基于差分隱私的艦船云數據副本安全共享方法

郭飛軍

(浙江國際海運職業技術學院，浙江 舟山 316021)

0 引 言

航運信息化對于改善航運管理和保障航運安全具有重要意義。艦船信息數量巨大且重要，需要解決其安全存儲問題。例如，在船聯網中，船舶上物品監控數據量巨大，達到TB級別[1]。云存儲基于其高可擴展性可以滿足航運信息的數據存儲需求。船舶分屬不同單位進行管理，因此，各個單位可以部署私有云實現其內部信息的存儲。為防止單位私有云故障導致的數據丟失，可以將私有云上的數據備份到公有云上。各單位的私有云和公有云形成了混合云。

然而，混合云中備份的數據存在大量冗余。研究表明，在備份與歸檔系統中存儲的文件，80%～90%的數據是冗余的；在基于虛擬機的主存儲系統中存放的文件，有80%的數據是冗余的[2]。因此用于檢測數據副本重復性并將重復副本刪除、僅保留一份數據副本的技術，即重復數據刪除技術對于節約數據中心存儲空間，提升云服務效率與服務質量具有十分重要的意義。研究發現，重復數據刪除技術可以節約備份系統83%的存儲空間，為云存儲節約80%的存儲空間[3]。

在混合云中，攻擊者可以利用云服務器對用戶文件的重復數據刪除實現對用戶隱私的攻擊[4]。大量的用戶隱私信息可以用于決策分析[5]，因此，如何在云環境下實現用戶文件重復數據刪除的同時確保用戶文件的機密性，是云安全亟待解決的一個重要問題。

本文針對艦船混合云環境下重復數據刪除帶來的用戶數據安全問題，提出了一種基于差分隱私和輕量級加密的艦船云數據多副本安全共享方法，保障對云存儲中的重復數據刪除行為不會被攻擊者作為隱通道加以利用。通過將差分隱私技術和輕量級加密技術相結合，可以以較小的計算資源為代價實現高強度的信道安全防護。這種方法同時能夠確保對于同一份用戶數據，云服務器上僅有一個數據副本。

1 概述

Dwork在2006年針對數據庫的隱私泄露問題提出了差分隱私機制[6]，通過添加噪聲實現隱私信息的保護。噪聲的添加可以有多種方式，拉普拉斯機制[7]通過向數據中添加滿足拉普拉斯分布的噪聲來實現差分隱私保護；文獻[8]提出了指數機制，通過設計打分函數實現結果的選擇性輸出。現有基于差分隱私的數據發布技術中，大多數方法針對的是靜態數據，即數據不會隨著時間的推移而發生變化。對于靜態數據的發布技術，可以分成基于差分隱私的直方圖發布方法和基于差分隱私的劃分發布方法[9]。Boost1[10]，NoiseFirst[11]等方法是通過添加拉普拉斯噪聲的方式進行直方圖的發布，DiffPart[12]，UG[13]等方法是通過添加拉普拉斯噪聲的方式進行劃分發布。

收斂加密算法[14]是可以很好地解決密文重復數據刪除問題的數據加密算法，收斂加密算法的關鍵點在于數據的加密密鑰由原數據通過哈希運算得到，因此，相同文件的密鑰相同。Bellare[15]，DupLESS[16]等方法均基于收斂加密算法實現重復數據刪除。

目前，有很多研究者對重復數據刪除的安全防護問題開展研究。Harnik[17]，Lee[18]等方法對文件副本數量閾值進行設置，當文件副本超過設定的閾值時進行重復數據刪除從而實現隱私保護的目標。文獻[4]實現了一種解決混合云存儲模式下重復數據刪除安全問題的方法，通過向公有云服務器傳遞滿足差分隱私性質的虛擬數據，抵抗在私有云服務器和公有云服務器之間數據傳輸鏈路上搭線竊聽的側信道攻擊。而“傳遞虛擬數據和傳遞真實數據”與“傳遞數據和不傳遞數據”相比，攻擊者的難點僅僅是需要識別虛擬數據。另外，文獻[4]中提到公有云服務器收到虛擬數據時會直接刪除，不會有后續操作，也為攻擊者提供了相應的判斷依據。

