CN105141602A - 基于收敛加密的文件所有权证明方法 - Google Patents

Abstract

本发明公开了一种基于收敛加密的文件所有权证明方法，主要解决现有技术以哈希值作为所有权证据安全性差的问题。其实现步骤是：1、密钥生成中心生成系统参数、服务器密钥和用户密钥；2、服务器检测用户是否为上传文件的第一个用户；3、第一个上传用户对文件分块加密并上传；4、服务器发起所有权证明请求，并生成询问值发送给客户端；5、客户端收到询问值后进行所有权证明；6、服务器收到应答后进行所有权验证，完成后继上传用户与客户端的双向认证。本发明通过采用原始数据块的签名作为拥有文件的证据提高了证据的安全性，并降低了网络上传带宽和云服务器存储开销，可用于支持跨客户端数据去重的云存储系统。

Description

基于收敛加密的文件所有权证明方法

技术领域

本发明属于通信安全领域，主要涉及一种文件所有权的证明方法，可用于支持跨客户端数据去重复的云存储系统，以降低网络上传带宽开销，减少云存储服务器存储开销。

背景技术

随着云存储业务的迅速发展，用户存储的数据量呈现出爆炸性的增长。为了最大化利用上传带宽，降低存储空间开销，云存储服务提供商要尽力避免重复数据的上传。重复数据删除是目前云存储系统广泛采用的技术手段，对于相同内容的文件或数据块，云存储服务器只保留一个拷贝。重复数据删除可以在服务器或客户端侧执行，也可在客户端和服务器端都进行操作。其中客户端侧重复数据删除因具有可同时降低网络上传带宽和云存储开销的良好特性，在Dropbox、Wuala等系统中均有应用。早期的客户端侧重复数据删除以文件的哈希值作为文件的代表，如果客户端上传的文件哈希值在服务器数据库中有相同的哈希值对应，服务器即判定该用户拥有相应的文件。

由HALEVIS.等人撰写的“ProofsofOwnershipinRemoteStorageSystems”论文中指出，在以较短的哈希值作为文件压缩表示的重复数据删除方案中，用户只需要知道文件的哈希值，就可以成功欺骗服务器，使服务器误认为该用户拥有文件，从而获得未经授权的数据访问，使得云存储系统实质上成为一个内容分发网络。为此HALEVIS.等人提出了使用所有权证明的方法来认证用户是否真正拥有某个文件。该方法使得客户端能有效地向服务器证明用户确实拥有完整的文件，而不是关于文件的一些小片段或较短的压缩表示，从而避免了前述类型的攻击。该方法基于Merkle哈希树和纠删码来实施，文件由构成Merkle树的一系列哈希值来表示。随后又有部分方案基于该思想设计了基于加密数据的文件所有权证明方法。这类方法的缺点在于文件依然是由较短的固定信息来代表，当这些信息被泄露或窃取后，协议将不再安全。此外，用户在协议开始前需要根据文件构造Merkle哈希树，当文件较大时增加了客户端的计算开销。

发明内容

本发明的目的在于针对上述现有技术存在的问题，提出一种基于收敛加密的文件所有权证明方法，以抵抗收敛加密所固有的离线字典攻击，克服以哈希值作为所有权证据的安全缺陷，并降低通信开销和计算量。

实现本发明目的的技术方案包括如下：

(1)密钥生成中心KGC生成系统参数，该系统参数包括大素数q、以q为阶的三个乘法循环群G₁、G₂和G_T、双线性映射关系e、G₁的生成元g₁和G₂的生成元g₂、三个哈希函数H₁、H₂和H₃、对称加解密算法(SE，SD)、伪随机代换f_t和消息认证码h_k；

(2)密钥生成中心KGC根据上述系统参数，生成云服务器的公私钥对(v_S,x_S)、用户i的公私钥对(v_i,x_i)及它们之间的预共享密钥K_SC；

(3)用户向服务器上传文件F时，服务器通过在其数据库中检索文件哈希值H₁(F)判断是否有用户已经上传过相同文件F：

如果检索不到文件哈希值，证明该用户为文件F的原始上传用户，则执行步骤(4)；

如果能检索到文件哈希值，证明该用户为文件F的后继上传用户并设其索引值为i，则执行步骤(5)；

(4)文件F的原始上传用户对文件进行分块，再由该用户与云服务器合作产生各数据块所对应的对称加密密钥，根据密钥依次生成密文和校验标签，计算各数据块所对应的哈希值和消息认证码，并将密文、校验标签、哈希值和消息认证码一起上传给服务器；

