CN110099097B - 一种抵抗侧信道攻击的数据去重方法 - Google Patents
一种抵抗侧信道攻击的数据去重方法 Download PDFInfo
- Publication number
- CN110099097B CN110099097B CN201910203822.2A CN201910203822A CN110099097B CN 110099097 B CN110099097 B CN 110099097B CN 201910203822 A CN201910203822 A CN 201910203822A CN 110099097 B CN110099097 B CN 110099097B
- Authority
- CN
- China
- Prior art keywords
- data
- data block
- count
- operation instruction
- csp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 239000013589 supplement Substances 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 abstract description 3
- 230000003993 interaction Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/0001—Systems modifying transmission characteristics according to link quality, e.g. power backoff
- H04L1/0006—Systems modifying transmission characteristics according to link quality, e.g. power backoff by adapting the transmission format
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种抵抗侧信道攻击的数据去重方法,包括下述步骤:步骤一,用户对文件F按固定大小进行分块,得到由n个数据块构成的数据块集合{c1,c2,…,cn},每个数据块ci大小为s,若最后一个数据块cn的大小不等于s,则生成虚拟字节补充到cn中,使得该数据块大小为s;检查n是否为偶数,若不是,则生成一个大小为s的虚拟数据块cn+1并加入到数据块集合中,使得数据块的个数总是为偶数;本发明无需第三方服务器协助,只涉及云存储服务器和用户两个实体,不需要借助任何可信第三方(网关或服务器等)来保证数据的安全和隐私,大大减少了额外的通信开销。
Description
技术领域
本发明涉及云存储系统数据去重技术领域,具体涉及一种抵抗侧信道攻击的数据去重方法。
背景技术
近年来,随着大数据和云计算技术的发展,越来越多的用户选择将数据外包到云存储服务中进行数据的存储和管理。为了节省存储空间和减少网络带宽的消耗,大部分云服务提供商(CSP,Cloud Service Provider)都采取了数据去重(deduplication)技术,亦被称为重复数据删除技术。数据去重技术是指,针对云存储中冗余的文件或数据块,云存储服务器只保留一份数据副本。根据去重发生的位置,数据去重通常可分为客户端数据去重和服务器端数据去重。客户端数据去重发生在数据上传前,服务器端数据去重发生在数据上传后。由于客户端数据去重发生在数据上传之前,相比服务器端去重节省了网络带宽,因此目前云服务提供商普遍采用的去重方法是客户端数据去重。
然而,现有的客户端数据去重方案容易遭受侧信道(side channels)攻击。例如,用户首先上传文件F的哈希值到云服务器查询文件F的存储状态,即是否已存储文件F,随后云服务器返回操作指令1(表示“已存储”)或0(表示“未存储”),当用户接收到1时无需上传F,接收到0时则上传F;因此,在这个交互过程中,攻击者能够通过返回值或网络流量的大小来判断文件F在云服务器中的存储状态,从而引发侧信道攻击。若明确文件F已存储于云服务器,攻击者能够更进一步地发起其他侧信道攻击,如获取文件内容、建立隐蔽通道和发起关联文件攻击等,严重威胁云存储中用户数据的安全和隐私。针对于此,研究者们提出了流量混淆(traffic obfuscation)的概念,即对用户上传文件时的网络流量进行混淆,使得攻击者无法确定文件F的存储状态。例如,在用户与服务器的交互过程中,若文件F已存储于服务器中,服务器随机返回操作指令0或1,则用户需要上传的数据大小具有随机性,令攻击者难以判断文件F的存储状态,从而达到混淆的目的。然而,该方法需要消耗较多额外的网络带宽。
发明内容
本发明的目的在于克服现有技术的缺点与不足,提供一种抵抗侧信道攻击的数据去重方法,该方法根据数据流行度进行不同流量混淆的数据去重处理,在抵抗侧信道攻击的同时,有效减少网络带宽的消耗。
本发明的目的通过下述技术方案实现:
一种抵抗侧信道攻击的数据去重方法,包括下述步骤:
步骤一,用户对文件F按固定大小进行分块,得到由n个数据块构成的数据块集合{c1,c2,…,cn},每个数据块ci大小为s,若最后一个数据块cn的大小不等于s,则生成虚拟字节补充到cn中,使得该数据块大小为s;检查n是否为偶数,若不是,则生成一个大小为s的虚拟数据块cn+1并加入到数据块集合中,使得数据块的个数总是为偶数;
步骤二,用户从数据块集合中选取数据块准备上传,每次取两个数据块ci和ci+1,先分别计算数据块的哈希值,即h(ci)=H(ci),h(ci+1)=H(ci+1),随后将哈希值<h(ci),h(ci+1)>上传到CSP中;
步骤三,CSP检查是否已存储数据块ci和ci+1,若两个数据块都未存储,则返回操作指令2;若有且仅有一个数据块已存储,则返回操作指令1;若两个数据块都已存储,则根据数据流行度返回操作指令0或1;
其中,当ci和ci+1的数据流行度都大于或等于阈值t,即count(ci)≥t且count(ci+1)≥t时,则CSP返回操作指令0,否则返回操作指令1;
