劉竹松，楊張杰

(廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣州 510006) (*通信作者電子郵箱liuzs@gdut.edu.cn)

基于布隆過濾器所有權(quán)證明的高效安全可去重云存儲(chǔ)方案

劉竹松*，楊張杰

(廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣州 510006) (*通信作者電子郵箱liuzs@gdut.edu.cn)

可去重云存儲(chǔ)系統(tǒng)中一般采用收斂加密算法，通過計(jì)算數(shù)據(jù)的哈希值作為其加密密鑰，使得重復(fù)的數(shù)據(jù)加密后得到相同的密文，可實(shí)現(xiàn)對(duì)重復(fù)數(shù)據(jù)的刪除；然后通過所有權(quán)證明(PoW)，驗(yàn)證用戶數(shù)據(jù)的真實(shí)性來(lái)保障數(shù)據(jù)安全。針對(duì)可去重云存儲(chǔ)系統(tǒng)中所有權(quán)證明時(shí)間開銷過高導(dǎo)致整個(gè)系統(tǒng)性能下降問題，提出了一種基于布隆過濾器進(jìn)行所有權(quán)證明的高效安全方法，實(shí)現(xiàn)用戶計(jì)算哈希值與初始化值的快速驗(yàn)證。最后，提出一種支持細(xì)粒度重復(fù)數(shù)據(jù)刪除的BF方案，當(dāng)文件級(jí)數(shù)據(jù)存在重復(fù)時(shí)進(jìn)行所有權(quán)證明，否則只需要進(jìn)行局部的文件塊級(jí)數(shù)據(jù)重復(fù)檢測(cè)。通過仿真對(duì)比實(shí)驗(yàn)，結(jié)果表明所提BF方案空間開銷低于經(jīng)典Baseline方案，同時(shí)時(shí)間開銷低于經(jīng)典Baseline方案，在數(shù)據(jù)文件越大的情況下性能優(yōu)勢(shì)更加明顯。

云存儲(chǔ)；數(shù)據(jù)去重；收斂加密；哈希算法；布隆過濾器

0 引言

由于許多IT企業(yè)相繼推出了云計(jì)算相關(guān)服務(wù)，促進(jìn)了該技術(shù)的發(fā)展，用戶通過云存儲(chǔ)保存的數(shù)據(jù)量也逐漸龐大，增長(zhǎng)速度也日益加快。根據(jù)IDC(International Data Corporation)的一份報(bào)告顯示，到2020年世界上數(shù)據(jù)量的總和將會(huì)超過44 ZB。巨大的存儲(chǔ)空間需求與現(xiàn)有的存儲(chǔ)能力產(chǎn)生了沖突。云服務(wù)提供商解決這一沖突的最佳方式是采取云存儲(chǔ)數(shù)據(jù)去重技術(shù)，近期的一些研究成果也表明，在云存儲(chǔ)中存在著大量的重復(fù)數(shù)據(jù)，而實(shí)驗(yàn)也表明重復(fù)數(shù)據(jù)刪除可減少0%～95%的存儲(chǔ)空間。

與數(shù)據(jù)的本地存儲(chǔ)不同，云存儲(chǔ)使用戶失去了對(duì)數(shù)據(jù)的絕對(duì)控制權(quán)，用戶便有了更多的安全擔(dān)憂。顯然，用戶希望對(duì)數(shù)據(jù)加密后再上傳到云存儲(chǔ)服務(wù)器，但不同的密鑰加密數(shù)據(jù)后會(huì)產(chǎn)生不同的密文，這樣重復(fù)數(shù)據(jù)刪除也就變得不可能，因此，如何化解數(shù)據(jù)去重與數(shù)據(jù)安全之間的矛盾，實(shí)現(xiàn)安全的數(shù)據(jù)去重技術(shù)已成為企業(yè)及科研機(jī)構(gòu)的一個(gè)重要任務(wù)。

收斂加密技術(shù)緩解了重復(fù)數(shù)據(jù)刪除系統(tǒng)的安全問題。收斂加密技術(shù)通過取數(shù)據(jù)的哈希值作為密鑰，并以此加密數(shù)據(jù)，使相同的數(shù)據(jù)原文在同一加密密鑰下得到相同的密文，實(shí)現(xiàn)了對(duì)重復(fù)數(shù)據(jù)的刪除。然而由于加密方式的確定性，收斂加密也有相應(yīng)的安全缺陷，假如惡意用戶知道密文C對(duì)應(yīng)的原文數(shù)據(jù)在一個(gè)元素?cái)?shù)量有限的集合{D1,D2,…,Dn}中，惡意用戶可以加密Di(i∈{1,2,…,n})，得到密文Ci，若判斷出C與Ci相等，則Di就是C對(duì)應(yīng)的原文數(shù)據(jù)?；谶@種情況，現(xiàn)在也出現(xiàn)了一些對(duì)收斂加密技術(shù)進(jìn)行改進(jìn)的方案。

