邊根慶，李欣妍

(西安建筑科技大學 信息與控制工程學院，西安 710055)

E-mail：lxy96_east@163.com

1 引 言

由于獨立用戶的設備性能受限，如何存儲其產(chǎn)生的海量數(shù)據(jù)成為了制約用戶使用互聯(lián)網(wǎng)的瓶頸.因此，云服務提供商(CSP)應運而生.CSP將其統(tǒng)一維護管理的、擁有巨大內(nèi)存空間的云服務器以彈性購買的方式向外界出租，通過提供安全可靠的云存儲[1，2]服務來提高其核心競爭力.但是云環(huán)境十分復雜，一方面用戶需要通過可靠的加密手段將明文數(shù)據(jù)隱藏，防止外包數(shù)據(jù)泄露隱私信息[3，4]，另一方面CSP并不完全可信，所以需要建立完善的完整性審計機制[5，6]以抵抗來自云端的多重攻擊.因此，如何確保外包數(shù)據(jù)的隱私性和實現(xiàn)準確、高效地驗證數(shù)據(jù)完整性成為了長期以來的研究熱點.

首先，為了保護用戶隱私，傳統(tǒng)的數(shù)據(jù)外包方案僅對明文信息進行加密，將生成的密文數(shù)據(jù)上傳到云端存儲[7].這使得一旦攻擊者破解了私鑰，外包的密文數(shù)據(jù)則可能無法承擔被恢復出可用信息的風險，從而造成用戶隱私泄露的重大事故.其次，為了確保遠程數(shù)據(jù)的準確性、可用性和安全性[8]，許多研究提出了豐富的數(shù)據(jù)完整性審計模型[9，10].例如，Ma等人[11]提出了一種分層的遠程數(shù)據(jù)持有性檢查方案.該研究雖然解決了驗證多個文件效率低的問題，但是依賴用戶進行驗證操作仍然會給計算性能一般的用戶端帶來較為沉重的計算開銷.為了減輕用戶端的計算負擔，大多數(shù)研究將數(shù)據(jù)的持有性驗證操作授權給可信第三方(TPA)執(zhí)行[12，13].但是第三方是好奇的，其可信性是一種概率性假設，當TPA能夠從用戶上傳的數(shù)據(jù)中獲取隱私信息時，便成為最有可能竊取用戶信息的機構.在文獻[14]的研究中授權了TPA計算數(shù)據(jù)標簽，但是由于用戶端僅對編碼文件的系數(shù)向量進行加密，其安全性不足以抵抗第三方攻擊，使得第三方竊取用戶隱私的可行性增加.為避免第三方攻擊，Xue等人[15]提出了基于身份的公共審計方案，通過增加用戶端的計算開銷來提高TPA服務的可信度，該方案未有效減輕用戶的計算負擔.通常情況下，用戶和第三方為客戶-服務的關系，服務方可能存在一定的好奇心，但是由于始終無法竊取用戶的隱私，便在收取合理服務費用的情況下，忠誠于服務協(xié)議以保護自己的聲譽.可見，外包數(shù)據(jù)抵抗攻擊的能力與第三方可信的的概率成正比，若用戶的外包數(shù)據(jù)沒有任何可用性，那么只要完善相關的管理制度，收取合理的代理費用，就能夠在一定程度上促使TPA公平、公正地執(zhí)行審計任務.基于此，用戶便可以將遠程數(shù)據(jù)的持有性驗證操作授權給高可信度的第三方服務器，從而減輕本地服務器的計算壓力.

針對上述問題，本文提出一種安全的數(shù)據(jù)存儲方案，降低了外包數(shù)據(jù)泄露隱私信息的可能性，提高了第三方審計機構的可信度，使得用戶可以將遠程數(shù)據(jù)的完整性審計任務遷移至第三方執(zhí)行，從而降低本地的計算開銷.首先，用戶利用基于Hash算法改進的全有或全無轉換(All-or-Nothing Transformation，AONT)機制[16](H-AONT)對數(shù)據(jù)進行預處理，生成具有強不可分性的偽消息數(shù)據(jù)塊.隨后，對偽消息數(shù)據(jù)塊集合進行加密，并將部分密文數(shù)據(jù)塊發(fā)送給TPA.相較于僅通過傳統(tǒng)的加密算法處理數(shù)據(jù)，本文提出的轉換加密機制提高了密文數(shù)據(jù)的隱私性.隨后，由TPA利用Hash運算的同態(tài)性[17，18]代替用戶完成文件分塊、生成標簽、數(shù)據(jù)上傳和持有性驗證操作.由于本文方案降低了用戶端與第三方的耦合度，所以大大降低了用戶的計算成本.此外，當用戶申請刪除云端數(shù)據(jù)時，可以同時銷毀本地存儲的部分偽消息數(shù)據(jù)塊，根據(jù)強不可分性達到安全刪除的目的，增強了系統(tǒng)的安全性.實驗表明，該方案顯著降低了用戶端的計算開銷且具有良好的安全性.

