基于密钥分发和密文抽样的云数据确定性删除方案

王敏燊，熊金波，林 倩，王丽丽

(福建师范大学 数学与信息学院，福州 350117)(*通信作者电子邮箱jinbo810@163.com)

0 引言

随着计算机网络技术的快速发展与大数据时代的到来，云计算服务为人们带来了极大的方便。计算能力强、成本低、存储空间大、部署灵活且可扩展性强的云计算服务，被越来越多用户关注与使用。用户一旦将个人数据上传到云端，云数据的所有权与管理权分离，导致用户失去对数据完全控制权。如果云数据过期后不及时删除，“诚实且好奇”的云服务提供商可能在利益的驱使或法律的强迫下泄露隐私数据；另外，还存在攻击者从云服务器中窃取数据，并使用蛮力破解等方法破解密文的风险。如：据消费者权益保障协会报道，有些网站收集达到7亿多用户的个人数据未能及时删除，导致用户的隐私信息被泄露；雅虎数据库被攻击，导致10亿用户信息被盗，这些信息包括：用户名字、电话号码、出生日期、密码和密保信息等。云数据在授权期后，面临的隐私泄露问题亟需解决，因此，云数据确定性删除的研究对云数据的隐私保护具有重要的意义。

为确保数据的机密性，通常先将数据加密，再上传到云端。现有关于云数据确定性删除的方法可分为集中式密钥管理和分散式密钥管理两种方法[1]。

集中式密钥管理方法有：文献[2]提出了一种Timed-Ephemerizer的确定性删除方法，通过第三方密钥管理服务器产生公钥对数据密钥加密，并设定数据的生命周期。数据过期后，密钥管理服务器删除私钥，进而数据密钥和密文都无法解密。文献[3]提出了一种基于访问策略的确定性删除方法，将数据分别关联一条访问策略或多条访问策略的布尔组合，再用访问策略对应的控制密钥加密数据密钥，通过撤销访问策略并删除控制密钥使数据密钥和密文无法解密。文献[4]提出了一种基于密文抽样分块的确定性删除方案，对完整密文进行抽样处理，将密文分成抽样密文和不完整密文。密钥、抽样密文以及抽样密文的位置索引交于可信第三方管理，通过可信第三方销毁密钥和抽样密文实现云数据的确定性删除。文献[5]使用全有或全无转换(All Or Nothing Transform, AONT)算法实现云数据的删除。云数据过期后，删除包含密钥和AONT算法生成的密文块等信息的封装对象，使密文无法解密。集中式密钥管理的方法过于依赖密钥管理服务器，当第三方服务器失效，密钥就无法正常删除[6]。

分散式密钥管理方法有：文献[7]使用(n,t)门限秘密共享算法将数据密钥分成n个子密钥分布到分布式哈希表(Distributed Hash Table, DHT)网络节点上存储。DHT网络具有周期性更新的功能，因此，DHT网络更新前，能够提取子密钥重构出密钥；DHT网络更新后，节点上的子密钥被删除。当n-t+1个子密钥被删除，密钥就无法重构，进而无法解密密文。文献[8]基于文献[7]对秘密共享算法进行了改进，扩展子密钥的长度和数量抵御DHT网络中存在的跳跃攻击。文献[9]提出了一种基于DHT网络和密钥派生树的确定性删除方法，将密钥通过转换函数生成派生树密钥，然后将派生树密钥分发到DHT网络节点上，通过节点周期性更新功能删除派生树密钥，实现云数据确定性删除。该方案节省了用户管理密钥的开销，能防御跳跃攻击和嗅探攻击，但没解决密文面临的蛮力攻击问题且增加了计算开销。文献[10-12]的方案中密钥通过秘密共享算法分成多份子密钥，完整密文经过抽样后，得到不完整密文和抽样密文块，再将子密钥和抽样密文组合分发到DHT网络节点上存储，利用DHT网络的功能删除子密钥和抽样密文，进而实现云数据的确定性删除。上述方法没考虑DHT网络中存在恶意节点导致的风险，如：恶意节点没有周期性删除子密钥，甚至泄露和伪造子密钥等，这将导致无法重构正确的密钥和密钥泄露的风险。另外，现有的研究仅通过删除密钥使密文无法解密来达到删除云数据的目的，并未完全删除云端密文，攻击者可以通过密文分析和蛮力破解等方法破解云端密文。

