云計(jì)算中數(shù)據(jù)隱私保護(hù)研究進(jìn)展

肖人毅

（國(guó)家自然科學(xué)基金委員會(huì)，北京 100085）

1 引言

云計(jì)算是繼分布式計(jì)算、網(wǎng)格計(jì)算、對(duì)等計(jì)算后出現(xiàn)的一種嶄新的計(jì)算模式，其核心思想是資源租用、應(yīng)用托管和服務(wù)外包，希望為其他行業(yè)和個(gè)人提供便捷、經(jīng)濟(jì)和高可擴(kuò)展性的 IT服務(wù)平臺(tái)，幫助企業(yè)和個(gè)人從繁重的IT基礎(chǔ)建設(shè)、管理和維護(hù)工作中解放出來(lái)，集中精力發(fā)展自己的核心業(yè)務(wù)。

云計(jì)算模型代表了信息領(lǐng)域朝專業(yè)化、規(guī)?；图s化的方向發(fā)展，是信息領(lǐng)域內(nèi)一場(chǎng)新的革命，受到了各國(guó)政府和各大 IT企業(yè)的高度重視。美國(guó)聯(lián)邦首席信息委員會(huì)在 2010年發(fā)布的《公共云計(jì)算態(tài)勢(shì)》中要求所有IT投資必須完成基于云計(jì)算的替代方案分析，我國(guó)分別在 2010年、2011年頒布的《關(guān)于加快培育發(fā)展戰(zhàn)略性新型產(chǎn)業(yè)的決定》和《國(guó)家“十二五”科學(xué)與技術(shù)發(fā)展規(guī)劃》中都明確將云計(jì)算作為發(fā)展重點(diǎn)。Google、微軟、IBM、Amazon等公司都在大力推進(jìn)和發(fā)展云計(jì)算。

然而，在云計(jì)算中數(shù)據(jù)擁有者、數(shù)據(jù)用戶和云服務(wù)提供商分別處在不同的安全域，數(shù)據(jù)的安全問(wèn)題是制約云計(jì)算發(fā)展的關(guān)鍵因素。2010年，Google解雇了2名入侵客戶Google Voice、Gtalk等賬戶以獲取隱私數(shù)據(jù)的員工，表明云計(jì)算服務(wù)提供商存在對(duì)數(shù)據(jù)擁有者敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。2010年6月，Apple公司出現(xiàn)用戶信息泄密事故[1]；2011年12月，CSDN網(wǎng)站600多萬(wàn)用戶的數(shù)據(jù)庫(kù)信息被盜取并公開，這一系列的安全事故加深了人們對(duì)云計(jì)算安全問(wèn)題的憂慮。2011年，國(guó)際知名非盈利研究機(jī)構(gòu)——ITGI對(duì)21個(gè)國(guó)家10個(gè)行業(yè)的834名首席執(zhí)行官進(jìn)行調(diào)查后的調(diào)查報(bào)告顯示，49.6%的人對(duì)云數(shù)據(jù)的隱私性擔(dān)憂，47.2%的人對(duì)云安全擔(dān)憂。出于對(duì)數(shù)據(jù)安全和隱私方面的考慮，很多公司在控制云計(jì)算方面的投資或延緩云的部署[2]。

因此，研究建立數(shù)據(jù)安全保障機(jī)制是云計(jì)算首要解決的問(wèn)題之一。數(shù)據(jù)查詢服務(wù)是云計(jì)算中需要提供的最重要的數(shù)據(jù)服務(wù)。在云計(jì)算環(huán)境下，數(shù)據(jù)擁有者失去了對(duì)數(shù)據(jù)存儲(chǔ)與訪問(wèn)的物理控制權(quán)和直接控制權(quán)，如何建立一套完善的安全機(jī)制來(lái)保證數(shù)據(jù)的安全是一個(gè)極具挑戰(zhàn)性的難題。其困難之處體現(xiàn)在以下3個(gè)方面：第一，為防止信息泄露，數(shù)據(jù)用戶將數(shù)據(jù)存儲(chǔ)到云服務(wù)器之前需要對(duì)數(shù)據(jù)進(jìn)行加密，同樣，數(shù)據(jù)用戶向云服務(wù)器提交查詢請(qǐng)求時(shí)，也需要對(duì)相應(yīng)的請(qǐng)求條件進(jìn)行加密，因此要解決云服務(wù)器在既不知數(shù)據(jù)真實(shí)值，又不知道查詢條件真實(shí)值的情況下，如何進(jìn)行數(shù)據(jù)的查詢計(jì)算；第二，在各種利益的驅(qū)使下，云平臺(tái)可能會(huì)偽造虛假的查詢結(jié)果或者刪除滿足查詢條件的一些數(shù)據(jù)，因此需要對(duì)查詢結(jié)果完整性進(jìn)行認(rèn)證，以監(jiān)測(cè)出云服務(wù)器的這種惡意行為；第三，為有效防止云平臺(tái)對(duì)數(shù)據(jù)的非法使用以及其他用戶對(duì)數(shù)據(jù)的非法使用，要解決數(shù)據(jù)擁有者將數(shù)據(jù)存儲(chǔ)到云服務(wù)器后，依然能實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)權(quán)限的控制；第四，云服務(wù)器上存儲(chǔ)了大量用戶的數(shù)據(jù)，需要研究一套有效的機(jī)制來(lái)保證這些數(shù)據(jù)的物理安全。本文首先分別從云計(jì)算中數(shù)據(jù)的隱私保護(hù)、查詢結(jié)果的完整性認(rèn)證，數(shù)據(jù)訪問(wèn)權(quán)限控制以及數(shù)據(jù)的物理安全機(jī)制4個(gè)方面對(duì)已有工作進(jìn)行了分類總結(jié)，旨在為后續(xù)研究工作提供參考。

2 數(shù)據(jù)隱私保護(hù)技術(shù)

為保護(hù)用戶數(shù)據(jù)的隱私，用戶在把數(shù)據(jù)交給云服務(wù)器前需要對(duì)數(shù)據(jù)進(jìn)行加密，然后將密文數(shù)據(jù)提交給云服務(wù)器進(jìn)行存儲(chǔ)。隨后當(dāng)用戶對(duì)其數(shù)據(jù)進(jìn)行查詢時(shí)，用戶也需要將查詢條件加密，否則查詢條件將暴露數(shù)據(jù)信息。這就需要云服務(wù)器能夠在加密的數(shù)據(jù)上根據(jù)加密的查詢條件進(jìn)行查詢處理。下面分別從基于不經(jīng)意隨機(jī)訪問(wèn)存儲(chǔ)器（ORAM）的隱私保護(hù)、基于對(duì)稱加密的隱私保護(hù)方法、基于公鑰體制的隱私保護(hù)方法以及文檔的排名查詢和模糊查詢等方面來(lái)闡述國(guó)內(nèi)外的研究現(xiàn)狀。

2.1 ORAM下的相關(guān)研究

加密數(shù)據(jù)的查詢問(wèn)題可以采用不經(jīng)意隨機(jī)訪問(wèn)內(nèi)存（ORAM, oblivious RAM）來(lái)實(shí)現(xiàn)。所謂的不經(jīng)意（oblivious）內(nèi)存訪問(wèn)是指對(duì)存儲(chǔ)器的訪問(wèn)不暴露任何查詢信息，即對(duì)任意2個(gè)不同的輸入所需要的處理時(shí)間相同，則處理過(guò)程中對(duì)內(nèi)存的訪問(wèn)序列相同。ORAM最開始研究是為了進(jìn)行軟件版權(quán)保護(hù)和防止代碼反向工程[3～6]。在云計(jì)算中，不同數(shù)據(jù)的訪問(wèn)頻度也泄漏了大量的數(shù)據(jù)信息，因此研究者基于 ORAM 上來(lái)實(shí)現(xiàn)可搜索對(duì)稱加密問(wèn)題上進(jìn)行了大量研究[7～17]。文獻(xiàn)[7]提出了一種基于二叉樹結(jié)構(gòu)的不經(jīng)意數(shù)據(jù)存儲(chǔ)方案，在進(jìn)行數(shù)據(jù)讀取時(shí)，每一次都是讀取一條從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)路徑上的所有節(jié)點(diǎn)數(shù)據(jù)，利用二叉樹的內(nèi)部節(jié)點(diǎn)可以同時(shí)處在不同路徑上的特點(diǎn)，在讀取后重新對(duì)處在該路徑上的數(shù)據(jù)進(jìn)行重新分布，并且可以將一些數(shù)據(jù)修改到其他路徑上，使服務(wù)器無(wú)從知道數(shù)據(jù)的訪問(wèn)頻度。文獻(xiàn)[12]將加密數(shù)據(jù)存儲(chǔ)在 Mainpart和Shelter 2部分，并且在客戶端建立指向Shelter部分的索引結(jié)構(gòu)，在進(jìn)行數(shù)據(jù)讀取時(shí)，分別讀取索引指向的Shelter對(duì)應(yīng)的層和MainPart來(lái)防止服務(wù)器了解真實(shí)讀取的數(shù)據(jù)。

