溫琳雅,儀張倩,劉 行

(長安大學(xué) 信息工程學(xué)院,西安 710064)

云存儲服務(wù)在個人和組織環(huán)境中,隨著云用戶數(shù)的增加,冗余數(shù)據(jù)量也隨之增加.眾所周知,云服務(wù)提供商通常利用跨用戶數(shù)據(jù)去重復(fù)來盡量減少存儲開銷,允許云服務(wù)器檢測兩個或多個用戶上傳同一文件的副本,并且只存儲該文件的一個副本.

云服務(wù)提供商自由訪問用戶數(shù)據(jù),這就要求云用戶充分信任云服務(wù)提供商做正確的事情.傳統(tǒng)的加密算法將文件的相同副本加密成完全獨立的密文,這使得重復(fù)刪除的工作復(fù)雜化.Douceur 等人[1]提出的收斂加密(CE)的技術(shù),CE是一種確定性加密方案,使得文件的相同副本被加密成相同的密文.

雖然CE 提供了一種簡單而有效的方法來在數(shù)據(jù)隱私和加密重復(fù)數(shù)據(jù)消除的功能要求之間取得平衡,但它有安全性和性能限制.利用CE的概念,Bellare 等人[2–4]構(gòu)建了一個名為消息鎖定加密(MLE)的新加密原語,以方便在加密數(shù)據(jù)上的重復(fù)數(shù)據(jù)消除,他們還為MLE 定義了兩個安全要求:隱私性和標(biāo)簽一致性.

在本文中,我們提出了一種隨機(jī)、安全、跨用戶重復(fù)數(shù)據(jù)消除方案,請求上傳文件的用戶需要與云服務(wù)器進(jìn)行交互,以確保同一文件的副本被加密到同一密文中,同時實現(xiàn)抵抗暴力攻擊.具體地說,擁有相同文件副本的不同用戶通過共享相同的隨機(jī)值生成文件加密密鑰,因此只有具有該文件相同副本的用戶才能獲得隨機(jī)值并計算正確的加密密鑰.

1 背景知識

1.1 橢圓曲線

Millier[5]基于橢圓曲線提出了橢圓曲線密碼體制,Fp被設(shè)定為階為q有限域,有限域Fp上的橢圓曲線E被定義為滿足等式y(tǒng)2=x3+ax+bmodp上所有點(x,y) 集合;其中a,b∈Fp且 4a3+27b2≠0.無窮遠(yuǎn)點O和橢圓曲線E上其他點形成一個循環(huán)加法群 G,則橢圓曲線上的標(biāo)量乘是kP=P+P+···+P(k times),這里k∈Z*q.

1.2 布谷鳥濾波器

Fan 等人在2014年提出布谷過濾器(Cuckoo filter),這是一種用于近似集合查詢的新型數(shù)據(jù)結(jié)構(gòu)[6].

本文提出了動態(tài)布谷鳥濾波器(DCF),以支持可靠的刪除操作和彈性容量的動態(tài)集.影響DCF 設(shè)計的效率有兩個因素,首先,DCF 數(shù)據(jù)結(jié)構(gòu)是可擴(kuò)展的,使動態(tài)集空間的表示更有效.其次,DCF 使用壟斷指紋來表示一個項,并保證可靠的刪除操作.實驗結(jié)果表明,與現(xiàn)有的先進(jìn)設(shè)計相比,DCF的內(nèi)存成本降低了75%,構(gòu)建速度提高了50%,會員查詢速度提高了80%.

布谷鳥濾波器一般是成對的哈希函數(shù),一個是記錄的位置,另一個是備用位置,這個備用位置是處理碰撞時用的.

HA:G→{0,1}L HB:G→{0,1}L L

使用和(一般為64 bits)計算文件對應(yīng)的位置.

此外,在遷移過程中,存儲的是原始數(shù)據(jù)的哈希值ξx而不是原始數(shù)據(jù)x帶來了挑戰(zhàn).為了解決這個問題,利用了一種新的散列方法,稱為部分密鑰布谷鳥散列,它通過根據(jù)當(dāng)?shù)谝粋€陣列地址和要踢出的哈希值進(jìn)行異或操作來計算替代位置的地址.具體來說,兩個陣列的地址可計算為:

如果在添加新元素時,兩個哈希列表均被偶然的占據(jù),則會導(dǎo)致假陽性的結(jié)果.可計算假陽性概率的上限為:

1.3 橢圓曲線群上困難問題假設(shè)

橢圓曲線離散對數(shù)問題(ECDLP):給定P,Q∈G為橢圓曲線上E的點,P是G的生成元,這里a∈Z*q且未知,滿足Q=aP,ECDL 問題是計算a∈Z*q.

