張桂鵬，匡振曦，陳平華

廣東工業(yè)大學(xué) 計算機(jī)學(xué)院，廣州510006

1 引言

近年來，云計算行業(yè)呈現(xiàn)出穩(wěn)定快速的發(fā)展態(tài)勢。由于云計算產(chǎn)業(yè)結(jié)構(gòu)的不斷優(yōu)化和提供云計算服務(wù)的企業(yè)不斷增多，用戶數(shù)據(jù)的處理和存儲得到了極大的簡化和保障，用戶只需將數(shù)據(jù)存儲外包給第三方云存儲服務(wù)提供商即可。然而，隨著存儲在云服務(wù)器的數(shù)據(jù)爆炸式增長，數(shù)據(jù)需要占用的存儲空間和傳輸帶寬也將增加。因此重復(fù)數(shù)據(jù)刪除技術(shù)[1-2]成為了一項急需研究的數(shù)據(jù)壓縮技術(shù)，該技術(shù)通過計算出的文件標(biāo)簽來檢測和消除冗余數(shù)據(jù)，能夠極大地減少存儲空間和降低傳輸帶寬消耗，受到了學(xué)術(shù)界和工業(yè)界越來越多的關(guān)注。

按照檢測文件大小粒度的不同，重復(fù)數(shù)據(jù)刪除方案可以分為文件級去重方案[3]和數(shù)據(jù)塊級去重方案[4-5]。文件級去重方案可以消除文件的重復(fù)副本，只保留一份文件副本和指向副本的索引；而數(shù)據(jù)塊級去重方案能夠消除不同文件中重復(fù)數(shù)據(jù)塊，同樣只保留一份數(shù)據(jù)塊副本和指向數(shù)據(jù)塊的索引。盡管重復(fù)數(shù)據(jù)刪除方案大大提高了數(shù)據(jù)存儲空間利用率，節(jié)省了大量磁盤空間，但是由于數(shù)據(jù)存儲在第三方云存儲服務(wù)器上，這將導(dǎo)致用戶無法判斷自己數(shù)據(jù)是否處于安全存儲的狀態(tài)，數(shù)據(jù)的安全性和隱私性得不到有效的保障，即使用傳統(tǒng)的加密算法對數(shù)據(jù)進(jìn)行加密，也會導(dǎo)致不同用戶的相同數(shù)據(jù)產(chǎn)生不同的密文，從而影響重復(fù)數(shù)據(jù)刪除。

為了解決傳統(tǒng)加密算法與重復(fù)數(shù)據(jù)刪除不兼容的問題，Douceur 等[6]提出收斂加密算法（Convergent Encryption，CE），使用收斂密鑰來加密和解密文件，其中收斂密鑰由文件內(nèi)容通過散列函數(shù)計算生成，因此相同的文件會產(chǎn)生相同的收斂密鑰，從而生成相同的密文。CE 算法使得重復(fù)數(shù)據(jù)刪除得以實(shí)現(xiàn)，并已廣泛地應(yīng)用在一些理論研究和去重方案[7-10]中。Puzio等[11]結(jié)合CE 算法提出了ClouDedup 方案，引入第三方密鑰服務(wù)器來對數(shù)據(jù)再次進(jìn)行加密，減少客戶端的存儲空間消耗；Li 等[12]將秘密共享方案與CE 算法結(jié)合，提出了CDStore 方案，通過將算法中的隨機(jī)信息確定化來實(shí)現(xiàn)數(shù)據(jù)的安全去重，有效地減少存儲空間；Stanek 等[13]根據(jù)文件的流行程度提出了一種面向不同等級的加密算法，分別對流行和非流行文件采用不同的加密模式，來加強(qiáng)對數(shù)據(jù)的保密性。但由于CE算法缺乏嚴(yán)格的密碼學(xué)原語定義和形式化的安全模型，以上所提到的結(jié)合CE算法的方案都無法應(yīng)對攻擊者進(jìn)行的暴力破解。

