唐 鑫，周琳娜

（國際關(guān)系學(xué)院信息科技學(xué)院，北京100091）

（?通信作者電子郵箱xtang@uir.edu.cn）

0 引言

隨著大數(shù)據(jù)時代的到來，云存儲平臺面臨海量用戶數(shù)據(jù)的存儲挑戰(zhàn)，為了提高大數(shù)據(jù)的存儲和管理效率，越來越多的云服務(wù)商，諸如Dropbox、Mozy、Mega、Bitcasa 等［1-2］，采用云數(shù)據(jù)去重技術(shù)來避免存儲冗余數(shù)據(jù)，只保存用戶數(shù)據(jù)的一個副本。尤其是跨用戶去重技術(shù)，將去重范圍延伸到云存儲平臺的所有用戶，一個用戶上傳數(shù)據(jù)之前，首先上傳對應(yīng)標(biāo)簽信息，由云服務(wù)商在本地查找所有用戶存儲的數(shù)據(jù)，一旦發(fā)現(xiàn)相同副本，則阻斷數(shù)據(jù)上傳，并通過數(shù)據(jù)所有權(quán)驗證機制驗證用戶的所有權(quán)。如果驗證通過，則云服務(wù)商允許此后用戶對該數(shù)據(jù)的下載和使用。由于這種方式進一步提高了云存儲平臺的存儲效率，因此被廣泛采用。

然而，跨用戶去重技術(shù)在節(jié)約存儲開銷的同時卻使得云端數(shù)據(jù)的隱私面臨被邊信道攻擊竊取的安全風(fēng)險［3］?？紤]一種模板化的用戶文件存放在云端，該文件只含部分敏感數(shù)據(jù)，其余部分均為公開數(shù)據(jù)。例如某公司員工的電子工資單，包含員工姓名、工號、部門等公開信息以及工資收入這個敏感信息。如果存在內(nèi)部員工在未經(jīng)許可的情況下想要獲知別人的工資信息，他只需按照模板格式生成目標(biāo)員工的公開信息，同時按猜測附加上工資信息，隨后上傳生成的電子工資單并觀察去重系統(tǒng)的響應(yīng)。一旦云服務(wù)商在本地發(fā)現(xiàn)相同的工資單副本，則會阻斷該員工的上傳，此時該員工就可確認(rèn)猜測的工資信息即為對應(yīng)員工的真實工資。為了應(yīng)對這種攻擊，實現(xiàn)安全的跨用戶去重，當(dāng)前許多工作分別對明文云數(shù)據(jù)［2，4-6］和密文云數(shù)據(jù)［7-11］作了大量研究。為了抵抗明文云數(shù)據(jù)跨用戶去重過程中的邊信道攻擊，現(xiàn)有解決方法大多在去重響應(yīng)中附加隨機信息，使得檢測者無法根據(jù)云服務(wù)商返回的響應(yīng)來判斷檢測文件的真實存在性。例如，如果將云端的去重響應(yīng)設(shè)定為檢測文件在云端未命中的數(shù)據(jù)塊信息，則為了混淆檢測者，可在響應(yīng)中附加部分命中塊信息，使得無論對命中文件還是未命中文件，去重響應(yīng)中包含的數(shù)據(jù)塊個數(shù)均相等。簡單假定檢測文件的敏感信息均包含在一個數(shù)據(jù)塊之中，其余塊中均為公開信息。那么，在文件檢測時，如果檢測文件存在，當(dāng)次檢測出的未命中塊數(shù)應(yīng)為0；如果不存在，則未命中塊數(shù)應(yīng)為1。為了混淆檢測者，前一種情況下可在響應(yīng)中要求用戶上傳1 個隨機選定的命中塊；而在后一種情況下，則自然地要求用戶上傳未命中的敏感塊。因此，在兩種情況下，檢測者接收到的響應(yīng)中均包含1 個數(shù)據(jù)塊信息，無法通過響應(yīng)判斷所檢測文件的存在性。對密文云數(shù)據(jù)而言，當(dāng)前工作通常在密文生成過程中添加隨機信息來實現(xiàn)對邊信道攻擊的抵抗。然而，攻擊者往往可以通過女巫攻擊［12］等方式偽造身份，獲取該隨機信息，因此這類方法仍然面臨安全風(fēng)險。為了實現(xiàn)密文云數(shù)據(jù)的安全去重，可行的方法應(yīng)類似明文去重，在響應(yīng)中引入不確定性。盡管這類方法能夠奏效，但它們均要求云服務(wù)商首先能夠正確地判斷出所檢測文件的存在性，這在附加塊攻擊［5］的場景下是難以實現(xiàn)的。在附加塊攻擊中，檢測者首先對檢測文件附加上隨機數(shù)量的非命中塊，然后將各塊標(biāo)簽信息一起上傳到云端檢測文件的存在性。顯然，無論文件的存在性如何，云服務(wù)商檢測出的未命中塊數(shù)均大于0，因此難以判斷文件的真實存在性，從而也無法在未命中文件的響應(yīng)中附加隨機塊信息，實現(xiàn)混淆檢測者的目的。