2 艦船混合云應用場景

2.1 場景描述

如圖1所示，艦船混合云應用場景涉及的行為主體包括用戶、私有云服務器和公有云服務器。其中用戶和私有云服務器之間的傳輸鏈路是可信鏈路，私有云服務器和公有云服務器之間的傳輸鏈路是不可信鏈路。

1）用戶：用戶使用云服務器提供的存儲服務，包括2種服務：一種服務是將需要上傳的文件發送給私有云服務器，另一種服務是向私有云服務器請求下載所需要的文件。

2）私有云服務器：在艦船混合云應用場景中，可以認為私有云服務器是可信服務器，但私有云服務器的存儲空間較小。當用戶將需要上傳的文件發送給私有云服務器后，私有云服務器判斷公有云服務器上是否存在該文件，如果公有云服務器上不存在該文件，則向公有云服務器上傳該文件；如果公有云服務器上存在該文件，則在私有云服務器上執行重復數據刪除操作。私有云服務器會存儲用戶一段時間內已上傳的文件。在這段時間內，如果用戶要下載這些文件，則可以直接從私有云服務器上獲取。

3）公有云服務器：在艦船混合云應用場景中，由于公有云服務器通常與私有云服務器不屬于同一機構，私有云服務器和公有云服務器之間的通信一般不基于有安全防護的信道，則可以認為公有云服務器是一個半可信的服務器。可以認為攻擊者能夠對私有云服務器和公有云服務器之間通信信道進行攻擊，也可以獲取公有云服務器的工作狀態（包括計算資源占用情況、網卡通信情況、內存資源占用情況），公有云服務器提供私有云服務器上傳用戶文件、下載用戶文件的服務。

2.2 威脅模型

通過上述論述，采用重復數據刪除技術雖然可以控制文件副本數量，但也帶來了一定的安全隱患。針對這些安全隱患進行攻擊，可以獲取用戶的隱私信息，其中主要的攻擊方式是側信道攻擊。

側信道攻擊通常的方式是給應用場景一個輸入，通過應用場景行為主體的變化獲取一定的信息。對于2.1節所描述的艦船混合云應用場景，攻擊者進行側信道攻擊的方式可以是向私有云服務器上傳文件。通過這種方式，可以實現文件識別和獲取文件內容等的攻擊。

文件識別[4]：攻擊者通過上傳特定的文件到私有云服務器，根據私有云服務器的行為獲取用戶隱私信息。例如，用戶A（攻擊者）如果想確定用戶B（被攻擊者）是否有文件F（假設前提是其他的用戶沒有文件F），用戶A只要在向私有云服務器上傳文件F的同時監聽私有云服務器和公有云服務器之間的通信信道即可。如果監聽到私有云服務器向公有云服務器上傳了該文件，則說明用戶B沒有文件F；反之說明用戶B有文件F。

獲取文件內容[4]：當攻擊者具有某一特定文件在公有云服務器上這一先驗知識時，可以結合使用窮舉攻擊和側信道攻擊獲取文件內容。例如，用戶A（攻擊者）已經獲知用戶B（被攻擊者）將存儲某船舶標識信息的文件存放于公有云服務器上，并知道船舶標識的部分信息，通過窮舉攻擊上傳包含可能船舶標識信息的副本文件，同時監聽私有云服務器和公有云服務器之間的通信信道，根據通信信道上的數據信息，可以獲知該船舶的標識信息。

3 方案構造

對于艦船混合云應用場景，用戶與混合云進行交互的協議包括文件上傳協議和文件下載協議。文件上傳協議基于差分隱私和輕量級數據加密實現用戶隱私信息的保護，同時盡可能少的占用計算資源。文件下載則利用文件在一段時間內緩存在私有云服務器中這一特征，減少與公有云服務器之間的通信。協議描述所用到的符號見表1。

3.1 文件上傳

3.1.1 文件上傳協議

基于2.1節所描述的艦船混合云應用場景，文件上傳協議步驟如下：

1）用戶在本地選擇文件F，并將其上傳給私有云服務器；

2）私有云服務器根據文件內容的所需保護的程度選擇相應的ε；

3）以文件F為輸入，基于散列函數Hash1計算得到散列值k，使用k作為密鑰將文件F進行加密，得到密文C1，可以用表達式簡記為k=Hash1(F)，C1=Cipherpriv(F)；