針對(duì)以上所述問題，本文采取收斂加密技術(shù)實(shí)現(xiàn)重復(fù)數(shù)據(jù)的刪除，同時(shí)通過所有權(quán)證明解決收斂加密的安全缺陷；此外，為了降低所有權(quán)證明的時(shí)間開銷，提出一種基于布隆過濾器進(jìn)行所有權(quán)證明的方案。當(dāng)用戶向服務(wù)器發(fā)送文件存儲(chǔ)請(qǐng)求，且服務(wù)器判定數(shù)據(jù)已存在重復(fù)時(shí)，服務(wù)器隨機(jī)選取J個(gè)文件塊，讓用戶計(jì)算相應(yīng)的挑戰(zhàn)信息，服務(wù)器通過布隆過濾器對(duì)用戶計(jì)算結(jié)果進(jìn)行驗(yàn)證，當(dāng)J個(gè)驗(yàn)證結(jié)果在布隆過濾器的位置都為1時(shí)，則所有權(quán)證明通過，服務(wù)器授予用戶該文件的訪問權(quán)限。

1 研究現(xiàn)狀

重復(fù)數(shù)據(jù)刪除技術(shù)通過檢測(cè)并發(fā)現(xiàn)冗余數(shù)據(jù)而對(duì)數(shù)據(jù)只保留一份存儲(chǔ)來(lái)節(jié)省存儲(chǔ)空間[1]。不僅越來(lái)越多的學(xué)者和科研機(jī)構(gòu)發(fā)表關(guān)于重復(fù)數(shù)據(jù)刪除的理論研究成果，而且一些商業(yè)系統(tǒng)也將重復(fù)數(shù)據(jù)刪除技術(shù)應(yīng)用到實(shí)踐中。為了能對(duì)數(shù)據(jù)進(jìn)行重復(fù)刪除的同時(shí)保證數(shù)據(jù)的安全性，Douceur等[2]首先提出了收斂加密技術(shù)，其是一種由數(shù)據(jù)的哈希值作為密鑰的確定性加密技術(shù)，收斂加密在進(jìn)行重復(fù)數(shù)據(jù)刪除的同時(shí)很好地實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性保護(hù)[3-4]，如Bitcase、Ciphertite等商業(yè)系統(tǒng)采用了收斂加密技術(shù)[5]。然而收斂加密具有易受字典攻擊、選擇明文攻擊等特點(diǎn)[6]，其僅能保護(hù)不可預(yù)測(cè)數(shù)據(jù)，對(duì)于可預(yù)測(cè)數(shù)據(jù)的保護(hù)是比較脆弱的，但是現(xiàn)實(shí)中大多數(shù)數(shù)據(jù)都是可預(yù)測(cè)的。于是為了克服這一安全缺陷，Puzio等[7-8]實(shí)現(xiàn)了ClouDedup方案，在對(duì)數(shù)據(jù)進(jìn)行收斂加密的基礎(chǔ)上又引入一個(gè)單獨(dú)的密鑰服務(wù)器KS對(duì)數(shù)據(jù)再次加密。由于KS的密鑰是唯一的，因此也能對(duì)重復(fù)數(shù)據(jù)進(jìn)行刪除。Bellare等[9]實(shí)現(xiàn)了DupLESS方案，DupLESS中用戶借助一個(gè)密鑰服務(wù)器通過OPRF(ObliviousPseudoRandomFunction)協(xié)議獲得加密密鑰，并用此密鑰加密數(shù)據(jù)，很好地防止了字典攻擊；同時(shí)針對(duì)收斂加密的理論缺陷，Bellare等[10]提出了MLE(Message-LockedEncryption)這一密碼學(xué)定義，為收斂加密提供了理論依據(jù)。此外，重復(fù)數(shù)據(jù)刪除包括文件級(jí)重復(fù)數(shù)據(jù)刪除[11]和文件塊級(jí)重復(fù)數(shù)據(jù)刪除[12]，而對(duì)于文件塊級(jí)重復(fù)數(shù)據(jù)刪除由于對(duì)文件進(jìn)行分塊，提高了重復(fù)刪除的效率，但卻引入了密鑰管理難度提升等問題[13-14]。為了降低密鑰管理的難度，Li等[15]借助(n,k,r)-RSSS(Ramp Secret Sharing Scheme)分享函數(shù)，通過大于r個(gè)KM-CSP的通信得到收斂密鑰，提出了高可靠性的Dekey方案；Zhou等[16]實(shí)現(xiàn)了多級(jí)密鑰管理的SecDep方案，在用戶之間的數(shù)據(jù)進(jìn)行文件級(jí)重復(fù)刪除，在用戶本身的數(shù)據(jù)進(jìn)行文件塊級(jí)重復(fù)刪除。用文件級(jí)密鑰對(duì)文件塊級(jí)密鑰進(jìn)行加密，而文件級(jí)密鑰則被劃分成多份子密鑰后分發(fā)到多個(gè)密鑰服務(wù)器中，避免了密鑰數(shù)量隨著不同文件與文件共享數(shù)的增加而線性增長(zhǎng)，同時(shí)又實(shí)現(xiàn)了密鑰管理的高可靠性。

