基于角色對稱加密的云數據安全去重

熊金波，張媛媛，田有亮，應作斌，李琦，馬蓉

（1. 貴州省公共大數據重點實驗室（貴州大學），貴州 貴陽，550025；2. 福建師范大學數學與信息學院，福建 福州 350117；3. 安徽大學計算機科學與技術學院, 安徽 合肥 230601；4. 南京郵電大學計算機學院，江蘇 南京 210023）

1 引言

隨著云計算、大數據技術的不斷發展，越來越多的企業和個人通過數據外包享受到云服務提供商經濟高效的計算和存儲服務。Excelcom公司發布的“互聯網一分鐘產生數據”信息顯示，一分鐘內Facebook共產生701 389個賬號登錄，1.5億封電子郵件已發送，Google上產生240萬個的搜索請求，Instagram平臺上傳243萬多張照片。從信息單位的角度計算，2011年全世界每天發送的數據量達到40億或更多，全球數據產生量達到 1.8 ZB，IDC（international data corporation）的報告顯示，2013年全球數據量已達到4.4 ZB，并且數據總量每年的增長速度也超過50%，預計到2020年，全球數據總量將超過 44 ZB[1]。研究表明，超過一半的云存儲空間被重復數據的副本占用，用于管理重復數據的預算開銷是管理原數據本身的8倍。數據量的爆炸式增長態勢、占據大量存儲空間的重復數據以及龐大的管理開銷給云存儲空間帶來巨大壓力。因此，如何經濟高效地存儲和管理數據成為云服務提供商面臨的嚴峻挑戰。

為了提高存儲效率、降低管理開銷，重復數據刪除技術（數據去重）被云服務提供商廣泛采用。云服務器通過隨機抽樣、提取散列值等方法校驗用戶上傳的數據是否已經存儲，經驗證，若用戶新上傳的數據與原存儲數據相同則執行數據去重[1]。根據不同的分類標準，數據去重的分類結果也不盡相同。根據數據的處理單位，可以分為文件級數據去重和塊級數據去重；根據數據去重的執行對象，可以分為基于目標的數據去重即服務器端數據去重、基于文件源的數據去重（即客戶端數據去重）以及跨用戶數據去重[2]。實驗表明，跨用戶數據去重將節省一半以上的存儲空間，去重率達到90%～95%[3,4]。

然而，大數據時代下的企業與個人外包給云服務提供商的數據涉及大量隱私信息。因此，在保護用戶隱私數據的同時實施數據安全去重是云服務提供商面臨的新挑戰，是否能夠提供安全的數據去重服務也是滿足用戶外包數據需求的衡量標準之一。保護用戶數據隱私的安全去重技術迅速成為云存儲領域的研究熱點，得到學術界和產業界的廣泛關注。收斂加密（CE, convergent encryption）算法首先由Douceur等[5]提出，保證相同的數據經過散列運算及對稱加密算法得到相同的密鑰和密文。CE算法不僅滿足對密文數據進行重復性檢測的需求，而且有效地減少云存儲空間的浪費，能夠很好地適應云計算環境，如Puzio等[6]、Li等[7]和Stanek等[8]均結合CE算法實現云數據安全去重。為了達到語義安全，Bellare等[9]提出了一種消息鎖加密（MLE,message-locked encryption）算法，Chen 等[10]、Jiang 等[11]、Li等[12]和 Qin 等[13]分別結合 MLE 算法實現數據安全去重。然而，傳統的CE和MLE算法存在許多隱私泄露問題以及新的安全挑戰。

1) 隱私泄露。云服務提供商在采用數據去重技術控制單個文件副本數量的同時，敵手可能利用云數據去重過程并通過相關攻擊手段竊取用戶的隱私信息，包括個體隱私和集體隱私。不僅如此，在云服務器執行去重檢測的同時，用戶的身份、位置信息以及用戶之間重復數據的數量可能被泄露，這些隱私數據遭到泄露將嚴重阻礙云服務的健康發展，因此，在云數據去重過程中保護數據隱私尤為重要。

2) 未授權訪問?；趥鹘y內容加密算法的數據去重方案存在嚴重的安全漏洞，敵手僅通過上傳文件的散列值即可通過離線蠻力攻擊得到用戶信息，難以保障云端用戶隱私數據的安全性和授權訪問。云環境中用戶存在分層結構，不同層次的用戶所擁有的權限也不同，對于云端存儲的文件，只有擁有訪問權限的用戶才能訪問。在執行云數據去重過程中，如何保證只有擁有特定權限的用戶才能訪問指定文件是亟待解決的一個關鍵問題。

3) 權限的更新與撤銷。在實際應用中，執行數據去重的企業和個人的角色與需求靈活多變，這些用戶的權限也是動態變化的。因此，需要合理的更新和撤銷機制來及時處理用戶的權限變更，保證用戶的合法訪問權限；同時，滿足復雜多變的用戶需求，更好地應用在實際生產生活中。在云數據授權訪問過程中，用戶權限的更新與撤銷問題亟待解決。

綜上所述，為了解決現有云數據安全去重方案存在的上述問題，本文提出一種基于角色對稱加密的云數據安全去重方案。該方案設計一種角色對稱加密算法將用戶角色與密鑰相關聯，構建角色密鑰樹，滿足不同角色根據訪問控制策略訪問對應權限文件的需求，實現角色分層結構下的云數據授權去重，并通過群組密鑰協商解決角色與密鑰映射關系中由密鑰更新、權限撤銷等帶來的安全問題。本文主要貢獻如下。

1) 提出角色對稱加密算法，建立分層角色密鑰樹映射用戶角色關系，設計角色密鑰生成函數和文件密鑰生成函數獲得角色密鑰及文件密鑰，使用戶角色與其密鑰相關聯，為云數據安全去重提供理論基礎。

2) 針對云環境下的隱私泄露、未授權訪問等安全問題，提出一種基于角色對稱加密的云數據安全去重方案，實現角色分層結構下不同角色用戶對文件的授權訪問與安全去重。

3) 針對角色與密鑰映射關系中由于密鑰更新、權限撤銷等帶來的安全問題，設計一種授權密鑰更新機制，引入群組密鑰協商協議，對角色密鑰樹進行處理，在保證授權訪問和安全去重的基礎上，實現授權密鑰的更新和用戶權限的撤銷。