基于 ORAM 的可搜索加密能夠達(dá)到非常高的安全保障，但這種高安全保障所需要的計(jì)算代價(jià)很高，例如文獻(xiàn)[7]每一次要讀取數(shù)據(jù)總量的對(duì)數(shù)級(jí)的數(shù)據(jù)量，當(dāng)數(shù)據(jù)量很大時(shí)，這些方案很難具有實(shí)際價(jià)值。同時(shí)客戶端要保存大量的相關(guān)數(shù)據(jù)，例如文獻(xiàn)[7]和文獻(xiàn)[12]上都要保存對(duì)數(shù)據(jù)的索引。在云計(jì)算中，數(shù)據(jù)的量往往很大，相應(yīng)的數(shù)據(jù)客戶也非常多，因此目前基于 ORAM 的隱私保護(hù)方案還很難在實(shí)際中應(yīng)用。

2.2 基于對(duì)稱加密的可搜索方案

基于關(guān)鍵字的隱私保護(hù)查詢第一種方案就是采用可搜索對(duì)稱加密技術(shù)。Song等[18]首先明確提出了基于對(duì)稱加密的可搜索密文技術(shù)（SSE, searchable symmetric encryption），并給出了一種無(wú)交互密文搜索方案。具體來(lái)說(shuō)，Song等的方案是為每一個(gè)關(guān)鍵詞設(shè)計(jì)一個(gè)2層加密結(jié)構(gòu)，當(dāng)進(jìn)行查詢時(shí)，服務(wù)器通過(guò)用戶提供加密的查詢條件解開關(guān)鍵詞的第一層加密來(lái)核對(duì)內(nèi)層密文是否具有正確的形式來(lái)判斷對(duì)應(yīng)文檔是否滿足查詢條件。該方案存的缺陷是容易遭受統(tǒng)計(jì)攻擊，同時(shí)查詢的時(shí)間復(fù)雜度是線性級(jí)。隨后， Goh給出了2種索引的安全模型[19]，即抵抗選擇明文攻擊的語(yǔ)義安全 IND-CKA和IND2-CKA。IND-CKA和IND2-CKA模型保證文檔內(nèi)容不會(huì)被建立在其上的索引以及其他文檔的索引泄漏，并提出了一種滿足IND-CKA安全的安全索引Z-Index。Z-Index采用布魯姆過(guò)濾器和偽隨機(jī)函數(shù)為每一個(gè)文檔建立了一個(gè)索引，通過(guò)為每一個(gè)布魯姆過(guò)濾器分配一個(gè)不同的 ID以及對(duì)一些位隨機(jī)置“1”使這些索引不可區(qū)分。Goh的方案同樣需要的查詢時(shí)間復(fù)雜度與文檔的數(shù)量呈線性級(jí)；同時(shí)，由于布魯姆過(guò)濾器的假陽(yáng)性問(wèn)題使查詢結(jié)果不可避免地含有假陽(yáng)性數(shù)據(jù)，特別是當(dāng)不同文檔中出現(xiàn)的關(guān)鍵詞的數(shù)量出現(xiàn)差異較大時(shí)，對(duì)布魯姆過(guò)濾器的一些位隨機(jī)置“1”來(lái)隱藏關(guān)鍵詞數(shù)量將使查詢結(jié)果中的假陽(yáng)性比例進(jìn)一步增大。

Curtmola等[20]指出 IND2-CKA不能夠保證用戶查詢條件的隱私，他們構(gòu)建了一個(gè)滿足IND2-CKA安全的索引，并證明了通過(guò)該索引不能構(gòu)建一個(gè)安全的可搜索的對(duì)稱加密方案。在此基礎(chǔ)上提出了2種攻擊模型：非自適應(yīng)的攻擊模型和自適應(yīng)的攻擊模型。對(duì)于非自適應(yīng)的攻擊模型，攻擊者構(gòu)建查詢條件時(shí)不考慮已有的查詢歷史，即已有的查詢條件以及對(duì)應(yīng)該查詢條件的查詢結(jié)果。自適應(yīng)攻擊模型中，攻擊者的查詢條件是根據(jù)已有的查詢歷史來(lái)進(jìn)行構(gòu)建，并指出在此之前的所有可搜索對(duì)稱加密方案考慮的是在非自適應(yīng)攻擊模型下的安全，并將此前的 IND-CKA和 IND2-CKA稱為CKA1，稱在自適應(yīng)攻擊模型下滿足抵抗選擇性明文攻擊的安全為CKA2。只有當(dāng)查詢條件獨(dú)立于密文、加密的索引以及查詢歷史的情況下，滿足CKA1安全模型的方案才真正安全[21]。文獻(xiàn)[20]提出了一個(gè)滿足CKA2安全的安全方案，該方案將不同文件中出現(xiàn)的同一個(gè)關(guān)鍵詞采用不同的方式來(lái)表示，例如3個(gè)文檔D5、D8、D9同時(shí)包含關(guān)鍵詞“coin”，則分別采用“coin1”、“coin2”和“coin3”來(lái)表示。正如該文自身指出的一樣，該方案雖然能滿足CKA2安全，但同時(shí)增大了查詢代價(jià)和存儲(chǔ)代價(jià)。此后，研究者提出了多個(gè)滿足CKA2安全的可搜索對(duì)稱加密方案[22～24]，其中，文獻(xiàn)[23]提出了一種更強(qiáng)的安全方案，該方案可以在惡意攻擊模型下保證用戶查詢結(jié)果的正確性。

數(shù)據(jù)更新是一項(xiàng)基本的操作，如何在可搜索對(duì)稱加密方案上實(shí)現(xiàn)數(shù)據(jù)更新一直是一個(gè)難點(diǎn)。Kamara等在文獻(xiàn)[21]中提出了動(dòng)態(tài)可搜索對(duì)稱加密的概念（dynamic searchable symmetric encryption），指出一個(gè)實(shí)際可行的可搜索對(duì)稱加密方案必須滿足如下 3個(gè)條件：1）查詢時(shí)間復(fù)雜度應(yīng)該是亞線性；2）能抵抗適應(yīng)性選擇明文攻擊；3）緊湊的索引結(jié)構(gòu)并且支持高效的數(shù)據(jù)更新操作。并對(duì)其在文獻(xiàn)[20]中提出的SSE-1方案進(jìn)行改進(jìn)來(lái)滿足上述3個(gè)條件。SSE-1方案只滿足抵抗非自適應(yīng)性選擇明文攻擊，并且不支持?jǐn)?shù)據(jù)的更新操作。Kamara通過(guò)采用非提交式加密方案實(shí)現(xiàn)SSE-1滿足抵抗適應(yīng)性選擇明文攻擊；為了實(shí)現(xiàn)動(dòng)態(tài)性，他們通過(guò)增加一個(gè)額外的刪除數(shù)組來(lái)幫助服務(wù)器找到指向被刪除文件的指針；采用同態(tài)加密方案對(duì)存儲(chǔ)在節(jié)點(diǎn)上的指向數(shù)據(jù)文件的指針進(jìn)行加密，使服務(wù)器在不進(jìn)行解密的情況下對(duì)指針內(nèi)容進(jìn)行修改；采用包含可利用空間表在內(nèi)的額外結(jié)構(gòu)來(lái)維護(hù)可用存儲(chǔ)空間實(shí)現(xiàn)新節(jié)點(diǎn)的加入。但是該方案過(guò)于復(fù)雜，很難實(shí)現(xiàn)[25]，同時(shí)在更新數(shù)據(jù)的過(guò)程中泄漏了過(guò)多信息。

