面向云存储的海量密钥管理方案设计与实现

信息安全研究 ›› 2023, Vol. 9 ›› Issue (9): 859-.

面向云存储的海量密钥管理方案设计与实现

张彤1张伟1王佳慧2刘珂1马利民1

1(北京信息科技大学计算机学院北京100101)
2(国家信息中心信息与网络安全部北京100045)

出版日期:2023-09-17 发布日期:2023-10-04
通讯作者: 张伟博士，教授.主要研究方向为大数据处理、软硬件协同设计. zhwei@bistu.edu.cn
作者简介:张彤硕士.主要研究方向为密码应用、大数据安全. zhangtong9702@sina.com 张伟博士，教授.主要研究方向为大数据处理、软硬件协同设计. zhwei@bistu.edu.cn 王佳慧博士，研究员.主要研究方向为云计算安全、大数据安全、云取证安全. wangjiahui@sic.gov.cn 刘珂硕士.主要研究方向为大数据安全、计算机体系结构. liuke604701@163.com 马利民博士，副教授.主要研究方向为网络安全协议、信息隐藏技术、大数据安全. markgoogle@qq.com

Design and Implementation of Massive Encryption Key Management Scheme for Cloud Storage

Online:2023-09-17 Published:2023-10-04

摘要/Abstract

摘要： 云存储因其成本低、访问快等优势逐渐成为未来大数据存储的理想方式，但云平台的开放性以及共享性和平台对数据较高的管理权限使这种模式给用户数据的机密性以及完整性带来隐患.因此，基于云的数据存储应采用密码技术进行保护，但是海量用户和细粒度加密产生了海量的密钥，给存储系统带来了较大的压力.针对云存储的场景，研究海量密钥管理的方法，提出了基于矩阵的密钥派生方案和基于SM2门限算法的密钥分发方案，有效降低了密钥存储空间，并提高了密钥分发的安全性.

关键词: 云存储, 密码技术, 密钥管理, 密钥派生, 密钥分发

Abstract: Cloud storage is an emerging technology for its low cost and high efficiency, but the openness, shareability, and the extravagant provided privilege of the cloud platform bring hidden danger to the confidentiality and integrity of users’ data. Hence, cloudbased data storage should be protected by cryptographic techniques, but massive users and finegrained encryption generate massive keys, which puts greater pressure on the storage system. For the cloud storage scenario, this paper studies the method of mass key management. and proposes a key derivation scheme based on matrix and a key distribution scheme based on SM2 threshold algorithm, which effectively reduces the key storage space and improves the security of key distribution.

Key words: cloud storage, cryptography, key management, key derivation, key distribution

中图分类号:

TP309.7

张彤, 张伟, 王佳慧, 刘珂, 马利民, . 面向云存储的海量密钥管理方案设计与实现[J]. 信息安全研究, 2023, 9(9): 859-.

