基于零知識驗證的密文去重與密鑰傳遞方法

何司蒙 楊 超 姜 奇 楊 力 馬建峰

(西安電子科技大學網絡與信息安全學院 西安 710071) (陜西省網絡與系統安全重點實驗室(西安電子科技大學) 西安 710071) (simenghe@foxmail.com)

隨著互聯網的快速發展，網絡用戶數量激增，產生海量數據，然而用戶本地計算和存儲能力有限，因此，云計算服務給數據計算和存儲提供了新的解決方案，用戶通過云服務器，可以享受到快速高效的計算資源,可以更便捷地共享存儲資源.然而，云存儲服務器面臨了2種矛盾的需求：1)云服務器需要減少數據存儲空間的開銷；2)用戶出于數據安全和隱私的考慮，往往希望自己的數據加密存儲.如果用戶擁有相同的文件數據，那么云服務器可以通過對待上傳的文件進行重復性檢測來判斷是否需要上傳該文件，實現相同文件去重工作；并且云服務器不需要重復存儲，有效提高云服務器存儲利用率.研究表明:去重工作減少了90%～95%的后臺備份數據的存儲[1]，減少了68%的標準文件系統存儲[2]，這些系統資源提升工作為云計算發展帶來了明顯的經濟價值.

用戶在上傳文件至云服務器前，為了確保數據隱私安全，會選擇加密文件后再進行上傳[3-5].由于加密密鑰選擇的多樣性，即使擁有相同的明文，也會計算得到不同的密文[6]，這就使得擁有相同明文的不同用戶在上傳自己加密數據后，服務器無法識別其重復性，從而造成大量相同數據重復存儲，導致云存儲利用率低.因此，如何在文件加密場景下完成文件所有權認證、高效地進行去重工作、提高云存儲的利用率成為了當前的研究熱點.

早在2011年，Halevi等人[7]就提出了“所有權認證”(proof of ownership, PoW)的概念，PoW策略提出服務器應驗證用戶是否真正擁有某個文件，而不僅是與文件相關的短消息.在文件所有權認證步驟中，客戶端在原始明文基礎上建立Hash樹，云服務器要求客戶端返回隨機選定的葉子節點及其到根節點路徑上的節點集，若所有葉子節點及其到根節點路徑上的節點與服務器端運算結果相同，那么服務器通過該客戶端的文件所有權認證，否則所有權認證失敗.但是，在該方案中客戶端需要消耗大量資源建立Hash樹，對客戶端計算能力要求較高；并且該方案建立在明文數據上，不利于保護客戶端數據安全.

收斂加密由Douceur等人[8]首先提出，在該策略中，將文件Hash值作為文件加密密鑰，利用對稱加密算法對文件進行加密.文獻[9]提出了客戶端密文文件級去重方法，該方法利用收斂加密與文件所有權認證方法相結合，這樣相同的明文加密后將得到相同的密文，有利于服務器識別文件的重復性.但收斂加密是不安全的，因為它的加密密鑰是通過確定的算法由文件本身生成，因此容易被泄露.某種程度上，收斂加密所受到的攻擊和“Hash as a proof”方法所受到的攻擊是一致的[7].并且由于加密密鑰由文件Hash值生成，那么低熵文件的安全在該方法中無法保證.

此外，文獻[10]提出了一種用于用戶敏感數據的客戶端去重方案.該方案能夠在誠實而好奇的服務器場景下保護數據的隱私.在該方案中，用于加密文件的Hash值作為文件所有權認證的證據，這種方法仍然是用短消息表示文件，所受到的攻擊和“Hash as a proof”方法所受到的攻擊是一致的[7].

雖然收斂加密已被廣泛應用，但由于它沒有達到語義安全，因此，文獻[11]提出消息鎖定式加密(message-locked encryption, MLE)框架，規范了去重方案的機密性和完整性定義，保證數據在不可預測情況下做到語義安全，收斂加密即為MLE的一個特例.但該方案中使用憑據T作為擁有文件的憑證，若憑據T泄露則密文泄露，無法保證文件的機密性.

由于收斂加密算法中密鑰與明文強關聯，無法抵抗暴力破解攻擊，攻擊者可以利用暴力破解方式根據Hash值生成的加密密鑰得到原始明文，因此文獻[12]提出了DupLESS方案.在該方案中，增加了一個密鑰服務器(key-server)用來生成文件的加密密鑰，而不是直接用明文Hash值作為加密密鑰，并且密鑰服務器生成的密鑰也與原始文件相關，這樣可以防止由于數據可預測導致的MLE不安全問題.然而該方案引入了負責密鑰生成的第三方密鑰服務器，這樣做需要更高的安全假設前提，在現實中難以保證和實現.

文獻[13]提出了一種對文件預處理后客戶端去重的方案，用戶對文件利用糾刪碼擴展加工后分塊，在文件數據塊上建立Hash樹，將Hash樹的根節點作為摘要，與服務器進行所有權認證.該方法雖然與原始Hash樹所有權認證方法相比有所改進，但是在該方法驗證所有權時，隨機選擇一定數量的文件塊進行所有權認證是概率條件下的認證，不能完整驗證文件所有權，無法保證所有權認證的安全性.

