熊金波，張媛媛，田有亮，應(yīng)作斌，李琦，馬蓉

（1. 貴州省公共大數(shù)據(jù)重點(diǎn)實(shí)驗(yàn)室（貴州大學(xué)），貴州 貴陽(yáng)，550025；2. 福建師范大學(xué)數(shù)學(xué)與信息學(xué)院，福建 福州 350117；3. 安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 安徽 合肥 230601；4. 南京郵電大學(xué)計(jì)算機(jī)學(xué)院，江蘇 南京 210023）

1 引言

隨著云計(jì)算、大數(shù)據(jù)技術(shù)的不斷發(fā)展，越來(lái)越多的企業(yè)和個(gè)人通過(guò)數(shù)據(jù)外包享受到云服務(wù)提供商經(jīng)濟(jì)高效的計(jì)算和存儲(chǔ)服務(wù)。Excelcom公司發(fā)布的“互聯(lián)網(wǎng)一分鐘產(chǎn)生數(shù)據(jù)”信息顯示，一分鐘內(nèi)Facebook共產(chǎn)生701 389個(gè)賬號(hào)登錄，1.5億封電子郵件已發(fā)送，Google上產(chǎn)生240萬(wàn)個(gè)的搜索請(qǐng)求，Instagram平臺(tái)上傳243萬(wàn)多張照片。從信息單位的角度計(jì)算，2011年全世界每天發(fā)送的數(shù)據(jù)量達(dá)到40億或更多，全球數(shù)據(jù)產(chǎn)生量達(dá)到 1.8 ZB，IDC（international data corporation）的報(bào)告顯示，2013年全球數(shù)據(jù)量已達(dá)到4.4 ZB，并且數(shù)據(jù)總量每年的增長(zhǎng)速度也超過(guò)50%，預(yù)計(jì)到2020年，全球數(shù)據(jù)總量將超過(guò) 44 ZB[1]。研究表明，超過(guò)一半的云存儲(chǔ)空間被重復(fù)數(shù)據(jù)的副本占用，用于管理重復(fù)數(shù)據(jù)的預(yù)算開(kāi)銷是管理原數(shù)據(jù)本身的8倍。數(shù)據(jù)量的爆炸式增長(zhǎng)態(tài)勢(shì)、占據(jù)大量存儲(chǔ)空間的重復(fù)數(shù)據(jù)以及龐大的管理開(kāi)銷給云存儲(chǔ)空間帶來(lái)巨大壓力。因此，如何經(jīng)濟(jì)高效地存儲(chǔ)和管理數(shù)據(jù)成為云服務(wù)提供商面臨的嚴(yán)峻挑戰(zhàn)。

為了提高存儲(chǔ)效率、降低管理開(kāi)銷，重復(fù)數(shù)據(jù)刪除技術(shù)（數(shù)據(jù)去重）被云服務(wù)提供商廣泛采用。云服務(wù)器通過(guò)隨機(jī)抽樣、提取散列值等方法校驗(yàn)用戶上傳的數(shù)據(jù)是否已經(jīng)存儲(chǔ)，經(jīng)驗(yàn)證，若用戶新上傳的數(shù)據(jù)與原存儲(chǔ)數(shù)據(jù)相同則執(zhí)行數(shù)據(jù)去重[1]。根據(jù)不同的分類標(biāo)準(zhǔn)，數(shù)據(jù)去重的分類結(jié)果也不盡相同。根據(jù)數(shù)據(jù)的處理單位，可以分為文件級(jí)數(shù)據(jù)去重和塊級(jí)數(shù)據(jù)去重；根據(jù)數(shù)據(jù)去重的執(zhí)行對(duì)象，可以分為基于目標(biāo)的數(shù)據(jù)去重即服務(wù)器端數(shù)據(jù)去重、基于文件源的數(shù)據(jù)去重（即客戶端數(shù)據(jù)去重）以及跨用戶數(shù)據(jù)去重[2]。實(shí)驗(yàn)表明，跨用戶數(shù)據(jù)去重將節(jié)省一半以上的存儲(chǔ)空間，去重率達(dá)到90%～95%[3,4]。

然而，大數(shù)據(jù)時(shí)代下的企業(yè)與個(gè)人外包給云服務(wù)提供商的數(shù)據(jù)涉及大量隱私信息。因此，在保護(hù)用戶隱私數(shù)據(jù)的同時(shí)實(shí)施數(shù)據(jù)安全去重是云服務(wù)提供商面臨的新挑戰(zhàn)，是否能夠提供安全的數(shù)據(jù)去重服務(wù)也是滿足用戶外包數(shù)據(jù)需求的衡量標(biāo)準(zhǔn)之一。保護(hù)用戶數(shù)據(jù)隱私的安全去重技術(shù)迅速成為云存儲(chǔ)領(lǐng)域的研究熱點(diǎn)，得到學(xué)術(shù)界和產(chǎn)業(yè)界的廣泛關(guān)注。收斂加密（CE, convergent encryption）算法首先由Douceur等[5]提出，保證相同的數(shù)據(jù)經(jīng)過(guò)散列運(yùn)算及對(duì)稱加密算法得到相同的密鑰和密文。CE算法不僅滿足對(duì)密文數(shù)據(jù)進(jìn)行重復(fù)性檢測(cè)的需求，而且有效地減少云存儲(chǔ)空間的浪費(fèi)，能夠很好地適應(yīng)云計(jì)算環(huán)境，如Puzio等[6]、Li等[7]和Stanek等[8]均結(jié)合CE算法實(shí)現(xiàn)云數(shù)據(jù)安全去重。為了達(dá)到語(yǔ)義安全，Bellare等[9]提出了一種消息鎖加密（MLE,message-locked encryption）算法，Chen 等[10]、Jiang 等[11]、Li等[12]和 Qin 等[13]分別結(jié)合 MLE 算法實(shí)現(xiàn)數(shù)據(jù)安全去重。然而，傳統(tǒng)的CE和MLE算法存在許多隱私泄露問(wèn)題以及新的安全挑戰(zhàn)。

1) 隱私泄露。云服務(wù)提供商在采用數(shù)據(jù)去重技術(shù)控制單個(gè)文件副本數(shù)量的同時(shí)，敵手可能利用云數(shù)據(jù)去重過(guò)程并通過(guò)相關(guān)攻擊手段竊取用戶的隱私信息，包括個(gè)體隱私和集體隱私。不僅如此，在云服務(wù)器執(zhí)行去重檢測(cè)的同時(shí)，用戶的身份、位置信息以及用戶之間重復(fù)數(shù)據(jù)的數(shù)量可能被泄露，這些隱私數(shù)據(jù)遭到泄露將嚴(yán)重阻礙云服務(wù)的健康發(fā)展，因此，在云數(shù)據(jù)去重過(guò)程中保護(hù)數(shù)據(jù)隱私尤為重要。

2) 未授權(quán)訪問(wèn)?；趥鹘y(tǒng)內(nèi)容加密算法的數(shù)據(jù)去重方案存在嚴(yán)重的安全漏洞，敵手僅通過(guò)上傳文件的散列值即可通過(guò)離線蠻力攻擊得到用戶信息，難以保障云端用戶隱私數(shù)據(jù)的安全性和授權(quán)訪問(wèn)。云環(huán)境中用戶存在分層結(jié)構(gòu)，不同層次的用戶所擁有的權(quán)限也不同，對(duì)于云端存儲(chǔ)的文件，只有擁有訪問(wèn)權(quán)限的用戶才能訪問(wèn)。在執(zhí)行云數(shù)據(jù)去重過(guò)程中，如何保證只有擁有特定權(quán)限的用戶才能訪問(wèn)指定文件是亟待解決的一個(gè)關(guān)鍵問(wèn)題。

3) 權(quán)限的更新與撤銷。在實(shí)際應(yīng)用中，執(zhí)行數(shù)據(jù)去重的企業(yè)和個(gè)人的角色與需求靈活多變，這些用戶的權(quán)限也是動(dòng)態(tài)變化的。因此，需要合理的更新和撤銷機(jī)制來(lái)及時(shí)處理用戶的權(quán)限變更，保證用戶的合法訪問(wèn)權(quán)限；同時(shí)，滿足復(fù)雜多變的用戶需求，更好地應(yīng)用在實(shí)際生產(chǎn)生活中。在云數(shù)據(jù)授權(quán)訪問(wèn)過(guò)程中，用戶權(quán)限的更新與撤銷問(wèn)題亟待解決。

綜上所述，為了解決現(xiàn)有云數(shù)據(jù)安全去重方案存在的上述問(wèn)題，本文提出一種基于角色對(duì)稱加密的云數(shù)據(jù)安全去重方案。該方案設(shè)計(jì)一種角色對(duì)稱加密算法將用戶角色與密鑰相關(guān)聯(lián)，構(gòu)建角色密鑰樹(shù)，滿足不同角色根據(jù)訪問(wèn)控制策略訪問(wèn)對(duì)應(yīng)權(quán)限文件的需求，實(shí)現(xiàn)角色分層結(jié)構(gòu)下的云數(shù)據(jù)授權(quán)去重，并通過(guò)群組密鑰協(xié)商解決角色與密鑰映射關(guān)系中由密鑰更新、權(quán)限撤銷等帶來(lái)的安全問(wèn)題。本文主要貢獻(xiàn)如下。