在重復(fù)數(shù)據(jù)刪除系統(tǒng)中，一份數(shù)據(jù)僅需存儲(chǔ)一次，后續(xù)相同數(shù)據(jù)就不再存儲(chǔ)，而是對(duì)用戶分配訪問控制權(quán)限。為了驗(yàn)證用戶確實(shí)持有數(shù)據(jù)，Halevi等[17]率先引入了“所有權(quán)證明”(Proof of oWnership, PoW)的概念，只有當(dāng)用戶擁有完整的數(shù)據(jù)時(shí)可以通過驗(yàn)證，而僅擁有部分?jǐn)?shù)據(jù)則無(wú)法通過驗(yàn)證；文獻(xiàn)[18]在云存儲(chǔ)系統(tǒng)中引入了PoW算法；文獻(xiàn)[19]基于PoW算法提出同時(shí)提高安全性與效率的Proof of Storage with Deduplication(POSD)數(shù)據(jù)去重解決方案；Pietro等[20]提出基于挑戰(zhàn)/應(yīng)答機(jī)制的PoW算法，使帶寬開銷和計(jì)算開銷不依賴于輸入文件的大小，提升了效率的同時(shí)又具有很高的安全性；Blasco等[21]提出了基于布隆過濾器的PoW方案，由服務(wù)器初始化布隆過濾器，通過文件塊驗(yàn)證信息與布隆過濾器對(duì)比，以判斷用戶是否擁有數(shù)據(jù)，在效率方面有著顯著的提高；但文獻(xiàn)[21]中并未涉及到數(shù)據(jù)的安全性問題。

2 研究思想及系統(tǒng)模型

本文方案的研究思想為：以收斂加密為核心，以基于布隆過濾器的所有權(quán)證明方式降低數(shù)據(jù)訪問授權(quán)的時(shí)間開銷，并以全局文件級(jí)去重與局部文件塊級(jí)去重相結(jié)合降低存儲(chǔ)空間開銷。方案系統(tǒng)模型如圖1所示。

2.1 收斂加密算法

收斂加密保證了相同的數(shù)據(jù)加密后會(huì)產(chǎn)生相同的密文，保證了對(duì)重復(fù)數(shù)據(jù)的刪除。用戶通過密鑰產(chǎn)生函數(shù)計(jì)算出數(shù)據(jù)密鑰，用標(biāo)記產(chǎn)生函數(shù)計(jì)算出數(shù)據(jù)標(biāo)記，并將數(shù)據(jù)標(biāo)記上傳到服務(wù)器進(jìn)行重復(fù)性檢測(cè)，當(dāng)服務(wù)器存在相應(yīng)標(biāo)記則證明數(shù)據(jù)重復(fù)。涉及到的函數(shù)如下：

1)GenKey(D)Key。Key是收斂密鑰產(chǎn)生算法通過計(jì)算數(shù)據(jù)D的哈希值所得。

2)Encrypt(Key,D)C。由Key與D作為輸入，通過對(duì)稱性與確定性加密算法計(jì)算出D對(duì)應(yīng)的密文C。

3)Decrypt(Key,C)D。由Key與C作為輸入，通過對(duì)稱解密算法計(jì)算出密文C對(duì)應(yīng)的原文D。

4)GenTag(D)T。GenTag是標(biāo)記產(chǎn)生算法，將數(shù)據(jù)D作為輸入，計(jì)算出D對(duì)應(yīng)的標(biāo)記T；此外，本文也允許使用函數(shù)GenTagC(C)T，即由密文C產(chǎn)生數(shù)據(jù)D的標(biāo)記。