2 預備知識

2.1 強不可分性

Rivest在文獻[16]中指出，在傳統(tǒng)的數(shù)據(jù)加密機制中，若攻擊者通過窮盡密鑰搜索的方式解密了其中一個密文數(shù)據(jù)塊，就可以測試候選密鑰的有效性，這被稱為可分離性.因此，Rivest提出加密方式應該滿足強不可分性，其定義如下：

定義1.強不可分性 若將明文集合 {d1，d2，…，dn} 通過一個加密算法γ轉換，生成一個密文序列 {c1，c2，…，cn}.當在獲得所有密文塊之前，任何人都不能讀取明文信息，則稱算法γ具有強不可分性.

2.2 AONT轉換機制及改進

為了滿足強不可分性，Rivest提出了一種全有或全無(All-or-Nothing Transformation，AONT)數(shù)據(jù)轉換機制[16]：

1)g具有可逆性.根據(jù)偽消息數(shù)據(jù)塊序列可以通過逆運算g-1獲得正確的明文信息.

2)g具有時限性.正向轉換g與逆向轉換g-1都滿足在多項式時間內(nèi)完成計算.

3)g具有強不可分性.在確定所有偽消息數(shù)據(jù)塊之前，都無法通過g-1計算得出正確的明文數(shù)據(jù)塊.

AONT算法負責將數(shù)據(jù)轉換成偽消息數(shù)據(jù)塊，可以與任何傳統(tǒng)的加密方式相結合，生成密文偽消息數(shù)據(jù)塊.因此，Rivest基于AONT算法提出了一種數(shù)據(jù)加密機制：

轉換加密過程：(E(.)為分組加密算法，k是隨機密鑰，k′是一個固定的公鑰，⊕代表異或運算)

逆轉換解密過程：

在Rivest定義的轉換加密算法中，利用s個密文偽消息數(shù)據(jù)塊生成第s+1個偽消息數(shù)據(jù)塊，該算法中執(zhí)行了兩輪分組加密和3s次異或運算.為了提高計算效率，本文提出將轉換過程與加密過程分離，并運用偽隨機函數(shù)、偽隨機置換函數(shù)和安全的Hash算法對AONT轉換機制進行改進，將改進的AONT算法稱為H-AONT.H-AONT中的密碼變換包括(|k|表示密鑰長度)：

Υ(.)：{0，1}|k|×{0，1}l→{0，1}l為偽隨機函數(shù)(pseudo-random function，PRF)，用于生成偽隨機數(shù)；

T(.)：{0，1}|k|×{1，2，…,s}→{1，2，…,s}為偽隨機置換( pseudo-random permutation，PRP)，用于置換產(chǎn)生新的消息序列；

Hash(.)：{0，1}*→Zp為安全的無密鑰Hash函數(shù)，其中p為隨機大素數(shù).Hash函數(shù)具有實用性、單向性和抗碰撞性[19]，用于計算偽隨機序列的Hash值.

H-AONT轉換過程：

H-AONT逆轉換過程：

H-AONT轉換機制是對消息的預處理過程，可以和任何加密算法配合使用，增強數(shù)據(jù)的安全性.

2.3 同態(tài)哈希函數(shù)

同態(tài)性是指假設集合A、B分別具有兩種運算，若它們之間存在一種映射f(A；*)→(B；*)，使得f(g1×g2)=f(g1)×f(g2)，其中g1，g2∈A，f(g1)，f(g2)∈B.則表示映射f具有同態(tài)性.