1) 提出角色對(duì)稱加密算法，建立分層角色密鑰樹(shù)映射用戶角色關(guān)系，設(shè)計(jì)角色密鑰生成函數(shù)和文件密鑰生成函數(shù)獲得角色密鑰及文件密鑰，使用戶角色與其密鑰相關(guān)聯(lián)，為云數(shù)據(jù)安全去重提供理論基礎(chǔ)。

2) 針對(duì)云環(huán)境下的隱私泄露、未授權(quán)訪問(wèn)等安全問(wèn)題，提出一種基于角色對(duì)稱加密的云數(shù)據(jù)安全去重方案，實(shí)現(xiàn)角色分層結(jié)構(gòu)下不同角色用戶對(duì)文件的授權(quán)訪問(wèn)與安全去重。

3) 針對(duì)角色與密鑰映射關(guān)系中由于密鑰更新、權(quán)限撤銷等帶來(lái)的安全問(wèn)題，設(shè)計(jì)一種授權(quán)密鑰更新機(jī)制，引入群組密鑰協(xié)商協(xié)議，對(duì)角色密鑰樹(shù)進(jìn)行處理，在保證授權(quán)訪問(wèn)和安全去重的基礎(chǔ)上，實(shí)現(xiàn)授權(quán)密鑰的更新和用戶權(quán)限的撤銷。

4) 安全分析表明，角色對(duì)稱加密算法是可證明安全的，基于角色對(duì)稱加密的云數(shù)據(jù)安全去重方案能夠滿足安全目標(biāo)，性能分析和實(shí)驗(yàn)結(jié)果表明所提方案是高效的。

2 相關(guān)工作

國(guó)內(nèi)外學(xué)者對(duì)云環(huán)境中數(shù)據(jù)安全去重問(wèn)題進(jìn)行了深入研究，并取得了一定的成果。Puzio等[6]提出了一種基于 CE算法的安全高效存儲(chǔ)系統(tǒng)ClouDedup，增加訪問(wèn)控制機(jī)制與語(yǔ)義安全加密算法實(shí)現(xiàn)數(shù)據(jù)塊級(jí)去重。Stanek等[8]將文件分為流行文件和非流行文件，分別對(duì)應(yīng)不同的安全等級(jí)，針對(duì)這些不同安全等級(jí)的文件采用不同級(jí)別的加密算法。針對(duì)用戶自定義文件安全等級(jí)過(guò)程中出現(xiàn)的安全隱患，Puzio等[14]提出了一種PerfectDedup方案，使用完美散列函數(shù)獲得數(shù)據(jù)塊重要程度的索引，實(shí)現(xiàn)數(shù)據(jù)安全去重。Li等[7]將CE算法與收斂擴(kuò)散機(jī)制結(jié)合，提出了一種CDStore方案以實(shí)現(xiàn)數(shù)據(jù)安全去重，實(shí)驗(yàn)表明所提方案節(jié)省近70%的存儲(chǔ)開(kāi)銷。為了達(dá)到語(yǔ)義安全加密，Bellare等[9]提出了一種 MLE算法，并給出明確的安全性目標(biāo)和嚴(yán)格的形式化定義來(lái)實(shí)現(xiàn)云數(shù)據(jù)安全去重；在此基礎(chǔ)上，提出了一種跨用戶的數(shù)據(jù)安全去重方案iMLE[15]，采用交互消息鎖加密算法實(shí)現(xiàn)關(guān)聯(lián)文件的安全去重。Chen等[10]提出了一種適用于大規(guī)模加密文件環(huán)境中的數(shù)據(jù)安全去重方案BL-MLE，使用少量的元數(shù)據(jù)高效安全地實(shí)現(xiàn)文件級(jí)和塊級(jí)數(shù)據(jù)去重。Jiang等[11]提出了一種 R-MLE2方案，采用隨機(jī)化標(biāo)識(shí)的方式實(shí)現(xiàn)跨用戶的高效數(shù)據(jù)去重。為了解決密鑰管理問(wèn)題，Li等[16]將密鑰分布存儲(chǔ)在多服務(wù)器中，Miao等[17]提出了一種基于門限盲簽名與可校驗(yàn)秘密共享機(jī)制的多密鑰服務(wù)器數(shù)據(jù)去重方案，可以防止第三方的密鑰服務(wù)器與云服務(wù)器合謀。針對(duì)密鑰更新問(wèn)題，Li等[12]和Qin等[13]提出了一種通過(guò)更新密鑰狀態(tài)實(shí)現(xiàn)文件密鑰更新的REED方案，結(jié)合MLE和AONT-RS秘密共享機(jī)制滿足數(shù)據(jù)安全去重的要求。然而，上述結(jié)合 CE、MLE等基于內(nèi)容加密的數(shù)據(jù)去重方案易遭受離線蠻力攻擊和側(cè)信道攻擊，存在隱私泄露和未授權(quán)訪問(wèn)等安全問(wèn)題。

通過(guò)上述攻擊，敵手僅依據(jù)上傳文件散列值就可以猜測(cè)得到文件信息，為此，Halevi等[18]提出了一種所有權(quán)證明（PoW, proof of ownership）的概念，服務(wù)器和客戶端分別根據(jù)原文件生成 Merkle Hash Tree（MHT），由服務(wù)器驗(yàn)證客戶端所返回的給定挑戰(zhàn)對(duì)應(yīng)的回答是否正確，進(jìn)而得出所有權(quán)證明結(jié)果。為了減少客戶端的計(jì)算開(kāi)銷，文獻(xiàn)[19,20]提出了一種s-PoW方案，根據(jù)特定算法獲得文件隨機(jī)位置的比特值作為挑戰(zhàn)，要求待驗(yàn)證的客戶端返回對(duì)應(yīng)結(jié)果，進(jìn)而實(shí)現(xiàn)文件的所有權(quán)證明，擴(kuò)展方案s-PoW1和s-PoW2有效提高了算法的執(zhí)行效率。為了提高服務(wù)器端的計(jì)算和查詢效率，Blasco等[21]提出了一種基于布隆過(guò)濾器（BF, bloom filter）的BF-PoW方案，服務(wù)器端建立三元數(shù)組分別存儲(chǔ)文件、挑戰(zhàn)和應(yīng)答，要求客戶端上傳一定數(shù)量的驗(yàn)證信息證明文件的所有權(quán)，實(shí)驗(yàn)表明，服務(wù)器加入布隆過(guò)濾器能夠大幅減少計(jì)算開(kāi)銷。González-Manzano等[22]提出了一種基于CE算法的所有權(quán)證明方案ce-PoW，該方案無(wú)可信第三方參與，不涉及復(fù)雜密鑰管理，服務(wù)器采用四元數(shù)據(jù)結(jié)構(gòu)映射密文塊、挑戰(zhàn)、應(yīng)答和身份標(biāo)識(shí)，通過(guò)與客戶端進(jìn)行挑戰(zhàn)—應(yīng)答交互機(jī)制實(shí)現(xiàn)文件所有權(quán)證明。針對(duì)敵手或未授權(quán)用戶利用側(cè)信道訪問(wèn)文件信息的問(wèn)題，Li等[23]提出了一種混合云環(huán)境下的授權(quán)去重方案，文件密鑰的生成與用戶權(quán)限相關(guān)，實(shí)現(xiàn)了云環(huán)境下的授權(quán)去重及重復(fù)數(shù)據(jù)檢測(cè)。González-Manzano等[24]綜合考慮授權(quán)去重問(wèn)題和所有權(quán)證明方案，提出了一種ase-PoW方案，文件密鑰的生成與用戶的屬性相關(guān)，使用輕量級(jí)的訪問(wèn)控制策略實(shí)現(xiàn)分層環(huán)境下的授權(quán)去重和文件所有權(quán)證明，然而，該方案未考慮密鑰的更新和撤銷，客戶端和服務(wù)器端的計(jì)算開(kāi)銷較大。表1總結(jié)上述典型數(shù)據(jù)去重方案的相關(guān)特性并將其與本文所提方案進(jìn)行對(duì)比。

表1 現(xiàn)有云數(shù)據(jù)去重方案的比較

綜上所述，現(xiàn)有解決云環(huán)境下數(shù)據(jù)安全去重問(wèn)題的方案較少考慮到數(shù)據(jù)去重過(guò)程中的隱私泄露與未授權(quán)訪問(wèn)等問(wèn)題，缺乏對(duì)分層結(jié)構(gòu)下授權(quán)用戶密鑰更新和權(quán)限撤銷等方面的研究。同時(shí)，在實(shí)現(xiàn)云數(shù)據(jù)安全去重與權(quán)限更新的基礎(chǔ)上，如何有效減少計(jì)算開(kāi)銷、提高I/O讀寫(xiě)效率以及降低通信開(kāi)銷等問(wèn)題也亟待研究。