4) 安全分析表明，角色對稱加密算法是可證明安全的，基于角色對稱加密的云數據安全去重方案能夠滿足安全目標，性能分析和實驗結果表明所提方案是高效的。

2 相關工作

國內外學者對云環境中數據安全去重問題進行了深入研究，并取得了一定的成果。Puzio等[6]提出了一種基于 CE算法的安全高效存儲系統ClouDedup，增加訪問控制機制與語義安全加密算法實現數據塊級去重。Stanek等[8]將文件分為流行文件和非流行文件，分別對應不同的安全等級，針對這些不同安全等級的文件采用不同級別的加密算法。針對用戶自定義文件安全等級過程中出現的安全隱患，Puzio等[14]提出了一種PerfectDedup方案，使用完美散列函數獲得數據塊重要程度的索引，實現數據安全去重。Li等[7]將CE算法與收斂擴散機制結合，提出了一種CDStore方案以實現數據安全去重，實驗表明所提方案節省近70%的存儲開銷。為了達到語義安全加密，Bellare等[9]提出了一種 MLE算法，并給出明確的安全性目標和嚴格的形式化定義來實現云數據安全去重；在此基礎上，提出了一種跨用戶的數據安全去重方案iMLE[15]，采用交互消息鎖加密算法實現關聯文件的安全去重。Chen等[10]提出了一種適用于大規模加密文件環境中的數據安全去重方案BL-MLE，使用少量的元數據高效安全地實現文件級和塊級數據去重。Jiang等[11]提出了一種 R-MLE2方案，采用隨機化標識的方式實現跨用戶的高效數據去重。為了解決密鑰管理問題，Li等[16]將密鑰分布存儲在多服務器中，Miao等[17]提出了一種基于門限盲簽名與可校驗秘密共享機制的多密鑰服務器數據去重方案，可以防止第三方的密鑰服務器與云服務器合謀。針對密鑰更新問題，Li等[12]和Qin等[13]提出了一種通過更新密鑰狀態實現文件密鑰更新的REED方案，結合MLE和AONT-RS秘密共享機制滿足數據安全去重的要求。然而，上述結合 CE、MLE等基于內容加密的數據去重方案易遭受離線蠻力攻擊和側信道攻擊，存在隱私泄露和未授權訪問等安全問題。

通過上述攻擊，敵手僅依據上傳文件散列值就可以猜測得到文件信息，為此，Halevi等[18]提出了一種所有權證明（PoW, proof of ownership）的概念，服務器和客戶端分別根據原文件生成 Merkle Hash Tree（MHT），由服務器驗證客戶端所返回的給定挑戰對應的回答是否正確，進而得出所有權證明結果。為了減少客戶端的計算開銷，文獻[19,20]提出了一種s-PoW方案，根據特定算法獲得文件隨機位置的比特值作為挑戰，要求待驗證的客戶端返回對應結果，進而實現文件的所有權證明，擴展方案s-PoW1和s-PoW2有效提高了算法的執行效率。為了提高服務器端的計算和查詢效率，Blasco等[21]提出了一種基于布隆過濾器（BF, bloom filter）的BF-PoW方案，服務器端建立三元數組分別存儲文件、挑戰和應答，要求客戶端上傳一定數量的驗證信息證明文件的所有權，實驗表明，服務器加入布隆過濾器能夠大幅減少計算開銷。González-Manzano等[22]提出了一種基于CE算法的所有權證明方案ce-PoW，該方案無可信第三方參與，不涉及復雜密鑰管理，服務器采用四元數據結構映射密文塊、挑戰、應答和身份標識，通過與客戶端進行挑戰—應答交互機制實現文件所有權證明。針對敵手或未授權用戶利用側信道訪問文件信息的問題，Li等[23]提出了一種混合云環境下的授權去重方案，文件密鑰的生成與用戶權限相關，實現了云環境下的授權去重及重復數據檢測。González-Manzano等[24]綜合考慮授權去重問題和所有權證明方案，提出了一種ase-PoW方案，文件密鑰的生成與用戶的屬性相關，使用輕量級的訪問控制策略實現分層環境下的授權去重和文件所有權證明，然而，該方案未考慮密鑰的更新和撤銷，客戶端和服務器端的計算開銷較大。表1總結上述典型數據去重方案的相關特性并將其與本文所提方案進行對比。

表1 現有云數據去重方案的比較

綜上所述，現有解決云環境下數據安全去重問題的方案較少考慮到數據去重過程中的隱私泄露與未授權訪問等問題，缺乏對分層結構下授權用戶密鑰更新和權限撤銷等方面的研究。同時，在實現云數據安全去重與權限更新的基礎上，如何有效減少計算開銷、提高I/O讀寫效率以及降低通信開銷等問題也亟待研究。

3 系統模型、威脅模型和實現目標

為了方便描述本文所提安全去重方案，表2列出常用的符號及對應的描述。

表2 符號及其描述

3.1 系統模型

基于角色對稱加密的云數據安全去重方案的系統模型如圖1所示，主要包含3個實體：用戶、角色認證中心和云服務器。

圖1 系統模型

用戶：在云環境的分層結構中，不同角色的用戶擁有對應的角色密鑰，再結合訪問控制策略得到文件密鑰，用戶使用該文件密鑰對稱加密文件，向云服務器發送上傳或下載文件的請求。用戶通過群組密鑰協商協議更新角色密鑰，并與角色認證中心交互，實現用戶權限的撤銷。

角色認證中心：負責認證用戶角色和撤銷用戶權限，通過用戶身份認證用戶角色，返回角色密鑰給用戶。用戶執行群組密鑰協商協議與角色認證中心交互更新角色密鑰樹，撤銷用戶權限。

云服務器：負責安全存儲文件和執行授權去重，將用戶上傳的文件信息保存在存儲服務器中，當用戶再次請求上傳相同文件時執行授權去重，并返回對應的結果給用戶。

3.2 威脅模型

本文所提角色對稱加密算法[25]的角色密鑰和文件密鑰均需采用散列函數，假設所使用的散列函數均能夠抵抗弱碰撞攻擊和強碰撞攻擊，角色對稱加密算法的加密部分采用標準對稱加密算法，如AES-256。