4）以文件F和散列值k作為輸入，基于散列函數Hash2計算得到散列值key，私有云服務器在散列列表Hpr中查找key值，從而確定文件F是否存在于公有云服務器，計算key的表達式可以簡計為key=Hash2(F||k)；

5）如果F存在于公有云服務器，則對私有云服務器和公有云服務器共享的文件Fshare截取或重復為等長文件，并添加Δf為key首字節，ε為私有云服務器依據文件內容等級選擇的相應值的拉普拉斯噪聲。根據3.1.2節描述的方法構造合格的文件Fnoise，并以key作為密鑰使用輕量級加密算法Cipherlight進行加密后得到的Cnoise傳遞給公有云；

表1 符號含義Tab. 1 Notation

6）如果公有云服務器上不存在文件F，則使用key作為密鑰使用輕量級加密算法Cipherlight對C1進行解密得到D，根據3.1.2節描述的方法判斷D是否符合私有云服務器和公有云服務器共享的文件添加噪聲的結果，如果不符合，則將C1傳遞給公有云服務器。如果符合（這種情況發生的概率非常低），使用k作為密鑰對C1進行加密得到C2，重復上述操作，直到得到的結果不符合私有云服務器和公有云服務器共享的文件添加噪聲的結果為止，并記錄加密次數；

7）公有云服務器收到私有云服務器發送的文件后，采用Cipherlight進行解密，并根據3.1.2節的方法對文件進行判斷，如果符合私有云服務器和公有云服務器共享的文件添加噪聲的結果，則認為公有云服務器中存在該文件，將該無用信息刪除；如果符合，則認為公有云服務器不存在該文件，則將key值和文件保存。

3.1.2 基于差分隱私的共享文件構建方法

本小節描述的私有云服務器和公有云服務器共享的文件為一個數據庫表，數據庫表的內容如表2所示。在文件從私有云服務器傳遞給公有云服務器之前向該數據庫表的每一行添加拉普拉斯噪聲。

私有云服務器認為構造文件合格的標準和公有云服務器判斷該文件是否滿足差分隱私性質的方式包括如下2條：

1）使用私有云服務器發到公有云服務器的文件與公有云服務器的文件相減，對得到的結果進行統計，判斷是否滿足拉普拉斯分布。

表2 私有云服務器和公有云服務器共享文件內容Tab. 2 Content of the Shared File between private cloud and public cloud

2）假設公有云服務器的數據庫表文件有N行則對該文件前N行進行統計，得到結果值R，再對前N-1行進行統計，得到結果R′，如果R和R′相等，則分別對該文件的前N-1行和前N-2行進行統計，直到得到的R和R′不相同為止，記錄此時統計的行號，假設為第M-1行和第M行，則對私有云服務器發來的文件的第M-1行和第M行進行統計，判斷得到的結果是否滿足差分隱私性質，即攻擊者無法根據統計結果對第M行的值進行推斷。

另外，如果用戶上傳的文件過小（假設僅為1個字節）、私有云服務器無法構造滿足條件的共享隨機文件時，則直接將文件存放在私有云服務器上。

3.2 文件下載

根據艦船混合云應用場景對私有云服務器的設計，其可存儲在一定時間內用戶上傳的文件。因此，在特定的時間范圍內，用戶如果需要這些文件可以從私有云服務器上直接下載。對于超出特定時間范圍的文件，用戶可以通過私有云服務器向公有云服務器發出請求。文件下載的具體步驟如下：

1）用戶向私有云服務器發出下載文件F的請求；

2）私有云服務器對用戶合法性進行判斷，如果發出請求的用戶是非法用戶，則拒絕該用戶的文件查詢請求，如果發出請求的用戶是合法用戶，則執行下一步；

3）私有云服務器查詢本地是否存在文件F；

4）如果私有云服務器上存在文件F，則直接將文件F傳遞給用戶；

5）如果私有云服務器上不存在文件F，則私有云服務器基于key向公有云服務器發出文件下載請求；

6）公有云服務器從本地查詢文件F的密文，并將文件F的密文返回給私有云服務器；

7）私有云服務器使用文件F在上傳時計算得到的k值作為密鑰，對公有云服務器返回的文件F的密文根據記錄的加密次數進行解密，并將解密得到的文件F傳遞給用戶。

4 方案分析

4.1 安全性分析

安全性分析分為文件安全性保護、文件特征值安全性保護和抵抗側信道攻擊分析3個方面。

4.1.1 文件安全性保護

在本文方案的安全假設中，用戶、私有云服務器以及兩者之間的通信信道是可信且安全的，不會泄露已解密的明文。而公有云服務器為半可信的服務器，攻擊者通過攻擊可能獲得密文文件，得到原始明文的方式是對密文文件進行破譯，因此本文方案的安全性可以規約為算法安全性。