2013年，Kamara等進(jìn)一步提出了一個(gè)基于紅黑樹結(jié)構(gòu)的并行動(dòng)態(tài)對(duì)稱可搜索加密方案[25]。在他們的方案中，紅黑樹的每一個(gè)節(jié)點(diǎn)的數(shù)據(jù)域是2個(gè)長(zhǎng)度完全相等的散列表，每一個(gè)關(guān)鍵詞對(duì)應(yīng)到2個(gè)散列表的同一個(gè)位置中的一個(gè)。通過(guò)這中構(gòu)造來(lái)實(shí)現(xiàn)抵抗自適應(yīng)選擇明文攻擊這種安全強(qiáng)度。通過(guò)二叉樹結(jié)構(gòu)的可并行性來(lái)實(shí)現(xiàn)查詢過(guò)程的并行。該方案需要為關(guān)鍵字集合中所有關(guān)鍵詞在散列表中分配一個(gè)位置，因此只適用于關(guān)鍵字?jǐn)?shù)目較少的情況。

2.3 基于公鑰體制的可搜索加密方案

與基于對(duì)稱加密的可搜索方案對(duì)應(yīng)的就是基于公鑰體制的加密可搜索方案。

Boneh等于2004年提出了一種基于雙線性對(duì)的抵抗自適應(yīng)選擇明文攻擊的可搜索的公鑰加密（PEKS, public-key encryption with keyword search）方案[26]。該方案存在2個(gè)缺陷：由于采用公開的公鑰對(duì)關(guān)鍵字進(jìn)行加密，攻擊者可以對(duì)關(guān)鍵字進(jìn)行猜測(cè)并采用公布的公鑰來(lái)驗(yàn)證其猜測(cè)的正確性；查詢的時(shí)間復(fù)雜度與文檔數(shù)量呈線性級(jí)。在此基礎(chǔ)上，Abdalla等進(jìn)一步完善了PEKS的基礎(chǔ)理論[27]。目前，科研人員基于PEKS提出了多種檢索方法，文獻(xiàn)[28]提出了支持范圍檢索和子集檢索的 PEKS方案，文獻(xiàn)[29]提出了支持時(shí)間范圍的檢索方案，文獻(xiàn)[30]提出了相似性檢索方案，文獻(xiàn)[31,32]提出了支持關(guān)鍵詞合取的檢索方案。然而，基于公鑰體制的檢索方法計(jì)算復(fù)雜度高，在實(shí)際應(yīng)用中難以應(yīng)用。

2.4 安全排名查詢

安全排名查詢是指系統(tǒng)按照一定的相關(guān)度準(zhǔn)則（例如關(guān)鍵字出現(xiàn)的頻率）將查詢結(jié)果返回給用戶。安全排名查詢提高了系統(tǒng)的適用性，符合云計(jì)算環(huán)境下的隱私數(shù)據(jù)保護(hù)的實(shí)際需求。

可搜索密碼方案使用戶能夠安全地通過(guò)關(guān)鍵字搜索加密后的數(shù)據(jù)?？紤]到“半可信”(semi-honest but curious)情形下，一方面，云服務(wù)器可能會(huì)主動(dòng)分析存儲(chǔ)在其本地的文件數(shù)據(jù)，窺探用戶隱私，破壞數(shù)據(jù)安全性；另一方面，出于節(jié)省經(jīng)濟(jì)成本或帶寬的目的，自私的云服務(wù)器可能只執(zhí)行部分查詢操作或只返回部分正確的查詢結(jié)果。因此，Chai等[33]提出了一種可驗(yàn)證查詢結(jié)果的對(duì)稱加密搜索算法。算法采用隱私保護(hù)特里樹(privacy-preserving trie)對(duì)數(shù)據(jù)集合進(jìn)行組織，利用對(duì)稱密鑰對(duì)所有文件數(shù)據(jù)進(jìn)行獨(dú)立加密確保其安全性。然而，可搜索密碼方案只支持布爾查詢，無(wú)法捕獲數(shù)據(jù)的相關(guān)度信息。用戶需要對(duì)查詢結(jié)果中所有文件進(jìn)行解密處理，并從中尋找出最佳匹配的結(jié)果，從而造成了用戶需要處理大量數(shù)據(jù)文件的負(fù)擔(dān)。另一方面，取回每個(gè)包含關(guān)鍵字的返回?cái)?shù)據(jù)文件，勢(shì)必會(huì)消耗許多不必要的網(wǎng)絡(luò)流量，這是不適合當(dāng)前“Pay-as-You-Use”的云架構(gòu)。因此，可搜索密碼方案在云計(jì)算環(huán)境下的查詢效率并不是最佳的。

Wang等[34]利用關(guān)鍵字頻率和反文檔頻率的評(píng)分規(guī)則(TF-IDF rules)[35]對(duì)數(shù)據(jù)文檔和關(guān)鍵字之間的相關(guān)度進(jìn)行衡量，已現(xiàn)有可搜索密碼方案[20]為基礎(chǔ)上提出了一種RSSE（ranked searchable symmetric encryption）算法，從而實(shí)現(xiàn)了對(duì)云計(jì)算環(huán)境下加密數(shù)據(jù)的安全排名查詢。然而，RSSE算法存在以下不足：1)繼承可搜索加密算法的同時(shí)也引入了算法的固有缺陷，即在客戶端會(huì)產(chǎn)生較大的計(jì)算功耗和后處理功耗；2)文件的相關(guān)度分?jǐn)?shù)(relevance score)可能會(huì)被估算出來(lái)。因此，Wang等進(jìn)一步在該文中提出了一種基于保序?qū)ΨQ加密算法[36]的 OPSE算法，利用一對(duì)多的保序映射實(shí)現(xiàn)對(duì)數(shù)據(jù)文件的隱私性保護(hù)，同時(shí)通過(guò)對(duì)映射范圍的優(yōu)化提高了查詢效率。

隨后，Cao等[37]將安全排名查詢從一維關(guān)鍵字推廣到了多維關(guān)鍵字，基于“協(xié)調(diào)匹配”原理[38]提出一種MRSE（multi-keyword ranked search）算法，通過(guò)在查詢條件中增加虛假關(guān)鍵字保護(hù)了用戶的搜索行為模式和文件訪問(wèn)模式，同時(shí)結(jié)合內(nèi)積相似度（inner product similarity）計(jì)算文件與多維關(guān)鍵字之間的相關(guān)度。然而 MRSE算法存在如下問(wèn)題[39]：1) MRSE采用靜態(tài)的關(guān)鍵字詞典，一旦關(guān)鍵字?jǐn)?shù)量增加就需要重新構(gòu)建詞典；2) MRSE的令牌生成算法會(huì)導(dǎo)致查詢結(jié)果順序混亂的問(wèn)題，查詢結(jié)果可能遺漏包含較多匹配關(guān)鍵字的文件；3) MRSE沒(méi)有考慮關(guān)鍵字訪問(wèn)頻率，降低了系統(tǒng)的實(shí)用性。針對(duì)上述詞典重構(gòu)、查詢結(jié)果亂序等問(wèn)題，Xu等[39]通過(guò)引入分塊矩陣構(gòu)建關(guān)鍵字詞典，使關(guān)鍵字詞典的內(nèi)容實(shí)現(xiàn)動(dòng)態(tài)更新，同時(shí)向關(guān)鍵字詞典引入隨機(jī)因子，減少正態(tài)分布下的冗余關(guān)鍵字對(duì)查詢結(jié)果正確性的影響。為了進(jìn)一步實(shí)現(xiàn)精確查詢，算法在相關(guān)度分?jǐn)?shù)計(jì)算過(guò)程中引入了關(guān)鍵字頻率，避免遺漏正確的查詢結(jié)果。然而，該算法與MRSE算法均采用了矩陣保護(hù)文件隱私性，矩陣的乘法運(yùn)算開銷會(huì)對(duì)高維數(shù)據(jù)情形下的查詢效率造成一定的影響[40]。