2.2 所有權(quán)證明算法

所有權(quán)證明算法(PoW)是在客戶端進(jìn)行重復(fù)數(shù)據(jù)刪除時(shí)提升安全性的有力措施，是由服務(wù)器與客戶端共同參與的一種交互式算法。算法執(zhí)行時(shí)，服務(wù)器向客戶端發(fā)出驗(yàn)證請(qǐng)求，客戶端計(jì)算數(shù)據(jù)D對(duì)應(yīng)的哈希值h(D)并上傳到服務(wù)器；服務(wù)器計(jì)算數(shù)據(jù)D哈希值h′(D)與客戶端上傳的哈希值進(jìn)行對(duì)比：若二者值相同，則所有權(quán)證明通過；否則所有權(quán)證明失敗。

2.3 布隆過濾器

布隆過濾器是一種具有較高空間效率的概率性數(shù)據(jù)結(jié)構(gòu)，由一個(gè)較長(zhǎng)的二進(jìn)制向量和一系列隨機(jī)映射函數(shù)組成，用于判斷一個(gè)元素是否屬于特定的集合。布隆過濾器的主要優(yōu)點(diǎn)是其具有較少的查詢時(shí)間和較低的空間復(fù)雜度。然而布隆過濾器的一個(gè)缺陷是其存在一定的錯(cuò)誤概率，即一個(gè)不屬于集合的元素被誤判為屬于集合，而且集合中元素越多錯(cuò)誤的概率就越大，相反的情況則不會(huì)出現(xiàn)；另一個(gè)缺陷就是不可以刪除已存在的元素。

2.4 細(xì)粒度數(shù)據(jù)去重

基于文件塊的細(xì)粒度重復(fù)數(shù)據(jù)刪除，可以顯著提高存儲(chǔ)空間利用率。由于不同用戶存儲(chǔ)數(shù)據(jù)的冗余主要來(lái)自于相同的文件，所以方案提供全局的重復(fù)文件的刪除；此外，有關(guān)檢測(cè)到不存在重復(fù)的文件，在屬于該用戶的數(shù)據(jù)中進(jìn)行局部文件塊級(jí)重復(fù)刪除，即當(dāng)用戶存儲(chǔ)數(shù)據(jù)時(shí)，首先計(jì)算文件標(biāo)記，進(jìn)行文件級(jí)重復(fù)刪除：若存在重復(fù)，則對(duì)文件進(jìn)行所有權(quán)證明；若不存在重復(fù)，用戶對(duì)文件分塊，服務(wù)器在用戶自有的數(shù)據(jù)范圍內(nèi)進(jìn)行重復(fù)性檢測(cè)，而用戶僅需將不存在重復(fù)的文件塊存儲(chǔ)到服務(wù)器。

3 方案實(shí)現(xiàn)

本方案通過收斂加密保護(hù)數(shù)據(jù)的安全性，同時(shí)能對(duì)重復(fù)的數(shù)據(jù)進(jìn)行刪除；此外利用布隆過濾器對(duì)數(shù)據(jù)所有權(quán)進(jìn)行證明，提高所有權(quán)證明的效率。由于方案在客戶端進(jìn)行重復(fù)數(shù)據(jù)檢測(cè)，因此只考慮數(shù)據(jù)的存儲(chǔ)、取回以及數(shù)據(jù)的訪問授權(quán)，具體步驟和細(xì)節(jié)的闡述如下：

3.1 系統(tǒng)初始化

S1:用戶初始化收斂加密方案的四個(gè)算法(GenKey,Encrypt,Decrypt,GenTag)，此外還需初始化用于所有權(quán)證明的PoW算法；

S2:存儲(chǔ)服務(wù)器初始化用于存儲(chǔ)元數(shù)據(jù)如文件標(biāo)記、布隆過濾器的存儲(chǔ)系統(tǒng)，其次初始化用于存儲(chǔ)數(shù)據(jù)和密鑰的文件存儲(chǔ)系統(tǒng)。

3.2 文件存儲(chǔ)

用戶存儲(chǔ)文件F的過程如下。

S1:用戶首先計(jì)算文件F的標(biāo)記T，上傳到服務(wù)器進(jìn)行重復(fù)性檢測(cè)。

S2:服務(wù)器根據(jù)T進(jìn)行重復(fù)檢測(cè)，并返回結(jié)果0(無(wú)重復(fù))或1(存在重復(fù)，轉(zhuǎn)到S3′)給用戶。

S3:若返回結(jié)果為0，則用戶對(duì)文件F進(jìn)行分塊{B1,B2,…,Bn}，首先分別計(jì)算每一塊的哈希密鑰h(Bi)(1≤i≤n)，然后對(duì)每一塊都加密為CBi；然后計(jì)算塊標(biāo)記T(CBi)，分別上傳到存儲(chǔ)服務(wù)器。