步骤四,用户根据CSP的返回值0、1或2进行相应的响应;
步骤五,CSP处理用户上传的数据;
其中,当CSP接收到时,根据已存储的数据块ci或ci+1计算出另一个数据块,如由可计算得ci+1,将其保存,并更新数据块ci和ci+1的数据流行度,即count(ci)=count(ci)+1,count(ci+1)=count(ci+1)+1;当CSP接收到ci和ci+1时,将其保存,并初始化数据块ci和ci+1的数据流行度,即count(ci)=1,count(ci+1)=1。
本发明与现有技术相比具有以下的有益效果:
(1)本发明无需第三方服务器协助,只涉及云存储服务器和用户两个实体,不需要借助任何可信第三方(网关或服务器等)来保证数据的安全和隐私,大大减少了额外的通信开销;
(2)本发明对用户数据进行数据流行度管理,对流行数据和非流行数据设置不同的隐私保护等级,保证了非流行数据的存储状态隐私,从而抵抗侧信道攻击。同时,由于流行数据的隐私保护需求较低,本发明直接在客户端进行去重操作,有效减少网络带宽的消耗;
(3)本发明对文件进行块级去重,即更细粒度的去重,相比文件级去重方法的去重率更高,节省云服务器存储空间。
附图说明
图1为本发明的整体流程图;
图2为本发明初始化阶段的子流程图;
图3为本发明数据上传阶段交互的子流程图。
符号说明:
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
如图1~3所示,一种抵抗侧信道攻击的数据去重方法,包括下述步骤:
步骤一,用户对文件F按固定大小进行分块,得到由n个数据块构成的数据块集合{c1,c2,…,cn},每个数据块ci大小为s,若最后一个数据块cn的大小不等于s,则生成虚拟字节补充到cn中,使得该数据块大小为s;检查n是否为偶数,若不是,则生成一个大小为s的虚拟数据块cn+1并加入到数据块集合中,使得数据块的个数总是为偶数;
步骤二,用户从数据块集合中选取数据块准备上传,每次取两个数据块ci和ci+1,先分别计算数据块的哈希值,即h(ci)=H(ci),h(ci+1)=H(ci+1),H(·)代表散列函数,随后将哈希值<h(ci),h(ci+1)>上传到CSP中;
步骤三,CSP检查是否已存储数据块ci和ci+1,若两个数据块都未存储,则返回操作指令2;若有且仅有一个数据块已存储,则返回操作指令1;若两个数据块都已存储,则根据数据流行度返回操作指令0或1;其中,当ci和ci+1的数据流行度都大于或等于阈值t,即count(ci)≥t且count(ci+1)≥t时,则CSP返回操作指令0,否则返回操作指令1;
步骤四,用户根据CSP的返回值0、1或2进行相应的响应;其中,当用户接收到操作指令0时,无需上传任何数据块,此时在客户端发生去重;当用户接收到操作指令1时,则上传数据块ci和ci+1的异或值,即当用户接收到操作指令2时,则上传数据块ci和ci+1;
步骤五,CSP处理用户上传的数据;其中,当CSP接收到时,根据已存储的数据块ci或ci+1计算出另一个数据块,如由可计算得ci+1,将其保存,并更新数据块ci和ci+1的数据流行度,即count(ci)=count(ci)+1,count(ci+1)=count(ci+1)+1;当CSP接收到ci和ci+1时,将其保存,并初始化数据块ci和ci+1的数据流行度,即count(ci)=1,count(ci+1)=1。
数据流行度(Data Popularity)是指数据的流行程度,在云存储系统中越多用户上传同一份数据,则表示该数据越流行。根据数据流行度可将用户数据分为流行数据和非流行数据,通常来说,流行数据(例如流行歌曲)相比非流行数据(例如个人文件)需要的隐私保护程度较低,因此在本方法中对流行数据和非流行数据提供不同程度的隐私保护。
本发明提出一种基于流量混淆的数据去重方法,同时结合了数据流行度,使得在用户与云服务器交互过程中,攻击者难以获取非流行数据的存储状态,从而抵抗侧信道攻击;此外,对于流行数据,能够在客户端进行去重,因此减少了网络带宽的消耗。为了达到流量混淆的目的,本发明采取每次同时上传两个数据块,待上传的数据块记为c1和c2,用户首先查询数据块的存储状态,如下表1所示:
表1不同存储状态下的返回值
其中,0表示未存储,1表示已存储,CSP根据数据存储状态返回相应的操作指令。(1)当数据块c1和c2都未存储在云服务器上时,CSP返回2,表示用户需要上传c1和c2;(2)当数据块c1和c2其中一个存储在云服务器上,另一个未存储时,CSP返回1,表示用户需要上传c1和c2的异或值,即CSP接收到异或值后可根据已存储的数据块计算出另一个数据块,例如:CSP已存储c1但未存储c2,则由可计算得c2;(3)当c1和c2都已存储在云服务器上时,CSP先检查数据块c1和c2的流行度,若为非流行数据则返回1,若为流行数据则返回0。当用户接收到0时,表示不需要上传任何数据,此时在客户端发生去重。在发明中,CSP采用count(ci)表示任意数据块ci的数据流行度,用来记录不同用户上传数据块ci的次数,由CSP中的counter模块进行记录。当CSP第一次接收到ci时,counter模块初始化count(ci)=1,随着其他用户重复上传ci,counter模块不断更新count(ci)值,因此count(ci)越大说明数据块ci越流行。值得注意的是,同一个用户多次重复上传ci,count(ci)也只记录一次。与此同时,在本方法中设置了流行度阈值t,当count(ci)≥t,表示数据块ci为流行数据;否则,ci为非流行数据。
本发明无需第三方服务器协助,只涉及云存储服务器和用户两个实体,不需要借助任何可信第三方(网关或服务器等)来保证数据的安全和隐私,大大减少了额外的通信开销;对用户数据进行数据流行度管理,对流行数据和非流行数据设置不同的隐私保护等级,保证了非流行数据的存储状态隐私,从而抵抗侧信道攻击。例如根据表1可知,当用户接收到操作指令1时,无法判断c1已存储或c2已存储或c1、c2都已存储。同时,由于流行数据的隐私保护需求较低,本发明直接在客户端进行去重操作,有效减少网络带宽的消耗。根据表1可知,当c1和c2都为流行数据,用户将接收到操作指令0,无需进行上传数据操作;对文件进行块级去重,即更细粒度的去重,相比文件级去重方法的去重率更高,节省云服务器存储空间。
