陳文強 何文濤 周緒川 查媛媛 李英玲

摘要：針對云文件數(shù)據(jù)在使用期后不及時刪除易導致非授權訪問及隱私數(shù)據(jù)泄露等問題，結合DHT（分布式哈希表）網(wǎng)絡實時更新的特性，提出了一種AES與國密SM2混合加密的云文件數(shù)據(jù)安全自毀方案。首先數(shù)據(jù)所有端用AES對稱加密算法加密待上傳文件得到文件密文，然后對文件密文隨機抽樣，再將密文索引與AES密鑰封裝成封裝體（PAC），其次將PAC用私鑰進行國密SM2非對稱加密成封裝體密文（EP），最后將EP傳至DHT網(wǎng)絡，并將不完整密文與抽樣密文上傳至云端。數(shù)據(jù)使用端下載使用數(shù)據(jù)的操作是上傳操作的逆操作。數(shù)據(jù)生命到期時可通過DHT網(wǎng)絡自主更新實現(xiàn)定期刪除EP，密文的覆寫刪除是通過調(diào)用HDFS的接口上傳隨機數(shù)據(jù)實現(xiàn)。通過密鑰和云端密文的刪除實現(xiàn)云數(shù)據(jù)的安全自毀。實驗結果表明方案的整體性能表現(xiàn)良好。

關鍵詞：混合加密安全分享密文抽樣隱私保護SM2算法

中圖分類號：TP302文獻標志碼：A文章編號：1671-8755（2023）01-0091-07

Abstract：Inviewoftheproblemssuchasunauthorizedaccessandprivacydataleakagecausedbynottimelydeletionofclouddataaftertheuseperiod，asecurityselfdestructionschemeofclouddataencryptedbyAESandSM2wasproposedincombiningwiththerealtimeupdatefeatureofDHT（distributedhashtable）network.Firstly，AESsymmetricencryptionalgorithmwasusedtoencryptthefiletobeuploadedtoobtainthefileciphertextatthedataownerside，thenthefileciphertextwasrandomlysampled，andthentheciphertextindexandAESkeywereencapsulatedintoapackage（PAC）.Secondly，thePACwasencryptedasymmetricallywiththeprivatekeySM2intoanencryptedpackage（EP）.Finally，theEPwassenttotheDHTnetwork，andincompleteciphertextandsampledciphertextwereuploadedtothecloud.Theoperationofdownloadingtheuseddataatthedatausingsidewastheinverseoperationoftheuploadingoperation.Whenthedatalifeexpired，theEPcouldbedeletedperiodicallythroughtheautonomousupdateofDHTnetwork，andciphertextoverwritedeletionwasimplementedbycallingtheinterfaceofHDFStouploadrandomdata.Thesecurityselfdestructionofclouddatawasrealizedbythedeletionofkeysandcloudciphertexts.Theexperimentalresultsshowthattheoverallperformanceoftheschemeisgood.

Keywords：Mixedencryption；Securitysharing；Ciphertextsampling；Privacyprotection；SM2algorithm

在2020年抗擊肆虐全球2019-nCoV中，健康碼及線上辦公的各式智能物聯(lián)網(wǎng)設備的使用，使人們的生活朝著數(shù)字化大幅邁進［1］。在數(shù)字時代，各行各業(yè)數(shù)據(jù)安全問題頻發(fā)［2-3］，世界上大多數(shù)國家都面臨著數(shù)據(jù)安全挑戰(zhàn)［4］。如：知名企業(yè)滴滴赴美上市事件［5］，世界知名醫(yī)療保險機構匹茲堡大學醫(yī)學中心（UPMC）報告的一起發(fā)生在2020年4-6月的可能影響到36000多名患者的大規(guī)模數(shù)據(jù)泄露事件（www.upmc.com）。我國對可能影響到國家、社會、個人的數(shù)據(jù)安全問題非常重視，于2021年接連頒布了數(shù)據(jù)安全法［6］與個人信息保護法［7］。世界上平均每天都有數(shù)億計的用戶數(shù)據(jù)存儲到云服務商（CSP，Cloudserviceprovider）。云數(shù)據(jù)的安全問題［8-9］成為大數(shù)據(jù)時代亟待解決的問題。使用云端計算技術，可將空閑的云存儲資源和云計算資源充分利用起來，可極大規(guī)模節(jié)省存儲成本和計算成本［10］，但云端計算可能導致數(shù)據(jù)所有權與真實控制管理權分離等問題［11］，極易誘發(fā)CSP中用戶隱私數(shù)據(jù)泄露、跨云平臺的非法遷移和非授權訪問等數(shù)據(jù)安全問題［12］。