文獻[14]提出了一種基于(n,k,r)-RSSS(ramp secret sharing scheme)[15-16]的收斂密鑰管理方案Dekey，該方案中首位上傳者生成并保存共享秘密信息(secret shares)，對于n個共享秘密信息的實體，其中任k個可以恢復秘密信息，任r個不能推理出秘密信息，因此在該方案中需要利用(n,k,r)-RSSS機制將密鑰存儲在多個密鑰管理服務器上，恢復密鑰時需要獲得一定的先驗知識后通過多個密鑰管理服務器進行密鑰恢復.該方案在密鑰管理方面有所改進，但由于方案中需要多個密鑰管理服務器參與，整個方案的安全性假設仍然較高，不易實現.

文獻[17]提出了一種支持文件級和數據塊級去重的客戶端去重方案，由于該方案建立在兩級密鑰上，需要利用主密鑰和標簽值共同加密文件或文件數據塊，其中標簽值用于文件所有權認證，因此在客戶端運算過程中需要計算大量的中間數據，并且客戶端需要保留主密鑰；所有權認證建立在低熵的標簽值上，在所有權認證過程中會泄露原始明文信息，無法保證文件的安全性.

在此基礎上，文獻[18]提出了一種利用第三方服務器代理重加密的方法實現文件密鑰傳遞及橢圓曲線密碼算法實現加密文件所有權認證的方案.在該方案中，需要利用第三方代理服務器實現密鑰信息傳遞，因此對代理服務器提出更高的安全假設，增加了第三方交互運算量，在實際中需要更高的假設前提.

由上述加密場景去重方法的分析可知以下3點：

1) 大部分方案為了能夠實現加密場景下去重，均采用收斂加密方法，這些方案認為若不使用收斂加密方法，由于加密密鑰選擇的多樣性，會阻止擁有相同明文的密文去重；然而當文件部分信息泄露或文件熵值較小時，收斂加密方法不能保證語義安全，攻擊者可利用收斂加密密鑰恢復原始明文，導致明文信息泄露.

2) 部分去重方案中，文件所有權認證僅基于部分文件的挑戰應答，而非整體文件信息；這種基于概率條件下的所有權認證，不能完整確認文件所有權，當文件信息泄露時，攻擊者在一定概率條件下可猜測文件信息，從而通過所有權認證導致文件信息泄露.

3) 如何將首位上傳者的文件密鑰安全傳遞至后續上傳者是密文去重場景下的一個重要環節，但目前除了使用收斂加密方法外，其他方案均需使用第三方服務器輔助分發密鑰，這種方式需要更高的安全假設支持，并且方案性能受第三方服務器影響，不適用于具體實際場景.

因此，目前的方案還未能同時滿足密鑰與文件內容分離、完整所有權認證及不使用第三方傳遞密鑰這3個條件，如何建立一個具有密鑰與文件內容分離、完整所有權認證、不使用第三方服務器傳遞密鑰等特點的密文去重方案是當前亟待解決的問題.

綜合上述問題，本文提出了一種新的密文去重場景下所有權認證與密鑰傳遞方法，其主要思路是：文件首位上傳者對文件進行預處理，利用獨立成對Hash方法生成不損失熵的文件大摘要，利用隱藏憑據恢復方法注冊階段，對文件密鑰進行保護處理生成憑據，并將憑據與文件密文上傳至云服務器.后續上傳者與服務器利用零知識驗證方法，通過不損失熵的文件大摘要進行文件所有權認證交互，若后續上傳者所有權認證成功，則服務器將后續上傳者標記為文件擁有者，通知后續上傳者刪除本地文件，實現客戶端密文去重；否則文件所有權認證失敗.通過所有權認證的文件擁有者可利用隱藏憑據恢復方法傳遞階段恢復文件密鑰，后續可利用該密鑰解密密文.本方案具有密鑰與文件內容分離、完整所有權認證、不使用第三方服務器傳遞密鑰等特點，更適用于現實場景.

通過安全性分析理論證明本方案所有權認證及密鑰傳遞達到了可證明的安全強度，實際云平臺的測試數據表明，本方案時間效率良好，減少了密文去重的運算量，使用戶可以更方便高效地使用云服務.

1 預備知識

1.1 隱藏憑據恢復方法

隱藏憑據恢復方法(hidden credential retrieval, HCR)[19]是一種在重復使用用戶口令的情況下，將用戶的秘密信息安全地存儲在不可靠的服務器上，并能安全地恢復秘密信息的協議方法，常運用于云存儲中基于口令的加密系統.HCR協議建立在Diffie-Hellman簽名模式上[20]，在HCR協議方法中，用戶僅需要保存一個秘密口令pwd，服務器即使是惡意的、不可信的，也可以實現將用戶信息msg安全存儲在服務器端.

隱藏憑據恢復方法分為2個階段：注冊階段和傳遞階段，通過這2個階段的運算，從而實現對加密信息的安全傳遞.

1) 注冊階段

① 用戶選擇隨機數v和隨機數S；

② 客戶端計算中間變量h=vS；

③ 客戶端計算口令傳遞值D=(hash(pwd))S；

④ 客戶端計算口令傳遞保護值r=msg×D-1；

⑤ 用戶將(v,h,r,S)發送至服務器并存儲.

2) 傳遞階段

① 服務器檢索后發送(v,h,r)至用戶；

② 客戶端選擇一個隨機數R，由此計算口令證據值U=vRhash(pwd)，并將口令證據值U發送至服務器；

③ 服務器計算口令證據驗證值B=US，將口令證據驗證值B發送至客戶端；

④ 客戶端計算口令傳遞值D=B×h-R；

⑤ 客戶端計算msg=r×D，恢復得到原始信息msg.