本文考慮2種層面的攻擊：敵手對角色對稱加密算法的攻擊和對云數據安全去重方案的攻擊。

結合敵手的攻擊強度，本文考慮以下3種類型的敵手對算法發起攻擊。

1) 敵手A0的攻擊能力可以描述如下：能夠向挑戰者發起詢問，獲取有向無環圖T中所有公共信息Pub={IDi,H1}，攻陷算法的方式是成功猜測節點Gi的角色密鑰KG′i，成功的概率為Pr[KG′i=KGi]。

2) 敵手A1的攻擊能力可以描述如下：能夠向挑戰者發起詢問，獲取有向無環圖T中所有公共信息Pub={IDi,H1}、部分節點Gi的角色密鑰，攻陷算法的方式是成功恢復節點Gu的角色密鑰KG′u，成功的概率為Pr[KG′u=KGu]。

3) 敵手A2的攻擊能力可以描述如下：能夠向挑戰者發起詢問，獲取有向無環圖T中所有公共信息Pub={IDi,H1}、部分節點Gi的角色密鑰，并且可以選定任一節點Gv質詢挑戰者獲得對應的角色密鑰，攻陷算法的方式是成功區分挑戰者返回的角色密鑰是否為該節點的真正角色密鑰，成功的概率為Pr[KG′v=KGv]。

根據上述3種類型敵手攻擊能力的定義，敵手A0可獲得的信息包含于敵手A1和敵手A2掌握的挑戰信息中。因此，敵手的攻擊能力具有A1角色密鑰恢復和A2角色密鑰的不可區分。如果敵手A1攻陷算法的概率 ε1=Pr[KG′u=KGu]，敵手A2攻陷算法的概率 ε2=Pr[KG′v=KGv]是可忽略的，即敵手不能以不可忽略的概率攻陷該算法，則所提算法是安全的。

對云數據安全去重方案的攻擊中，敵手試圖非授權訪問、下載云端存儲的文件，存在以下類型的攻擊。

1) 內容猜測攻擊或文件偽造攻擊。敵手攔截合法用戶向云服務器上傳的數據，或云服務器向合法用戶反饋的數據，并試圖猜測所攔截數據的內容或偽造所攔截數據。

2) 共謀攻擊。在基于角色對稱加密算法的安全去重過程中，合法用戶可以與敵手共謀，泄露部分文件內容給敵手，根據文獻[17]和文獻[24]，當泄露不超過64 MB內容時足夠抵抗這種共謀攻擊。

3.3 系統實現目標

本文系統實現的目標主要考慮安全目標和性能目標2個方面。

安全目標主要包含算法安全性、抵抗內容猜測攻擊或文件偽造攻擊、抵抗共謀攻擊、細粒度訪問控制等方面。

1) 算法安全性：所提角色對稱加密算法是可證明安全的。

2) 抵抗內容猜測攻擊或文件偽造攻擊：在安全去重過程中，一個擁有文件f部分內容的敵手，能夠以可忽略的優勢成功猜測或偽造目標文件。

3) 抵抗共謀攻擊：在安全去重過程中，一個擁有文件f部分內容的敵手，必須和f的合法用戶交換至少Smin的信息才能成功通過安全去重協議。根據Halevi等[18]的方案，Smin設置為64 MB。

4) 細粒度訪問控制：本文所提方案，除了保障文件安全之外，還需要提供對用戶和文件的細粒度訪問控制支持，且不需要云服務器和用戶承擔額外的任務。

性能目標主要包含最小化傳輸帶寬、云服務器內存消耗和用戶端存儲空間。

1) 通信帶寬有效性：在執行安全去重過程中，用戶端和云服務器端交換的文件字節數應該盡可能小，以保證低通信開銷。

2) 服務器內存有效性：在執行安全去重過程中，云服務器端內存中加載的信息應比較小，與上傳的文件大小無關，以保證低內存開銷。

3) 用戶端存儲有效性：用戶端存儲的密鑰、密文數據盡可能少；此外，存儲密鑰的數量和長度都應該與文件大小無關，以保證低存儲開銷。

4 方案設計

本節首先提出一種新型的角色對稱加密算法，然后詳細描述基于所提算法的云數據安全去重方案。

4.1 角色對稱加密算法

角色認證中心建立分層角色密鑰樹以映射用戶角色和密鑰之間的關系，角色密鑰樹的每個節點表示不同的角色群組，擁有唯一的身份標識，相同角色的用戶屬于同一個角色群組，擁有相同的角色標識[4]。不同的文件由特定角色群組的用戶管理，根據不同的訪問控制策略，每個文件可由多個角色群組的用戶共同管理，但是有且僅有一個主角色群組[25]。

為了方便描述密鑰管理和文件管理過程，圖 2給出一種角色密鑰樹的實例。定義2棵角色密鑰樹T1和T2，根節點分別為Root1和Root2，并擁有各自的主密鑰MK1和MK2。T1包含2個角色群組G1和G2，群組G1由子群組G3和G4組成，而群組G2只有一個子群組G5。T2包含一個群組G6，并由一個子群組G7組成。文件f1屬于群組G3，由G3中的所有用戶管理，文件f1的主群組為G3。文件f2由G5中的用戶和G4中的用戶共同管理，文件f2的主群組為G5。文件f3由G7中的用戶和G5中的用戶共同管理，文件f3的主群組為G5。

圖2 角色對稱加密算法實例

所提角色對稱加密算法主要分為3個階段：角色密鑰生成、文件密鑰生成和對稱加密。

1) 角色密鑰生成階段。上述角色密鑰樹T1可以和一個有向無環圖形成映射關系，形式化定義為T1=＜G,E＞ ，其中，G={Root1,G1,G2,… ,Gn}，表示圖T1中的節點集合，每個節點G1表示一類角色，也表示一類安全級別；E= {E1,E2,… ,Em}，表示圖T1中有向邊的集合，每條有向邊Ei表示2個安全級別的角色之間具有從屬關系。

算法初始化（Setup）時，給定有向無環圖T1=＜G,E＞和安全參數λ、ρ，取圖T1中的每個節點Gi∈G分配唯一的角色標識符idi=Gi∈ {0 ,1}λ，隨機選取相應的密鑰材料MK1∈ {0 ,1}ρ，角色之間具有的從屬關系用散列函數H1描述。將角色標識符和角色從屬關系作為公開參數Pub={IDi,H1}，MK1作為根節點主密鑰。