對于云數(shù)據(jù)的安全分享問題，數(shù)據(jù)加密上傳和數(shù)據(jù)生命周期結束后的確定性刪除成為最有效云數(shù)據(jù)保護措施之一［13-14］。目前，在數(shù)據(jù)的確定性刪除方面，以密鑰刪除進行云數(shù)據(jù)的刪除方法與在可信執(zhí)行環(huán)境下進行云數(shù)據(jù)刪除、以訪問策略控制進行云數(shù)據(jù)刪除相比，既無需建立單獨苛刻的可信軟硬件環(huán)境又無密鑰殘留云端使密文無法刪除的問題，成為當下確定性刪除機制的重點研究領域［15-16］。

在密鑰管理的可信性刪除中，又可分為集中管理密鑰的可信性刪除、分散管理密鑰的刪除機制。密鑰集中管理下的刪除機制容易因管理節(jié)點被攻擊或管理節(jié)點故障而造成單點失效。密鑰分散管理下的刪除機制是密鑰加密數(shù)據(jù)后將其處理成特定個密鑰分量，進行分布式管理密鑰分量。Geambasu［13］提出的Vanish系統(tǒng)，首次采用DHT網(wǎng)絡和門限秘密分享策略，當授權過期后，因網(wǎng)絡刪除了密鑰，故加密數(shù)據(jù)不能解密而實現(xiàn)數(shù)據(jù)自毀。張坤［15］基于DHT網(wǎng)絡提出了一個密鑰分散管理方案，根據(jù)DHT網(wǎng)絡的特性進行密鑰的刪除，以此實現(xiàn)非授權時間防止密文非授權訪問。該方案可有效刪除密鑰，但密文數(shù)據(jù)塊無任何處理，密文文件仍有泄露風險，需要安全信道進行隨機種子傳輸，實現(xiàn)較為復雜。王敏燊等［17］對上述方案密文可能泄露的問題進行了改進，提出了一種對密鑰進行分發(fā)且對密文進行抽樣的云數(shù)據(jù)文件刪除方案。將隨機抽樣法應用到加密后的密文文件上，將不完整密文上傳至CSP，借助HDFS（Hadoopdistributedfilesystem）的接口上傳的隨機無用數(shù)據(jù)覆寫刪除密文，進而使密文完全刪除。該方案消除了密文泄露的風險，但仍需要安全信道傳輸極其秘密的封裝體，若封裝體被截獲則加密完全無效，對于安全信道通訊無具體說明，安全方面仍存在問題。熊金波等［18］針對隱私保護問題，結合IBE（Identitybasedencryption）和DHT網(wǎng)絡提出了一種安全自毀模型?；谔崛》椒ㄅc耦合方法，使完整密文解分成封裝密文和提取密文，之后將封裝密文上傳至CSP，并通過IBE加密對稱密鑰后將其與提取密文生成混合密文，最后將混合密文分量上傳到DHT網(wǎng)絡中，此思路基本實現(xiàn)了密文安全。但依賴于第三方信任機構的IBE算法的可信度值得懷疑［18］，信任機構若被劫持或者不可信后，此方案就不再安全可信。針對上述問題，本文提出一種不需要第三方可信機構即可實現(xiàn)云數(shù)據(jù)安全傳輸與自毀的基于混合加密密文抽樣的數(shù)據(jù)分享方案（Ciphertextsamplingmixedencryption，CSME）。

1國密SM2算法及秘密分享方案

1.1國密SM2加密封裝體算法

SM2算法是我國國家密碼管理局于2010年在橢圓曲線密碼理論基礎上進行自主設計發(fā)布的公鑰密碼算法標準［19］。國家密碼管理局推薦了一條256位曲線作為標準曲線。橢圓曲線公鑰加密算法的數(shù)學基礎是：（1）點加運算所形成的有限交換群在橢圓曲線的有限域上的規(guī)模和階數(shù)相差不大；（2）多倍點運算在橢圓曲線的有限域中是一個逆向解難度極大的單向函數(shù)。

