[发明专利]在在线存储系统中上载文件的方法及相应在线存储系统

说明书

技术领域

本发明涉及一种在在线存储系统中上载来自用户客户端设备的文件的方法及一种相应的在线存储系统。

背景技术

消费者云存储服务变得越来越受欢迎，这主要是由于其提供的保护抵御了诸如火灾或水灾之类的灾难风险，而这是现场(on-site)备份解决方案不可能提供的。基于对存储空间和上载时间优化的目的，下文称作SSP的存储服务提供商将重复数据删除(de-duplication)技术应用于用户数据。因为重复数据删除在应用到多个用户账户上时最有效，账户间的重复数据删除变成SSP中优选的重复数据删除技术。然而，账户间的重复数据删除具有严重的隐私暗示(privacy implication)。除了在线存储用户信任SSP对其数据的控制的事实之外，近来，还在D.Harnik，B.Pinkas和A.Shulman-Peleg等人在IEEE Security fd Privacy，vol.8，no.6，pp.40-47，Nov.2010的″Side channels in cloud services de-duplication in cloud storage″中证明了账户间的重复数据删除可以被对手(在线存储系统的恶意用户)用作辅助信道(side channel)，以获得与其它用户的文件的内容相关的信息。

图1示意性地示出一种现有在线存储系统的体系结构。SSP代表存储服务提供商，以及Alice和Bob代表在线存储服务的两个客户。存在在一种现有在线存储系统中实现重复数据删除的两种基本方法。

在基于服务器的方法中，在目标存储设备处执行重复数据删除，客户并不知道SSP对重复数据删除的最终使用。客户端软件独立于存储服务器中文件的存在来向存储服务器发送文件的内容。SSP的服务器软件证实在存储服务器中不存在文件，并且只有在这种情况下，SSP的服务器软件才在服务器中存储文件；否则，其通过针对现有文件的指针来替换文件。这种技术避免了存储重复数据，但是其没有节约上载带宽。

在基于客户端的方法中，在数据源处执行重复数据删除。在发送文件之前，客户端软件例如通过发送内容的散列来与存储服务器通信，以检查是否在存储服务器中已经存在文件。如果文件确实存在，则服务器软件以指针替代复制品，并且请求客户端不要通过网络发送实际文件。该技术避免了存储重复数据并节约了上载带宽。

通过使用基于客户端的方法来实现账户间重复数据删除的结果在于，存储系统的任何用户都可以观察到何时发生了重复数据删除，并且推断是否在存储服务器中已经存在文件。应该注意，如果在用户的账户或另一用户账户中存储了复制文件，则这可以是独立。用户可以通过检查经由网络传输的数据量来进行这种操作。

恶意用户可以利用基于客户端的账户间在线存储系统的这种特性来执行如下攻击：

1)“识别文件”攻击：假定Alice是攻击者，怀疑Bob已经在在线存储系统中存储了任何其它用户不可能具有的特定敏感文件X；为了证实其推测，Alice可以尝试保存文件X的副本，并检查是否发生了重复数据删除。

2)“学习文件的内容”攻击：Alice，攻击者，可以对相同文件的多个版本应用识别文件攻击，以获得在复制文件中包括的敏感信息；这种攻击假定Alice具有复制文件的标准模块，Alice可以使用该复制文件的标准模块来产生具有模块的小变化的适量版本。

近来，已经建议了一种机制，其降低但没有去除在基于客户端的账户间在线存储系统中的数据泄露的风险。该建议本质上如下：

对于每个文件X，存储服务器分配阈值t_x，并且只有当文件X的至少t_x个副本已经被上载至在线存储系统中时，才执行对文件X的重复数据删除。在整数范围[2，d]中随机选择阈值t_x，其中d是参数，例如d＝20，其中该参数可以是公共的。除了服务器之外，没有人能够计算t_x。

已经示出了，对于1/(d-1)文件之外的所有文件，没有泄露信息，然而对于余下的文件，其中阈值被设置为t_x＝2或t_x＝d，攻击者可以发现是否文件的副本已经被上载至存储系统。攻击者确定在存储服务器中存在文件X的概率至多是1/(d-1)。这种机制被称作随机重复数据删除机制。

对于这种解决方案的成本，建议该机制的人宣称，如果流行文件具有多于d个副本，则与使用重复数据删除的益处相比，期望的成本要小。d的值越大，导致的成本越大，但是其也提供了更好的安全性。