参考文献

［1］Bhadauria R, Chaki R, Chaki N, et al. A survey on security issues in cloud computing［J］. arXiv preprint, arXiv:1109.5388, 2011［2］Ren Z, Wang L, Wang Q, et al. Dynamic proofs of retrievability for coded cloud storage systems［J］. IEEE Trans on Services Computing, 2015, 11(4): 685698［3］Shafagh H, Burkhalter L, Ratnasamy S, et al. Droplet: Decentralized authorization and access control for encrypted data streams［C］ Proc of the 29th USENIX Conf on Security Symp. Berkeley, CA: USENIX Association, 2020: 24692486［4］Alderman J, Farley N, Crampton J. Treebased cryptographic access control［C］ Proc of European Symp on Research in Computer Security. Berlin: Springer, 2017: 4764［5］Li Y, Dhotre N S, Ohara Y, et al. Horus: Finegrained encryptionbased security for largescale storage［C］ Proc of the 11th USENIX Conf on File and Storage Technologies. Berkeley, CA: USENIX Association, 2013: 147160［6］国家密码管理局. GMT 0003—2012 SM2椭圆曲线公钥密码算法［S］. 北京: 国家密码管理局, 2010［7］Atallah M J, Blanton M, Fazio N, et al. Dynamic and efficient key management for access hierarchies［J］. ACM Trans on Information and System Security, 2009, 12(3): 143［8］Cui Z, Zhu H, Chi L. Lightweight key management on sensitive data in the cloud［J］. Security and Communication Networks, 2013, 6(10): 12901299［9］杨宜博. 面向云加密数据库的高效密钥管理系统［D］. 西安: 西安电子科技大学, 2019［10］Vimercati SDCD, Foresti S, Jajodia S, et al. Overencryption: Management of access control evolution on outsourced data［C］ Proc of Int Conf on VLDB. New York: ACM, 2007: 123134［11］Cui Z, Zhu H, Shi J, et al. Lightweight management of authorization update on cloud data［C］ Proc of Int Conf on Parallel and Distributed Systems. Piscataway, NJ: IEEE, 2013: 456461［12］Bessani A, Correia M, Quaresma B, et al. DepSky: Dependable and secure storage in a cloudofclouds［J］. ACM Trans on Storage, 2013, 9(4): 133［13］王祥宇, 马建峰, 苗银宾, 等. 基于密钥状态散列树的密钥存储管理方案［J］. 通信学报, 2018, 39(5): 94102［14］Lo J W, Hwang M S, Liu C H. An efficient key assignment scheme for access control in a large leaf class hierarchy［J］. Information Sciences, 2011, 181(4): 917925［15］Rajendran R, Miller E L, Long D D E. Horus: Finegrained encryptionbased security for high performance petascale storage［C］ Proc of the 5th Workshop on Parallel Data Storage. Piscataway, NJ: IEEE, 2011: 1924［16］国家密码管理局. GMT 0002—2012 SM4分组密码算法［S］. 北京: 国家密码管理局, 2012［17］傅颖勋, 罗圣美, 舒继武. 安全云存储系统与关键技术综述［J］. 计算机研究与发展, 2013, 50(1): 136145［18］Shamir A. How to share a secret［J］. Communications of the ACM, 1979, 22(11): 612613

[1]	张相雨, 张文翠, 李岩, 苏位中, . 基于数字证书和密钥管理系统的车联网远程升级方法及实践[J]. 信息安全研究, 2023, 9(5): 469-.
[2]	王冠男, 马帅, 叶琛, 尧聪聪, 唐文佳, . 支持高效检索的电力数据密文存储方案[J]. 信息安全研究, 2023, 9(3): 254-.
[3]	张瑞嵩, 徐松艳, 李鑫, 张道法, . 基于滑动窗口的自愈组密钥分发方案[J]. 信息安全研究, 2023, 9(2): 197-.
[4]	聂建军, 王泉景, 宋博, 周晓刚, 张应平, 马洪富, . 基于可信密码应用服务平台架构及中间件整体解决方案[J]. 信息安全研究, 2022, 8(E2): 81-.
[5]	董贵山, 张文科, 罗影, 唐林, 刘波, 冷昌琦, 李恺, 许莹莹. 工业互联网密码应用研究[J]. 信息安全研究, 2022, 8(6): 554-.
[6]	王新华, 李广超, 王本海, 刘晨光, 王浩溟, 李向锋. 电子认证在V2X车联网安全中的应用[J]. 信息安全研究, 2022, 8(5): 500-.
[7]	张嵩, . 能源行业工业互联网平台数据安全体系建设探索[J]. 信息安全研究, 2022, 8(4): 386-.
[8]	池亚平, 莫崇维, 王志强, 梁家铭, 薛德凡, . 基于密钥矩阵派生的云计算密钥存储方案[J]. 信息安全研究, 2022, 8(10): 1018-.
[9]	刘建兵王振欣杨华马旭艳. 主动安全网络架构与等保要求[J]. 信息安全研究, 2022, 8(1): 28-.
[10]	冯文秀, 冯媛媛, 胡永亮, 赵新娜, 隆学超. 基于云架构的统一密码服务平台设计[J]. 信息安全研究, 2021, 7(E1): 22-.
[11]	王冠苗艺雪 . 基于Intel SGX的Kerberos安全增强方案[J]. 信息安全研究, 2021, 7(4): 374-383.
[12]	李向锋傅大鹏李敏. 基于多技术融合的密码计算资源池研究[J]. 信息安全研究, 2021, 7(4): 384-388.
[13]	周文辉朱玉倩宋宇飞. 卫星互联网商用密码应用研究[J]. 信息安全研究, 2021, 7(3): 263-267.
[14]	刘建兵, 王振欣, 杨华, . 国密算法在主动安全网络架构中的应用[J]. 信息安全研究, 2021, 7(12): 1121-.
[15]	潘洪志. 一种基于线性编码的数据完整性保护方案[J]. 信息安全研究, 2021, 7(1): 59-63.