定義4.同態(tài)哈希函數(shù) 具有同態(tài)性的哈希算法為同態(tài)哈希函數(shù)，通常用于在無需下載遠程數(shù)據(jù)塊的場景下，驗證分布式系統(tǒng)中部分數(shù)據(jù)塊的完整性，以抵抗多種攻擊.根據(jù)文獻[20]中提出的同態(tài)哈希構造方案，任意選取隨機大素數(shù)p、q和隨機數(shù)g，使得q=p-1，且gq%p=1.那么對于數(shù)據(jù)塊b1的Hash值表示為h1=gb1%p，對整體Hash為H=g(b1+b2+…+bk)%p.若H=h1+h2+h3+…+hk% p，則證明該Hash函數(shù)具有加同態(tài)性.hash(.)：{0，1}*×{0，1}β→{0，1}λp是同態(tài)hash函數(shù)，其中，β表示數(shù)據(jù)塊大小(bit)，λp為隨機大素數(shù)p的離散對數(shù)安全參數(shù)，λp=|p|.

3 系統(tǒng)模型及設計目標

3.1 系統(tǒng)模型

本文提出的安全云存儲方案包括外包數(shù)據(jù)的安全性和正確性兩個方面.如圖1所示，安全存儲方案的系統(tǒng)模型涉及3個實體：用戶(Users)、第三方審計代理(TPA)和云服務提供商(CSP).

圖1 云端數(shù)據(jù)的安全存儲模型Fig.1 Secure storage model for cloud data

·Users：數(shù)據(jù)的擁有者.對大量的數(shù)據(jù)進行轉換加密處理并上傳至云端服務器.

·TPA：第三方審計代理機構.為用戶文件生成驗證密鑰和數(shù)據(jù)塊標簽，并代替用戶驗證云端數(shù)據(jù)的完整性.

·CSP：云服務提供商.為用戶提供海量數(shù)據(jù)的存儲服務，并將完整持有數(shù)據(jù)的證明消息返回給TPA.

3.2 威脅模型

本文方案主要解決了外包數(shù)據(jù)泄露可用信息的問題，所以在實驗中認為TPA能夠遵守公共審計協(xié)議，誠實地執(zhí)行云端數(shù)據(jù)的持有性驗證任務.因此，該模型的安全威脅主要來自兩個方面：

·入侵者攻擊：攻擊者通過各種途徑獲得用戶的隱私數(shù)據(jù)，即用戶的外包數(shù)據(jù)被非法入侵者竊取，并試圖從中獲得可用的信息.

·CSP攻擊：當云服務器受到以下攻擊時，仍嘗試通過持有性驗證:1)替換攻擊.攻擊者試圖使用其他完整數(shù)據(jù)塊的標簽替換損壞數(shù)據(jù)塊的標簽來通過數(shù)據(jù)完整性審計;2)偽造攻擊.當數(shù)據(jù)損壞時，對手試圖偽造CS的證明信息來欺騙TPA;3)重放攻擊.CS將之前的驗證信息與任意完整的數(shù)據(jù)塊進行運算以證明損壞或丟失的數(shù)據(jù)塊被完整持有.

3.3 設計目標

為了抵抗上述威脅模型，實現(xiàn)更安全、高效的數(shù)據(jù)持有性證明，本文方案應滿足以下設計目標：

1)轉換加密：用戶需要在本地對文件執(zhí)行上鎖操作，首先通過H-AONT轉換機制將原始文件轉換為強不可分的偽消息數(shù)據(jù)塊，隨后利用安全的加密算法生成密文數(shù)據(jù)；

2)輕量架構：用戶授權可信第三方代理執(zhí)行復雜的數(shù)據(jù)完整性審計任務.例如，為數(shù)據(jù)塊生成標簽，并驗證CSP是否完整持有數(shù)據(jù)；

3)存儲安全：TPA和任何攻擊者都無法通過部分、甚至所有的外包數(shù)據(jù)塊獲取明文信息，即云服務器中的碎片數(shù)據(jù)塊不具有不可用性；

4)低通信量：在持有性證明過程中，只有TPA與CSP通信.TPA僅發(fā)送文件標識符和一個索引密鑰作為挑戰(zhàn)消息，CSP返回完整存儲部分數(shù)據(jù)塊的證明.

