基于差分隱私模型的云數(shù)據(jù)副本安全控制方案

任君，熊金波，姚志強(qiáng)

（1. 福建師范大學(xué)軟件學(xué)院，福建 福州 350108；2. 福建省公共服務(wù)大數(shù)據(jù)挖掘與應(yīng)用工程技術(shù)研究中心，福建 福州 350108）

基于差分隱私模型的云數(shù)據(jù)副本安全控制方案

任君1,2，熊金波1,2，姚志強(qiáng)1,2

（1. 福建師范大學(xué)軟件學(xué)院，福建 福州 350108；2. 福建省公共服務(wù)大數(shù)據(jù)挖掘與應(yīng)用工程技術(shù)研究中心，福建 福州 350108）

針對(duì)敵手利用重復(fù)數(shù)據(jù)刪除作為側(cè)信道攻擊用戶隱私信息的問題，提出一種安全的文件副本數(shù)量控制方案。核心思想是構(gòu)建混合云架構(gòu)，結(jié)合差分隱私中的隱私保護(hù)參數(shù)及收斂加密算法計(jì)算文件密鑰值并對(duì)其進(jìn)行二次加密，保證每個(gè)文件在服務(wù)器中只存有一個(gè)副本。與已有的通過設(shè)置閾值來控制副本數(shù)量的方案進(jìn)行比較分析，所提方案可抵抗側(cè)信道攻擊、相關(guān)文件的攻擊，以及針對(duì)加密算法的特定攻擊，并節(jié)約了網(wǎng)絡(luò)帶寬及磁盤存儲(chǔ)空間。

重復(fù)數(shù)據(jù)刪除；差分隱私；收斂加密；混合云；側(cè)信道攻擊

1 引言

隨著云計(jì)算、大數(shù)據(jù)技術(shù)不斷進(jìn)步，由社交網(wǎng)站、健康應(yīng)用、醫(yī)療衛(wèi)生以及一些其他網(wǎng)絡(luò)公司所產(chǎn)生的數(shù)據(jù)呈爆炸式增長(zhǎng)，且隨著網(wǎng)絡(luò)社會(huì)的信息化，這些數(shù)據(jù)來源多樣，形式多樣[1]。據(jù)統(tǒng)計(jì)，平均每秒有200萬用戶在使用谷歌搜索，Twitter每天處理的推特?cái)?shù)量超過3.4億[2]，同時(shí)，科學(xué)計(jì)算、醫(yī)療衛(wèi)生等各大行業(yè)也有大量數(shù)據(jù)產(chǎn)生。2012年，全球信息總量已經(jīng)達(dá)到7 ZB，而到2016年這一數(shù)值達(dá)到8 ZB以上[3]，且在新型信息傳播方式和個(gè)性化服務(wù)模式下，越來越多的用戶選擇將數(shù)據(jù)外包給云端進(jìn)行存儲(chǔ)和管理，據(jù)Gartner數(shù)據(jù)統(tǒng)計(jì)，預(yù)計(jì)到2020年，全球數(shù)據(jù)量將達(dá)到44 ZB[4]。龐大的數(shù)據(jù)量不僅會(huì)造成空間浪費(fèi)，還會(huì)導(dǎo)致存儲(chǔ)效率降低，因此先后出現(xiàn)了一些解決此問題的技術(shù)，最直接的方法是采用數(shù)據(jù)壓縮技術(shù)對(duì)原始數(shù)據(jù)壓縮處理后再上傳到云端，但對(duì)于同一份數(shù)據(jù)文件，不同用戶可能采用不同的壓縮技術(shù)，生成不同的壓縮文件，造成多副本共存的現(xiàn)象，反而使云端存儲(chǔ)壓力更大。因此，迫切需要數(shù)據(jù)副本重復(fù)性檢測(cè)與刪除機(jī)制，通過僅保留一份數(shù)據(jù)副本來提高云服務(wù)效率與服務(wù)質(zhì)量，即重復(fù)數(shù)據(jù)刪除（deduplication）機(jī)制。研究發(fā)現(xiàn)，通過重復(fù)數(shù)據(jù)刪除技術(shù)，可以為備份系統(tǒng)節(jié)約83%的存儲(chǔ)空間，為主存系統(tǒng)節(jié)約68%的存儲(chǔ)空間，為云虛擬機(jī)中通用數(shù)據(jù)的存儲(chǔ)節(jié)約80%的空間，直接影響用戶使用云服務(wù)功能上傳和下載文件的效率[5]，作為目前節(jié)約網(wǎng)絡(luò)帶寬和磁盤存儲(chǔ)空間的重要手段，重復(fù)數(shù)據(jù)刪除技術(shù)現(xiàn)已被廣大云存儲(chǔ)服務(wù)提供商接納和認(rèn)可[6]，但同時(shí)，攻擊者會(huì)利用重復(fù)數(shù)據(jù)刪除對(duì)特定的用戶進(jìn)行隱私攻擊，或收集大量用戶數(shù)據(jù)中的隱私信息以進(jìn)行針對(duì)性的決策分析[7]，因此，如何能夠在云服務(wù)中進(jìn)行重復(fù)數(shù)據(jù)刪除時(shí)確保用戶數(shù)據(jù)的隱私安全，已成為隱私保護(hù)領(lǐng)域一個(gè)亟待解決的問題。

