閆政偉 王晨 黃秋波 李麗 徐光偉

摘 要：云共享環(huán)境下，雖然現(xiàn)有的數(shù)據(jù)確定性刪除算法保證了遠(yuǎn)程存儲(chǔ)數(shù)據(jù)在停止共享后的安全性，但沒有考慮到不同數(shù)據(jù)訪問策略之間的差異.不同訪問策略可能需要數(shù)據(jù)擁有者撤銷全部屬性才能實(shí)現(xiàn)數(shù)據(jù)刪除，但大量的計(jì)算可能導(dǎo)致數(shù)據(jù)擁有者無法快速完成數(shù)據(jù)刪除，導(dǎo)致數(shù)據(jù)仍然能被訪問.為此，在現(xiàn)有數(shù)據(jù)刪除算法的基礎(chǔ)上提出了一種輕量級(jí)的數(shù)據(jù)確定性刪除算法，以降低數(shù)據(jù)擁有者的刪除負(fù)擔(dān).該算法通過額外設(shè)置的關(guān)鍵屬性及默克爾哈希樹對(duì)云共享的數(shù)據(jù)執(zhí)行刪除和驗(yàn)證操作.實(shí)驗(yàn)結(jié)果表明，提出的算法是安全且高效的.

關(guān)鍵詞：云共享；屬性加密；數(shù)據(jù)確定性刪除

中圖分類號(hào)：TP309.2

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1004－5422（2023）03－0255－07DOI：10.3969/j.issn.1004-5422.2023.03.006

0 引言

云存儲(chǔ)服務(wù)［1-2］使得越來越多的個(gè)人和公司將數(shù)據(jù)存儲(chǔ)在云端，不僅極大減輕了本地設(shè)備的存儲(chǔ)負(fù)擔(dān)，還提供了便捷的數(shù)據(jù)共享服務(wù)，使得用戶可以隨時(shí)隨地將數(shù)據(jù)通過云服務(wù)器共享給其他用戶，所以越來越多的數(shù)據(jù)擁有者（data owner，DO）將其數(shù)據(jù)外包存儲(chǔ)在云空間中以提供方便的數(shù)據(jù)存儲(chǔ)和共享服務(wù)，而且數(shù)據(jù)使用者（data user，DU）也可以根據(jù)協(xié)議隨時(shí)隨地訪問并獲取有用數(shù)據(jù)［3］.雖然云數(shù)據(jù)的共享給用戶帶來極大便利，但由于數(shù)據(jù)通常包含DO的隱私信息，一旦被泄露，將會(huì)給DO帶來巨大損失，所以對(duì)云數(shù)據(jù)進(jìn)行保護(hù)具有非常重要的意義.保護(hù)不僅發(fā)生在數(shù)據(jù)的存儲(chǔ)和共享過程中，也需要發(fā)生在DO停止使用數(shù)據(jù)后的階段.若DO失去了對(duì)數(shù)據(jù)的直接管理權(quán)［4-5］，一些惡意的云服務(wù)提供商（cloud server provider，CSP）會(huì)在數(shù)據(jù)刪除后再對(duì)其進(jìn)行回收以進(jìn)一步挖掘與分析，或者再將數(shù)據(jù)賣給第三方［6］，這將會(huì)造成DO的隱私泄露或利益受損.例如， Snapchat承諾用戶發(fā)布在其平臺(tái)上的數(shù)據(jù)在規(guī)定時(shí)間后便會(huì)被刪除，但在2014年數(shù)據(jù)泄露的事件中，用戶發(fā)現(xiàn)理應(yīng)被刪除的數(shù)據(jù)依舊存儲(chǔ)在云服務(wù)器中，從而造成大量的用戶隱私信息泄露，所以CSP可能并不會(huì)執(zhí)行數(shù)據(jù)刪除操作［7］.那么，DO在失去數(shù)據(jù)直接管理權(quán)的情況下如何安全高效地刪除已經(jīng)停止共享的數(shù)據(jù)就成為待解決的重要問題，而數(shù)據(jù)確定性刪除（簡(jiǎn)稱為數(shù)據(jù)刪除）是解決此問題的關(guān)鍵技術(shù)［8］.