1.1.1SM2算法加密步驟

設需要加密的文件為字符串F，len為F的比特位數(shù)；由兩個參數(shù)a，b定義的橢圓曲線方程y2=x2+ax+b，其基點G=（xG，yG），基點G的階為n（n>2191且n>4p1/2）；Pb為數(shù)據(jù)使用端的公鑰，為了對明文F進行加密，數(shù)據(jù)所有端應實現(xiàn)如下加密運算步驟：

1.2秘密分享方案

秘密分享方案［20］（Secretsharingscheme，SSS）是將秘密按一定規(guī)則分成多份分布式管理的方案。本文將秘密EP分成n份，得到{E1，E2，E3，…En}，至少需要s個秘密分量否則不能重構出EP。秘密分享方案既能夠解決將EP直接存儲到DHT網(wǎng)絡易被截取泄密問題，還能解決此處高丟失率和不可用性問題，抵抗DHT網(wǎng)絡中的跳躍攻擊。此方案可自主設置參數(shù)n與s，參數(shù)的設置需平衡EP分塊的大小和數(shù)量，平衡好這兩參數(shù)才能實現(xiàn)對EP進行有效合理地分塊。

2系統(tǒng)模型

2.1相關符號描述

系統(tǒng)模型所涉及的符號及其對應的描述如表1所示。

2.2模型介紹

數(shù)據(jù)加密上傳流程如圖1所示。通過AES算法加密待上傳的明文文件F得到密文C，然后對C隨機抽樣，將抽樣索引SI與AES加密密鑰用Skey裝成封裝體PAC，再將PAC用數(shù)據(jù)使用端的SM2公鑰Pb加密成EP后傳至DHT網(wǎng)絡，同步將已抽樣的RC與SC上傳至CSP。解密下載如圖2所示。下載過程與上傳過程互逆。首先由數(shù)據(jù)使用端在CSP端將SC與RC下載，之后在DHT網(wǎng)絡中合成EP，再用SM2的私鑰Pr將EP解密出SI及AES密鑰，再通過SI將SC與RC合成后獲得完整密文C，最后密文C用AES對稱密鑰解密得到明文文件F。當云數(shù)據(jù)的生命到期時由DHT網(wǎng)絡更新自主刪除EP，不完整密文數(shù)據(jù)的刪除通過調(diào)用HDFS刪除接口上傳無意義的隨機數(shù)據(jù)實現(xiàn)覆寫。即：銷毀加密密鑰和云端不完整密文就可實現(xiàn)云端數(shù)據(jù)的安全自毀。

2.6密文覆寫刪除

與其他方案［16，18］的明顯區(qū)別之一是在本方案中不僅按數(shù)據(jù)生存周期管理銷毀刪除加密密鑰，還對密文文件進行徹底銷毀，使數(shù)據(jù)在過期后無恢復可能。密文文件的刪除是在數(shù)據(jù)生存周期結束之后調(diào)用Hadoop平臺HDFS文件接口上傳隨機文件對密文數(shù)據(jù)覆蓋擦除，其思想源于存儲介質(zhì)的特性，用特定方案反復重寫磁介質(zhì)，可使數(shù)據(jù)徹底銷毀。在DOD（Unitedstatesdepartmentofdefense）的數(shù)據(jù)標準DOD5220.22M［21］中規(guī)定隱私數(shù)據(jù)須進行3次或以無意義數(shù)據(jù)覆蓋：第1次是8位的無意義字符，第2次則是第1次字符的補碼，第3次可用生成的隨機字符覆蓋。本方案使用隨機數(shù)據(jù)覆蓋的方式可達到安全有效保護用戶數(shù)據(jù)的隱私安全目標。

3安全性分析及實驗驗證

3.1方案整體安全性分析

為了保證方案的安全性，本方案對明文文件F加密使用256位的AES算法，并在加密后將完整密文C進行抽樣處理。即使攻擊者可在CSP端成功截獲剩余密文RC與抽樣密文SC，并對RC與SC進行密碼分析或強力攻擊，而攻擊的時間效應僅僅取決于密鑰的長度。理論上講，目前AES256算法的密鑰是安全的［22-23］，并且沒有抽樣索引時，解密得到的明文也是抽樣后的不完整的亂序明文文件，因而理論上無法在CSP端通過攻擊獲得原始明文文件。