针对现有研究存在的问题，本文提出一种基于分散式密钥管理方法的云数据确定性删除方案，与现有方案区别为本文方案基于秘密共享算法、DHT网络实现密钥管理，再结合信任值评估模型、随机抽样算法和覆写算法实现云数据的确定性删除。本文主要贡献如下：提出一种基于密钥分发和密文抽样的云数据确定性删除方案。该方案中使用随机抽样算法抽样密文，使云端密文不完整，能有效抵御云数据生命周期内攻击者的密码分析和蛮力破解；使用DHT网络实现密钥的定期自动删除，通过信任值评估模型评估DHT网络各节点的信任值，能有效防止DHT网络中恶意节点对密钥的不定期删除、泄露和伪造等行为；上传随机数据覆写密文，实现密文的及时删除，避免了攻击者重构密钥和密文、蛮力攻击等的风险；通过安全性分析与实验分析证明所提方案是安全和高效的。

1 相关知识

1.1 分布式文件系统

Hadoop分布式文件系统(Hadoop Distributed File System, HDFS)能存储和处理大数据集，具有扩展性高、冗余存储和容错性强等特点[13]。主要由3个部分组成：

1)NameNode，系统管理节点。管理HDFS中的文件目录、映射和属性等，能接收用户读写请求、记录日志和配置副本策略。

2)SecondaryNameNode，NameNode的备份节点。保证NameNode失效时，数据的存储过程不会中断，数据不会丢失。

3)DataNode，数据存储节点。负责存储数据。HDFS将上传的数据分成多份数据块存储在不同数据存储节点上。DataNode与NameNode相互协调实现数据块的读写。当用户通过NameNode上传数据到DataNode时，NameNode会反馈校验文件.meta给用户；当用户发出数据请求并获取数据内容后，会将从DataNode处获取到的数据与相应的校验和与文件中的校验和进行匹配，如果不匹配，用户可以从其他DataNode获取相对应数据块的副本。

1.2 密文抽样合成模型

密文抽样合成模型分为随机抽样缩减和合成两个过程[4]。抽样缩减过程：通过随机抽样算法对密文的序列块随机抽样，生成不完整密文、抽样密文及其位置索引，如图1所示。由于文件流的I/O操作效率较低，因此只对密文中抽样密文对应位置的序列块进行混淆处理。假设完整密文为C={x1,x2,…,xn}，bi为第i次抽样的比特数，f为抽样的次数。如：随机抽样次数f=3，从C中抽出C2={x3,x7,xn-2}，算法生成随机序列P={p3,p7,pn-2}用于填充C2，pi与bi长度相同。抽样后得到不完整密文C1={x1,x2,…,xn-1,xn}、C2={x3,x7,xn-2}及其位置索引L。合成过程：根据L将C2中序列块覆盖C1中随机序列P，合成完整密文C。

图1 密文随机抽样

1.3 DHT网络

DHT网络是一种分布式存储网络[14]。DHT网络具有以下3个特性：

1)可用性。DHT网络能够将数据分散存储到不同节点上，保证部分节点退出网络后，存储在其他节点上的数据仍能被提取。

2)大规模且分布范围广。VuzeDHT网络中的活动节点已达到了数百万个，并且地理分布涉及全球近两百个国家和地区。非集中的分布方式使DHT网络具有良好的健壮性和抗攻击能力。

3)定期更新清除功能。只需设置DHT网络的更新周期，DHT网络能定期自动清除节点上存储的数据，释放空间存储新的数据。如：实验表明OpenDHT可自主选择节点更新周期[15]；VuzeDHT网络的自动更新周期为8 h，超过更新周期，节点上的数据将被清除[16]。