數(shù)據(jù)刪除的目標(biāo)是，執(zhí)行刪除操作后無人可以再次訪問數(shù)據(jù)［8］，以確保之前存儲(chǔ)的數(shù)據(jù)不會(huì)造成安全問題.Perlman設(shè)計(jì)的數(shù)據(jù)刪除系統(tǒng)［9］存儲(chǔ)數(shù)據(jù)前會(huì)為每份數(shù)據(jù)提前創(chuàng)建到期時(shí)間，且加密密鑰與到期時(shí)間一一對(duì)應(yīng).但是該系統(tǒng)需要可信的服務(wù)器來刪除過期的加密密鑰，而可信服務(wù)器在實(shí)際生活中難以滿足.Tang等［10］提出了一種基于策略的數(shù)據(jù)刪除方案FADE.該方案為了提升安全性，通過盲加密進(jìn)行設(shè)計(jì)，但是其刪除策略都是通過布爾表達(dá)式來設(shè)計(jì)的，所以有一定的局限.Hao等［11］基于trust-but-verify模型，利用Diffie-Hellman集成加密方案和Chaum-Pedersen零知識(shí)證明，設(shè)計(jì)了更加安全的算法來實(shí)現(xiàn)數(shù)據(jù)刪除.然而，該算法在完成刪除操作后，只有1份簽名信息.若DO之后發(fā)現(xiàn)數(shù)據(jù)依舊能被解密，則DO有權(quán)得到賠償.Yu等［12］提出了支持?jǐn)?shù)據(jù)刪除功能的密文策略屬性加密（ciphertext-policy attribute-based encryption，CP-ABE）方案.雖然該方案實(shí)現(xiàn)了屬性的細(xì)粒度控制和DO可信驗(yàn)證，但是在刪除驗(yàn)證階段，DO需要執(zhí)行多次雙線性對(duì)操作，從而占用了大量時(shí)間，增加了DO計(jì)算開銷.Ma等［13］使用新的訪問策略重新加密來實(shí)現(xiàn)數(shù)據(jù)刪除，但是新增的訪問策略不僅使管理更為復(fù)雜，也增加了DO的驗(yàn)證時(shí)間.此外，Tian等［14］為了實(shí)現(xiàn)對(duì)數(shù)據(jù)的細(xì)粒度的訪問控制，在算法中引入了滑動(dòng)窗口技術(shù)，但這樣的操作也增加了數(shù)據(jù)訪問結(jié)構(gòu)的復(fù)雜性和刪除證據(jù)驗(yàn)證的時(shí)間開銷.雖然以上算法實(shí)現(xiàn)了數(shù)據(jù)刪除的功能，卻沒有考慮到不同數(shù)據(jù)之間訪問策略的差異.因此，本研究在云共享場(chǎng)景下提出云數(shù)據(jù)共享中一種輕量級(jí)的數(shù)據(jù)確定性刪除算法（lightweight algorithm for data assured deletion in cloud data sharing，LADAD），通過引入關(guān)鍵屬性和默克爾哈希樹對(duì)數(shù)據(jù)執(zhí)行刪除操作和數(shù)據(jù)刪除的驗(yàn)證操作，并在降低DO計(jì)算開銷的情況下，提高CSP的刪除效率，同時(shí)，通過安全性分析與性能測(cè)試證明了本研究所提算法的安全性與高效性.

1 數(shù)據(jù)刪除模型與設(shè)計(jì)目標(biāo)

1.1 數(shù)據(jù)刪除模型

本研究的數(shù)據(jù)刪除模型主要包括4個(gè)實(shí)體，即密鑰生成中心（key generation center，KGC）、數(shù)據(jù)擁有者DO、云服務(wù)提供商CSP和數(shù)據(jù)使用者DU，如圖1所示.

