客戶端密文去重方案的新設(shè)計(jì)

貢 堅(jiān),王少輝,李燦燦

(南京郵電大學(xué) 計(jì)算機(jī)學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院,南京 210003) (江蘇省無線傳感網(wǎng)高技術(shù)研究重點(diǎn)實(shí)驗(yàn)室,南京 210003) (江蘇省大數(shù)據(jù)安全與智能處理重點(diǎn)實(shí)驗(yàn)室,南京 210003)

1 引 言

隨著云存儲(chǔ)技術(shù)的飛速發(fā)展,越來越多的用戶將他們的數(shù)據(jù)文件外包給云服務(wù)器(Cloud Server,CS),來享受近乎無限的存儲(chǔ)空間和計(jì)算能力.根據(jù)文獻(xiàn)[1]的研究,截至2013年底,世界數(shù)據(jù)總量估計(jì)為4.4 ZB,到2020年將達(dá)到44 ZB.當(dāng)大量用戶將其數(shù)據(jù)外包給云服務(wù)器時(shí),相同數(shù)據(jù)的冗余副本會(huì)導(dǎo)致存儲(chǔ)空間的大量浪費(fèi).為了有效利用存儲(chǔ)資源,CS通常采用重復(fù)數(shù)據(jù)刪除技術(shù)[2]來消除冗余副本而僅存儲(chǔ)一個(gè)內(nèi)容副本,實(shí)現(xiàn)50-90%的存儲(chǔ)空間節(jié)省.重復(fù)數(shù)據(jù)刪除技術(shù)主要分為兩種:1)服務(wù)器端去重,用戶將全部數(shù)據(jù)上傳至CS,在CS端實(shí)現(xiàn)去重.2)客戶端去重,能夠避免在去重過程中用戶上傳整個(gè)數(shù)據(jù),節(jié)約了通信開銷.因此客戶端去重技術(shù)已廣泛應(yīng)用于企業(yè)CS系統(tǒng),如Dropbox,Google Drive和Mozy.

為了提高外包數(shù)據(jù)的隱私性,用戶通常將加密后的數(shù)據(jù)上傳到CS,但此策略與重復(fù)數(shù)據(jù)刪除技術(shù)相沖突.傳統(tǒng)加密方案中,不同用戶采用不同私鑰對相同數(shù)據(jù)加密時(shí),會(huì)導(dǎo)致完全不同的密文,這意味著無法應(yīng)用重復(fù)數(shù)據(jù)刪除技術(shù).為了克服這種困境,研究人員提出了基于收斂加密(Convergent Encryption,CE)[3]的方案.CE以確定的方式從數(shù)據(jù)明文中導(dǎo)出加密密鑰,相同明文具有相同的密文,即加密只與明文數(shù)據(jù)相關(guān),而與用戶無關(guān).但是,CE方案存在很大的安全問題,如暴力字典攻擊[4]:對于信息熵小的明文,攻擊者可以通過窮舉得方式輕易猜測出收斂密鑰.Bellare等人[5]提出了DupLESS方案,他們通過引入密鑰服務(wù)器來抵制上述暴力攻擊.但該方案無法靈活地控制其他用戶對數(shù)據(jù)的訪問.Wen等人[6]提出了收斂密鑰管理和共享方案,但是要求所有數(shù)據(jù)所有者相互通信以管理他們的收斂密鑰.Liu等人[7]基于PAKE協(xié)議[8]提出了安全的跨用戶重復(fù)數(shù)據(jù)刪除方案,該方案支持客戶端去重,且無需任何額外的獨(dú)立服務(wù)器,但此方案要求數(shù)據(jù)所有者始終在線進(jìn)行擁有權(quán)認(rèn)證和數(shù)據(jù)去重.Karthika等人[9]通過在將數(shù)據(jù)塊發(fā)送到服務(wù)器之前對數(shù)據(jù)塊進(jìn)行簽名來實(shí)現(xiàn)隱私保護(hù)和公共審計(jì),但其效率依然不高.文獻(xiàn)[10]引入一個(gè)第三方的密鑰服務(wù)器,基于RSA盲簽名技術(shù)對收斂密鑰進(jìn)行二次加密,進(jìn)而有效地抵抗了暴力字典的攻擊,但其在密鑰管理過程中將加密密鑰分成三部分分別存儲(chǔ),并且所有用戶均需對數(shù)據(jù)進(jìn)行加密來計(jì)算密文哈希值作為重復(fù)認(rèn)證標(biāo)簽密鑰,導(dǎo)致其在計(jì)算和存儲(chǔ)成本上過高,因而整個(gè)方案存在效率偏低問題.