Bellare 等[14]提出了一種新的密碼學(xué)原語—消息鎖加密算法（Message-Locked Encryption，MLE），該算法的提出為收斂加密算法提供了理論依據(jù)，然而MLE 只適用于保護(hù)具有比較高的不可預(yù)測性的數(shù)據(jù)。2015年，Bellare 等[15]在MLE 的基礎(chǔ)上提出了一種擴(kuò)展MLE 方案，但是iMLE 方案仍停留在理論探索階段，實(shí)用性不高；文獻(xiàn)[7]使用基于lockbox原理來存儲并加密數(shù)據(jù)，在數(shù)據(jù)去重中引入代理重加密技術(shù)，保證數(shù)據(jù)內(nèi)容無法被猜測獲取，但服務(wù)器需要承擔(dān)數(shù)量龐大的密鑰管理;Li等[16]提出了一種混合云架構(gòu)的數(shù)據(jù)去重方案，通過執(zhí)行額外的加密算法來增強(qiáng)數(shù)據(jù)的安全性，使得數(shù)據(jù)只能被具有特定權(quán)限的用戶訪問，但私有云需要承擔(dān)過大的計算量，不適用于具有較大規(guī)模用戶量的去重系統(tǒng)。張桂鵬等[17]在混合云架構(gòu)中引入權(quán)限等級函數(shù)來計算去重標(biāo)簽，并且用Merkle哈希樹來計算權(quán)限密鑰，有效地降低去重標(biāo)簽和密鑰的計算時間開銷。Chen 等[18]提出了BL-MLE方案，能夠通過少量元數(shù)據(jù)來實(shí)現(xiàn)文件級和數(shù)據(jù)塊級的安全去重，適用于大規(guī)模加密文件，然而在去重過程中增加了POW 驗證，服務(wù)器端的通信消耗過大。為了降低計算開銷，Liu 等[19]提出了一種適用于云加密去重系統(tǒng)中的完整性審計方案，該方案能夠減少客戶端的計算開銷，有效地保證了外包數(shù)據(jù)的機(jī)密性和完整性，但仍存在著MLE算法面臨的缺陷，亟需進(jìn)一步進(jìn)行方案的研究和改進(jìn)。

為了提高數(shù)據(jù)的安全性和機(jī)密性，實(shí)現(xiàn)支持多云存儲系統(tǒng)[20]的數(shù)據(jù)安全去重，提出了一種采用簽名與哈希技術(shù)的云存儲去重方案，主要貢獻(xiàn)如下。

（1）在數(shù)據(jù)去重過程中采用了雙層校驗機(jī)制：全局校驗和局部校驗。通過雙層校驗機(jī)制能夠?qū)徲嬑募耐暾砸约熬_地定位到損壞的數(shù)據(jù)塊，保證了數(shù)據(jù)的完整性，有效地防止單一云存儲服務(wù)提供商對數(shù)據(jù)進(jìn)行壟斷控制。

（2）改進(jìn)了傳統(tǒng)的云存儲去重系統(tǒng)模型，引入多云模型并且在元數(shù)據(jù)服務(wù)器部署密鑰和權(quán)限服務(wù)器，通過構(gòu)造Merkle哈希樹來生成校驗值δ，從而計算出去重標(biāo)簽，保證了重復(fù)數(shù)據(jù)能夠被檢測，降低去重標(biāo)簽的計算開銷。

（3）能夠有效地支持文件級和數(shù)據(jù)塊級別的重復(fù)數(shù)據(jù)刪除，高效地實(shí)現(xiàn)了多云存儲的安全去重系統(tǒng)。

2 預(yù)備知識

2.1 符號說明

符號及說明如表1所示。

表1 符號說明

2.2 代數(shù)簽名

代數(shù)簽名是一種具有同態(tài)性和代數(shù)性的哈希函數(shù)，作為一種輕量級的信息簽名方式，計算開銷較小。代數(shù)簽名的基本特性是指數(shù)據(jù)塊代數(shù)簽名的和與所對應(yīng)得數(shù)據(jù)塊和的代數(shù)簽名結(jié)果一致[21]。設(shè)λ 為有限域的一種元素，且向量λ=(λ1,λ2,…,λn)由非零元素組成。由n個數(shù)據(jù)塊(f[1],f[2],…,f[n])組成的文件F 的代數(shù)簽名計算如下：

