(jié)點中，這樣就能夠以節(jié)點更新周期的整數(shù)倍延長數(shù)據(jù)的有效時間。然而，該密鑰更新方法靈活性差，不便于用戶使用，因而限制了 Vanish的廣泛應用，云計算環(huán)境下的 WWW或社交網(wǎng)絡應用能彌補DHT網(wǎng)絡的局限性。

為了解決上述問題，Reimann等[42]提出了一種改進方案，利用大量的WWW隨機網(wǎng)頁而非DHT網(wǎng)絡來保存密鑰分量信息以延長數(shù)據(jù)的使用時間。Reimann等經(jīng)過長時間實驗并統(tǒng)計發(fā)現(xiàn)，隨著時間的改變，許多網(wǎng)頁會改變它存儲的內容，或者直接將存儲的內容全部刪除。如果能確定網(wǎng)頁改變內容的頻率，則可以在他刪除內容之前將數(shù)據(jù)恢復，該方法可以有效地將數(shù)據(jù)使用時間延長到數(shù)個月，超過該時間則會被自動刪除不可恢復。隨機網(wǎng)頁的這種內容更新方法恰好可以用于保存密鑰分量信息，基本思想為：數(shù)據(jù)發(fā)送者將加密數(shù)據(jù)的對稱密鑰經(jīng)過秘密分享處理后變?yōu)閚個密鑰分量，分別存入n個隨機網(wǎng)頁中，而數(shù)據(jù)密文存儲在CSP；授權接收者只需從隨機網(wǎng)頁中提取k個密鑰分量，利用拉格朗日插值多項式即可重構出原對稱密鑰；而經(jīng)過一段較長的時間之后，隨機網(wǎng)頁的改變會自動刪除密鑰分量，接收者無法從剩余的隨機網(wǎng)頁上提取足夠多的密鑰分量，進而使對稱密鑰不可恢復。該方案完全基于現(xiàn)有的網(wǎng)絡基礎設施，能夠將授權期限延長到3～6個月。

上述方案保護的對象均主要考慮文本數(shù)據(jù)，較少涉及到對圖像等數(shù)據(jù)的加密。隨著云計算技術、社交網(wǎng)絡的興起和廣泛普及，人們經(jīng)常會上傳圖像至社交網(wǎng)絡。而有些圖像，考慮長遠的影響，用戶希望在一定時間后，能被安全刪除而不被他人讀取，因為這可能損害自己的利益，如大學生上傳不雅照片，可能對將來的就業(yè)產生不利影響。因而迅速催生出 Snapchat照片分享注3注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。、咔嚓注4注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。、陌陌注5注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。和QQ閃照注6注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。等閱后即焚應用，該應用允許用戶拍照、錄制視頻、添加文字和圖畫，并發(fā)送給自己在該應用上的好友，文件在被打開后，只有10 s(部分應用可以由用戶自行設置該時間值)的有效訪問期限，隨后便自動刪除[43]。

基于已有的社交網(wǎng)絡基礎設施，Backes等[44]提出了面向圖像安全刪除的X-pire系統(tǒng)注7注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。，該系統(tǒng)允許圖像發(fā)布者為其社交網(wǎng)絡中的圖片設置過期時間，一旦到達該過期時間則圖片變得不可讀，在該系統(tǒng)中發(fā)布者只需安裝插件，而不需要與網(wǎng)頁進行交互。基本思想為：發(fā)布者對圖像進行加密，并設置一個到期時間，加密后的圖像上傳至社交網(wǎng)絡或者靜態(tài)網(wǎng)頁中，而將密鑰外包給可信第三方的密鑰管理者，發(fā)布者可以動態(tài)延長和縮短密鑰的到期時間。授權用戶若在預設的到期時間之前需要查看加密的圖像，則密鑰管理者幫助其恢復密鑰，從而解密加密的圖像。在X-pire系統(tǒng)的基礎上，Backes等[45]提出X-pire 2.0方案，利用可信計算技術的最新成果并無縫集成現(xiàn)有的 Internet基礎設施，為用戶發(fā)布到社交網(wǎng)絡中的圖片等數(shù)據(jù)提供有效期限，并提供強有效保護機制阻止敵手在過期前創(chuàng)建數(shù)據(jù)副本。X-pire 2.0具有如下優(yōu)勢：①允許發(fā)布者完全控制發(fā)布的數(shù)據(jù)，并為數(shù)據(jù)設置數(shù)字化有效期限，包含數(shù)據(jù)的即時到期和期限管理；②依賴一個可信執(zhí)行環(huán)境，能夠為數(shù)據(jù)重復性問題(DDP,data duplication problem)提供解決方案，確保合法用戶和敵手均不能在過期之前為數(shù)據(jù)創(chuàng)建副本；③兼容已有的應用，可以為Flickr注8注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。和Google+注9注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。中的圖片增加有效期限；④能提供有效的隱私保護機制，并實現(xiàn)了原型系統(tǒng)。然而，X-pire 2.0的安全保障需要可信、安全的硬件做支撐。為 Facebook注10注3：Snapchat,http://blog.snapchat.com。注4：咔嚓,http://kacha.it。注5：陌陌,http://www.immomo.com。注6：QQ閃照,http://www.qq.com。注7：X-pire! http://www.x-pire.de。注8：Flickr,http://www.flickr.com。注9：Google+,http://www.google.com/+/learnmore/better。注10：Facebook,http://www.facebook.com。專門設計的FaceCloak系統(tǒng)[46]同樣也適合于其他社交網(wǎng)絡的數(shù)據(jù)安全分享，該系統(tǒng)中，用戶將他們所有的私有數(shù)據(jù)加密后存儲到可信服務器并將鏈接發(fā)布到社交網(wǎng)絡中，密鑰由用戶自己管理并發(fā)送給相應的授權使用者。另一個增強社交網(wǎng)絡數(shù)據(jù)隱私的圖片屬主服務為Flickr[47]，是X-pire的一個應用，將要保護的圖片嵌入到另一個圖片中，使在上傳到WWW網(wǎng)頁時不丟失嵌入的信息，這樣私有數(shù)據(jù)能夠存儲在Web服務器上，可信服務器僅僅用于管理密鑰。