對于客戶端去重,由于外部攻擊者可以只憑借文件重復(fù)驗(yàn)證標(biāo)簽即可從CS獲得相應(yīng)的文件下載權(quán)限,故而提出了擁有權(quán)證明(Proof of Ownership,PoW)的方法,即用戶必須向CS證明其確實(shí)擁有相關(guān)重復(fù)數(shù)據(jù).目前PoW方法主要有基于數(shù)字簽名[11]、Merkle 哈希樹[12]以及Bloom過濾器[13]等.文獻(xiàn)[14]提出了基于加同態(tài)重加密(Additive Homomorphic Re-Encryption,AHRE)的去重方案,該方案利用文件哈希值生成認(rèn)證信息來完成擁有權(quán)認(rèn)證,提高了認(rèn)證效率.然而該方案中,PoW認(rèn)證信息容易遭受暴力字典攻擊,并且用戶的認(rèn)證信息缺乏實(shí)時(shí)性保護(hù),難以抵抗重放攻擊,同時(shí)在其密鑰管理過程中存在第三方服務(wù)器可解密獲得用戶文件加密密鑰的安全問題.

本文對云存儲(chǔ)中客戶端密文去重方案進(jìn)行了研究,提出了一個(gè)新的客戶端密文去重方案.選用HMAC函數(shù)生成重復(fù)驗(yàn)證標(biāo)簽,具有較高的運(yùn)行效率.利用文獻(xiàn)[10]的盲簽名技術(shù)以抵御CS的暴力字典攻擊,生成HMAC函數(shù)密鑰.改進(jìn)文獻(xiàn)[14]所提的擁有權(quán)認(rèn)證算法,通過CS引入隨機(jī)因子來保證認(rèn)證信息實(shí)時(shí)性,其次利用重復(fù)驗(yàn)證標(biāo)簽密鑰生成PoW認(rèn)證信息以抵抗暴力字典攻擊.最后,借鑒Joux提出的三方密鑰協(xié)商協(xié)議的思想[15],提出了一個(gè)新的文件加密密鑰管理方案.新方案中,文件加密密鑰密文在CS中只需存儲(chǔ)一次,用戶在其本地只需存儲(chǔ)文件重復(fù)驗(yàn)證標(biāo)簽以及文件哈希值即可.分析表明新方案不僅提高了用戶擁有權(quán)認(rèn)證過程的安全性,還有效的降低了存儲(chǔ)和計(jì)算開銷,提高了密鑰管理效率.

2 問題描述

2.1 系統(tǒng)模型

如圖1所示,云存儲(chǔ)中客戶端密文去重方案主要包含以下3個(gè)實(shí)體:

1)用戶:用戶將其數(shù)據(jù)密文安全外包給CS,來享受近乎無限的存儲(chǔ)資源.

2)云服務(wù)器:CS為用戶提供數(shù)據(jù)外包服務(wù),它與用戶合作利用重復(fù)數(shù)據(jù)刪除技術(shù)來節(jié)省自身存儲(chǔ)空間.我們認(rèn)為CS是半誠實(shí)的,即CS嚴(yán)格按照協(xié)議執(zhí)行數(shù)據(jù)的去重與存儲(chǔ),但對用戶上傳的數(shù)據(jù)是好奇的,希望能夠竊取用戶的數(shù)據(jù)信息.

3)密鑰服務(wù)器(Key Server,KS):KS與用戶合作生成HMAC函數(shù)的密鑰,以增強(qiáng)擁有權(quán)認(rèn)證信息以及重復(fù)驗(yàn)證標(biāo)簽對暴力字典攻擊的安全性;并且與CS合作負(fù)責(zé)用戶文件加密密鑰的管理，認(rèn)為KS是可信的,同時(shí)要求KS不能與CS進(jìn)行合謀.