其中的代數(shù)簽名的一些性質(zhì)如下：

性質(zhì)1 長度為r 的塊f[i]串聯(lián)f[j]后的代數(shù)簽名計算式為：

性質(zhì)2 文件F 中所有數(shù)據(jù)塊的簽名總和等于每個數(shù)據(jù)塊的簽名總和：

性質(zhì)3 兩個文件F 和G 的代數(shù)簽名和等于每個文件簽名和：

2.3 Merkle哈希樹

Merkle哈希樹是一種哈希二叉樹，所構(gòu)造的所有節(jié)點(diǎn)均為Hash值，葉子節(jié)點(diǎn)為數(shù)據(jù)信息的哈希值，其余非葉子節(jié)點(diǎn)由其孩子節(jié)點(diǎn)串接后哈希運(yùn)算得到的，依次從下向上逐層運(yùn)算，最終將會得到唯一的根節(jié)點(diǎn)ROOT，此時Merkle哈希樹構(gòu)造完成。在本方案中，設(shè)定Merkle哈希樹構(gòu)造函數(shù)為Mroot=MHT({m})，其中{m}為數(shù)據(jù)信息集合，函數(shù)的輸出值為該根節(jié)點(diǎn)的值Mroot。如圖1所示，該Merkle 哈希樹的葉子節(jié)點(diǎn)A、B、C、D 分別為H(B1),H(B2),H(B3),H(B4)，非葉子節(jié)點(diǎn)E=H(H(B1)+H(B2))，F(xiàn)=H(H(B3)+H(B4)，最終能夠得到唯一的根節(jié)點(diǎn)值G=H(H(E)+H(F))=MHT({Bi})，其中1 ≤i ≤4。

圖1 Merkle哈希樹構(gòu)造流程圖

2.4 所有權(quán)證明算法（POW）

所有權(quán)證明算法用來證明用戶是否擁有存儲在云服務(wù)器中的數(shù)據(jù)，以防止攻擊者通過數(shù)據(jù)指紋信息從服務(wù)器中獲取完整的文件。服務(wù)器需要根據(jù)文件生成相應(yīng)的挑戰(zhàn)發(fā)送給用戶，用戶根據(jù)擁有的文件，生成正確的應(yīng)答并返回驗證，以此來證明用戶確實(shí)擁有該文件，在現(xiàn)有文獻(xiàn)中已有許多有效的POW，包括基于MHT的POW[22]、BF-POW[23]等。

3 問題闡述

3.1 系統(tǒng)模型

本章將介紹方案中存在的系統(tǒng)模型和安全威脅模型的定義，如圖2所示，系統(tǒng)模型包含三種實(shí)體模型：用戶實(shí)體，元數(shù)據(jù)服務(wù)器，多云存儲服務(wù)提供商實(shí)體。

圖2 多云環(huán)境下的數(shù)據(jù)安全去重系統(tǒng)模型

用戶實(shí)體（User）：用戶需要將數(shù)據(jù)文件進(jìn)行上傳存儲到MDS 中，以降低文件傳輸中的帶寬，節(jié)省存儲空間，其中數(shù)據(jù)文件只需要上傳一份，不需要上傳重復(fù)的文件，在支持訪問控制的數(shù)據(jù)去重系統(tǒng)中，用戶上傳文件時可設(shè)定文件的訪問權(quán)限，以提供特定的用戶進(jìn)行分享下載。

元數(shù)據(jù)服務(wù)器（MDS）：元數(shù)據(jù)服務(wù)器主要對用戶上傳的數(shù)據(jù)文件進(jìn)行處理，具有一定的存儲容量（相比于云存儲服務(wù)提供商的存儲容量則小很多），將處理后的密文存儲在MS-CSP上，當(dāng)用戶上傳數(shù)據(jù)文件時，元數(shù)據(jù)服務(wù)器進(jìn)行安全去重檢測來降低存儲成本。在本方案中，設(shè)定元數(shù)據(jù)服務(wù)器為誠實(shí)可信的第三方服務(wù)器。