(5)服务器与客户端进行所有权证明的双向认证：

(5a)文件F的后继上传用户i上传文件F时，服务器首先向客户端发起文件所有权证明请求，即让该用户证明他确实拥有文件F，接着启动一个询问-应答过程，随机产生要询问的数据块索引，并生成询问值发送给客户端；

(5b)客户端收到来自服务器的询问值后进行文件的所有权证明，将未加密的数据块明文参与到所有权证据的生成过程中，并采用聚合技术生成相应数据块的签名作为应答发送给服务器；

(5c)服务器收到来自客户端的应答后进行文件的所有权验证，如果验证通过，则证明该用户i确实拥有文件F，服务器向客户端返回消息“验证成功”，并将该用户i列入其所维护的文件拥有者列表中，否则服务器向客户端返回消息“验证失败”。

本发明与现有技术相比具有如下优点：

1)本发明由用户与云服务器交互产生用于生成数据块加密密钥所需的秘密值，可抵抗收敛加密所容易受到的离线字典攻击，防止信息泄露，达到语义安全；

2)本发明由于采用原始数据块的签名作为用户文件所有权的证据，增加了伪造一个合法文件所有权证据的难度，安全性更好；

3)本发明由于采用聚合认证的方法实现对用户文件所有权的认证，协议交互时传输所需的通信开销显著降低，在验证时也不需要逐块进行，可降低服务器端计算开销，加快认证速度。

附图说明

图1为本发明的实现流程图；

图2为本发明中对文件分块加密的子流程图；

图3为本发明中双向认证的子流程图；

图4为本发明中生成询问值的子流程图；

图5为本发明中生成证据的子流程图。

具体实施方式

下面结合附图对本发明做进一步的描述。

参照图1，本发明的实现步骤如下：

步骤1，密钥生成中心KGC生成系统参数。

(1a)根据实际要求设定系统的安全参数α≥160；

(1b)密钥生成中心KGC根据系统的安全参数α选取一个大于2^α的素数q，构造以q为阶的第一乘法循环群G₁、第二乘法循环群G₂和第三乘法循环群G_T，并使它们能满足从G₁和G₂群到G_T群的双线性映射关系e，即从第一乘法循环群G₁中和第二乘法循环群G₂中分别任取一个元素A和B作为输入，则从第三乘法循环群G_T中会输出一个元素C＝e(A，B)；

(1c)密钥生成中心KGC从第一乘法循环群G₁中任意选取一个生成元g₁，从第二乘法循环群G₂中任意选取一个生成元g₂；

(1d)密钥生成中心KGC按如下规则选取三个不同的哈希函数H₁、H₂和H₃：

根据SHA-256哈希算法和抗碰撞性的要求，选取第一哈希函数H₁；

根据要能将任意长度的二进制字符串均匀的映射为第一乘法循环群G₁中的元素的原则，选取第二哈希函数H₂；

根据要能将任意长度的二进制字符串均匀的映射为第二乘法循环群G₂中的元素的原则，选取第三哈希函数H₃；

(1e)密钥生成中心KGC选取对称加解密算法(SE，SD)，其中SE算法用于加密，DE算法用于解密；

(1f)密钥生成中心KGC选取一个伪随机代换函数f_t，其选取原则是：要能将固定长度的二进制字符串均匀的映射为固定长度的较小二进制字符串，其中t为通信双方的共享密钥；

(1g)密钥生成中心KGC选取一个消息认证码函数h_k，其选取原则是：要能将任意长度的二进制字符串均匀的映射为固定长度为α的较小二进制字符串，其中k为通信双方的共享密钥，α为系统安全参数；

(1h)密钥生成中心KGC对上述步骤选取的素数q、第一乘法循环群G₁、第二乘法循环群G₂、第三乘法循环群G_T、双线性映射e、第一乘法循环群G₁的生成元g₁、第二乘法循环群G₂的生成元g₂、三个哈希函数H₁、H₂、H₃、对称加解密算法(SE，SD)、伪随机代换函数f_t、消息认证码函数h_k进行公开。