2.5 安全模糊查詢

安全模糊查詢是指系統(tǒng)根據(jù)查詢條件和數(shù)據(jù)文檔之間的相似程度將查詢結(jié)果返回給用戶。安全模糊查詢能夠容忍查詢條件在文字或者格式上的細(xì)微錯(cuò)誤，提高了系統(tǒng)的用戶體驗(yàn)性，符合云計(jì)算環(huán)境下的隱私數(shù)據(jù)保護(hù)的實(shí)際需求。可搜索密碼方案只支持精確查詢，不能容忍少量的文字或格式錯(cuò)誤，而這些少量錯(cuò)誤往往在用戶安全查詢過(guò)程中不可避免。因此，可搜索密碼方案并不適合云計(jì)算環(huán)境下的安全模糊查詢。

Li等[41]利用編輯距離（edit distance）[42]量化了關(guān)鍵字之間的相似度，并在通配符技術(shù)（wildcard）的基礎(chǔ)上建立了模糊關(guān)鍵字集合，由此提出了一種安全模糊查詢方案，實(shí)現(xiàn)了模糊語(yǔ)義下的安全查詢，這是云計(jì)算環(huán)境下首次提出的安全模糊查詢方案。文獻(xiàn)[43]將各個(gè)關(guān)鍵字的通配符集合轉(zhuǎn)換成反向索引表，通過(guò)特里樹對(duì)索引進(jìn)行結(jié)構(gòu)化組織，提高了查詢效率，同時(shí)通過(guò)采用虛假關(guān)鍵字提高了查詢機(jī)制的安全性。然而上述工作存在以下不足：1)算法需要將各個(gè)關(guān)鍵字作為索引樹的葉子節(jié)點(diǎn)，導(dǎo)致存儲(chǔ)空間開銷很大；2) 不支持高效的增量式更新；3) 由于采用枚舉方式構(gòu)造模糊關(guān)鍵字集合，算法復(fù)雜度較高，當(dāng)關(guān)鍵字長(zhǎng)度為l，編輯距離為d時(shí)，集合元素有

2.6 數(shù)值型數(shù)據(jù)安全查詢

與關(guān)鍵字查詢相比，數(shù)值型數(shù)據(jù)的查詢更復(fù)雜，因?yàn)閷?duì)數(shù)值型數(shù)據(jù)進(jìn)行查詢不僅僅是進(jìn)行等值查詢，大多數(shù)情況還需要進(jìn)行數(shù)據(jù)的大小比較。如何在保護(hù)隱私情況下進(jìn)行數(shù)據(jù)大小的比較是一個(gè)極大的挑戰(zhàn)。數(shù)值型數(shù)據(jù)的隱私查詢技術(shù)同樣可以分為基于對(duì)稱密鑰的方案和基于非對(duì)稱密鑰的方案。傳統(tǒng)基于對(duì)稱密鑰的數(shù)值隱私查詢解決方案又可以進(jìn)一步分為3種：基于桶劃分的方案[44,45]、基于保序散列的方案[46]和基于保序加密的方案[47]。基于桶劃分方案的基本思想是用戶首先把數(shù)據(jù)按大小排序并劃分成若干桶，然后將每個(gè)桶內(nèi)的數(shù)據(jù)逐一加密，最后把桶編號(hào)并和數(shù)據(jù)一起交給云服務(wù)器；之后用戶對(duì)其數(shù)據(jù)查詢時(shí)，用戶首先根據(jù)查詢條件找出相關(guān)桶的編號(hào)并將編號(hào)交給云服務(wù)器作為查詢條件。這種基于桶劃分的隱私保護(hù)方案存在3個(gè)主要缺陷：1) 攻擊者比較容易估計(jì)出數(shù)據(jù)的分布情況，這將部分暴露敏感信息；2)當(dāng)數(shù)據(jù)集中在少數(shù)幾個(gè)桶中時(shí)，假陽(yáng)性數(shù)據(jù)顯著增加，浪費(fèi)了傳輸帶寬；3) 在多維情況時(shí)，存儲(chǔ)空間將隨數(shù)據(jù)維數(shù)增長(zhǎng)呈指數(shù)級(jí)上升?；诒Ｐ蛏⒘蟹桨负突诒Ｐ蚣用芊桨傅幕舅枷腩愃?，都是對(duì)數(shù)據(jù)進(jìn)行特定的散列或者加密運(yùn)算，其特點(diǎn)是運(yùn)算后數(shù)據(jù)之間的大小關(guān)系保持不變。目前的保序加密和保序散列方法存在以下3個(gè)缺陷：1) 數(shù)據(jù)擁有者需要與數(shù)據(jù)使用者共享大量信息，造成胖客戶端問(wèn)題；2) 當(dāng)攻擊者已知數(shù)據(jù)域范圍以及數(shù)據(jù)分布時(shí)，容易對(duì)數(shù)據(jù)真實(shí)值進(jìn)行估計(jì)；3) 保序方法部分暴露了數(shù)據(jù)用戶的興趣信息。這2種方案的一個(gè)共同弱點(diǎn)是安全性不高，不能抵抗選擇明文攻擊。

2.7 國(guó)內(nèi)隱私保護(hù)計(jì)算現(xiàn)狀

在國(guó)內(nèi)，研究人員對(duì)云計(jì)算下的隱私保護(hù)計(jì)算也進(jìn)行了一系列的研究，并取得了一定的成績(jī)。黃汝維等[48]設(shè)計(jì)了一個(gè)基于矩陣和向量運(yùn)算的可計(jì)算加密方案，該方案通過(guò)運(yùn)用向量和矩陣的各種運(yùn)算實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密，并支持對(duì)加密字符串的模糊檢索和對(duì)加密數(shù)值型數(shù)據(jù)的加、減、乘、除4種算術(shù)運(yùn)算。張逢喆等[49]從系統(tǒng)的角度設(shè)計(jì)了一個(gè)數(shù)據(jù)隱私保護(hù)與自我銷毀的安全系統(tǒng)Dissolver。該系統(tǒng)采用可信技術(shù)作為硬件上的可信計(jì)算基礎(chǔ)，借助虛擬機(jī)監(jiān)控器作為軟件上的可信計(jì)算基礎(chǔ)。通過(guò)虛擬監(jiān)控機(jī)來(lái)監(jiān)控、保護(hù)數(shù)據(jù)的隱私性以及負(fù)責(zé)對(duì)數(shù)據(jù)的銷毀處理。黃勤龍等[50]提出了一種云環(huán)境中支持隱私保護(hù)的數(shù)字版權(quán)保護(hù)方案。該方案采用基于屬性基加密算法和同態(tài)加密算法保護(hù)內(nèi)容加密秘鑰的安全性。該協(xié)議允許用戶匿名向云服務(wù)器訂購(gòu)內(nèi)容和申請(qǐng)授權(quán)，在保護(hù)用戶隱私的前提下防止云服務(wù)器收集用戶使用習(xí)慣等敏感信息。朱旭東等[51]針對(duì)云計(jì)算環(huán)境下加密圖像檢索問(wèn)題，提出了一種基于安全相似度運(yùn)算的隱私保護(hù)檢索方案。Li等[52]針對(duì)目前云計(jì)算環(huán)境中隱私保護(hù)的范圍查詢協(xié)議存在的問(wèn)題，提出了一個(gè)滿足IND-CKA安全模型的快速范圍查詢協(xié)議。這些研究工作對(duì)云計(jì)算下的隱私保護(hù)研究具有積極的意義。