上述为本发明较佳的实施方式,但本发明的实施方式并不受上述内容的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (1)
1.一种抵抗侧信道攻击的数据去重方法,其特征在于,包括下述步骤:
步骤一,用户对文件F按固定大小进行分块,得到由n个数据块构成的数据块集合{c1,c2,…,cn},每个数据块ci大小为s,若最后一个数据块cn的大小不等于s,则生成虚拟字节补充到cn中,使得该数据块大小为s;检查n是否为偶数,若不是,则生成一个大小为s的虚拟数据块cn+1并加入到数据块集合中,使得数据块的个数总是为偶数;
步骤二,用户从数据块集合中选取数据块准备上传,每次取两个数据块ci和ci+1,先分别计算数据块的哈希值,即h(ci)=H(ci),h(ci+1)=H(ci+1),随后将哈希值<h(ci),h(ci+1)>上传到CSP中;
步骤三,CSP检查是否已存储数据块ci和ci+1,若两个数据块都未存储,则返回操作指令2;若有且仅有一个数据块已存储,则返回操作指令1;若两个数据块都已存储,则根据数据流行度返回操作指令0或1;
其中,当ci和ci+1的数据流行度都大于或等于阈值t,即count(ci)≥t且count(ci+1)≥t时,则CSP返回操作指令0,否则返回操作指令1;
步骤四,用户根据CSP的返回值0、1或2进行相应的响应;
步骤五,CSP处理用户上传的数据;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910203822.2A CN110099097B (zh) | 2019-03-18 | 2019-03-18 | 一种抵抗侧信道攻击的数据去重方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910203822.2A CN110099097B (zh) | 2019-03-18 | 2019-03-18 | 一种抵抗侧信道攻击的数据去重方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110099097A CN110099097A (zh) | 2019-08-06 |
CN110099097B true CN110099097B (zh) | 2021-12-17 |
Family
ID=67443192
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910203822.2A Expired - Fee Related CN110099097B (zh) | 2019-03-18 | 2019-03-18 | 一种抵抗侧信道攻击的数据去重方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110099097B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553493B (zh) * | 2022-01-25 | 2023-05-12 | 国际关系学院 | 面向云存储的抗边信道攻击跨用户广义去重方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917609A (zh) * | 2015-05-19 | 2015-09-16 | 华中科技大学 | 一种基于用户感知的高效安全数据去重方法及系统 |
CN105915332A (zh) * | 2016-07-04 | 2016-08-31 | 广东工业大学 | 一种云存储加密及去重复方法及其系统 |
CN106100832A (zh) * | 2016-06-12 | 2016-11-09 | 广东工业大学 | 一种云存储数据去重中基于收敛加密的密钥管理方法 |
CN107659401A (zh) * | 2017-10-09 | 2018-02-02 | 华中科技大学 | 一种相似性感知的安全数据去重加密方法 |
CN109347788A (zh) * | 2018-08-17 | 2019-02-15 | 广东工业大学 | 一种基于存储网关的数据去重方法、系统及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9336260B2 (en) * | 2013-10-16 | 2016-05-10 | Netapp, Inc. | Technique for global deduplication across datacenters with minimal coordination |
-
2019
- 2019-03-18 CN CN201910203822.2A patent/CN110099097B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917609A (zh) * | 2015-05-19 | 2015-09-16 | 华中科技大学 | 一种基于用户感知的高效安全数据去重方法及系统 |
CN106100832A (zh) * | 2016-06-12 | 2016-11-09 | 广东工业大学 | 一种云存储数据去重中基于收敛加密的密钥管理方法 |
CN105915332A (zh) * | 2016-07-04 | 2016-08-31 | 广东工业大学 | 一种云存储加密及去重复方法及其系统 |
CN107659401A (zh) * | 2017-10-09 | 2018-02-02 | 华中科技大学 | 一种相似性感知的安全数据去重加密方法 |
CN109347788A (zh) * | 2018-08-17 | 2019-02-15 | 广东工业大学 | 一种基于存储网关的数据去重方法、系统及装置 |
Non-Patent Citations (4)
Title |
---|