因此，本文擬解決附加塊攻擊下的云數(shù)據(jù)去重安全性問題，在附加塊攻擊場景下，提出一種輕量級的抗邊信道隱私泄露安全去重方法。本文方法首次將附加塊數(shù)量作為考慮因素，對于待檢測文件，提取附加塊數(shù)量，與該文件未命中塊數(shù)比較，根據(jù)比較結(jié)果確定響應(yīng)中要求用戶上傳的塊數(shù)，從而不需要基于檢測文件的存在性生成響應(yīng)。本文方法不僅實現(xiàn)了附加塊攻擊場景下文件存在性隱私的絕對安全性，而且所需開銷遠(yuǎn)遠(yuǎn)低于現(xiàn)有的抗附加塊攻擊去重方法。

本文的工作主要有以下幾點:

1）針對附加塊攻擊場景下去重過程中云數(shù)據(jù)存在性隱私泄露的問題，提出一種安全的輕量級去重檢測框架。該框架使云服務(wù)商不僅能夠在未知所檢測文件真實存在性的情況下生成響應(yīng)，混淆檢測者，而且能使響應(yīng)中附加的冗余信息量實現(xiàn)最小化，將開銷控制在最低水平。

2）在本文設(shè)計的框架下，提出了一種基于響應(yīng)模糊化的輕量級去重方法。該方法基于檢測到的附加塊數(shù)量、未命中塊數(shù)量，計算要求用戶上傳的數(shù)據(jù)塊并生成響應(yīng)，使得無論對命中文件還是未命中文件，響應(yīng)中包含的數(shù)據(jù)塊數(shù)量保持一致。從而，檢測者無法通過分析響應(yīng)信息判斷所檢測文件的真實存在性，實現(xiàn)了附加塊攻擊場景下的安全去重。

3）通過安全分析說明了本文方法的安全性，并開展實驗驗證了性能。實驗結(jié)果表明，本文方法在實現(xiàn)附加塊攻擊場景下去重過程中云文件存在性隱私絕對安全性的前提下，所需開銷顯著小于當(dāng)前最新方法；且與經(jīng)典成果相比，在開銷相當(dāng)或少量增加的情況下，安全性顯著提高。