客戶端密文去重方案可分為兩個(gè)主要部分:數(shù)據(jù)上傳過程和數(shù)據(jù)下載過程.

圖1 客戶端密文去重系統(tǒng)模型Fig.1 Client ciphertext deduplication system model

數(shù)據(jù)上傳過程中,用戶首先與KS合作產(chǎn)生待上傳文件的重復(fù)驗(yàn)證標(biāo)簽密鑰TK,然后和CS交互判斷是否已經(jīng)有相同文件數(shù)據(jù)存儲(chǔ)在CS中.如果是首次上傳,則使用隨機(jī)選取的密鑰對文件加密,并利用TK生成相關(guān)的PoW驗(yàn)證信息.用戶最終上傳重復(fù)驗(yàn)證標(biāo)簽、文件密文、文件加密密鑰密文、PoW驗(yàn)證信息.如果不是首次上傳,用戶需與CS進(jìn)行PoW擁有權(quán)認(rèn)證.

當(dāng)用戶進(jìn)行數(shù)據(jù)下載時(shí),合法用戶通過存儲(chǔ)的文件重復(fù)驗(yàn)證標(biāo)簽即可下載到數(shù)據(jù)密文,對于非法用戶,CS會(huì)拒絕其下載.CS和KS合作對文件加密密鑰的密文進(jìn)行處理,以便用戶可以獲得文件加密密鑰,從而解密得到文件明文,并且用戶可以利用保存的文件Hash值驗(yàn)證下載的文件是否完整.

2.2 安全模型

在新的方案中,可能的威脅主要來自內(nèi)部攻擊者CS、KS以及外部攻擊者,客戶端密文去重方案應(yīng)實(shí)現(xiàn)以下安全目標(biāo):

2.2.1 密鑰安全性

新方案主要涉及重復(fù)驗(yàn)證標(biāo)簽密鑰和文件加密密鑰.對于重復(fù)驗(yàn)證標(biāo)簽密鑰,要求攻擊者、KS或CS無法通過擁有權(quán)認(rèn)證信息或者重復(fù)驗(yàn)證標(biāo)簽猜測出用戶的文件哈希值,即抗暴力字典攻擊.對于文件加密密鑰,則要求攻擊者或CS不能通過密鑰密文還原出用戶的加密密鑰.通過攻擊者A和挑戰(zhàn)者Ch的如下游戲給出方案抗暴力字典攻擊的安全定義,此時(shí)A模擬惡意服務(wù)器,而Ch模擬用戶和KS.

1)攻擊者A和Ch生成各自相應(yīng)的公私鑰參數(shù)后,攻擊者可訪問如下預(yù)言機(jī):

重復(fù)驗(yàn)證標(biāo)簽密鑰生成預(yù)言機(jī)OTK:A選定文件F,OTK預(yù)言機(jī)返回相應(yīng)的重復(fù)驗(yàn)證標(biāo)簽密鑰TK.

協(xié)議交互預(yù)言機(jī)OPI:通過該預(yù)言機(jī),Ch模擬用戶和攻擊者A交互完成對文件File的上傳或下載.

2)攻擊者A選擇選擇兩個(gè)文件K1和K2,要求A未就兩個(gè)文件訪問過OTK預(yù)言機(jī),并發(fā)送給Ch.Ch隨機(jī)選擇b∈{0,1},計(jì)算Kb相應(yīng)的重復(fù)驗(yàn)證標(biāo)簽密鑰TKb.

3)A可以繼續(xù)訪問OTK和OPI預(yù)言機(jī),但要求不能就K1,K2對OTK預(yù)言機(jī)進(jìn)行質(zhì)詢.

4)Ch對文件Kb與A交互執(zhí)行OPI預(yù)言機(jī),最后A輸出b′∈{0,1},如果b=b′,則A獲勝.如果攻擊者成功的概率優(yōu)勢|Pr[b=b′]-0.5|是可忽略的,則稱方案能成功抵御暴力字典攻擊.