上述方案均基于已有廣泛應用的基礎設施WWW 服務和可信服務器來實現(xiàn)對數(shù)據(jù)的確定性刪除，從密鑰的管理、密文的管理、數(shù)據(jù)授權期限、是否需要額外基礎設施和確定性刪除觸發(fā)機制等方面對上述方案進行歸納與總結，結果如表4所示。

3)基于存儲緩存方法的刪除機制

Castelluccia等[48]提出 EphPub系統(tǒng)，采用類似Vanish的方法將秘密信息分發(fā)到一個廣泛使用的基礎設施上，系統(tǒng)使用域名系統(tǒng)(DNS,domain name system)緩存方法將密鑰的比特（校驗domain在緩存中，設置bit 1；不在緩存中，設置bit 0）緩存在多個服務器存儲節(jié)點上，用戶必須查找到多個具有相同TTL的多個domain來創(chuàng)建數(shù)據(jù)，當TTL為0時數(shù)據(jù)到期，超過一星期的 TTL不被使用，從而EphPub系統(tǒng)僅能將密鑰保存幾小時至一星期，該時間雖可控但不能滿足較長數(shù)據(jù)生存時間的應用需求。

針對 Vanish系列方案可能遭受的 DHT網(wǎng)絡Sybil攻擊及密鑰生存時間不可控、EphPub系統(tǒng)的密鑰生存時間較短的弊端，Zeng等[49]設計了一種基于主動存儲技術和秘密分享、支持數(shù)據(jù)自毀的分布式對象存儲機制，并實現(xiàn)了一個原型系統(tǒng)SeDas，如圖 6所示。其工作原理為：用戶應用程序為用戶使用云存儲服務提供接口；元數(shù)據(jù)服務器管理存儲文件的元數(shù)據(jù)，并執(zhí)行用戶、權限、服務器和會話等管理；存儲節(jié)點包含實現(xiàn)數(shù)據(jù)自毀功能的主動存儲對象(ASO,active storage object)、對象存儲組件lt;key,value＞存儲子系統(tǒng)以及用于處理用戶主動存儲服務請求(包含方法對象與策略對象的執(zhí)行和管理)的ASO運行時系統(tǒng)。系統(tǒng)在執(zhí)行過程中，用戶加密數(shù)據(jù)后將密文保存到存儲子系統(tǒng)，將密鑰經(jīng)過秘密分享后產生密鑰分量，通過策略對象來設置密鑰分量的生存時間TTL值，并創(chuàng)建ASO，通過方法對象使每個ASO對應的數(shù)據(jù)對象能夠執(zhí)行數(shù)據(jù)自毀，從而實現(xiàn)密鑰生存時間用戶可控的數(shù)據(jù)自毀方法。在SeDas的基礎上，結合 ABE和基于散列的認證碼（HMAC）技術，Zeng等[60]提出了一種可控的數(shù)據(jù)自毀系統(tǒng)CloudSky，能夠在非可信云存儲系統(tǒng)中實現(xiàn)對數(shù)據(jù)的細粒度訪問控制和可控的確定性刪除。

圖6 SeDas的系統(tǒng)架構

綜上所述，通過秘密分享的方式可以將數(shù)據(jù)密鑰分解成多個密鑰分量，然后發(fā)布到大規(guī)模 DHT網(wǎng)絡節(jié)點、WWW隨機網(wǎng)頁或分布式的存儲節(jié)點緩存中保存，利用 DHT網(wǎng)絡節(jié)點和網(wǎng)頁的自動更新及存儲節(jié)點緩存更替的特性來自動刪除部分密鑰或密文分量，從而實現(xiàn)對數(shù)據(jù)的確定性刪除。從確定性刪除機制的實現(xiàn)方法、授權期限和方案優(yōu)勢等方面對上述3種類型進行歸納與總結，如表5所示。

表4 基于WWW的確定性刪除方案的比較與分析

表5 密鑰分散管理的確定性刪除機制的分類與比較

需要指出的是，以上分散式密鑰管理的解決方案亦不同程度地存在以下局限性：①部分方案的數(shù)據(jù)授權期限受特定的系統(tǒng)約束，如 DHT網(wǎng)絡，缺乏由用戶按需設定的安全需求功能；②在隱私數(shù)據(jù)生命周期內，較少考慮對數(shù)據(jù)的細粒度訪問控制；③雖達到隱私數(shù)據(jù)安全刪除或自毀，但方案本身可能存在不同的安全風險，如 Sybil攻擊；④每個數(shù)據(jù)對象都需要數(shù)據(jù)密鑰加密，在大數(shù)據(jù)時代當數(shù)據(jù)對象數(shù)量較多時，其數(shù)據(jù)密鑰的產生、管理和發(fā)布的開銷將是大規(guī)模的，如何減小上述開銷是未來值得深入研究的課題；⑤部分方案仍然依賴可信計算技術，然而可信計算技術本身并不成熟，還存在許多亟待解決的問題，將會影響這些方案的實用性。

4.2.3 密鑰層次管理下的確定性刪除

云計算環(huán)境中大規(guī)模外包數(shù)據(jù)的安全存儲及細粒度訪問將導致巨大的密鑰管理開銷，為了實現(xiàn)有效的密鑰管理，Atallah等[50]構造了層次密鑰管理方法，在此基礎上，Wang等[51]設計了層次化密鑰派生樹方法，用戶只需保存根節(jié)點的主密鑰，每個節(jié)點只有2個子節(jié)點，其下層節(jié)點上的密鑰都可以由父節(jié)點密鑰及公開參數(shù)通過一次散列函數(shù)派生出來，最后派生出的各葉子節(jié)點密鑰用于加密各數(shù)據(jù)塊。實驗證明一次散列函數(shù)的開銷很小，可以有效的在移動終端實施計算[52]。因此，層次化密鑰派生方案能實現(xiàn)大規(guī)模數(shù)據(jù)外包時的高效密鑰管理。