多云存儲服務(wù)提供商實(shí)體（MS-CSP）：多云存儲服務(wù)提供商由多個不同的云存儲服務(wù)提供商（S-CSP）構(gòu)成，主要接收來自MDS 處理加密后的數(shù)據(jù)文件和相關(guān)標(biāo)簽，并合理地存儲在其服務(wù)器上。在本方案中，假定MS-CSP具有充足的存儲容量和計算能力。

3.2 威脅模型和安全目標(biāo)

在本方案中，威脅模型主要考慮了兩種類型的攻擊者：外部攻擊者和內(nèi)部攻擊者，外部攻擊者和內(nèi)部攻擊者都試圖通過公共信道盡可能多地獲取到存儲在MS-CSP 的數(shù)據(jù)信息，外部攻擊者未擁有有效的權(quán)限，會企圖偽裝成合法的用戶來與MDS 進(jìn)行交互；內(nèi)部攻擊者擁有部分有效的權(quán)限，可以看作是誠實(shí)而又好奇的用戶，也會上傳文件與MDS和MS-CSP進(jìn)行交互，試圖獲取到其他用戶的數(shù)據(jù)密文或者加密密鑰。因此在基于MDS 為誠實(shí)可信的第三方前提下，安全模型提出了以下安全性要求，包括數(shù)據(jù)的安全性和數(shù)據(jù)的完整性。

數(shù)據(jù)的安全性：包括了去重標(biāo)簽和密文的安全性，非授權(quán)的用戶或者沒有被身份認(rèn)證的用戶將無法獲取到任何的去重標(biāo)簽，只有被授權(quán)的用戶在MDS 的驗證通過下，才能通過與私有云進(jìn)行交互計算來獲取文件的去重標(biāo)簽，從而執(zhí)行數(shù)據(jù)重復(fù)檢測操作。在本方案中，去重標(biāo)簽通過采用了Mapbox和Lockbox結(jié)合的機(jī)制來加密，有效地抵制了暴力攻擊，同時加密密文的密鑰只保存在MDS，非授權(quán)的用戶即使進(jìn)行串謀，也無法通過獲取密鑰來解密密文。

數(shù)據(jù)的完整性：由于數(shù)據(jù)文件是由多個不同的S-CSP進(jìn)行存儲管理，存儲在MS-CSP的數(shù)據(jù)將會面臨著被攻擊者進(jìn)行竊取損壞，或者其中某些S-CSP進(jìn)行的惡意串謀行為等風(fēng)險，數(shù)據(jù)的完整性要求MDS 能夠檢測出數(shù)據(jù)是否完整，即使數(shù)據(jù)被損壞，也能檢測出存儲在哪些S-CSP的數(shù)據(jù)遭受攻擊損壞，使得用戶不需擔(dān)心數(shù)據(jù)被惡意替換損壞。

4 方案實(shí)現(xiàn)

4.1 基本思路

本方案改進(jìn)了傳統(tǒng)的云存儲去重系統(tǒng)模型，在上傳文件時，用戶通過構(gòu)造Merkle哈希樹來生成校驗值，從而計算出去重標(biāo)簽，保證了重復(fù)數(shù)據(jù)能夠被檢測。MDS對來自用戶的數(shù)據(jù)文件進(jìn)行預(yù)處理，采用Mapbox 和Lockbox結(jié)合的機(jī)制來加密數(shù)據(jù)信息，保證非授權(quán)的用戶無法對文件進(jìn)行訪問，在下載文件時，使用雙層校驗機(jī)制能夠檢測出數(shù)據(jù)是否完整，也可以定位到丟失損壞的數(shù)據(jù)塊，高效實(shí)現(xiàn)了支持文件級和數(shù)據(jù)塊級的數(shù)據(jù)安全去重系統(tǒng)。

