基于響應模糊化的抗附加塊攻擊云數據安全去重方法

唐 鑫，周琳娜

（國際關系學院信息科技學院，北京100091）

（?通信作者電子郵箱xtang@uir.edu.cn）

0 引言

隨著大數據時代的到來，云存儲平臺面臨海量用戶數據的存儲挑戰，為了提高大數據的存儲和管理效率，越來越多的云服務商，諸如Dropbox、Mozy、Mega、Bitcasa 等［1-2］，采用云數據去重技術來避免存儲冗余數據，只保存用戶數據的一個副本。尤其是跨用戶去重技術，將去重范圍延伸到云存儲平臺的所有用戶，一個用戶上傳數據之前，首先上傳對應標簽信息，由云服務商在本地查找所有用戶存儲的數據，一旦發現相同副本，則阻斷數據上傳，并通過數據所有權驗證機制驗證用戶的所有權。如果驗證通過，則云服務商允許此后用戶對該數據的下載和使用。由于這種方式進一步提高了云存儲平臺的存儲效率，因此被廣泛采用。

然而，跨用戶去重技術在節約存儲開銷的同時卻使得云端數據的隱私面臨被邊信道攻擊竊取的安全風險［3］?？紤]一種模板化的用戶文件存放在云端，該文件只含部分敏感數據，其余部分均為公開數據。例如某公司員工的電子工資單，包含員工姓名、工號、部門等公開信息以及工資收入這個敏感信息。如果存在內部員工在未經許可的情況下想要獲知別人的工資信息，他只需按照模板格式生成目標員工的公開信息，同時按猜測附加上工資信息，隨后上傳生成的電子工資單并觀察去重系統的響應。一旦云服務商在本地發現相同的工資單副本，則會阻斷該員工的上傳，此時該員工就可確認猜測的工資信息即為對應員工的真實工資。為了應對這種攻擊，實現安全的跨用戶去重，當前許多工作分別對明文云數據［2，4-6］和密文云數據［7-11］作了大量研究。為了抵抗明文云數據跨用戶去重過程中的邊信道攻擊，現有解決方法大多在去重響應中附加隨機信息，使得檢測者無法根據云服務商返回的響應來判斷檢測文件的真實存在性。例如，如果將云端的去重響應設定為檢測文件在云端未命中的數據塊信息，則為了混淆檢測者，可在響應中附加部分命中塊信息，使得無論對命中文件還是未命中文件，去重響應中包含的數據塊個數均相等。簡單假定檢測文件的敏感信息均包含在一個數據塊之中，其余塊中均為公開信息。那么，在文件檢測時，如果檢測文件存在，當次檢測出的未命中塊數應為0；如果不存在，則未命中塊數應為1。為了混淆檢測者，前一種情況下可在響應中要求用戶上傳1 個隨機選定的命中塊；而在后一種情況下，則自然地要求用戶上傳未命中的敏感塊。因此，在兩種情況下，檢測者接收到的響應中均包含1 個數據塊信息，無法通過響應判斷所檢測文件的存在性。對密文云數據而言，當前工作通常在密文生成過程中添加隨機信息來實現對邊信道攻擊的抵抗。然而，攻擊者往往可以通過女巫攻擊［12］等方式偽造身份，獲取該隨機信息，因此這類方法仍然面臨安全風險。為了實現密文云數據的安全去重，可行的方法應類似明文去重，在響應中引入不確定性。盡管這類方法能夠奏效，但它們均要求云服務商首先能夠正確地判斷出所檢測文件的存在性，這在附加塊攻擊［5］的場景下是難以實現的。在附加塊攻擊中，檢測者首先對檢測文件附加上隨機數量的非命中塊，然后將各塊標簽信息一起上傳到云端檢測文件的存在性。顯然，無論文件的存在性如何，云服務商檢測出的未命中塊數均大于0，因此難以判斷文件的真實存在性，從而也無法在未命中文件的響應中附加隨機塊信息，實現混淆檢測者的目的。