AES密鑰傳輸過程是通過非對稱SM2算法進行加密，本文的SM2加密AES密鑰算法采用的密鑰長度是256位，此強度大致與3072位RSA算法相近。加密強度遠在2048位的RSA算法之上。2013年曝出RSA算法中可能存在NSA（美國國家安全局）與RSA公司的預置后門，可能極易被破解，國密SM2算法不存在預置后門，且理論上要破解SM2算法遠比破解RSA等大質(zhì)數(shù)分解思想加密算法難度大得多［19］。在加密安全等級相同時，橢圓曲線加密密碼規(guī)模要小得多。AES對稱密鑰與SI組合成的PAC經(jīng)SM2進一步加密并生成EP，攻擊者必須成功分離出AES密文密鑰及原始密文C，方可強力攻擊或密碼分析攻擊進行破解，然而攻擊者無法在多項式時間內(nèi)對EP封裝體密文進行破解獲取AES對稱密鑰并對C原始密文解密，故選SM2算法來加密AES密鑰，因其安全性和性能遠遠優(yōu)于文獻［14，18］方案。本方案選擇了國密SM2橢圓曲線公鑰加密算法來加密PAC。數(shù)據(jù)擁有端可以利用數(shù)據(jù)使用端已有SM2公鑰對傳輸文件進行加密，數(shù)據(jù)使用端可以用其私鑰進行文件解密。理論上攻擊者無截獲原明文可能。綜上，本方案有能力阻止密碼分析攻擊及強力攻擊，整體安全。

3.2實驗驗證

3.2.1實驗配置

實驗處理器為3.6GHz的AMDRyzen5，內(nèi)存8GB，操作系統(tǒng)Windows10專業(yè)版，明文文件加密算法AES和國密SM2的調(diào)用來自OpenSSL3.0庫，密鑰長度均為256位。

云環(huán)境為在VMware-workstation-full-16.0.0創(chuàng)建兩臺操作系統(tǒng)為Ubuntu16.04的虛擬機，分別是DataNode與NameNode，由Hadoop3.1.3完成分布式文件系統(tǒng)的構建，實現(xiàn)數(shù)據(jù)的存儲及轉(zhuǎn)發(fā)。OpenSSL3.0庫調(diào)用工具為VisualStudio2019，jdk采用jdk-8u162-linux，Java編輯器采用eclipse-4.7.0-linux。

3.2.2實驗結果與分析

實驗數(shù)據(jù)文件的大小范圍為64～1024MB，抽樣密文規(guī)模設置為4096bit，抽樣時每次隨機抽樣512bit，隨機抽樣8次。

實驗加密上傳時，分別將大小為64～1024MB的文件經(jīng)AES加密生成密文C，此過程計測得加密明文時間a，后經(jīng)密文采樣生成RC，SC和SI，測得采樣時間c，將SI與AES密鑰合成的PAC經(jīng)SM2加密生成EP，測得加密PAC時間b，將EP，RC與SC上傳測得上傳時間d。每組數(shù)據(jù)實驗3次取平均值。

實驗下載解密時，分別下載大小為64～1024MB的文件，下載EP與下載RC，SC的時間為h，SM2解密PAC時間為e，根據(jù)SI由RC，SC合成完整密文時間為g，由密文解密生成明文文件的時間為f。

表2與表3為加密上傳過程與解密下載過程的平均性能表現(xiàn)。

加密時間i=a+b;總加密上傳時間j=a+b+c+d;加密時間占總上傳時間的比值=i/j；解密時間k=e+f;總下載解密時間l=e+f+g+h；解密時間占總下載解密時間比值=k/l；上傳占總加密上傳時間的比值=1-加密時間占總加密上傳時間的比值；下載占總下載解密時間的比值=1-解密時間占總下載解密時間的比值。SM2加密PAC時間占比=b/j。