2.2.2 數(shù)據(jù)完整性

數(shù)據(jù)完整性也包括兩方面.一是在CS檢測到用戶待上傳數(shù)據(jù)已經(jīng)存在時(shí),CS需要認(rèn)證用戶是否擁有完整的數(shù)據(jù)文件,即用戶擁有權(quán)證明.二是在用戶下載階段,用戶需要驗(yàn)證CS中存儲(chǔ)數(shù)據(jù)是否完整而未被破壞或修改.為了抵御外部攻擊者在沒有實(shí)際數(shù)據(jù)文件的情況下通過用戶擁有權(quán)證明,給出如下的安全定義,此時(shí)攻擊者A模擬惡意用戶,而挑戰(zhàn)者Ch模擬云服務(wù)器:

1)攻擊者A執(zhí)行多項(xiàng)式次數(shù)的重復(fù)驗(yàn)證標(biāo)簽密鑰生成預(yù)言機(jī)OTK和協(xié)議交互預(yù)言機(jī)OPI詢問.

2)攻擊者A選擇文件File,要求未就文件File訪問過OTK預(yù)言機(jī),并發(fā)送給Ch.Ch訪問OTK預(yù)言機(jī)并計(jì)算File的PoW驗(yàn)證信息.

3)A可以繼續(xù)訪問OTK和OPI預(yù)言機(jī),但要求不能就文件File對OTK預(yù)言機(jī)進(jìn)行質(zhì)詢.

4)攻擊者A和Ch就文件File執(zhí)行PoW驗(yàn)證,若A能通過驗(yàn)證的概率是可忽略的,則稱方案滿足上傳數(shù)據(jù)的完整性驗(yàn)證.

2.2.3 數(shù)據(jù)機(jī)密性

用戶需要將數(shù)據(jù)加密后上傳到云服務(wù)器CS,這里通常采用傳統(tǒng)的對稱加密方案,如AES算法,因此認(rèn)為在語義上,被加密的數(shù)據(jù)是安全的,攻擊者不能通過用戶上傳的密文獲得明文信息.

2.3 預(yù)備知識(shí)

雙線性映射:設(shè)q是一個(gè)大素?cái)?shù),G1和G2是兩個(gè)階為q的乘法群.G1到G2的雙線性映射e:G1×G1→G2滿足以下性質(zhì):

2)非退化性.對于所有的P,Q∈G1,滿足e(P,Q)≠1.

3)可計(jì)算性.對任意的P,Q∈G1,存在一個(gè)有效算法計(jì)算e(P,Q).

新方案的安全性基于如下的困難性假設(shè):

3 新的客戶端密文去重方案

新的客戶端密文去重方案主要包括以下3個(gè)算法:系統(tǒng)初始化(System Setup),數(shù)據(jù)上傳(Data Upload)以及數(shù)據(jù)下載(Data Download).

3.1 System Setup

選擇兩個(gè)階為大素?cái)?shù)l的乘法群G1和G2,e:G1×G1→G2是雙線性映射,隨機(jī)選取g∈G1,計(jì)算V=e(g,g)∈G2,H(·):{0,1}*→G1是安全hash函數(shù),HMAC是安全的認(rèn)證碼函數(shù).

KS需要生成兩個(gè)私鑰/公鑰對:

3.2 Data Upload

數(shù)據(jù)上傳階段,Ui與KS交互對文件哈希值進(jìn)行加密生成文件重復(fù)認(rèn)證標(biāo)簽密鑰,并計(jì)算待上傳文件F的認(rèn)證標(biāo)簽發(fā)送給CS.如果發(fā)現(xiàn)標(biāo)簽已經(jīng)存在則進(jìn)入用戶擁有權(quán)證明階段,否則說明文件不存在用戶需上傳數(shù)據(jù)信息.具體過程如下:

生成重復(fù)驗(yàn)證標(biāo)簽密鑰TK:為了獲得TK,Ui協(xié)同KS執(zhí)行文獻(xiàn)[10]中的RSA盲簽名算法,具體過程如下:

Ui隨機(jī)選擇r·Zn,計(jì)算:

x=h·rβmodN,h=H(F)

(1)

將其發(fā)送給KS.