針對(duì)上述問題，本文結(jié)合差分隱私及收斂加密算法提出一個(gè)安全的混合云架構(gòu)的重復(fù)數(shù)據(jù)刪除方案來保護(hù)重復(fù)數(shù)據(jù)刪除過程中用戶的隱私信息，證明其安全性，并且能夠抵抗側(cè)信道攻擊以及相關(guān)文件的攻擊；再引入收斂加密算法，并結(jié)合差分隱私中的隱私保護(hù)參數(shù)計(jì)算出新的密鑰值來代替文件F，作為判斷重復(fù)數(shù)據(jù)刪除的條件以及與服務(wù)器溝通的信息，減少通信過程中的帶寬消耗，并且可抵抗針對(duì)加密算法的特定攻擊；最后根據(jù)不同文件內(nèi)容結(jié)合隱私保護(hù)參數(shù)設(shè)置不同文件的安全等級(jí)，實(shí)現(xiàn)不同安全等級(jí)的文件上傳。

2 相關(guān)工作

2002年，Douceur等[8]提出收斂加密算法（CE, convergent encyption）來實(shí)現(xiàn)數(shù)據(jù)的保密性，該方案的密鑰生成算法為確定性算法，通常由原數(shù)據(jù)經(jīng)過散列運(yùn)算得到，因此可以確保相同的數(shù)據(jù)得到相同的密鑰。之后的很多研究成果都利用其來實(shí)現(xiàn)對(duì)密文的重復(fù)數(shù)據(jù)刪除，Li等[9]提出CDStore方案，采用收斂擴(kuò)散（CD, convergent dispersal）機(jī)制，將秘密共享 AONT-RS（all-ornothing transform reed-solomon）與CE結(jié)合，把擴(kuò)散算法中的隨機(jī)信息替換為數(shù)據(jù)的散列指紋，保證擴(kuò)散算法的確定性以實(shí)現(xiàn)數(shù)據(jù)的重復(fù)刪除；Stanek等[10]基于CE提出為數(shù)據(jù)提供不同安全等級(jí)加密保護(hù)的重復(fù)數(shù)據(jù)刪除方案，該方案將文件分為流行文件和非流行文件，不同的文件類別采用不同的重復(fù)數(shù)據(jù)刪除方法；此外，Bellare等[11]又在CE的基礎(chǔ)上提出一種新的消息鎖加密（MLE，message locked encryption）機(jī)制，該機(jī)制使用MLE密鑰對(duì)信息進(jìn)行對(duì)稱加密；DupLESS[12]提出使用KS來產(chǎn)生與管理密鑰，即當(dāng)MLE密鑰生成時(shí)，由數(shù)據(jù)本身和一個(gè)系統(tǒng)層面的密鑰作為輸入，增加了 MLE密鑰的安全性。以上這些重復(fù)數(shù)據(jù)刪除方案皆可在一定程度上節(jié)省云存儲(chǔ)空間，部分方案也加強(qiáng)了對(duì)密鑰的安全保護(hù)，但仍有較多的隱私泄露是攻擊者利用云服務(wù)中的重復(fù)數(shù)據(jù)刪除進(jìn)行的攻擊，如蠻力攻擊、側(cè)信道攻擊、字典攻擊及偽造攻擊等。