4 云端數(shù)據(jù)的安全存儲方案

本文提出的安全存儲方案包括外包數(shù)據(jù)的安全性和正確性，由Lock(.)，SliceGen(.)，TagGen(.)，ChallGen(.)，ProofGen(.)，ProofVeri(.)和Unlock(.)7個算法組成.主要分為4個階段：1)文件上鎖階段：包含算法Lock(.)，用戶在本地結合H-AONT轉換機制和對稱加密算法處理原始文件，生成強不可分的偽消息密文數(shù)據(jù)塊并發(fā)送給TPA，提高了外包數(shù)據(jù)的安全性；2)預處理階段：包含算法SliceGen(.)，TagGen(.)，TPA對密文進行分片并為數(shù)據(jù)塊生成標簽.在標簽中加入隨機數(shù)和塊位置信息，不僅保證了數(shù)據(jù)塊的唯一性，而且避免了云服務器的多重攻擊；3)數(shù)據(jù)持有性證明階段：包含算法ChallGen(.)，ProofGen(.)，ProofVeri(.)，由TPA向CSP發(fā)送挑戰(zhàn)，并對CSP返回的證明信息進行正確性驗證；4)文件解鎖階段：包含算法Unlock(.)，用戶從云端下載所有的外包數(shù)據(jù)并結合本地的部分數(shù)據(jù)塊解密恢復出原始文件.

接下來將詳細說明本文方案的具體算法過程.

4.1 文件上鎖階段

Lock(F)→UF文件上鎖操作在用戶端執(zhí)行.

1)將原始文件分成n個文件塊：F→{f1，f2，f3，…，fn}；

2)用戶隨機指定文件塊置換規(guī)則t和轉換密鑰ktr；

Input：

PriFile：F=f1，f2，f3，…，fn

ReplaceRule：t

TransKey：ktr

Output：

1.for i=1 to n do

3.end

4.for i=1 to n do

6.end

7.order n′=n+1

9.done

11.return F′

4)用戶隨機選擇私鑰k并對偽消息數(shù)據(jù)塊集合F′進行加密.選擇對稱加密函數(shù)E(.)，根據(jù)用戶私鑰進行加密操作：Ek(F′)→C，產(chǎn)生的密文數(shù)據(jù)塊集合C={C1，C2，C3，…，Cn′}；

5)將密文數(shù)據(jù)塊集合C切分成兩個長度不同的集合α，β，則C=α+β，其中|α|<<|β|.

6)將長集合 β 作為用戶文件(user file，UF)上傳至TPA.

7)用戶在本地保存私鑰k和短集合α.

4.2 預處理階段

當TPA收到用戶上傳的UF后，可以代替用戶對文件進行預處理.具體操作如下：

1.數(shù)據(jù)分片：SliceGen(UF，s，t)→{ufij}

1)TPA將UF切分成s個數(shù)據(jù)塊，UF={ufi}1≤i≤s≤n′.

2)隨機選擇數(shù)據(jù)分片個數(shù)t，將{ufi}切分成t片，形成一個s×t數(shù)據(jù)分片矩陣ufi={ufij}1≤i≤s，1≤j≤t.

2.生成標簽：TagGen(kver，{ufij})→Φ

1)TPA選擇一個驗證密鑰kver

2)計算UF唯一的文件標識符UFID：ε=Hash(UFname‖s‖t).該Hash函數(shù)中包含文件名UFname、數(shù)據(jù)塊的數(shù)量s和每個數(shù)據(jù)塊的切片數(shù)量t.

3)為每個數(shù)據(jù)塊ufi生成標簽：

(1)

其中，h(.)為同態(tài)Hash函數(shù).隨機數(shù)ri由偽隨機函數(shù)ω(.)：{0，1}|i|×{0，1}l→{0，1}l產(chǎn)生，ω(i)→ri，i表示數(shù)據(jù)塊在矩陣中的位置信息，結合ri計算數(shù)據(jù)塊標簽確保了標簽的唯一性.令Φ={φi}1≤i≤s.

4)將消息(ufi，ε，φi)上傳到CSP中，由CSP將s個數(shù)據(jù)塊及其標簽分別存儲在s個云服務器中.

4.3 數(shù)據(jù)持有性證明階段

數(shù)據(jù)持有性證明階段包括TPA向CSP發(fā)送挑戰(zhàn)消息、CSP生成數(shù)據(jù)持有的證明消息并返回給TPA以及TPA驗證CSP是否正確持有被挑戰(zhàn)的數(shù)據(jù)塊.

1.ChallGen(λ)→chall.TPA生成一個挑戰(zhàn)消息.