因此，本文擬解決附加塊攻擊下的云數據去重安全性問題，在附加塊攻擊場景下，提出一種輕量級的抗邊信道隱私泄露安全去重方法。本文方法首次將附加塊數量作為考慮因素，對于待檢測文件，提取附加塊數量，與該文件未命中塊數比較，根據比較結果確定響應中要求用戶上傳的塊數，從而不需要基于檢測文件的存在性生成響應。本文方法不僅實現了附加塊攻擊場景下文件存在性隱私的絕對安全性，而且所需開銷遠遠低于現有的抗附加塊攻擊去重方法。

本文的工作主要有以下幾點:

1）針對附加塊攻擊場景下去重過程中云數據存在性隱私泄露的問題，提出一種安全的輕量級去重檢測框架。該框架使云服務商不僅能夠在未知所檢測文件真實存在性的情況下生成響應，混淆檢測者，而且能使響應中附加的冗余信息量實現最小化，將開銷控制在最低水平。

2）在本文設計的框架下，提出了一種基于響應模糊化的輕量級去重方法。該方法基于檢測到的附加塊數量、未命中塊數量，計算要求用戶上傳的數據塊并生成響應，使得無論對命中文件還是未命中文件，響應中包含的數據塊數量保持一致。從而，檢測者無法通過分析響應信息判斷所檢測文件的真實存在性，實現了附加塊攻擊場景下的安全去重。

3）通過安全分析說明了本文方法的安全性，并開展實驗驗證了性能。實驗結果表明，本文方法在實現附加塊攻擊場景下去重過程中云文件存在性隱私絕對安全性的前提下，所需開銷顯著小于當前最新方法；且與經典成果相比，在開銷相當或少量增加的情況下，安全性顯著提高。

1 相關工作

跨用戶云數據去重技術被廣泛用來消除云端冗余數據，提高存儲效率。然而，攻擊者卻能夠通過去重結果，創建邊信道以竊取云端數據的存在性隱私。為了抵抗邊信道攻擊，Harnik 等［4］提出了一種基于隨機閾值的方法——RTS（Randomized Threshold Solution），首先為每個文件在云端分別設置一個存儲閾值，該值對云用戶保密且只有當云端存放的文件數高于該閾值時才對該文件執行去重。這樣，即使檢測者接收到的去重結果表明云端要求上傳所檢測文件，也不能說明該文件在云端不存在，從而實現了對云端數據不存在隱私的保護。然而，一旦云服務商在檢測標簽信息后阻斷了用戶對檢測文件的上傳，就說明云端存儲的該文件數量達到了閾值，文件的存在性隱私就會暴露。作為改進工作，Zuo 等［5］提出了一種基于響應模糊化的抗邊信道攻擊去重方法——RRCS（Randomized Redundant Chunk Scheme），該方法首先要求云端正確地判斷出所檢測文件的真實存在性，再為命中文件和未命中文件分別在原響應中附加隨機數量的命中塊信息，以確保響應中包含的數據塊數量在相同的范圍內，從而使得攻擊者難以通過響應判斷所檢測文件的真實存在性。為了實現這一目的，兩種情況下附加的隨機塊數在不同的范圍內選定。具體來看，該方法假設待檢測文件的所有敏感信息均包含在一個數據塊之中，其余塊為公開塊。對于一個檢測文件而言，云端檢測出的未命中塊數量只能是0 或1，分別對應檢測命中和未命中兩種情況。顯然對于未命中文件而言，云端響應必須包含檢測出的未命中塊，則響應中附加的命中塊數量在［0，λN］中隨機選取，λ是用來平衡安全性和效率的比例因子，N 是檢測文件的塊數。而對命中文件，響應中附加的隨機塊數在［1，λN+1］中隨機選取。所以兩種情況下，去重響應包含的數據塊數量均在［1，λN+1］范圍中，攻擊者無法通過響應判斷文件存在性。然而，一旦攻擊者為檢測文件附加上隨機數量的非命中塊，無論對命中文件還是非命中文件，云端檢測出的未命中塊數量都將大于1，此時云服務商無法確認在響應中附加的數據塊數量是在［0，λN］中還是在［1，λN+1］中選取。按照無附加塊攻擊場景下的定義，Zuo 等［5］規定，兩種情況下均在［1，λN+1］中隨機選取附加的數據塊數量，因此命中文件和非命中文件的響應中包含的數據塊數量將不可避免地存在于不同的區間范圍之中，該方法在附加塊攻擊場景下存在泄漏文件存在性隱私的風險。此后，Yu 等［2］從數據塊檢測的角度研究了一種雙數據塊同時檢測方法，采用異或技術模糊化云端的去重響應，實現對邊信道攻擊的抵抗。然而，他們的方法仍然沒有在附加塊攻擊場景下實現文件存在性隱私的安全性。Pooranian 等［6］改進了這一方法，但是本質上仍然存在這一缺陷。