1.2 零知識驗證協議

零知識驗證協議[21]是交互系統中常用的一種認證協議，證明者能夠在交互多次后讓驗證者相信自己聲稱擁有某一秘密的正確性.零知識驗證一般分為3步：承諾、挑戰、應答.

1) 利用系統參數，證明者選擇隨機數，生成承諾值commit，將承諾值commit發送至驗證者；

2) 利用系統參數，驗證者選擇隨機數，生成挑戰值chal，將挑戰值chal發送至證明者；

3) 證明者根據挑戰值chal及自己擁有的秘密信息，生成證據值Proof，將證據值Proof發送至驗證者完成應答.

1.3 獨立成對Hash方法

獨立成對Hash方法(pairwise independent Hash)[22]是一種安全的Hash族方法，包含一個Hash族群，其中每一個Hash函數都是獨立成對的，即對于任意的2個不同的輸入值以及任意2個輸出值，其結果相對應的概率僅與Hash族群的長度有關，與輸入值輸出值無關，且不損失信息熵.

根據不同的輸入值，利用獨立成對Hash方法，可生成對應不損失熵的輸出值.

2 系統模型與敵手模型

2.1 系統模型

本文方案的系統模型如圖1所示，主要包括云存儲服務器和客戶端2個實體.

Fig. 1 System model of our scheme圖1 本文方案系統模型圖

1) 云存儲服務器.擁有大量存儲空間，可提供數據存儲服務，用戶通過購買或租賃一定大小的云存儲空間成為云存儲用戶，在提供云存儲服務過程中，安全傳遞文件加密密鑰，參與用戶所有權認證交互，完成密文去重工作，提高存儲利用率.

2) 用戶客戶端.在密文去重場景中，用戶分為首位上傳者、后續上傳者以及擁有某一文件的用戶.用戶通過上傳文件至云存儲服務器完成文件數據的存儲備份，其中首位上傳者上傳密文并利用隱藏憑據恢復方法保護加密密鑰的傳遞；后續上傳者與服務器利用不損失熵的文件大摘要及零知識驗證方法進行所有權認證交互，若通過認證，則不再需要上傳文件，實現客戶端密文去重；通過所有權認證的文件擁有者可利用隱藏憑據恢復方法安全獲取文件加密密鑰，后續可解密密文得到原始文件.

2.2 敵手模型

對應于2.1節所述系統模型的敵手模型如下：

1) 外部攻擊者.外部攻擊者可能獲取了用戶的部分數據，或是在網絡傳輸中截獲到部分數據，從而發起重放攻擊，破壞密文去重中所有權認證交互.

2) 內部攻擊者.內部攻擊者是指能夠直接訪問到存儲數據的攻擊者，包括云存儲服務器及客戶端惡意軟件.誠實而好奇的服務器可能會非法訪問數據，客戶端惡意軟件可能會對密鑰進行字典攻擊等.

系統安全性假設：

1) 假設云存儲服務器與文件擁有者相互獨立且不共謀；

2) 假設文件擁有者上傳文件正確匹配的不損失熵的文件摘要值及Hash值.

3 ZHCR-Dup方案設計實現

3.1 方案設計思想

Fig. 2 Protocol framework of our scheme圖2 本文方案協議框架示意圖

本文方案實現了一種新的密文去重場景下所有權認證與密鑰傳遞方法，用于解決現有技術中所有權認證安全性低的問題，并實現密文去重場景下密鑰的安全傳遞.其設計思想是：首位上傳者對文件進行預處理，利用獨立成對Hash方法生成不損失熵的文件大摘要，利用隱藏憑據恢復方法注冊階段，對文件密鑰進行保護生成憑據，并將憑據與文件密文上傳至云服務器.后續上傳者與服務器利用零知識驗證方法，通過不損失熵的文件大摘要進行文件所有權認證交互，若后續上傳者所有權認證成功，則服務器將后續上傳者標記為文件擁有者，通知后續上傳者刪除本地文件，實現客戶端密文去重；否則文件所有權認證失敗.通過所有權認證的文件擁有者可以利用隱藏憑據恢復方法傳遞階段，恢復文件密鑰，后續可以利用該密鑰解密密文.本文方案整體協議框架如圖2所示：

3.2 方案詳細設計

本方案包括用戶客戶端和云服務器2個實體，用戶通過服務器實現文件所有權認證及加密密鑰傳遞，本文方案的詳細設計分別如圖3～5所示.

Fig. 3 First user operation in the protocol圖3 首位上傳者交互流程圖

Fig. 4 Subsequent user operation in the protocol圖4 后續上傳者交互流程圖

Fig. 5 Key transmission operation in the protocol圖5 密鑰傳遞交互流程圖

本方案系統初始化定義為

p與q是2個素數，滿足關系q|p-1；

G是以素數p為階的乘法循環群，其中g是G上的一個生成元，G={g0,g1,…,gp-1}；

h()為md5Hash函數；

hash()為SHA1Hash函數；

Hrandom()為獨立成對Hash方法；

DEK為首位上傳者隨機選擇的文件加密密鑰；

Enc()為對稱加密方法；

CF為加密得到的密文文件.