"Design and Implementation of Various File Deduplication Schemes on Storage Devices";Yong-Ting Wu;《2015 11th International Conference on Heterogeneous Networking for Quality, Reliability, Security and Robustness (QSHINE)》;20151123;第1-5页 * |
"Privacy Aware Data Deduplication for Side Channel in Cloud Storage";Chia-Mu Yu;《 IEEE Transactions on Cloud Computing》;20180117;第1-13页 * |
"云存储系统中重复数据删除机制的研究";涂群;《中国优秀硕士论文全文数据库》;20170215;第1-84页 * |
"基于存储网关的数据安全去重方案";柳毅;《计算机工程与应用》;20181228;第55卷(第17期);第1-6页 * |
Also Published As
Publication number | Publication date |
---|---|
CN110099097A (zh) | 2019-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20190036648A1 (en) | Distributed secure data storage and transmission of streaming media content | |
AU2015259417B2 (en) | Distributed secure data storage and transmission of streaming media content | |
Pooranian et al. | RARE: Defeating side channels based on data-deduplication in cloud storage | |
CN107430668B (zh) | 用于个人设备和云数据的安全分布式备份 | |
Zheng et al. | Lossless data hiding algorithm for encrypted images with high capacity | |
Wen et al. | Secure data deduplication with reliable key management for dynamic updates in CPSS | |
CN108810063B (zh) | 一种多云存储环境下数据的安全分发和修复方法、系统及介质 | |
CN104836656B (zh) | 一种视频文件的存储和传输方法 | |
Akhila et al. | A study on deduplication techniques over encrypted data | |
GB2503771A (en) | Caching security information, using hash function using device ID and mixer | |
US20210089683A1 (en) | Data stream integrity | |
CN110099097B (zh) | 一种抵抗侧信道攻击的数据去重方法 | |
CN111611614A (zh) | 基于区块链的抗恶意审计者的云存储公开审计方法及系统 | |
CN101945125A (zh) | 一种文件传输的方法和装置 | |
CN112152798B (zh) | 基于加密数据去重的分布式密文共享密钥管理方法及系统 | |
US20060005031A1 (en) | Methods and systems for utilizing a single cryptographic integrity check to generate multiple cryptographic integrity check values for components of transcodable content | |
CN111931194A (zh) | 基于云计算的安防监控大数据处理方法及装置 | |
CN107329911B (zh) | 一种基于cp-abe属性访问机制的缓存替换方法 | |
CN109150537A (zh) | 一种基于动态Bloom Filter的文件所有权证明方法 | |
Agarwala et al. | Client side secure image deduplication using DICE protocol | |
US9734154B2 (en) | Method and apparatus for storing a data file | |
Han | Multi-bit data de-duplication-based cloud storage channel covert | |
Xu et al. | An Aggregation Protocol Resisting Collusion Attacks in the Internet of Vehicles Environment | |
Kamboj et al. | Multi-layer data security in cloud computing | |
Liu et al. | Security Analysis and Improvements on a Remote Integrity Checking Scheme for Regenerating-Coding-Based Distributed Storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20211217 |
|
CF01 | Termination of patent right due to non-payment of annual fee |