1.4 秘密共享算法

秘密共享方案(Shamir Secret Sharing, SSS)是一种将密钥分成若干份分散式管理的方法[17]。原理是将密钥分成n份子密钥；至少拥有t个子密钥，才能通过拉格朗日多项式重构出密钥；少于t个无法重构密钥。秘密共享方案能有效地解决直接将密钥存储在DHT网络节点上导致密钥高丢失率和不可用性的问题。通过自主设置门限阈值n、t找到密钥分片长度和分片数量之间的平衡，能有效地抵御DHT网络中的跳跃攻击。

1.5 信任值评估模型

信任值评估模型是一种评估DHT网络节点信任值的方法[18-19]。在用户与节点的交互过程中，根据节点反馈数据是否及时、数据的正确性和是否定期删除数据三方面指标评价该节点的信任值。令用户u与节点id进行交互，fi(u,id)表示第i次数据交互的评价值。如果节点id满足上述三方面指标，则fi(u,id)=1；全不满足，则fi(U,v)=0；否则根据满足的程度在(0,1)中取值。统计u与id进行n次交互的评价值，结合节点原有的信任值q，计算节点的局部信任值vuid，表示为：

(1)

当n=0时，用户和节点未交互，则vuid为0。每计算一次vuid后，将其存储节点管理处。当k个用户与id交互后，节点id的全局信任值Vid表示为：

(2)

2 本文方案构造

首先列出本文方案所用符号及其描述，如表1所示。然后给出所提方案的系统模型、安全假设、模型概述、具体实现流程和算法描述。

2.1 系统模型

基于密钥分发和密文抽样的云数据确定性删除方案的系统模型，如图2所示。该模型由数据拥有者(Data Owner)、基于HDFS的云服务器、DHT网络和数据使用者(Data User)组成。

表1 本文方案符号和描述

数据拥有者(Data Owner) 拥有大量数据，选择云服务器存储数据。为防止用户的个人隐私泄露，需要对数据进行加密，再上传到云端。

基于HDFS的云服务器 根据用户要求操作数据。为数据拥有者提供存储服务，提供数据给数据使用者下载。

DHT网络 用于存储子密钥，子密钥的生命周期过期后，节点自动删除子密钥。

数据使用者(Data User) 有权享有数据拥有者的数据用于其他用途，能够遵守数据拥有者的隐私保护要求，不会泄露隐私信息。

图2 系统模型

2.2 安全假设

为实现方案构造的安全性，作以下安全假设：

1)“诚实且好奇”的云服务提供商。向用户提供存储计算服务并能按用户要求处理数据，但可能受利益驱使窥探用户的个人数据，或被迫将数据提交给法律机构等实体。

2)安全信道。保障数据拥有者和数据使用者之间的通信安全，防止秘密信息传输时被攻击者截取。

3)可信的数据使用者。数据使用者不会主动泄露密钥和明文。使用完数据后，能按照数据拥有者的要求完全删除密钥、明文和密文等。

2.3 系统概述

本文所提方案可分为4个阶段：

第1阶段 明文加密和密文抽样。数据拥有者使用AES(Advanced Encryption Standard)256算法将F加密成C。使用随机抽样算法对C进行抽样，生成C1和C2。然后将C1上传到HDFS中。

第2阶段 密钥分发和提取。使用信任值评估模型评估DHT网络节点的信任值，记录具有高信任值的节点id。密钥通过秘密共享算法分成n份子密钥，子密钥根据ID分发到DHT网络中。然后将C2、L、URL和ID封装成封装体E。当数据使用者请求数据时，先通过安全信道获取E，解封装E得C2、L、URL和ID。数据使用者依据ID从DHT网络中的节点上提取子密钥，在DHT网络的更新周期内，即云数据的生命期，可提取足够多的子密钥重构出密钥。