1 相關(guān)工作

跨用戶云數(shù)據(jù)去重技術(shù)被廣泛用來消除云端冗余數(shù)據(jù)，提高存儲效率。然而，攻擊者卻能夠通過去重結(jié)果，創(chuàng)建邊信道以竊取云端數(shù)據(jù)的存在性隱私。為了抵抗邊信道攻擊，Harnik 等［4］提出了一種基于隨機閾值的方法——RTS（Randomized Threshold Solution），首先為每個文件在云端分別設(shè)置一個存儲閾值，該值對云用戶保密且只有當(dāng)云端存放的文件數(shù)高于該閾值時才對該文件執(zhí)行去重。這樣，即使檢測者接收到的去重結(jié)果表明云端要求上傳所檢測文件，也不能說明該文件在云端不存在，從而實現(xiàn)了對云端數(shù)據(jù)不存在隱私的保護。然而，一旦云服務(wù)商在檢測標(biāo)簽信息后阻斷了用戶對檢測文件的上傳，就說明云端存儲的該文件數(shù)量達(dá)到了閾值，文件的存在性隱私就會暴露。作為改進工作，Zuo 等［5］提出了一種基于響應(yīng)模糊化的抗邊信道攻擊去重方法——RRCS（Randomized Redundant Chunk Scheme），該方法首先要求云端正確地判斷出所檢測文件的真實存在性，再為命中文件和未命中文件分別在原響應(yīng)中附加隨機數(shù)量的命中塊信息，以確保響應(yīng)中包含的數(shù)據(jù)塊數(shù)量在相同的范圍內(nèi)，從而使得攻擊者難以通過響應(yīng)判斷所檢測文件的真實存在性。為了實現(xiàn)這一目的，兩種情況下附加的隨機塊數(shù)在不同的范圍內(nèi)選定。具體來看，該方法假設(shè)待檢測文件的所有敏感信息均包含在一個數(shù)據(jù)塊之中，其余塊為公開塊。對于一個檢測文件而言，云端檢測出的未命中塊數(shù)量只能是0 或1，分別對應(yīng)檢測命中和未命中兩種情況。顯然對于未命中文件而言，云端響應(yīng)必須包含檢測出的未命中塊，則響應(yīng)中附加的命中塊數(shù)量在［0，λN］中隨機選取，λ是用來平衡安全性和效率的比例因子，N 是檢測文件的塊數(shù)。而對命中文件，響應(yīng)中附加的隨機塊數(shù)在［1，λN+1］中隨機選取。所以兩種情況下，去重響應(yīng)包含的數(shù)據(jù)塊數(shù)量均在［1，λN+1］范圍中，攻擊者無法通過響應(yīng)判斷文件存在性。然而，一旦攻擊者為檢測文件附加上隨機數(shù)量的非命中塊，無論對命中文件還是非命中文件，云端檢測出的未命中塊數(shù)量都將大于1，此時云服務(wù)商無法確認(rèn)在響應(yīng)中附加的數(shù)據(jù)塊數(shù)量是在［0，λN］中還是在［1，λN+1］中選取。按照無附加塊攻擊場景下的定義，Zuo 等［5］規(guī)定，兩種情況下均在［1，λN+1］中隨機選取附加的數(shù)據(jù)塊數(shù)量，因此命中文件和非命中文件的響應(yīng)中包含的數(shù)據(jù)塊數(shù)量將不可避免地存在于不同的區(qū)間范圍之中，該方法在附加塊攻擊場景下存在泄漏文件存在性隱私的風(fēng)險。此后，Yu 等［2］從數(shù)據(jù)塊檢測的角度研究了一種雙數(shù)據(jù)塊同時檢測方法，采用異或技術(shù)模糊化云端的去重響應(yīng)，實現(xiàn)對邊信道攻擊的抵抗。然而，他們的方法仍然沒有在附加塊攻擊場景下實現(xiàn)文件存在性隱私的安全性。Pooranian 等［6］改進了這一方法，但是本質(zhì)上仍然存在這一缺陷。

針對密文云數(shù)據(jù)，現(xiàn)有的工作大多基于CE（Convergent Encryption）加密技術(shù)［13］生成密文，該技術(shù)將明文的哈希值作為密鑰，因此同一文件的多個所有者可以生成相同密文。而云服務(wù)商只存儲密文，卻無法獲知明文哈希值，因而難以解密出明文。基于該技術(shù)，Bellare 等［9］采用第三方可信服務(wù)器生成隨機數(shù)，并基于交互式盲簽名技術(shù)將之引入密鑰生成過程以抵抗邊信道攻擊。然而，該技術(shù)無法避免攻擊者通過偽造身份獲取該隨機信息，即:攻擊者可以偽造成正常用戶執(zhí)行協(xié)議，從而產(chǎn)生包含隨機信息的密文再上傳去重。在Bellare 工作［9］的基礎(chǔ)上，Kwon 等［8］引入雙線性對技術(shù)進一步提高了安全性。Dang 等［11］提出了一種基于硬件的隨機數(shù)和密鑰生成方法。然而，這些后續(xù)工作均繼承了Bellare 工作［9］的局限性，在此范疇下，密文云數(shù)據(jù)去重過程中面臨的邊信道攻擊等同于明文，如采用如上所述的明文云數(shù)據(jù)抵抗邊信道攻擊的方法，同樣無法在附加塊攻擊場景下取得足夠的安全性。