4.2 系統(tǒng)初始化

設(shè)定用戶身份標(biāo)識為ID（ID可由加密的用戶名，密碼等組成），用戶所擁有的權(quán)限集為PU，用戶設(shè)定上傳文件F 的訪問限制權(quán)限集為PF，云存儲服務(wù)提供商的數(shù)量為n；在本方案中，數(shù)據(jù)去重是基于多個獨(dú)立的S-CSP環(huán)境下執(zhí)行的，此時的文件是由多個S-CSP進(jìn)行協(xié)同存儲，而不再是由單一的S-CSP 存儲，每個S-CSP都存儲著數(shù)量不定的數(shù)據(jù)塊，在缺少其他S-CSP的協(xié)同下，單一的S-CSP 將無法獲取到完整的文件，有效地避免傳統(tǒng)單一的S-CSP對用戶文件進(jìn)行壟斷控制。

4.3 用戶認(rèn)證

為了確保數(shù)據(jù)文件的安全性，用戶在上傳文件之前，需要與MDS之間進(jìn)行身份認(rèn)證.首先用戶將身份標(biāo)識ID 和所具有的權(quán)限PU發(fā)送給MDS，MDS 進(jìn)行身份認(rèn)證[24]并輸出驗證結(jié)果，如果驗證結(jié)果不通過，MDS將停止當(dāng)前的數(shù)據(jù)操作，拒絕用戶與MS-CSP進(jìn)行數(shù)據(jù)交互；如果驗證通過，則繼續(xù)執(zhí)行下列操作。

4.4 文件上傳

文件上傳過程包括文件級和數(shù)據(jù)塊級的安全去重過程，用戶先執(zhí)行文件級數(shù)據(jù)去重，當(dāng)檢測結(jié)果為文件不重復(fù)，則再將文件切分成數(shù)據(jù)塊，進(jìn)而執(zhí)行細(xì)粒度更小的塊級去重，具體的操作流程如下：

用戶選取哈希函數(shù)H1、H2，計算文件F 的去重標(biāo)簽?Fi=H2(H1(F⊕δ))，用戶將去重標(biāo)簽?Fi發(fā)送給MDS，其中?Fi用于對文件F 的重復(fù)檢測，MDS 并將檢測的結(jié)果返回給用戶。

若檢測結(jié)果為：文件F 為重復(fù)，則進(jìn)行以下操作。

MDS將與用戶之間運(yùn)行POW算法，通過所有權(quán)證明的檢測來判定用戶是否確實(shí)擁有文件F ，如果沒有通過所有權(quán)證明，MDS將停止與用戶進(jìn)行數(shù)據(jù)操作，拒絕用戶訪問當(dāng)前的文件；如果通過所有權(quán)證明，MDS通知用戶不再上傳文件F ，授權(quán)允許用戶擁有該文件F并返回指針給用戶，以便用戶訪問文件，用戶無需再上傳文件F。

若檢測結(jié)果為：文件F 為不重復(fù)，MDS選取一密鑰kB，將密鑰kB發(fā)送給用戶，用戶進(jìn)而執(zhí)行數(shù)據(jù)塊級別的重復(fù)檢測刪除：

用戶計算出每一塊數(shù)據(jù)塊Bi的去重標(biāo)簽?Bi=H2(H1(B)⊕kB)，將去重標(biāo)簽?Bi發(fā)送給MDS，其中?Bi用于對數(shù)據(jù)塊Bi的重復(fù)檢測，MDS 根據(jù)文件的訪問限制權(quán)限PF選取權(quán)限密鑰kp，并將檢測結(jié)果返回給用戶。

若檢測結(jié)果為：數(shù)據(jù)塊Bi為重復(fù)，則進(jìn)行以下操作。

MDS同樣需要與用戶之間運(yùn)行POW算法，如果通過所有權(quán)證明，MDS通知用戶無需再上傳數(shù)據(jù)塊Bi，并更新Lockboxi結(jié)構(gòu)信息，同時使用密鑰kp對Lockboxi進(jìn)行解密，即Mapboxi=Decrypt(kp,Lockboxi)，更新該數(shù)據(jù)塊Bi的Mapboxi信息并返回塊指針給用戶，以便用戶訪問相應(yīng)的數(shù)據(jù)塊。如果沒有通過所有權(quán)證明，MDS 將停止與用戶進(jìn)行數(shù)據(jù)操作，拒絕用戶訪問當(dāng)前的數(shù)據(jù)塊Bi。