1.4 系統(tǒng)模型

該系統(tǒng)模型圖如圖1所示,參與者包括3 個實體:云服務(wù)器(CSP),域服務(wù)器(KS),用戶(U).

圖1 網(wǎng)絡(luò)模型

云服務(wù)提供商CSP:表示誠實又好奇的實體機(jī)構(gòu),負(fù)責(zé)系統(tǒng)參數(shù)的生成.

區(qū)域服務(wù)器KSi:表示誠實又好奇的實體機(jī)構(gòu),負(fù)責(zé)生成用戶的文件標(biāo)識和區(qū)域內(nèi)部去重.

用戶Ui:生成文件標(biāo)識進(jìn)行去重.

1.5 安全屬性

我們的目標(biāo)是在所提方案中實現(xiàn)以下安全目標(biāo).

(1)數(shù)據(jù)機(jī)密性:任何對手,包括未經(jīng)授權(quán)的用戶U、CSP或KS,都不能獲得加密數(shù)據(jù)的明文信息,除非他們獲得加密數(shù)據(jù)的密鑰[7].

(2)數(shù)據(jù)完整性[8]:所提方案應(yīng)保護(hù)數(shù)據(jù)完整性免受對手的影響.也就是說,它應(yīng)該允許U驗證從云存儲器下載的數(shù)據(jù)是否沒有被更改.

(3)可擴(kuò)展性:所有的密鑰服務(wù)器都不應(yīng)參與收斂的密鑰生成過程,這會導(dǎo)致系統(tǒng)的性能下降.

2 本文方案

2.1 系統(tǒng)建立

所提方案包含6 個階段:系統(tǒng)初始化階段、用戶注冊階段、用戶文件標(biāo)簽產(chǎn)生階段、去重階段、數(shù)據(jù)完整性校驗、用戶動態(tài)更新.

系統(tǒng)初始化:該算法由CSP執(zhí)行.

(1)給定一個安全參數(shù) λ,基于定義在有限域Fp上的橢圓曲線E,選擇一個階為q的循環(huán)加法群 G,P是群 G的生成元.

(2)CSP隨機(jī)選取3 個單向哈希函數(shù)H1:{0,1}*→Z*q,H2:G→Z*q,H3:G→Z*q.公開系統(tǒng)參數(shù)params={q,G,P,H1,H2,H3}.

區(qū)域服務(wù)器參數(shù)生成:區(qū)域服務(wù)器KSi(i∈(1,N),共有N個區(qū)域) 隨機(jī)選擇si∈Z*q作為私鑰,計算公鑰pki=siP,并將公鑰公開.

用戶注冊:用戶選擇xi∈Z*q作為用戶的密鑰,并計算公鑰 Xi=xiP,并將公鑰公開.

2.2 用戶文件標(biāo)簽產(chǎn)生階段

給定系統(tǒng)參數(shù)params,區(qū)域公鑰pki、用戶的數(shù)據(jù)mi,執(zhí)行以下步驟生成文件標(biāo)簽.

(1)用戶Ui隨 機(jī)選擇ai∈Z*q,計算M1=aisiP+H1(mi)P,Ai=ai·P.用戶Ui將(M1,Ai,Xi) 發(fā)送給所在區(qū)域的服務(wù)器KSi.

(2)區(qū)域服務(wù)器KSi隨機(jī)選擇ri∈Z*q,計算M2=M1-siAi=H1(mi)P.在用戶區(qū)域內(nèi)去重過程中,區(qū)域服務(wù)器KSi限制規(guī)定時間內(nèi)進(jìn)行有限次詢問,例如十分鐘內(nèi)進(jìn)行20 次詢問.為了防止區(qū)域服務(wù)器發(fā)生單點故障,我們在一個區(qū)域內(nèi)部署3 個服務(wù)器.

(3)生成標(biāo)簽:區(qū)域服務(wù)器KSi計算:H3(M2),哈希值H3(M2) 將用于去重工作.

2.3 去重階段

去重工作包含兩個階段,區(qū)域內(nèi)部去重、跨區(qū)域去重.區(qū)域內(nèi)部去重由區(qū)域服務(wù)器執(zhí)行,跨區(qū)域去重由CSP執(zhí)行.

(1)區(qū)域內(nèi)去重階段區(qū)域服務(wù)器KSi將H3(Tagi) 與本區(qū)域保存的哈希列表進(jìn)行對比.區(qū)域內(nèi)去重工作存在兩種情況:

第1 類,本區(qū)域內(nèi)存在重復(fù),即本區(qū)域內(nèi)存在Tagi滿足Tagi=Tagj,意味著在之前已經(jīng)有處在同一個區(qū)域的用戶上傳了與用戶Ui相同的文件,則用戶Ui為后續(xù)上傳者,因此,用戶Ui不需要上傳密文.