3 系統(tǒng)模型、威脅模型和實(shí)現(xiàn)目標(biāo)

為了方便描述本文所提安全去重方案，表2列出常用的符號(hào)及對(duì)應(yīng)的描述。

表2 符號(hào)及其描述

3.1 系統(tǒng)模型

基于角色對(duì)稱加密的云數(shù)據(jù)安全去重方案的系統(tǒng)模型如圖1所示，主要包含3個(gè)實(shí)體：用戶、角色認(rèn)證中心和云服務(wù)器。

圖1 系統(tǒng)模型

用戶：在云環(huán)境的分層結(jié)構(gòu)中，不同角色的用戶擁有對(duì)應(yīng)的角色密鑰，再結(jié)合訪問(wèn)控制策略得到文件密鑰，用戶使用該文件密鑰對(duì)稱加密文件，向云服務(wù)器發(fā)送上傳或下載文件的請(qǐng)求。用戶通過(guò)群組密鑰協(xié)商協(xié)議更新角色密鑰，并與角色認(rèn)證中心交互，實(shí)現(xiàn)用戶權(quán)限的撤銷。

角色認(rèn)證中心：負(fù)責(zé)認(rèn)證用戶角色和撤銷用戶權(quán)限，通過(guò)用戶身份認(rèn)證用戶角色，返回角色密鑰給用戶。用戶執(zhí)行群組密鑰協(xié)商協(xié)議與角色認(rèn)證中心交互更新角色密鑰樹(shù)，撤銷用戶權(quán)限。

云服務(wù)器：負(fù)責(zé)安全存儲(chǔ)文件和執(zhí)行授權(quán)去重，將用戶上傳的文件信息保存在存儲(chǔ)服務(wù)器中，當(dāng)用戶再次請(qǐng)求上傳相同文件時(shí)執(zhí)行授權(quán)去重，并返回對(duì)應(yīng)的結(jié)果給用戶。

3.2 威脅模型

本文所提角色對(duì)稱加密算法[25]的角色密鑰和文件密鑰均需采用散列函數(shù)，假設(shè)所使用的散列函數(shù)均能夠抵抗弱碰撞攻擊和強(qiáng)碰撞攻擊，角色對(duì)稱加密算法的加密部分采用標(biāo)準(zhǔn)對(duì)稱加密算法，如AES-256。

本文考慮2種層面的攻擊：敵手對(duì)角色對(duì)稱加密算法的攻擊和對(duì)云數(shù)據(jù)安全去重方案的攻擊。

結(jié)合敵手的攻擊強(qiáng)度，本文考慮以下3種類型的敵手對(duì)算法發(fā)起攻擊。

1) 敵手A0的攻擊能力可以描述如下：能夠向挑戰(zhàn)者發(fā)起詢問(wèn)，獲取有向無(wú)環(huán)圖T中所有公共信息Pub={IDi,H1}，攻陷算法的方式是成功猜測(cè)節(jié)點(diǎn)Gi的角色密鑰KG′i，成功的概率為Pr[KG′i=KGi]。

2) 敵手A1的攻擊能力可以描述如下：能夠向挑戰(zhàn)者發(fā)起詢問(wèn)，獲取有向無(wú)環(huán)圖T中所有公共信息Pub={IDi,H1}、部分節(jié)點(diǎn)Gi的角色密鑰，攻陷算法的方式是成功恢復(fù)節(jié)點(diǎn)Gu的角色密鑰KG′u，成功的概率為Pr[KG′u=KGu]。

3) 敵手A2的攻擊能力可以描述如下：能夠向挑戰(zhàn)者發(fā)起詢問(wèn)，獲取有向無(wú)環(huán)圖T中所有公共信息Pub={IDi,H1}、部分節(jié)點(diǎn)Gi的角色密鑰，并且可以選定任一節(jié)點(diǎn)Gv質(zhì)詢挑戰(zhàn)者獲得對(duì)應(yīng)的角色密鑰，攻陷算法的方式是成功區(qū)分挑戰(zhàn)者返回的角色密鑰是否為該節(jié)點(diǎn)的真正角色密鑰，成功的概率為Pr[KG′v=KGv]。

根據(jù)上述3種類型敵手攻擊能力的定義，敵手A0可獲得的信息包含于敵手A1和敵手A2掌握的挑戰(zhàn)信息中。因此，敵手的攻擊能力具有A1角色密鑰恢復(fù)和A2角色密鑰的不可區(qū)分。如果敵手A1攻陷算法的概率 ε1=Pr[KG′u=KGu]，敵手A2攻陷算法的概率 ε2=Pr[KG′v=KGv]是可忽略的，即敵手不能以不可忽略的概率攻陷該算法，則所提算法是安全的。

對(duì)云數(shù)據(jù)安全去重方案的攻擊中，敵手試圖非授權(quán)訪問(wèn)、下載云端存儲(chǔ)的文件，存在以下類型的攻擊。

1) 內(nèi)容猜測(cè)攻擊或文件偽造攻擊。敵手?jǐn)r截合法用戶向云服務(wù)器上傳的數(shù)據(jù)，或云服務(wù)器向合法用戶反饋的數(shù)據(jù)，并試圖猜測(cè)所攔截?cái)?shù)據(jù)的內(nèi)容或偽造所攔截?cái)?shù)據(jù)。

2) 共謀攻擊。在基于角色對(duì)稱加密算法的安全去重過(guò)程中，合法用戶可以與敵手共謀，泄露部分文件內(nèi)容給敵手，根據(jù)文獻(xiàn)[17]和文獻(xiàn)[24]，當(dāng)泄露不超過(guò)64 MB內(nèi)容時(shí)足夠抵抗這種共謀攻擊。

3.3 系統(tǒng)實(shí)現(xiàn)目標(biāo)

本文系統(tǒng)實(shí)現(xiàn)的目標(biāo)主要考慮安全目標(biāo)和性能目標(biāo)2個(gè)方面。

安全目標(biāo)主要包含算法安全性、抵抗內(nèi)容猜測(cè)攻擊或文件偽造攻擊、抵抗共謀攻擊、細(xì)粒度訪問(wèn)控制等方面。

1) 算法安全性：所提角色對(duì)稱加密算法是可證明安全的。

2) 抵抗內(nèi)容猜測(cè)攻擊或文件偽造攻擊：在安全去重過(guò)程中，一個(gè)擁有文件f部分內(nèi)容的敵手，能夠以可忽略的優(yōu)勢(shì)成功猜測(cè)或偽造目標(biāo)文件。

3) 抵抗共謀攻擊：在安全去重過(guò)程中，一個(gè)擁有文件f部分內(nèi)容的敵手，必須和f的合法用戶交換至少Smin的信息才能成功通過(guò)安全去重協(xié)議。根據(jù)Halevi等[18]的方案，Smin設(shè)置為64 MB。

4) 細(xì)粒度訪問(wèn)控制：本文所提方案，除了保障文件安全之外，還需要提供對(duì)用戶和文件的細(xì)粒度訪問(wèn)控制支持，且不需要云服務(wù)器和用戶承擔(dān)額外的任務(wù)。

性能目標(biāo)主要包含最小化傳輸帶寬、云服務(wù)器內(nèi)存消耗和用戶端存儲(chǔ)空間。

1) 通信帶寬有效性：在執(zhí)行安全去重過(guò)程中，用戶端和云服務(wù)器端交換的文件字節(jié)數(shù)應(yīng)該盡可能小，以保證低通信開(kāi)銷。

2) 服務(wù)器內(nèi)存有效性：在執(zhí)行安全去重過(guò)程中，云服務(wù)器端內(nèi)存中加載的信息應(yīng)比較小，與上傳的文件大小無(wú)關(guān)，以保證低內(nèi)存開(kāi)銷。

3) 用戶端存儲(chǔ)有效性：用戶端存儲(chǔ)的密鑰、密文數(shù)據(jù)盡可能少；此外，存儲(chǔ)密鑰的數(shù)量和長(zhǎng)度都應(yīng)該與文件大小無(wú)關(guān)，以保證低存儲(chǔ)開(kāi)銷。

4 方案設(shè)計(jì)

本節(jié)首先提出一種新型的角色對(duì)稱加密算法，然后詳細(xì)描述基于所提算法的云數(shù)據(jù)安全去重方案。

4.1 角色對(duì)稱加密算法

角色認(rèn)證中心建立分層角色密鑰樹(shù)以映射用戶角色和密鑰之間的關(guān)系，角色密鑰樹(shù)的每個(gè)節(jié)點(diǎn)表示不同的角色群組，擁有唯一的身份標(biāo)識(shí)，相同角色的用戶屬于同一個(gè)角色群組，擁有相同的角色標(biāo)識(shí)[4]。不同的文件由特定角色群組的用戶管理，根據(jù)不同的訪問(wèn)控制策略，每個(gè)文件可由多個(gè)角色群組的用戶共同管理，但是有且僅有一個(gè)主角色群組[25]。