針對密文云數據，現有的工作大多基于CE（Convergent Encryption）加密技術［13］生成密文，該技術將明文的哈希值作為密鑰，因此同一文件的多個所有者可以生成相同密文。而云服務商只存儲密文，卻無法獲知明文哈希值，因而難以解密出明文?；谠摷夹g，Bellare 等［9］采用第三方可信服務器生成隨機數，并基于交互式盲簽名技術將之引入密鑰生成過程以抵抗邊信道攻擊。然而，該技術無法避免攻擊者通過偽造身份獲取該隨機信息，即:攻擊者可以偽造成正常用戶執行協議，從而產生包含隨機信息的密文再上傳去重。在Bellare 工作［9］的基礎上，Kwon 等［8］引入雙線性對技術進一步提高了安全性。Dang 等［11］提出了一種基于硬件的隨機數和密鑰生成方法。然而，這些后續工作均繼承了Bellare 工作［9］的局限性，在此范疇下，密文云數據去重過程中面臨的邊信道攻擊等同于明文，如采用如上所述的明文云數據抵抗邊信道攻擊的方法，同樣無法在附加塊攻擊場景下取得足夠的安全性。

2 抗附加塊攻擊的云數據安全去重方法

2.1 方法框架

本文所提抗附加塊攻擊的云數據安全去重方法的設計包含安全性和效率兩方面的考慮。其中，安全性是指本文方法需在附加塊攻擊場景下有效防止攻擊者通過建立邊信道竊取云端數據的存在性隱私，即:考慮攻擊者對待檢測文件附加了隨機數量的非命中塊后上傳至云端，云服務商按照本文方法生成響應，在響應中包含一定數量的冗余塊信息以實現模糊化，從而達到混淆攻擊者的目的。既談安全性，就要考慮實現安全性的代價。由于本文方法是通過在響應中附加冗余塊信息的方法來混淆攻擊者，而響應中包含的數據塊均為要求用戶上傳的塊，所以本文考慮的開銷主要為流量開銷。本文方法在效率上的目標是將流量開銷控制在最低水平。在此設計目標下，本文方法的框圖如圖1所示。

圖1 抗附加塊攻擊的云數據安全去重方法框圖Fig. 1 Framework of appending chunk attack resistant secure deduplication method for cloud data

如圖1 所示，本文方法以文件為檢測單元，每次檢測分塊后的一個完整數據文件。出于簡單性考慮，假定云用戶和云服務商已經協商好分塊大小，云端將一個文件的所有塊標簽存放在一起。在圖1 中，考慮兩個攻擊者檢測同一文件，所檢測文件的公開塊及附加塊均相等，只有敏感塊不同。接收到二者的文件上傳請求后，云服務商在本地數據塊標簽集中查找請求中包含的文件塊標簽，查找到匹配所有公開塊的標簽集后，統計標簽集中總命中塊數，并根據標簽集中元素個數，計算附加塊的數量，比較二者，根據結果生成響應。值得注意的是，所有的附加塊均不命中，而如果未命中塊的數量等于附加塊的數量，說明檢測文件中敏感塊命中，此時在響應中隨機附加一個命中塊信息；否則，一旦未命中塊的數量大于附加塊的數量，說明檢測文件中的敏感塊未命中，此時響應不需模糊化。如此一來，攻擊者1和攻擊者2接收到的響應中包含的塊數相同，而響應模糊化的開銷只有1 個冗余塊，即實現了開銷最小化。上述相關技術已申請專利［14］。