KS計(jì)算:

y=xdmodN

(2)

并將y返回給Ui.

Ui收到y(tǒng)之后計(jì)算:

TK=y·r-1mod N=(h·rβ)d·r-1modN=hdmod N

(3)

并驗(yàn)證h=TKβmod N是否成立,如果成立輸出TK,否則輸出無效.

上傳重復(fù)驗(yàn)證標(biāo)簽:Ui得到TK后,計(jì)算標(biāo)簽T=HMAC(TK,F),并將T發(fā)送CS.

式中，E(r)為入射光在焦平面上的光場分布，F(xiàn)i(r)為少模光纖不同模式下的模場，ds為焦平面處面元.

(4)

隨后,Ui以CK作為對稱加密算法的密鑰對文件F加密,得到密文C=Enc(CK,F),并計(jì)算T′=e(PKcs,gTK),最后將{C,T,T′,[CK],Pkui}發(fā)送給CS存儲(chǔ).

用戶擁有權(quán)證明:CS檢測到標(biāo)簽T存在,則進(jìn)入擁有權(quán)證明階段.具體過程如下:

(5)

如果CS發(fā)現(xiàn)該值與存儲(chǔ)的T′相同,則認(rèn)為Ui擁有完整文件,并保存擁有該文件的用戶身份信息Ui.此時(shí)Ui無需上傳任何其他信息,只需在本地存儲(chǔ)重復(fù)驗(yàn)證標(biāo)簽T以及文件hash值h即可.否則,認(rèn)證失敗.

3.3 Data Download

(6)

(7)

最后,KS將CK2發(fā)回給CS,此時(shí)A2=CK⊕H(e(ga,PKuj)r3)⊕H(e(gb,PKuj)r4).CS將CK2、D1以及密文C發(fā)送給用戶.用戶利用其私鑰解密得到CK:

CK=A2⊕H(e(ga,D1)xj-1)⊕H(e(gb,D2)xj-1)

(8)

用戶得到CK后,即可解密C得到明文F=Dec(CK,C).最后驗(yàn)證得到的F的哈希值H(F)與本地存儲(chǔ)的文件哈希值是否相同,以此判斷CS是否損壞存儲(chǔ)文件.若相等,用戶得到F,下載結(jié)束；若不相等,說明CS損壞了用戶存儲(chǔ)的文件.

4 安全性分析和效率評估

4.1 安全性分析

方案的正確性不再敘述.本節(jié)從三個(gè)角度分析了所提方案的安全性:1)密鑰安全性;2)數(shù)據(jù)完整性;3)數(shù)據(jù)機(jī)密性.

1)密鑰安全性

定理.如果DL問題在群G1中成立,那么用戶上傳到CS的密鑰是安全的.

證明:對于外部攻擊者,假設(shè)攻擊者A想要從密鑰密文[CK]中獲取文件加密密鑰CK,具體可見式(4).

由于DL問題的困難性,攻擊者A在已知gr1以及gr2的情況下,無法獲得用戶所選的隨機(jī)值r1以及r2,因此,攻擊者A在知道用戶公鑰、CS公鑰以及KS公鑰的情況下無法計(jì)算出H(e(gxi-1,ga)r1)以及H(e(gxi-1,gb)r2),因此A通過[CK]直接破解得到CK在計(jì)算上是不可行的.

對于內(nèi)部攻擊者CS以及KS,這里要求CS與KS之間不能存在合謀攻擊.對于CS,由于其擁有自身私鑰a,因此CS可以計(jì)算:H(e(gxi-1,B1)a)=H(e(gxi-1,ga)r1),但由于其無法計(jì)算出r2,在無法獲得KS的私鑰b的情況下,CS無法計(jì)算出H(e(gxi-1,gb)r2),即僅憑CS無法單獨(dú)破解出用戶私鑰.同理,上述論斷對KS也成立.故而如果DL問題在群G1中成立,那么用戶上傳到CS的密鑰是安全的.