層次密鑰管理方案除了能夠實現(xiàn)細粒度訪問控制外，還能用于構造云數(shù)據(jù)的確定性刪除方案。王等[53]針對云存儲環(huán)境下數(shù)據(jù)的機密性問題，提出了一種適應云存儲環(huán)境的數(shù)據(jù)確定性刪除方法。該方法的核心思想為：根據(jù)云存儲系統(tǒng)中數(shù)據(jù)具有海量性的特點，借鑒層次密鑰管理的思想，采用基于散列函數(shù)的密鑰派生樹[51]組織與管理密鑰，用戶只需要維護派生樹根節(jié)點的主密鑰，即可由散列函數(shù)生成各中間層與葉子節(jié)點的密鑰，從而大幅減少用戶需要維護的密鑰數(shù)量及暴露給外部的密鑰數(shù)量；對云數(shù)據(jù)本身進行分塊操作，葉子節(jié)點的密鑰通過對數(shù)據(jù)進行塊級加密的方式靈活地實現(xiàn)對數(shù)據(jù)的細粒度操作與管理；將密鑰派生樹生成的密鑰分發(fā)到DHT網(wǎng)絡中存儲，根據(jù)DHT網(wǎng)絡的動態(tài)自更新功能確保數(shù)據(jù)塊對應的加密密鑰在授權期到達后被自動刪除，使密文不可解密與恢復，從而實現(xiàn)云存儲系統(tǒng)中數(shù)據(jù)的確定性刪除。

針對大規(guī)模數(shù)據(jù)安全外包的密鑰管理負擔問題，Mo等[14]提出遞歸加密的紅黑密鑰樹(RERK)用于構造一種無可信第三方服務器支持、對外包數(shù)據(jù)實施確定性刪除的方案。該方案的主要思想為：用戶將要保護的數(shù)據(jù)分成n份，然后選取一個主密鑰，經(jīng)過偽隨機函數(shù)產生對應的n個數(shù)據(jù)密鑰，再構造一個n個葉子節(jié)點的紅黑樹，每個葉子節(jié)點對應一個數(shù)據(jù)密鑰，在紅黑樹的內部節(jié)點中，每層節(jié)點對應的密鑰均被其父節(jié)點對應的密鑰加密，根節(jié)點被用戶隨機選取的元密鑰加密，從而構造出一顆RERK樹。紅黑樹是一種高效的自平衡樹，根據(jù)紅黑樹的節(jié)點刪除操作，可以對RERK樹的內部節(jié)點對應的密鑰進行刪除，從而該節(jié)點的子節(jié)點密鑰無法獲取，其下葉子節(jié)點的密鑰無法恢復，從而實現(xiàn)對數(shù)據(jù)密鑰的刪除操作，導致數(shù)據(jù)不可恢復，并能確保整個刪除過程密鑰信息不泄露。該方案能實現(xiàn)如下4個目標：1)機密性，當數(shù)據(jù)密鑰外包到云端前對密鑰加密能保護密鑰的機密性；2)完整性與正確性，當CSP丟失密鑰時客戶端能夠檢測，受攻擊的云服務器不能向客戶端發(fā)送正確的密鑰材料；3)有效性，構造的RERK樹使對節(jié)點(即密鑰)操作的最差通信開銷和計算開銷均由線性界 O(n)降到對數(shù)界O(log n)；4)密鑰確定性刪除，結合遞歸的思想和紅黑樹自平衡算法，用戶能對RERK樹執(zhí)行密鑰刪除操作，而刪除后的密鑰是不可恢復的。理論證明該方案具備IND-CPA安全，在Amazon EC2上的仿真實驗表明方案具有較低的計算和通信開銷。

針對云計算環(huán)境中部分應用僅有客戶端和CSP的場景，Mo等[54]首先分析主密鑰解決 (master-key solution)方案和單獨密鑰解決 (individual-key solution)方案的優(yōu)缺點，設計了一種密鑰調制功能(包含調制散列鏈、調制樹、密鑰刪除調整算法、平衡算法和訪問/修改/插入算法)，構造了一個兩方(客戶端和CSP)參與的細粒度確定性刪除方案。該方案的主要創(chuàng)新點是，不需要依賴任何第三方服務器，不管要保護的數(shù)據(jù)有多大，通過構造一種調制樹，每個客戶端都只需要保留一個或少量密鑰即可，客戶端能夠通過密鑰刪除調整算法和平衡算法安全刪除任意文件中的任一數(shù)據(jù)條目，實現(xiàn)數(shù)據(jù)刪除的粒度化控制，一旦數(shù)據(jù)被刪除，即使客戶端或CSP被攻破，敵手也不能對其進行恢復。

Li等[55]利用密鑰派生樹和密碼算法提出了一個安全的數(shù)據(jù)確定性刪除方案，具有以下創(chuàng)新點：1)通過使用唯一的數(shù)據(jù)密鑰加密每一個數(shù)據(jù)塊實現(xiàn)細粒度訪問控制；2)每個數(shù)據(jù)密鑰都被由密鑰派生樹[52]產生的控制密鑰加密，只有授權用戶才能獲得控制密鑰集合，然后采用 AON(all-or-nothing)加密方式加密控制密鑰并經(jīng)過秘密分享后分發(fā)到DHT網(wǎng)絡中，以實現(xiàn)對控制密鑰的確定性刪除并能抵抗hopping攻擊和sniffing攻擊；3)通過調整層次密鑰派生樹實現(xiàn)數(shù)據(jù)的動態(tài)性及數(shù)據(jù)更新，采用收斂加密算法加密數(shù)據(jù)塊實現(xiàn)云存儲中的數(shù)據(jù)去重。從存儲效率、密鑰派生樹初始化時間、文件加/解密時間、分發(fā)與提取時間和數(shù)據(jù)動態(tài)性操作時間等方面進行仿真實驗，結果表明所提方案是有效的。然而，上述方案均用到多重加密技術，實現(xiàn)復雜，較難用于實際云存儲應用中。