S4:服務(wù)器在用戶擁有的文件塊范圍內(nèi)對(duì)塊Bi(1≤i≤n)進(jìn)行重復(fù)檢測(cè)，并將結(jié)果返回給用戶。

S5:若用戶使用同一私鑰userKey，則需用私鑰userKey對(duì)不存在塊對(duì)應(yīng)的密鑰進(jìn)行加密，將相應(yīng)密鑰密文{C(h(Bi))}與塊密文{CBi}上傳到存儲(chǔ)服務(wù)器;否則計(jì)算全部密鑰密文和塊密文上傳到存儲(chǔ)服務(wù)器。

S6:服務(wù)器對(duì)塊密文{CBi}與密鑰密文{C(h(Bi))}進(jìn)行存儲(chǔ)，同時(shí)初始化一個(gè)該文件的布隆過濾器和哈希函數(shù)H。對(duì)于每一密文塊CBi，根據(jù)其摘要信息計(jì)算相應(yīng)的塊代號(hào)Ri，由Ri和i通過HMAC_SHA1算法計(jì)算出用于布隆過濾器驗(yàn)證的Li，最后計(jì)算Li關(guān)于H的哈希值H(Li)。將布隆過濾器中H(Li)對(duì)應(yīng)位置的比特置為1，然后返回給用戶所有塊密文{CBi}對(duì)應(yīng)的指針。

S3′:若返回結(jié)果為1，則向服務(wù)器請(qǐng)求文件的訪問權(quán)限。

S4′:服務(wù)器對(duì)用戶進(jìn)行所有權(quán)證明，隨機(jī)挑選J個(gè)文件塊{CBj}(1≤j≤J)，請(qǐng)求用戶計(jì)算塊代號(hào){Rj}。

S5′:用戶對(duì)文件F進(jìn)行分塊{B1,B2,…,Bn}，首先計(jì)算所有塊的收斂密鑰{h(Bi)} (1≤i≤n)，對(duì)請(qǐng)求中的J個(gè)文件塊加密為{CBj}；并計(jì)算請(qǐng)求中J個(gè)文件塊的代號(hào){Rj}，再上傳到服務(wù)器。

S6′:服務(wù)器收到{Rj}，計(jì)算相應(yīng){Lj}與{H(Lj)}:若布隆過濾器中{H(Lj)}位置的比特均為1，則返回給用戶文件塊的指針；否則返回給用戶警告信息。

S7′:用戶存儲(chǔ)文件塊的指針，并用私鑰userKey將塊密鑰{h(Bi)}加密為{C(h(Bi))}，然后上傳至服務(wù)器。

S8′:服務(wù)器對(duì)密鑰密文{C(h(Bi))}進(jìn)行存儲(chǔ)。

3.3 文件取回

用戶取回文件F時(shí)的詳細(xì)步驟如下：

S1:用戶向服務(wù)器發(fā)送取回請(qǐng)求，同時(shí)發(fā)送請(qǐng)求文件F的文件名和文件ID。

S2:服務(wù)器收到請(qǐng)求，首先核對(duì)用戶的ID:若無(wú)訪問權(quán)限則返回警告；若有訪問權(quán)限則將文件塊密文{CBi}(1≤i≤n)和密鑰密文{C(h(Bi))}返回給用戶。

S3:用戶收到返回結(jié)果，首先用自己的私鑰userKey對(duì)密鑰密文{C(h(Bi))}進(jìn)行解密，恢復(fù)出的密鑰{h(Bi)}，再對(duì){CBi}進(jìn)行解密得到{Bi}，從而恢復(fù)出文件F。

4 實(shí)驗(yàn)仿真

4.1 實(shí)驗(yàn)條件

本節(jié)將對(duì)文獻(xiàn)[17]和文獻(xiàn)[18]中的Baseline方案與本文提出的基于布隆過濾器的BF方案進(jìn)行了一系列的實(shí)驗(yàn)對(duì)比。在實(shí)驗(yàn)中隨機(jī)選取了大量的文件，文件大小在64KB至32MB之間；所有的標(biāo)記都通過SHA-1算法計(jì)算得到，收斂加密的密鑰通過SHA-256算法計(jì)算得到；在所有權(quán)證明階段，Baseline方案使用了SHA-1算法，BF方案中客戶端使用了SHA-1算法，服務(wù)器端采用了HMAC_SHA1算法；當(dāng)文件大小為64KB時(shí)，3.2節(jié)中J值為1，其他情況下J值為文件塊總數(shù)的25%；對(duì)Baseline和BF進(jìn)行測(cè)試，其中設(shè)置32 KB為文件分塊大小的固定值，最后得出實(shí)驗(yàn)結(jié)果并分析實(shí)驗(yàn)的結(jié)論。

