Cryptographic cloud storage financial cryptography and data security(译)
2013-10-10 16:47
253 查看
本文并不是严格意义上的翻译文章,只是将文中部分内容翻译了出来,翻译的有欠缺。
网络技术的发展和计算资源的需求的增加,使得一些组织不得不外包他们的存储和计算需求。
新的经济计算模型被通常称为云计算,它包括一些服务形式,Iaas,用户使用服务提供者的计算,存储和网络设施;Paas,用户利用提供着的资源区运行用户的应用;最后是Saas,用户将软件部署在服务提供者的基础设施上。
云基础设施能够分为私有和公有两类,在私有云上,基础设施被用户和位于本地的客户管理和拥有;尤其这意味着用户数据的访问权限在他们自己的控制下,只能自己授权
采用云存储最大的障碍是对于数据的机密性和完整的关注,用户企业和政府组织不可能牺牲用户的私隐性去使用云服务,这种不情愿主要是源于从对关键数据的保护的要求到对数据保存的机密性和完整性的监管义务,后者当用户需要保护个人身份信息或者医疗财务记录时就会发生。数据的机密性和完整性是使潜在用户不去使用云服务的原因。
设计一中基于最新发展起来的机密技术的虚拟的私有存储服务。
机密性:云存储不能获得用户的数据和信息
完整性:云存储能够检测用户数据不被非授权更改
可用性:用户可以在任意时间从任意机器中取得自己的数据
可靠性:用户的数据具有可靠的备份
高效的检索:数据检索次数能够和公有云存储对比
数据共享:用户能够共享数据给信任的客户
第二部分介绍加密存储系统的架构
第三部分加密存储系统优势综述
第四部分介绍加密存储系统中的详细,包括机密搜索,存储校验,基于属性加密,
第五部分介绍能够建立加密存储系统的云服务
架构包括三部分:DP-数据处理器,传送到云之前的数据处理
DV-数据校验,校验数据是否被篡改
TG-令牌生成器,生成能够让云提供者去搜索用户数据的片段,证书生成器执行权限控制策略,通过颁发凭证给各方。,这些证书能够使各方根据策略加密 解密用户的文件。
2.1用户架构
A在云中存储了数据,
B想要共享A的数据,
A和B首先下载一个客户端应用程序,,其中包括数据处理器,数据校验,令牌生成器。
A的应用产生一个密钥,这个密钥作为一个主密钥,假定他存储在A的本地系统中,对于云提供者是保密的
无论任何时候A都希望上传数据到云端,数据处理器被调用,它会附加一些元数据(当前时间,大小,密码等)和用各种加密原语加密数据和元数据。
无论任何时候A都想要校验他数据的完整性,数据校验被调用,A的主密钥与云存储提供者相互作用,确定数据的完整性。
当A想要检索数据时,令牌生成器会被调用生成令牌,令牌被送往云服务提供者,使用令牌去检索加密文件,返回给A,A使用密钥去解密数据。
数据共享过程是一个相似,A想要共享数据B,应用程序调用令牌生成器,产生合适的令牌,证书产生器产生一个证书给B,令牌和证书给B,反过来将令牌发送给提供者,最后使用这个令牌去检索并返回加密的文件,b使用证书去解密数据。
![](http://img.blog.csdn.net/20131010195911828?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveXVmYW5nZmFuZzMxMTE=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
2.2企业架构
在企业方案中,企业C存储数据到云端,另一个与之有过合作的企业D想要共享数据,C在网络中部署专用的机器,这些专用机器将运行各种核心组件,这些组件利用主密钥,这些密钥被保护,如果这些资源和专业技术耗费太大,专用机器的管理可以外包给可信的第三方。
如果中型企业有足够的资源和专业技术,专用机器包括数据处理器,数据校验,令牌生成器,证书生成器。
每个企业的员工都会从证书生成其中得到一个证书,这个证书会记录员工的信息,C将数据传到云端去处理,数据中携带这解密策略,解密策略指出了证书的类型去解密数据。
为了检索数据,员工从专用机器中获得一个合适的令牌,将令牌发送给云提供者,云提共者使用令牌找到并返回加密文件,员工使用证书去解密数据,C想要去校验数据的一致性,专用机器的数据校验器被调用,后者使用主密钥和云服务提供者相互作用,验证数据的一致性。
现在考虑D的员工想要去访问C的数据,C的专用机鉴定D的雇员,并发送一个密钥,确定D的雇员是否被允许访问,如果可以访问,专用机返回一个令牌,雇员使用这个令牌获得加密的文件,并利用证书解密文件。
![](http://img.blog.csdn.net/20131010195925687?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveXVmYW5nZmFuZzMxMTE=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