下面從密鑰管理方式、數(shù)據(jù)加密方式、密鑰加密方式、訪問粒度控制、確定性刪除觸發(fā)機制等方面對上述方案進行歸納與總結，如表6所示。

4.3 基于訪問控制策略的確定性刪除

針對云存儲系統(tǒng)尚未提供對其所存信息進行安全刪除服務的問題，Cachin等[56]提出了基于策略的安全數(shù)據(jù)刪除方案。該方案的主要思想是：利用圖論思想將屬性組織為一個有向無環(huán)的策略圖，如圖 7所示，策略圖中包含源節(jié)點(頂點)、內部節(jié)點及由源節(jié)點指向內部節(jié)點的出度邊，每個內部節(jié)點對應一個保護類(與要保護的文件關聯(lián))并與一個門限值關聯(lián)，每個源節(jié)點對應一個屬性并與一個布爾值關聯(lián)，而內部節(jié)點的布爾值則由其門限值與上一層節(jié)點的布爾值決定。刪除操作依據(jù)刪除策略來表達，刪除策略通過刪除屬性與保護類來描述數(shù)據(jù)銷毀。初始化時，所有源節(jié)點及其出度邊的布爾值均為False，當將某些屬性的子集設置為True時觸發(fā)刪除操作，策略圖中的相應節(jié)點也被設置為True，則與內部節(jié)點保護類相關聯(lián)的所有文件均被安全刪除。如圖7中，保護類P3由Alice or Exp_2015支配，當Alice的屬性值由False設為True，或者(門限值or)當過期時間Exp_2015到達時，觸發(fā)保護類P3的布爾值變?yōu)?True，使 P3對應的數(shù)據(jù)被安全刪除不可恢復。該方案給出了首個安全刪除方案的形式化模型和安全性定義，并基于Linux文件系統(tǒng)實現(xiàn)了安全刪除的原型系統(tǒng)。

圖7 基于策略圖的安全刪除

隨著個性化云服務的快速發(fā)展，人們越來越依賴于云平臺共享數(shù)據(jù)，而 ABE是云環(huán)境中實現(xiàn)數(shù)據(jù)安全訪問的主流技術，其中，密鑰策略 ABE(KP-ABE,key-policy ABE)[57]要求屬性和密文關聯(lián)、訪問策略和密鑰關聯(lián)。因此，可以通過對訪問策略進行相關設置實現(xiàn)對密鑰授權期限的控制，當超過期限，密鑰不可使用?；谠撍枷耄Y合限定時間加密算法(TSE,time-specific encryption)[58]中關于設置時間區(qū)間的思路，Xiong等[59]提出屬性帶時間約束的 KP-ABE (KP-TSABE,KP-ABE with time-specified attributes)方案，該方案的主要思想為：將訪問策略中訪問樹(access tree)的每個屬性都關聯(lián)一個由用戶設定的時間區(qū)間，因此密文與指定的時間區(qū)間關聯(lián)，而私鑰的獲取與當前時間點相關；當且僅當與密文關聯(lián)的屬性滿足密鑰的訪問策略且當前時間點在指定的時間區(qū)間范圍內時密文才能被解密，否則即實現(xiàn)確定性刪除。KP-TSABE的主要創(chuàng)新點在于：1)通過為屬性設置時間區(qū)間，支持用戶自定義的授權期限，不受 DHT節(jié)點更新周期等限制，確保數(shù)據(jù)在授權期之前和之后不可訪問；2)不需要Vanish等系列方案關于“數(shù)據(jù)在過期前不受攻擊”的理想化假設；3)基于KP-ABE方案，適合于云計算環(huán)境，每個屬性攜帶指定的時間區(qū)間能實現(xiàn)授權期內的細粒度訪問控制和過期后的確定性刪除；4)使用 l-expanded BDHI (decision l-bilinear Diffie-Hellman inversion)假設在標準模型下KP-TSABE是可證明安全的。

表6 基于密鑰層次管理的各種確定性刪除方案的綜合比較

張等[61]利用密文策略 ABE(CP-ABE,ciphertext-policy ABE)[36]加密機制實現(xiàn)云數(shù)據(jù)在多用戶之間細粒度的安全訪問與共享，結合密文采樣分片技術提出基于密文采樣分片的云數(shù)據(jù)確定性刪除(ADCSS)方法，該方法的主要貢獻在于：1)通過CP-ABE實現(xiàn)云數(shù)據(jù)細粒度訪問控制；2)采用密文采樣分片技術將原始密文拆分成采樣密文和剩余密文后，再將剩余密文上傳到云端，該思想類似SSDD[28]、ISS[34]、FullPP[41]等方案；3)引入可信第三方保存采樣密文，通過銷毀采樣密文可即時實現(xiàn)云數(shù)據(jù)的確定性刪除；4)安全性證明和仿真實驗分析都說明ADCSS是安全和有效的。

4.4 研究進展小結

在第2節(jié)中，本文指出云數(shù)據(jù)的確定性刪除面臨數(shù)據(jù)外包與安全、數(shù)據(jù)遷移與多副本、數(shù)據(jù)殘留與銷毀的挑戰(zhàn)，針對上述挑戰(zhàn)，國內外從不同的角度進行了較系統(tǒng)的研究，取得了較豐富的研究成果，本文歸納出3種類型確定性刪除方法的綜合分析與比較如表7所示。在表7中，3種方法均對用戶數(shù)據(jù)加密后外包存儲到云端服務器，均能處理數(shù)據(jù)外包安全問題，保護外包數(shù)據(jù)的機密性和隱私性；在基于可信執(zhí)行環(huán)境的相關方案中，可信執(zhí)行環(huán)境能有效處理數(shù)據(jù)殘留的銷毀；在基于密鑰管理的部分采用DHT網(wǎng)絡的機制中，由于DHT網(wǎng)絡的節(jié)點周期性自更新功能能夠銷毀密鑰分量的數(shù)據(jù)殘留，但上述方案的云服務器中仍存在密文的數(shù)據(jù)殘留問題?，F(xiàn)有工作較少關注云數(shù)據(jù)遷移與數(shù)據(jù)多副本等方面，僅文獻[62]有對云數(shù)據(jù)多副本安全共享與關聯(lián)刪除進行探討，其他方案較少涉及云數(shù)據(jù)多副本問題。

綜合上述分析，現(xiàn)有研究工作主要實現(xiàn)了第一層含義的數(shù)據(jù)確定性刪除，均未全面考慮CSP及跨云的數(shù)據(jù)密文遷移、數(shù)據(jù)多副本及其關聯(lián)問題、多副本的存儲空間釋放及釋放后的確認反饋等系列問題，未來將探求第二、第三層次的云數(shù)據(jù)確定性刪除。