第3阶段 密文合成和解密。数据使用者向云服务器发送身份认证信息请求数据。云服务器通过身份验证后，提供与URL对应的C1给数据使用者下载。然后根据L将C2与C1合成C，再用密钥解密C。

第4阶段 密钥和密文删除。云数据过期后，密钥通过DHT网络周期性更新功能自动删除。密文通过调用HDFS接口，上传随机数据覆写实现删除。

2.4 系统流程

2.4.1 明文加密抽样处理

1)setup(k)→(Skey,f,b,n,t)，初始化算法。客户端输入安全参数k通过初始化算法生成AES256对称加密算法的密钥Skey、密文抽样的次数f、抽样的数据大小b、秘密共享方案生成子密钥个数n和重构密钥的门限值t。

2)AESEnc(F,Skey)→(C)，AES256加密算法。明文数据F通过AES256对称加密算法加密成密文C。

3)DataExtract(C,b,f)→(C1,C2,L)，密文抽样算法。对完整密文C进行抽样缩减，抽样的数据量为b比特，经过f次抽样后得到抽样密文C2、C2的位置索引L和不完整密文C1。

4)DataUpload(C1)→(URL)，数据上传。不完整密文C1通过HDFS提供的接口上传，上传完成后，HDFS将数据存储的位置信息URL反馈给数据拥有者。

加密抽样伪代码如下：

Input:k,F

Output:C1,C2

(Skey,f,b,n,t) ←setup(k)

public function encrypt (＄str)

//传入加密字符串

mcrypt_generic_init(＄td,＄this->secret_key,＄iv);

＄cyper_text=mcrypt_generic(＄td,＄str);

//加密数据

＄rt=base64_encode(＄cyper_text);

//对数据编码

mcrypt_generic_deinit(＄td);

mcrypt_module_close(＄td);

(C1,C2,L) ←DataExtract(C,b,f);

//抽样密文

end

2.4.2 密钥分发提取处理

1)Trust({id1,id2,…,idm})→({id1,id2,…,idn})，信任值评估算法。从DHT网络选取m个节点作为候选节点，发送随机数据与候选节点交互。根据节点反馈数据的情况，记录其中n个具有高信任值的节点的随机种子ID={id1,id2,…,idn}。

2)SSShare(Skey)→({Skey1,Skey2,…,Skeyn})，密钥分发算法。通过(n,t)秘密共享算法将密钥分成n个子密钥Skey={Skey1,Skey2,…,Skeyn}。

3)KeyDistribute({Skey1,Skey2,…,Skeyn},ID)，密钥分发算法。根据信任值评估算法选取的节点的随机种子ID，将子密钥分别存储到DHT网络的节点上。

4)Encapsulate(C2,L,URL,ID)→(E)，封装算法。将C2、L、URL和ID封装成封装体E。

5)Decapsulate(E)→(C2,L,URL,ID)，解封装算法。将E解封装得C2、L、URL和ID。

6)SubkeyExtract(ID,t)→({Skey1,Skey2,…,Skeyn})，子密钥提取算法。根据ID从DHT网络中提取子密钥。提取子密钥后，对其进行正确性验证，正确则记为满意；不正确则记录不满意，继续从DHT网络其他节点中获取子密钥。直到获取到至少t个正确的子密钥。根据节点反馈的子密钥的正确性和及时性等情况，用信任值评估算法计算节点的信任值。最后将各节点的新信任值存储到节点管理处。

7)SSRecover({Skey1,Skey2,…,Skeyn})→(Skey)，密钥重构算法。将t个正确子密钥通过秘密共享算法重构出密钥Skey。

密钥分发伪代码如下：

public function Distribute(Skey)

({Skey1,Skey2,…,Skeyn}) ←SSShare(Skey);

for(u=1;u<=k;u++)

//选取节点

for(i=0;i<=m;i++)

if(fi(u,id)=1)

idi=i;