2)數(shù)據(jù)完整性

數(shù)據(jù)完整性包括兩個(gè)方面:一是用戶擁有權(quán)證明.二是在用戶下載階段,用戶需要驗(yàn)證CS中存儲(chǔ)數(shù)據(jù)是否完整.

文獻(xiàn)[14]方案中PoW直接計(jì)算:

(9)

最后,在用戶下載階段,用戶可以利用本地保存的文件哈希值H(F),驗(yàn)證其與解密后得到的明文F計(jì)算的哈希值是否相等,由此可以避免CS破壞或者修改文件,從而保證CS中存儲(chǔ)數(shù)據(jù)的完整性.

3)數(shù)據(jù)機(jī)密性

在本文所提方案中,所有數(shù)據(jù)均加密存放在CS中.由于數(shù)據(jù)文件的加密密鑰的安全性,攻擊者無法獲得用戶的數(shù)據(jù)加密密鑰,也因此無法獲得用戶的數(shù)據(jù)明文.

4.2 效率評估

考慮到云服務(wù)器近乎無限的計(jì)算能力,本節(jié)從計(jì)算成本和存儲(chǔ)成本兩方面分析新方案中用戶在密鑰加密、解密以及擁有權(quán)驗(yàn)證過程的效率.由于本文的重復(fù)認(rèn)證標(biāo)簽密鑰生成與文獻(xiàn)[10]中一致,故在此忽略對這一部分的效率分析,其次沒有考慮對對稱加密算法的分析.

計(jì)算成本:分別用Tm,Tc表示執(zhí)行一次群上模冪以及模乘運(yùn)算所需的時(shí)間.Tpar表示進(jìn)行一次雙線性對運(yùn)算所需的時(shí)間,而Thash表示執(zhí)行哈希運(yùn)算所需的時(shí)間,N表示用戶數(shù)量.

表1 與文獻(xiàn)[14]擁有權(quán)認(rèn)證中用戶計(jì)算成本比較
Table 1 Computational cost comparison of proof of ownership with [14]

文獻(xiàn)[14]所提方案新方案擁有權(quán)認(rèn)證Tm+TcTm+Tc

表1列出了新方案與文獻(xiàn)[14]所提方案在擁有權(quán)認(rèn)證上用戶的計(jì)算成本比較,可以看出,文獻(xiàn)[14]所提方案與新的方案具有相同的用戶計(jì)算開銷.

表2 與文獻(xiàn)[10]密鑰管理中用戶計(jì)算成本比較
Table 2 Computational cost comparison of key management with [10]

文獻(xiàn)[10]所提方案新方案密鑰加密2·Tpar+Tm+Tc+Thash2·(Thash+Tpar)密鑰解密2·Tm+Tc+2·Thash+2·Tpar2·(Thash+Tpar)

表2列出了新方案與文獻(xiàn)[10]在密鑰管理上用戶的計(jì)算成本比較.文獻(xiàn)[10]所提方案將密鑰分三份存儲(chǔ),整個(gè)過程分為密鑰分發(fā)和密鑰檢索兩個(gè)階段.其密鑰分發(fā)(即密鑰加密)過程中用戶耗時(shí)2·Tpar+2·Tm+Tc+Thash,在密鑰檢索階段(即密鑰解密部分),整個(gè)過程用戶耗時(shí)Tm+Tc+2·Thash+2·Tpar. 新方案中,密鑰加密上傳過程只需第一位用戶計(jì)算即可,整個(gè)過程包括兩次哈希運(yùn)算以及進(jìn)行兩次雙線性對運(yùn)算,耗時(shí)2·(Thash+Tpar).在用戶解密階段,每個(gè)用戶只需要進(jìn)行兩次哈希運(yùn)算以及兩次雙線性對運(yùn)算,故用戶開銷為2·(Thash+Tpar).

存儲(chǔ)成本:表3顯示了與文獻(xiàn)[10]存儲(chǔ)成本的比較結(jié)果.文獻(xiàn)[10]中,密鑰被分為配對密鑰Pak、部分密鑰Spart、共享密鑰Sshare三部分.其中Sidx為Pak的哈希值,存放在IS(索引服務(wù)器)中.KS存儲(chǔ)Sidx以及Spart,CS存儲(chǔ)N份Spart.用戶存儲(chǔ)其私鑰Ssk.新方案中,用戶只需存儲(chǔ)其私鑰SKui,CS存儲(chǔ)密鑰密文[CK]以及首次上傳用戶的公鑰gxi-1即可.