目前，已有很多學(xué)者致力于研究客戶端重復(fù)數(shù)據(jù)刪除的隱私保護(hù)工作。Harnik等[13]通過利用隨機(jī)事件的發(fā)生概率來混淆重復(fù)數(shù)據(jù)刪除事件的發(fā)生，即在服務(wù)器設(shè)置閾值，當(dāng)單個(gè)文件副本數(shù)量達(dá)到此閾值時(shí)，執(zhí)行重復(fù)數(shù)據(jù)刪除以刪除多余的副本文件，從而達(dá)到釋放存儲(chǔ)空間以及保護(hù)隱私數(shù)據(jù)的目的，但同時(shí)這種方法無法抵抗窮舉攻擊；Lee等[14]在Harnik的方案上改進(jìn)，在閾值的基礎(chǔ)上增加2～3個(gè)隨機(jī)數(shù)，設(shè)置閾值和其進(jìn)行相減，從而增大隨機(jī)事件的發(fā)生概率，這在一定程度上防止敵手利用窮舉法進(jìn)行攻擊，增加了隱私數(shù)據(jù)的安全性，但這2種方法都是基于所有文件是相互獨(dú)立的假設(shè)下，所以無法抵抗相關(guān)文件的攻擊，并且在重復(fù)數(shù)據(jù)刪除的過程中都會(huì)由于不必要的文件上傳而導(dǎo)致巨大的網(wǎng)絡(luò)帶寬消耗。此外，Olivier等[15]提出通過一個(gè)互聯(lián)網(wǎng)服務(wù)提供商和混合云存儲(chǔ)網(wǎng)絡(luò)通信與其他業(yè)務(wù)通信，在家用路由器上運(yùn)行重復(fù)數(shù)據(jù)刪除協(xié)議。然而，該解決方案缺乏靈活性，因?yàn)樗枰诩依锿ㄟ^ISP使用路由器，限制其應(yīng)用到一個(gè)特定的服務(wù)模型。本文所提的基于差分隱私的重復(fù)數(shù)據(jù)刪除方案，可以保證云服務(wù)器中單個(gè)文件只有一個(gè)單一副本，且利用密鑰值代替文件本身進(jìn)行通信，在一定程度上節(jié)省了通信帶寬，同時(shí)在保證用戶隱私安全上較以前方案有較大提高。

3 基礎(chǔ)知識(shí)

3.1 收斂加密

在加密文件時(shí)，如果采用傳統(tǒng)的隨機(jī)加密算法，當(dāng)密鑰不同時(shí)，即使相同的文件加密后也會(huì)得到不同的密文，從而無法進(jìn)行重復(fù)性檢測(cè)，使相同文件在云端同時(shí)存儲(chǔ)多份副本，嚴(yán)重浪費(fèi)存儲(chǔ)空間。針對(duì)此問題，方案引入引言中提到的收斂加密算法[8]，主要操作如下。

解密時(shí)依舊利用k進(jìn)行解密

由于CE加密算法具有密文可校驗(yàn)的特性，因此迅速在云服務(wù)器中的重復(fù)數(shù)據(jù)刪除領(lǐng)域得到廣泛應(yīng)用，許多研究成果都將CE結(jié)合各種不同機(jī)制實(shí)現(xiàn)對(duì)密文的重復(fù)數(shù)據(jù)刪除。

3.2 差分隱私

差分隱私的概念最早在文獻(xiàn)[16,17]中提出，是針對(duì)隱私泄露問題提出的一種新的隱私數(shù)據(jù)保護(hù)方法。例如，有一個(gè)數(shù)據(jù)集D，其中包含Alice的隱私信息，針對(duì)D進(jìn)行任意的查詢操作f，輸出結(jié)果為 f(D)，如果將Alice的隱私信息從數(shù)據(jù)集D中刪除，查詢的結(jié)果依然為 f(D)，則可以認(rèn)為 Alice的隱私信息并沒有因?yàn)楸话跀?shù)據(jù)集D中而產(chǎn)生泄露風(fēng)險(xiǎn)，具體的定義如下。

定義 1 設(shè)有隨機(jī)函數(shù)K，r為函數(shù)K所有可能輸出構(gòu)成的集合，對(duì)于任意2個(gè)相鄰數(shù)據(jù)集D1和D2（至多相差一個(gè)數(shù)據(jù)），若滿足式(1)，則稱函數(shù)K提供ε差分隱私保護(hù)。

定義1表明隨機(jī)函數(shù)K通過對(duì)輸出結(jié)果的隨機(jī)化操作達(dá)到隱私保護(hù)的目的，且操作結(jié)果的概率是獨(dú)立的，目前主要的方法是對(duì)輸出結(jié)果添加噪聲，增加其不確定性從而降低數(shù)據(jù)真實(shí)性以達(dá)到保護(hù)隱私數(shù)據(jù)的目的，在此基礎(chǔ)上，Ebadi等[18]增加更加復(fù)雜的個(gè)性化隱私機(jī)制，即用戶可根據(jù)不同文件的隱私程度設(shè)置保護(hù)級(jí)別；另外，Geng等[19]設(shè)計(jì)出更加優(yōu)化的階梯機(jī)制來添加噪聲。

4 方案構(gòu)造

方案中的符號(hào)與相應(yīng)的描述如表1所示。

表1 符號(hào)含義

4.1 系統(tǒng)模型

系統(tǒng)模型如圖1所示。

1) 用戶（user）：選擇需要上傳的文件或數(shù)據(jù)發(fā)送給私有云服務(wù)器，或通過私有云服務(wù)器向公有云服務(wù)器請(qǐng)求需要下載的文件或數(shù)據(jù)。