1）DO.DO會(huì)將自己的數(shù)據(jù)以加密的形式上傳至CSP的云服務(wù)器，使用CSP的數(shù)據(jù)存儲(chǔ)和共享的服務(wù).DO是完全可信的.

2）CSP.CSP為DO提供數(shù)據(jù)存儲(chǔ)和共享服務(wù)，并響應(yīng)數(shù)據(jù)刪除請(qǐng)求.但是CSP并不是完全可信的，雖然不會(huì)惡意修改和刪除DO存儲(chǔ)在其中的數(shù)據(jù)，也不會(huì)額外存儲(chǔ)數(shù)據(jù)副本，但是CSP會(huì)在DO刪除數(shù)據(jù)過程中及刪除完成后對(duì)數(shù)據(jù)進(jìn)行分析，試圖破解數(shù)據(jù)的機(jī)密性，從中得到有價(jià)值的信息來獲取相應(yīng)利益.

3）DU.DU會(huì)訪問DO的共享數(shù)據(jù)，也不是完全可信的，所以DU可能在DO進(jìn)行數(shù)據(jù)刪除后繼續(xù)試圖解密數(shù)據(jù)，甚至與CSP合謀對(duì)數(shù)據(jù)發(fā)起攻擊.

4）KGC.KGC是可信的服務(wù)器，為DO和DU生成私鑰.

1.2 設(shè)計(jì)目標(biāo)

從數(shù)據(jù)刪除模型和對(duì)手攻擊中可以看出，為了將外包給CSP的數(shù)據(jù)安全地進(jìn)行刪除，本算法應(yīng)該達(dá)到以下3個(gè)設(shè)計(jì)目標(biāo)：

1）保證數(shù)據(jù)刪除的確定性.由于CSP并不是完全可信的，所以當(dāng)DO需要CSP刪除數(shù)據(jù)時(shí)，確定CSP是否真實(shí)執(zhí)行了刪除操作.

2）保證數(shù)據(jù)刪除操作的便捷性.由于不同的數(shù)據(jù)使用不同訪問策略進(jìn)行加密，所以針對(duì)訪問策略各不相同的情況，數(shù)據(jù)刪除所執(zhí)行的操作是便捷高效的.

3）抵御數(shù)據(jù)刪除過程中的2種惡意攻擊，即CSP偽造刪除證據(jù)的偽造攻擊及CSP與DU合謀試圖獲取數(shù)據(jù)刪除后信息的合謀攻擊.

2 一種輕量級(jí)的數(shù)據(jù)確定性刪除算法

2.1 算法概述

DO將數(shù)據(jù)m加密存儲(chǔ)至CSP并共享給DU.當(dāng)DO停止共享后，執(zhí)行數(shù)據(jù)刪除操作.數(shù)據(jù)刪除過程由以下7個(gè)步驟組成：

1）Setup（λ，U）→（MSK，PK）.KGC選擇安全參數(shù)λ和屬性全集U，生成公鑰PK和主密鑰MSK.PK公開而MSK由KGC保存.

2）Encrypt（PK，m，A）→CT.DO使用公鑰PK和訪問結(jié)構(gòu)A對(duì)數(shù)據(jù)m進(jìn)行加密，生成密文CT.

3）KeyGen（MSK，P，PK）→SK.KGC根據(jù)主密鑰MSK、DU的屬性集P和公鑰PK，為DU生成對(duì)應(yīng)私鑰SK.

4）Decrypt（CT，SK，PK）→（m/⊥）.DU在拿到密文CT后，DU使用私鑰SK和公鑰PK進(jìn)行解密.如果DU的屬性滿足CT中的訪問控制結(jié)構(gòu)，則可以正確解密出數(shù)據(jù)m.

5）DeleteReq（file，PK）→request.DO選擇需要?jiǎng)h除的數(shù)據(jù)file，結(jié)合公鑰PK生成對(duì)應(yīng)的刪除請(qǐng)求request.