各層角色密鑰推導過程（derivation）如下。由根節點的主密鑰及各個角色群組的標識計算得到各級群組節點的角色密鑰。G1的角色密鑰KG1=H1(H1(MK1) ‖G1)，G3的 角 色 密 鑰KG2=H1(H1(MK1)‖G3)。類似地，上級節點的散列值串聯該節點的群組標識再進行散列運算的結果作為各個角色群組節點的角色密鑰。

2) 文件密鑰生成階段。文件密鑰由主群組角色密鑰的散列值串聯訪問控制策略中其他擁有管理權的群組角色密鑰的散列值計算得到。文件f1屬于群組G3，該角色群組中的所有用戶擁有文件f1的管理權，文件f1的文件密鑰為角色密鑰KG3的散列值，fk1=H1(KG3)。文件f2由群組G5和群組G4中的用戶共同管理，群組G5為主群組，則文件f2的文件密鑰由主群組角色密鑰和其他擁有管理權的群組的角色密鑰計算得到，fk2=H1(KG5) ‖H2(KG4)。類似地，文件f3的文件密鑰與主群組G7和其他群組G5相關，fk3=H1(KG7) ‖H2(KG5)。

3) 對稱加密階段。由文件密鑰對稱加密原文件得到密文。使用文件密鑰fk1對稱加密文件f1得到密文， Θ1=Encfk1(f1)，類似地，得到文件f2和文件f3的密文， Θ2=Encfk2(f2)， Θ3=Encfk3(f3)。然后將使用文件密鑰對稱加密的密文 Θ1、Θ2、Θ3上傳至云服務器。

4.2 云數據安全去重方案構造

基于角色對稱加密的云數據安全去重方案包括4個階段：文件加密階段、文件上傳階段、文件存儲階段和文件去重階段。

1) 文件加密階段

用戶向角色認證中心發送認證請求，角色認證中心認證用戶身份、搜索角色密鑰樹，根據從根節點到用戶所屬群組節點的角色節點路徑以及根節點的主密鑰MKα，執行角色密鑰生成函數，得到角色密鑰rk并發送給用戶。其中，節點路徑可以表示為 ＜Root1,G1,G2,… ,Gi＞,i∈ [1,m]。

角色密鑰rk計算過程可以表示為rki=H1(…H1(H1(H1(MKα)‖G1)‖G2)… ‖Gi),i∈ [1 ,m]。

角色密鑰與節點路徑的節點標識及主密鑰相關，從主密鑰散列值開始，執行上級節點的散列值串聯用戶所屬群組標識再進行散列運算的遞歸操作，獲得角色密鑰。

用戶根據角色密鑰rk以及對應的訪問控制策略執行文件密鑰生成函數，獲得文件密鑰fk。

文件密鑰fk與角色密鑰及訪問控制策略相關，而散列函數的選擇取決于擁有文件管理權的角色群組是否為主群組，如果文件屬于單個角色群組，則x=1，即對該角色群組的角色密鑰進行H1操作，如果文件屬于多個角色群組，則對主群組的角色密鑰執行H1操作，對其他擁有管理權的角色群組的角色密鑰執行H2操作，最后串聯上述結果，作為文件密鑰。

用戶使用文件密鑰對稱加密原文件得到密文

文件加密階段的交互過程如圖3所示。

圖3 文件加密階段

文件加密階段的具體描述如算法1所示。

算法1 客戶端和角色認證中心——文件加密

輸入 角色群組節點列表，主密鑰MKα，文件f

輸出 使用文件密鑰對稱加密的密文Θ

2) 文件上傳階段

用戶執行角色對稱加密算法得到密文Θ，對密文執行散列操作得到文件索引值，hf=H3(Θ)，然后對用戶的身份標識進行散列操作得到加密的身份標識，eid=H4(id)，最后，用戶整合上述結果，首次向云服務器發送{Θ,hf,eid}，請求存儲文件。文件上傳階段具體描述如算法2所示。

算法2 客戶端——文件上傳

輸入 使用文件密鑰對稱加密的密文Θ，用戶身份標識id

輸出 文件索引值hf，加密的身份標識eid

return Θ,hf,eid

發送{Θ,hf,eid}給云服務器

3) 文件存儲階段

接收到用戶存儲文件的請求后，云服務器首先計算密文的散列值，h′f=H3(Θ)，驗證計算結果h′f是否與用戶上傳的文件索引值hf一致，用來抵抗文件偽造攻擊。如果通過驗證，云服務器根據接收到的信息創建一個二元的映射結構數組F，包括F ·ENC和·EID，分別存儲加密文件Θ和加密的用戶身份標識eid，并使用密文的散列值hf作為檢索數據結構的索引，如果結果不一致，則返回失敗。文件上傳階段和文件存儲階段的交互過程如圖4所示。

圖4 文件上傳階段和文件存儲階段

文件存儲階段的具體描述如算法3所示。

算法3 云服務器——文件存儲

輸入 文件索引值hf，使用文件密鑰對稱加密的密文Θ，加密的身份標識eid

輸出 二元的映射結構數組F

4) 文件去重階段

當用戶向云服務器發送上傳文件的請求時，執行文件去重過程。首先，云服務器要求用戶上傳文件索引值和加密的用戶身份標識{hf,eid}，然后，云服務器根據文件索引值hf檢索存儲服務器中是否存儲對應的結構數組，如果不存在，則要求用戶上傳使用角色密鑰加密的密文Θ，存儲到云存儲服務器中的二元映射結構數組中；如果存在，則表明云服務器中已存儲該文件，不需要用戶再次上傳文件，實現云數據安全去重，并返回給用戶存儲文件的地址，然后，驗證用戶上傳的加密身份標識是否屬于若屬于該數組，則表明該用戶使用同一身份上傳過相同文件，若不屬于該數組，則表明用戶使用該身份首次上傳文件，但云服務器中已存儲同一角色群組中的其他用戶上傳的文件，將用戶的加密身份標識添加到數組中。文件去重階段的交互過程如圖5所示。