若檢測結(jié)果為：數(shù)據(jù)塊Bi為不重復(fù)，則進(jìn)行以下操作。

用戶將文件校驗值δ 和數(shù)據(jù)塊Bi發(fā)送給MDS，MDS將生成數(shù)據(jù)塊Bi的Mapboxi結(jié)構(gòu)，來記錄數(shù)據(jù)塊Bi的位置和標(biāo)簽，Mapboxi結(jié)構(gòu)包括了數(shù)據(jù)塊序號Numi、文件標(biāo)簽信息?Fi、數(shù)據(jù)塊標(biāo)簽信息?Bi、存儲的位置地址σi；接著MDS 使用用戶的權(quán)限密鑰kp對Mapboxi進(jìn)行加密，來生成數(shù)據(jù)塊Bi的Lockboxi結(jié)構(gòu)，即結(jié)構(gòu)還記錄該數(shù)據(jù)塊的IDi，用戶的訪問限制權(quán)限PF，Lockboxi結(jié)構(gòu)能有效防止Mapboxi信息泄露，只有用戶權(quán)限符合權(quán)限PF，才能對Mapboxi信息進(jìn)行訪問。

MDS對數(shù)據(jù)塊Bi進(jìn)行加密，得到密文Ci=Encrypt(kB,Bi)，同時使用代數(shù)簽名計算出數(shù)據(jù)塊Bi的簽名信息Γi=Sλ(f[i]||Lockboxi)，將權(quán)限密鑰kp和密鑰kB存儲在MDS 所部署的權(quán)限和密鑰管理服務(wù)器上，并將所得到的數(shù)據(jù){Ci、Γi}一起發(fā)送到MS-CSP，MS-CSP存儲后將會返回塊指針σi，指針σi記錄著密文Ci的存儲位置，包括所在的S-CSP編號和排列位置。

4.5 文件下載

當(dāng)需要下載文件F ，用戶發(fā)送下載請求給MDS，MDS 獲取到該用戶的權(quán)限密鑰kp，先驗證用戶所具有的權(quán)限PU是否符合文件訪問權(quán)限PF。當(dāng)驗證通過時，MDS 獲取存儲在MS-CSP 的數(shù)據(jù)信息{Ci、Γi} ，MDS 使用密鑰kB對密文Ci進(jìn)行解密，得到數(shù)據(jù)塊，此時需要對下載到的數(shù)據(jù)塊執(zhí)行雙層校驗機(jī)制，即全局校驗和局部校驗，具體操作如下：

（2）MDS 先計算出Sλ(Lockboxi) ，將Sλ(Lockboxi)與同時下載到的簽名信息Γi進(jìn)行異或運(yùn)算，得到

（3）MDS 對下載到的數(shù)據(jù)塊Bi分別計算出其代數(shù)簽名，得到S′λ(f[i])，只要檢測到S′λ(f[i])與Sλ(f[i])不相同，則說明該數(shù)據(jù)塊Bi已經(jīng)遭受損壞，通過附加的數(shù)據(jù)塊標(biāo)識σi可確定存儲數(shù)據(jù)塊Bi的S-CSP的代號和排列位置。

5 安全性分析

本文方案通過全局校驗和局部校驗來校驗文件的完整性以及精確地定位到丟失損壞的數(shù)據(jù)塊，保證了數(shù)據(jù)的完整性，并且采用Mapbox 和Lockbox 結(jié)合的機(jī)制來加密數(shù)據(jù)信息，使得非授權(quán)的用戶無法對文件進(jìn)行訪問；在假定MDS為可信第三方的前提下，本章將從以下兩方面進(jìn)行安全性分析，即數(shù)據(jù)安全性和數(shù)據(jù)的完整性。