KeyDistribute({Skey1,Skey2,…,Skeyn},ID);

end

2.4.3 密文合成解密处理

1)DataDownload(URL)→(C1)，数据下载。数据拥有者通过URL从云服务器中下载不完整密文C1。

2)DataRecover(C1,C2,L)→(C)，密文合成算法。根据位置索引L将抽样密文C2与不完整的密文C1组合成完整密文C。

3)AESDec(C,Skey)→(F)，AES256解密算法。使用密钥Skey解密C，恢复出明文F。

伪代码如下：

Input:C1,C2,L,Skey

Output:F

C←DataRecover(C1,C2,L);

//恢复完整密文

if (DataRecover(C1,C2,L)=0)

//没有合成完整密文

return decryption failed;

else

public function decrypt(＄str)

//传入密文C字符串

mcrypt_generic_init(＄td,＄this->secret_key,＄iv);

＄decrypted_text=mdecrypt_generic(＄td,

base64_decode(＄str));

＄rt=＄decrypted_text;

mcrypt_generic_deinit(＄td);

mcrypt_module_close(＄td);

return ＄this->unpad(＄rt);

//恢复的明文数据

end

2.4.4 密钥和密文删除处理

云数据的生命周期过后，DHT网络自动删除子密钥，攻击者无法提取至少t个子密钥重构密钥，进而实现密钥的删除。通过覆写方法实现密文的删除。

1)DataOW(C1,URL,r)，数据覆写算法。调用HDFS的接口上传随机数据r，对不完整密文C1进行多次覆写。覆写伪代码如下：

public class DataOW(r)

FileSystem hdfs=FileSystem.get(conf);

//文件流

byte[] buff="r".getBytes();

//覆写的内容

Path dfs=new Path("xxxx");

//需要被覆写的文档路径

FSDataOutputStream outputStream=hdfs.create(dfs);

outputStream.write(buff,0,buff.length);

end

3 综合分析

本文方案的安全性主要从DHT网络的安全性、密文随机抽样的安全性、算法的安全性和方案整体的安全性进行分析，然后与经典方案从加密算法、抗攻击能力等方面进行对比。通过算法的计算复杂度分析方案的性能，并通过实验验证方案的可行性。

3.1 安全性分析

1)DHT网络的安全性。文献[7-9,11,19]将子密钥分发到网络节点上，利用DHT网络节点删除密钥。这种方式虽然避免了密钥管理第三方存在的泄露风险，但也存在不足。如：文献[7]中所提的方案存在由嗅探攻击和跳跃攻击导致的密钥泄露问题，原因是分发到DHT网络节点上的子密钥较短且长度固定。为了防止嗅探攻击和跳跃攻击。文献[8]使用非对称加密算法的公钥加密数据密钥，然后分发到DHT网络节点中。假设攻击者能提取足够多的子密钥，但没有与数据密钥对应的私钥，也无法解密出数据密钥。文献[9]使用密钥派生树管理密钥，攻击者不知道派生树密钥的变换函数，因此，能够有效抵御嗅探攻击和跳跃攻击。文献[19]先对DHT网络节点进行信任值评估，再将密钥分发到具有较高信任值的节点上，以减少恶意节点泄露子密钥的风险。本文方案不但考虑节点的信任值评估，而且在密钥分发时，保证了子密钥的长度和数目，这能有效地防止恶意节点对子密钥的泄露、篡改等行为，并能抵御嗅探攻击和跳跃攻击。本文方案和现有方案的对比，如表2所示。

表2 几种相关方案对比分析

3)算法的安全性。本文方案中采用的密钥共享方案的安全性是基于多线性离散对数和多线性Diffie-Hellman难解性的，因此密钥分发和恢复过程的安全性可得到保证[17]。因为攻击者对密文进行蛮力攻击在多项式时间内无法破解AES256算法，所以AES256加密算法保证了云数据在生命周期内的安全。云数据过期后，密文通过覆写算法实现删除，因此，攻击者无法解密出明文。