如果C是一个比较大的组织,能够运行和维护专用机去处理雇员的数据是不可实行的,架构需要做一些改变,专用机之运行数据校验,令牌产生,证书产生,数据的处理过程交给雇员,
![](http://img.blog.csdn.net/20131010195938546?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveXVmYW5nZmFuZzMxMTE=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
3.加密存储系统的好处
数据的控制由用户完成,安全特性源于加密,而不是法律制裁,物理安全和访问控制,
4.执行和核心组件
当准备往云端存储数据时,数据产生器编制索引和利用系统化加密技术在统一密钥下加密数据,使用可被搜索的加密技术加密索引,并在一个合适的策略下利用基于属性的加密算法去加密统一的密钥。
如果用户在存储云端之前去加密数据,保存机密性和一致性会有局限性,为了能够搜索数据每个用户不得不存储数据索引到本地,或者下载所有的加密数据,然后解密他们,在本地搜索,第一个方法否定了云存储的优势,第二个方法通讯复杂,为了校验一致性,组织不得不检索所有的数据,如果数据是很大的,校验过程是不可预估的。
4.1可搜索的加密技术
系统化可搜索加密技术
不对称可搜索加密
高效的可搜索加密
多用户系统化可搜索技术
4.2基于属性的加密技术
4.3存储校验
网络技术的发展和计算资源的需求的增加,使得一些组织不得不外包他们的存储和计算需求。
新的经济计算模型被通常称为云计算,它包括一些服务形式,Iaas,用户使用服务提供者的计算,存储和网络设施;Paas,用户利用提供着的资源区运行用户的应用;最后是Saas,用户将软件部署在服务提供者的基础设施上。
云基础设施能够分为私有和公有两类,在私有云上,基础设施被用户和位于本地的客户管理和拥有;尤其这意味着用户数据的访问权限在他们自己的控制下,只能自己授权
采用云存储最大的障碍是对于数据的机密性和完整的关注,用户企业和政府组织不可能牺牲用户的私隐性去使用云服务,这种不情愿主要是源于从对关键数据的保护的要求到对数据保存的机密性和完整性的监管义务,后者当用户需要保护个人身份信息或者医疗财务记录时就会发生。数据的机密性和完整性是使潜在用户不去使用云服务的原因。
设计一中基于最新发展起来的机密技术的虚拟的私有存储服务。
机密性:云存储不能获得用户的数据和信息
完整性:云存储能够检测用户数据不被非授权更改
可用性:用户可以在任意时间从任意机器中取得自己的数据
可靠性:用户的数据具有可靠的备份
高效的检索:数据检索次数能够和公有云存储对比
数据共享:用户能够共享数据给信任的客户
第二部分介绍加密存储系统的架构
第三部分加密存储系统优势综述
第四部分介绍加密存储系统中的详细,包括机密搜索,存储校验,基于属性加密,
第五部分介绍能够建立加密存储系统的云服务
架构包括三部分:DP-数据处理器,传送到云之前的数据处理
DV-数据校验,校验数据是否被篡改
TG-令牌生成器,生成能够让云提供者去搜索用户数据的片段,证书生成器执行权限控制策略,通过颁发凭证给各方。,这些证书能够使各方根据策略加密 解密用户的文件。
2.1用户架构
A在云中存储了数据,
B想要共享A的数据,
A和B首先下载一个客户端应用程序,,其中包括数据处理器,数据校验,令牌生成器。
A的应用产生一个密钥,这个密钥作为一个主密钥,假定他存储在A的本地系统中,对于云提供者是保密的
无论任何时候A都希望上传数据到云端,数据处理器被调用,它会附加一些元数据(当前时间,大小,密码等)和用各种加密原语加密数据和元数据。
无论任何时候A都想要校验他数据的完整性,数据校验被调用,A的主密钥与云存储提供者相互作用,确定数据的完整性。
当A想要检索数据时,令牌生成器会被调用生成令牌,令牌被送往云服务提供者,使用令牌去检索加密文件,返回给A,A使用密钥去解密数据。
数据共享过程是一个相似,A想要共享数据B,应用程序调用令牌生成器,产生合适的令牌,证书产生器产生一个证书给B,令牌和证书给B,反过来将令牌发送给提供者,最后使用这个令牌去检索并返回加密的文件,b使用证书去解密数据。
2.2企业架构
在企业方案中,企业C存储数据到云端,另一个与之有过合作的企业D想要共享数据,C在网络中部署专用的机器,这些专用机器将运行各种核心组件,这些组件利用主密钥,这些密钥被保护,如果这些资源和专业技术耗费太大,专用机器的管理可以外包给可信的第三方。
如果中型企业有足够的资源和专业技术,专用机器包括数据处理器,数据校验,令牌生成器,证书生成器。
每个企业的员工都会从证书生成其中得到一个证书,这个证书会记录员工的信息,C将数据传到云端去处理,数据中携带这解密策略,解密策略指出了证书的类型去解密数据。