3 數(shù)據(jù)完整性認(rèn)證

由于腐敗雇員等問(wèn)題，云平臺(tái)可能并不可信，當(dāng)用戶向云服務(wù)器提交數(shù)據(jù)查詢時(shí)，云服務(wù)器在返回給用戶的查詢結(jié)果中有可能包括虛假偽造的數(shù)據(jù)或者刪除部分滿足查詢條件的數(shù)據(jù)。因此在云計(jì)算環(huán)境下查詢結(jié)果的完整性認(rèn)證非常重要，可以及時(shí)發(fā)現(xiàn)云的惡意行為。查詢結(jié)果的完整性認(rèn)證與傳統(tǒng)意義上數(shù)據(jù)的完整性和所有權(quán)認(rèn)證有一定的聯(lián)系，但存在較大區(qū)別。傳統(tǒng)意義上的數(shù)據(jù)完整性和所有權(quán)認(rèn)證通常采用基于散列函數(shù)的消息認(rèn)證碼和數(shù)字簽名來(lái)實(shí)現(xiàn)。例如，數(shù)據(jù)擁有者為了讓數(shù)據(jù)使用者驗(yàn)證數(shù)據(jù)D的完整性和所有權(quán)，數(shù)據(jù)擁有者分別采用散列函數(shù)和簽名函數(shù)計(jì)算數(shù)據(jù)的散列結(jié)果H=Hash(D)和簽名結(jié)果S=Signpk(D)，其中簽名采用數(shù)據(jù)擁有者的私鑰進(jìn)行。數(shù)據(jù)用戶收到密文數(shù)據(jù)后進(jìn)行解密得到明文，通過(guò)計(jì)算明文的散列結(jié)果與收到的散列結(jié)果H進(jìn)行比對(duì)來(lái)確定數(shù)據(jù)的完整性，通過(guò)數(shù)據(jù)擁有者的公鑰來(lái)驗(yàn)證簽名S的真實(shí)性確定數(shù)據(jù)是否被偽造。但在云計(jì)算環(huán)境下，用戶的查詢結(jié)果只是整個(gè)數(shù)據(jù)文檔中的一部分，而且查詢結(jié)果隨查詢條件的改變而改變，數(shù)據(jù)用戶很難實(shí)現(xiàn)計(jì)算某一個(gè)散列值，同樣，也不能為所有的數(shù)據(jù)組合來(lái)計(jì)算簽名值。

2007年，Ateniese等在ACM CCS會(huì)議上從云計(jì)算的角度提出了數(shù)據(jù)擁有的可證明性問(wèn)題（PDP,provable data possession），即如何在不可信的服務(wù)器上存儲(chǔ)文件，并且服務(wù)器能夠向用戶證明數(shù)據(jù)是完整的。在此基礎(chǔ)上，Shacham等[53]在 2008年提出了一種基于橢圓曲線雙線性對(duì)的緊湊查詢結(jié)果證明（CPOR, compact proof of retrievability），該方案能支持所有用戶的私有驗(yàn)證與授權(quán)用戶的公開驗(yàn)證，但該方案建立在獨(dú)立算法的基礎(chǔ)上，缺乏統(tǒng)一的安全框架。2009年，Dodis等[54]研究了困難更大的 POR方案。但所有這些方案都針對(duì)靜態(tài)數(shù)據(jù)且基于公鑰體制，因此都存在認(rèn)證開銷大的問(wèn)題。

為解決動(dòng)態(tài)數(shù)據(jù)操作下的數(shù)據(jù)驗(yàn)證問(wèn)題，Ateniese等[55]提出了一種可擴(kuò)展的數(shù)據(jù)擁有證明方案，該方案建立在密碼學(xué)的Merkele散列樹和對(duì)稱密鑰加密的基礎(chǔ)上。但該方案缺乏隨機(jī)性，攻擊者可以通過(guò)竊聽(tīng)獲得的信息欺騙數(shù)據(jù)用戶；該方案另外一個(gè)缺陷是數(shù)據(jù)的修改次數(shù)是預(yù)先設(shè)定，存在容易失效的問(wèn)題。2009年，Erway等[56]為了支持動(dòng)態(tài)數(shù)據(jù)修改，提出了一種動(dòng)態(tài)數(shù)據(jù)擁有證明方案（DPDP, dynamic provable data possession）。這些方案依然建立在散列樹的基礎(chǔ)上。對(duì)于具有n個(gè)數(shù)據(jù)塊的數(shù)據(jù)文件，其基本方案在完整性認(rèn)證方面需要O(logn)的通信與計(jì)算復(fù)雜度，在其改進(jìn)的方案中存在信息泄露的問(wèn)題。2009年，Wang等[57]采用CPOR和 Merkle散列樹相結(jié)合的辦法提出了一種動(dòng)態(tài)方案，該方案中散列樹的變化依然非常復(fù)雜，與此相關(guān)的工作還有文獻(xiàn)[58～60]。這些工作都不適合對(duì)多維數(shù)據(jù)的完整性認(rèn)證問(wèn)題。

在數(shù)據(jù)庫(kù)方面，Narasimha等[61]提出基于聚集簽名與鄰居鏈的關(guān)系數(shù)據(jù)庫(kù)的查詢認(rèn)證方案。Chen等[62]提出了一種規(guī)則區(qū)間樹（CRT, canonical range trees）用于存儲(chǔ)多維數(shù)據(jù)的統(tǒng)計(jì)信息，在不缺失界信息的情況下可利用統(tǒng)計(jì)信息對(duì)查詢結(jié)果的完整性進(jìn)行驗(yàn)證。但簽名技術(shù)和數(shù)據(jù)鏈技術(shù)需要額外的驗(yàn)證對(duì)象，空間數(shù)據(jù)結(jié)構(gòu)建立復(fù)雜并且不支持隱私保護(hù)下的查詢。

在國(guó)內(nèi)，咸鶴群等[63]提出了一種帶掩碼驗(yàn)證樹的完整性認(rèn)證方案。劉媛等[64]提出了一種基于RSA數(shù)據(jù)完整性機(jī)制來(lái)確保數(shù)據(jù)的完整性。李睿等[65]提出了一種水印鏈技術(shù)對(duì)查詢結(jié)果進(jìn)行驗(yàn)證。其思路是將數(shù)據(jù)組成呈線性結(jié)構(gòu)，對(duì)每一個(gè)數(shù)據(jù)計(jì)算其散列值并將該散列值采用水印的方式嵌入到其前驅(qū)數(shù)據(jù)中，形成一條水印鏈。通過(guò)驗(yàn)證查詢結(jié)果中水印鏈的完整性來(lái)驗(yàn)證查詢結(jié)果的完整性。周恩光等[66]研究了在本地?zé)o副本的情況下對(duì)遠(yuǎn)程數(shù)據(jù)進(jìn)行完整性認(rèn)證問(wèn)題，并利用基于等級(jí)的認(rèn)證跳表提出了一種支持完全數(shù)據(jù)更新和公開審計(jì)的數(shù)據(jù)完整性認(rèn)證方案。

4 數(shù)據(jù)訪問(wèn)權(quán)限控制

數(shù)據(jù)的訪問(wèn)控制是指數(shù)據(jù)擁有者管理數(shù)據(jù)用戶訪問(wèn)數(shù)據(jù)的權(quán)限，包括對(duì)用戶進(jìn)行數(shù)據(jù)訪問(wèn)權(quán)限的授權(quán)以及對(duì)訪問(wèn)權(quán)限的回收。訪問(wèn)控制技術(shù)是保護(hù)數(shù)據(jù)不被非法使用的基礎(chǔ)。在云計(jì)算環(huán)境中，數(shù)據(jù)擁有者和數(shù)據(jù)存儲(chǔ)服務(wù)提供商不在同一個(gè)安全域內(nèi)。一方面，為了保護(hù)數(shù)據(jù)的隱私性，云服務(wù)器不會(huì)被授權(quán)對(duì)數(shù)據(jù)內(nèi)容的訪問(wèn)；另外一方面，數(shù)據(jù)存儲(chǔ)到云服務(wù)器上后，數(shù)據(jù)擁有者已經(jīng)無(wú)法從物理上對(duì)數(shù)據(jù)進(jìn)行控制。因此采用傳統(tǒng)的訪問(wèn)控制技術(shù)，即便數(shù)據(jù)擁有者制定了非常完善的訪問(wèn)控制策略，這些策略都可能不被執(zhí)行。如何將數(shù)據(jù)存儲(chǔ)到不可信的云服務(wù)器中還能對(duì)數(shù)據(jù)訪問(wèn)進(jìn)行控制是一個(gè)極大的挑戰(zhàn)。

目前，研究者主要從密碼學(xué)角度出發(fā)來(lái)設(shè)計(jì)實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限進(jìn)行控制，即通過(guò)控制對(duì)數(shù)據(jù)加密密鑰的分配來(lái)實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)權(quán)限的控制。采用密鑰的方式進(jìn)行數(shù)據(jù)訪問(wèn)權(quán)限控制需要考慮的 2個(gè)最基本問(wèn)題：在實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)權(quán)限的前提下如何降低密鑰管理以及數(shù)據(jù)加密所需要的代價(jià)。

2001年，Boneh等[67]和Cocks[68]分別基于雙線性對(duì)和二次剩余假設(shè)提出了不同的身份加密方案，這些方案為后續(xù)構(gòu)造靈活實(shí)用的屬性和身份加密方案奠定了基礎(chǔ)。