為了方便描述密鑰管理和文件管理過(guò)程，圖 2給出一種角色密鑰樹(shù)的實(shí)例。定義2棵角色密鑰樹(shù)T1和T2，根節(jié)點(diǎn)分別為Root1和Root2，并擁有各自的主密鑰MK1和MK2。T1包含2個(gè)角色群組G1和G2，群組G1由子群組G3和G4組成，而群組G2只有一個(gè)子群組G5。T2包含一個(gè)群組G6，并由一個(gè)子群組G7組成。文件f1屬于群組G3，由G3中的所有用戶管理，文件f1的主群組為G3。文件f2由G5中的用戶和G4中的用戶共同管理，文件f2的主群組為G5。文件f3由G7中的用戶和G5中的用戶共同管理，文件f3的主群組為G5。

圖2 角色對(duì)稱加密算法實(shí)例

所提角色對(duì)稱加密算法主要分為3個(gè)階段：角色密鑰生成、文件密鑰生成和對(duì)稱加密。

1) 角色密鑰生成階段。上述角色密鑰樹(shù)T1可以和一個(gè)有向無(wú)環(huán)圖形成映射關(guān)系，形式化定義為T1=＜G,E＞ ，其中，G={Root1,G1,G2,… ,Gn}，表示圖T1中的節(jié)點(diǎn)集合，每個(gè)節(jié)點(diǎn)G1表示一類角色，也表示一類安全級(jí)別；E= {E1,E2,… ,Em}，表示圖T1中有向邊的集合，每條有向邊Ei表示2個(gè)安全級(jí)別的角色之間具有從屬關(guān)系。

算法初始化（Setup）時(shí)，給定有向無(wú)環(huán)圖T1=＜G,E＞和安全參數(shù)λ、ρ，取圖T1中的每個(gè)節(jié)點(diǎn)Gi∈G分配唯一的角色標(biāo)識(shí)符idi=Gi∈ {0 ,1}λ，隨機(jī)選取相應(yīng)的密鑰材料MK1∈ {0 ,1}ρ，角色之間具有的從屬關(guān)系用散列函數(shù)H1描述。將角色標(biāo)識(shí)符和角色從屬關(guān)系作為公開(kāi)參數(shù)Pub={IDi,H1}，MK1作為根節(jié)點(diǎn)主密鑰。

各層角色密鑰推導(dǎo)過(guò)程（derivation）如下。由根節(jié)點(diǎn)的主密鑰及各個(gè)角色群組的標(biāo)識(shí)計(jì)算得到各級(jí)群組節(jié)點(diǎn)的角色密鑰。G1的角色密鑰KG1=H1(H1(MK1) ‖G1)，G3的 角 色 密 鑰KG2=H1(H1(MK1)‖G3)。類似地，上級(jí)節(jié)點(diǎn)的散列值串聯(lián)該節(jié)點(diǎn)的群組標(biāo)識(shí)再進(jìn)行散列運(yùn)算的結(jié)果作為各個(gè)角色群組節(jié)點(diǎn)的角色密鑰。

2) 文件密鑰生成階段。文件密鑰由主群組角色密鑰的散列值串聯(lián)訪問(wèn)控制策略中其他擁有管理權(quán)的群組角色密鑰的散列值計(jì)算得到。文件f1屬于群組G3，該角色群組中的所有用戶擁有文件f1的管理權(quán)，文件f1的文件密鑰為角色密鑰KG3的散列值，fk1=H1(KG3)。文件f2由群組G5和群組G4中的用戶共同管理，群組G5為主群組，則文件f2的文件密鑰由主群組角色密鑰和其他擁有管理權(quán)的群組的角色密鑰計(jì)算得到，fk2=H1(KG5) ‖H2(KG4)。類似地，文件f3的文件密鑰與主群組G7和其他群組G5相關(guān)，fk3=H1(KG7) ‖H2(KG5)。

3) 對(duì)稱加密階段。由文件密鑰對(duì)稱加密原文件得到密文。使用文件密鑰fk1對(duì)稱加密文件f1得到密文， Θ1=Encfk1(f1)，類似地，得到文件f2和文件f3的密文， Θ2=Encfk2(f2)， Θ3=Encfk3(f3)。然后將使用文件密鑰對(duì)稱加密的密文 Θ1、Θ2、Θ3上傳至云服務(wù)器。

4.2 云數(shù)據(jù)安全去重方案構(gòu)造

基于角色對(duì)稱加密的云數(shù)據(jù)安全去重方案包括4個(gè)階段：文件加密階段、文件上傳階段、文件存儲(chǔ)階段和文件去重階段。

1) 文件加密階段

用戶向角色認(rèn)證中心發(fā)送認(rèn)證請(qǐng)求，角色認(rèn)證中心認(rèn)證用戶身份、搜索角色密鑰樹(shù)，根據(jù)從根節(jié)點(diǎn)到用戶所屬群組節(jié)點(diǎn)的角色節(jié)點(diǎn)路徑以及根節(jié)點(diǎn)的主密鑰MKα，執(zhí)行角色密鑰生成函數(shù)，得到角色密鑰rk并發(fā)送給用戶。其中，節(jié)點(diǎn)路徑可以表示為 ＜Root1,G1,G2,… ,Gi＞,i∈ [1,m]。

角色密鑰rk計(jì)算過(guò)程可以表示為rki=H1(…H1(H1(H1(MKα)‖G1)‖G2)… ‖Gi),i∈ [1 ,m]。

角色密鑰與節(jié)點(diǎn)路徑的節(jié)點(diǎn)標(biāo)識(shí)及主密鑰相關(guān)，從主密鑰散列值開(kāi)始，執(zhí)行上級(jí)節(jié)點(diǎn)的散列值串聯(lián)用戶所屬群組標(biāo)識(shí)再進(jìn)行散列運(yùn)算的遞歸操作，獲得角色密鑰。

用戶根據(jù)角色密鑰rk以及對(duì)應(yīng)的訪問(wèn)控制策略執(zhí)行文件密鑰生成函數(shù)，獲得文件密鑰fk。

文件密鑰fk與角色密鑰及訪問(wèn)控制策略相關(guān)，而散列函數(shù)的選擇取決于擁有文件管理權(quán)的角色群組是否為主群組，如果文件屬于單個(gè)角色群組，則x=1，即對(duì)該角色群組的角色密鑰進(jìn)行H1操作，如果文件屬于多個(gè)角色群組，則對(duì)主群組的角色密鑰執(zhí)行H1操作，對(duì)其他擁有管理權(quán)的角色群組的角色密鑰執(zhí)行H2操作，最后串聯(lián)上述結(jié)果，作為文件密鑰。

用戶使用文件密鑰對(duì)稱加密原文件得到密文

文件加密階段的交互過(guò)程如圖3所示。

圖3 文件加密階段

文件加密階段的具體描述如算法1所示。

算法1 客戶端和角色認(rèn)證中心——文件加密

輸入 角色群組節(jié)點(diǎn)列表，主密鑰MKα，文件f

輸出 使用文件密鑰對(duì)稱加密的密文Θ

2) 文件上傳階段

用戶執(zhí)行角色對(duì)稱加密算法得到密文Θ，對(duì)密文執(zhí)行散列操作得到文件索引值，hf=H3(Θ)，然后對(duì)用戶的身份標(biāo)識(shí)進(jìn)行散列操作得到加密的身份標(biāo)識(shí)，eid=H4(id)，最后，用戶整合上述結(jié)果，首次向云服務(wù)器發(fā)送{Θ,hf,eid}，請(qǐng)求存儲(chǔ)文件。文件上傳階段具體描述如算法2所示。

算法2 客戶端——文件上傳

輸入 使用文件密鑰對(duì)稱加密的密文Θ，用戶身份標(biāo)識(shí)id

輸出 文件索引值hf，加密的身份標(biāo)識(shí)eid

return Θ,hf,eid

發(fā)送{Θ,hf,eid}給云服務(wù)器

3) 文件存儲(chǔ)階段

接收到用戶存儲(chǔ)文件的請(qǐng)求后，云服務(wù)器首先計(jì)算密文的散列值，h′f=H3(Θ)，驗(yàn)證計(jì)算結(jié)果h′f是否與用戶上傳的文件索引值hf一致，用來(lái)抵抗文件偽造攻擊。如果通過(guò)驗(yàn)證，云服務(wù)器根據(jù)接收到的信息創(chuàng)建一個(gè)二元的映射結(jié)構(gòu)數(shù)組F，包括F ·ENC和·EID，分別存儲(chǔ)加密文件Θ和加密的用戶身份標(biāo)識(shí)eid，并使用密文的散列值hf作為檢索數(shù)據(jù)結(jié)構(gòu)的索引，如果結(jié)果不一致，則返回失敗。文件上傳階段和文件存儲(chǔ)階段的交互過(guò)程如圖4所示。

圖4 文件上傳階段和文件存儲(chǔ)階段

文件存儲(chǔ)階段的具體描述如算法3所示。

算法3 云服務(wù)器——文件存儲(chǔ)