1)TPA選擇一個隨機參數(shù)λ來獲得挑戰(zhàn)塊索引密鑰kind←f(λ).f (.)：{0，1}|kind|×{1，2，…，s}→{1，2，…，s}是TPA中的一個偽隨機函數(shù)，根據(jù)輸入的參數(shù)隨機生成索引密鑰kind.

2)TPA指定挑戰(zhàn)塊的數(shù)量Z.

3)生成一個挑戰(zhàn)消息chall=(ε，kind，Z)并將其發(fā)送給CSP.

2.ProofGen(ε，kind，Z)→proof.CSP生成證明消息.

1)CSP接收挑戰(zhàn)消息chall=(ε，kind，Z)并計算Z個挑戰(zhàn)塊的集合：

Bz|1≤z≤Z={(ε，ufi)}|1≤i≤s，[i]=σKind(z)|1≤z≤Z

σ(.)：{0，1}|kind|×{1，2，…，z}→{1，2，…，z}是偽隨機置換函數(shù)，根據(jù)接收的索引密鑰確定每個文件標識符為ε的挑戰(zhàn)塊在云服務器中的存儲位置[i].

2)計算：

(2)

(3)

3)向TPA返回證明信息proof=(δ，ζ).

3.ProofVeri(kind，z，proof)→(True，F(xiàn)alse)TPA驗證挑戰(zhàn)數(shù)據(jù)塊的完整性.

1)TPA計算挑戰(zhàn)塊索引[i]和與挑戰(zhàn)塊對應的隨機數(shù)ri：

i=σKind(z)|1≤z≤Z

ri=ω(i)

2)驗證：

(4)

在驗證公式(4)中，若等式成立，則驗證結果為True，證明挑戰(zhàn)塊被正確持有；否則，輸出False，表示挑戰(zhàn)塊損壞、丟失或被篡改.

4.4 文件解鎖

Unlock(α，β，k)→F.文件解鎖操作在用戶端執(zhí)行.

1)用戶從云端下載完整的用戶文件(UF=β).

2)將外包數(shù)據(jù)β與本地短集合α結合得到所有的偽消息密文數(shù)據(jù)塊.

3)文件解鎖階段包括數(shù)據(jù)解密(D(.)為解密函數(shù))和H-AONT逆運算過程，具體算法步驟如下：

Input：

PrivateKey：k

ReplaceRule：t

Short-block Set：α

Long-block Set：β

Output：

PriFile：F=f1，f2，f3，…，fn

3.for i=1 to n do

5.end

7.for i=1 to n do

9.done

10. F=f1，f2，…，fn

11.return F

5 安全性分析

針對第3.2節(jié)中提出的威脅模型，本節(jié)分別分析外包數(shù)據(jù)的強不可分性和持有性證明的確定性兩個方面，從而證明本文系統(tǒng)能夠抵抗入侵者攻擊和CSP的多重攻擊.另外，由于對稱加密算法的安全性已在文獻[21]中充分證明，因此在本節(jié)中針對外包數(shù)據(jù)的安全性主要從強不可分性角度證明，暫不考慮對稱加密的安全性.

5.1 強不可分性證明

定理1.H-AONT能夠抵抗入侵者通過外包數(shù)據(jù)獲取有用信息.

接下來通過兩種情形分析外包數(shù)據(jù)的安全性.

Case 1若排列規(guī)則t泄露，且攻擊者竊取n個外包數(shù)據(jù)塊.

M′= m2，m3，…，mn′

同理，由于H(M′)≠H(M)，故攻擊者竊取信息失敗.可見，只要置換規(guī)則沒有泄露，即使攻擊者獲得完整的n+1個偽消息數(shù)據(jù)塊，也無法遵循正確的規(guī)則得到有效的消息序列M′.

注意到置換規(guī)則t和本地存儲的偽消息數(shù)據(jù)塊不能同時泄露，只要用戶確保任意一種消息保密就能夠保證外包數(shù)據(jù)的信息安全.可以看出，原文件通過H-AONT算法生成了n+1個偽消息數(shù)據(jù)塊，使得隱私數(shù)據(jù)的安全性隨著轉換數(shù)據(jù)塊個數(shù)n的增加成倍增長.

5.2 正確性證明

定理2.以對所有外包數(shù)據(jù)的確定性驗證為例，如果TPA和CSP都遵守挑戰(zhàn)-應答協(xié)議，且所有數(shù)據(jù)塊都是完整的，則持有性證明方案可以正確判斷CSP是否完整保存數(shù)據(jù)塊.