5 發(fā)展趨勢與未來研究方向

從已有研究成果看，云數(shù)據(jù)確定性刪除的研究當前還處于發(fā)展初期，缺乏跨云計算模式帶來第二層和第三層含義的確定性刪除機制，尤其物聯(lián)網(wǎng)、大數(shù)據(jù)、“互聯(lián)網(wǎng)+”時代給云數(shù)據(jù)的確定性刪除提出更大挑戰(zhàn)，這些問題和挑戰(zhàn)已經(jīng)成為當今的研究熱點。從研究的發(fā)展趨勢分析，未來云數(shù)據(jù)確定性刪除的研究主要關注如下幾方面。

表7 現(xiàn)有三大類確定性刪除方法的綜合分析與比較

1)移動數(shù)據(jù)與隱私數(shù)據(jù)的確定性刪除。現(xiàn)有研究較少關注移動終端數(shù)據(jù)的確定性刪除問題，新型服務模式的發(fā)展促使越來越多的事務在移動終端中完成，移動支付記錄、短消息、敏感圖片、文件等均需要確定性刪除服務，還需要更安全的消息平臺和即時通信系統(tǒng)，以避免隱私信息泄露；長期以來，人們對數(shù)據(jù)的隱私性與機密性并未區(qū)分清楚，均采用加密技術。而實際上，隱私是一種屬于私人的、不愿意被他人知曉或干預的信息，包含身份信息、興趣偏好、行為模式等，這就決定了加密技術并不是有效保護數(shù)據(jù)隱私的唯一方法[1]。因此，如何引入隱私計算相關理論[63]，有效且自動分割出隱私數(shù)據(jù)與非隱私數(shù)據(jù)，對隱私數(shù)據(jù)設置相應的授權期限并采取合適的保護方法，實現(xiàn)數(shù)據(jù)過期后的確定性刪除值得深入研究。

2)海量數(shù)據(jù)及其細粒度的確定性刪除。為了處理CSP中海量數(shù)據(jù)的確定性刪除問題，僅對云數(shù)據(jù)采取加密存儲的方式顯然并不高效，將云環(huán)境中密文去重技術[64,65]與刪除機制相結合能夠為海量數(shù)據(jù)確定性刪除開辟新思路；針對細粒度的刪除問題，雖然文獻[54]能實現(xiàn)對不同數(shù)據(jù)塊的單獨刪除，文獻[59]能對每個屬性設定不同的授權期限，達到不同粒度數(shù)據(jù)塊的單獨刪除，但算法構造復雜，具有較大的計算開銷和通信開銷。而在大數(shù)據(jù)應用中，可能不同應用、不同用戶、不同時間段、不同屬性對海量數(shù)據(jù)確定性刪除的粒度需求均不同，需要根據(jù)上述因素對數(shù)據(jù)進行細?；幚?，并結合權限可伸縮的協(xié)作訪問控制技術[66]構造能適應這些因素變化的細粒度確定性刪除機制。

3)數(shù)據(jù)多副本及其關聯(lián)機制。在同一個云中，為了數(shù)據(jù)的高可用性，CSP往往會在不同邏輯空間中保存多個數(shù)據(jù)副本；在跨云計算模式中，云應用可能跨多個不同的云，這時CSP可能將用戶數(shù)據(jù)通過備份、虛擬化技術、動態(tài)共享、云搜索等方式將數(shù)據(jù)遷移或聚集到其他CSP，造成跨云的數(shù)據(jù)多副本問題；除了考慮相同數(shù)據(jù)的多副本，還應該考慮相似數(shù)據(jù)的多副本問題。如何建立云內和跨云的數(shù)據(jù)多副本索引結構，構建云內和跨云的相同或相似數(shù)據(jù)多副本的關聯(lián)關系，將為第二層含義的確定性刪除提供先決條件。

4)殘留數(shù)據(jù)的存儲空間釋放及確認反饋機制。在云服務器中，不論是明文碎片，還是密文碎片的數(shù)據(jù)殘留，均不能為用戶提供有用價值，而且隨著時間的推移數(shù)據(jù)殘留的積累越來越龐大，需要在多副本關聯(lián)的基礎上，定位出邏輯存儲空間和物理存儲空間，采用多次覆寫等方式釋放原存儲空間，徹底解決殘留數(shù)據(jù)問題，為數(shù)據(jù)隱私保護提供可控保障；否則將會給敵手以足夠的時間、攻擊計算條件，使數(shù)據(jù)處于失控泄露狀態(tài)。在CSP執(zhí)行完數(shù)據(jù)確定性刪除并釋放相應的存儲空間后，需要為用戶建立確認反饋機制，確保CSP對用戶數(shù)據(jù)的安全刪除，實現(xiàn)第三層含義的確定性刪除。

6 結束語

用戶數(shù)據(jù)長期存儲在云服務提供商而缺乏有效的確定性刪除機制，將導致存儲空間浪費、數(shù)據(jù)非法使用和隱私泄露等問題，嚴重阻礙云服務的推廣和發(fā)展。云計算環(huán)境下的數(shù)據(jù)確定性刪除問題是一個非常活躍的研究方向。整體而言，其研究還處于起步階段，尚未建立一套完整的理論體系，從關鍵技術與理論的完善到算法的實際應用還有很大的差距。

本文首先列舉了云計算環(huán)境中數(shù)據(jù)確定性刪除面臨的主要挑戰(zhàn)，包括數(shù)據(jù)外包與安全、數(shù)據(jù)遷移與多副本、數(shù)據(jù)殘留與銷毀，指出云數(shù)據(jù)的確定性刪除問題除了應關注數(shù)據(jù)管理問題外，云計算虛擬化、多租戶的特征與租賃、按需交付的商業(yè)模式也是云存儲中存在諸多安全問題需要確定性刪除服務的主要原因；本文給出了授權期限、生命周期和3個層面的云數(shù)據(jù)確定性刪除的基本含義；然后，回顧了近年來學術界在基于密碼學的云數(shù)據(jù)確定性刪除研究領域的主要成果，從基于可信執(zhí)行環(huán)境、基于密鑰管理和基于訪問控制策略3個方面對相關研究工作的基本思想、工作原理等進行了深入分析、歸納與總結，分別指出了各種技術方法的優(yōu)缺點及存在的共性問題；最后預測了該領域的未來研究方向。

[1]馮朝勝,秦志光,袁丁. 云數(shù)據(jù)安全存儲技術[J]. 計算機學報,2015,38(1): 150-163.FENG Z S,QIN Z G,YUAN D. Techniques of secure storage for cloud data [J]. Chinese Journal of Computers,2015,38(1): 150-163.