6）DeleteExec（CT，request）→proof.CSP接收到DO的刪除請(qǐng)求request后，對(duì)其存儲(chǔ)的密文CT進(jìn)行更新，從而產(chǎn)生新密文CT′，并對(duì)刪除后的密文CT′生成相應(yīng)刪除證據(jù)proof.

7）DeleteVerify（proof）→（true/false）.DO在收到CSP的刪除證據(jù)proof后，進(jìn)行驗(yàn)證以判斷CSP是否執(zhí)行了數(shù)據(jù)刪除.

3.2 安全性分析

本算法從偽造攻擊和合謀攻擊2個(gè)方面來分析其安全性.

1）抵御偽造攻擊.根據(jù)式（4）可知，CSP想要偽造刪除證據(jù)proof=H（mthe（g，g）δ·sde（H（d），g）δ·sd），則CSP至少需要偽造出關(guān)鍵屬性的信息e（g，g）δ·sd和e（H（d），g）δ·sd，這是通過e（C5，d，Rd）和e（C5，d′，Rd）而來的，所以CSP也要偽造出Rd，即gδ.由于δ是有限域Zp的隨機(jī)數(shù)，Zp的大小為p，所以CSP偽造成功的概率為1/p，又因?yàn)閜為大素?cái)?shù)，偽造成功的概率是可以忽略不計(jì)的，因此CSP是否完成數(shù)據(jù)刪除是可以被驗(yàn)證的.CSP無法在未執(zhí)行刪除操作的情況下偽造出刪除證據(jù)并通過DO的驗(yàn)證操作，所以本算法能抵御CSP的偽造攻擊.

2）抵御合謀攻擊.在CSP完成數(shù)據(jù)刪除后，由于數(shù)據(jù)依舊保留在云端，所以不完全可信的CSP和DU進(jìn)行合謀，以試圖破解數(shù)據(jù)刪除后的機(jī)密性.但是即使DU聯(lián)合CSP獲得執(zhí)行數(shù)據(jù)刪除后的秘密，DU也無法通過自己的私鑰解密出密文，即使其屬性結(jié)合復(fù)合密文刪除前的訪問策略.因?yàn)槊芪闹械年P(guān)鍵屬性被撤銷了，而DU私鑰中和關(guān)鍵屬性對(duì)應(yīng)的信息{D3，d=gr·H（d）rd，D3，d′=grd}并未發(fā)生改變，所以DU的私鑰無法正確解密數(shù)據(jù).此外，DU具有試圖解密的過程中會(huì)違背雙線性映射的性質(zhì)，無法正確完成計(jì)算.綜上所述，本算法可以抵御CSP和DU的合謀攻擊，保證數(shù)據(jù)刪除后的安全性.

4 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證本算法的性能，實(shí)驗(yàn)選取2臺(tái)8核CPU（主頻3.2 GHz）、16 GiB內(nèi)存的主機(jī)作為DO和DU及1臺(tái)雙核CPU、8 GiB內(nèi)存的阿里云服務(wù)器作為CSP來模擬本算法的所有過程.整個(gè)算法使用Java語(yǔ)言編寫，利用JPBC庫(kù)函數(shù)進(jìn)行實(shí)現(xiàn)，其中安全參數(shù)為512 bit.為了提高算法可行性，本研究使用真實(shí)數(shù)據(jù)集［16］進(jìn)行實(shí)驗(yàn)，選取其中100 MiB作為本算法的實(shí)驗(yàn)數(shù)據(jù)，并取50次實(shí)驗(yàn)測(cè)試數(shù)據(jù)的平均值作為最終數(shù)據(jù)，以保證實(shí)驗(yàn)結(jié)果的準(zhǔn)確性.本研究將所提的LADAD和Xue等［17］提出的基于策略的屬性加密的確定性刪除算法（key-policy attribute-based encryption scheme for assured deletion，AD-KP-ABE）進(jìn)行了比較分析.