4.2 實(shí)驗(yàn)結(jié)果與結(jié)論

實(shí)驗(yàn)測(cè)試了在文件塊無(wú)重復(fù)和文件重復(fù)的兩種情況不同大小文件存儲(chǔ)過程中的時(shí)間開銷。首先，當(dāng)文件中所有的文件分塊都不存在重復(fù)時(shí)，Baseline方案主要包括計(jì)算文件標(biāo)記，對(duì)文件進(jìn)行分塊，分別計(jì)算各塊收斂密鑰，對(duì)文件塊加密，由文件塊密文計(jì)算塊標(biāo)記進(jìn)行塊級(jí)查重，客戶端用私鑰對(duì)收斂密鑰加密，服務(wù)器計(jì)算文件塊對(duì)應(yīng)的哈希值。

由圖2可知，BF方案的效率優(yōu)于Baseline方案；當(dāng)文件大于16 MB時(shí)，時(shí)間開銷增長(zhǎng)較快。因?yàn)槲募^大時(shí)文件分塊數(shù)急劇增多，服務(wù)器在Baseline方案中計(jì)算文件塊哈希值的開銷或BF方案中初始化布隆過濾器的開銷快速增長(zhǎng)。

當(dāng)文件首次存儲(chǔ)時(shí)，由于服務(wù)器需要初始化布隆過濾器占用了很大的時(shí)間開銷，所以此時(shí)BF方案較Baseline方案在效率方面優(yōu)勢(shì)不太明顯；但當(dāng)文件存在重復(fù)時(shí)，服務(wù)器需要對(duì)客戶端進(jìn)行所有權(quán)證明。BF方案效率要明顯優(yōu)于Baseline方案。

圖2 文件塊無(wú)重復(fù)的總時(shí)間開銷

圖3 文件塊無(wú)重復(fù)的服務(wù)器時(shí)間開銷

圖4 基于布隆過濾器的所有權(quán)證明時(shí)間開銷

此外，當(dāng)客戶端存儲(chǔ)的文件存在重復(fù)時(shí)，Baseline方案中客戶端計(jì)算文件標(biāo)記、對(duì)文件分塊、通過計(jì)算文件塊收斂密鑰對(duì)塊加密、計(jì)算塊密文哈希值用于所有權(quán)證明，最后用私鑰對(duì)收斂密鑰進(jìn)行加密并上傳到存儲(chǔ)服務(wù)器。由圖5可知隨著文件的增大，BF方案相對(duì)于Baseline方案的優(yōu)勢(shì)也越來(lái)越明顯。

BF方案中，用戶在進(jìn)行文件塊級(jí)重復(fù)刪除時(shí)，由于只在該用戶擁有訪問權(quán)限的數(shù)據(jù)范圍內(nèi)進(jìn)行重復(fù)檢測(cè)，對(duì)于已存在的文件塊就無(wú)需進(jìn)行所有權(quán)證明，因此便節(jié)省了時(shí)間開銷；其次，對(duì)于重復(fù)的文件塊，其相應(yīng)的密鑰已經(jīng)上傳至存儲(chǔ)服務(wù)器，用戶就無(wú)需再上傳，節(jié)省了密鑰所占的存儲(chǔ)空間，避免了密鑰數(shù)量隨著文件數(shù)量的增多和文件共享用戶數(shù)的增多而線性增長(zhǎng)。

為了驗(yàn)證上述時(shí)間與空間開銷的降低，本次實(shí)驗(yàn)隨機(jī)選取大小為16 MB的文件，進(jìn)行了多次重復(fù)實(shí)驗(yàn)。在文件分塊后進(jìn)行重復(fù)檢測(cè)，以檢測(cè)結(jié)果中重復(fù)比率即文件塊重復(fù)的數(shù)量與文件塊總數(shù)的比值為橫坐標(biāo)，當(dāng)橫坐標(biāo)值分別為0、25%、50%和75%時(shí)，得出對(duì)密鑰進(jìn)行加密時(shí)間開銷和密鑰空間開銷的變化趨勢(shì)。

在BF方案中，由于文件塊重復(fù)率的提升使得客戶端需要對(duì)收斂密鑰加密的數(shù)量隨之減少，因此對(duì)密鑰加密的時(shí)間開銷相應(yīng)降低。而Baseline方案中客戶端需對(duì)所有密鑰加密，對(duì)密鑰加密時(shí)間固定。

圖5 文件重復(fù)時(shí)的總時(shí)間開銷

圖6中，由于Baseline方案對(duì)文件塊進(jìn)行了全局的重復(fù)檢測(cè)，最后客戶端需要對(duì)文件塊的所有收斂密鑰加密并上傳到服務(wù)器，因此文件塊重復(fù)率的變化對(duì)密鑰空間無(wú)影響；而BF方案客戶端最終需要上傳到服務(wù)器的僅為不重復(fù)文件塊對(duì)應(yīng)密鑰的密文，所以消耗的密鑰空間隨著文件塊重復(fù)率的提升而線性降低。

