パブリック・クラウドストレージ
- Microsoft Azure
- Amazon S3
- オフプレミスに位置
- スケーラブル、ダイナミック、低コスト
- データ共有、データ連携
- データはカスタマーのコントロールの範囲外
- 必ずしも信頼できないパーティが管理
- 秘匿性と一貫性の課題
→ 機密データはプライベート・クラウドストレージ(、ハイブリッド・クラウドストレージ)?
仮想プライベート・クラウドストレージ
暗号技術を活用することによって、
- パブリック・クラウドストレージを仮想的なプライベート・クラウドストレージとして用いる
ことを可能にしよう。(VPNのクラウドストレージ版)
- プライベート・クラウドストレージの安全性(秘匿性と一貫性)
- パブリック・クラウドストレージの機動性と低コスト性
仮想プライベート・クラウドストレージのアーキテクチャ
仮想プライベート・クラウドストレージのコア・コンポーネント:
- データ・プロセッサ(DP)
- クラウドストレージに送られる前にデータを処理する。暗号化など。
- データ・ベリファイア(DV)
- クラウドストレージ内のデータが壊されていないかチェックする。
- クレデンシャル・ジェネレータ(CG)
- データ共有/連携を可能とするクレデンシャルを生成。
- トークン・ジェネレータ(TG)
- クラウドストレージ・プロバイダが暗号化データの検索をできるようにするためのトークンを生成。
imageプラグインエラー : ご指定のファイルが見つかりません。ファイル名を確認して、再度指定してください。 (virtualCS.jpg)
- MegaCorpやPartnerCorpの従業員はCGより各自のクレデンシャルを入手。
- MegaCorp従業員はデータをアクセスポリシーとともにDPに送る。
- DPは暗号化など必要な処理を施したのち、データをクラウドプロバイダに送る。
- PartnerCorp従業員はキーワードをTGに送る。
- TGは(暗号化されたデータを検索するための)チケットを送り返す。
- PartnerCorp従業員はチケットをクラウドプロバイダに送る。
- クラウドプロバイダは(暗号化されたままの)検索結果をPartnerCorp従業員に返す。PartnerCorp従業員は自身のクレデンシャルを用いて復号し、検索結果を得る。
- 任意のタイミングで、MegaCorpのDVはクラウドストレージ内のデータの一貫性を確認する。
※ これらのコンポーネントをクラウド内に配置したら意味がない!
コア・コンポーネントの実現
DP
- データをインデックス付けし、インデックスを検索可能暗号で暗号化。
- データ本体をユニーク鍵で対称鍵暗号を用いて暗号化。
- ユニーク鍵を属性ベース暗号で適切なポリシーのもとで暗号化。
TG
検索可能暗号のトラップドア生成アルゴリズムで実現。
CG
属性ベース暗号のユーザ秘密鍵生成アルゴリズムで実現。
DV
ストレージ証明を用いて実現。
最終更新:2011年05月01日 16:11