2005年，文獻(xiàn)[69]給出了第一個(gè)屬性加密（ABE,attribute based encryption）方案，其基本思想是將數(shù)據(jù)與一系列的屬性相關(guān)，并且用戶也具有一定量的屬性，屬性系統(tǒng)根據(jù)用戶的屬性為其頒發(fā)密鑰。數(shù)據(jù)擁有者在對(duì)數(shù)據(jù)進(jìn)行加密時(shí)，設(shè)置解密者需要滿足的屬性條件；數(shù)據(jù)用戶只有在滿足所設(shè)置的屬性條件才能對(duì)數(shù)據(jù)進(jìn)行解密。此后出現(xiàn)了大量的ABE方案，根據(jù)訪問(wèn)控制策略通過(guò)密文或者密鑰來(lái)實(shí)現(xiàn)的不同，可以分為基于密鑰的屬性加密（key policy ABE）方案[70,71]和基于密文的屬性加密(cipher text policy ABE)方案[72～74]。在 KP-ABE 中，屬性用于標(biāo)記密文，屬性的策略表達(dá)采用用戶的私鑰形式進(jìn)行表達(dá)。在CP-ABE中，密鑰與用戶的屬性相關(guān)，屬性的策略在密文中表達(dá)。2007年，Bethencour等[72]采用密鑰共享的方式提出了一種支持邏輯“與”、“或”運(yùn)算的基于密文的CP-ABE方案，該方案可以產(chǎn)生多種訪問(wèn)控制策略。

2010年，文獻(xiàn)[75,76]分別提出了與廣泛使用的腳色訪問(wèn)模型（RBAC, role based access control）一致的密碼系統(tǒng)模型。Shahandashi提出了基于門限的屬性簽名方案(t-ABS)，同年，Khader提出了基于屬性的群簽名方案[74]。

文獻(xiàn)[77]觀察到在實(shí)際應(yīng)用中每一個(gè)文件都可以賦予一組與該文件內(nèi)容相關(guān)的屬性，將每一個(gè)用戶的訪問(wèn)權(quán)限采用定義在這些屬性之上的一個(gè)邏輯表達(dá)式來(lái)表達(dá)。通過(guò)邏輯表達(dá)式的強(qiáng)表達(dá)能力來(lái)實(shí)現(xiàn)用戶細(xì)粒度數(shù)據(jù)訪問(wèn)權(quán)限的控制。該方案采用基于雙線性對(duì)的公鑰密碼體制，為每一個(gè)屬性分配一個(gè)公鑰分量，數(shù)據(jù)文件采用與其相關(guān)的屬性的公鑰分量進(jìn)行加密。分配給用戶的密鑰直接反應(yīng)該用戶的訪問(wèn)結(jié)構(gòu)，一個(gè)文件的屬性如果滿足該用戶的訪問(wèn)結(jié)構(gòu)，則該用戶的密鑰能對(duì)該文件進(jìn)行解密。該方案的加密復(fù)雜性只與數(shù)據(jù)文件的屬性相關(guān)，與用戶數(shù)目沒(méi)有關(guān)系，因此適合用戶數(shù)量大的應(yīng)用場(chǎng)合。

在國(guó)內(nèi)，洪澄等[78]提出了一種稱之為 ABACCS的訪問(wèn)控制方法，其核心思想是采用基于密文屬性的加密算法為用戶私鑰設(shè)置屬性，為數(shù)據(jù)密文設(shè)置屬性條件，通過(guò)匹配用戶私鑰屬性和密文數(shù)據(jù)屬性來(lái)確定用戶解密能力，從而達(dá)到對(duì)用戶權(quán)限的控制。

5 數(shù)據(jù)物理安全

數(shù)據(jù)擁有者將數(shù)據(jù)存儲(chǔ)在云服務(wù)器上，如何保證這些數(shù)據(jù)不被丟失是云端需要解決的問(wèn)題。數(shù)據(jù)備份是一種常用的方法，Chen等[79]提出了采用隨機(jī)可擴(kuò)展碼技術(shù)對(duì)大規(guī)模云存儲(chǔ)系統(tǒng)中的數(shù)據(jù)進(jìn)行備份，對(duì)一個(gè)含有n個(gè)硬盤的陣列使用t個(gè)硬盤進(jìn)行冗余備份，系統(tǒng)能夠容忍t/2硬盤的數(shù)據(jù)失效。Sun等[80]首先對(duì)云環(huán)境中動(dòng)態(tài)數(shù)據(jù)備份策略進(jìn)行建模，分析出副本數(shù)和系統(tǒng)可靠性的關(guān)系，在此基礎(chǔ)上設(shè)計(jì)出了一種動(dòng)態(tài)備份算法，以提高系統(tǒng)數(shù)據(jù)可用性、容錯(cuò)能力，并能夠優(yōu)化系統(tǒng)帶寬開銷。Bonvin等[81]針對(duì)云環(huán)境數(shù)據(jù)失效問(wèn)題，提出一種可靠、高效的自管理密鑰存儲(chǔ)管理機(jī)制，動(dòng)態(tài)地為多個(gè)應(yīng)用分配資源，并對(duì)每個(gè)數(shù)據(jù)分區(qū)進(jìn)行單獨(dú)優(yōu)化，根據(jù)最大化分區(qū)、存儲(chǔ)和維護(hù)開銷的凈收益來(lái)選擇是否進(jìn)行數(shù)據(jù)遷移、備份和移除。Chen等[82]提出了一種稱為ECT(ensure codes token)的容錯(cuò)機(jī)制保證云存儲(chǔ)數(shù)據(jù)的正確性和錯(cuò)誤的快速定位、恢復(fù)。數(shù)據(jù)用戶事先計(jì)算一系列校驗(yàn)標(biāo)記，每個(gè)標(biāo)記對(duì)應(yīng)一組隨機(jī)的數(shù)據(jù)塊，用戶通過(guò)檢查云服務(wù)器上隨機(jī)生成字符串的塊索引是否與校驗(yàn)標(biāo)記是否一致來(lái)檢查數(shù)據(jù)存儲(chǔ)是否發(fā)生異常。Bicer等[83]設(shè)計(jì)開發(fā)了一個(gè)應(yīng)用程序接口，為云平臺(tái)下數(shù)據(jù)的計(jì)算提供可靠性保障，該接口可由編程人員顯式定義歸約對(duì)象，系統(tǒng)周期性地將每個(gè)節(jié)點(diǎn)上的這些對(duì)象緩存在其他地方，并用其支持失效還原。當(dāng)一個(gè)節(jié)點(diǎn)失效后，不在該節(jié)點(diǎn)處理的數(shù)據(jù)可以分發(fā)給其他節(jié)點(diǎn)，從該失效節(jié)點(diǎn)拷走的歸約對(duì)象可以和其他節(jié)點(diǎn)上的歸約對(duì)象合并處理以獲得最終結(jié)果，其實(shí)驗(yàn)結(jié)果證明當(dāng)失效發(fā)生時(shí)，能夠快速地進(jìn)行恢復(fù)。

目前，國(guó)內(nèi)針對(duì)云計(jì)算中數(shù)據(jù)物理安全方面鮮有研究。

6 結(jié)束語(yǔ)

數(shù)據(jù)安全是安全云計(jì)算的核心，本文從數(shù)據(jù)的隱私保護(hù)、計(jì)算結(jié)果的完整性認(rèn)證、數(shù)據(jù)訪問(wèn)權(quán)限控制以及數(shù)據(jù)的物理安全等4個(gè)方面對(duì)已有工作進(jìn)行了總結(jié)，希望對(duì)后續(xù)云計(jì)算中的數(shù)據(jù)安全研究提供幫助。

[1] TechCrunch. iPad breach update: more personal data was potentially at risk[EB/OL]. http://techcrunch.com/2010/06/15/iPad-breach-personaldata/,2010.

[2] ITGI. Global status report on the gorvance of enterprise IT (GETIT)-2011[EB/OL].http://www.isaca.org/ITGI-Global-Survey-Results, 2011.

[3] GOLDREICH O. Towards a theory of software protection and simulation by oblivious RAMs[A]. STOC[C]. 1987.

[4] OSTROVSKY R, SHOUP V. Private information storage (extended abstract)[A]. STOC[C]. 1997.294-303.