步骤2，根据系统参数生成云服务器和用户i的公私钥对及它们之间的预共享密钥。

(2a)密钥生成中心KGC根据上述系统参数，随机选择云服务器的私钥计算并公布其公钥

(2b)密钥生成中心KGC根据上述系统参数，随机选择用户i的私钥计算并公布其公钥

(2c)密钥生成中心KGC根据上述系统参数，随机选择作为云服务器与用户i之间的预共享密钥。

步骤3，用户向服务器上传文件F时，服务器通过在其数据库中检索文件哈希值H₁(F)来判断是否有用户已经上传过相同文件F：

如果检索不到文件哈希值H₁(F)，则认为该用户为文件F的原始上传用户，并对文件F进行分块加密与上传；

如果能检索到文件哈希值H₁(F)，则认为该用户为文件F的后继上传用户，设其索引值为i，并与服务器进行所有权证明的双向认证。

步骤4，文件F的原始上传用户对文件F进行分块加密并上传给服务器。

参照图2，本步骤的具体实现如下：

(4a)将文件F分成m个数据块，即F＝(B₁,B₂,...,B_m)，其中B_j为第j个数据块，j＝1,2,...,m；

(4b)对于每一个数据块B_j，均通过原始上传用户与云服务器交互，产生用于生成密钥K_j所需的秘密值u_j：

(4b1)原始上传用户选择随机数使用带有随机数r_j的公钥对哈希值H₃(B_j)进行加密，得到加密哈希值并发送给云服务器；

(4b2)云服务器使用其私钥x_S对收到的加密哈希值进行解密，得到明文签名并发送给原始上传用户；

(4b3)原始上传用户使用带有随机数r_j的生成元对收到的明文签名进行解密，得到解密哈希值并把它作为秘密值u_j；

(4c)对于每个数据块B_j，原始上传用户根据秘密值u_j依次计算对称加密密钥K_j＝H₁(B_j||u_j)、密文C_j＝SE(K_j,B_j)、校验标签T_j＝H₁(C_j)；

(4d)原始上传用户计算每个数据块B_j对应的哈希值h_j＝H₂(B_j)，并随机选择作为消息认证码的共享密钥，计算每个数据块B_j对应的消息认证码

(4e)将上述步骤生成的密文C_j、校验标签T_j、哈希值h_j、消息认证码及其共享密钥a_j上传给服务器，上传完成后用户不再保留密钥K_j；

(4f)服务器收到以上内容后返回消息“数据上传成功”。

步骤5，服务器与客户端进行所有权证明的双向认证。

参照图3，本步骤的具体实现如下：

(5a)服务器发起所有权证明请求，并生成询问值发送给客户端，执行步骤6；

(5b)客户端收到询问值后进行所有权证明，执行步骤7；

(5c)服务器收到应答后进行所有权验证，执行步骤8。

步骤6，文件F的后继上传用户i在上传文件F时，由服务器向客户端发起一个文件所有权证明请求，并启动询问-应答过程，生成询问值发送给客户端。

(6a)服务器向客户端发起一个文件所有权证明请求，即让该用户i证明他确实拥有文件F；

(6b)服务器生成询问值并发送给客户端：

参照图4，步骤(6b)的具体实现如下：

(6b1)服务器确定询问过程中所需要的数据块数l，其中1≤l≤m；

(6b2)服务器选择随机数根据预共享密钥K_SC和消息认证码函数h_k，计算伪随机代换的共享密钥并根据伪随机代换函数f_t，计算出要询问的每个数据块的序号j_p＝f_t(p)，其中p＝1,2,...l；

(6b3)对于要询问的每个数据块服务器选择随机数并将每个数据块对应的消息认证码与随机数按位异或计算，得到带有随机数的消息认证码参数 $h_{a_{j_p}}\left(B_{j_p}\right)\⊕r_{j_p};$

(6b4)服务器计算每个数据块对应的哈希值

(6b5)将上述步骤生成的随机数r_SC、带有随机数的消息认证码参数及其共享密钥一起作为询问值发送给客户端。

步骤7，客户端生成证据作为应答并发送给服务器。

参照图5，本步骤的具体实现如下：

(7a)后继上传用户i根据随机数r_SC、预共享密钥K_SC、消息认证码函数h_k和伪随机代换函数f_t，计算出要验证的每个数据块的序号j_p，其中p＝1,2,...,l；

(7b)后继上传用户i根据本地相对应的数据块计算出随机数 $r_{j_p}^{\′}=h_{a_{j_p}}\left(B_{j_p}^{\′}\right)\⊕\left(h_{a_{j_p}}\right(B_{j_p})\⊕r_{j_p});$

