数据外包存储服务(即云存储服务)是云计算中最重要的服务之一,它在大数据时代为用户提供了一种高效、便捷和灵活的数据管理方式。然而,在云存储系统中,用户的数据在公开网络进行传输与存储,由于系统的复杂性、数据的多样性以及公开网络中攻击的频发性,外包存储的数据和用户的隐私面临着严峻的安全威胁。首先,由于用户在数据外包存储后完全失去了对数据的掌控,因此,外包存储的数据面临着恶意篡改和删除等威胁,如何保护数据的完整性从而保证云存储服务的可靠性是用户关注的焦点;其次,由于外包存储数据中包含有用户的隐私信息,如何防止用户数据泄露,同时降低云存储服务的成本和保证外包存储数据的高效访问是用户的基本需求;最后,数据外包存储的模式在数字取证方面引入了新的更具有挑战性的问题,如何支持外包存储数据的安全取证成为了构建安全云存储系统的难点和关键点。本论文对云存储系统中的数据安全进行了深入的研究,具体包括以下内容。1.公共数据完整性检验方案的研究(1)利用不可区分的混淆器构造了一个在审计者端高效的公共数据完整性检验方案EPVDI,该方案中审计者审计数据完整性的计算开销是一个与挑战数据块数量和用户数量无关的常量,计算代价恒定小。(2)利用区块链技术和无证书的聚合签名构建了一个无证书的能够抵抗不诚实审计者(包括恶意的审计者和懒惰的审计者)的公共数据完整性检验方案CPVPA,其中审计者无需保存用户证书即可检验外包存储数据的完整性,不诚实的审计者与云服务器合谋也无法破坏方案的安全性。2.密文去重方案及其应用的研究(1)提出了一个云存储系统中多密钥服务器协助的密文去重方案DECKS,其中多个密钥服务器组成一个群组协助用户产生消息锁加密密钥,解决了现有方案中普遍存在的单点失效导致暴力字典攻击的问题。此外,设计了一个前摄防御机制,能够周期性地更新密钥服务器群组,使得DECKS的安全性不依赖于一个特定群组的密钥服务器的可靠性。密钥服务器群组的更新不会影响正常的密文去重功能。(2)提出了一个针对医疗数据的密文去重方案HealthDep。首先分析了实际的医疗数据和基于云存储的电子医疗系统,分析发现:ⅰ.实际医疗数据的信息熵很低;ⅱ.在实际的医疗系统中利用数据去重可降低超过66%的存储开销;ⅲ.当患者就诊于同一医生或同一科室时,会产生大量重复数据;当患者就诊于不同科室时,产生重复数据的概率很小。基于上述分析结果,利用DECKS,提出了HealthDep,使云服务器执行去重的效率显著提升,患者只需使用智能手机即可完成所有操作。和现有方案比,HealthDep提供了更强的安全性保证。3.公钥可搜索加密方案的研究(1)提出了一个云存储系统中多服务器协助下能够抵抗关键词猜测攻击的公钥可搜索加密方案SEPSE。在SEPSE中,用户在多个密钥服务器的协助下计算原始关键词对应的盲化关键词,并对盲化关键词加密后外包存储,这使得敌手无法通过离线关键词猜测攻击破坏外包存储密文的机密性。此外,为了防止密钥服务器的密钥泄露,SEPSE支持周期性地更新密钥服务器的私钥,并且保证正常的关键词密文检索功能。(2)提出了一个基于区块链的限速机制,使得密钥服务器可以有效获取并控制用户产生盲化关键词的数量,从而抵御在线关键词猜测攻击。将该限速机制整合进SEPSE,使用户端的通信开销显著降低。4.外包存储数据的安全取证研究(1)首先引入了外包存储数据的生命周期并定义了其溯源模型。在此基础上,提出了一个基于区块链的安全数据溯源方案ESP。ESP中任意两方合谋无法破坏溯源记录的安全性,为外包存储数据的安全取证提供了技术保障。(2)提出了一个基于区块链的精确的安全时戳方案Chronos~+,方案中外包数据存储服务和安全时戳服务都由云服务器提供。在Chronos~+中,即便敌手与云服务器合谋,也无法通过预填/倒填外包存储数据的产生时间来篡改数据时戳。此外,Chronos~+保证了时戳的准确性,能够精确地证明外包存储数据产生于一个较短的时间区间。本文的研究工作为保护外包存储系统中的数据安全提供了理论支撑和技术保障。