[发明专利]一种抵抗侧信道攻击的数据去重方法

说明书

本发明公开了一种抵抗侧信道攻击的数据去重方法，包括下述步骤：步骤一，用户对文件F按固定大小进行分块，得到由n个数据块构成的数据块集合{c₁,c₂,…,c_n}，每个数据块c_i大小为s，若最后一个数据块c_n的大小不等于s，则生成虚拟字节补充到c_n中，使得该数据块大小为s；检查n是否为偶数，若不是，则生成一个大小为s的虚拟数据块c_n+1并加入到数据块集合中，使得数据块的个数总是为偶数；本发明无需第三方服务器协助，只涉及云存储服务器和用户两个实体，不需要借助任何可信第三方(网关或服务器等)来保证数据的安全和隐私，大大减少了额外的通信开销。

技术领域

本发明涉及云存储系统数据去重技术领域，具体涉及一种抵抗侧信道攻击的数据去重方法。

背景技术

近年来，随着大数据和云计算技术的发展，越来越多的用户选择将数据外包到云存储服务中进行数据的存储和管理。为了节省存储空间和减少网络带宽的消耗，大部分云服务提供商(CSP，Cloud Service Provider)都采取了数据去重(deduplication)技术，亦被称为重复数据删除技术。数据去重技术是指，针对云存储中冗余的文件或数据块，云存储服务器只保留一份数据副本。根据去重发生的位置，数据去重通常可分为客户端数据去重和服务器端数据去重。客户端数据去重发生在数据上传前，服务器端数据去重发生在数据上传后。由于客户端数据去重发生在数据上传之前，相比服务器端去重节省了网络带宽，因此目前云服务提供商普遍采用的去重方法是客户端数据去重。

然而，现有的客户端数据去重方案容易遭受侧信道(side channels)攻击。例如，用户首先上传文件F的哈希值到云服务器查询文件F的存储状态，即是否已存储文件F，随后云服务器返回操作指令1(表示“已存储”)或0(表示“未存储”)，当用户接收到1时无需上传F，接收到0时则上传F；因此，在这个交互过程中，攻击者能够通过返回值或网络流量的大小来判断文件F在云服务器中的存储状态，从而引发侧信道攻击。若明确文件F已存储于云服务器，攻击者能够更进一步地发起其他侧信道攻击，如获取文件内容、建立隐蔽通道和发起关联文件攻击等，严重威胁云存储中用户数据的安全和隐私。针对于此，研究者们提出了流量混淆(traffic obfuscation)的概念，即对用户上传文件时的网络流量进行混淆，使得攻击者无法确定文件F的存储状态。例如，在用户与服务器的交互过程中，若文件F已存储于服务器中，服务器随机返回操作指令0或1，则用户需要上传的数据大小具有随机性，令攻击者难以判断文件F的存储状态，从而达到混淆的目的。然而，该方法需要消耗较多额外的网络带宽。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种抵抗侧信道攻击的数据去重方法，该方法根据数据流行度进行不同流量混淆的数据去重处理，在抵抗侧信道攻击的同时，有效减少网络带宽的消耗。

本发明的目的通过下述技术方案实现：

一种抵抗侧信道攻击的数据去重方法，包括下述步骤：

步骤一，用户对文件F按固定大小进行分块，得到由n个数据块构成的数据块集合{c₁,c₂,…,c_n}，每个数据块c_i大小为s，若最后一个数据块c_n的大小不等于s，则生成虚拟字节补充到c_n中，使得该数据块大小为s；检查n是否为偶数，若不是，则生成一个大小为s的虚拟数据块c_n+1并加入到数据块集合中，使得数据块的个数总是为偶数；