4)系统整体的安全性。本文方案采用AES256加密算法加密明文，通过随机抽样算法使上传到云端的密文不完整，能抵御攻击者的蛮力攻击。利用DHT网络的周期性更新功能删除密钥，避免了密钥管理第三方的密钥泄露风险。采用信任值评估模型评估DHT网络节点并选择信任值高的节点存储子密钥，能有效地防止恶意节点对子密钥不定期删除、泄露、篡改等行为。随着计算机计算能力的提高，存储在云端的密文依然存在被蛮力破解的风险。云数据过期后，调用HDFS接口上传随机数据，对云端的密文进行多次覆写，进而实现密文的删除。所以从理论上分析，本文方案能有效保证云数据安全。

3.2 复杂度分析

本文主要从系统流程的4个阶段分析客户端、云服务器和DHT网络中的计算复杂度。

阶段1 使用AES256算法加密明文F的复杂度为O(lF)·AES；密文抽样算法的复杂度为O(b)·f。

阶段2 信任值评估算法评估DHT网络中m个节点的复杂度为O(m)；秘密共享方案产生子密钥的复杂度为O(lSkey)·SSShare；通过秘密共享算法重构密钥的复杂度为O(lSkey)·SSRecover。

阶段3 合成完整密文的复杂度均为O(b)·f；解密密文的复杂度为O(lF)·AES。

阶段4n个子密钥通过DHT网络节点删除的复杂度O(lSkeyi)·n，数据拥有者调用接口，上传随机数据进行一次密文覆写的复杂度O(lC1)·OW。

密文抽样的抽样次数少且每次抽样的数据量很小，因此，数据抽样和合成的复杂度不高。秘密共享算法由于密钥的数据量不大，进行密钥分片和重构的复杂度也不高。由云服务器进行密文覆写，因此，当数据量大时，客户端最主要的开销是明文加密和密文解密的开销，由于本文采用是对称加密算法，所以客户端加解密的计算开销在可承受的范围内。各阶段开销分析，如表3所示。

表3中：lF表示明文F的长度，AES表示对称加密运算，lC1为不完整密文的长度，m为计算信任度的节点个数，SSS表示SSShare+SSRecover运算，lSkey,lSkeyi表示密钥和密钥分量长度，OW表示覆写运算。

表3 本文方案复杂度分析

3.3 实验及分析

实验主要通过统计不同大小的数据的加解密和抽样的时间开销、不同大小的数据上传到HDFS中的时间开销以及子密钥的提取成功率与时间的关系等来验证本文所提方案的可行性。

实验环境：云服务器为Hadoop2.7.3构建的分布式环境，配置为Intel Core i5- 4539 CPU@3.30 GHz处理器，内存为8 GB，硬盘1 024 GB，操作系统Ubuntu16.04。通过在Vmware-workstation 12.5.2虚拟机上创建两台虚拟机，其中一台是NameNode，另一台是DataNode，完成分布式文件系统的构建，实现数据的本地存储转发。使用NS2网络仿真工具模拟DHT网络，模拟DHT网络中的节点数为50个，设置数据生命周期为8 h。JDK版本采用Jdk- 8u111-linux-x64.gz，数据加密采用AES256加密算法，密钥长度为256比特。客户端的硬件配置为Intel Core i5- 4200H处理器，4 GB内存，操作系统Windows 10。

3.3.1 数据加密与解密

实验数据的取值范围为64 MB～320 MB，总抽样密文大小为64比特，设置每次抽样b=16比特，采样次数f=4。不同大小的数据的加密(Encrypt)、抽样(Extract)和解密(Decrypt)的时间开销，如表4所示。实验发现数据的加解密时间开销不是很大，随机抽样比加密和解密的时间开销小很多。

表4 不同大小的数据加解密和抽样的时间对比

3.3.2 密文上传

客户端将密文上传到HDFS中。首先，设置数据的本地路径和HDFS中存放的路径，然后将本地数据上传到设置的文件夹中，刷新之后可看到HDFS中的数据。在数据上传的过程中，监测到上传不同大小的数据时系统CPU、内存(Mem)占用率的变化，如图3所示。从图中可知CPU占用率基本不变，内存占用率会随着存储的数据越多而增大，但两者的占用率都不是很大。