1）數(shù)據(jù)刪除的時(shí)間開銷.這是指DeleteReq、DeleteExec和DeleteVerify 3個(gè)階段的總時(shí)間開銷.實(shí)驗(yàn)結(jié)果如圖2所示.從圖2可知，LADAD和AD-KP-ABE的時(shí)間開銷均隨著屬性數(shù)量的增加而增長(zhǎng)，但是AD-KP-ABE增長(zhǎng)幅度遠(yuǎn)遠(yuǎn)大于LADAD，尤其是在屬性數(shù)量超過20后，增幅更為迅速.而LADAD的時(shí)間開銷維持在較低水準(zhǔn)，且遠(yuǎn)低于AD-KP-ABE.這是因?yàn)長(zhǎng)ADAD只需要針對(duì)關(guān)鍵屬性進(jìn)行撤銷，并且通過輔助信息來減少計(jì)算開銷，所以LADAD整個(gè)刪除階段的時(shí)間開銷都較低.

2）算法的總時(shí)間開銷.這是算法所有階段總共的時(shí)間開銷，即包括Setup、Encrypt、KeyGen、Decrypt、DeleteReq、DeleteExec和DeleteVerify這7個(gè)階段，如圖3所示.從圖3可知，LADAD和AD-KP-ABE的時(shí)間開銷都隨著屬性數(shù)量的增加而增長(zhǎng).雖然在屬性數(shù)量低于15時(shí)，AD-KP-ABE的時(shí)間開銷更低，但是當(dāng)屬性數(shù)量大于15時(shí)，AD-KP-ABE不僅時(shí)間開銷明顯高于LADAD，而且增長(zhǎng)速度遠(yuǎn)大于LADAD.這是因?yàn)長(zhǎng)ADAD在Encrypt會(huì)額外生成輔助信息，占據(jù)了一定時(shí)間.但是隨著屬性數(shù)量的增加，AD-KP-ABE在數(shù)據(jù)刪除的階段會(huì)花費(fèi)更多時(shí)間，而LADAD的時(shí)間開銷更低.所以，LADAD具有更多的優(yōu)勢(shì)，尤其是在數(shù)據(jù)的訪問策略較為復(fù)雜且屬性較多時(shí)，這份優(yōu)勢(shì)也會(huì)不斷變大.

3）CSP的存儲(chǔ)開銷.這是指CSP存儲(chǔ)密文而產(chǎn)生的開銷，如圖4所示.從圖4可知，LADAD和AD-KP-ABE的存儲(chǔ)開銷均隨著屬性數(shù)量的增加而增長(zhǎng)，這是因?yàn)槊芪拇笮『蛯傩詳?shù)量線性相關(guān)，所以兩者保持著相同的增長(zhǎng)速度.雖然LADAD在密文中增加了關(guān)鍵屬性，占據(jù)了一部分額外空間，但是和AD-KP-ABE的存儲(chǔ)開銷差距較小，基本都在1 Kib左右，這是因?yàn)樵黾拥脑刂挥?個(gè)，這與屬性數(shù)量不相關(guān)，保持為固定值.總的來說，LADAD和AD-KP-ABE 2個(gè)算法的存儲(chǔ)開銷基本一致.

5 結(jié) 語(yǔ)

云數(shù)據(jù)共享中的數(shù)據(jù)確定性刪除是重要且急需解決的問題.本研究提出了LADAD，不僅能夠保證數(shù)據(jù)刪除的確定性，而且通過關(guān)鍵屬性保證了不同訪問策略下數(shù)據(jù)刪除的便捷性.安全性分析表明，本研究提出的算法滿足了安全要求.實(shí)驗(yàn)測(cè)試結(jié)果表明，本研究提出的算法具有高效性和實(shí)用性.

參考文獻(xiàn)：

［1］Lee K.Comments on “secure data sharing in cloud computing using revocable-storage identity-based encryption”［J］.IEEE Trans Cloud Comput，2020，8（4）：1299-1300.

［2］Zhang J，Ma J，Ma Z，et al.Efficient hierarchical data access control for resource-limited users in cloud-based e-health［C］//2019 International Conference on Networking and Network Applications （NaNA）.Daegu，South Korea：IEEE，2019：319-324.