5.1 數(shù)據(jù)的安全性

數(shù)據(jù)安全性包括了去重標(biāo)簽的安全性和密文的安全性。本方案所采用去重標(biāo)簽生成算法與傳統(tǒng)的標(biāo)簽生成算法不同，傳統(tǒng)的標(biāo)簽生成算法通過對數(shù)據(jù)文件進(jìn)行哈希運(yùn)算獲得，即?=TagGen(F)=H(F)，當(dāng)攻擊者知道數(shù)據(jù)文件F屬于有限可預(yù)測的文件集合{F1,F2,…,Fn}，攻擊者通過對集合的數(shù)據(jù)元素進(jìn)行哈希運(yùn)算并將結(jié)果與? 進(jìn)行逐一對比，以此能夠猜測出數(shù)據(jù)內(nèi)容F，在本方案中，文件級的去重標(biāo)簽計算需要校驗值δ 的參與，而校驗值δ 是通過Merkle哈希樹的構(gòu)造來生成，對于相同的文件F、δ 和?Fi也將保持一致，一方面能夠保證了重復(fù)數(shù)據(jù)能夠被檢測，另一方面即使攻擊者得知數(shù)據(jù)文件F 的相關(guān)信息，由于無法推測出校驗值δ，因而也猜測不出數(shù)據(jù)內(nèi)容F ，有效地抵制了攻擊者進(jìn)行的暴力攻擊。

對于密文信息的安全性，本方案使用Mapbox 和Lockbox 結(jié)合的機(jī)制來加密數(shù)據(jù)信息，數(shù)據(jù)文件被分割成若干個數(shù)據(jù)塊Bi，Mapbox 存儲著數(shù)據(jù)塊Bi的地址標(biāo)簽等相關(guān)信息，而Lockbox 存儲著數(shù)據(jù)塊的IDi訪問限制權(quán)限和已加密的Mapbox。外部攻擊者或非授權(quán)的用戶由于缺少有效的權(quán)限密鑰kp，將無法通過MDS的權(quán)限驗證來與其進(jìn)行交互；內(nèi)部攻擊者即使通過公共信道獲取到了其他用戶的Lockbox，也無法分辨出其中的數(shù)據(jù)信息來解密出Lockbox；在假定MDS為可信第三方的前提下，密文C 和簽名信息Γi存儲在MS-CSP，而解密密鑰kB只存儲在MDS中，在MDS未授權(quán)的情況下，S-CSP 將無法獲取到密鑰kB的任何信息，因此即使SCSP與未授權(quán)的用戶進(jìn)行共謀，也無法通過偽造密鑰kB來解密密文。

5.2 數(shù)據(jù)的完整性

在下載文件時，需要對數(shù)據(jù)的完整性進(jìn)行雙層校驗，本方案采用的全局校驗?zāi)軌驒z測出文件F 的完整性，即所切分成的數(shù)據(jù)塊是否存在丟失損壞，數(shù)據(jù)塊Bi一旦發(fā)生丟失損壞，生成的校驗值δ 會立即改變，通過校驗值δ 可判斷文件是否完整。局部校驗通過密文附加的簽名信息Sλ(f[i])來能夠定位到丟失損壞的數(shù)據(jù)塊，包括兩種情況：如果某一數(shù)據(jù)塊Bi的S′λ(f[i])不存在，即該數(shù)據(jù)塊Bi已經(jīng)缺失，如果某一數(shù)據(jù)塊Bi的S′λ(f[i])與計算出的Sλ(f[i])不同，即該數(shù)據(jù)塊Bi已遭損壞，并且通過標(biāo)識σi可確定該損壞數(shù)據(jù)塊Bi原先存儲的S-CSP代號，以此進(jìn)行問責(zé)。