图3 数据上传时CPU和内存的占用率

上传不同大小的数据的时间开销，如图4所示，上传的时间开销随着数据量的增大而增加，当数据大小为320 MB时，上传时间大约为7.45 s，时间比较短，属于可接受范围内。

图4 数据上传的时间

3.3.3 密钥分发与重构

密钥随机分成10个子密钥，只要提取7个子密钥就能重构密钥。然后根据信任值评估所选择的信任值高的节点分发子密钥，通过子密钥的提取成功率和时间的关系确定密钥是否被定期删除。密钥提取的成功率与时间的关系，如图5所示。图中前8 h密钥提取的成功率约为100%，说明根据节点信任值评估模型所选择的节点几乎可靠，不会中途退出网络或恶意删除子密钥。8 h之后，子密钥被删除，密钥提取成功率迅速下降，由此可知使用DHT网络删除密钥是可行的。

图5 不同时间的密钥提取成功率

3.3.4 密钥覆写

密文覆写采用数据流覆盖的形式，不同大小的密文数据分别采用5字节的数据流覆写，覆写不同大小的数据所需的时间，如图6所示。由于HDFS是将数据分块存储，每块的大小为固定值，不足固定值的数据块按实际大小存储，因此，可以并行覆写，所以相同字节的随机数据对不同大小的密文数据进行覆写时，覆写的时间开销几乎不变[20]。

图6 密文覆写的时间

4 结语

云计算服务为用户存储数据提供了诸多方便，同时也导致了隐私泄露的问题。针对DHT网络恶意节点对子密钥的不定期删除、泄露和伪造等行为以及云端的完整密文被蛮力破解等问题，本文提出了一种基于密钥分发和密文抽样的云数据确定性删除方案，结合信任值评估模型、密文抽样算法和覆写算法实现云数据确定性删除。从安全性分析表明，该方案能保证云数据的确定性删除和防止隐私泄露，通过实验数据表明所提方案满足隐私保护的前提下是高效可行的。

References)

[1] 熊金波,李凤华,王彦超,等.基于密钥学的云数据确定性删除研究进展[J].通信学报, 2016,37(8):168-184.(XIONG J B, LI F H, WANG Y C, et al. Research progress on cloud data assured deletion based on cryptography [J]. Journal on Communication, 2016, 37(8): 168-184.)

[2] TANG Q. Timed-Ephemerizer: make assured data appear and disappear [C]// Proceedings of the 2009 ACM Conference on Public Key Infrastructure, Services and Applications. Berlin: Springer, 2009: 195-208.

[3] TANG Y, LEE P, LUI J. Secure overlay cloud storage with access control and assured deletion [J]. IEEE Transactions on Dependable and Secure Computing, 2012, 9(6): 903-916.

[4] 张坤,杨超,马建峰,等.基于密文采样分片的云端数据确定性删除方法[J].通信学报,2015,36(11):108-117.(ZHANG K, YANG C, MA J F, et al. Novel cloud data assured deletion approach based on ciphertext sample slice [J]. Journal on Communications, 2015,36(11):108-117.)

[5] 曹景源,李立新,李全良,等.云存储环境下生命周期可控的数据销毁模型[J].计算机应用,2017,37(5):1335-1340.(CAO J Y, LI L X, LI Q L, et al. Data destruction model for cloud storage based on lifecycle control [J]. Journal of Computer Applications, 2017, 37(5): 1335-1340.)

[6] XIONG J B, LI F H, MA J F, et al. A full lifecycle privacy protection scheme for sensitive data in cloud computing [J]. Peer-to-Peer Networking and Applications, 2015, 8(6): 1025-1037.