2) 私有云服務(wù)器（private cloud server）：這是一個(gè)誠(chéng)實(shí)且可信的服務(wù)器，當(dāng)用戶將需要上傳的文件發(fā)送給私有云服務(wù)器后，私有云服務(wù)器將會(huì)計(jì)算文件密鑰值并對(duì)其進(jìn)行加密，用密鑰值判斷該文件是否已經(jīng)存在于公有云服務(wù)器，若不存在，則上傳該文件；若存在，則基于差分隱私執(zhí)行重復(fù)數(shù)據(jù)刪除。私有云服務(wù)器會(huì)存儲(chǔ)一段時(shí)間內(nèi)已上傳的文件以方便用戶下載。

3) 公有云服務(wù)器（public cloud server）：這是一個(gè)半可信的服務(wù)器，提供給用戶上傳和下載的服務(wù)功能，并在文件上傳成功之后返回給用戶文件的密鑰值。

圖1 系統(tǒng)模型

4.2 威脅模型

云服務(wù)提供商在采用重復(fù)數(shù)據(jù)刪除技術(shù)控制單個(gè)文件副本數(shù)量的同時(shí)，有很多攻擊者會(huì)利用重復(fù)數(shù)據(jù)刪除對(duì)用戶的隱私信息進(jìn)行攻擊，或針對(duì)加密算法進(jìn)行攻擊，從而獲取用戶的隱私信息，主要包括以下幾種攻擊類型。

4.2.1 側(cè)信道攻擊

側(cè)信道攻擊是攻擊者通過不斷上傳文件F獲取用戶文件中的隱私信息，主要有2種攻擊方式。

1) 文件識(shí)別[13]：攻擊者上傳特定的文件到服務(wù)器，根據(jù)重復(fù)數(shù)據(jù)刪除是否發(fā)生來判斷服務(wù)器是否擁有該文件。例如，Alice想確定Bob是否有一個(gè)敏感文件，該文件不太可能被其他用戶擁有，此時(shí)她只需要備份一份完全相同的敏感文件并上傳，然后驗(yàn)證服務(wù)器是否執(zhí)行重復(fù)數(shù)據(jù)刪除即可。

2) 學(xué)習(xí)文件內(nèi)容：識(shí)別一個(gè)特定文件是否在服務(wù)器后，攻擊者可能為了確定文件的內(nèi)容而進(jìn)行窮舉攻擊。例如，Alice已經(jīng)確定只含有 Bob身份證號(hào)碼的文件存儲(chǔ)于服務(wù)器，她已知前5位，那么為了確定完整的身份證號(hào)碼，她便可以采取窮舉的辦法，創(chuàng)建所有只包含Bob可能身份證號(hào)碼的副本文件，根據(jù)重復(fù)數(shù)據(jù)刪除可以確定包含Bob身份證號(hào)碼的文件是哪一個(gè)副本文件。

4.2.2 相關(guān)文件攻擊

相關(guān)文件攻擊利用文件之間的相關(guān)性，不僅通過上傳F，還通過上傳與F相關(guān)的其他文件，敵手有很大概率可以推斷出F是否存在，因此在重復(fù)數(shù)據(jù)刪除的過程中，防止相關(guān)文件的攻擊尤為重要。

4.2.3 針對(duì)加密算法攻擊

傳統(tǒng)的利用文件加密進(jìn)行重復(fù)數(shù)據(jù)刪除多采用在基礎(chǔ)知識(shí)中提到的收斂加密算法，計(jì)算文件的散列值，相同文件會(huì)得到相同的散列值，通過判斷散列值是否相同控制文件的副本數(shù)量，但在信道傳輸?shù)倪^程中，攻擊者易獲取到散列值，若其已知計(jì)算散列值的散列函數(shù)和原始文件的范圍，便可在有限的計(jì)算開銷內(nèi)，計(jì)算范圍內(nèi)每一個(gè)文件的散列值，并與截取到的散列值進(jìn)行對(duì)比，若相同，則判斷此文件為原始文件。

4.3 協(xié)議描述

根據(jù)系統(tǒng)模型圖設(shè)計(jì)方案交互的總體框架，如圖2所示。本文所設(shè)計(jì)方案的具體執(zhí)行步驟分為文件上傳和文件下載這2個(gè)階段，文件上傳主要利用收斂加密和差分隱私保護(hù)文件中的隱私信息，而文件下載則利用私有云服務(wù)器中一定時(shí)間內(nèi)的文件緩存減少與公有云服務(wù)器之間的通信帶寬消耗。