區(qū)域服務(wù)器KSi向用戶Ui發(fā)送‘同區(qū)域重復(fù)文件存在||不需要上傳文件’的指令,區(qū)域服務(wù)器KSi計算:Ti=H3(M2).區(qū)域服務(wù)器KSi將用戶公鑰、用戶文件標(biāo)識:‘ (Xi,Ti)||重復(fù)’提交給CSP,CSP將用戶Ui的公

鑰Xi添加到文件第一個上傳者的密文列表中.

第2 類,如果本區(qū)域內(nèi)文件不存在重復(fù),意味著在同一個區(qū)域的用戶沒有上傳過與用戶Ui相同的文件,區(qū)域服務(wù)器KSi將H3(Tagi) 保存在本域的哈希列表中,區(qū)域服務(wù)器KSi將‘ (i,Xi,Ti)||去重’提交給CSP進(jìn)行跨區(qū)域去重.

(2)區(qū)域間去重階段,CSP收到來自區(qū)域服務(wù)器KSi的‘ (Xi,Ti)||去重’指令,CSP計算哈希值HA(Ti)、HB(Ti),CSP利用布谷鳥服務(wù)器進(jìn)行對比查詢這兩個哈希值在濾波器列表中映射的位置是否為空,如果映射位置為空則該文件屬于無重復(fù)文件,任選一個位置插入Ti,如果映射的位置不都為空則與Ti進(jìn)行對比,存在與Ti相同數(shù)值,則該文件在云上已有重復(fù)存在.去重后存在兩種情況:

第1 類,跨區(qū)域不存在重復(fù)文件,則表示用戶Ui為其文件的第一上傳者,用戶需要加密文件并上傳.云向區(qū)域服務(wù)器發(fā)送‘Ti||上傳文件’指令,由區(qū)域服務(wù)器KSi轉(zhuǎn)發(fā)給用戶.

第2 類,跨區(qū)域存在重復(fù)文件,意味著在之前已經(jīng)有處在不同區(qū)域的用戶上傳了與用戶Ui相同的文件,則用戶Ui為后續(xù)上傳者,不需要上傳加密文件.

CSP向區(qū)域服務(wù)器KSi發(fā)送‘Ti||文件重復(fù)’,CSP添加用戶Ui的公鑰Xi添加進(jìn)第一上傳者的密文條目.用戶去重工作完成后,CSP向發(fā)生重復(fù)的用戶發(fā)送‘不需要上傳文件’指令時,并向用戶發(fā)送文件第一上傳者的密鑰輔助參數(shù)Ci2.

用戶Ui在完整性校驗過程中利用已保存的H1(mi) 計算:ai=DecH1(mi)(Ci2),cki′=H2(ai).用戶Ui保存對稱密鑰cki′.用戶Ui保存對稱密鑰cki′,形如:

2.4 文件上傳

用戶Ui收到上傳文件指令后,計算對稱加密密鑰、文件密文、輔助密文:

其中,cki用于加密文件mi,Ci2用于輔助后續(xù)去重工作中與用戶Ui具有重復(fù)文件的用戶生成解密的對稱密鑰.用戶Ui將密文 (Ci1,Ci2,Ti) 發(fā)送給區(qū)域服務(wù)器KSi,服務(wù)器KSi將(Ci1,Ci2,Ti) 轉(zhuǎn)發(fā)給CSP.云將(Ci1,Ci2)添加到去重階段已保存的條目 (i,Ti,Xi)中,保存為(i,Ci1,Ci2,Ti,Xi).

2.5 文件下載階段

用戶Ui向云服務(wù)器提交‘下載||Ti’,云檢查Ti相對應(yīng)的密文列表是否具有用戶的公鑰Xi,云隨機(jī)選擇r∈Z*a計算EncXi(r),發(fā)送給用戶Ui.用戶收到EncXi(r)后利用自己的進(jìn)行解密得到r,用戶將r發(fā)送給云,云收到r后進(jìn)行檢驗,相等的情況下云將密文發(fā)送給用戶.云服務(wù)器向用戶發(fā)送相應(yīng)的(Ci1,Ci2).

2.6 文件解密階段

用戶在下載請求后將收到密文 (Ci1,Ci2),用戶Ui可以利用已保存的私鑰cki,下載文件進(jìn)行解密:mi=Deccki(Ci1).