輸入 文件索引值hf，使用文件密鑰對(duì)稱加密的密文Θ，加密的身份標(biāo)識(shí)eid

輸出 二元的映射結(jié)構(gòu)數(shù)組F

4) 文件去重階段

當(dāng)用戶向云服務(wù)器發(fā)送上傳文件的請(qǐng)求時(shí)，執(zhí)行文件去重過(guò)程。首先，云服務(wù)器要求用戶上傳文件索引值和加密的用戶身份標(biāo)識(shí){hf,eid}，然后，云服務(wù)器根據(jù)文件索引值hf檢索存儲(chǔ)服務(wù)器中是否存儲(chǔ)對(duì)應(yīng)的結(jié)構(gòu)數(shù)組，如果不存在，則要求用戶上傳使用角色密鑰加密的密文Θ，存儲(chǔ)到云存儲(chǔ)服務(wù)器中的二元映射結(jié)構(gòu)數(shù)組中；如果存在，則表明云服務(wù)器中已存儲(chǔ)該文件，不需要用戶再次上傳文件，實(shí)現(xiàn)云數(shù)據(jù)安全去重，并返回給用戶存儲(chǔ)文件的地址，然后，驗(yàn)證用戶上傳的加密身份標(biāo)識(shí)是否屬于若屬于該數(shù)組，則表明該用戶使用同一身份上傳過(guò)相同文件，若不屬于該數(shù)組，則表明用戶使用該身份首次上傳文件，但云服務(wù)器中已存儲(chǔ)同一角色群組中的其他用戶上傳的文件，將用戶的加密身份標(biāo)識(shí)添加到數(shù)組中。文件去重階段的交互過(guò)程如圖5所示。

圖5 文件去重階段

文件去重階段的具體描述如算法4所示。

算法4 云服務(wù)器——文件去重

輸入 文件索引值hf，加密的身份標(biāo)識(shí)eid輸出 結(jié)果

ifhf存儲(chǔ)then

執(zhí)行數(shù)據(jù)去重操作

renturn發(fā)送文件地址

當(dāng)用戶向云服務(wù)器發(fā)送下載文件的請(qǐng)求時(shí)，發(fā)送文件索引值和加密的用戶身份標(biāo)識(shí){hf,eid}，云服務(wù)器驗(yàn)證用戶的身份，根據(jù)文件索引值進(jìn)行檢索，返回密文給用戶。最后，用戶使用文件密鑰解密文件得到原文件。

4.3 密鑰更新機(jī)制

為了解決密鑰更新問(wèn)題，通過(guò)群組密鑰協(xié)商協(xié)議得到更新因子?，并與角色認(rèn)證中心交互，提出一種密鑰更新機(jī)制，高效實(shí)現(xiàn)云環(huán)境下分層結(jié)構(gòu)的角色密鑰更新和用戶權(quán)限撤銷。

用戶權(quán)限撤銷通過(guò)對(duì)用戶的角色密鑰進(jìn)行更新實(shí)現(xiàn)，而更新角色密鑰主要是對(duì)角色樹(shù)進(jìn)行操作的，用戶權(quán)限撤銷可分為以下3種情況。

1) 撤銷中間節(jié)點(diǎn)或葉子節(jié)點(diǎn)的部分用戶的權(quán)限

用戶通過(guò)密鑰協(xié)商協(xié)議協(xié)商出更新因子?，設(shè)參與密鑰協(xié)商的用戶個(gè)數(shù)為n，分別用U0,U1,…，Un?1表示。固定輪數(shù)群組密鑰協(xié)商協(xié)議基于可認(rèn)證的群組密鑰協(xié)商協(xié)議[26]和橢圓曲線密碼系統(tǒng)，通過(guò)2輪協(xié)商得出群組密鑰即更新因子?。協(xié)商的過(guò)程可以描述如下。

①第一輪協(xié)商。參與協(xié)商的n個(gè)用戶分別隨機(jī)產(chǎn)生，由預(yù)先在橢圓曲線上選取的公共點(diǎn)P計(jì)算出Zi=riP，每個(gè)用戶Ui,i∈ [0 ,n? 1]發(fā)送Zi給用戶U(i?1)modn和U(i+1)modn。

②第二輪協(xié)商。用戶Ui,i∈ [0 ,n? 1]根據(jù)接收到 的Z(i?1)modn=r(i?1)modnP和Z(i+1)modn=r(i+1)modnP計(jì)算?i= (Z(i+1)modn?Z(i?1)modn)ri，并廣播?i至所有參與協(xié)商的用戶。用戶Ui計(jì)算出協(xié)商密鑰，即更新因子?，Ωi=nriZ(i+1)modn+(n? 1)?i+(n?2 )?(i+1)modn+ …+?(i? 2) m odn=Ω(i? 1)modn=Ω。

用戶將更新因子?發(fā)送給角色認(rèn)證中心，角色認(rèn)證中心將該群組節(jié)點(diǎn)標(biāo)識(shí)與更新因子進(jìn)行異或操作，作為更新后的群組節(jié)點(diǎn)標(biāo)識(shí)，被撤銷權(quán)限的用戶不參與協(xié)商過(guò)程，無(wú)法獲得更新因子，也無(wú)法得到更新后的節(jié)點(diǎn)標(biāo)識(shí)，從而不能執(zhí)行角色對(duì)稱加密算法獲得密文，實(shí)現(xiàn)用戶權(quán)限的撤銷。撤銷中間節(jié)點(diǎn)或葉子節(jié)點(diǎn)的部分用戶權(quán)限過(guò)程如圖6所示。

2) 撤銷中間節(jié)點(diǎn)全部用戶的權(quán)限

角色認(rèn)證中心指定更新因子Φ，與該群組節(jié)點(diǎn)標(biāo)識(shí)進(jìn)行異或操作，作為更新后的群組節(jié)點(diǎn)標(biāo)識(shí)，該角色節(jié)點(diǎn)的全部用戶均無(wú)法獲得更新因子，也無(wú)法得到更新后的節(jié)點(diǎn)標(biāo)識(shí)，從而不能執(zhí)行角色對(duì)稱加密算法獲得密文，實(shí)現(xiàn)中間角色節(jié)點(diǎn)全部用戶權(quán)限的撤銷。撤銷中間節(jié)點(diǎn)全部用戶權(quán)限的過(guò)程如圖7所示。

圖6 撤銷中間節(jié)點(diǎn)或葉子節(jié)點(diǎn)的部分用戶權(quán)限過(guò)程

圖7 撤銷中間節(jié)點(diǎn)全部用戶權(quán)限的過(guò)程

3) 撤銷葉子節(jié)點(diǎn)全部用戶的權(quán)限

角色認(rèn)證中心直接刪除該葉子節(jié)點(diǎn)，即刪除了該角色群組節(jié)點(diǎn)的節(jié)點(diǎn)標(biāo)識(shí)，從而實(shí)現(xiàn)葉子角色節(jié)點(diǎn)全部用戶權(quán)限的撤銷。撤銷葉子節(jié)點(diǎn)全部用戶權(quán)限的過(guò)程如圖8所示。

圖8 撤銷葉子節(jié)點(diǎn)全部用戶權(quán)限的過(guò)程

角色認(rèn)證中心由更新后的角色樹(shù)獲得新的節(jié)點(diǎn)路徑，執(zhí)行角色密鑰生成函數(shù)，得到角色密鑰rk′并發(fā)送給對(duì)應(yīng)角色的所有用戶。為了實(shí)現(xiàn)對(duì)已存儲(chǔ)密文的更新，角色認(rèn)證中心在更新的角色群組中選擇參與密鑰協(xié)商的用戶，隨機(jī)發(fā)送該角色群組所管理的文件，參與密鑰協(xié)商的用戶個(gè)數(shù)為n, 角色群組Gx中管理的索引列表{token1,token2,…,tokenq}，token為云服務(wù)器存儲(chǔ)密文的索引，文件個(gè)數(shù)為q，隨機(jī)發(fā)送過(guò)程可以描述為以下2種情況。

1) 當(dāng)n＞q時(shí)，即參與協(xié)商的用戶個(gè)數(shù)大于該角色群組中管理的文件個(gè)數(shù)。

①角色認(rèn)證中心從n個(gè)用戶中隨機(jī)選擇q個(gè)用戶依次發(fā)送文件索引{token1,token2, …,tokenq}；②用戶執(zhí)行文件密鑰生成函數(shù)得到更新后的文件密鑰fk′，并向云服務(wù)器發(fā)送更新文件請(qǐng)求，云服務(wù)器根據(jù)對(duì)應(yīng)的文件索引返回密文，用戶使用文件密鑰得到更新后的密文上傳給云服務(wù)器。

2) 當(dāng)n≤q時(shí)，即參與協(xié)商的用戶個(gè)數(shù)小于或等于該角色群組中管理的文件個(gè)數(shù)。

①角色認(rèn)證中心計(jì)算，將文件索引{token1,toke2,…,tokenn}和{tokenn+1,token+2,…,tokenn+n}隨機(jī)發(fā)送給n個(gè)用戶，重復(fù)a輪，最后隨機(jī)從n個(gè)用戶中選取b個(gè)，將{tokenq?b,tokenq?b+1,…,tokenq?1,tokenq}依次發(fā)送給b個(gè)隨機(jī)用戶；②用戶執(zhí)行情況1)的步驟②，完成更新密文操作。