圖5 文件去重階段

文件去重階段的具體描述如算法4所示。

算法4 云服務器——文件去重

輸入 文件索引值hf，加密的身份標識eid輸出 結果

ifhf存儲then

執行數據去重操作

renturn發送文件地址

當用戶向云服務器發送下載文件的請求時，發送文件索引值和加密的用戶身份標識{hf,eid}，云服務器驗證用戶的身份，根據文件索引值進行檢索，返回密文給用戶。最后，用戶使用文件密鑰解密文件得到原文件。

4.3 密鑰更新機制

為了解決密鑰更新問題，通過群組密鑰協商協議得到更新因子?，并與角色認證中心交互，提出一種密鑰更新機制，高效實現云環境下分層結構的角色密鑰更新和用戶權限撤銷。

用戶權限撤銷通過對用戶的角色密鑰進行更新實現，而更新角色密鑰主要是對角色樹進行操作的，用戶權限撤銷可分為以下3種情況。

1) 撤銷中間節點或葉子節點的部分用戶的權限

用戶通過密鑰協商協議協商出更新因子?，設參與密鑰協商的用戶個數為n，分別用U0,U1,…，Un?1表示。固定輪數群組密鑰協商協議基于可認證的群組密鑰協商協議[26]和橢圓曲線密碼系統，通過2輪協商得出群組密鑰即更新因子?。協商的過程可以描述如下。

①第一輪協商。參與協商的n個用戶分別隨機產生，由預先在橢圓曲線上選取的公共點P計算出Zi=riP，每個用戶Ui,i∈ [0 ,n? 1]發送Zi給用戶U(i?1)modn和U(i+1)modn。

②第二輪協商。用戶Ui,i∈ [0 ,n? 1]根據接收到 的Z(i?1)modn=r(i?1)modnP和Z(i+1)modn=r(i+1)modnP計算?i= (Z(i+1)modn?Z(i?1)modn)ri，并廣播?i至所有參與協商的用戶。用戶Ui計算出協商密鑰，即更新因子?，Ωi=nriZ(i+1)modn+(n? 1)?i+(n?2 )?(i+1)modn+ …+?(i? 2) m odn=Ω(i? 1)modn=Ω。

用戶將更新因子?發送給角色認證中心，角色認證中心將該群組節點標識與更新因子進行異或操作，作為更新后的群組節點標識，被撤銷權限的用戶不參與協商過程，無法獲得更新因子，也無法得到更新后的節點標識，從而不能執行角色對稱加密算法獲得密文，實現用戶權限的撤銷。撤銷中間節點或葉子節點的部分用戶權限過程如圖6所示。

2) 撤銷中間節點全部用戶的權限

角色認證中心指定更新因子Φ，與該群組節點標識進行異或操作，作為更新后的群組節點標識，該角色節點的全部用戶均無法獲得更新因子，也無法得到更新后的節點標識，從而不能執行角色對稱加密算法獲得密文，實現中間角色節點全部用戶權限的撤銷。撤銷中間節點全部用戶權限的過程如圖7所示。

圖6 撤銷中間節點或葉子節點的部分用戶權限過程

圖7 撤銷中間節點全部用戶權限的過程

3) 撤銷葉子節點全部用戶的權限

角色認證中心直接刪除該葉子節點，即刪除了該角色群組節點的節點標識，從而實現葉子角色節點全部用戶權限的撤銷。撤銷葉子節點全部用戶權限的過程如圖8所示。

圖8 撤銷葉子節點全部用戶權限的過程

角色認證中心由更新后的角色樹獲得新的節點路徑，執行角色密鑰生成函數，得到角色密鑰rk′并發送給對應角色的所有用戶。為了實現對已存儲密文的更新，角色認證中心在更新的角色群組中選擇參與密鑰協商的用戶，隨機發送該角色群組所管理的文件，參與密鑰協商的用戶個數為n, 角色群組Gx中管理的索引列表{token1,token2,…,tokenq}，token為云服務器存儲密文的索引，文件個數為q，隨機發送過程可以描述為以下2種情況。

1) 當n＞q時，即參與協商的用戶個數大于該角色群組中管理的文件個數。

①角色認證中心從n個用戶中隨機選擇q個用戶依次發送文件索引{token1,token2, …,tokenq}；②用戶執行文件密鑰生成函數得到更新后的文件密鑰fk′，并向云服務器發送更新文件請求，云服務器根據對應的文件索引返回密文，用戶使用文件密鑰得到更新后的密文上傳給云服務器。

2) 當n≤q時，即參與協商的用戶個數小于或等于該角色群組中管理的文件個數。

①角色認證中心計算，將文件索引{token1,toke2,…,tokenn}和{tokenn+1,token+2,…,tokenn+n}隨機發送給n個用戶，重復a輪，最后隨機從n個用戶中選取b個，將{tokenq?b,tokenq?b+1,…,tokenq?1,tokenq}依次發送給b個隨機用戶；②用戶執行情況1)的步驟②，完成更新密文操作。

5 安全性分析

本文的安全性分析主要包含算法安全性證明和系統安全性分析。

5.1 算法安全性證明

本文借鑒文獻[27,28]的構造思想，利用標準模型，對所提角色對稱加密算法進行形式化安全證明。通過將所提算法規約到隨機函數的安全性和加密方案的選擇明文攻擊的安全性上來證明所提算法是安全的，即如果存在敵手A攻陷所提算法的概率等價于存在敵手 A′攻陷所提算法采用的一個多項式時間的計算復雜難題上，則可以證明所提算法是安全的[29]。

命題1 令RSE表示本文所提角色對稱加密算法，設H1是一個安全、抗碰撞的散列函數，H1∶{0 ,1}?→ {0 ,1}ε。設FR是一個偽隨機函數集合，。對于任意的有向無環圖T=＜G,E＞，如果存在一個敵手A1以ε的概率攻陷 RSE，則存在敵手 A1′以ε′的概率攻陷隨機函數FR。

證明 定義Game0,Game1, …,Gamew為敵手發起的一系列游戲，敵手發起的真正游戲為Game0，每個游戲Gamei對應有向無環圖T=＜G,E＞中節點展開角色密鑰恢復的操作，通過Game之間獲得的密鑰不可區分性來證明敵手進行Game0攻陷算法RSE的概率是可忽略的。

1)Game0

初始化階段。挑戰者C調用RSE的初始化函數，即輸入有向無環圖T1，主密鑰MK1，安全參數{0 .1}ρ。將輸出結果中的公開信息Pub={IDi,H1}交給 A1′。