2 抗附加塊攻擊的云數(shù)據(jù)安全去重方法

2.1 方法框架

本文所提抗附加塊攻擊的云數(shù)據(jù)安全去重方法的設(shè)計包含安全性和效率兩方面的考慮。其中，安全性是指本文方法需在附加塊攻擊場景下有效防止攻擊者通過建立邊信道竊取云端數(shù)據(jù)的存在性隱私，即:考慮攻擊者對待檢測文件附加了隨機數(shù)量的非命中塊后上傳至云端，云服務(wù)商按照本文方法生成響應(yīng)，在響應(yīng)中包含一定數(shù)量的冗余塊信息以實現(xiàn)模糊化，從而達(dá)到混淆攻擊者的目的。既談安全性，就要考慮實現(xiàn)安全性的代價。由于本文方法是通過在響應(yīng)中附加冗余塊信息的方法來混淆攻擊者，而響應(yīng)中包含的數(shù)據(jù)塊均為要求用戶上傳的塊，所以本文考慮的開銷主要為流量開銷。本文方法在效率上的目標(biāo)是將流量開銷控制在最低水平。在此設(shè)計目標(biāo)下，本文方法的框圖如圖1所示。

圖1 抗附加塊攻擊的云數(shù)據(jù)安全去重方法框圖Fig. 1 Framework of appending chunk attack resistant secure deduplication method for cloud data

如圖1 所示，本文方法以文件為檢測單元，每次檢測分塊后的一個完整數(shù)據(jù)文件。出于簡單性考慮，假定云用戶和云服務(wù)商已經(jīng)協(xié)商好分塊大小，云端將一個文件的所有塊標(biāo)簽存放在一起。在圖1 中，考慮兩個攻擊者檢測同一文件，所檢測文件的公開塊及附加塊均相等，只有敏感塊不同。接收到二者的文件上傳請求后，云服務(wù)商在本地數(shù)據(jù)塊標(biāo)簽集中查找請求中包含的文件塊標(biāo)簽，查找到匹配所有公開塊的標(biāo)簽集后，統(tǒng)計標(biāo)簽集中總命中塊數(shù)，并根據(jù)標(biāo)簽集中元素個數(shù)，計算附加塊的數(shù)量，比較二者，根據(jù)結(jié)果生成響應(yīng)。值得注意的是，所有的附加塊均不命中，而如果未命中塊的數(shù)量等于附加塊的數(shù)量，說明檢測文件中敏感塊命中，此時在響應(yīng)中隨機附加一個命中塊信息；否則，一旦未命中塊的數(shù)量大于附加塊的數(shù)量，說明檢測文件中的敏感塊未命中，此時響應(yīng)不需模糊化。如此一來，攻擊者1和攻擊者2接收到的響應(yīng)中包含的塊數(shù)相同，而響應(yīng)模糊化的開銷只有1 個冗余塊，即實現(xiàn)了開銷最小化。上述相關(guān)技術(shù)已申請專利［14］。

2.2 方法詳細(xì)構(gòu)造

考慮云數(shù)據(jù)檢測者已經(jīng)對待檢測文件分塊生成標(biāo)識信息，并作為文件上傳請求上傳到云端，等待云端的去重響應(yīng)以確定需要上傳哪些數(shù)據(jù)塊。其中，標(biāo)識可為數(shù)據(jù)塊的哈希值。假定去重查詢請求對應(yīng)的文件為F，請求包含F(xiàn)的N個數(shù)據(jù)塊C1，C2，…，CN及N′個附加塊A1，A2，…，AN′。其中，在N 個數(shù)據(jù)塊中有1 個塊包含敏感信息，可能為命中塊，也可能為非命中塊，其余N - 1 個數(shù)據(jù)塊均包含公開信息，為命中塊；所有的附加塊均為隨機生成的非命中塊。

云服務(wù)商接收到去重查詢請求以后，按照以下步驟來查找未命中塊的數(shù)量、檢測附加塊數(shù)量并生成響應(yīng)。

1）首先在云存儲中查詢這N + N′個數(shù)據(jù)塊的標(biāo)識信息，顯然，以文件為單位查詢，如果請求中的敏感塊命中，則云服務(wù)商可查詢到對應(yīng)的N 個命中塊；否則，只能查詢到N - 1 個命中塊，記命中塊數(shù)量為H。非命中塊數(shù)量N? 可按式（1）計算:

根據(jù)以上分析可知，在沒有附加塊攻擊的情況下，N′=0，N?=N-H 的取值為1或者0；當(dāng)N′≠0時，由于附加塊均為非命中塊，N?的取值至少為N′。