5 安全性分析

本文的安全性分析主要包含算法安全性證明和系統(tǒng)安全性分析。

5.1 算法安全性證明

本文借鑒文獻(xiàn)[27,28]的構(gòu)造思想，利用標(biāo)準(zhǔn)模型，對(duì)所提角色對(duì)稱加密算法進(jìn)行形式化安全證明。通過(guò)將所提算法規(guī)約到隨機(jī)函數(shù)的安全性和加密方案的選擇明文攻擊的安全性上來(lái)證明所提算法是安全的，即如果存在敵手A攻陷所提算法的概率等價(jià)于存在敵手 A′攻陷所提算法采用的一個(gè)多項(xiàng)式時(shí)間的計(jì)算復(fù)雜難題上，則可以證明所提算法是安全的[29]。

命題1 令RSE表示本文所提角色對(duì)稱加密算法，設(shè)H1是一個(gè)安全、抗碰撞的散列函數(shù)，H1∶{0 ,1}?→ {0 ,1}ε。設(shè)FR是一個(gè)偽隨機(jī)函數(shù)集合，。對(duì)于任意的有向無(wú)環(huán)圖T=＜G,E＞，如果存在一個(gè)敵手A1以ε的概率攻陷 RSE，則存在敵手 A1′以ε′的概率攻陷隨機(jī)函數(shù)FR。

證明 定義Game0,Game1, …,Gamew為敵手發(fā)起的一系列游戲，敵手發(fā)起的真正游戲?yàn)镚ame0，每個(gè)游戲Gamei對(duì)應(yīng)有向無(wú)環(huán)圖T=＜G,E＞中節(jié)點(diǎn)展開(kāi)角色密鑰恢復(fù)的操作，通過(guò)Game之間獲得的密鑰不可區(qū)分性來(lái)證明敵手進(jìn)行Game0攻陷算法RSE的概率是可忽略的。

1)Game0

初始化階段。挑戰(zhàn)者C調(diào)用RSE的初始化函數(shù)，即輸入有向無(wú)環(huán)圖T1，主密鑰MK1，安全參數(shù){0 .1}ρ。將輸出結(jié)果中的公開(kāi)信息Pub={IDi,H1}交給 A1′。

詢問(wèn)階段。 A1′向C發(fā)起詢問(wèn)，詢問(wèn)任意節(jié)點(diǎn)Gi對(duì)應(yīng)的角色密鑰材料，即KGi的結(jié)果。

挑戰(zhàn)階段。挑戰(zhàn)者C由角色密鑰生成算法計(jì)算得到對(duì)應(yīng)的角色密鑰材料KGi，具體可以描述為KGi=H1(…H1(H1(H1(MK1)‖G1)‖G2)… ‖Gi),Gi∈ {0 ,1}λ=IDi,MK1∈ {0 ,1}ρ，并將上述角色密鑰材料KGi的結(jié)果返回給 A1′。

猜測(cè)階段。敵手 A1′指定一個(gè)節(jié)點(diǎn)G0，且G0與質(zhì)詢階段的Go不構(gòu)成從屬關(guān)系， A1′通過(guò)猜測(cè)得到最接近G0的真實(shí)角色密鑰KG0的密鑰KG′0， A1′贏得Game0的優(yōu)勢(shì)定義為

2)Game1

Game1的初始化階段、詢問(wèn)階段和挑戰(zhàn)階段均與上述Game0過(guò)程相同，區(qū)別在于猜測(cè)階段獲得角色密鑰KG1的算法由偽隨機(jī)函數(shù)集合來(lái)替代，即KG1≈FR(MK1,ID1)。利用Game0和Game1之間的可區(qū)分性，能構(gòu)造一個(gè)多項(xiàng)式時(shí)間算法，以不可忽略的概率優(yōu)勢(shì)攻陷安全隨機(jī)函數(shù)，有

成立。

同理，下面描述Gamei(i=0,1,2,…,w)。

3)Gamei

Gamei的初始化階段、詢問(wèn)階段和挑戰(zhàn)階段均與上述Gamei?1過(guò)程相同，區(qū)別在于猜測(cè)階段獲得角色密鑰KG1的算法由另一偽隨機(jī)函數(shù)集合來(lái)替代，即KG1≈FR′ (MK1,ID1)。利用Gamei和Gamei?1之間的可區(qū)分性，能構(gòu)造一個(gè)多項(xiàng)式時(shí)間算法，以不可忽略的概率優(yōu)勢(shì)攻陷安全隨機(jī)函數(shù)，有

成立。

敵手 A1′在整個(gè)游戲Gamei?w過(guò)程中，無(wú)法通過(guò)詢問(wèn)獲得真實(shí)角色密鑰KG1，因此，敵手 A1′能夠猜測(cè)出正確角色密鑰KG1贏得游戲的優(yōu)勢(shì)定義為

合并式(1)～式(3)，即，證畢。

命題2 令RSE表示本文所提角色對(duì)稱加密算法，設(shè)H1是一個(gè)安全、抗碰撞的散列函數(shù)，設(shè)是一個(gè)偽隨機(jī)函數(shù)集合，。對(duì)于任意的有向無(wú)環(huán)圖T=＜G,E＞，如果存在一個(gè)敵手A2以ε的概率攻陷 RSE，則存在敵手A2′，A2′以ε′的概率攻陷隨機(jī)函數(shù)FR。

證明 定義Game0,Game1, …,Gamew為敵手發(fā)起的一系列游戲，敵手發(fā)起的真正游戲?yàn)镚ame0，每個(gè)游戲Gamei對(duì)應(yīng)有向無(wú)環(huán)圖T=＜G,E＞中節(jié)點(diǎn)展開(kāi)角色密鑰獲取的操作，敵手的優(yōu)勢(shì)為可以區(qū)分挑戰(zhàn)者返回的結(jié)果是真正的角色密鑰還是與密鑰等長(zhǎng)的隨機(jī)值，通過(guò)Game之間獲得的密鑰不可區(qū)分性來(lái)證明敵手進(jìn)行Game0攻陷算法 RSE的概率是可忽略的。

1)Game0

初始化階段。挑戰(zhàn)者C調(diào)用RSE的初始化函數(shù)，即輸入有向無(wú)環(huán)圖T1，主密鑰MK1，安全參數(shù)其中。將輸出結(jié)果中的公開(kāi)信息給 A2′。

詢問(wèn)階段。A2′向C發(fā)起詢問(wèn)，詢問(wèn)任意節(jié)點(diǎn)Gi對(duì)應(yīng)的角色密鑰材料，即KG1的結(jié)果。

挑戰(zhàn)階段。①挑戰(zhàn)者C由角色密鑰生成算法計(jì)算得到對(duì)應(yīng)的角色密鑰材料KG1，即，并將上述角色密鑰

材料KGi的結(jié)果返回給A2′。②A2′選定任一節(jié)點(diǎn)G0，且G0與詢問(wèn)階段的Gi不構(gòu)成從屬關(guān)系，向挑戰(zhàn)者C發(fā)起詢問(wèn)。挑戰(zhàn)者C隨機(jī)選擇Cr′ ∈ {0 ,1}， 若Cr′= 1， 則 返 回 真 實(shí) 角 色 密 鑰

則返回與密鑰等長(zhǎng)的隨機(jī)值KG′0。

猜測(cè)階段。敵手A2′被賦予挑戰(zhàn)者C隨機(jī)選擇Cr′ ∈ {0 ,1}返回的對(duì)應(yīng)值作為猜測(cè)結(jié)果，則A2′贏得Game0的優(yōu)勢(shì)定義為

2)Game1

Game1的過(guò)程與上述Game0過(guò)程相同，區(qū)別在于推導(dǎo)獲得角色密鑰KG1的算法由偽隨機(jī)函數(shù)集合來(lái)替代，即KG1≈FR(MKα,ID1)。利用Game0和Game1之間的可區(qū)分性，能構(gòu)造一個(gè)多項(xiàng)式時(shí)間算法，以不可忽略的概率優(yōu)勢(shì)攻陷安全隨機(jī)函數(shù)，有

成立。

同理，下面描述Gamei(i=1,2,…,w)。

3)Game1

Gamei的過(guò)程與Gamei?1過(guò)程相同，區(qū)別在于推導(dǎo)獲得角色密鑰KG1的算法由另一偽隨機(jī)函數(shù)集合來(lái)替代，即KG1≈FR′ (MKα,ID1)。利用Gamei和Gamei?1之間的可區(qū)分性，能構(gòu)造一個(gè)多項(xiàng)式時(shí)間算法，以不可忽略的概率優(yōu)勢(shì)攻陷安全隨機(jī)函數(shù)，有

成立。

敵手A2′在整個(gè)游戲Gamew過(guò)程中，無(wú)法通過(guò)區(qū)分獲得的角色密鑰是真實(shí)角色密鑰還是與密鑰等長(zhǎng)的隨機(jī)值，因此，敵手A2′無(wú)法通過(guò)推導(dǎo)得到真實(shí)的角色密鑰KG1，則能夠成功猜測(cè)挑戰(zhàn)者返回結(jié)果為真實(shí)角色密鑰，贏得游戲的優(yōu)勢(shì)定義為