詢問階段。 A1′向C發起詢問，詢問任意節點Gi對應的角色密鑰材料，即KGi的結果。

挑戰階段。挑戰者C由角色密鑰生成算法計算得到對應的角色密鑰材料KGi，具體可以描述為KGi=H1(…H1(H1(H1(MK1)‖G1)‖G2)… ‖Gi),Gi∈ {0 ,1}λ=IDi,MK1∈ {0 ,1}ρ，并將上述角色密鑰材料KGi的結果返回給 A1′。

猜測階段。敵手 A1′指定一個節點G0，且G0與質詢階段的Go不構成從屬關系， A1′通過猜測得到最接近G0的真實角色密鑰KG0的密鑰KG′0， A1′贏得Game0的優勢定義為

2)Game1

Game1的初始化階段、詢問階段和挑戰階段均與上述Game0過程相同，區別在于猜測階段獲得角色密鑰KG1的算法由偽隨機函數集合來替代，即KG1≈FR(MK1,ID1)。利用Game0和Game1之間的可區分性，能構造一個多項式時間算法，以不可忽略的概率優勢攻陷安全隨機函數，有

成立。

同理，下面描述Gamei(i=0,1,2,…,w)。

3)Gamei

Gamei的初始化階段、詢問階段和挑戰階段均與上述Gamei?1過程相同，區別在于猜測階段獲得角色密鑰KG1的算法由另一偽隨機函數集合來替代，即KG1≈FR′ (MK1,ID1)。利用Gamei和Gamei?1之間的可區分性，能構造一個多項式時間算法，以不可忽略的概率優勢攻陷安全隨機函數，有

成立。

敵手 A1′在整個游戲Gamei?w過程中，無法通過詢問獲得真實角色密鑰KG1，因此，敵手 A1′能夠猜測出正確角色密鑰KG1贏得游戲的優勢定義為

合并式(1)～式(3)，即，證畢。

命題2 令RSE表示本文所提角色對稱加密算法，設H1是一個安全、抗碰撞的散列函數，設是一個偽隨機函數集合，。對于任意的有向無環圖T=＜G,E＞，如果存在一個敵手A2以ε的概率攻陷 RSE，則存在敵手A2′，A2′以ε′的概率攻陷隨機函數FR。

證明 定義Game0,Game1, …,Gamew為敵手發起的一系列游戲，敵手發起的真正游戲為Game0，每個游戲Gamei對應有向無環圖T=＜G,E＞中節點展開角色密鑰獲取的操作，敵手的優勢為可以區分挑戰者返回的結果是真正的角色密鑰還是與密鑰等長的隨機值，通過Game之間獲得的密鑰不可區分性來證明敵手進行Game0攻陷算法 RSE的概率是可忽略的。

1)Game0

初始化階段。挑戰者C調用RSE的初始化函數，即輸入有向無環圖T1，主密鑰MK1，安全參數其中。將輸出結果中的公開信息給 A2′。

詢問階段。A2′向C發起詢問，詢問任意節點Gi對應的角色密鑰材料，即KG1的結果。

挑戰階段。①挑戰者C由角色密鑰生成算法計算得到對應的角色密鑰材料KG1，即，并將上述角色密鑰

材料KGi的結果返回給A2′。②A2′選定任一節點G0，且G0與詢問階段的Gi不構成從屬關系，向挑戰者C發起詢問。挑戰者C隨機選擇Cr′ ∈ {0 ,1}， 若Cr′= 1， 則 返 回 真 實 角 色 密 鑰

則返回與密鑰等長的隨機值KG′0。

猜測階段。敵手A2′被賦予挑戰者C隨機選擇Cr′ ∈ {0 ,1}返回的對應值作為猜測結果，則A2′贏得Game0的優勢定義為

2)Game1

Game1的過程與上述Game0過程相同，區別在于推導獲得角色密鑰KG1的算法由偽隨機函數集合來替代，即KG1≈FR(MKα,ID1)。利用Game0和Game1之間的可區分性，能構造一個多項式時間算法，以不可忽略的概率優勢攻陷安全隨機函數，有

成立。

同理，下面描述Gamei(i=1,2,…,w)。

3)Game1

Gamei的過程與Gamei?1過程相同，區別在于推導獲得角色密鑰KG1的算法由另一偽隨機函數集合來替代，即KG1≈FR′ (MKα,ID1)。利用Gamei和Gamei?1之間的可區分性，能構造一個多項式時間算法，以不可忽略的概率優勢攻陷安全隨機函數，有

成立。

敵手A2′在整個游戲Gamew過程中，無法通過區分獲得的角色密鑰是真實角色密鑰還是與密鑰等長的隨機值，因此，敵手A2′無法通過推導得到真實的角色密鑰KG1，則能夠成功猜測挑戰者返回結果為真實角色密鑰，贏得游戲的優勢定義為

合并式(4)～式(6)，即證畢。

5.2 系統安全性分析

本文所提云數據安全去重方案需要抵抗內容猜測攻擊、文件偽造攻擊和共謀攻擊，與傳統的基于內容加密的數據去重方案相比，本文所提方案基于角色對稱加密算法建立密鑰和用戶角色之間的映射關系，確保密鑰和文件內容無關，使得敵手無法通過內容猜測攻擊獲取隱私信息，即使敵手得到密文信息，也無法解密出原文件[30]。在假設合法用戶與敵手交換至少Smin的信息成功通過安全去重協議的安全目標下，根據Halevi等[18]設置Smin為64 MB來實現抵抗共謀攻擊。在文件存儲階段，服務器通過驗證用戶上傳的密文Θ和文件索引值hf是否一致來抵抗文件偽造攻擊，使擁有部分文件信息的敵手以可忽略的優勢成功訪問目標文件。在實現細粒度訪問控制的安全目標方面，基于角色的對稱加密算法通過訪問控制策略和用戶角色權限關聯文件密鑰來實現不同權限的用戶訪問特定的文件，計算角色密鑰的過程中使用遞歸散列的操作以及計算文件密鑰的過程中使用串聯操作保證了不同的訪問控制策略的應用，如果用戶權限被撤銷，則不能訪問該文件，實現了細粒度訪問控制的目標。