6 性能分析與實(shí)驗評估

本章將提出的方案與文獻(xiàn)[16]所提出的文件級去重方案進(jìn)行仿真實(shí)驗對比，本方案的仿真實(shí)驗環(huán)境是在i5-7300HQ 的CPU，內(nèi)存8 GB，主頻2.50 GHz 的64 位PC機(jī)上實(shí)現(xiàn)的，采用Java語言編程進(jìn)行性能仿真測試。

實(shí)驗1 測試不同文件大小下去重標(biāo)簽生成的時間開銷，實(shí)驗分別選取文件大小為20 MB、40 MB、60 MB、80 MB、100 MB和120 MB，在數(shù)據(jù)塊大小為6 KB，權(quán)限數(shù)目恒定的情況下進(jìn)行仿真測試，實(shí)驗結(jié)果如圖3 所示。隨著文件大小越大，兩個方案中去重標(biāo)簽生成所需要的時間開銷也會隨之增加，本方案與文獻(xiàn)[16]方案相比，在計算去重標(biāo)簽所需要的時間開銷會更少，并且在文件大小越大的情況下，時間開銷差異會更加明顯。

圖3 不同文件大小下的去重標(biāo)簽生成的時間開銷

實(shí)驗2 測試不同文件大小下密文生成的時間開銷，實(shí)驗分別選取文件大小為10 MB、20 MB、30 MB、40 MB、50 MB、60 MB、70 MB、和80 MB進(jìn)行仿真測試，數(shù)據(jù)塊的大小恒為16 KB。實(shí)驗結(jié)果如圖4 所示，當(dāng)文件大小越大，密文所需要的計算時間開銷也會增加，本方案中對數(shù)據(jù)塊采用的是對稱加密算法，可以看出文件大小和密文生成的時間開銷趨向于一定的線性關(guān)系。

圖4 不同文件大小下的密文生成的時間開銷

實(shí)驗3 測試不同數(shù)據(jù)塊數(shù)目下校驗值δ 的計算時間開銷。在實(shí)驗中，使用3 組數(shù)據(jù)塊大小分別為4 KB、8 KB和16 KB進(jìn)行仿真測試，實(shí)驗結(jié)果如圖5所示。校驗值δ 所需要的計算時間開銷隨著數(shù)據(jù)塊數(shù)目增多而單調(diào)遞增。并且數(shù)據(jù)塊大小越大，需要的時間開銷也將越多，當(dāng)數(shù)目增多時，數(shù)據(jù)塊大小對于所需時間開銷的影響也將更加明顯；從圖中可看出，數(shù)據(jù)塊大小為4 KB 和8 KB 的曲線僅僅呈現(xiàn)出緩慢增長趨勢，而數(shù)據(jù)塊大小為16 KB 時，計算哈希值的時間開銷將明顯增多，總計算時間開銷也會明顯增大，其曲線大致保持線性增加。

圖5 不同數(shù)據(jù)塊數(shù)目下的校驗值δ 的計算時間開銷

7 結(jié)束語

本文提出了一種采用簽名與哈希技術(shù)的云存儲去重方案，能夠有效地支持文件級和數(shù)據(jù)塊級的加密數(shù)據(jù)去重檢測，實(shí)現(xiàn)了細(xì)粒度的去重。同時，采用Mapbox和Lockbox結(jié)合的機(jī)制來加密數(shù)據(jù)信息，使得非授權(quán)的用戶無法對文件進(jìn)行訪問。進(jìn)行下載文件時，由代數(shù)簽名構(gòu)成的雙層校驗機(jī)制，能夠校驗文件的完整性以及精確地定位到丟失損壞的數(shù)據(jù)塊，保證了數(shù)據(jù)的完整性；安全性分析表明，方案能夠有效地抵制攻擊者進(jìn)行的暴力攻擊。仿真實(shí)驗結(jié)果表明，方案能有效地降低去重標(biāo)簽的計算開銷，減少存儲空間。今后的研究工作主要集中在數(shù)據(jù)去重過程中，保護(hù)各參與方的隱私信息不被泄露，同時提出相應(yīng)的策略來高效地執(zhí)行大數(shù)據(jù)環(huán)境下的數(shù)據(jù)檢測去重操作。