［3］Qi S，Zheng Y.Crypt-DAC：cryptographically enforced dynamic access control in the cloud［J］.IEEE Trans Depend Sec Comput，2021，18（2）：765-779.

［4］Wang Q，Zhou F，Xu J，et al.Efficient verifiable databases with additional insertion and deletion operations in cloud computing［J］.Futur Gener Comput Syst，2021，115：553-567.

［5］Singh B C，Carminati B，F(xiàn)errari E.Privacy-aware personal data storage （P-PDS）：learning how to protect user privacy from external applications［J］.IEEE Trans Depend Sec Comput，2021，18（2）：889-903.

［6］Li Y，Gai K，Qiu L，et al.Intelligent cryptography approach for secure distributed big data storage in cloud computing［J］.Inf Sci，2017，387：103-115.

［7］Young D.Now you see it，now you dont...or do you？：snapchats deceptive promotion of vanishing messages violates federal trade commission regulation ［J］.John Marsh J Inf Technol Priv Law，2014，30（4）：6.

［8］Zheng D，Xue L，Yu C，et al.Toward assured data deletion in cloud storage［J］.IEEE Netw，2020，34（3）：101-107.

［9］Perlman R.File system design with assured delete［C］//Third IEEE International Security in Storage Workshop （SISW'05）.San Francisco，CA，USA：IEEE，2005.

［10］Tang Y，Lee P P C，Lui J，et al.FADE：Secure overlay cloud storage with file assured deletion［C］//International Conference on Security and Privacy in Communication Systems.Berlin，Germany：Springer，2010：380-397.

［11］Hao F，Clarke D，Zorzo A F.Deleting secret data with public verifiability［J］.IEEE Trans Depend Sec Comput，2016，13（6）：617-629.

［12］Yu Y，Xue L，Li Y，et al.Assured data deletion with fine-grained access control for fog-based industrial applications［J］.IEEE Trans Industr Inf，2018，14（10）：4538-4547.

［13］Ma J，Wang M，Xiong J，et al.CP-ABE-based secure and verifiable data deletion in cloud［J］.Sec Commun Netw，2021，2021：8855341-1-8855341-14.

［14］Tian J，Wang Z.Cloud data assured deletion scheme based on dynamic sliding window［J］.Peer-to-Peer Netw Appl，2022，15：1817-1833.

［15］Shamir A.How to share a secret［J］.Commun ACM，1979，22（11）：612-613.

［16］University of Maryland.Disease ontology-institute for genome sciences［EB/OL］.（2009-07-16）［2022-12-10］.https：//disease-ontology.org.

［17］Xue L，Yu Y，Li Y，et al.Efficient attribute-based encryption with attribute revocation for assured data deletion［J］.Inf Sci，2019，479：640-650.

（實(shí)習(xí)編輯：黃愛明）

Abstract：In cloud sharing environment，although the existing data assured deletion algorithm ensures the security of remotely stored data after the sharing is stopped，it does not take into account the differences between different data access policies，and different access policies may require the data owner to revoke all attributes to achieve data deletion，and the large amount of computation may result in the data owner not being able to complete data deletion quickly，causing the problem that the data can still be accessed.To this end，the researchers propose a lightweight algorithm for data assured deletion in cloud data sharing to reduce the deletion burden of the data owner based on the existing data deletion algorithms.The algorithm performs deletion and verification operations on the data shared in the cloud with the additional key attribute and Merkle hash trees.The security analysis and experimental results prove the security and effectiveness of the proposed algorithm in this paper.

Key words：cloud sharing;attribute encryption;data assured deletion

基金項(xiàng)目：上海市自然科學(xué)基金（19ZR1402000、21ZR1400400）；國(guó)家自然科學(xué)基金（62172088、61772018）

作者簡(jiǎn)介：閆政偉（1997—），男，碩士研究生，從事數(shù)據(jù)確定性刪除研究.E-mail：y1312088938@163.com