圖6 加密收斂密鑰的時(shí)間開銷

圖7 加密密鑰的空間開銷

4.3 安全性分析

5 結(jié)語(yǔ)

本文將基于布隆過濾器的所有權(quán)證明算法應(yīng)用到重復(fù)數(shù)據(jù)刪除方案中，提高了所有權(quán)證明的效率。此外，通過用戶之間的文件級(jí)重復(fù)刪除和用戶內(nèi)的文件塊級(jí)重復(fù)刪除，解決了密鑰數(shù)量隨著數(shù)據(jù)的增多和數(shù)據(jù)共享用戶數(shù)的增多而線性增長(zhǎng)的問題，但由于方案中引入了關(guān)于文件的布隆過濾器，增加了存儲(chǔ)空間的開銷；而且布隆過濾器大小固定，對(duì)于較小的文件，相對(duì)空間利用率較低，因此，下一步的研究工作是使布隆過濾器的大小隨文件大小動(dòng)態(tài)變化，更加合理地利用存儲(chǔ)空間。

)

[1] 楊超,張俊偉,董學(xué)文,等.云存儲(chǔ)加密數(shù)據(jù)去重刪除所有權(quán)證明方法[J].計(jì)算機(jī)研究與發(fā)展,2015,52(1):248-258.(YANGC,ZHANGJW,DONGXW,etal.Provingmethodofownershipofencryptedfilesincloudde-duplicationdeletion[J].JournalofComputerResearchandDevelopment, 2015, 52(1): 248-258.)

[2]DOUCEURJR,ADYAA,BOLOSKYWJ,etal.Reclaimingspacefromduplicatefilesinaserverlessdistributedfilesystem[C]//Proceedingsofthe22ndInternationalConferenceonDistributedComputingSystems.Washington,DC:IEEEComputerSociety, 2002: 617-624.

[3]MARQUESL,COSTACJ.Securededuplicationonmobiledevices[C]//Proceedingsofthe2011WorkshoponOpenSourceandDesignofCommunication.NewYork:ACM, 2011: 19-26.

[4]XUJ,CHANGE-C,ZHOUJ.Weakleakage-resilientclient-sidededuplicationofencrypteddataincloudstorage[C]//Proceedingsofthe8thACMSIGSACSymposiumonInformation,ComputerandCommunicationSecurity.NewYork:ACM, 2013: 195-206.

[5]DUANYT.Distributedkeygenerationforsecureencrypteddeduplication:achievingthestrongestprivacy[C]//Proceedingsofthe6thEditionoftheACMWorkshoponCloudComputingSecurity.NewYork:ACM, 2014: 57-68.

[6]HARNIKD,PINKASB,SHULMAN-PELEGA.Sidechannelsincloudservices:deduplicationincloudstorage[J].IEEESecurityandPrivacy, 2010, 8(6): 40-47.

[7]PUZIOP,MOLVAR,ONENM,etal.Block-levelde-deduplicationwithencrypteddata[EB/OL]. [2016- 01- 16].http://www.eurecom.fr/en/publication/4326/download/rs-publi-4326.pdf.

[8]PUZIOP,MOLVAR, ?NENM,etal.ClouDedup:securededuplicationwithencrypteddataforcloudstorage[C]//Proceedingsofthe2013IEEE5thInternationalConferenceonCloudComputingTechnologyandScience.Washington,DC:IEEEComputerSociety, 2013,1: 363-370.

[9]BELLAREM,KEELVEEDHIS,RISTENPARTT.DupLESS:server-aidedencryptionfordeduplicatedstorage[C]//Proceedingsofthe22ndUSENIXConferenceonSecurity.Berkeley,CA:USENIXAssociation, 2013: 179-194.

[10]BELLAREM,KEELVEEDHIS,RISTENPARTT.Message-lockedencryptionandsecurededuplication[C]//AdvancesinCryptology—EUROCRYPT2013,LNCS7881.Berlin:Springer, 2013: 296-312.

[11]WILCOX-O’HEARNZ,WARNERB.Tahoe:theleast-authorityfilesystem[C]//Proceedingsofthe4thACMInternationalWorkshoponStorageSecurityandSurvivability.NewYork:ACM, 2008: 21-26.

[12]LIJ,CHENXF,XHAFAF,etal.Securededuplicationstoragesystemssupportingkeywordsearch[J].JournalofComputerandSystemSciences, 2015, 81(8): 1532-1541.