[5] GOLDREICH O, OSTROVSKY R. Software protection and simulation on oblivious RAMs[J]. J ACM, 1996, 43(3): 431-473.

[6] OSTROVSKY R. Efficient computation on oblivious RAMs[A]. ACM Symposium on Theory of Computing(STOC)[C]. 1990.

[7] STEFANOV E, DIJK M, SHI E,et al. Path oram: an extremely simple oblivious ram protocol[A]. CCS[C]. 2013.

[8] GOODRICH M T, MITZENMACHER M, OHRIMENKO O,et al.Privacy-preserving group data access via stateless oblivious RAM simulation[A]. SODA[C]. 2012.

[9] KUSHILEVITZ E, LU S, OSTROVSKY R. On the (in)security of hash-based oblivious RAM and a new balancing scheme[A]. SODA[C]. 2012.

[10] WILLIAMS P, SION R. Round-optimal access privacy on outsourced storage[A]. CCS[C]. 2012.

[11] SHI E, CHAN T H H, STEFANOV E,et al. Oblivious RAM with O((logN)3) worst-case cost[A]. ASIACRYPT[C]. 2011.197-214.

[12] BONEH D, MAZIERES D, POPA R A. Remote oblivious storage:making oblivious RAM practical manuscript[EB/OL]. http://dspace.mit.edu/bitstream/handle/1721.1/62006/MIT-CSAIL-TR-2011-018.pdf,2011.

[13] DAMGARD I, MELDGAARD S, NIELSEN J B. Perfectly secure oblivious RAM without random oracles[A]. TCC[C]. 2011.

[14] GOODRICH M T, MITZENMACHER M. Privacy-preserving access of outsourced data via oblivious RAM simulation[A]. ICALP[C].2011.

[15] GOODRICH M T, MITZENMACHER M, OHRIMENKO O,et al.Oblivious RAM simulation with efficient worst-case access overhead[A]. ACM Cloud Computing Security Workshop (CCSW)[C].2011.

[16] PINKAS B, REINMAN T. Oblivious RAM revisited[A]. CRYPTO[C].2010.

[17] WILLIAMS P, SION R, CARBUNAR B. Building castles out of mud:practical access pattern privacy and correctness on untrusted storage[A]. CCS[C]. 2008.

[18] SONG D, WAGNER D, PERRIG A. Practical techniques for searching on encrypted data[A]. Proc Symposium on Research in Security and Privacy (S&P)[C]. 2000.44-55.

[19] GOH E J. Technical report 2003/216, IACR ePrint Cryptography Archive[EB/OL]. http://eprint.iacr.org/2003/216.

[20] CURTMOLA R, GARAY J, KAMARA S,et al. Searchable symmetric encryption: improved definition and effcient constructions[A]. Proc ACM Conference on Computer and Communications Security(CCS)[C]. 2006. 79-88.

[21] KAMARA S, PAPAMANTHOU C, ROEDER T. Dynamic searchable symmetric encryption[A]. ACM CCSI[C]. 2012. 965-976.

[22] CHASE M, KAMARA S. Structured encryption and controlled disclosure[A]. Proc Int Conference on the Theory and Application of Cryptology and Information Security (ASIACRYPT)[C]. 2010.577-594.

[23] KUROSAWA K, OHTAKI Y. UC-secure searchable symmetric encryption[A]. Proc Financial Cryptography and Data Security (FC)[C].2012.

[24] LIESDONK P, SEDGHI S, DOUMEN J,et al. Computationally efficient searchable symmetric encryption[A]. Proc Workshop on Secure Data Management (SDM)[C]. 2010. 87-100.

[25] KAMARA S, PAPAMANTHOU C. Parallel and dynamic searchable symmetric encryption[A]. Financial Cryptography and Data Security(FC'13)[C]. 2013.

[26] BONEH D, CRESCENZO G, OSTROVSKY R,et al. Public key encryption with keyword search[A]. Proceedings of Eurocrypt 2004,LNCS 3027[C]. 2004.506-522.

[27] ABDALLA M, BELLARE M, CATALANO D,et al. Searchable encryption revisited: consistency properties, relation to anonymous IBE, and extensions[J]. J Cryptology, 2008, 21(3): 350-391.

[28] BONEH D, WATERS B. Conjunctive, subset, and range queries on encrypted data[A]. The Theory of Cryptography Conference (TCC)[C].2006.535-554.

[29] DAVIS D, MONROSE Fn, MICHAEL K. Reiter: Time-scoped searching of encrypted audit logs[A]. ICICS 2004[C]. 2004. 532-545.

[30] CHEUNG D W, MAMOULIS N, WONG W K,et al. Anonymous fuzzy identity-based encryption for similarity search[A]. ISAAC[C].2010.61-72.

[31] PARK D J, KIM K, LEE P J. Public key encryption with conjunctive field keyword search[A]. WISA 2004[C]. Springer, Heidelbeg,2004.73-86.

[32] GOLLE P, STADDON J, WATERS B. Secure conjunctive keyword search over encrypted data[A]. ACNS 04: 2nd International Conference on Applied Cryptography and Network Security[C]. 2004.31-45.

[33] WANG J, CHEN X, MA H,et al. A verifiable fuzzy keyword search over encrypted data[J]. Journal of Internet Services and Information Security, 2012:49-58.

[34] WANG C, CAO N, REN K,et al. Enabling secure and efficient ranked keyword search over outsourced cloud data[J]. IEEE Transactions on Parallel and Distributed Systems, 2012, 23(8): 1467-1479.

[35] ZOBEL J, MOFFAT A. Exploring the similarity space[J]. SIGIR Forum, 1998, 32(1):18-34.

[36] BOLDYREVA A, CHENETTE N, LEE Y,et al. Order-preserving symmetric encryption[A]. Proc of Eurocrypt[C]. 2009.

[37] CAO N, WANG C, LI M,et al. Privacy-preserving multi-keyword ranked search over encrypted cloud data[A]. Proc of INFOCOM[C].2011. 829-837.

[38] WITTEN I H, MOFFAT A, BELL T C. Managing Gigabytes: Compressing and Indexing Documents and Images[M]. Morgan Kaufmann Publishing, San Francisco, 1999.

[39] XU Z, KANG W, LI R,et al. Efficient multi-keyword ranked query on encrypted data in the cloud[A]. Proc of ICPADS[C]. 2012.

[40] SAVA? E, ?RENCIK C. Efficient and secure ranked multi-keyword search on encrypted cloud data[A]. Proc of Joint EDBT/ICDT Workshops[C]. 2012.186-195.

[41] LI J, WANG Q, WANG C,et al. Fuzzy keyword search over encrypted data in cloud computing[A]. Proc of IEEE INFOCOM[C]. 2010.441-445.

[42] LI J, WANG Q, WANG C,et al. Fuzzy keyword search over encrypted data in cloud computing[A]. Proc of IEEE INFOCOM[C]. 2010.441-445.

[43] WANG C, REN K, YU S,et al. Achieving usable and privacy- assuredsimilarity search over outsourced cloud data[A]. Proc of INFOCOM[C]. 2012.

[44] AGRAWAL R, KIERNAN J, SRIKANT R,et al. Order preserving encryption for numeric data[A]. Proc SIGMOD[C]. 2004.563-574.

[45] BONEH D, CRESCENZO G D, OSTROVSKY R,et al. Public key encryption with keyword search[A]. Proceedings of Eurocrypt 2004[C]. 2004. 506-522.

[46] MICHEL A, MIHIR B, DARIO C,et al. Searchable encryption revisited: consistency properties, relation to anonymous IBE, and extensions[J]. Cryptology,2008, 21(3):350-391.

[47] DAN B, BRENT W. Conjunctive, subset, and range queries on encrypted data[A]. The Theory of Cryptography Conference (TCC)[C].2006.535-554

[48] 黃汝維，桂小林，余思等. 云計(jì)算環(huán)境中支持隱私保護(hù)的可計(jì)算加密方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(12): 2391-2402.HUANG R W, GUI X L, YU S,et al. Privacy-preserving computable encryption scheme of cloud computing[J]. Chinese Journal of Computers, 2011, 34(12): 2391-2402.