2）云服務(wù)商觀察查詢到的H 個命中塊對應(yīng)的文件塊標(biāo)簽集，記其包含的數(shù)據(jù)塊數(shù)量為L，則附加塊數(shù)量NA 可按式（2）計算:

式（2）表明，附加塊數(shù)量等于檢測文件的長度減去云端存儲的該文件長度。在正常情況下，云用戶上傳的文件塊標(biāo)識對應(yīng)的完整文件沒有附加非命中塊，即N′=0。如果該文件在云端存在，則請求中的文件長度N 等于云端存儲的文件長度L；而在附加塊攻擊的情況下，N′≠0，通過式（2）可計算出N′的真實值。

3）比較統(tǒng)計出的非命中塊數(shù)量N? 和計算出的附加塊數(shù)量NA，按照表1 確定響應(yīng)中包含的數(shù)據(jù)塊數(shù)量。

根據(jù)上文分析不難發(fā)現(xiàn)，非命中塊數(shù)量N? 的取值為N′或N′+1，附加塊數(shù)量NA的實際值為N′，所以表1 中N? - NA 的值為0 或者1。當(dāng)N? - NA = 0 時，說明在檢測文件中，只有附加的塊未命中，其余的N 個塊均命中，即檢測文件對應(yīng)的原文件在云端存在。此時，云服務(wù)商生成的響應(yīng)需包含N?個非命中塊，額外要求的1個塊用來實現(xiàn)響應(yīng)模糊化，從而達(dá)到混淆攻擊者的目的。當(dāng)N?-NA=1 時，說明在檢測文件中，除了N′個附加塊，原文件的1 個敏感塊也未命中，即檢測文件對應(yīng)的原文件在云端不存在。此時，云服務(wù)商生成的響應(yīng)只需包含所有N? 個非命中塊。值得注意的是，這里的非命中塊數(shù)量N?等于上一種情況文件命中時對應(yīng)的非命中塊數(shù)量加1。所以兩種情況下的響應(yīng)中包含的數(shù)據(jù)塊數(shù)量相同，攻擊者無法通過響應(yīng)來判斷所檢測文件的存在性。

表1 去重響應(yīng)生成方法Tab. 1 Generation method of deduplication response

抗附加塊攻擊的云數(shù)據(jù)安全去重方法的流程偽代碼如下所示。

3 安全性分析及性能驗證

本章將分析本文方法的安全性并通過實驗驗證其性能。其中安全性分析部分首先從理論上分析本文方法在附加塊攻擊場景下實現(xiàn)去重的過程中，云數(shù)據(jù)存在性隱私泄露的風(fēng)險，從而表明本文方法能夠?qū)崿F(xiàn)該場景下的邊信道攻擊抵抗。接下來，將本文方法與該領(lǐng)域當(dāng)前最新工作進行比較，評估各自在無附加塊攻擊場景下和附加塊攻擊場景下存在性隱私泄露的風(fēng)險，從而證明本文方法在安全性上的優(yōu)勢。實驗驗證是通過開展實驗，評價本文方法的性能，并與該領(lǐng)域目前最新的工作進行比較，表明本文方法的性能優(yōu)勢。為了開展實驗，本文采用亞馬遜EC2（Elastic Computing Cloud）來部署云數(shù)據(jù)跨用戶去重系統(tǒng)，并在系統(tǒng)上構(gòu)建所提的去重響應(yīng)機制。同時，選取一組配置為Intel Core i5-4590 CPU @ 3.3 GHz，8 GB RAM 和7 200 轉(zhuǎn)1 TB 容量硬盤的服務(wù)器作為云用戶客戶端，來實現(xiàn)云數(shù)據(jù)檢測。