[2]李暉,孫文海,李鳳華,等. 公共云存儲服務數(shù)據(jù)安全及隱私保護技術綜述[J]. 計算機研究與發(fā)展,2014,51(7): 1397-1409.LI H,SUN W H,LI F H,et al. Secure and privacy-preserving data storage service in public cloud [J]. Journal of Computer Research and Development,2014,51(7): 1397-1409.

[3]譚霜,賈焰,韓偉紅. 云存儲中的數(shù)據(jù)完整性證明研究及進展[J].計算機學報,2015,38(1): 164-176.TAN S,JIA Y,HAN W H. Research and development of provable data integrity in cloud storage [J]. Chinese Journal of Computers,2015,38(1): 164-176.

[4]傅穎勛,羅圣美,舒繼武. 安全云存儲系統(tǒng)與關鍵技術綜述[J]. 計算機研究與發(fā)展,2013,50(1): 136-145.FU Y X,LUO S M,SHU J W. Survey of secure cloud storage system and key technologies [J]. Journal of Computer Research and Development,2013,50(1): 136-145.

[5]李暉,李鳳華,曹進,等. 移動互聯(lián)服務與隱私保護的研究進展[J].通信學報,2014,35(11):1-11.LI H,LI F H,CAO J,et al. Survey on security and privacy preserving for mobile Internet service [J]. Journal on Communications,2014,35(11):1-11.

[6]丁滟,王懷民,史佩昌,等. 可信云服務[J]. 計算機學報,2015,38(1): 133-149.DING Y,WANG H M,SHI P C,et al. Trusted cloud services[J]. Chinese Journal of Computers,2015,38(1): 133-149.

[7]DIESBURG S M,WANG A I A. A survey of confidential data storage and deletion methods [J]. ACM Computing Surveys(CSUR),2010,43(1): 2:1-37.

[8]JOUKOV N,PAPAXENOPOULOS H,ZADOK E. Secure deletion myths,issues,and solutions[C]//The Second ACM Workshop on Storage Security and Survivability (StorageSS). Alexandria,VA,USA,c2006: 61-66.

[9]WEI M Y C,GRUPP L M,SPADA F E,et al. Reliably erasing data from flash-based solid state drives[C]// USENIX Conference on File and Storage Technologies (FAST). Berkeley,CA,USA,c2011: 105-117.

[10]P?PPER C,BASIN D,?APKUN S,et al. Keeping data secret under full compromise using porter devices[C]//26th Annual Computer Security Applications Conference (ACM SAC). Austin,Texas,USA,c2010: 241-250.

[11]YU S,WANG C,REN K,et al. Achieving secure,scalable,and fine-grained data access control in cloud computing[C]//29th Conference on Computer Communications (IEEE INFOCOM). San Diego,CA,USA,c2010: 1-9.

[12]PERLMAN R. File system design with assured delete[C]//Third IEEE International Security in Storage Workshop (SISW). San Francisco,CA,USA,c2005: 83-88.

[13]PERLMAN R. File system design with assured delete[C]//The 14th Annual Network amp; Distributed System Security (ISOC NDSS). San Diego,CA,USA,c2007: 1-7.

[14]MO Z,XIAO Q,ZHOU Y,et al. On deletion of outsourced data in cloud computing[C]//The 7th International Conference on Cloud Computing (IEEE CLOUD). Alaska,USA,c2014: 344-351.

[15]JREARDON J,BASIN D,CAPKUN S. Sok: secure data deletion[C]//The 34th IEEE Symposium on Security amp;Privacy (IEEE Samp;P). San Francisco,CA,USA,c2013: 301-315.

[16]REARDON J,RITZDORF H,BASIN D,et al. Secure data deletion from persistent media[C]//The 2013 ACM SIGSAC Conference on Computer amp; Communications Security (ACM CCS). New York,NY,USA,c2013: 271-284.

[17]ZHAO L,MANNAN M. Gracewipe: secure and verifiable deletion under coercion[C]//The 22th Annual Network amp; Distributed System Security (ISOC NDSS). San Diego,CA,USA,c2015:1-13.

[18]張逢喆,陳進,陳海波,等. 云計算中的數(shù)據(jù)隱私性保護與自我銷毀[J]. 計算機研究與發(fā)展,2011,48(7):1155-1167.ZHANG F Z,CHEN J,CHEN H B,et al. Lifetime privacy and self-destruction of data in the cloud [J]. Journal of Computer Research and Development,2011,48(7):1155-1167.

[19]PERLMAN R. The ephemerizer: making data disappear [J]. Journal of Information Systems Security,2005,1(1): 21-32.

[20]TANG Q. Timed-ephemerizer: make assured data appear and disappear[C]//The Public Key Infrastructures,Services and Applications.Springer Berlin Heidelberg,c2010: 195-208.

[21]TANG Q. From ephemerizer to timed-ephemerizer: achieve assured lifecycle enforcement for sensitive data [J]. The Computer Journal,2014: 1-18.

[22]NAIR S K,DASHTI M T,CRISPO B,et al. A hybrid PKI-IBC based ephemerizer system[C]//The International Information Security Conference. Sandton,South Africa. c2007: 241-252.

[23]TANG Y,LEE P P,LUI J C,et al. FADE: secure overlay cloud storage with file assured deletion[C]//The Security and Privacy in Communication Networks (SecureComm). River Valley,Singapore,c2010: 380-397.

[24]BADRE R. Cloud storage with improved access control and assured deletion [J]. International Journal of Innovations in Engineering and Technology (IJIET),2014,3(3): 92-97.