2.2 方法詳細構造

考慮云數據檢測者已經對待檢測文件分塊生成標識信息，并作為文件上傳請求上傳到云端，等待云端的去重響應以確定需要上傳哪些數據塊。其中，標識可為數據塊的哈希值。假定去重查詢請求對應的文件為F，請求包含F的N個數據塊C1，C2，…，CN及N′個附加塊A1，A2，…，AN′。其中，在N 個數據塊中有1 個塊包含敏感信息，可能為命中塊，也可能為非命中塊，其余N - 1 個數據塊均包含公開信息，為命中塊；所有的附加塊均為隨機生成的非命中塊。

云服務商接收到去重查詢請求以后，按照以下步驟來查找未命中塊的數量、檢測附加塊數量并生成響應。

1）首先在云存儲中查詢這N + N′個數據塊的標識信息，顯然，以文件為單位查詢，如果請求中的敏感塊命中，則云服務商可查詢到對應的N 個命中塊；否則，只能查詢到N - 1 個命中塊，記命中塊數量為H。非命中塊數量N? 可按式（1）計算:

根據以上分析可知，在沒有附加塊攻擊的情況下，N′=0，N?=N-H 的取值為1或者0；當N′≠0時，由于附加塊均為非命中塊，N?的取值至少為N′。

2）云服務商觀察查詢到的H 個命中塊對應的文件塊標簽集，記其包含的數據塊數量為L，則附加塊數量NA 可按式（2）計算:

式（2）表明，附加塊數量等于檢測文件的長度減去云端存儲的該文件長度。在正常情況下，云用戶上傳的文件塊標識對應的完整文件沒有附加非命中塊，即N′=0。如果該文件在云端存在，則請求中的文件長度N 等于云端存儲的文件長度L；而在附加塊攻擊的情況下，N′≠0，通過式（2）可計算出N′的真實值。

3）比較統計出的非命中塊數量N? 和計算出的附加塊數量NA，按照表1 確定響應中包含的數據塊數量。

根據上文分析不難發現，非命中塊數量N? 的取值為N′或N′+1，附加塊數量NA的實際值為N′，所以表1 中N? - NA 的值為0 或者1。當N? - NA = 0 時，說明在檢測文件中，只有附加的塊未命中，其余的N 個塊均命中，即檢測文件對應的原文件在云端存在。此時，云服務商生成的響應需包含N?個非命中塊，額外要求的1個塊用來實現響應模糊化，從而達到混淆攻擊者的目的。當N?-NA=1 時，說明在檢測文件中，除了N′個附加塊，原文件的1 個敏感塊也未命中，即檢測文件對應的原文件在云端不存在。此時，云服務商生成的響應只需包含所有N? 個非命中塊。值得注意的是，這里的非命中塊數量N?等于上一種情況文件命中時對應的非命中塊數量加1。所以兩種情況下的響應中包含的數據塊數量相同，攻擊者無法通過響應來判斷所檢測文件的存在性。