(7c)后继上传用户i计算每个数据块对应的哈希值

(7d)根据步骤(7b)和步骤(7c)中生成的参数，计算每个数据块对应的签名并将这些数据块的签名聚合为一个单一签名

(7e)后继上传用户i将签名σ_i作为拥有文件的证据发送给服务器。

步骤8，服务器对收到的证据进行验证，通过判断等式是否成立：

如果成立，则证明后继上传用户i确实拥有文件F，服务器向客户端返回消息“验证成功”，并将该用户i列入其所维护的文件拥有者列表中；

如果不成立，则证明后继上传用户i没有文件F，服务器向客户端返回消息“验证失败”。

至此，整个基于收敛加密的文件所有权证明方法运行结束。

以上描述仅是本发明的一个具体实例，不构成对本发明的任何限制。显然，对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结果的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (7)

1.基于收敛加密的文件所有权证明方法，包括：

(1)密钥生成中心KGC生成系统参数，该系统参数包括大素数q、以q为阶的三个乘法循环群G₁、G₂和G_T、双线性映射关系e、G₁的生成元g₁和G₂的生成元g₂、三个哈希函数H₁、H₂和H₃、对称加解密算法(SE，SD)、伪随机代换f_t和消息认证码h_k；

(2)密钥生成中心KGC根据上述系统参数，生成云服务器的公私钥对(v_S,x_S)、用户i的公私钥对(v_i,x_i)及它们之间的预共享密钥K_SC；

(3)用户向服务器上传文件F时，服务器通过在其数据库中检索文件哈希值H₁(F)判断是否有用户已经上传过相同文件F：

如果检索不到文件哈希值，证明该用户为文件F的原始上传用户，则执行步骤(4)；

如果能检索到文件哈希值，证明该用户为文件F的后继上传用户并设其索引值为i，则执行步骤(5)；

(4)文件F的原始上传用户对文件进行分块，再由该用户与云服务器合作产生各数据块所对应的对称加密密钥，根据密钥依次生成密文和校验标签，计算各数据块所对应的哈希值和消息认证码，并将密文、校验标签、哈希值和消息认证码一起上传给服务器；

(5)服务器与客户端进行所有权证明的双向认证：

(5a)文件F的后继上传用户i上传文件F时，服务器首先向客户端发起文件所有权证明请求，即让该用户证明他确实拥有文件F，接着启动一个询问-应答过程，随机产生要询问的数据块索引，并生成询问值发送给客户端；

(5b)客户端收到来自服务器的询问值后进行文件的所有权证明，将未加密的数据块明文参与到所有权证据的生成过程中，并采用聚合技术生成相应数据块的签名作为应答发送给服务器；

(5c)服务器收到来自客户端的应答后进行文件的所有权验证，如果验证通过，则证明该用户i确实拥有文件F，服务器向客户端返回消息“验证成功”，并将该用户i列入其所维护的文件拥有者列表中，否则服务器向客户端返回消息“验证失败”。

2.根据权利要求1所述的方法，其中所述步骤(1)中密钥生成中心KGC生成系统参数，按如下步骤进行：

(1a)根据实际要求设定系统的安全参数α≥160；

(1b)密钥生成中心KGC根据系统的安全参数α选取一个大于2^α的素数q，构造以q为阶的第一乘法循环群G₁、第二乘法循环群G₂和第三乘法循环群G_T，并使它们能满足从G₁和G₂群到G_T群的双线性映射关系e，即从第一乘法循环群G₁中和第二乘法循环群G₂中分别任取一个元素A和B作为输入，则从第三乘法循环群G_T中会输出一个元素C＝e(A，B)；

(1c)密钥生成中心KGC从第一乘法循环群G₁中任意选取一个生成元g₁，从第二乘法循环群G₂中任意选取一个生成元g₂；

(1d)密钥生成中心KGC选取三个不同的哈希函数H₁、H₂和H₃；

(1e)密钥生成中心KGC选取对称加解密算法(SE，SD)，其中SE算法用于加密，DE算法用于解密；

(1f)密钥生成中心KGC根据要能将固定长度的二进制字符串均匀的映射为固定长度的较小二进制字符串的原则，选取一个伪随机代换函数f_t，其中t为通信双方的共享密钥；

(1g)密钥生成中心KGC根据要能将任意长度的二进制字符串均匀的映射为固定长度为α的较小二进制字符串的原则，选取一个消息认证码函数h_k，其中k为通信双方的共享密钥，α为系统安全参数；

(1h)密钥生成中心KGC对上述步骤选取的素数q、第一乘法循环群G₁、第二乘法循环群G₂、第三乘法循环群G_T、双线性映射e、第一乘法循环群G₁的生成元g₁、第二乘法循环群G₂的生成元g₂、三个哈希函数H₁、H₂、H₃、对称加解密算法(SE，SD)、伪随机代换函数f_t、消息认证码函数h_k进行公开。