步驟1. 文件首位上傳者U1對明文F進行預處理，并將預處理結果上傳至服務器，詳細設計如圖3所示，具體過程如下：

步驟1.1. 首位上傳者U1利用md5Hash函數h()，計算明文F的索引值h(F)；

步驟1.2. 首位上傳者U1利用獨立成對Hash方法，計算明文F的不損失熵的文件大摘要Hrandom(F)，其中：

步驟1.2.1. 首位上傳者U1對明文F進行分塊，得到明文F={w1,w2,…,wi,…,wl}，其中wi表示明文F中的第i塊，l表示塊的數量，且i∈[1,l]；

步驟1.2.2.首位上傳者U1利用SHA1Hash函數hash()，計算明文F中每一塊wi的Hash值yi=hash(w1‖w2‖…‖wi)，并將所有塊的Hash值聯結，得到明文F正向Hash值Y={y1‖y2‖…‖yl}；

步驟1.3. 首位上傳者U1隨機生成文件對稱加密密鑰DEK，并利用該對稱加密密鑰DEK對明文F進行加密，得到文件密文CF=Enc(DEK,F)，其中Enc()為對稱加密方法；

步驟1.4. 首位上傳者U1對文件對稱加密密鑰DEK的保護：首位上傳者U1選擇隨機數v和隨機數S，利用隱藏憑據恢復方法，通過隨機數v和隨機數S，計算中間變量h=vS，并通過隨機數S和文件大摘要Hrandom(F)，計算文件對稱加密密鑰DEK傳遞值D，再通過傳遞值D和對稱密鑰DEK，計算文件對稱加密密鑰DEK傳遞保護值r，詳細過程如下：

步驟1.4.1. 首位上傳者U1通過明文F的不損失熵的文件大摘要Hrandom(F)和隨機數S，計算文件對稱加密密鑰DEK傳遞值D=(hash(Hrandom(F)))S，其中hash()為SHA1Hash函數；

步驟1.4.2. 首位上傳者U1計算文件對稱加密密鑰DEK傳遞保護值r=DEK×D-1；

步驟1.5. 首位上傳者U1將隨機數v、隨機數S、中間變量h和文件對稱加密密鑰DEK傳遞保護值r發送至服務器并存儲，實現對文件對稱加密密鑰DEK的安全傳遞，同時將明文F的索引值h(F)和文件密文CF發送至服務器并存儲.

步驟2. 后續上傳者U2與服務器進行文件所有權認證交互，交互流程如圖4所示，具體過程如下：

步驟2.1. 后續上傳者U2利用md5Hash函數h()，計算明文F′的索引值h(F′)，并將索引值h(F′)發送至服務器；

步驟2.2. 服務器判斷明文F′索引值h(F′)與存儲的明文F索引值h(F)是否相等，若是，選擇隨機數w，并將隨機數w發送至后續上傳者U2，否則，結束運算；

步驟2.3. 后續上傳者U2利用獨立成對Hash方法，計算明文F′的不損失熵的文件大摘要Hrandom(F′)，同時選擇隨機數t，并利用零知識驗證方法，通過明文F′的不損失熵的文件大摘要Hrandom(F′)、隨機數w和隨機數t，在生成元為g的p階乘法循環群G中計算所有權認證的證據值Proof、承諾值commit、輔助值aux和輔助驗證值auxw，最終將所有權認證的證據值Proof、承諾值commit和輔助驗證值auxw發送至服務器，運算過程如下：

步驟2.3.1. 后續上傳者U2計算所有權認證的證據值Proof=(Hrandom(F′)×w+t)modq；

步驟2.3.2. 后續上傳者U2計算所有權認證的承諾值commit=gtmodq；

步驟2.3.3. 后續上傳者U2計算所有權認證的輔助值aux=g-Hrandom(F′)modq，并通過所有權認證的輔助值aux和隨機數w，計算所有權認證的輔助驗證值auxw，其中，q是一個素數，且q|p-1；

步驟2.4. 服務器利用零知識驗證方法，通過所有權認證的證據值Proof，在生成元為g的p階乘法循環群G中計算所有權認證的證據驗證值gProof，并判斷gProof×auxw與承諾值commit是否相等，若相等，后續上傳者U2文件所有權認證成功，將文件所有權認證成功的后續上傳者U2標記為文件擁有者，并通知后續上傳者U2刪除本地明文F′，從而實現客戶端密文去重，否則，后續上傳者U2文件所有權認證失敗，結束運算；

步驟3. 利用服務器實現密鑰傳遞，交互流程如圖5所示，具體過程如下：

步驟3.1. 服務器將隨機數v、中間變量h和對稱密鑰DEK傳遞保護值r發送至通過所有權認證的文件擁有者；

步驟3.2. 文件擁有者選擇隨機數R，并通過隨機數R、文件大摘要Hrandom(F)和隨機數v，計算文件大摘要Hrandom(F)證據值U=vRhash(Hrandom(F))，其中hash()為SHA1Hash函數，再將證據值U發送至服務器；

步驟3.3. 服務器通過證據值U和隨機數S，計算文件大摘要Hrandom(F)證據驗證值B=US，并將證據驗證值B發送至文件擁有者；

步驟3.4. 文件擁有者通過證據驗證值B、中間變量h和隨機數R，計算文件對稱加密密鑰DEK傳遞值D=B×h-R，并通過對稱密鑰DEK傳遞保護值r和傳遞值D，計算文件對稱加密密鑰DEK=r×D.

文件擁有者首先利用不損失熵的大摘要通過零知識驗證方法完成所有權認證，再利用隱藏憑據恢復方法通過云服務器安全獲取到文件加密密鑰，實現了客戶端密文去重，并成功傳遞文件密鑰，整體協議結束.