3.1 安全性分析

如圖1 所示，在本文方法考慮的場景中，云端將同一個文件的數(shù)據(jù)塊標(biāo)簽集中存儲。如果文件已經(jīng)存放在云端，則云端存放的該文件標(biāo)簽集合中包含的標(biāo)簽個數(shù)即為文件塊個數(shù)。對于靜態(tài)文件來說，文件長度屬于固有屬性，不會改變。因此，本文方法按照式（2）來檢測附加塊的數(shù)量，在該場景下是可行的。另由附加塊攻擊的特性可知，攻擊者為了混淆云服務(wù)商，在檢測文件上附加的文件塊均為非命中塊，因此，本文方法在檢測步驟中，在云端檢測得到的未命中塊中已包含附加的文件塊，其余部分為可能的未命中敏感塊。由于本文假定一個文件只有一個敏感塊，因此，未命中敏感塊的個數(shù)只能是1 或0。綜上所述可知，對于一個檢測文件，未命中塊的個數(shù)N? 與附加塊個數(shù)NA 的差值只能是1 或0。當(dāng)差值為1時，說明檢測文件的敏感塊未命中，而差值為0 時，說明敏感塊命中。在這兩種情況下，云服務(wù)商給出相同數(shù)量數(shù)據(jù)塊的響應(yīng)，因而攻擊者無法根據(jù)響應(yīng)判斷所檢測文件的真實存在性。

選取抗邊信道攻擊安全去重領(lǐng)域的最新成果RRCS［5］和經(jīng)典成果RTS［4］作為比較對象，比較本文方法和RRCS、RTS在無附加塊攻擊和附加塊攻擊場景下的安全性，用文件存在性隱私泄露的概率來測量安全風(fēng)險。在無附加塊攻擊場景下，本文方法對命中文件和非命中文件所需的上傳數(shù)據(jù)塊數(shù)量都為1，存在性隱私泄露的概率為0。RRCS 為非命中文件和命中文件在不同的區(qū)間內(nèi)計算冗余塊的個數(shù)，確保云端響應(yīng)中要求用戶上傳的文件塊數(shù)量均在相同區(qū)間［1，λN+1］中隨機產(chǎn)生，符合均勻分布。其中λ∈（0，1），用來平衡方法的開銷和安全性。因此，攻擊者根據(jù)響應(yīng)難以判斷所檢測文件的存在性，在此場景下文件存在性隱私泄露的概率同樣為0。而RTS隨機產(chǎn)生閾值T，當(dāng)云端副本數(shù)量少于T 時，攻擊者無法判斷文件存在性，一旦云端副本數(shù)達(dá)到T，存在性隱私立即泄露。

在附加塊攻擊情況下，由于本文方法構(gòu)建在不需云端檢測出待檢文件真實存在性的基礎(chǔ)上，所以無論對命中文件還是非命中文件，所需上傳的數(shù)據(jù)塊數(shù)均為N′+1，攻擊者無法通過響應(yīng)來區(qū)分，所以文件存在性隱私泄露的概率仍然為0。RRCS 對命中文件和非命中文件所需上傳的數(shù)據(jù)塊數(shù)量分別在［N′，λ（N+N′）+ N′］和［N′+1，λ（N+N′）+ N′+1］隨機選取，假設(shè)一個文件的敏感塊有m 種不同的可能，則檢測所有m 個版本的文件，如果有一個文件響應(yīng)中包含的需上傳塊數(shù)量為N′，則存在性隱私泄露。同樣的，如果m - 1 個文件的需上傳塊數(shù)量均為λ（N+N′）+ N′+1，存在性隱私同樣泄露。而對RTS 而言，當(dāng)云端敏感塊及附加塊副本數(shù)量少于T 時，敏感塊存在性隱私泄露風(fēng)險為0，一旦數(shù)量達(dá)到T，存在性隱私立即泄露。3種方法的安全性比較結(jié)果如表2所示。

表2 本文方法和RRCS的存在性隱私泄露風(fēng)險比較Tab. 2 Comparison of existence privacy disclosure risk between the proposed method and RRCS

3.2 性能驗證

為了驗證本文方法的性能，本節(jié)在公開數(shù)據(jù)集Fslhomes［15］、MacOS［15］和Onefull［16］上實現(xiàn)本文方法、RRCS 和RTS，并評價各自在無附加塊攻擊情況下和有附加塊攻擊情況下的性能開銷。其中:前兩種方法均采用響應(yīng)模糊化的方法來混淆攻擊者，所需開銷均為用戶額外上傳冗余塊的通信開銷；RTS采用設(shè)置隨機閾值的方法，所需開銷為與閾值相關(guān)的文件冗余上傳開銷。因此本節(jié)將通信流量開銷作為比較對象來衡量3種方法的性能，即比較3種方法在確保各自安全性的基礎(chǔ)上，在云用戶和云服務(wù)商之間產(chǎn)生的通信流量開銷。Fslhomes 數(shù)據(jù)集是由紐約州立大學(xué)石溪分校的文件系統(tǒng)和存儲實驗室建立的，其中數(shù)據(jù)包含虛擬機圖片、word 文檔、程序源代碼等；MacOS 數(shù)據(jù)集收集了1 臺MacOS X 企業(yè)級服務(wù)器上的數(shù)據(jù)內(nèi)容，該服務(wù)器可對247 名用戶同時提供電子郵件、數(shù)據(jù)庫等服務(wù)；Onefull數(shù)據(jù)集收集了國內(nèi)一個實驗室15臺學(xué)生計算機上的數(shù)據(jù)信息。據(jù)統(tǒng)計，這3 個數(shù)據(jù)集平均文件大小分別為1 530 KB、683 KB 和622 KB，數(shù)據(jù)跨用戶冗余率分別為39%、48%和25%［5］。