4.3.1 文件上傳

根據(jù)系統(tǒng)模型，利用算法1設(shè)計(jì)上傳步驟如下。

1) 用戶選擇文件F上傳到私有云服務(wù)器。

2) 私有云服務(wù)器依據(jù)文件內(nèi)容的等級(jí)選擇相應(yīng)的ε。

3) 利用散列函數(shù) Hash1計(jì)算文件F的散列值k，并對(duì)文件F進(jìn)行加密得到C′。

4) 利用散列函數(shù)Hash2計(jì)算Key，并對(duì)加密文件C′進(jìn)行二次加密得到文件C。

5) 私有云服務(wù)器利用Key值查找散列列表Hpr，判斷公有云服務(wù)器是否已存在文件F。

6) 根據(jù)差分隱私的定義，若存在，利用算法2隨機(jī)生成一個(gè)[0,1]之間的數(shù)字r，根據(jù)加密文件C的大小，每次創(chuàng)建大小為r的虛擬數(shù)據(jù)放入隊(duì)列T傳給公有云服務(wù)器，執(zhí)行次。

圖2 副本數(shù)量控制步驟

7) 若不存在，同樣利用隨機(jī)函數(shù)生成一個(gè)[0,1]之間的數(shù)字 r，將加密文件C分次上傳給公有云服務(wù)器。

算法1 文件上傳

算法2 隨機(jī)數(shù)生成算法

4.3.2 文件下載

根據(jù)系統(tǒng)模型中對(duì)私有云服務(wù)器的設(shè)計(jì)，其可存儲(chǔ)一定時(shí)間內(nèi)已上傳的文件，在這段時(shí)間內(nèi)，用戶若需要相同文件可以直接從私有云服務(wù)器下載，否則再通過私有云服務(wù)器向公有云服務(wù)器請(qǐng)求，具體步驟如下。

1) 用戶向私有云服務(wù)器請(qǐng)求下載文件F。

2) 私有云服務(wù)器判斷用戶ID是否為上傳過文件的用戶，若不是，拒絕查詢文件F；若是，執(zhí)行下一步。

3) 在緩存區(qū)查詢是否存在該文件。

4) 若存在，則將該文件返回給用戶。

5) 若不存在，則利用Key值向公有云服務(wù)器請(qǐng)求。

6) 公有云服務(wù)器查找并返回文件C給私有云。

7) 私有云服務(wù)器利用Key值對(duì)加密文件C進(jìn)行解密得到 C'，再利用k值對(duì) C'進(jìn)行解密得到文件F繼而返回給用戶。

5 方案分析

5.1 安全性分析

5.1.1 單一文件隱私

1) 在本文方案的安全假設(shè)中，數(shù)據(jù)擁有者、私有云服務(wù)器以及兩者之間的通信信道是可信且安全的，不會(huì)泄露相關(guān)的密鑰數(shù)據(jù)或傳播已解析出的原始明文，而公有云服務(wù)器為半可信的服務(wù)器，攻擊者可能通過非正常手段進(jìn)行攻擊獲取到文件從而得到原始明文，因此本文方案的安全性可以規(guī)約為算法安全性。根據(jù)差分隱私的定義，本文衍生出以下推論：設(shè)S1和S2表示服務(wù)器是否包含文件F，若有隨機(jī)函數(shù)滿足式(2)，則稱隨機(jī)函數(shù)QS(F)對(duì)文件F進(jìn)行了ε差分隱私保護(hù)。

由此可知，本文在算法2中所定義的r即為QS(F)函數(shù)所得，而本文的隨機(jī)函數(shù)QS(F)采用泊松分布，通過定義及如下推導(dǎo)表明本文方案滿足差分隱私的定義。

因此，2個(gè)相差一個(gè)文件的存儲(chǔ)設(shè)備，會(huì)有近似同樣大小的網(wǎng)絡(luò)傳輸量，此屬性保證單一文件的存在或不存在將不會(huì)顯著影響本文所提方案的輸出。因此，它可以防止對(duì)手使用重復(fù)數(shù)據(jù)刪除作為側(cè)信道來判斷某個(gè)文件存在與否。

2) 文件的Key值會(huì)作為文件F的標(biāo)識(shí)符，發(fā)送給服務(wù)器用來判斷是否需要執(zhí)行重復(fù)數(shù)據(jù)刪除，若需要，則基于差分隱私隨機(jī)生成虛擬數(shù)據(jù)分隊(duì)列上傳，否則加密后的文件C分批次上傳給公有云服務(wù)器。因?yàn)橹貜?fù)數(shù)據(jù)刪除是否發(fā)生都執(zhí)行了數(shù)據(jù)上傳操作，所以在此過程中攻擊者無法判斷是否執(zhí)行了重復(fù)數(shù)據(jù)刪除，從而無法判斷服務(wù)器中是否包含文件F，因此無法進(jìn)行文件內(nèi)容的識(shí)別。

