CN106127081A - 公开可验证的数据容错安全存储方法 - Google Patents

Abstract

本发明提供了一种公开可验证的数据容错安全存储方法。本发明利用多线性映射和公开可验证秘密共享技术，对数据进行分发、承诺，使用可公开验证秘密共享的技术将需存储的数据在多个云服务提供商中共享，并在多个云存储服务器间存储；客户端设置门限值t，t个或更多个后端云服务商提供有效的份额才可以恢复出数据，而少于t‑1个份额无法恢复出数据，避免了单点失效故障的发生，即便在一些份额丢失或损坏的情况下，原始数据仍可以在至少有t个有效份额的状态下被恢复，该技术使得云存储方法具有更好的容错功能，来保证存储方案的安全性，对份额进行加解密运算减少了大数据存储的时间和计算耗费，同时也保证了存储过程的安全性和公开可验证性。

Description

公开可验证的数据容错安全存储方法

技术领域

本发明涉及密码学技术领域，尤其是一种公开可验证的数据容错安全存储方法。

背景技术

云存储(Cloud Storage)是近几年提出的一种存储模式，作为云计算中发展较为迅速的一个分支，由于其技术可行性，与传统的数据存储相比更廉价更安全。云存储的优势是：能灵活的减少存储的花费，且利用云存储可以降低数据丢失的风险，其服务也越来越深入地走进人们的生活。如今，云存储技术和理念改变了传统的存储资源应用模式，它为海量数据提供了可扩展的，安全可靠的存储解决方案，，对于“云上贵州”平台中所出现的存储资源不足、管理不便等问题，云存储都提出了很好的解决方案。

传统的大数据存储方法既不考虑数据存储的容错性和公开可验证功能，也不考虑数据共享和存储过程中所需要的计算开销和通信开销，而云计算可以为大量数据的存储和运算提供一个花费较低且位置无关的数据管理平台，应用于大数据的存储中可以减轻“云上贵州”平台自身存储管理以及维护数据的负担，因此，相对于传统的大数据存储方法，云存储方法更为便捷。另外，在大数据的云存储过程中，由于云服务提供商存在系统漏洞导致数据外流或者云服务提供商本身做出不诚实的行为对存储其上的数据进行越权访问或删改，都可能侵犯用户数据的隐私甚至造成数据的丢失，故大数据云存储的容错性和安全性受到更大的挑战。

考虑到大数据本身的隐私性，机密性和大数据性，将大数据的存储和云计算服务相结合是非常好的选择。然而，在数据的共享和存储过程中，数据的丢失，篡改和攻击都是不可避免的，如果数据不是相互独立的，那么一旦存在上述情况之一，数据的存储和恢复将受到影响。为了解决单点失效的问题，在云存储中应用秘密共享的思想，将数据分割成n个份额，在n个后端云服务商间共享，经过加、解密来保证其安全性，最后存储在n个存储器Sto_i中。设置门限值t，使得数据可以被t或多于t个份额恢复，而少于t个份额无法恢复出数据也得不到数据的任何信息。秘密共享思想的引用使得大数据云存储方法具有更好的鲁棒性和容错功能，并有助于巩固数据的完整性，减少数据共享和存储的时间花费和计算花费。

为了能在“云上贵州”平台上保证安全可靠且方便高效地进行大数据的存储，不同的数据加密方法相继提出。但无论是使用对称或是公钥体制对数据进行加密，都将涉及秘钥管理以及云服务提供商需要分配大量资源加解密数据的问题，因此，将秘密共享方案应用于大数据的存储中能有效解决上述问题，通过将数据分成多个份额分发给不同的存储服务者存储在不同的存储器上能够增强数据的存储安全性。目前，现有的基于传统公钥密码系统或椭圆曲线上双线性对的秘密共享方案信息率一般是1/2，最高达到了2/3，因而将此类秘密共享方案应用于大数据的云存储中时，在共享或存储1bit数据时，需要的空间高达2bit，为了提高大数据存储的通信效率，节省带宽的耗费，提高秘密共享方案的信息率是十分必要的。

发明内容

本发明的目的是：提供一种公开可验证的数据容错安全存储方法，该方法在确保减少用户计算和通信耗费的同时，也能保证存储过程的安全性和公开可验证性。

本发明是这样实现的：公开可验证的数据容错安全存储方法，利用多线性映射和公开可验证秘密共享技术，对数据进行分发和承诺，并将生成的n个份额发送给前端云服务商进行加密，生成加密的份额后，发送给n个不同的后端云服务商进行公开验证其有效性后对加密的份额进行解密运算，得到份额后存储在相应的云存储上。

具体包括如下步骤：

1)预处理：客户端Client对用户的数据进行预处理，用预处理的结果作为实际共享的信息，预处理的结果将被直接用于分发步骤；

2)份额分发：客户端Client利用秘密共享技术生成n个份额S_i，发送给前端云服务商FS，FS利用多线性映射对份额S_i进行加密后向n个后端云服务商BS₁,BS₂,…,BS_n发送加密的份额Y_i，其中i＝1,2,…,n；

3)公开验证和数据存储：每个后端云服务商BS_i可以利用公开值，如群生成元P和数据份额的加密值Y_i等利用自己的公钥y_i对客户端Client生成n个份额S_i的有效性进行公开验证；