表1 去重響應生成方法Tab. 1 Generation method of deduplication response

抗附加塊攻擊的云數據安全去重方法的流程偽代碼如下所示。

3 安全性分析及性能驗證

本章將分析本文方法的安全性并通過實驗驗證其性能。其中安全性分析部分首先從理論上分析本文方法在附加塊攻擊場景下實現去重的過程中，云數據存在性隱私泄露的風險，從而表明本文方法能夠實現該場景下的邊信道攻擊抵抗。接下來，將本文方法與該領域當前最新工作進行比較，評估各自在無附加塊攻擊場景下和附加塊攻擊場景下存在性隱私泄露的風險，從而證明本文方法在安全性上的優勢。實驗驗證是通過開展實驗，評價本文方法的性能，并與該領域目前最新的工作進行比較，表明本文方法的性能優勢。為了開展實驗，本文采用亞馬遜EC2（Elastic Computing Cloud）來部署云數據跨用戶去重系統，并在系統上構建所提的去重響應機制。同時，選取一組配置為Intel Core i5-4590 CPU @ 3.3 GHz，8 GB RAM 和7 200 轉1 TB 容量硬盤的服務器作為云用戶客戶端，來實現云數據檢測。

3.1 安全性分析

如圖1 所示，在本文方法考慮的場景中，云端將同一個文件的數據塊標簽集中存儲。如果文件已經存放在云端，則云端存放的該文件標簽集合中包含的標簽個數即為文件塊個數。對于靜態文件來說，文件長度屬于固有屬性，不會改變。因此，本文方法按照式（2）來檢測附加塊的數量，在該場景下是可行的。另由附加塊攻擊的特性可知，攻擊者為了混淆云服務商，在檢測文件上附加的文件塊均為非命中塊，因此，本文方法在檢測步驟中，在云端檢測得到的未命中塊中已包含附加的文件塊，其余部分為可能的未命中敏感塊。由于本文假定一個文件只有一個敏感塊，因此，未命中敏感塊的個數只能是1 或0。綜上所述可知，對于一個檢測文件，未命中塊的個數N? 與附加塊個數NA 的差值只能是1 或0。當差值為1時，說明檢測文件的敏感塊未命中，而差值為0 時，說明敏感塊命中。在這兩種情況下，云服務商給出相同數量數據塊的響應，因而攻擊者無法根據響應判斷所檢測文件的真實存在性。

選取抗邊信道攻擊安全去重領域的最新成果RRCS［5］和經典成果RTS［4］作為比較對象，比較本文方法和RRCS、RTS在無附加塊攻擊和附加塊攻擊場景下的安全性，用文件存在性隱私泄露的概率來測量安全風險。在無附加塊攻擊場景下，本文方法對命中文件和非命中文件所需的上傳數據塊數量都為1，存在性隱私泄露的概率為0。RRCS 為非命中文件和命中文件在不同的區間內計算冗余塊的個數，確保云端響應中要求用戶上傳的文件塊數量均在相同區間［1，λN+1］中隨機產生，符合均勻分布。其中λ∈（0，1），用來平衡方法的開銷和安全性。因此，攻擊者根據響應難以判斷所檢測文件的存在性，在此場景下文件存在性隱私泄露的概率同樣為0。而RTS隨機產生閾值T，當云端副本數量少于T 時，攻擊者無法判斷文件存在性，一旦云端副本數達到T，存在性隱私立即泄露。

在附加塊攻擊情況下，由于本文方法構建在不需云端檢測出待檢文件真實存在性的基礎上，所以無論對命中文件還是非命中文件，所需上傳的數據塊數均為N′+1，攻擊者無法通過響應來區分，所以文件存在性隱私泄露的概率仍然為0。RRCS 對命中文件和非命中文件所需上傳的數據塊數量分別在［N′，λ（N+N′）+ N′］和［N′+1，λ（N+N′）+ N′+1］隨機選取，假設一個文件的敏感塊有m 種不同的可能，則檢測所有m 個版本的文件，如果有一個文件響應中包含的需上傳塊數量為N′，則存在性隱私泄露。同樣的，如果m - 1 個文件的需上傳塊數量均為λ（N+N′）+ N′+1，存在性隱私同樣泄露。而對RTS 而言，當云端敏感塊及附加塊副本數量少于T 時，敏感塊存在性隱私泄露風險為0，一旦數量達到T，存在性隱私立即泄露。3種方法的安全性比較結果如表2所示。

表2 本文方法和RRCS的存在性隱私泄露風險比較Tab. 2 Comparison of existence privacy disclosure risk between the proposed method and RRCS