3.根据权利要求2所述的方法，其中所述(1d)中密钥生成中心KGC选取的三个不同的哈希函数H₁、H₂和H₃，按如下规则进行：

(1d1)根据SHA-256哈希算法和抗碰撞性的要求，选取第一哈希函数H₁；

(1d2)根据要能将任意长度的二进制字符串均匀的映射为第一乘法循环群G₁中的元素的原则，选取第二哈希函数H₂；

(1d3)根据要能将任意长度的二进制字符串均匀的映射为第二乘法循环群G₂中的元素的原则，选取第三哈希函数H₃。

4.根据权利要求1所述的方法，其中所述步骤(4)中原始上传用户对文件F的分块加密与上传，按如下步骤进行：

(4a)将文件F分成m个数据块，即F＝(B₁,B₂,...,B_m)；

(4b)对于每一个数据块B_j，其中j＝1,2,...,m，原始上传用户与云服务器交互，产生用于生成密钥K_j所需的秘密值u_j：

(4b1)原始上传用户选择随机数使用带有随机数r_j的公钥对哈希值H₃(B_j)进行加密，得到加密哈希值并发送给云服务器；

(4b2)云服务器使用其私钥x_S对收到的加密哈希值进行解密，得到明文签名并发送给原始上传用户；

(4b3)原始上传用户使用带有随机数r_j的生成元对收到的明文签名进行解密，得到解密哈希值并把它作为秘密值u_j；

(4c)对于每个数据块B_j，原始上传用户根据秘密值u_j依次计算对称加密密钥K_j＝H₁(B_j||u_j)、密文C_j＝SE(K_j,B_j)、校验标签T_j＝H₁(C_j)；

(4d)原始上传用户计算每个数据块B_j对应的哈希值h_j＝H₂(B_j)，并随机选择作为消息认证码的共享密钥，计算每个数据块B_j对应的消息认证码

(4e)将上述步骤生成的密文C_j、校验标签T_j、哈希值h_j、消息认证码及其共享密钥a_j上传给服务器，上传完成后用户不再保留密钥K_j；

(4f)服务器收到以上内容后返回消息“数据上传成功”。

5.根据权利要求1所述的方法，其中所述步骤(5a)中后继上传用户i在上传文件F时，服务器生成所需询问值，按如下步骤进行：

(5a1)服务器确定询问过程中所需要的数据块数l，其中1≤l≤m；

(5a2)服务器选择随机数根据预共享密钥K_SC和消息认证码函数h_k，计算出伪随机代换的共享密钥并根据伪随机代换函数f_t，计算出要询问的每个数据块的序号j_p＝f_t(p)，其中p＝1,2,...l；

(5a3)对于要询问的每个数据块服务器选择随机数并将每个数据块对应的消息认证码与随机数按位异或计算，得到带有随机数的消息认证码参数

(5a4)服务器计算每个数据块对应的哈希值

(5a5)将上述步骤生成的随机数r_SC、带有随机数的消息认证码参数及其共享密钥一起作为询问值发送给客户端。

6.根据权利要求1所述的方法，其中所述步骤(5b)中客户端生成所有权证据，按如下步骤进行：

(5b1)后继上传用户i根据随机数r_SC、预共享密钥K_SC、消息认证码函数h_k和伪随机代换函数f_t，计算出要验证的每个数据块的序号j_p，其中p＝1,2,...,l；

(5b2)后继上传用户i根据本地相对应的数据块计算出随机数 $r_{j_p}^{\′}=h_{a_{j_p}}\left(B_{j_p}^{\′}\right)\⊕\left(h_{a_{j_p}}\right(B_{j_p})\⊕r_{j_p});$

(5b3)后继上传用户i计算每个数据块对应的哈希值

(5b4)根据以上参数计算每个数据块对应的签名并将这些数据块的签名聚合为一个单一签名

(5b5)后继上传用户i将签名σ_i作为拥有文件的证据发送给服务器。

7.根据权利要求1所述的方法，其中所述步骤(5c)中服务器的文件所有权验证过程，是通过判断等式 $e({\mathrm{\σ}}_i,g_2)=e({g_1}^{\Σr_{j_p}},g_2)\·e(\underset{p=1}{\overset{l}{\Π}}{h}_{j_p},v_i)$ 是否成立：

如果成立，则证明后继上传用户i确实拥有文件F，服务器向客户端返回消息“验证成功”，并将该用户i列入其所维护的文件拥有者列表中；

如果不成立，则证明后继上传用户i没有文件F，服务器向客户端返回消息“验证失败”。