4 安全性分析

4.1 基于零知識驗證的所有權認證安全性分析

定理1. 假設離散對數問題的困難性，那么本文設計的所有權認證方案是一個零知識驗證方案.

證明.

具有零知識驗證特性的交互協議方案具有完備性、正確性、零知識性這3個屬性，離散對數問題的困難性意味著攻擊者根據所有權認證的證據驗證值gProof無法推導得到證據值Proof.

1) 完備性.對于協議方法中的證明者和驗證者，如果誠實地遵守協議方法流程，那么誠實的驗證者接受該證明者的證明.

完備屬性意味著只有當客戶端證明者擁有原始明文文件，誠實的證明者與驗證者按照協議規定的交互流程進行，那么驗證者通過證明者所有權認證的概率為1.驗證過程為

(1)

2) 正確性.對于一個不正確的協議方案，通過調整其協議交互策略，從而能夠使驗證者通過證明者所有權認證，該事件發生的概率可以忽略.

正確屬性意味著當攻擊者沒有原始文件時，無論攻擊者使用什么方式，服務器端都不會通過其所有權認證.

假設攻擊者沒有正確完整的原始文件，那么攻擊者不能計算出正確的證據值Proof和證據輔助值aux，因此攻擊者也無法計算得到正確的承諾值commit，當攻擊者將不正確的證據值Proof、承諾值commit和輔助驗證值auxw發送至服務器后，服務器判斷服務器端存儲的gProof×auxw與承諾值commit不相等，因此攻擊者所有權認證失敗，保證了協議的正確屬性.

3) 零知識性.證明者和驗證者在整個協議的交互過程中，生成的證明副本可以由平均擬多項式時間(pseudo-polynomial time, PPT)算法生成，并且由該算法生成的證明副本與真實的證明副本是不可區分的，即通過模擬可以實現無差別的證明過程.

零知識屬性意味著一個誠實而好奇的服務器，在本協議方法中，除了能獲知客戶端是否擁有原始文件外，不能獲知與原始文件相關的其他任何信息.這種零知識屬性被定義為“誠實驗證者零知識”，在本協議方案中能夠提供足夠的安全性.

假設存在一個模擬器，它與服務器之間進行交互，能夠替代擁有原始文件的客戶端生成一個證明副本，并且該證明副本與擁有原始文件的客戶端所生成的證明副本在計算復雜度上無差別.

在整個協議的輔助值aux基礎上，模擬器可以在平均擬多項式時間PPT(in|q|)內計算證明副本，步驟如下：

1) 初始化證明副本為空串；

2) 選擇隨機數w,t；

3) 利用文件大摘要Hrandom(F)計算證據值Proof=(Hrandom(F)×w+t)modq；

4) 計算承諾值commit=(gProof×auxw)modq；

5) 證明副本copy←commit.

假設證明者和驗證者誠實地按照協議方法流程交互，那么可以描述一個模擬器對證明交互進行模擬，生成證明副本copy.模擬器可以在擬多項式時間PPT內生成該證明副本，在其運算過程中沒有原始明文參與運算，不會泄露原始明文的信息，并且在每一次協議過程中都使用隨機數，防止攻擊者進行重放攻擊.

綜上，在誠實的云服務器場景中，本協議基于零知識驗證的所有權認證方法具有完備的零知識驗證特性.

證畢.

4.2 基于隱藏憑據的密鑰傳遞安全性分析

定理2. 如果對于隨機密鑰DEK，任一攻擊者在擬多項式時間PPT內，挑戰猜測密鑰信息DEK成功的概率是可以忽略不計，那么基于隱藏憑據的密鑰傳遞是安全的.

證明.

為了能夠更好地量化攻擊者挑戰成功的概率，我們需要補充定義符號：

t1和t2分別是獨立合法的挑戰f1和f2的數目，n1和n2分別是這些挑戰中被拒絕的響應數，其中n1≤t1，n2≤t2，f1表示離線挑戰，f2表示在線挑戰.

為了更好地簡化算法，我們假設對于每一個f2中的挑戰，都是在每一個f1中的挑戰之前，并且f1與f2中的挑戰相互獨立，即如果f1中的挑戰失敗，不會影響到f2中的挑戰結果.并且，我們假設挑戰f1與f2是與攻擊者猜測得到的信息DEK′相關.

我們同時假設文件大摘要Hrandom(F)是獨立一致于字典Dic的，并且在攻擊者角度上看來，原始的密鑰信息DEK是一個在{0,1}k內不可區分的序列，攻擊者除了知道原始的密鑰信息DEK是集合M的一個子集之外，沒有其他任何先驗知識，其中M?{0,1}k，k表示密鑰信息DEK的長度.

基于隱藏憑據的密鑰傳遞方法有可能遭受的攻擊分為外部攻擊和內部攻擊，這2種攻擊涉及到的參數有：安全參數λ，|D|是文件大摘要Hrandom(F)集合的長度，negl[λ]表示對于任意非零常數c，存在一個有限非零數L，對于任意λ>L，都有negl[λ]<λ-c.

1) 外部攻擊.外部攻擊者Aout可能獲取到用戶的部分數據，或者是在網絡傳輸過程中截獲到部分數據，模擬用戶與云服務器進行密鑰傳遞交互.若外部攻擊者Aout通過了密鑰傳遞交互，獲取到文件加密密鑰DEK，則外部攻擊者Aout挑戰成功.