合并式(4)～式(6)，即證畢。

5.2 系統(tǒng)安全性分析

本文所提云數(shù)據(jù)安全去重方案需要抵抗內(nèi)容猜測(cè)攻擊、文件偽造攻擊和共謀攻擊，與傳統(tǒng)的基于內(nèi)容加密的數(shù)據(jù)去重方案相比，本文所提方案基于角色對(duì)稱加密算法建立密鑰和用戶角色之間的映射關(guān)系，確保密鑰和文件內(nèi)容無(wú)關(guān)，使得敵手無(wú)法通過(guò)內(nèi)容猜測(cè)攻擊獲取隱私信息，即使敵手得到密文信息，也無(wú)法解密出原文件[30]。在假設(shè)合法用戶與敵手交換至少Smin的信息成功通過(guò)安全去重協(xié)議的安全目標(biāo)下，根據(jù)Halevi等[18]設(shè)置Smin為64 MB來(lái)實(shí)現(xiàn)抵抗共謀攻擊。在文件存儲(chǔ)階段，服務(wù)器通過(guò)驗(yàn)證用戶上傳的密文Θ和文件索引值hf是否一致來(lái)抵抗文件偽造攻擊，使擁有部分文件信息的敵手以可忽略的優(yōu)勢(shì)成功訪問(wèn)目標(biāo)文件。在實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制的安全目標(biāo)方面，基于角色的對(duì)稱加密算法通過(guò)訪問(wèn)控制策略和用戶角色權(quán)限關(guān)聯(lián)文件密鑰來(lái)實(shí)現(xiàn)不同權(quán)限的用戶訪問(wèn)特定的文件，計(jì)算角色密鑰的過(guò)程中使用遞歸散列的操作以及計(jì)算文件密鑰的過(guò)程中使用串聯(lián)操作保證了不同的訪問(wèn)控制策略的應(yīng)用，如果用戶權(quán)限被撤銷，則不能訪問(wèn)該文件，實(shí)現(xiàn)了細(xì)粒度訪問(wèn)控制的目標(biāo)。

本文所提方案的通信帶寬與設(shè)置的安全參數(shù)相關(guān)，滿足用戶和服務(wù)器交換較小的文件字節(jié)數(shù)實(shí)現(xiàn)授權(quán)去重的系統(tǒng)目標(biāo)，服務(wù)器的內(nèi)存開(kāi)銷也與安全參數(shù)相關(guān)，但與上傳的文件大小無(wú)關(guān)，保證了服務(wù)器的低內(nèi)存開(kāi)銷。客戶端存儲(chǔ)的角色密鑰由角色認(rèn)證中心計(jì)算，用戶根據(jù)訪問(wèn)控制策略和角色密鑰得到文件密鑰來(lái)加密原文件，因此，客戶端存儲(chǔ)的密鑰長(zhǎng)度與文件大小無(wú)關(guān)，實(shí)現(xiàn)用戶端存儲(chǔ)有效性的系統(tǒng)目標(biāo)。

表3將本文所提云數(shù)據(jù)安全去重方案與相關(guān)方案在算法安全性、系統(tǒng)安全性、細(xì)粒度訪問(wèn)控制和性能目標(biāo)等方面進(jìn)行歸納與總結(jié)。

6 性能分析與評(píng)價(jià)

6.1 算法復(fù)雜度分析

本文主要從客戶端、服務(wù)器端和第三方服務(wù)器的計(jì)算開(kāi)銷分析算法的復(fù)雜度?？蛻舳说挠?jì)算開(kāi)銷主要是使用散列和串聯(lián)操作得出文件密鑰、使用文件密鑰對(duì)稱加密文件得到密文、進(jìn)而得到文件索引值，復(fù)雜度與密鑰長(zhǎng)度、訪問(wèn)控制策略以及文件大小相關(guān)。服務(wù)器端的計(jì)算開(kāi)銷主要是計(jì)算和匹配文件索引值、生成和檢索二元映射結(jié)構(gòu)，復(fù)雜度與具體的匹配算法、檢索算法相關(guān)。第三方服務(wù)器的計(jì)算開(kāi)銷主要是角色認(rèn)證中心初始化角色密鑰樹(shù)、搜索角色密鑰樹(shù)及獲取角色密鑰，復(fù)雜度與角色密鑰樹(shù)的層次，密鑰長(zhǎng)度及具體的搜索算法相關(guān)。表 4將本文方案與實(shí)現(xiàn)數(shù)據(jù)安全去重和所有權(quán)證明的方案在計(jì)算復(fù)雜度和帶寬方面進(jìn)行對(duì)比分析。

從表 4可以看出，在客戶端計(jì)算開(kāi)銷方面，ce-PoW和ase-PoW均對(duì)文件塊進(jìn)行加密操作，雖然比其他方案直接對(duì)文件操作更加高效，但是密鑰的計(jì)算也需要較大的開(kāi)銷；在服務(wù)器端計(jì)算開(kāi)銷方面，ce-PoW和ase-PoW均對(duì)文件塊進(jìn)行處理，與其他方案相比計(jì)算開(kāi)銷較?。辉诘谌椒?wù)器計(jì)算復(fù)雜度方面，AuthorizedDedup方案、ase-PoW和本文提出的方案均引入第三方服務(wù)器，AuthorizedDedup方案的第三方服務(wù)器計(jì)算密鑰與文件相關(guān)，而ase-PoW和本文方案與文件無(wú)關(guān)，因此，效率更高。

6.2 性能評(píng)價(jià)

本文采用Linux系統(tǒng)下Java語(yǔ)言進(jìn)行系統(tǒng)仿真實(shí)驗(yàn)，選取公開(kāi)的OpenSSL函數(shù)庫(kù)中AES-256與SHA-256算法實(shí)現(xiàn)對(duì)稱加密和散列運(yùn)算。實(shí)驗(yàn)環(huán)境配置如下，CPU：Intel Core i5-4590 3.30 GHz；RAM：8 GB；磁盤(pán)：WDC WD10EZEX-08M2NA0（1TB/7200 r/min）；操作系統(tǒng)：Ubuntu 12.04.4 LTS。

實(shí)驗(yàn)測(cè)試文件加密階段和文件上傳階段的運(yùn)行時(shí)間，實(shí)驗(yàn)運(yùn)行1 000次，取平均值作為實(shí)驗(yàn)結(jié)果，選擇9個(gè)從2 MB到512 MB不同大小的文件：2 MB、4 MB、8 MB、16 MB、32 MB、64 MB、128 MB、256 MB和512MB。

文件加密階段的運(yùn)行時(shí)間主要分為生成角色密鑰、生成文件密鑰及對(duì)稱加密。實(shí)驗(yàn)測(cè)試了生成不同層級(jí)的群組角色密鑰運(yùn)行時(shí)間，在不同訪問(wèn)控制策略下生成文件密鑰運(yùn)行時(shí)間和使用文件密鑰對(duì)稱加密文件的運(yùn)行時(shí)間，如圖9～圖11所示。

表3 相關(guān)方案安全性和性能目標(biāo)的比較

表4 相關(guān)方案計(jì)算復(fù)雜度和帶寬消耗的比較

圖9 生成不同層級(jí)群組角色密鑰的運(yùn)行時(shí)間

圖10 不同群組個(gè)數(shù)下生成文件密鑰的運(yùn)行時(shí)間

圖11 對(duì)稱加密文件的運(yùn)行時(shí)間

從圖9可以看出角色密鑰的計(jì)算復(fù)雜度與角色群組節(jié)點(diǎn)的層次和密鑰長(zhǎng)度相關(guān)，隨著層次個(gè)數(shù)的增加，運(yùn)行時(shí)間也不斷增大，當(dāng)設(shè)置主密鑰長(zhǎng)度為512 bit，角色群組在角色密鑰樹(shù)的第10層時(shí)，計(jì)算角色密鑰的時(shí)間開(kāi)銷僅需3 ms，具有很高的計(jì)算效率。文件密鑰的計(jì)算復(fù)雜度主要與訪問(wèn)控制策略相關(guān)，即文件所屬的角色群組個(gè)數(shù)相關(guān)，由圖 10不同群組個(gè)數(shù)下生成文件密鑰的運(yùn)行時(shí)間可以看出，隨著群組個(gè)數(shù)不斷增加，得到文件密鑰的運(yùn)行時(shí)間也不斷增大，當(dāng)角色群組個(gè)數(shù)為 10個(gè)時(shí)，計(jì)算文件密鑰的時(shí)間開(kāi)銷約為2.7 ms，具有較高的效率。文件加密階段主要的時(shí)間開(kāi)銷在使用文件密鑰對(duì)稱加密文件上，如圖 11所示，隨著文件大小的增加，對(duì)稱加密的時(shí)間開(kāi)銷增大，曲線的增長(zhǎng)趨勢(shì)符合方案計(jì)算復(fù)雜度的分析。

