因此，我們提出一種對云供應商無信任要求的系統(tǒng)方案。該方案可以使數(shù)據(jù)的安全將被數(shù)據(jù)所有者完全掌控，它還將包含一個可以讓數(shù)據(jù)所有者對其數(shù)據(jù)進行訪問授權的工具，當有安全漏洞產(chǎn)生時，數(shù)據(jù)所有者能被告知并可將其數(shù)據(jù)撤回。該系統(tǒng)方案還允許用戶在一個加密數(shù)據(jù)庫中通過一種改進的有序關鍵字索引來查找數(shù)據(jù)。

業(yè)界呼喚高安全云存儲系統(tǒng)

盡管許多云供應商已經(jīng)注意到存儲安全的重要性，并為客戶數(shù)據(jù)提供更高層次的保護，但我們認為諸如可搜索加密以及安全外包計算的先進技術將為客戶提供更高安全要求的云，并在不久的將來會受到廣泛地歡迎。

我們主要研究對存儲服務器無信任要求的相關技術，數(shù)據(jù)在發(fā)到服務器之前先進行加密。這種技術保證了數(shù)據(jù)被安全地存儲到服務終端，同時當發(fā)生安全隱患時提醒數(shù)據(jù)所有者。

所有的商業(yè)云為用戶至少提供一種云存儲服務：例如較熱門的亞馬遜的S3和simple DB、微軟的Azure存儲服務等。這些產(chǎn)品都提供了很強大的存儲能力和可擴展能力，但是他們的安全機制卻不高明。

為此，可搜索加密能幫用戶對數(shù)據(jù)加密，隨后在數(shù)據(jù)中搜索關鍵字來找到匹配的數(shù)據(jù)。我們的方案使用Waters等人所使用的技術。他們開發(fā)了同時使用對稱和非對稱可搜索加密技術的兩個系統(tǒng)。目前各大互聯(lián)網(wǎng)公司已經(jīng)發(fā)現(xiàn)向公眾出售閑置計算資源的商業(yè)可行性。

通過分析可知，傳統(tǒng)云存儲系統(tǒng)對安全要求如下:系統(tǒng)需要保持機密性，即只有授權用戶可以訪問所有者的數(shù)據(jù);應維護數(shù)據(jù)的完整性，即任何對數(shù)據(jù)的修改都應該被告知。這種系統(tǒng)的基本要求是應當提供文件共享以及具備授予和撤銷訪問功能，有必要為用戶提供利用加密內容搜索并返回與之相匹配查詢結果的能力來解決加密數(shù)據(jù)過濾的問題，還應該有相應的機制來識別出密鑰已被盜用。

讓數(shù)據(jù)所有者擁有安全控制權限

我們提出的系統(tǒng)的設計不要求對服務供應商信任，而是授予數(shù)據(jù)所有者安全控制權限。系統(tǒng)整體構架如圖1所示，該系統(tǒng)有兩個組件：一是提供所有安全操作的客戶端應用程序，一是連接存儲云，并提供所有密碼操作的服務器應用程序。服務器應用程序還提供搜索功能。

A.客戶端應用程序

客戶端應用程序負責在IFC中的所有加密操作。用戶通過設置文件中一個指定的RSA密鑰對來登錄應用程序。這個設置文件還包含了云計算服務器實例的地址、登錄用戶的ID以及存儲訪問密鑰。一旦用戶登錄，他們可以執(zhí)行訪問權限內的一系列操作。擁有讀訪問的用戶可以進行如下操作：從存儲服務中加載一個IFC;檢查IFC以及數(shù)據(jù)完整性;列出用戶和權限;上傳一個IFC到存儲服務中;將IFC的內容保存到文件系統(tǒng)中。

只擁有讀權限的惡意訪問用戶可以修改文件內容，但是這些操作會被檢測到，因為這些用戶不能生成一個數(shù)據(jù)摘要。寫訪問權限用戶除了可以執(zhí)行寫訪問用戶的所有操作外，還可執(zhí)行其他操作實現(xiàn)。

客戶端應用程序會執(zhí)行一些文件系統(tǒng)指令：上傳、下載、移動、列出、查找。上傳指令用于將一個IFC存儲到存儲服務中。移動指令用于給定一個文件名后將該對象從存儲服務中刪除。列出指令用于在存儲服務中返回一個列表。搜索指令用于發(fā)送搜索請求到服務器，服務器接到請求后將返回滿足搜索條件的文件列表。

B.服務器應用程序

服務器應用程序充當客戶端應用程序和存儲服務的中介，并在計算云中執(zhí)行。這個應用程序用于驗證用戶身份，并提供一個從客戶端到存儲服務的安全連接。只有當請求為搜索詢問時服務器應用程序才會執(zhí)行批量處理，而其他請求服務器應用程序在接收后將直接轉給存儲服務。

C.網(wǎng)絡協(xié)議

每個客戶都有一份用于與服務器安全通信的服務器公共密鑰?？蛻舳藭a(chǎn)生一個被服務器公共密鑰加密的對稱會話密鑰。服務器和客戶端之間的進一步通信將使用這個會話密鑰。然后客戶端將把公共密鑰、檢索密鑰散列以及被會話密鑰