① 外部攻擊者Aout模擬用戶生成一個文件大摘要Hrandom(F)′，然后向云服務器發起密鑰傳遞請求，云服務器根據索引h(F)向外部攻擊者Aout發送隨機數，然而由于攻擊者Aout沒有真正完整的Hrandom(F)由算法的特性可知，攻擊者Aout挑戰成功的概率為

② 外部攻擊者Aout繞過文件大摘要Hrandom(F)，直接對文件加密密鑰DEK進行猜測，則攻擊者Aout猜測得到DEK，挑戰成功的概率為

綜上，外部攻擊者Aout挑戰成功的概率如式(2)所示，所以基于隱藏憑據的密鑰傳遞方法具有外部安全性.

(2)

2) 內部攻擊.內部攻擊者Ain可能控制了誠實而好奇的服務器，由于好奇而非法訪問用戶數據，并發起離線字典攻擊，恢復得到文件加密密鑰DEK，則內部攻擊者Ain挑戰成功.

① 惡意好奇的云服務器對存儲的密鑰傳遞保護值發起字典攻擊，生成密鑰DEK′，利用密鑰DEK′解密密文，由HCR的安全性可知，內部攻擊者Ain在解密過程中獲取到文件大摘要Hrandom(F)信息的概率為

② 內部攻擊者Ain模擬外部攻擊者Aout行為，對文件大摘要Hrandom(F)猜測攻擊，由外部攻擊者挑戰成功的概率說明，即使一個外部攻擊者Aout足夠強大，本協議中基于隱藏憑據的密鑰傳遞方法依然具有外部安全性.

綜上，內部攻擊者Ain挑戰成功的概率為

所以基于隱藏憑據的密鑰傳遞方法具有內部安全性.

在實際計算場景中，外部攻擊者Aout會有更強的約束條件，參數q與復雜的中間人攻擊相關聯，并且相比于任何ο-隨機預言模型Hash函數計算而言，參數q非常小.值得注意的是，基于隱藏憑據的密鑰傳遞方法中參數p和R并沒有參與到攻擊者挑戰成功的概率計算中.由于參數p有可能會被外部攻擊者Aout被動竊聽截獲，參數R有可能會在協議會話過程中被內部攻擊者Ain獲取，但服務器不會從用戶協議中獲得任何反饋信息，因此不會對攻擊者挑戰成功的概率計算有所影響.

綜上，在誠實的云服務器場景中，本協議基于隱藏憑據的密鑰傳遞方法是安全的.

證畢.

5 測試與結果分析

本節給出對本方案運行性能的評估，主要測試其在密文去重所有權認證與密鑰傳遞過程中產生的通信開銷.

5.1 測試方案與場景

為了使測試場景更貼近實際，在本方案中我們租用了位于青島的阿里云服務器作為實驗中服務器端，加上位于西安的用戶客戶端，共同完成文件所有權認證與密鑰傳遞工作.由百度地圖測得西安─青島圖上距離為1 058.6 km，如圖6所示：

Fig. 6 The test plan diagram圖6 測試方案示意圖

本方案的實驗設備為云服務器1臺、用戶客戶端2臺，實驗設備具體參數如下：

搭建的服務器實驗環境為阿里云服務器，部署于青島,CPU單核3.00 GHz、內存2 GB、操作系統為Windows Server 2008標準版32 b、帶寬5 Mbps.

本地客戶端位于西安，使用Win7(32 b)操作系統、雙核IntelTMCoreTM2 Duo CPU E8400 3.00 GHz、內存4 GB、500 GB硬盤.

測試程序由C++編寫，其中AES、MD5、零知識證明的指數運算部分用到了cryptopp5.6.3庫[23].

5.2 首位上傳者測試數據

針對不同大小文件，分別測試1 MB，5 MB，10 MB，50 MB，100 MB，200 MB，300 MB，400 MB，500 MB，600 MB，800 MB，1 000 MB文件，記錄首位上傳者計算文件Hash值、文件大摘要、文件加密、生成HCR憑據并將憑據與密文共同上傳至服務器的各部分運行時間，實驗數據結果如下.

生成大摘要時間開銷如表1所示：

Table 1 Comparison of Calculation Time BetweenHrandom(F) and h(F)表1 生成大摘要與文件Hash值的時間對比

在本方案中，統一采用AES-128加密算法對文件數據加密，文件加密時間如表2所示：

Table 2 File Encryption Time表2 文件加密時間

首位上傳者利用HCR協議注冊階段對密鑰進行保護，生成HCR憑據，并將憑據與密文一并上傳至云服務器，總體時間關系如表3所示：

Table 3 First User HCR Protection and Upload Time表3 首位上傳者HCR密鑰保護及上傳時間

5.3 后續上傳者測試數據

針對不同大小文件，分別測試1 MB，5 MB，10 MB，50 MB，100 MB，200 MB，300 MB，400 MB，500 MB，600 MB，800 MB，1 000 MB文件，記錄后續上傳者利用零知識驗證方法實現所有權認證，并與利用MHT(Merkel-Hash tree)方法實現所有權認證的時間進行比較，實驗數據結果如表4所示：

Table 4 Comparison of the Total Time BetweenZero-Knowledge Proof and MHT表4 零知識驗證與MHT的總時間對比