3.2 性能驗證

為了驗證本文方法的性能，本節在公開數據集Fslhomes［15］、MacOS［15］和Onefull［16］上實現本文方法、RRCS 和RTS，并評價各自在無附加塊攻擊情況下和有附加塊攻擊情況下的性能開銷。其中:前兩種方法均采用響應模糊化的方法來混淆攻擊者，所需開銷均為用戶額外上傳冗余塊的通信開銷；RTS采用設置隨機閾值的方法，所需開銷為與閾值相關的文件冗余上傳開銷。因此本節將通信流量開銷作為比較對象來衡量3種方法的性能，即比較3種方法在確保各自安全性的基礎上，在云用戶和云服務商之間產生的通信流量開銷。Fslhomes 數據集是由紐約州立大學石溪分校的文件系統和存儲實驗室建立的，其中數據包含虛擬機圖片、word 文檔、程序源代碼等；MacOS 數據集收集了1 臺MacOS X 企業級服務器上的數據內容，該服務器可對247 名用戶同時提供電子郵件、數據庫等服務；Onefull數據集收集了國內一個實驗室15臺學生計算機上的數據信息。據統計，這3 個數據集平均文件大小分別為1 530 KB、683 KB 和622 KB，數據跨用戶冗余率分別為39%、48%和25%［5］。

3.2.1 無附加塊攻擊場景

本節將該數據集存放在已部署跨用戶去重系統的云平臺上，在開銷評估部分，首先考慮無附加塊攻擊場景下，對單個文件多次檢測，在云用戶和云存儲系統之間所產生的實際通信流量大小。為了比較的統一，假定目標文件在云端存在。用戶請求的待檢測文件公開信息均相同且與目標文件一致，只有敏感信息可能不同，即非命中塊數量為1或0。對命中文件和非命中文件，RRCS要求用戶上傳的數據塊在相同范圍內產生，而本文方法兩種情況要求用戶上傳的塊數相同，所以這里并不對文件的命中與否作區分。為了比較的一致性，將RTS 機制稍加修改，使其由文件級閾值去重變為數據塊級閾值去重。在Fslhomes、MacOS 和Onefull 這3 個數據集上分別隨機選取100個文件，計算3種方法在無附加塊攻擊場景下單文件檢測的平均流量開銷。

從如圖2所示的實驗結果可看出:對所選的3個數據集而言，RRCS 方法無論檢測文件是否命中，要求用戶上傳的數據塊均在［1，λN+1］中隨機產生，符合均勻分布，而本文方法要求用戶上傳的塊數始終為1，所以，在單文件100 次檢測中，RRCS方法的流量開銷波動變化，明顯高于本文方法。而RTS方法在文件檢測次數少于閾值T時，流量開銷為1個敏感塊的大小，與本文方法相同，這是因為此時無論對什么文件，云均要求用戶上傳1 個敏感塊。而當文件檢測次數大于等于閾值時，RTS方法的流量開銷與所檢測文件敏感塊的存在性有關。對一個非命中文件而言，云端仍然要求用戶上傳1 個敏感塊，而對命中文件而言，后續流量開銷為0。故RTS 達到閾值后的流量開銷可體現為期望值。由于3 個數據集數據冗余率分別為39%、48%和25%，故明顯可看到RTS 達到閾值后的流量開銷比本文方法略低，它在MacOS 數據集上達到最小，約為0.025 9 MB，在Onefull數據集上最大，約為0.037 4 MB。

接下來驗證不同數量文件上傳請求下，云用戶和云存儲系統之間所產生的實際通信流量大小。本實驗中，考慮請求檢測的文件數量控制在1～100，每一次請求的文件均隨機選取，對RRCS 而言，響應均隨機產生。用戶上傳響應中指定的數據塊。在Fslhomes、MacOS 和Onefull 這3 個數據集上分別隨機選取100個文件，計算3種方法在無附加塊攻擊場景下不同數量文件檢測的流量開銷，實驗結果如圖3所示。

