第 11 期 熊金波等:云环境中数据安全去重研究进展 ·171·
户计算资源、存储资源等的按需分配。当云服务器
检测到多用户之间具有重复数据后,执行去重操
作,则其很容易识别多用户之间的重复数据量,这
本身就泄露了用户和数据的部分隐私,如何既实现
数据去重又保护用户隐私是亟需解决的一个难题。
3) 侧信道攻击。在跨用户安全去重的任务执行
过程中,可能因文件的大小、类型、散列值等信息
而产生侧信道攻击,通过识别文件、试图学习文件
内容和建立隐蔽通道
[8]
而揭露用户的身份、职业、
敏感文件等隐私信息。如何在云数据安全去重过程
中,避免侧信道攻击以保护参与用户的隐私成为亟
需解决的另一个关键问题。
2.2 系统模型
本节将介绍云数据安全去重机制的通用系统
模型,如图 1 所示,主要实体包含用户、云服务器、
第三方服务器。
图 1 云数据安全去重的系统模型
用户将文件进行预处理后上传到云服务器,该服
务器负责存储文件与相关文件标识,当其他用户再次
上传相同文件时,云服务器执行数据安全去重工作。
通常情况下,数据安全去重方案只包含用户与
云服务器 2 个实体,如文献[9~13]等。但为了安全
需要或实现对密钥的有效管理,许多方案引入第三
方服务器,如文献[14~17]等引入密钥服务器来专门
存储和管理密钥;文 献[18, 19]等引入文件索引服务
器提供安全的文件索引,此外,文献[18]还引入身
份验证服务器来验证用户身份和抵抗 Sybil 攻击。
2.3 威胁模型
本节主要描述云数据安全去重机制中常见
的
攻击类型和攻击行为
[20]
,以 及 抵抗这些攻击的相关
方案,如表 1 所示。
蛮力攻击。收敛加密(CE, convergent encryption)
的密钥由原始文件计算而来,因此,知道密文的敌
手可对猜测的明文进行加密并与之进行对比,则可
能猜测出原始数据。针对该攻击,DupLESS
[14]
提出
使用不经意伪随机函数(OPRF, oblivious pseudo-
random function)的密钥服务器(KS, key server)来产
生密钥,即密钥是由数据本身和一个系统层面的密
钥共同决定,实现了数据的保密性并能抵抗蛮力攻
击。针对 KS 和云服务器合谋导致敌手可以获取密
文和密钥的问题,Miao 等
[17]
提出一种基于门限盲
签名与可校验秘密共享机制的多密钥服务器数据
去重方案,即密钥由多个 KS 合作产生,每个 KS
只有密钥分量,无法得到完整密钥,有效防止单个
KS 与云服务器的合谋。
侧信道攻击。主要分为 3 种:1) 识别文件,攻
击者上传特定的文件到云服务器,根据数据去重是
否发生来判断其是否拥有该文件;2) 学习文件内
容,识别特定文件是否存储在服务器之后,攻击者
可能为了确定文件的内容而进行穷举攻击;3) 建立
隐蔽信道,攻击者设法在用户的电脑上安装恶意软
件,利用数据去重建立隐蔽信道与外部通信。
针对上述攻击,Chen 等
[10]
提出一种将秘密共
享机制 AONT-RS 与 CE 结合的 CDStore 方案,进
行用户本地和全局 2 个阶段的去重,有效解决了侧
信道攻击。Puzio 等
[16]
在 CE 加密的基础上增加额外
的 语义安全加密 方 案 和访问控 制机制,提出
ClouDedup 抵抗侧信道攻击。此外,文献[21]提出
利用差分隐私(DP, differential privacy)技术
[22]
来抵
抗上述攻击。
字典攻击。在基于 CE 的数据去重方案中,敌
手跟云服务器合谋,将明文进行加密,与 已知 的密文
字典进行对比,则 可 以 猜测到目标文件。即使数据
加密密钥由用户的私钥加密并且存储在安全的服
务器上,只要敌手可以得到加密密文,就可以实施
字典攻击。文献[16]方案可以抵抗字典攻击,而文
献[19]则提出对不同安全级别的文件进行不同级别
的加密来抵抗这类攻击。
伪造攻击。敌手利用云服务器无法区分明文和
密文的漏洞,上传一个加密文件以及与其不一致的
伪造指纹信息,使另一可信用户上传伪造指纹对应
的文件时,服务端回复已有该文件,导致无法上传,
而下载的却是敌手上传的伪造文件。为了抵抗这种
攻击,Bellare 等
[13]
在消息锁加密(MLE, message-
locked encryption)
[11]
的基础上提出交互 MLE (iMLE,
2016238-3