本文所提方案的通信帶寬與設置的安全參數相關，滿足用戶和服務器交換較小的文件字節數實現授權去重的系統目標，服務器的內存開銷也與安全參數相關，但與上傳的文件大小無關，保證了服務器的低內存開銷?？蛻舳舜鎯Φ慕巧荑€由角色認證中心計算，用戶根據訪問控制策略和角色密鑰得到文件密鑰來加密原文件，因此，客戶端存儲的密鑰長度與文件大小無關，實現用戶端存儲有效性的系統目標。

表3將本文所提云數據安全去重方案與相關方案在算法安全性、系統安全性、細粒度訪問控制和性能目標等方面進行歸納與總結。

6 性能分析與評價

6.1 算法復雜度分析

本文主要從客戶端、服務器端和第三方服務器的計算開銷分析算法的復雜度。客戶端的計算開銷主要是使用散列和串聯操作得出文件密鑰、使用文件密鑰對稱加密文件得到密文、進而得到文件索引值，復雜度與密鑰長度、訪問控制策略以及文件大小相關。服務器端的計算開銷主要是計算和匹配文件索引值、生成和檢索二元映射結構，復雜度與具體的匹配算法、檢索算法相關。第三方服務器的計算開銷主要是角色認證中心初始化角色密鑰樹、搜索角色密鑰樹及獲取角色密鑰，復雜度與角色密鑰樹的層次，密鑰長度及具體的搜索算法相關。表 4將本文方案與實現數據安全去重和所有權證明的方案在計算復雜度和帶寬方面進行對比分析。

從表 4可以看出，在客戶端計算開銷方面，ce-PoW和ase-PoW均對文件塊進行加密操作，雖然比其他方案直接對文件操作更加高效，但是密鑰的計算也需要較大的開銷；在服務器端計算開銷方面，ce-PoW和ase-PoW均對文件塊進行處理，與其他方案相比計算開銷較小；在第三方服務器計算復雜度方面，AuthorizedDedup方案、ase-PoW和本文提出的方案均引入第三方服務器，AuthorizedDedup方案的第三方服務器計算密鑰與文件相關，而ase-PoW和本文方案與文件無關，因此，效率更高。

6.2 性能評價

本文采用Linux系統下Java語言進行系統仿真實驗，選取公開的OpenSSL函數庫中AES-256與SHA-256算法實現對稱加密和散列運算。實驗環境配置如下，CPU：Intel Core i5-4590 3.30 GHz；RAM：8 GB；磁盤：WDC WD10EZEX-08M2NA0（1TB/7200 r/min）；操作系統：Ubuntu 12.04.4 LTS。

實驗測試文件加密階段和文件上傳階段的運行時間，實驗運行1 000次，取平均值作為實驗結果，選擇9個從2 MB到512 MB不同大小的文件：2 MB、4 MB、8 MB、16 MB、32 MB、64 MB、128 MB、256 MB和512MB。

文件加密階段的運行時間主要分為生成角色密鑰、生成文件密鑰及對稱加密。實驗測試了生成不同層級的群組角色密鑰運行時間，在不同訪問控制策略下生成文件密鑰運行時間和使用文件密鑰對稱加密文件的運行時間，如圖9～圖11所示。

表3 相關方案安全性和性能目標的比較

表4 相關方案計算復雜度和帶寬消耗的比較

圖9 生成不同層級群組角色密鑰的運行時間

圖10 不同群組個數下生成文件密鑰的運行時間

圖11 對稱加密文件的運行時間

從圖9可以看出角色密鑰的計算復雜度與角色群組節點的層次和密鑰長度相關，隨著層次個數的增加，運行時間也不斷增大，當設置主密鑰長度為512 bit，角色群組在角色密鑰樹的第10層時，計算角色密鑰的時間開銷僅需3 ms，具有很高的計算效率。文件密鑰的計算復雜度主要與訪問控制策略相關，即文件所屬的角色群組個數相關，由圖 10不同群組個數下生成文件密鑰的運行時間可以看出，隨著群組個數不斷增加，得到文件密鑰的運行時間也不斷增大，當角色群組個數為 10個時，計算文件密鑰的時間開銷約為2.7 ms，具有較高的效率。文件加密階段主要的時間開銷在使用文件密鑰對稱加密文件上，如圖 11所示，隨著文件大小的增加，對稱加密的時間開銷增大，曲線的增長趨勢符合方案計算復雜度的分析。

文件上傳階段的運行時間主要是計算文件索引值，上傳文件信息和運行時間的關系如圖12所示。文件大小不斷增加，上傳文件所需時間開銷有明顯增長，曲線的增長趨勢符合方案計算復雜度的分析。

圖12 文件上傳階段運行時間

7 結束語

隨著云計算和大數據技術的普及和發展，數據量的爆炸式增長和龐大的管理開銷給有限的存儲空間帶來巨大壓力，如何有效地存儲管理這些文件，在保護個人隱私的同時實現安全訪問和授權去重成為當前的研究熱點。本文綜合考慮隱私泄露、未授權訪問、安全數據去重和密鑰更新等問題，提出了一種全新的角色對稱加密算法和基于該算法的云數據安全去重方案，通過構建角色密鑰樹，建立角色和密鑰之間的映射關系，并利用角色對稱加密關聯用戶角色與密鑰，以滿足不同角色根據訪問控制策略訪問對應權限文件的需求，有效保護個人隱私信息，實現云環境中分層結構下的云數據授權去重，并通過群組密鑰協商解決角色與密鑰映射關系中由密鑰更新、權限撤銷等帶來的安全問題。安全性證明和性能分析表明所提方案是安全且高效的。

[1] XIA W, JIANG H, FENG D, et al. A comprehensive study of the past,present, and future of data deduplication[J]. Proceedings of the IEEE,2016, 104(9)∶1681-1710.

[2] 熊金波, 張媛媛, 李鳳華,等.云環境中數據安全去重研究進展.通信學報,2016,37(11)∶169-180.XIONG J B, ZHANG Y Y, LI F H, et al. Research progress on secure data deduplication in cloud[J]. Journal on Communications, 2016,37(11)∶ 169-180.

[3] LIU J, ASOKAN N, PINKAS B. Secure deduplication of encrypted data without additional independent servers[C]//ACM SIGSAC Conference on Computer and Communications Security. 2015∶874-885.