2.7 用戶刪除文件:

當(dāng)有用戶想要刪除文件時,需要進(jìn)行密鑰的更新,CSP從Tj對應(yīng)的密文條目中刪除用戶公鑰Xj.

3 實施情況和功能比較

3.1 安全性分析

數(shù)據(jù)的保密性和完整性是對加密數(shù)據(jù)的重復(fù)數(shù)據(jù)消除研究中重要的安全問題.因此,在這部分,我們討論如何實現(xiàn)更高層次的安全性,且比其他方案的設(shè)置更簡單.

內(nèi)部攻擊通常被定義為服務(wù)器試圖獲得明文[9–11],在我們的方案中,由于服務(wù)器和云是半信任的,它們將按指定的方式執(zhí)行數(shù)據(jù)的去重復(fù),但出于好奇,他們試圖獲得明文.具體地,區(qū)域服務(wù)器為每個數(shù)據(jù)存儲哈希值H3(Tagi),云服務(wù)器存儲密文 (Ci1,Ci2).基于橢圓曲線離散對數(shù)難題,服務(wù)器無法通過M2=M1-siAi=H1(mi)P,Ai=ai·P獲得文件的哈希值H1(mi)和加密密鑰ai,從而服務(wù)器無法解密文件密文.

3.2 安全屬性比較和效率分析

本節(jié)與以前的去重方案的安全屬性和計算成本方面的比較.

(1)安全屬性比較

方案的安全屬性比較如表1.

表1 安全屬性比較

(2)計算代價比較

本節(jié)將比較所提方案與現(xiàn)有去重方案的計算代價和通信代價.

基于MIRACL Crypto SDK,仿真實驗在CPU為英特爾i7 (2.53 GHz),內(nèi)存為8 GB的64 位Window 7 操作系統(tǒng)下進(jìn)行.平均運行時間如表2所示.表3和表4給出了文獻(xiàn)[12–16]和本文提出的方案計算代價比較.

表2 基本操作的執(zhí)行時間

表3 該方案與其他方案用戶計算代價比較

表4 通信代價比較 (bits)

由表3可知,在文件標(biāo)簽上傳階段,所提方案計算代價為1.16 ms,與已有的數(shù)據(jù)去重方案[12–16]相比,計算代價最小,分別降低了59.15%,95.70%,95.70%,95.97%和72.76%.

在文件加密階段中,所提方案加密文件計算代價為0.004 8 ms,與已有的數(shù)據(jù)去重方案[12–14,16]相比,分別降低了99.91%,99.96%,99.96%和99.96%,與方案[15]相比,計算代價近乎相同,但方案[15]不能滿足訪問控制和用戶的動態(tài)更新.

密文解密階段,在非上傳者解密2 KB 文件過程中,所提方案解密文件計算代價為0.39 ms,與已有的數(shù)據(jù)去重方案[12–14,16]相比,分別降低了86.26%,96.31%,98.33%和99.96%,盡管方案[15]的非上傳者在文件解密階段具有更低的計算代價,但所提方案在功能方面優(yōu)于方案[15].

由圖2可知,在文件標(biāo)簽上傳階段,所提方案通信代價為320 bits,與已有的數(shù)據(jù)去重方案[12–16]相比,通信代價最小,分別降低了68.75%,79.17%,79.17%,68.75%和68.75%.

圖2 通代價比較

文件密文上傳階段,在密文大小相同的情況下,對輔助參數(shù)的通信代價進(jìn)行比較.由圖2所知,與已有的數(shù)據(jù)去重方案[12–16]相比,所提方案在密文上傳階段的通信代價最小,所提方案分別降低了89.58%,84.38%,87.50%,68.75%和72.97%.

文件密文下載階段,與已有的數(shù)據(jù)去重方案[12–16]相比,所提方案的通信代價最小,所提方案分別降低了84.38%,84.38%,87.50%,68.75%和72.97%.

由以上分析表明,所提方案在實際應(yīng)用中具有更好的適用性.

4 總結(jié)

本文提出了一種隨機(jī)、安全、服務(wù)器端去重方案.通過共享用于為持有相同文件副本的用戶生成加密密鑰的隨機(jī)值,可以抵抗來自惡意云服務(wù)器和用戶的暴力攻擊.在所提方案中,昂貴和復(fù)雜的計算由云服務(wù)器處理,因此在客戶端發(fā)生的計算開銷較少.安全性分析表明,該方案提供了一個更簡單的去重復(fù)框架,具有更高的安全性.性能評估的結(jié)果表明,本文方案在客戶端產(chǎn)生最小的計算開銷,這是足夠輕量級的.