4.1.2 文件特征值安全性保護

文件特征值key基于文件F、密鑰k和散列函數hash2計算。其中k值由散列函數hash1計算獲得。攻擊者想要基于key值獲得文件F必須同時知道算法hash1和算法hash2，并通過窮舉攻擊同時計算文件F和k。另外，算法hash1和算法hash2只在私有云服務器上使用。

相比文獻[4]的方法，如果攻擊者想要加密文件的密鑰k，在獲得算法hash2的情況下加密文件的密鑰安全性規約為ε10,窮舉攻擊的難度相對較低。并且，在獲得密鑰k后，如果攻擊者獲得了算法hash1就可以通過窮舉攻擊獲得文件F。

4.1.3 抵抗側信道攻擊分析

本文方案與文獻[4]在抵抗側信道攻擊方面要優于Harnik[17]和Lee[18]方案，對于這2種方案來說，如果攻擊者多次上傳文件F，當上傳文件F的數量達到Harnik[17]和Lee[18]方案為設定的閾值后服務器將會執行重復數據刪除操作，攻擊者通過服務器的重復數據刪除行為可以判斷出文件F是否存在于服務器上，同時可以獲知文件的內容。

本文方案與文獻[4]相比的優勢在于：1）由于私有云服務器和公有云服務器之間的信道是不可信信道，攻擊者可以進行搭線竊聽，因此，攻擊者可以根據信道上傳遞的是文件數據還是無效數據判定文件F是否存在于公有云服務器。而對于本文方案來說，每次傳遞的“無效數據”均基于不同的拉普拉斯噪聲進行了隨機擾動，因此“無效數據”均不相同，并使用加密算法進行了加密，因此攻擊者無法根據無效數據判定文件F是否存在于公有云服務器。2）對于本文方案來說，公有云服務器不保存私有云服務器傳遞的無效數據，而對于文獻[4]描述的方法，如果公有云服務器能夠根據網卡通信情況判斷私有云服務器傳遞數據的有效性，由于公有云服務器是半可信服務器，則攻擊者可以利用公有云服務器的判定結果；如果公有云服務器不能判斷私有云服務器傳遞數據的有效性，則需要保存私有云服務器傳遞的無效數據，這些無效數據會占用公有云服務器大量的存儲空間。

4.2 開銷分析

4.2.1 計算開銷

對于本文的方法，當私有云服務器上存在文件F時，首先在文件從私有云服務器傳遞給公有云服務器之前向該數據庫表的每一行添加拉普拉斯噪聲，這一操作的時間復雜度是O(n)，然后采用輕量級加密算法對Fnoise進行加密，這一操作的時間復雜度與具體的算法設計相關。由于選擇的是輕量級算法，因此時間復雜度不高。公有云服務器在收到文件后先使用輕量級算法進行解密，然后判斷文件是否有效，判斷文件是否有效的時間復雜度也為O(n)。

4.2.2 通信開銷

本文方法與文獻[4]在通信開銷方面要優于Harnik[17]和Lee[18]的方法，當服務器設置文件F最大可以上傳的數量為n。在服務器執行重復數據刪除操作之前上傳一個文件F需要通信y次。而對于本文方案與文獻[4]所提出的方案，私有云服務器會根據文件的特征值在特征值列表中查詢，判斷公有云服務器中是否已存在文件F，因此，用戶和私有云服務器都不與公有云服務器通信，減小了通信的開銷。

本文方法在通信開銷方面要優于文獻[4]所提出方法。本文方法不對私有云服務器和公有云服務器之間的文件傳遞方法進行限制，而文獻[4]所提出的方法要求將文件按照泊松分布進行切分，增大了通信開銷，同時也會增大計算開銷。