5.1.2 加密算法的特性

本文方案在k值的基礎(chǔ)上引入和原始文件安全等級(jí)有關(guān)的參數(shù) ε10，在對(duì)計(jì)算開銷影響較小的前提下，計(jì)算一個(gè)新的Key值，再利用Key值對(duì)C′進(jìn)行加密得到C，這樣，在傳輸?shù)倪^程中即使攻擊者獲取了Key值和計(jì)算Key值的散列函數(shù)，也無法得知k，從而無法得到加密文件C′，繼而無法判斷哪個(gè)文件是原始文件F。

5.1.3 相關(guān)文件隱私

根據(jù)攻擊者會(huì)利用文件之間的相關(guān)性進(jìn)行攻擊，首先定義服務(wù)器的 3種存儲(chǔ)狀態(tài)：S1，并且根據(jù)差分隱私的定義，很明顯因此概率的比值為

式(3)表明QS(F)在S1和S3之間的統(tǒng)計(jì)差異總是等同于S1和S2。因此，攻擊者在區(qū)分S1和S3這2種存儲(chǔ)狀態(tài)時(shí)并沒有比區(qū)分S1和S2這2種存儲(chǔ)狀態(tài)容易，因此本文方案可以抵抗相關(guān)文件的攻擊。

5.2 性能分析

5.2.1 理論分析

在重復(fù)數(shù)據(jù)安全刪除的過程中，不僅要關(guān)注隱私保護(hù)程度的高低，更要考慮安全重復(fù)數(shù)據(jù)刪除的效率、帶寬消耗等問題。因?yàn)?Harnik[13]及Lee[14]等的方案都是利用在服務(wù)器設(shè)置閾值的方法來防止邊信道攻擊，與本文方案有可比性，所以表2給出了幾個(gè)方案的性能對(duì)比分析，其中，y表示上傳文件的次數(shù)，f表示文件F的長(zhǎng)度。

表2 不同方案的性能評(píng)估

1) 隱私保護(hù)程度。Harnik與Lee等的方案隱私保護(hù)程度不如本文方案高，原因在于他們的方案無法抵抗側(cè)信道攻擊，即在攻擊者連續(xù)不斷嘗試上傳文件F時(shí)，其數(shù)量達(dá)到方案為服務(wù)器所設(shè)定的閾值后便會(huì)重復(fù)數(shù)據(jù)刪除，這樣會(huì)導(dǎo)致攻擊者判斷出文件F的存在與否或識(shí)別文件內(nèi)容。

2) 通信帶寬消耗。已有方案皆是用戶和服務(wù)器直接通信，在服務(wù)器設(shè)置文件F可上傳的最大數(shù)量y，則上傳一個(gè)文件F，要使重復(fù)數(shù)據(jù)刪除得以執(zhí)行，至少需要通信 y+1次，導(dǎo)致帶寬消耗大。在本文方案中，當(dāng)用戶選擇上傳文件F到私有云服務(wù)器后，私有云服務(wù)器會(huì)根據(jù)文件F的密鑰值在列表進(jìn)行查找是否公有云服務(wù)器中已存在文件F，用戶和私有云服務(wù)器都無需直接與公有云服務(wù)器通信，減少一定的通信開銷。

3) 服務(wù)器內(nèi)存消耗。設(shè)定閾值的方法會(huì)導(dǎo)致服務(wù)器內(nèi)存消耗因?yàn)殚撝档脑龃蠖龃螅诒疚乃O(shè)計(jì)的方案中，若服務(wù)器接收到一組虛擬數(shù)據(jù)，會(huì)自行刪除，因此服務(wù)器只需要存儲(chǔ)文件F的單一副本即可，所以服務(wù)器內(nèi)存消耗極少，減輕了服務(wù)器的負(fù)擔(dān)。

5.2.2 實(shí)驗(yàn)評(píng)估

為了具體分析方案的時(shí)間效率，對(duì)方案的運(yùn)行時(shí)間進(jìn)行監(jiān)測(cè)。實(shí)驗(yàn)采用 2臺(tái)處理器為 Intel Core i5-4590 CPU，3.30 GHz，64 bit，8 GB RAM的計(jì)算機(jī)分別擔(dān)任私有云服務(wù)器和公有云服務(wù)器，兩者之間通過百兆帶寬相連，操作系統(tǒng)均為Microsoft Windows 7，算法采用AES-256進(jìn)行文件加密及解密，散列函數(shù) Hash1采用 SHA-1、 Hash2采用SHA-256分別進(jìn)行散列運(yùn)算，數(shù)據(jù)主要來自本機(jī)的文本文件及視頻音頻等，且以上算法均由Java語言實(shí)現(xiàn)。