證明：當數(shù)據(jù)塊沒有損壞或丟失時，CSP可以通過TPA的數(shù)據(jù)持有性證明：

=ζ

若外包數(shù)據(jù)丟失或受到如替換、偽造及重放攻擊，CSP就無法通過TPA的持有性驗證.

1)本方案可以抵抗CSP的替換攻擊.

當挑戰(zhàn)塊ufi被損壞或丟失時，CSP試圖使用其他完整的數(shù)據(jù)塊uft及其標簽φt(ufi≠uft)來實施替換攻擊，以欺騙TPA并通過數(shù)據(jù)持有性驗證.則在返回的證據(jù)中：

TPA根據(jù)CSP返回的證據(jù)進行持有性證明時，發(fā)現(xiàn)：

這是因為TPA在驗證時需要計算每個數(shù)據(jù)塊唯一對應的隨機數(shù)ri，因為rj≠ri，所以等式不成立，證明了本文方案可以抵抗CSP的替換攻擊.

2)本方案可以抵抗CSP的偽造攻擊.

3)本方案可以抵抗CSP的重放攻擊.

CSP為了隱瞞數(shù)據(jù)塊丟失的事實，將已通過完整性驗證的證據(jù)消息(δ1，ζ1)與其他未損壞的數(shù)據(jù)塊uft及其標簽φt進行運算，并返回證據(jù)信息：

δ′=(uft+δ1)modp

ζ′=(φt×ζ1)modp

通過TPA的驗證公式，得到：

可見，當標簽中加入了數(shù)據(jù)塊的位置信息時，在持有性驗證過程中每次產(chǎn)生的隨機數(shù)都不同，使得CSP無法使用先前的證據(jù)消息欺騙TPA.

6 性能評估

為了進一步驗證本文解決方案的性能，我們使用一臺配備Intel Core i7 CPU和16GB RAM的國產(chǎn)DELL臺式機以及阿里云服務器搭建系統(tǒng)模型.主要測試了本文方案的存儲開銷、通信開銷和計算開銷，并與基于第三方審計的DIPOR[14]和IBPA[15]方案的安全性進行比較.

6.1 通信開銷

本節(jié)通過挑戰(zhàn)-應答過程作為參考來計算通信開銷.在挑戰(zhàn)消息中，本方案使用索引密鑰、挑戰(zhàn)塊數(shù)和文件標識符構成索引集，CSP僅返回數(shù)據(jù)塊聚合與標簽聚合作為證明消息，使得挑戰(zhàn)-應答階段產(chǎn)生的通信負載較低.

6.2 存儲開銷

在用戶端，當用戶將UF上傳到云端后，可以刪除本地的副本文件.用戶端只需要保留私鑰(k=128bit)和短密文數(shù)據(jù)塊集合α(|α| =a×q bit).其中a表示用戶端保留的密文數(shù)據(jù)塊數(shù)量，q表示每個密文數(shù)據(jù)塊的長度.在執(zhí)行鎖操作的實驗中，將每個數(shù)據(jù)塊的長度(length)設置為l=128bit.通過安全性分析，用戶端僅保留一個密文數(shù)據(jù)塊就可以實現(xiàn)上傳云數(shù)據(jù)的強不可分割性，即|α|=128bit.

在TPA中的額外存儲開銷包括每個文件唯一的驗證密鑰.另外，CSP需要保存文件的標簽集.當取|p|=1024bit時，相較于與16KB的數(shù)據(jù)塊，本方案的額外存儲開銷可以忽略.

6.3 計算開銷

本文基于H-AONT算法將明文劃分為若干個長度為128bit的數(shù)據(jù)塊進行轉換加密，相比于原始的AONT算法，H-AONT采用計算偽隨機重組序列的Hash值代替2s-1次異或運算.因為Hash函數(shù)具有實用性，使得根據(jù)重組序列Y計算H(Y)是非常容易的，因此H-AONT在大量數(shù)據(jù)塊的轉換操作中具有明顯優(yōu)勢.為保證測試的公平性，在實驗中將2.2節(jié)所描述的基于AONT實現(xiàn)的轉換加密機制進行分離，即單獨執(zhí)行轉換流程，并使用相同結構的偽隨機函數(shù)代替加密算法.如圖2所示，H-AONT算法的計算效率優(yōu)于AONT轉換機制和傳統(tǒng)加密算法(AES-128).對經(jīng)過H-AONT預處理的文件再次進行對稱加密時，不僅提升了數(shù)據(jù)的安全性，而且未明顯增加用戶端的計算開銷.