5 結 語

重復數據刪除技術可以被攻擊者利用以獲取用戶的隱私信息。本文針對艦船混合云環境下重復數據刪除帶來的安全隱患，提出一種基于差分隱私和輕量級加密的混合云數據多副本安全共享方法。該方法能夠以較少的計算資源為代價抵抗重復數據刪除可能導致的側信道攻擊，同時用戶文件的關鍵信息均存放在可信的私有云服務器上。下一步，將針對艦船信息化其它應用場景下的隱私安全問題進行研究。

參考文獻：

[ 1 ]李加彥, 韓敏. 基于云計算的船聯網大規模數據存儲研究[J].艦船科學技術, 2016, 38(1): 121–123.

[ 2 ]付印金, 肖儂, 劉芳. 重復數據刪除關鍵技術研究進展[J]. 計算機研究與發展, 2012, 49(1): 12–20.

[ 3 ]PAULO J, PEREIRA J. A survey and classification of storage deduplication systems[J]. ACM Computing Surveys(CSUR),2014, 47(1): 11.

[ 4 ]任君, 熊金波, 姚志強. 基于差分隱私模型的云數據副本安全控制方案[J]. 網絡與信息安全學報, 2017, 3(5): 38–46.

[ 5 ]SORIA-COMAS J, DOMINGO-FERRER J. Big data privacy:challenges to privacy principles and models[J]. Data Science and Engineering, 2016, 1(1): 21–28.

[ 6 ]DWORK C. Differential privacy[C]//Proceedings of the 33rd International Colloquium on Automata, Languages and Programming(ICALP) Venice, Italy, 2006: 1–12.

[ 7 ]DWORK C, MCSHERRY F, NISSIM K, et al. Calibrating noise to sensitivity in private data analysis[C]//Proceedings of the 3th Theory of Cryptography Conference, New York, USA,2006: 363–385.

[ 8 ]MCSHERRY F, TALWAR K. Mechanism design via differentail privacy[C]//Proceedings of the 48th Annual IEEE Symposium on Foundations of Computer Science, Providence,RI, USA, 2007: 94–103.

[ 9 ]張嘯劍, 孟小峰. 面向數據發布和分析的差分隱私保護[J].計算機學報, 2014, 37(4): 927–949.

[10]HAY M, RASTOGI V, MIKLAU G, et al. Boosting the accuracy of differentially private histograms through consistency[C]//Proceedings of the 36th Conference of Very Large Databases(VLDB). Istanbul, Turkey, 2010: 1021–1032.

[11]XU J, ZHANG Z, XIAO X, et al. Differentially private histogram publication[C]//Proceedings of IEEE 28th International Conference on Data Engineering(ICDE).Washington D C, USA, 2012: 32–43.

[12]CHEN R, FUNG B C M, DESAI B C, et al. Differentially private transit data publication: A case study on the montreal transportation system[C]//Proceedings of the 18th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining(SIGKDD). Beijing, China, 2012: 493–502.

[13]QARDAJI W H, YANG W, Li N. Differentially private grids for geospatial data[C]//Proceedings of IEEE 29th International Conference on Data Engineering(ICDE). Brisbane, Australia,2013: 757–768.

[14]DOUCEUR J R, ADRA A, BOLOSKY J, et al. Reclaiming space from duplicate files in a serverless distributed file system[C]//The International Conference on Distributed Computing Systems. 2002: 617–624.

[15]BELLARE M, KEELVEEDHI S, RISTENPART T. Messagelocked encryption and secure deduplication[C]//Advances in Cryptology-EUROCRYPT. 2013: 296–312.

[16]KEELVEEDHI S, BELLARE M, RISTENPART T. DupLESS:server-aided encryption for deduplicated storage[C]//The 22nd USENIX Security Symposium. 2013: 179–194.

[17]HARNIK D, PINKAS B, SHULMAN-PELEG A. Side channels in cloud services: deduplication in cloud storage[J].IEEE Security & Privacy, 2010, 8(6): 40–47.

[18]LEE S, CHOI D. Privacy-preserving cross-user sourcebased data deduplication in cloud storage[C]//The International Conference on ICT Convergence, 2012: 329–330.