表3 與文獻(xiàn)[10]存儲(chǔ)成本比較
Table 3 Storage cost comparison with [10]

文獻(xiàn)[10]所提方案新方案用戶SskSKuiCSSshare·N[CK],gxi-1KSSidx,Spart-ISSidx-

實(shí)現(xiàn):最后為評估新方案的實(shí)際效率,使用Java語言,調(diào)用JPBC庫[16]實(shí)現(xiàn)并測試了所提方案的性能.Win10系統(tǒng)中進(jìn)行模擬實(shí)現(xiàn),處理器為Intel(R)Core(TM)i5-8300H,主頻2.30GHz,內(nèi)存為8GB.為獲得更好的準(zhǔn)確性,分別選擇文件大小為1M、3M、5M、8M以及10M的文本文件(.txt)各20組,對方案進(jìn)行了100次測試,并計(jì)算了所有測試結(jié)果的平均值.選擇AES作為對稱加密算法.除非特別指定,否則測試中的一些參數(shù)被設(shè)置為默認(rèn)值:1)L(N)=1024位;2)雙線性配對參數(shù)發(fā)生器為A型;3)隨機(jī)數(shù)的長度為512位.

圖2 各階段用戶計(jì)算時(shí)間對比Fig.2 User time comparison at each stage

圖2給出了新方案與文獻(xiàn)[10]在密鑰管理上以及與文獻(xiàn)[14]在擁有權(quán)認(rèn)證過程中用戶的計(jì)算成本對比.可以看出新的方案在計(jì)算效率上優(yōu)于文獻(xiàn)[10].同時(shí),在擁有權(quán)認(rèn)證過程中相比于文獻(xiàn)[14],新方案不僅提高了驗(yàn)證的安全性,而且用戶的計(jì)算效率未發(fā)生改變.最后,新方案的密鑰管理與擁有權(quán)驗(yàn)證的計(jì)算開銷均不受文件大小影響.

5 總 結(jié)

重復(fù)數(shù)據(jù)刪除有助于提高云服務(wù)器存儲(chǔ)的利用率,有效降低云用戶的存儲(chǔ)成本.在本文中,利用文獻(xiàn)[10]中利用盲簽名對收斂密鑰二次加密的思想以及對文獻(xiàn)[14]擁有權(quán)認(rèn)證的改進(jìn),提出了新的客戶端密文重復(fù)數(shù)據(jù)刪除方案.該方案能有效的抵抗對文件的暴力字典攻擊,并且提供了安全有效的用戶擁有權(quán)證明以及高效的文件加密密鑰分發(fā)管理功能.分析表明,同文獻(xiàn)[10]所提方案相比,新的方案在重復(fù)認(rèn)證標(biāo)簽生成以及密鑰管理上效率更優(yōu).由于文獻(xiàn)[10]并沒有提出自己的擁有權(quán)證明方案,而是直接描述了現(xiàn)有的基于Merkle 哈希樹的POW算法,而此類算法在數(shù)據(jù)量過大的情況下由于Merkle 哈希樹的高度過高均存在效率低下的問題,故新方案的Pow算法相比于文獻(xiàn)[10]依然存在優(yōu)勢.同時(shí),在擁有權(quán)認(rèn)證過程中較之文獻(xiàn)[14],在相同用戶計(jì)算開銷下提高了認(rèn)證的安全性.由于文獻(xiàn)[14]中所提密鑰管理算法存在如下安全問題:第三方服務(wù)器(授權(quán)方AP)可以在不需要用戶參與的情況下獨(dú)自完成用戶加密密鑰解密,故未與其效率進(jìn)行對比.新方案需要可信第三方KS的參與,如何簡化系統(tǒng)結(jié)構(gòu),設(shè)計(jì)無需額外服務(wù)器的安全高效的客戶端密文去重方案是下一步要考慮的問題.