5.4 文件擁有者測試數據

針對不同大小文件，分別測試1 MB，5 MB，10 MB，50 MB，100 MB，200 MB，300 MB，400 MB，500 MB，600 MB，800 MB，1 000 MB文件，記錄通過所有權認證的文件擁有者利用HCR協議傳遞階段恢復文件密鑰，針對不同大小文件，HCR傳遞階段測試數據如表5所示：

Table 5 File Owner HCR Transmission Time表5 文件擁有者HCR傳遞時間

5.5 性能分析

針對不同大小文件，分別分析1 MB，5 MB，10 MB，50 MB，100 MB，200 MB，300 MB，400 MB，500 MB，600 MB，800 MB，1 000 MB文件測試數據.首位上傳者計算大摘要的時間與文件大小相關，測試的12組數據如圖7所示.由表1及圖7可知.計算大摘要的時間與計算文件Hash值的時間相比，時間性能上差別不大.但計算的大摘要不損失文件熵值，可以利用大摘要作為后續的所有權認證憑據，而直接計算的文件Hash值只能作為文件標識，不能無損地代表文件本身.

Fig. 7 Compare between Hrandom (F) and h(F)圖7 生成大摘要時間與文件Hash值時間對比圖

首位上傳者對文件數據進行加密，由表2及圖8可知，隨著文件大小的增加，文件加密時間也在增量變化，但文件加密這一操作，僅需要首位上傳者

實現，對于同一明文文件，僅需要一次文件加密上傳，因此這一步驟對整體協議方案影響較小.

Fig. 8 File encryption time圖8 文件加密時間圖

由表3、表5及表6可知，本方案中首位上傳者利用HCR協議注冊階段對密鑰進行保護，生成HCR憑據，通過所有權認證的文件擁有者利用HCR協議傳遞階段恢復文件密鑰，整體傳遞恢復時間與云服務器帶寬有一定關系.文獻[18]中使用代理重加密方法實現首位上傳者密鑰傳遞至后續通過所有權認證的文件擁有者，這一過程由于第三方代理服務器參與，整體密鑰傳輸時間受第三方服務器影響較大.由圖9比較HCR協議整體運算時間和代理重加密整體運算時間可知，本方案密鑰傳遞方法相較于代理重加密密鑰傳遞方法性能更優.

Table 6 Comparison of Transmission Time Between HCR and Proxy Re-encryption表6 HCR與代理重加密密鑰傳遞時間對比

Fig. 9 Compare between HCR and proxy re-encryption圖9 HCR與代理重加密總時間對比圖

本方案中后續上傳者利用零知識驗證方法實現所有權認證，由表4及圖10可知，針對不同大小的文件，本方案與采用MHT方法實現所有權認證時間相差較小，相較于整體文件上傳及下載時間而言，時間差影響可忽略，有效實現文件所有權認證，完成去重工作.

Fig. 10 Compare between zero-knowledge proof and MHT圖10 零知識驗證與MHT時間對比圖

綜合本節上述性能分析，以1 000 MB文件為例，對比文獻[9]、文獻[18]及本文方案，其中文獻[9]是當前典型的利用收斂加密及MHT方法實現密文去重的方案，文獻[18]是當前典型的利用橢圓曲線加密及代理重加密方法實現密文去重及密鑰傳遞的方案.假設用戶均采用AES-128加密算法，并且實驗環境網絡條件相同，那么對于相同的密文文件上傳時間相同.在本實驗環境中，1 000 MB文件平均加密時間是83.63 s，密文文件上傳至云服務器的平均時間是166.82 s，共計250.45 s，對于這部分時間，3種方案取相同值，不再進行討論.對于1 000 MB文件，統計3種方案中首位上傳者與后續上傳者平均計算時間，本方案中首位上傳者統計生成文件Hash值、文件大摘要值及HCR憑據值時間，后續上傳值統計零知識驗證時間，并計算首位上傳者及后續上傳者運算總時間和，對比數據結果如表7所示：

Table 7 Compare Among 3 Protocols in 1 000 MB File表7 1 000 MB文件3種協議時間對比 s

由表7及圖11可知，本文方案與文獻[9]中首位上傳者及后續上傳者計算總時間相差較小，遠小于文獻[18]中計算總時間.由測試數據可知，首位上傳者及后續上傳者計算總時間遠遠小于加密文件并上傳至云服務器時間，由于文件加密并上傳總時間與文件大小成正比，那么采用客戶端密文去重方案可以大大減少文件重復加密上傳時間，提高云服務器存儲利用率，具有良好的應用價值.

Fig. 11 Compare among 3 protocols in 1 000 MB file圖11 1 000 MB文件3種協議總時間對比圖

6 總 結

本文提出了一種新的密文去重場景下所有權認證與密鑰傳遞方法.利用獨立成對Hash方法生成不損失熵的文件大摘要，同時利用零知識驗證方法完成文件所有權認證，驗證過程具有零知識性，保護數據隱私，提高文件所有權認證過程的安全性.利用隱藏憑據恢復方法，加密密鑰與文件無關，同時隱藏憑據恢復方法可以建立在服務器不可信的兩方密鑰傳遞過程中，不需要第三方服務器參與，在密鑰傳遞過程中不會泄露密鑰信息，保證密鑰傳遞的安全性.最后通過安全性分析理論證明本方案所有權認證及密鑰傳遞達到了可證明的安全強度，實際云平臺的測試數據表明，本方案時間效率良好，減少了密文去重的運算量，使用戶可以更方便高效地使用云服務，具有很高的應用價值.