圖4列出了文件為64～1024MB時AES加密對稱密鑰加密明文文件F與國密SM2利用數(shù)據(jù)使用端公鑰非對稱密鑰加密封裝體PAC時間開銷情況。圖5列出了AES解密從64～1024MB大小的密文文件及國密SM2用數(shù)據(jù)使用端私鑰解密EP生成AES對稱鑰密明文Skey過程的時間開銷。圖6為文件傳輸時間，從圖6可以看出，實驗網(wǎng)絡環(huán)境下文件上傳時間開銷稍大，上傳與下載過程時間大致相當。

整個實驗過程中，文件上傳下載時間占總時間開銷比重為67.12%～80.87%，文件加解密時間開銷占總時間開銷比重為19.10%～32.85%。

在文件大小為64，128，256MB時，文獻［15］加密與抽樣時間占總過程比值分別為：33.4%，38.9%，38.5%;文獻［17］加密與抽樣時間占總過程比值分別為：43.12%，46.12%，50.89%。本文方案加密與密文采樣時間占總加密上傳過程的比值為：17.49%，22.48%，30.51%。

從加密時間占比來看，本文方案隱私保護開銷的時間占比更小，更適合用于安全數(shù)據(jù)分享。

在大數(shù)據(jù)環(huán)境下，隱私安全與數(shù)據(jù)安全變得尤其重要，對文件做加密保護與安全銷毀等相關操作是必要的。顯然，本文方案對文件數(shù)據(jù)加解密操作的時間開銷在可接受范圍內(nèi)。特別是用國密SM2橢圓曲線公鑰加密算法對PAC（Skey與SI）額外時間開銷占比不到2%，卻極大提高了方案的安全性和完整性。

表4對比分析了本文方案與目前主流的數(shù)據(jù)安全分享方案的優(yōu)劣。本文提出的方案在加解密時增加了可接受的時間開銷，卻帶來了安全性的極大提高。與文獻［15］的方案相比增加了很小的時間開銷，且不需依賴第三方可信機構；與文獻［17］相比，不存在AES密鑰被截獲而輕易破解風險；與文獻［14］方案相比，沒有使用繁瑣低效的RSA加密方法，且SM2算法不存在預置后門破解風險；與文獻［15］相比，對密文進行覆寫刪除處理，保證了整個過程完整無漏洞，同時可實現(xiàn)數(shù)據(jù)使用端擁有較高使用效率。本方案以較小的復雜度代價，達到了云數(shù)據(jù)安全高效的確定性刪除目標。

本文數(shù)據(jù)安全分享方案解決了以下問題：AES加密密鑰被截獲使加密無效的問題［24］；密鑰集中管理易被單點攻擊而單點失效［8］的問題；完整密文易被破解問題；只刪除密鑰不刪除密文仍有被破解風險的問題［25］；單向單一加密方式不安全的問題［26］。

4結論

本文針對數(shù)據(jù)文件在分享時無法保證其安全或使用期后無法安全刪除導致隱私泄露的問題開展研究，提出的數(shù)據(jù)分享方案在AES對稱加密數(shù)據(jù)文件基礎上應用隨機抽樣密文來確保密文的整體安全，并用SM2算法加密AES對稱密鑰與抽樣索引的封裝體，傳至CSP的密文及抽樣密文與傳至DHT網(wǎng)絡的封裝體密文在其使用期后可分別刪除覆寫，確保了隱私數(shù)據(jù)的安全分享。

本文為云數(shù)據(jù)安全分享提供了新的可推廣的思路。

參考文獻

［1］JAGADISHHV，STOYANOVICHJ，HOWEB.COVID-19bringsdataequitychallengestothefore［J］.DigitalGovernment：ResearchandPractice，2021，2（2）：1-7.

［2］袁蘭蘭.數(shù)據(jù)安全形勢嚴峻，需各方主體協(xié)同共治［J］.通信企業(yè)管理，2021（10）：36-37.

［3］沈國琴，汪沛穎，謝曉專.美國情報融合進程中的隱私權保護發(fā)展研究［J］.情報資料工作，2019，40（3）：46-52.

［4］張立光，胥鳳紅，張佳娟.行政型國家金融情報機構數(shù)據(jù)分享機制——基于美國經(jīng)驗的借鑒［J］.金融與經(jīng)濟，2019（10）：79-83.