[49] 張逢喆, 陳進(jìn), 陳海波等. 云計(jì)算中的數(shù)據(jù)隱私性保護(hù)與自我銷毀[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(7):1155-1167.ZHANG F Z, CHEN J, CHEN H B,et al. Life time privacy and self-destruction of data in the cloud[J]. Journal of Computer Research and Development, 2011, 48(7):1155-1167.

[50] 黃勤龍, 馬兆豐, 傅鏡藝等. 云計(jì)算環(huán)境中支持隱私保護(hù)的數(shù)字版權(quán)保護(hù)方案[J]. 通信學(xué)報(bào), 2014, 35(2):95-103.HUANG Q L, MA Z F, FU J Y,et al. Privacy-preserving digital rights management scheme in cloud computing[J]. Journal on Communications, 2014, 35(2):95-103.

[51] 朱旭東, 李暉, 郭禎. 云計(jì)算環(huán)境下加密圖像檢索[J]. 西安電子科技大學(xué)學(xué)報(bào)(自然科學(xué)版), 2014, 41(2): 151-158.ZHU X D, LI H, GOU Z. Privacy-preserving query over the encrypted image in cloud computing[J]. Journal of Xidian University, 2014,41(2): 151-158.

[52] LI R, LIU A X, WANG L Y,et al. Fast range query processing with strong privacy protection for cloud computing[A]. The 40th International Conference on Very Large Data Bases[C]. 2014.1953-1964.

[53] SHACHAM H, WATERS B. Compact proofs of retrievability[A].Proceedings of Asia Crypt[C]. Melbourne, Australia, 2008.90-107.

[54] DODIS Y, SALIL P, VADHAN D. Wichs: proofs of retrievability via hardness amplification[A]. IACR Cryptology ePrint Archive[C]. 2009.41.

[55] ATENIESE G, PIETRO R D, LUIGI V,et al. Scalable and efficient provable data possession[A]. IACR Cryptology ePrint Archive[C].2008.114.

[56] ERWAY C, KUPCU A, PAPAMANTHOU C,et al. Dynamic provable data possession[A]. Proceedings of the 16th ACM conference on Computer and communications security[C].2009. 213-222.

[57] WANG Q, WANG C, LI J,et al. Enabling public verifiability and data dynamics for storage security in cloud computing[A]. ESORICS 2009[C]. Saint Malo, France, 2009.21-25.

[58] BOWERS K D, JUELS A, OPREA A. HAIL: a high-availability and integrity layer for cloud storage[A]. Proceedings of the 16th ACM Conference on Computer and Communications Security[C]. 2009.187-198.

[59] CURTMOLA R, KHAN O, BURNS R,et al. MR-PDP: multiple-replica provable data possession[A]. Proceeding ICDCS '08 Proceedings of the 2008 The 28th International Conference on Distributed Computing Systems[C]. 2008. 411-420.

[60] ATENIESE G, KAMARA S, KATZ J. Proofs of storage from homomorphic identification protocols[A]. Cryptology-ASIACRYPT'09[C].2009.319-333.

[61] NARASIMHA M, TSUDIK G. Authentication of outsourced databases using signature aggregation and chaining[A]. Proc Inte Conf on Database Systems for Advanced Applications[C]. Springer Berlin, 2006.420-436.

[62] CHEN H, MAN X, HSU W,et al. Access control friendly query verification for outsourced data publishing[A]. Proc 13th European Symposium on Research in Computer Security[C]. Springer-Verlag, 2008.177-191.

[63] 咸鶴群, 馮登國(guó). 外包數(shù)據(jù)庫(kù)模型中的完整性檢測(cè)方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2010,47(6):1107-1115.XIAN H Q, FENG D G. An integrity checking scheme in outsourced database model[J]. Journal of Computer Research and Development,2010,47(6):1107-1115.

[64] 劉媛, 涂曉東, 張兵. 關(guān)于外包數(shù)據(jù)庫(kù)完整性驗(yàn)證的研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2010, 20(5):150-153, 157.LIU Y, TU X D, ZHANG B. Research on integrity verification of outsourcing database[J]. Journal of Computer Technology and Development, 2010, 20(5):150-153, 157.

[65] 李睿, 林亞平, 易葉青等. 兩層傳感器網(wǎng)絡(luò)中隱私與完整性保護(hù)的范圍查詢協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2013, 36(6): 1194-1209.LI R, LIN Y P, YI Y Q,et al. A privacy and integrity preserving range query protocol two-tiered sensor networks[J]. Chinese Journal of Computers, 2013, 36(6): 1194-1209.

[66] 周恩光, 李舟軍, 郭華等. 一個(gè)改進(jìn)的云存儲(chǔ)數(shù)據(jù)完整性驗(yàn)證方案[J]. 電子學(xué)報(bào), 2014, 42(1): 150-154.ZHOU E G, LI Z J, GUO H,et al. An improved data integrity verfication scheme in cloud storage system[J]. Acta Electronica Sinica, , 2014,42(1): 150-154.

[67] BONEH D, FRANKLIN M. Identity based encryption from the Weil pairing[A]. Crypto[C]. 2001.213-229.

[68] COCKS C. An identity based encryption scheme based on quadratic residues[A]. Proceedings of the 8th IMA International Conference on Cryptography and Coding[C]. 2001.360-363.

[69] SAHAI A, WATERS B. Fuzzy identity-based encryption[A]. EUROCRYPT 2005[C]. 2005. 457-473.

[70] GOYAL V, PANDEY O, SAHAI A,et al. Attribute-based encryption for fine-grained access control of encrypted data[A]. ACM Conference on Computer and Communications Security 2006[C]. 2006.89-98.

[71] OSTROVSKY R, SAHAI A, WATERS B. Attribute-based encryption with non-monotonic access structures[A]. ACM Conference on Computer and Communications Security 2007[C]. 2007.195-203.

[72] BETHENCOURT J, WATERS B, SAHAI A. Ciphertext-policy attribute-based encryption[A]. SP '07 Proceedings of the 2007 IEEE Symposium on Security and Privacy[C]. 2007.321-334.

[73] GOYAL V, JAIN A, PANDEY O,et al. Bounded ciphertext policy attribute based encryption[A]. ICALP '08 Proceedings of the 35th international colloquium on Automata, Languages and Programming[C].2008.579-591.

[74] KHADER D. Attribute Based Group Signatures[R]. Cryptology ePrint Archive, Report 2007/159.

[75] ZHU Y, AHN G J, HU H X,et al. Cryptographic role-based security mechanisms based on role-key hierarchy[A]. Proceedings of 5th ACM Symposium on Information, Computer and Communications Security(ASIACCS 2010)[C]. Beijing, China, 2010.

[76] ZHU Y, AHN G J, HU H G,et al. Cryptographic role-based security mechanisms based on role-key hierarchy[A]. ASIACCS 2010[C]. 2010.314-319

[77] YU S C, WANG C, REN K,et al. Achieving secure, scalable, and fine-grained data access control in cloud computing[A]. Proc of INFOCOM 2010[C]. 2010.

[78] 洪澄, 張敏, 馮登國(guó). AB-ACCS: 一種云存儲(chǔ)密文訪問(wèn)控制方法[J].計(jì)算機(jī)研究與發(fā)展, 2010, 47(Z1): 259-265.HONG C, ZHANG M, PENG D G. AB-ACCS: a cryptographic access control scheme for cloud storage[J]. Journal of Computer Research and Development, 2010, 47(Z1): 259-265.

[79] CHEN Z, XU Y, WANG X,et al. A new fault tolerance system for cloud storage[J]. Journal of Convergence Information Technology,2011, 6(4): 34-41.

[80] SUN D, CHANG G, GAO S,et al. Modeling a dynamic data replication strategy to increase system availability in cloud computing environments[J]. Journal of Computer Science and Technology,2012, 27(2):256-272.

[81] BONVIN N, PAPAIOANNOU T G, ABERER K. A self-organized,fault-tolerant and scalable replication scheme for cloud storage[A].Proceedings of the 1st ACM Symposium on Cloud Computing(SoCC)[C]. New York, NY, 2010.

[82] CHEN D, PING X. Research on data fault tolerance mechanism based on ECT in cloud storage[J]. Communications in Computer and Information Science, 2013, 334:14-25.

[83] BICER T, JIANG W, AGRAWAL G. Supporting fault tolerance in a data-intensive computing middleware[A]. IEEE International Symposium on Parallel & Distributed Processing (IPDPS)[C]. 2010.1-12.