1) 方案不同階段時(shí)間開銷

根據(jù)方案設(shè)計(jì)，無論重復(fù)數(shù)據(jù)刪除事件是否發(fā)生，都會(huì)有相同文件大小的數(shù)據(jù)上傳到公有云服務(wù)器，所以在上傳文件時(shí)，重復(fù)數(shù)據(jù)刪除對(duì)時(shí)間消耗并未有太大影響。

從圖3可以看出，在方案中，將文件傳輸給公有云服務(wù)器所需要的時(shí)間最大，除去文件上傳下載中傳輸?shù)臅r(shí)間消耗，主要開銷在文件密鑰值的計(jì)算以及加密解密上。

圖3 不同階段的時(shí)間消耗

2) 不同階段時(shí)間消耗分析

對(duì)每個(gè)階段進(jìn)行細(xì)化分析，圖4是2次散列值的運(yùn)算時(shí)間對(duì)比分析，從圖4中可以看出，計(jì)算Key值所用時(shí)間小于1 ms，相比獲得的實(shí)用性和安全性而言，該時(shí)間消耗可忽略不計(jì)。

圖4 2次散列運(yùn)算時(shí)間消耗

圖5和圖6分別是方案中2次加密及2次解密的時(shí)間消耗對(duì)比分析，可以很明顯看出，文件越大，第一次加密所用的時(shí)間會(huì)大于第二次，且第一次解密所用的時(shí)間在通常情況下也會(huì)大于第二次。

圖5 2次加密時(shí)間消耗

圖6 2次解密時(shí)間消耗

3) 不同ε值對(duì)方案的影響

圖7表示同一個(gè)文件下，當(dāng)ε取值分別為0.1、0.5、0.9時(shí)，散列運(yùn)算、加密及解密的時(shí)間消耗前后不會(huì)有太大改變，說明不同ε值對(duì)計(jì)算消耗沒有影響。

圖7 不同ε值下不同階段的時(shí)間消耗對(duì)比

圖8表示ε的取值對(duì)文件上傳時(shí)間的影響。針對(duì)同一個(gè)文件，要使文件安全等級(jí)增大，根據(jù)差分隱私的定義，ε的取值需越小。在本文方案中，為了控制方案在重復(fù)數(shù)據(jù)刪除過程中的文件安全，筆者控制ε取值在[0,1]，根據(jù)泊松分布的特點(diǎn)，ε取值越小，生成的結(jié)果值也就越大，從而每次上傳隊(duì)列中需要負(fù)荷的數(shù)據(jù)也就越多，根據(jù)圖8顯示，文件上傳所需時(shí)間也就越長(zhǎng)。

圖8 不同ε取值下文件大小與上傳時(shí)間的關(guān)系

綜上所述，本文提出的方案在時(shí)間效率上仍有很大的改進(jìn)空間。

6 結(jié)束語

本文針對(duì)云服務(wù)中重復(fù)數(shù)據(jù)刪除下的用戶隱私泄露問題，構(gòu)建混合云架構(gòu)，引入差分隱私，針對(duì)不同文件的安全等級(jí)對(duì)原始文件進(jìn)行加密，并在用戶上傳中保證每個(gè)文件在云服務(wù)器中只存在一個(gè)副本。通過實(shí)驗(yàn)和安全性分析表明，該方案安全性較高，保護(hù)單一文件的隱私，抵抗側(cè)信道攻擊、相關(guān)文件的攻擊以及針對(duì)加密算法的特定攻擊。另外，相比已有方案，本文方案所占用服務(wù)器內(nèi)存較少，且通信次數(shù)大大減少，節(jié)約了帶寬及存儲(chǔ)空間。接下來，將針對(duì)文件加密算法及隱私保護(hù)參數(shù)的設(shè)置做進(jìn)一步研究。

[1] MEHMOOD A, NATGUNANATHAN I, XIANG Y, et al. Protection of big data privacy[J]. IEEE Access, 2016, 4:1821-1834.

[2] 馮登國(guó), 張敏, 李昊. 大數(shù)據(jù)安全與隱私保護(hù)[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1):246-258.

FENG D G, ZHANG M, LI H. Big data security and privacy protection[J]. Chinese Journal of Computers, 2014, 37(1): 246-258.

[3] MAI J E. Big data privacy: the datafication of personal informa-tion[J]. Information Society, 2016, 32(3):192-199.

[4] 熊金波, 張媛媛, 李鳳華, 等. 云環(huán)境中數(shù)據(jù)安全去重研究進(jìn)展[J]. 通信學(xué)報(bào), 2016, 37(11): 169-180.

XIONG J B, ZHANG Y Y, LI F H, et al. Research progress on secure data deduplication in cloud[J]. Journal on Communications, 2016, 37(11): 169-180.