为了检索数据,员工从专用机器中获得一个合适的令牌,将令牌发送给云提供者,云提共者使用令牌找到并返回加密文件,员工使用证书去解密数据,C想要去校验数据的一致性,专用机器的数据校验器被调用,后者使用主密钥和云服务提供者相互作用,验证数据的一致性。
现在考虑D的员工想要去访问C的数据,C的专用机鉴定D的雇员,并发送一个密钥,确定D的雇员是否被允许访问,如果可以访问,专用机返回一个令牌,雇员使用这个令牌获得加密的文件,并利用证书解密文件。
如果C是一个比较大的组织,能够运行和维护专用机去处理雇员的数据是不可实行的,架构需要做一些改变,专用机之运行数据校验,令牌产生,证书产生,数据的处理过程交给雇员,
3.加密存储系统的好处
数据的控制由用户完成,安全特性源于加密,而不是法律制裁,物理安全和访问控制,
4.执行和核心组件
当准备往云端存储数据时,数据产生器编制索引和利用系统化加密技术在统一密钥下加密数据,使用可被搜索的加密技术加密索引,并在一个合适的策略下利用基于属性的加密算法去加密统一的密钥。
如果用户在存储云端之前去加密数据,保存机密性和一致性会有局限性,为了能够搜索数据每个用户不得不存储数据索引到本地,或者下载所有的加密数据,然后解密他们,在本地搜索,第一个方法否定了云存储的优势,第二个方法通讯复杂,为了校验一致性,组织不得不检索所有的数据,如果数据是很大的,校验过程是不可预估的。
4.1可搜索的加密技术
系统化可搜索加密技术
不对称可搜索加密
高效的可搜索加密
多用户系统化可搜索技术
4.2基于属性的加密技术
4.3存储校验
相关文章推荐
- System.Security.Cryptography.CryptographicException: The data to be decrypted exceeds the maximum for this modulus of 128 bytes. (RSACryptoServiceProv
- Security and Privacy for Cloud-Based Data Management in the Health Network Service Chain: A Microser
- Computer Security and Cryptography
- CSIT571: Cryptography and Security Homework1
- System.Security.Cryptography.CryptographicException: 系统找不到指定的文件
- Administering Data Centers : Servers, Storage, and Voice over IP
- System.Security.Cryptography.CryptographicException
- Designing Data Storage Architecture - SQL Azure - why use it and what makes it different from SQL se
- CDH5安装出现的初始化namenode错误,问题Running in non-interactive mode, and data appears to exist in Storage Direc
- System.Security.Cryptography.CryptographicException: The system cannot find the file specified
- System.Security.Cryptography.CryptographicException,密钥集不存在
- .NET Security and Cryptography
- 开发微信发红包时,本地测试没有问题发布IIS上提示 System.Security.Cryptography.CryptographicException: 系统找不到指定的文件。
- System.Security.Cryptography.CryptographicException
- System.Security.Cryptography.CryptographicException: 系统找不到指定的文件。
- 调用微信退款接口时,证书验证出现System.Security.Cryptography.CryptographicException: 出现了内部错误 解决办法
- System.Security.Cryptography.CryptographicException: 系统找不到指定的文件。
- 调用微信退款接口时出现System.Security.Cryptography.CryptographicException: 出现了内部错误 解决办法
- 苹果审核 Guideline 5.1.1 - Legal - Privacy - Data Collection and Storage
- Cryptography and Network Security (4th Edition)