3.2.1 無附加塊攻擊場景

本節(jié)將該數(shù)據(jù)集存放在已部署跨用戶去重系統(tǒng)的云平臺上，在開銷評估部分，首先考慮無附加塊攻擊場景下，對單個文件多次檢測，在云用戶和云存儲系統(tǒng)之間所產(chǎn)生的實際通信流量大小。為了比較的統(tǒng)一，假定目標(biāo)文件在云端存在。用戶請求的待檢測文件公開信息均相同且與目標(biāo)文件一致，只有敏感信息可能不同，即非命中塊數(shù)量為1或0。對命中文件和非命中文件，RRCS要求用戶上傳的數(shù)據(jù)塊在相同范圍內(nèi)產(chǎn)生，而本文方法兩種情況要求用戶上傳的塊數(shù)相同，所以這里并不對文件的命中與否作區(qū)分。為了比較的一致性，將RTS 機制稍加修改，使其由文件級閾值去重變?yōu)閿?shù)據(jù)塊級閾值去重。在Fslhomes、MacOS 和Onefull 這3 個數(shù)據(jù)集上分別隨機選取100個文件，計算3種方法在無附加塊攻擊場景下單文件檢測的平均流量開銷。

從如圖2所示的實驗結(jié)果可看出:對所選的3個數(shù)據(jù)集而言，RRCS 方法無論檢測文件是否命中，要求用戶上傳的數(shù)據(jù)塊均在［1，λN+1］中隨機產(chǎn)生，符合均勻分布，而本文方法要求用戶上傳的塊數(shù)始終為1，所以，在單文件100 次檢測中，RRCS方法的流量開銷波動變化，明顯高于本文方法。而RTS方法在文件檢測次數(shù)少于閾值T時，流量開銷為1個敏感塊的大小，與本文方法相同，這是因為此時無論對什么文件，云均要求用戶上傳1 個敏感塊。而當(dāng)文件檢測次數(shù)大于等于閾值時，RTS方法的流量開銷與所檢測文件敏感塊的存在性有關(guān)。對一個非命中文件而言，云端仍然要求用戶上傳1 個敏感塊，而對命中文件而言，后續(xù)流量開銷為0。故RTS 達(dá)到閾值后的流量開銷可體現(xiàn)為期望值。由于3 個數(shù)據(jù)集數(shù)據(jù)冗余率分別為39%、48%和25%，故明顯可看到RTS 達(dá)到閾值后的流量開銷比本文方法略低，它在MacOS 數(shù)據(jù)集上達(dá)到最小，約為0.025 9 MB，在Onefull數(shù)據(jù)集上最大，約為0.037 4 MB。

接下來驗證不同數(shù)量文件上傳請求下，云用戶和云存儲系統(tǒng)之間所產(chǎn)生的實際通信流量大小。本實驗中，考慮請求檢測的文件數(shù)量控制在1～100，每一次請求的文件均隨機選取，對RRCS 而言，響應(yīng)均隨機產(chǎn)生。用戶上傳響應(yīng)中指定的數(shù)據(jù)塊。在Fslhomes、MacOS 和Onefull 這3 個數(shù)據(jù)集上分別隨機選取100個文件，計算3種方法在無附加塊攻擊場景下不同數(shù)量文件檢測的流量開銷，實驗結(jié)果如圖3所示。