［5］韓洪靈，陳帥弟，劉杰，等.數(shù)據(jù)倫理、國家安全與海外上市：基于滴滴的案例研究［J］.財會月刊，2021（15）：13-23.

［6］張健.《數(shù)據(jù)安全法》視域下智慧圖書館倫理規(guī)范問題研究［J］.圖書館，2021（12）：47-51.

［7］于曉洋，何波.我國《個人信息保護法》立法背景與制度詳解［J］.大數(shù)據(jù)，2022，8（2）：168-181.

［8］AKREMIA，ROUACHEDM.Acomprehensiveandholisticknowledgemodelforcloudprivacyprotection［J］.TheJournalofSupercomputing，2021，77（8）：7956-7988.

［9］QIUY，SUNL，WUY.Optimizedprivacyprotectionmethodforbigdatatraffic［C］∥Proceedingsofthe20204thInternationalConferenceonElectronicInformationTechnologyandComputerEngineering.2020：173-179.

［10］張麗麗.科學數(shù)據(jù)共享治理：模式選擇與情景分析［J］.中國圖書館學報，2017，43（2）：54-65.

［11］劉樹波，王穎，劉夢君.隱私保護的參與式感知數(shù)據(jù)分享與訪問方案［J］.計算機科學，2015，42（6）：139-144，157.

［12］谷保平，馬建紅.可撤銷屬性加密結合快速密度聚類算法的非結構化大數(shù)據(jù)安全存儲方法［J］.計算機應用與軟件，2021，38（5）：337-343.

［13］GEAMBASUR，KOHNOT，LEVYAA，etal.Vanish：increasingdataprivacywithselfdestructingdata［C］∥USENIXSecuritySymposium.2009，316：299-315.

［14］SHENWW，XIONGJB，HUANGYQ，etal.Assureddeletionschemeforelectronicfilesbasedonlifecyclecontrol［J］.JournalofChineseComputerSystems，2016，37（5）：1091-1096.

［15］張坤，楊超，馬建峰，等.基于密文采樣分片的云端數(shù)據(jù)確定性刪除方法［J］.通信學報，2015，36（11）：108-117.

［16］熊金波，李鳳華，王彥超，等.基于密碼學的云數(shù)據(jù)確定性刪除研究進展［J］.通信學報，2016，37（8）：167-184.

［17］王敏燊，熊金波，林倩，等.基于密鑰分發(fā)和密文抽樣的云數(shù)據(jù)確定性刪除方案［J］.計算機應用，2018，38（1）：194-200.

［18］熊金波，姚志強，馬建峰，等.面向網(wǎng)絡內(nèi)容隱私的基于身份加密的安全自毀方案［J］.計算機學報，2014，37（1）：139-150.

［19］SM2橢圓曲線公鑰密碼算法［S］.國家密碼管理局，2010（21）：81-93.

［20］WANGL，RENZW，YURW，etal.Adeterministicdatadeletionmethodsuitableforcloudstorage［J］.ActaElectronicaSinica，2012，40（2）：266-272.

［21］ZHANGP，QINFZ.Overviewofdatadestructiontechnology［J］.ComputerKnowledgeandTechnology，2015，11（28）：61-62.

［22］SRIVASTAVAD，SCANNAPIECOM，REDMANTC.Ensuringhighqualityprivatedataforresponsibledatascience：visionandchallenges［J］.JournalofDataandInformationQuality，2019，11（1）：1-9.

［23］KALAPODIA，SKLAVOSN.Theconcernsofpersonaldataprivacy，oncallingandmessaging，networkingapplications［C］∥InternationalSymposiumonSecurityinComputingandCommunication.Springer，Singapore，2020：275-289.

［24］GANAUM，JANTANA，YUSOFFM，etal.Towardsunderstandingthechallengesofdataremanenceincloudcomputing：areview［C］∥InternationalConferenceonAdvancesinCyberSecurity.Springer，Singapore，2020：495-507.

［25］ZHENGF，F(xiàn)ENGLP，LIPZ，etal.Aprivacyprotectionschemebasedonattributeencryptionforidentityauthentication［J］.NetworkSecurityTechnologyandApplication，2020（2）：33-36.

［26］CHENZ，YECY.CloudauditdataencryptionschemebasedonAESandECC［J］.ComputerScience，2017，44（S1）：333-335，371.