[4] XIONG J, ZHANG Y, LI X, et al. RSE-PoW∶ a role symmetric encryption PoW scheme with authorized deduplication for multimedia data[J]. Mobile Networks and Applications, 2017∶1-14.

[5] DOUCEUR J, ADYA A, BOLOSKY W, et al. Reclaiming space from duplicate files in a serverless distributed file system[C]//International Conference on Distributed Computing Systems. 2002∶ 617-624.

[6] PUZIO P, MOLVA R, ONEN M, et al. ClouDedup∶ secure deduplication with encrypted data for cloud storage[C]//5th International Conference on Cloud Computing Technology and Science(CloudCom). 2013∶ 363-370.

[7] LI M, QIN C, LI J, et al. CDStore∶ toward reliable, secure, and cost-efficient cloud storage via convergent dispersal[J]. IEEE Internet Computing, 2016, 20(3)∶ 45-53.

[8] STANEK J, SORNIOTTI A, ANDROULAKI E, et al. A secure data deduplication scheme for cloud storage[C]// International Conference on Financial Cryptography and Data Security, Springer Berlin Heidelberg, 2014, 8437∶ 99-118.

[9] BELLARE M, KEELVEEDHI S, RISTENPART T. Message-locked encryption and secure deduplication[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques.Springer Berlin Heidelberg, 2013, 7881∶ 296-312.

[10] CHEN R, MU Y, YANG G, et al. Bl-MLE∶ block-level messagelocked encryption for secure large file deduplication[J]. IEEE Transactions on Information Forensics and Security,2015,10(12)∶2643-2652.

[11] JIANG T, CHEN X, WU Q, et al. Secure and efficient cloud data deduplication with randomized tag[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(3)∶ 532-543.

[12] LI J, QIN C, LEE P P C, et al. Rekeying for encrypted deduplication storage[C]//46th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). 2016∶ 618-629.

[13] QIN C, LI J, LEE P P C. The design and implementation of a rekeying-aware encrypted deduplication storage system[J]. ACM Transactions on Storage (TOS), 2017, 13(1)∶ 9.

[14] PUZIO P, MOLVA R, ?NEN M, et al. PerfectDedup∶ secure data deduplication[C]//International Workshop on Data Privacy Management. Springer International Publishing, 2015∶ 150-166.

[15] BELLARE M, KEELVEEDHI S. Interactive message-locked encryption and secure deduplication[C]// IACR International Workshop on Public Key Cryptography. Springer Berlin Heidelberg, 2013, 7881∶296-312.

[16] LI J, CHEN X F, LI M Q, et al. Secure deduplication with efficient and reliable convergent key management[J]. IEEE Transactions on Parallel and Distributed Systems, 2014, 25(6)∶ 1615-1625.

[17] MIAO M, WANG J, LI H, et al. Secure multi-server-aided data deduplication in cloud computing[J]. Pervasive and Mobile Computing, 2015, 24∶ 129-137.

[18] HALEVI S, HARNIK D, PINKAS B, et al. Proofs of ownership in remote storage systems[C]// 18th ACM conference on Computer and Communications Security, ACM, 2011∶ 491-500.

[19] DI PIETRO R, SORNIOTTI A. Boosting efficiency and security in proof of ownership for deduplication[C]// 7th ACM Symposium on Information, Computer and Communications Security. ACM, 2012∶ 81-82.

[20] DI PIETRO R, SORNIOTTI A. Proof of ownership for deduplication systems∶ a secure, scalable, and efficient solution[J]. Computer Communications, 2016, 82∶ 71-82.

[21] BLASCO J, ROBERTO D P, ALEJANDRO O, et al. A tunable proof of ownership scheme for deduplication using bloom filters[C]// IEEE Conference on Communications and Network Security (CNS). 2014∶481-489.

[22] GONZáLEZ-MANZANO L, AGUSTIN O. An efficient confidentiality-preserving proof of ownership for deduplication[J]. Journal of Network and Computer Applications, 2015,50∶ 49-59.

[23] LI J, LI Y K, CHEN X, et al. A hybrid cloud approach for secure authorized deduplication[J]. IEEE Transactions on Parallel and Distributed Systems, 2015, 26(5)∶ 1206-1216.

[24] GONZáLEZ-MANZANO L, FUENTES J M D, CHOO K K R.ase-POW∶ a proof of ownership mechanism for cloud deduplication in hierarchical environments[C]// 12th EAI International Conference on Security and Privacy in Communication Networks.2016∶ 412-428.

[25] ZHANG Y, XIONG J, REN J, et al. A novel role symmetric encryption algorithm for authorized deduplication in cloud[C]//10th EAI International Conference on Mobile Multimedia Communications (EAI MOBIMEDIA). 2017∶ 104-110.

[26] 王宏遠, 祝烈煌, 李龍一佳. 云存儲中支持數據去重的群組數據持有性證明[J]. 軟件學報, 2016, 27(6)∶1417-1431.WANG H Y, ZHU L H, LI L Y J. Group provable data possession with deduplication in cloud storage[J]. Journal of Software, 2016, 27(6)∶1417-1431.

[27] SANTIS A D, FERRARA A L, MASUCCI B. Efficient provably-secure hierarchical key assignment schemes[J]. Theoretical Computer Science, 2011, 412(41)∶ 5684-5699.

[28] ATALLAH M, BLANTON M, FAZIO N, et al. Dynamic and efficient key management for access hierarchies[J]. ACM Transactions on Information and System Security (TISSEC), 2009, 12(3)∶1-43.

[29] 馬駿, 郭淵博, 馬建峰,等.物聯網感知層一種分層訪問控制方案[J].計算機研究與發展, 2013, 50(6)∶ 1267-1275.MA J, GUO Y B, MA J F, et al. A hierarchical access control scheme for perceptual layer of IoT[J]. Journal of Computer Research and Development, 2013, 50(6)∶1267-1275.

[30] 宋建業,何暖,朱一明,等.基于阿里云平臺的密文數據安全去重系統的設計與實現[J].信息網絡安全,2017(3)∶39-45.SONG J Y, HE N, ZHU Y M, et al. Design and implementation of secure deduplication system for ciphertext data based on Aliyun[J].Netinfo Security, 2017(3)∶39-45.