文件上傳階段的運(yùn)行時(shí)間主要是計(jì)算文件索引值，上傳文件信息和運(yùn)行時(shí)間的關(guān)系如圖12所示。文件大小不斷增加，上傳文件所需時(shí)間開(kāi)銷有明顯增長(zhǎng)，曲線的增長(zhǎng)趨勢(shì)符合方案計(jì)算復(fù)雜度的分析。

圖12 文件上傳階段運(yùn)行時(shí)間

7 結(jié)束語(yǔ)

隨著云計(jì)算和大數(shù)據(jù)技術(shù)的普及和發(fā)展，數(shù)據(jù)量的爆炸式增長(zhǎng)和龐大的管理開(kāi)銷給有限的存儲(chǔ)空間帶來(lái)巨大壓力，如何有效地存儲(chǔ)管理這些文件，在保護(hù)個(gè)人隱私的同時(shí)實(shí)現(xiàn)安全訪問(wèn)和授權(quán)去重成為當(dāng)前的研究熱點(diǎn)。本文綜合考慮隱私泄露、未授權(quán)訪問(wèn)、安全數(shù)據(jù)去重和密鑰更新等問(wèn)題，提出了一種全新的角色對(duì)稱加密算法和基于該算法的云數(shù)據(jù)安全去重方案，通過(guò)構(gòu)建角色密鑰樹(shù)，建立角色和密鑰之間的映射關(guān)系，并利用角色對(duì)稱加密關(guān)聯(lián)用戶角色與密鑰，以滿足不同角色根據(jù)訪問(wèn)控制策略訪問(wèn)對(duì)應(yīng)權(quán)限文件的需求，有效保護(hù)個(gè)人隱私信息，實(shí)現(xiàn)云環(huán)境中分層結(jié)構(gòu)下的云數(shù)據(jù)授權(quán)去重，并通過(guò)群組密鑰協(xié)商解決角色與密鑰映射關(guān)系中由密鑰更新、權(quán)限撤銷等帶來(lái)的安全問(wèn)題。安全性證明和性能分析表明所提方案是安全且高效的。

[1] XIA W, JIANG H, FENG D, et al. A comprehensive study of the past,present, and future of data deduplication[J]. Proceedings of the IEEE,2016, 104(9)∶1681-1710.

[2] 熊金波, 張媛媛, 李鳳華,等.云環(huán)境中數(shù)據(jù)安全去重研究進(jìn)展.通信學(xué)報(bào),2016,37(11)∶169-180.XIONG J B, ZHANG Y Y, LI F H, et al. Research progress on secure data deduplication in cloud[J]. Journal on Communications, 2016,37(11)∶ 169-180.

[3] LIU J, ASOKAN N, PINKAS B. Secure deduplication of encrypted data without additional independent servers[C]//ACM SIGSAC Conference on Computer and Communications Security. 2015∶874-885.

[4] XIONG J, ZHANG Y, LI X, et al. RSE-PoW∶ a role symmetric encryption PoW scheme with authorized deduplication for multimedia data[J]. Mobile Networks and Applications, 2017∶1-14.

[5] DOUCEUR J, ADYA A, BOLOSKY W, et al. Reclaiming space from duplicate files in a serverless distributed file system[C]//International Conference on Distributed Computing Systems. 2002∶ 617-624.

[6] PUZIO P, MOLVA R, ONEN M, et al. ClouDedup∶ secure deduplication with encrypted data for cloud storage[C]//5th International Conference on Cloud Computing Technology and Science(CloudCom). 2013∶ 363-370.

[7] LI M, QIN C, LI J, et al. CDStore∶ toward reliable, secure, and cost-efficient cloud storage via convergent dispersal[J]. IEEE Internet Computing, 2016, 20(3)∶ 45-53.

[8] STANEK J, SORNIOTTI A, ANDROULAKI E, et al. A secure data deduplication scheme for cloud storage[C]// International Conference on Financial Cryptography and Data Security, Springer Berlin Heidelberg, 2014, 8437∶ 99-118.

[9] BELLARE M, KEELVEEDHI S, RISTENPART T. Message-locked encryption and secure deduplication[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques.Springer Berlin Heidelberg, 2013, 7881∶ 296-312.

[10] CHEN R, MU Y, YANG G, et al. Bl-MLE∶ block-level messagelocked encryption for secure large file deduplication[J]. IEEE Transactions on Information Forensics and Security,2015,10(12)∶2643-2652.

[11] JIANG T, CHEN X, WU Q, et al. Secure and efficient cloud data deduplication with randomized tag[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(3)∶ 532-543.

[12] LI J, QIN C, LEE P P C, et al. Rekeying for encrypted deduplication storage[C]//46th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). 2016∶ 618-629.

[13] QIN C, LI J, LEE P P C. The design and implementation of a rekeying-aware encrypted deduplication storage system[J]. ACM Transactions on Storage (TOS), 2017, 13(1)∶ 9.

[14] PUZIO P, MOLVA R, ?NEN M, et al. PerfectDedup∶ secure data deduplication[C]//International Workshop on Data Privacy Management. Springer International Publishing, 2015∶ 150-166.

[15] BELLARE M, KEELVEEDHI S. Interactive message-locked encryption and secure deduplication[C]// IACR International Workshop on Public Key Cryptography. Springer Berlin Heidelberg, 2013, 7881∶296-312.

[16] LI J, CHEN X F, LI M Q, et al. Secure deduplication with efficient and reliable convergent key management[J]. IEEE Transactions on Parallel and Distributed Systems, 2014, 25(6)∶ 1615-1625.

[17] MIAO M, WANG J, LI H, et al. Secure multi-server-aided data deduplication in cloud computing[J]. Pervasive and Mobile Computing, 2015, 24∶ 129-137.

[18] HALEVI S, HARNIK D, PINKAS B, et al. Proofs of ownership in remote storage systems[C]// 18th ACM conference on Computer and Communications Security, ACM, 2011∶ 491-500.

[19] DI PIETRO R, SORNIOTTI A. Boosting efficiency and security in proof of ownership for deduplication[C]// 7th ACM Symposium on Information, Computer and Communications Security. ACM, 2012∶ 81-82.

[20] DI PIETRO R, SORNIOTTI A. Proof of ownership for deduplication systems∶ a secure, scalable, and efficient solution[J]. Computer Communications, 2016, 82∶ 71-82.

[21] BLASCO J, ROBERTO D P, ALEJANDRO O, et al. A tunable proof of ownership scheme for deduplication using bloom filters[C]// IEEE Conference on Communications and Network Security (CNS). 2014∶481-489.

[22] GONZáLEZ-MANZANO L, AGUSTIN O. An efficient confidentiality-preserving proof of ownership for deduplication[J]. Journal of Network and Computer Applications, 2015,50∶ 49-59.

[23] LI J, LI Y K, CHEN X, et al. A hybrid cloud approach for secure authorized deduplication[J]. IEEE Transactions on Parallel and Distributed Systems, 2015, 26(5)∶ 1206-1216.

[24] GONZáLEZ-MANZANO L, FUENTES J M D, CHOO K K R.ase-POW∶ a proof of ownership mechanism for cloud deduplication in hierarchical environments[C]// 12th EAI International Conference on Security and Privacy in Communication Networks.2016∶ 412-428.

[25] ZHANG Y, XIONG J, REN J, et al. A novel role symmetric encryption algorithm for authorized deduplication in cloud[C]//10th EAI International Conference on Mobile Multimedia Communications (EAI MOBIMEDIA). 2017∶ 104-110.

[26] 王宏遠(yuǎn), 祝烈煌, 李龍一佳. 云存儲(chǔ)中支持?jǐn)?shù)據(jù)去重的群組數(shù)據(jù)持有性證明[J]. 軟件學(xué)報(bào), 2016, 27(6)∶1417-1431.WANG H Y, ZHU L H, LI L Y J. Group provable data possession with deduplication in cloud storage[J]. Journal of Software, 2016, 27(6)∶1417-1431.

[27] SANTIS A D, FERRARA A L, MASUCCI B. Efficient provably-secure hierarchical key assignment schemes[J]. Theoretical Computer Science, 2011, 412(41)∶ 5684-5699.

[28] ATALLAH M, BLANTON M, FAZIO N, et al. Dynamic and efficient key management for access hierarchies[J]. ACM Transactions on Information and System Security (TISSEC), 2009, 12(3)∶1-43.

[29] 馬駿, 郭淵博, 馬建峰,等.物聯(lián)網(wǎng)感知層一種分層訪問(wèn)控制方案[J].計(jì)算機(jī)研究與發(fā)展, 2013, 50(6)∶ 1267-1275.MA J, GUO Y B, MA J F, et al. A hierarchical access control scheme for perceptual layer of IoT[J]. Journal of Computer Research and Development, 2013, 50(6)∶1267-1275.

[30] 宋建業(yè),何暖,朱一明,等.基于阿里云平臺(tái)的密文數(shù)據(jù)安全去重系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全,2017(3)∶39-45.SONG J Y, HE N, ZHU Y M, et al. Design and implementation of secure deduplication system for ciphertext data based on Aliyun[J].Netinfo Security, 2017(3)∶39-45.