由圖3 可知，由于本文方法所需上傳的數據塊數對命中文件和非命中文件均為1，所以產生的流量開銷隨著請求檢測的文件數量增加而線性增加。作為比較，RTS 的流量開銷近似線性增加，且略低于本文方法的開銷。與圖2 的結果一致，由于MacOS數據集的冗余度最大，RTS方法對該數據集流量開銷最低；反之，對Onefull 數據集流量開銷最大。由于RRCS 方法所需的塊數對兩種情況均在［1，λN+1］中隨機取值，所以其流量開銷在所測數據集中始終大于等于本文方法和RTS。隨著請求檢測的文件數量增大，多個文件對應的上傳塊累加起來，差別更加明顯。

圖2 無附加塊攻擊場景下單個文件檢測的流量開銷Fig.2 Traffic overhead of single file detection without appending chunk attack

圖3 無附加塊攻擊場景下不同數量文件檢測的流量開銷Fig.3 Traffic overhead of detection of different number of files without appending chunk attack

3.2.2 附加塊攻擊場景

接下來，考慮檢測文件均被附加了N′個非命中塊的情況，在此情景下，對于命中文件，RRCS需要上傳的文件塊數在［N′，λ（N+N′）+N′］中隨機選取，符合均勻分布。對于非命中文件，RRCS 需要上傳的文件塊數在［N′+1，λ（N+N′）+N′+1］中隨機選取，符合均勻分布；而在本文方法中，兩種情況下需要上傳的文件塊數均為N′+1。選取附加塊個數N′為5，首先比較單個文件檢測下的流量開銷，實驗結果如圖4 所示。由圖4可知，單個文件檢測場景下RRCS方法對命中文件和未命中文件實際產生的流量開銷范圍不同。對未命中文件，下限約為0.35 MB，顯著高于本文方法和RTS 方法。而對于命中文件，RRCS方法的流量開銷下限和本文方法相當且達到下限的次數很少。在3個數據集里分別檢測100次目標文件，命中情況下，RRCS 分別只有5、13、10 次達到下限，其余情況均高于本文方法的流量開銷。與前文無附加塊攻擊場景一致的是，RTS 方法在附加塊攻擊場景下流量開銷也略低于本文方法。

接下來驗證附加塊攻擊場景下，不同數量文件檢測的流量開銷。實驗場景設定類似無附加塊攻擊的情況。圖4 已表明無論檢測文件是否命中，RRCS的單個檢測流量開銷均大于本文方法或與本文方法相當，所以這里僅隨機選定命中文件和非命中文件，實驗結果如圖5 所示。由圖5 可知，由于本文方法在附加塊攻擊情況下，對命中文件和非命中文件，所需上傳的數據塊數均為N′+1，所以產生的流量開銷隨著請求檢測的文件數量增加而線性增加；隨著請求文件數量的增多，流量開銷與RTS的差距逐漸縮小。而對于RRCS，其所需塊數在兩種情況下分別為［N′，λ（N+N′）+N′］和［N′+1，λ（N+N′）+N′+1］，均大于等于本文方法；隨著請求檢測的文件數量增加，多個文件對應的上傳塊累加起來，差別更加明顯。

圖4 附加塊攻擊場景下單個文件檢測的流量開銷Fig.4 Traffic overhead of single file detection under appending chunk attack

圖5 附加塊攻擊場景下不同數量文件檢測的流量開銷Fig.5 Traffic overhead of detection of different number of files detection under appending chunk attack

4 結語

本文提出了一種基于響應模糊化的抗附加塊攻擊云數據安全去重方法的設計原理和詳細構造，并開展了安全性分析和性能驗證。同當前該領域的前沿成果RRCS 和經典成果RTS比較結果來看，本文方法在確保安全性的前提下，所需的流量開銷顯著小于RRCS 方法；而且與RTS 相比，在流量開銷相當或少量增加的情況下，安全性顯著提高；性能優勢隨著檢測文件數量的增加而愈加明顯。