[25]TANG Y,LEE P P,LUI J C,et al. Secure overlay cloud storage with access control and assured deletion [J]. IEEE Transactions on Dependable and Secure Computing,2012,9(6): 903-916.

[26]SHAMIR A. How to share a secret [J]. Communications of the ACM,1979,22(11): 612- 613.

[27]GEAMBASU R,KOHNO T,LEVY A,et al. Vanish: increasing data privacy with self-destructing data[C]//The 18th USENIX Security Symposium. Montreal,Canada,c2009: 299-315.

[28]WANG G,YUE F,LIU Q. A secure self-destructing scheme for electronic data [J]. Journal of Computer and System Sciences,2013,79(2):279-290.

[29]WOLCHOK S,HOFMANN O S,HENINGER N,et al. Defeating vanish with low-cost sybil attacks against large DHTs[C]//The 17th Annual Network amp; Distributed System Security Conference (ISOC NDSS). San Diego,CA,USA,c2010: 1-15.

[30]ZENG L,SHI Z,XU S,et al. SafeVanish: an improved data self-destruction for protecting data privacy[C]//The IEEE Second International Conference on Cloud Computing Technology and Science(CloudCom). Athens,Greece,c2010: 521-528.

[31]熊金波,姚志強,馬建峰,等. 基于行為的結構化文檔多級訪問控制[J]. 計算機研究與發(fā)展,2013,50(7): 1399-1408.XIONG J B,YAO Z Q,MA J F,et al. Action-based multilevel access control for structured document [J]. Journal of Computer Research and Development,2013,50(7): 1399-1408.

[32]BONEH D,FRANKLIN M. Identity-based encryption from the weil pairing [J]. SIAM Journal on Computing,2003,32(3):586-615.

[33]XIONG J,YAO Z,MA J,et al. A secure document self-destruction scheme with identity based encryption[C]//The 5th International Conference on Intelligent Networking and Collaborative Systems (IEEE INCoS). Xi’an,China,c2013: 239-243.

[34]熊金波,姚志強,馬建峰,等. 面向網(wǎng)絡內容隱私的基于身份加密的安全自毀方案[J]. 計算機學報,2014,37(1): 139-150.XIONG J B,YAO Z Q,MA J F,et al. A secure self-destruction scheme with IBE for the internet content privacy [J]. Chinese Journal of Computers,2014,37(1): 139-150.

[35]LIU X,MA J,XIONG J,et al. Threshold attribute based encryption with attribute hierarchy for lattices in the standard model [J]. IET Information Security,2014,8(4): 217-223.

[36]LI Q,MA J,LI R,et al. Secure,efficient and revocable multi-authority access control system in cloud storage[J]. Computers amp; Security,2016,59(6): 45-59.

[37]XIONG J,YAO Z,MA J,et al. A secure document self-destruction scheme: an ABE approach[C]//The 10th International Conference on High Performance Computing and Communications amp; IEEE International Conference on Embedded and Ubiquitous Computing(HPCC_EUC). Zhangjiajie,China,c2013: 59-64.

[38]熊金波,姚志強,馬建峰,等. 基于屬性加密的組合文檔安全自毀方案[J]. 電子學報,2013,42(2): 366-376.XIONG J B,YAO Z Q,MA J F,et al. A secure self-destruction scheme for composite documents with attribute based encryption [J]. Acta Electronica Sinica,2013,42(2): 366-376.

[39]CHAN A F,BLAKE I F. Scalable,server-passive,user-anonymous timed release cryptography[C]//The 25th International Conference on Distributed Computing Systems. Piscataway,USA,c2005:504-513.

[40]姚志強,熊金波,馬建峰,等. 云計算中一種安全的電子文檔自毀方案[J]. 計算機研究與發(fā)展,2014,51(7):1417-1423.YAO Z Q,XIONG J B,MA J F,et al. A secure electronic document self-destructing scheme in cloud computing [J]. Journal of Computer Research and Development,2014,51(7):1417-1423.

[41]XIONG J,LI F,MA J,et al. A full lifecycle privacy protection scheme for sensitive data in cloud computing [J]. Peer-to-Peer Networking and Applications,2015,8(6): 1025-1037.

[42]REIMANN S,DüRMUTH M. Timed revocation of user data: long expiration times from existing infrastructure[C]//The 2012 ACM Workshop on Privacy in the Electronic Society (WPES),Raleigh. NC,USA,c2012: 65-74.

[43]ROESNER F,GILL B T,KOHNO T. Sex,lies,or kittens? Investigating the use of snapchat’s self-destructing messages[C]//The 18th International Conference on Financial Cryptography and Data Security (FC). Springer Berlin Heidelberg,Christ Church,Barbados,c2014: 64-76.

[44]BACKES J,BACKES M,DüRMUTH M,et al. X-pire!-a digital expiration date for images in social networks[C]//arXiv preprint arXiv:1112.2649,2011:1-22.

[45]BACKES M,GERLING S,LORENZ S,et al. X-pire 2.0: a user-controlled expiration date and copy protection mechanism[C]//The 29th Annual ACM Symposium on Applied Computing(ACM SAC). Gyeongju,Korea,c2014: 1633-1640.

[46]LUO W,XIE Q,HENGARTNER U. Facecloak: an architecture for user privacy on social networking sites[C]//The International Conference on Computational Science and Engineering (IEEE CSE). Vancouver,Canada,c2009: 26-33.

[47]SIGURBJ?RNSSON B,VAN ZWOL R. Flickr tag recommendation based on collective knowledge[C]//The 17th International Conference on World Wide Web (ACM WWW). Beijing,China,c2008: 327-336.

[48]CASTELLUCCIA C,DE CRISTOFARO E,FRANCILLON A,et al.Ephpub: toward robust ephemeral publishing[C]//The 19th IEEE International Conference on Network Protocols (IEEE ICNP). Vancouver,BC Canada,c2011: 165-175.

[49]ZENG L,CHEN S,WEI Q,et al. Sedas: a self-destructing data system based on active storage framework [J]. IEEE Transactions on Magnetics,2013,49(6):2548-2554.

[50]ATALLAH M J,BLANTON M,FAZIO N,et al. Dynamic and efficient key management for access hierarchies [J]. ACM Transactions on Information and System Security (TISSEC),2009,12(3): 1-43.