由圖3 可知，由于本文方法所需上傳的數(shù)據(jù)塊數(shù)對命中文件和非命中文件均為1，所以產(chǎn)生的流量開銷隨著請求檢測的文件數(shù)量增加而線性增加。作為比較，RTS 的流量開銷近似線性增加，且略低于本文方法的開銷。與圖2 的結(jié)果一致，由于MacOS數(shù)據(jù)集的冗余度最大，RTS方法對該數(shù)據(jù)集流量開銷最低；反之，對Onefull 數(shù)據(jù)集流量開銷最大。由于RRCS 方法所需的塊數(shù)對兩種情況均在［1，λN+1］中隨機取值，所以其流量開銷在所測數(shù)據(jù)集中始終大于等于本文方法和RTS。隨著請求檢測的文件數(shù)量增大，多個文件對應(yīng)的上傳塊累加起來，差別更加明顯。

圖2 無附加塊攻擊場景下單個文件檢測的流量開銷Fig.2 Traffic overhead of single file detection without appending chunk attack

圖3 無附加塊攻擊場景下不同數(shù)量文件檢測的流量開銷Fig.3 Traffic overhead of detection of different number of files without appending chunk attack

3.2.2 附加塊攻擊場景

接下來，考慮檢測文件均被附加了N′個非命中塊的情況，在此情景下，對于命中文件，RRCS需要上傳的文件塊數(shù)在［N′，λ（N+N′）+N′］中隨機選取，符合均勻分布。對于非命中文件，RRCS 需要上傳的文件塊數(shù)在［N′+1，λ（N+N′）+N′+1］中隨機選取，符合均勻分布；而在本文方法中，兩種情況下需要上傳的文件塊數(shù)均為N′+1。選取附加塊個數(shù)N′為5，首先比較單個文件檢測下的流量開銷，實驗結(jié)果如圖4 所示。由圖4可知，單個文件檢測場景下RRCS方法對命中文件和未命中文件實際產(chǎn)生的流量開銷范圍不同。對未命中文件，下限約為0.35 MB，顯著高于本文方法和RTS 方法。而對于命中文件，RRCS方法的流量開銷下限和本文方法相當(dāng)且達(dá)到下限的次數(shù)很少。在3個數(shù)據(jù)集里分別檢測100次目標(biāo)文件，命中情況下，RRCS 分別只有5、13、10 次達(dá)到下限，其余情況均高于本文方法的流量開銷。與前文無附加塊攻擊場景一致的是，RTS 方法在附加塊攻擊場景下流量開銷也略低于本文方法。

接下來驗證附加塊攻擊場景下，不同數(shù)量文件檢測的流量開銷。實驗場景設(shè)定類似無附加塊攻擊的情況。圖4 已表明無論檢測文件是否命中，RRCS的單個檢測流量開銷均大于本文方法或與本文方法相當(dāng)，所以這里僅隨機選定命中文件和非命中文件，實驗結(jié)果如圖5 所示。由圖5 可知，由于本文方法在附加塊攻擊情況下，對命中文件和非命中文件，所需上傳的數(shù)據(jù)塊數(shù)均為N′+1，所以產(chǎn)生的流量開銷隨著請求檢測的文件數(shù)量增加而線性增加；隨著請求文件數(shù)量的增多，流量開銷與RTS的差距逐漸縮小。而對于RRCS，其所需塊數(shù)在兩種情況下分別為［N′，λ（N+N′）+N′］和［N′+1，λ（N+N′）+N′+1］，均大于等于本文方法；隨著請求檢測的文件數(shù)量增加，多個文件對應(yīng)的上傳塊累加起來，差別更加明顯。

圖4 附加塊攻擊場景下單個文件檢測的流量開銷Fig.4 Traffic overhead of single file detection under appending chunk attack

圖5 附加塊攻擊場景下不同數(shù)量文件檢測的流量開銷Fig.5 Traffic overhead of detection of different number of files detection under appending chunk attack

4 結(jié)語

本文提出了一種基于響應(yīng)模糊化的抗附加塊攻擊云數(shù)據(jù)安全去重方法的設(shè)計原理和詳細(xì)構(gòu)造，并開展了安全性分析和性能驗證。同當(dāng)前該領(lǐng)域的前沿成果RRCS 和經(jīng)典成果RTS比較結(jié)果來看，本文方法在確保安全性的前提下，所需的流量開銷顯著小于RRCS 方法；而且與RTS 相比，在流量開銷相當(dāng)或少量增加的情況下，安全性顯著提高；性能優(yōu)勢隨著檢測文件數(shù)量的增加而愈加明顯。