[13]MEISTERD,BRINKMANNA.Multi-levelcomparisonofdatadeduplicationinabackupscenario[C]//ProceedingsofSYSTOR2009:theIsraeliExperimentalSystemsConference.NewYork:ACM, 2009:ArticleNo. 8.

[14]MEYERDT,BOLOSKYWJ.Astudyofpracticaldeduplication[J].ACMTransactionsonStorage, 2012, 7(4):ArticleNo. 14.

[15]LIJ,CHENX,LIM,etal.Securededuplicationwithefficientandreliableconvergentkeymanagement[J].IEEETransactionsonParallelandDistributedSystems, 2014, 25(6): 1615-1625.

[16]ZHOUY,FENGD,XIAW,etal.SecDep:auser-awareeffcientfine-grainedsecurededuplicationschemewithmulti-levelkeymanagement[C]//Proceedingsofthe2015 31thSymposiumonMassStorageSystemsandTechnologies.Washington,DC:IEEEComputerSociety, 2015: 1-14.

[17]HALEVIS,HARNIKD,PINKASB,etal.Proofsofownershipinremotestoragesystems[C]//Proceedingsofthe18thACMConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2011: 491-500.

[18]GONZLEZ-MANZANOL,ORFILAA.Aneffcientconfidentiality-preservingproofofownershipfordeduplication[J].JournalofNetworkandComputerApplications, 2015, 50: 49-59.

[19]ZHENGQ,XUS.Secureandefficientproofofstoragewithdeduplication[C]//Proceedingsofthe2ndACMConferenceonDataandApplicationSecurityandPrivacy.NewYork:ACM, 2012: 1-12.

[20]PIETRORD,SORNIOTTIA.Boostingefficiencyandsecurityinproofofownershipfordeduplication[C]//Proceedingsofthe7thACMSymposiumononInformation,ComputerandCommunicationsSecurity.NewYork:ACM, 2012: 81-82.

[21]BLASCOJ,ORFILAA,PIETRORD,etal.Atunableproofofownershipschemefordeduplicationusingbloomfilters[C]//Proceedingsofthe2014IEEEConferenceonCommunicationsandNetworkSecurity.Piscataway,NJ:IEEE, 2014: 481-489.

ThisworkissupportedbyNationalNaturalScienceFoundationofChina(61572144),theMajorScienceandTechnologyProjectofGuangdongProvince(2016B030306004, 2015B010110001, 2014B010117004),theScienceandTechnologyProgramofGuangzhou(201508010065).

LIU Zhusong, born in 1979, Ph. D., professor. His research interests include cloud computing security, analysis and application of big data.

YANG Zhangjie, born in 1990, M. S. candidate. His research interests include cloud computing security, big data storage.

Efficient and secure deduplication cloud storage scheme based on proof of ownership by Bloom filter

LIU Zhusong*, YANG Zhangjie

(SchoolofComputerScienceandTechnology,GuangdongUniversityofTechnology,Guangzhou510006,China)

Convergent encryption algorithm is generally used in deduplication cloud storage system, the data can be encrypted by using the hash value as the encryption key, so that the same data is encrypted to obtain the same ciphertext, and the deletion of the duplicate data can be realized, then through the Proof of oWnership (PoW), the authenticity of user data can be verified to protect data security. Aiming at the problem that the time overhead of Proof of oWnership (PoW) is too high, which leads to the degradation of the whole system performance, an efficient security method based on Bloom Filter (BF) was proposed to verify the user hash value and the initialization value efficiently. Finally, a BF scheme supporting fine-grained data deduplication was proposed. When the file level data was duplicated, the PoW was needed; otherwise, only partial block level data duplication detection was needed. The simulation experiment results show that, the key space overhead of the proposed BF scheme is lower than the classical Baseline scheme, and the time cost of the BF scheme is also lower than the Baseline scheme; and with the increase of data size, the performance advantage of BF scheme is more obvious.

cloud storage; data deduplication; convergent encryption; hash algorithm; Bloom Filter (BF)

2016- 08- 17;

2016- 11- 04。

國(guó)家自然科學(xué)基金資助項(xiàng)目(61572144)；廣東省重大科技專項(xiàng)(2016B030306004, 2015B010110001, 2014B010117004)；廣州市科技計(jì)劃項(xiàng)目(201508010065)。

劉竹松(1979—)，男，湖南邵陽(yáng)人，教授，博士，CCF會(huì)員，主要研究方向：云計(jì)算安全、大數(shù)據(jù)分析及應(yīng)用； 楊張杰(1990—)，男，河南周口人，碩士研究生，主要研究方向：云計(jì)算安全、大數(shù)據(jù)存儲(chǔ)。

1001- 9081(2017)03- 0766- 05

10.11772/j.issn.1001- 9081.2017.03.766

TP309.2

A