圖2 H-AONT算法與傳統(tǒng)加密算法的計算開銷對比Fig.2 Comparison of computational cost between H-AONT algorithm and traditional encryption algorithm

以一個20M大小的文本文件為例，根據(jù)圖2可知在用戶端執(zhí)行文件上鎖操作的計算開銷為9.32s.隨后用戶將部分數(shù)據(jù)塊上傳至云端，由TPA代替用戶生成數(shù)據(jù)塊標簽和驗證遠程數(shù)據(jù)塊正確性，且用戶不參與審計過程.

從圖3中可以看出，在數(shù)據(jù)的預處理階段，由于用戶端僅執(zhí)行轉換加密操作而不參與數(shù)據(jù)塊標簽的生成，所以當用戶將大小為20M的上鎖文件發(fā)送給TPA之后，隨著驗證數(shù)據(jù)塊個數(shù)的增加，用戶端的計算開銷不發(fā)生改變，而TPA的計算開銷與數(shù)據(jù)塊個數(shù)呈正相關.此外，當20M文件的數(shù)據(jù)塊大約低于30個時，用戶端對數(shù)據(jù)上鎖操作的計算開銷高于TPA生成標簽的計算開銷.這是因為TPA在生成標簽時以數(shù)據(jù)塊為單位，當生成少量數(shù)據(jù)塊的標簽時，并不會對TPA造成過大的計算負擔.而用戶端服務器的性能受限，在處理文件時會產(chǎn)生一定的計算開銷，并且根據(jù)圖2所示，用戶端的計算開銷隨著文件大小的改變呈正相關曲線.

圖3 數(shù)據(jù)預處理階段用戶端和TPA的計算開銷Fig.3 Computational cost of user side and TPA during data preprocessing

綜上所述，本文方案在數(shù)據(jù)的轉換過程中有明顯優(yōu)勢，通過結合傳統(tǒng)的加密算法提高了數(shù)據(jù)的安全性而且未造成嚴重的計算負擔.另外，用戶將經(jīng)過安全加密的信息發(fā)送到云端，并授權TPA驗證云端數(shù)據(jù)的持有性，有效地降低了用戶端的計算開銷，而且不用擔心泄露隱私信息，同時還能夠利用加密機制的強不可分性保證數(shù)據(jù)的確定性刪除.

6.4 安全性對比

表1總結了本文方案與其他兩種方案的安全性能比較.

表1 相關方案的安全性比較Table 1 Security comparison of related schemes

DIPOR[14]和IBPA[15]均依賴第三方審計服務，3種方案都可以抵抗替換、偽造和重放攻擊，但是其他兩種方案基于傳統(tǒng)的非對稱加密方式，一旦私鑰泄露，便無法阻止攻擊者獲取明文信息.此外，IBPA方案提出了基于身份的公共審計，有效地抵抗了惡意的審計人員，提高了TPA審計服務的可信度，而DIPOR方案缺少了對TPA的約束，使得第三方的可信度下降.本文方案通過增強數(shù)據(jù)的隱私性，不僅防止了密鑰丟失造成信息泄露，而且能夠在一定程度上促使TPA誠實地遵守數(shù)據(jù)持有性證明協(xié)議.

7 總 結

本文方案根據(jù)實際應用中云存儲環(huán)境較復雜的情況提出了基于改進AONT的安全存儲方案，通過雙重加密增強了數(shù)據(jù)的隱私性，避免了外包數(shù)據(jù)泄露可用信息，從而提高了第三方審計服務的可信度.因此，用戶可以將計算開銷較大的操作遷移至可信第三方執(zhí)行，有效地減輕了用戶端的計算負擔在本文方案的基礎上，TPA可以根據(jù)用戶的需求為用戶文件冗余存儲多個副本文件，增強系統(tǒng)可靠性.同時，為使該模型達到更好的抗風險能力，下一步研究計劃在計算同態(tài)標簽之前，為數(shù)據(jù)塊進行糾刪碼編碼操作，保證損壞數(shù)據(jù)及時得到恢復.此外，若用戶能夠在不增加過多計算開銷的情況下實現(xiàn)對遠程數(shù)據(jù)正確性的抽查也將成為下一步研究重點.