[7] GEAMBASU R, KOHNO T, LEVY A, et al. Vanish: increasing data privacy with self-destructing data [C]// Proceedings of the 2009 ACM Conference on USENIX Security Symposium. Berkeley, CA: USENIX Association, 2009: 299-316.

[8] ZENG L, SHI Z, XU S, et al. SafeVanish: an improved data self-destruction for protecting data privacy [C]// Proceedings of the 2010 IEEE International Conference on Cloud Computing Technology and Science. Piscataway, NJ: IEEE, 2010: 521-528.

[9] 王丽娜,任正伟,余荣威,等.一种适于云存储的数据确定性删除方法[J].电子学报,2012,40(2):266-272.(WANG L N, REN Z W, YU R W, et al. A data assured deletion approach adapted for cloud storage [J]. Acta Electronica Sinica, 2012, 40(2): 266-272.)

[10] LI C L, CHEN Y, ZHOU Y Z. A data assured deletion scheme in cloud storage [J]. China Communications, 2014, 11(4): 98-110.

[11] 熊金波,姚志强,马建峰,等.面向网络内容隐私的基于身份加密的安全自毁方案[J].计算机学报,2014,37(1):140-150.(XIONG J B, YAO Z Q, MA J F, et al. A secure self-destruction scheme with IBE for the Internet content privacy [J]. Chinese Journal of Computers, 2014, 37(1): 140-150.)

[12] 熊金波,姚志强,马建峰,等.基于属性加密组合文档安全自毁方案[J].电子学报,2014,42(2):366-376.(XIONG J B, YAO Z Q, MA J F, et al. A secure self-destruction scheme for composite document with attribute based encryption [J]. Acta Electronica Sinica, 2014, 42(2): 366-376.)

[13] WHITE T, CUTTING D. Hadoop: The Definitive Guide [M]. Sebastopol: O’reilly Media, 2009: 44-67.

[14] DABEK F. A distributed Hash table [D]. Boston: Massachusetts Institute of Technology, 2006: 20-84.

[15] RHEA S, GODFREY B, KARP B, et al. OpenDHT: a public DHT service and its uses [C]// Proceedings of the 2005 ACM Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications. New York: ACM, 2005: 73-84.

[16] FALKNER J, PIATEK M, JOHN J P, et al. Profiling a million user DHT [C]// Proceedings of the 2007 ACM Conference on Internet Measurement. New York: ACM, 2007: 129-134.

[17] 彭巧,田有亮.基于多线性Diffie-Hellman问题的秘密共享方案[J].电子学报,2017,45(1):200-205.(PENG Q, TIAN Y L. A secret sharing scheme based on multilinear Diffie-Hellman problem [J]. Acta Electronica Sinica, 2017, 45(1): 200-205.)

[18] 窦文,王怀民,贾焰,等.构造基于推荐的Peer-to-Peer环境下的Trust模型[J].软件学报,2004,15(4):571-583.(DOU W, WANG H M, JIA Y, et al. A recommendation-based Peer-to-Peer trust model [J]. Journal of Software, 2004, 15(4): 571-583.)

[19] 冯贵兰,谭良.基于信任度的云存储数据确定性删除方案[J].计算机科学,2014,41(6):108-112.(FENG G L, TAN L. Data assured deletion scheme based on trust value for cloud storage [J]. Computer Science, 2014, 41(6): 108-112.)

[20] GUO Y, RAO J, CHENG D, et al. IShuffle: improving Hadoop performance with shuffle-on-write [J]. IEEE Transactions on Parallel and Distributed Systems, 2017, 28(6): 1649-1662.

This work is partially supported by the National Natural Science Foundation of China (61402109,61370078), the Natural Science Foundation of Fujian Province(2015J05120), the Distinguished Young Scientific Research Talents Plan in Universities of Fujian Province.

WANGMinshen, born in 1994, M. S. candidate. His research interests include trust evaluation, data security.

XIONGJinbo, born in 1981, Ph. D., associate professor. His research interests include cloud data security, privacy protection.

LINQian, born in 1993. Her research interests include data security.