[5] PAULO J, PEREIRA J. A survey and classification of storage deduplication systems[J]. ACM Computing Surveys (CSUR), 2014, 47(1): 11.

[6] RUSSELL D. Data deduplication will be even bigger in 2010[J]. Gartner, 2010.

[7] SORIA-COMAS J, DOMINGO-FERRER J. Big data privacy: challenges to privacy principles and models[J]. Data Science and Engineering, 2016, 1(1): 21-28.

[8] DOUCEUR J R, ADYA A, BOLOSKY W J, et al. Reclaiming space from duplicate files in a serverless distributed file system[C]//The International Conference on Distributed Computing Systems. 2002: 617-624.

[9] LI M, QIN C, LEE P P C. CDStore: toward reliable, secure, and costefficient cloud storage via convergent dispersal[C]//2015 USENIX Annual Technical Conference (USENIX ATC 15). 2015: 111-124.

[10] STANEK J, SORNIOTTI A, ANDROULAKI E, et al. A secure data deduplication scheme for cloud storage[C]//Financial Cryptography and Data Security. 2014: 99-118.

[11] BELLARE M, KEELVEEDHI S, RISTENPART T. Message-locked encryption and secure deduplication[C]//Advances in Cryptology–EUROCRYPT. 2013: 296-312.

[12] KEELVEEDHI S, BELLARE M, RISTENPART T. DupLESS: server-aided encryption for deduplicated storage[C]//The 22nd USENIX Security Symposium. 2013: 179-194.

[13] HARNIK D, PINKAS B, SHULMAN-PELEG A. Side channels in cloud services: deduplication in cloud storage[J]. IEEE Security & Privacy, 2010, 8(6):40-47.

[14] LEE S, CHOI D. Privacy-preserving cross-user sourcebased data deduplication in cloud storage[C]//The International Conference on ICT Convergence. 2012: 329-330.

[15] OLIVIER, NEUMANN C, MONTALVO L, et al. Improving the resistance to side-channel attacks on cloud storage services[C]// The International Conference on New Technologies, Mobility and Security (NTMS’12). 2012: 1-5.

[16] DWORK C. Differential privacy[J]. Lecture Notes in Computer Science, 2006, (2):1-12.

[17] 熊平, 朱天清, 王曉峰. 差分隱私保護(hù)及其應(yīng)用[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1):101-122.

XIONG P, ZHU T Q, WANG X F. A survey on differential privacy and applications[J]. Chinese Journal of Computers, 2014, 37(1): 101-122.

[18] EBADI H, SANDS D, SCHNEIDER G. Differential privacy: now it's getting personal[J]. ACM Special Interest Group on Programming Languages, 2015, 50(1): 69-81.

[19] GENG Q, KAIROUZ P, OH S, et al. The staircase mechanism in differential privacy[J]. IEEE Journal of Selected Topics in Signal Processing, 2015, 9(7):1.

Security control scheme for cloud data copy based on differential privacy model

REN Jun1,2, XIONG Jin-bo1,2, YAO Zhi-qiang1,2

(1. Faculty of Software, Fujian Normal University, Fuzhou 350108, China; 2. Fujian Engineering Research Center of Public Service Big Data Mining and Application, Fuzhou 350108, China)

In cloud computing environment, adversary may use data deduplication as a side channel to eavesdrop users’ privacy. In order to tackle this serious issue, a secure copy number control scheme was proposed. The highlights of the proposed scheme lie in constructing a hybrid cloud framework. Then file was encrypted for second times by using the privacy protection parameters of differential privacy as well as the key of the file computed by convergent encryption algorithm. After the file is uploaded, each file has only one copy in the server. Meanwhile, compared with the scheme that use setting threshold value to control the number of copies, the proposed scheme can resist against the side channel attack, related files attack, and the specific attack of encryption algorithm and save the network bandwidth and disk storage space.

data deduplication, differential privacy, convergent encryption, hybrid cloud, side channel attack

The National Natural Science Foundation of China (No.61370078, No.61402109)

TP393

A

10.11959/j.issn.2096-109x.2017.00163

任君（1993-），女，山西臨汾人，福建師范大學(xué)碩士生，主要研究方向?yàn)樵朴?jì)算與安全服務(wù)。

熊金波（1981-），男，湖南益陽人，福建師范大學(xué)副教授、碩士生導(dǎo)師，主要研究方向?yàn)樵茢?shù)據(jù)安全與隱私保護(hù)技術(shù)。

姚志強(qiáng)（1967-），男，福建莆田人，博士，福建師范大學(xué)教授、碩士生導(dǎo)師，主要研究方向?yàn)樾畔踩?/p>

2017-01-06；

2017-02-17。通信作者：姚志強(qiáng)，yzq@fjnu.edu.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61370078, No.61402109）