[51]WANG W,LI Z,OWENS R,et al. Secure and efficient access to outsourced data[C]//The ACM Workshop on Cloud Computing Security. Chicago,IL,USA,c2009: 55-66.

[52]VIANA W,ANDRADE R,MONTEIRO A J. PEARL: a performance evaluator of cryptographic algorithms for mobile devices[C]//The International Workshop on Mobility Aware Technologies and Applications (MATA). Florianopolis,Brazil,c2004: 275-284.

[53]王麗娜,任正偉,余榮威,等. 一種適于云存儲的數(shù)據(jù)確定性刪除方法[J]. 電子學報,2012,40(2): 266-272.WANG L N,REN Z W,YU R W,et al. A data assured deletion approach adapted for cloud storage [J]. Acta Electronica Sinica,2012,40(2): 266-272.

[54]MO Z,QIAO Y,CHEN S. Two-party fine-grained assured deletion of outsourced data in cloud systems[C]//The 34th IEEE International Conference on Distributed Computing Systems (IEEE ICDCS). Madrid,Spain,c2014: 308-317.

[55]LI C,CHEN Y,ZHOU Y. A data assured deletion scheme in cloud storage [J]. China Communications,2014,11(4): 98-110.

[56]CACHIN C,HARALAMBIEV K,HSIAO H C,et al. Policy-based secure deletion[C]//The ACM SIGSAC Conference on Computer amp;Communications Security (ACM CCS). New York,NY,USA,c2013:259-270.

[57]LI Q,MA J,LI R,et al. Large universe decentralized key-policy attribute-based encryption [J]. Security and Communication Networks,2015,8(3): 501-509.

[58]KASAMATSU K,MATSUDA T,EMURA K,et al. Time-specific encryption from forward-secure encryption[C]//The 8th Conference on Security and Cryptography for Networks (SCN). Amalfi,Italy,c2012:184-204.

[59]XIONG J,LIU X,YAO Z,et al. A secure data self-destructing scheme in cloud computing [J]. IEEE Transactions on Cloud Computing,2014,2(4):448-458.

[60]ZENG L,WANG Y,FENG D. CloudSky: a controllable data self-destruction system for untrusted cloud storage networks[C]//The 15th IEEE/ACM International Symposium on Cluster,Cloud and Grid Computing (CCGrid). Shenzhen,China,c2015: 352-361.

[61]張坤,楊超,馬建峰,等. 基于密文采樣分片的云端數(shù)據(jù)確定性刪除方法[J]. 通信學報,2015,36(11): 108-117.ZHANG K,YANG C,MA J F,et al. Novel cloud data assured deletion approach based on ciphertext sample slice [J]. Journal on Communications,2015,36(11): 108-117.

[62]熊金波,沈薇薇,黃陽群,等. 云環(huán)境下的數(shù)據(jù)多副本安全共享與關聯(lián)刪除方案[J]. 通信學報,2015,36(Z1): 136-140.XIONG J B,SHEN W W,HUANG Y Q,et al. Security sharing and associated deleting scheme for multi-replica in cloud[J]. Journal on Communications,2015,36(Z1): 136-140.

[63]李鳳華,李暉,賈焰,等. 隱私計算研究范疇及發(fā)展趨勢[J]. 通信學報,2016,37(4): 1-11.LI F H,LI H,JIA Y,et al. Privacy computing: concept,connotation and its research trend[J]. Journal on Communications,2016,37(4):1-11.

[64]LIU J,ASOKAN N,PINKAS B. Secure deduplication of encrypted data without additional independent servers[C]//22nd ACM SIGSAC Conference on Computer and Communications Security (ACM CCS).Colorado,USA,c2015: 874-885.

[65]ARMKNECHT F,BOHLI J M,KARAME G O,et al. Transparent data deduplication in the cloud[C]//The 22nd ACM SIGSAC Conference on Computer and Communications Security (ACM CCS). Colorado,USA,c2015: 886-900.

[66]ZAYCHIK M V,STOYANOVICH J,ABITEBOUL S,et al. Collaborative access control in webdamlog[C]//The 2015 ACM SIGMOD International Conference on Management of Data (ACM SIGMOD).Melbourne,Australia,c2015: 197-211.

Research progress on cloud data assured deletion based on cryptography

XIONG Jin-bo1,2,LI Feng-hua1,WANG Yan-chao1,MA Jian-feng3,YAO Zhi-qiang2

(1. State Key Laboratory of Information Security,Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100093,China;2. Faculty of Software,Fujian Normal University,Fuzhou 350117,China;3. School of Computer Science and Technology,Xidian University,Xi’an 710071,China)

The major challenges faced by the data assured deletion in cloud computing was analyzed, it was observed the main reasons of performing cloud data assured deletion were the characteristics of cloud virtualization and multi-tenancy,as well as the business models of lease and on-demand delivery in cloud computing, and point out three levels of meaning of the cloud data assured deletion. Secondly, the state-of-the-art works on cloud data assured deletion was systematically surveyed from security-oriented view in terms of trusted execution environments, key managements and access control policies. It is also pointed out their highlights, limitations and general problems. Finally, some developing trends of this emerging research field were introduced.

cloud data security, assured deletion, privacy protection, key management, access control

s:The National High Technology Research and Development Program(863Progam)(No.2015AA016007),The National Natural Science Foundation of China (No.61402109,No.61370078),The Natural Science Foundation of Fujian Province(No.2015J05120),Fujian Provincial Key Laboratory of Network Security and Cryptology Research Fund (No.15008),Distinguished Young Scientific Research Talents Plan in Universities of Fujian Province

TP309

2015-12-15；

2016-05-16

李鳳華,lfh@iie.ac.cn

國家高技術研究發(fā)展計劃（“863”計劃）基金資助項目(No.2015AA016007)；國家自然科學基金資助項目(No.61402109,No.61370078)；福建省自然科學基金資助項目(No.2015J05120)；福建省網(wǎng)絡安全與密碼技術重點實驗室(福建師范大學)開放課題基金資助項目(No.15008)；福建省高校杰出青年科研人才培育計劃基金資助項目

10.11959/j.issn.1000-436x.2016167