[1]Opendedup. In-line deduplication to a cloud storage backend—SDFS can send all of its data to AWS, AZURE, or Google[OL]. [2016-01-06]. http:opendedup.org

[2]Meyer D, Bolosky W. A study of practical deduplication[J]. ACM Trans on Storage, 2012, 7(4): 1-20

[3]Tsai Chunwei, Lai Chinfeng, Chao Hanche, et al. Big data analytics: A survey[J]. Journal of Big Data, 2015, 2(1): 1-32

[4]Wei Lifei, Zhu Haojin, Cao Zhenfu, et al. Security and privacy for storage and computation in cloud computing[J]. Information Science an International Journal, 2014, 258(3): 371-386

[5]Wen Mi, Lu Rongxing, Zhang Kuan, et al. PaRQ: A privacy-preserving range query scheme over encrypted metering data for smart grid[J]. IEEE Trans on Emerging Topics in Computing, 2013, 1(1): 178-191

[6]Wen Mi, Lu Kejie, Lei Jingsheng, et al. BDO-SD: An efficient scheme for big data outsourcing with secure deduplication[C]Proc of the 22nd IEEE Conf on Computer Communications Workshops. Piscataway, NJ: IEEE, 2015: 214-219

[7]Halevi S, Harnik D, Pinkas B, et al. Proofs of ownership in remote storage systems[C]Proc of the 18th ACM Conf on Computer and Communications Security. New York: ACM, 2011: 491-500

[8]Douceur J, Theimer M, Bolosky W. Encryption systems and methods for identifying and coalescing identical objects encrypted with different keys[OL]. [2007-09-04]. http:www.freepatentonline.com

[9]Xu Jia, Chang Ee-Chien, Zhou Jianying. Weak leakage-resilient clientside deduplication of encrypted data in cloud storage[C]Proc of the 8th ACM SIGSAC Symp on Information, Computer and Communications Security. New York: ACM, 2013: 195-206

[10]Xu Jia, Zhou Jianying, Chang Eechien. Leakage-resilient client-side deduplication of encrypted data in cloud storage[OL]. 2011 [2012-05-01]. http:eprint.iacr.org

[11]Bellare M. Message-locked encryption and secure deduplication[G]LNCS 7881: Proc of the 32nd Annual Int Conf on the Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2013: 296-312

[12]Bellare M, Keelveedhi S, Ristenpart T. DupLESS: Server-aided encryption for deduplicated storage[C]Proc of the 22nd USENIX Security Symp. Berkeley, CA: USENIX Association, 2013: 179-194

[13]Wee Keongng, Wen Yonggang, Zhu Huafei. Private data deduplication protocols in cloud storage[C]Proc of the 27th Annual ACM Symp on Applied Computing. New York: ACM, 2012: 172-191

[14]Li Jin, Chen Xiaofeng, Li Mingqiang, et al. Secure deduplication with efficient and reliable convergent key management[J]. IEEE Trans on Parallel and Distributed Systems, 2014, 25(6): 1615-1625

[15]Huang Wentao, Langberg M, Kliewer J, et al. Communication efficient secret sharing[J]. IEEE Trans on Information Theory, 2016, 62(12): 7195-7206

[16]Li Jin, Chen Xiaofeng, Huang Xinyi, et al. Secure distributed deduplication systems with improved reliability[J]. IEEE Trans on Computers, 2015, 64(12): 3569-3579

[17]Chen Rongmao, Mu Yi, Yang Guomin, et al. BL-MLE: Block-level message-locked encryption for secure large file deduplication[J]. IEEE Trans on Information Forensics and Security, 2015, 10(12): 2643-2652

[18]Yan Zheng, Ding Wenxiu, Yu Xixun, et al. Deduplication on encrypted big data in cloud[J]. IEEE Trans on Big Data, 2016, 2(2): 138-150

[19]Boyen X. Hidden credential retrieval from a reusable password[C]Proc of the 4th Conf on Computer and Communications Security. New York: ACM, 2009: 228-238

[20]Alexandra B. Threshold signatures, multisignatures and blind signatures based on the gap-Diffie-Hellman-group signature scheme[G]LNCS 2567: Proc of the 6th Advances in Public Key Cryptography(PKC2003). Berlin: Springer, 2003: 31-46

[21]Cash D, Kupcu A, Wichs D. Dynamic proofs of retrievability via oblivious RAM[J]. Journal of Cryptology, 2017, 30(1): 22-57

[22]Barak B, Dodis Y, Krawczyk H, et al. Leftover Hash Lemma, revisited[C]Proc of the 31st Int Cryptology Conf. New York: ACM, 2011: 1-20

[23]Wei Dai. Crypto++5.6.3[OL]. [2015-11-20]. https:www.cryptopp.com

HeSimeng, born in 1993. Master candidate in Xidian University. Her main research interests include cloud computing and storage security.

YangChao, born in 1979. Received his PhD degree in computer science and technology from Xidian University in 2008. Professor in Xidian University. His main research interests include crypto-graphy and information & network security.

JiangQi, born in 1983. Received his PhD degree in computer science and technology from Xidian University in 2011. His main research interests include security protocols and wireless network security.

YangLi, born in 1977. Received his PhD degree in computer science and technology from Xidian University in 2009. His main research interests include security protocols and wireless network security.

MaJianfeng, born in 1963. Professor and PhD supervisor in Xidian University. His main research interests include network and information security, cryptography.