4)数据恢复：客户端Client从存储数据份额的n个云存储服务器Sto₁,Sto₂,…,Sto_n处得到不少于门限值t个份额，就可以利用拉格朗日插值公式恢复出原始数据。

所述的步骤1)具体包括如下步骤：

a、客户端Client定义数据的访问结构，以及份额的存储结构，确定份额的数量n及门限t的值；

b、客户端Client在每次会话中随机生成一个会话IDSID_i，为份额的存储确定n个云存储服务器Sto₁,Sto₂,…,Sto_n及相应的后端云服务商BS₁,BS₂,…,BS_n；

c、令m-1维向量S＝(P₁,P₂,…,P_m-1)表示需存储的数据，其中P_i＝b_i·P，且i＝1,2,…,m-1；每个后端云服务商BS_i从中选择自己的私钥x_i并计算y_i＝x_iP作为自己的公钥。

所述的步骤2)具体包括如下步骤：

a、客户端Client公开对数据的承诺值C₀＝e(S,rP)＝e_m(P₁,P₂,…,P_m-1,rP)，其中任意

b、客户端Client随机从中选择(t-1)×(m-1)个元素f_i,j，其中i∈{1,2,…,t-1},j∈{1,2,…,m-1}，并构造m-1个次数不超过t-1的多项式如下：

$\begin{array}{c}{g}_1\left(x\right)=b_1+\underset{i=1}{\overset{t-1}{\mathrm{\Σ}}}{f}_{i,1}{x}^i\\ g_2\left(x\right)=b_2+\underset{i=1}{\overset{t-1}{\mathrm{\Σ}}}{f}_{i,2}{x}^i\\ \·\\ \·\\ \·\\ g_{m-1}\left(x\right)=b_{m-1}+\underset{i=1}{\overset{t-1}{\mathrm{\Σ}}}{f}_{i,m-1}{x}^i\end{array}$

然后，客户端计算b_j＝g_j(0)，P_j＝g_j(0)·P，其中j＝1,2,…,m-1；因此，需存储的数据S＝(P₁,P₂,…,P_m-1)＝(g₁(0)P,g₂(0)P,…,g_m-1(0)P)；从而，客户端能够计算出S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)作为n个份额S_i发送给前端云服务商FS，FS将份额S_i加密后得到加密的份额值Y_i发送给对应的后端云服务商BS_i存储在n个不同的云存服务器Sto_i中，其中i＝1,2,…,n为每个拥有数据份额的后端云服务商的身份信息；

c、根据上述m-1个等式，客户端可将其简记为m-1维向量多项式F(x)＝P·g₁(x)+P·g₂(x)+…+P·g_m-1(x)＝F₀+F₁x+…+F_t-1x^t-1，其中数据F₀＝F(0)＝S＝(b₁P,b₂P,…,b_m-1P)，其它系数能被记作向量F₁＝(Pf_1,1,Pf_1,2,…,Pf_1,m-1)，F₂＝(Pf_2,1,Pf_2,2,…,Pf_2,m-1)，…,F_t-1＝(Pf_t-1,1,Pf_t-1,2,…,Pf_t-1,m-1)；另外，Client随机从中选择R₁,R₂,…,R_t-1，并广播相关的承诺C_i＝e(F_i,R_iP)＝e_m(Pf_i,1,Pf_i,2,…,Pf_i,m-1,r_iP)，其中j＝1,2,…,t-1；

d、客户端随机选择次数不超过t-1的多项式R(x)＝r₀+r₁x+…+r_t-1x^t-1，其系数均随机取自于且r₀＝r，客户端计算并公开其中i＝1,2,…,n；

e、客户端将生成的n个份额S_i发送给前端云服务商FS，FS进行用户验证，验证通过后，前端云服务商FS计算并公开X_i＝e(F(i),R(i)P)，并利用多线性映射对份额S_i进行加密得到Y_i＝y_i·(g₁(i),g₂(i),…,g_m-1(i))，然后FS将n个加密的份额Y_i和会话秘钥SID_i发送给相应的n个后端云服务商BS_i，其中i＝1,2,…,n。

所述的步骤3)具体包括如下步骤：

a、后端云服务商BS_i检验从FS获得的SID_i是否等于从客户端获得的SID_i；如果相等，BS_i接收FS发送的加密的份额值Y_i；然后，每个BS_i使用自己的私钥x_i，通过计算等式从公开的加密的份额Y_i中解密出份额S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)，最后后端云服务商BS_i利用自己的公钥y_i通过等式(2)利用公开信息P,Y_i公开验证份额S_i的有效性：

e(Y_i,P)＝e(S_i,y_i) (2)；

b、若上述验证式通过，后端云服务商BS_i保留有效的份额S_i，否则，S_i无效可销毁；最后，BS_i将有效的份额S_i和会话IDSID_i发送给相应的云存储服务器Sto_i进行存储。

所述的步骤4)具体包括如下步骤：

a、客户端Client从n个云存储服务器(Sto₁,Sto₂,…,Sto_n)处选择任意t个有效的份额，不妨设为S₁,S₂,…,S_t，并对每个存储份额的存储器Sto₁,Sto₂,…,Sto_t执行有效性验证，如果验证通过，客户端Client就能获得用来重构数据的份额；

b、客户端Client利用获得的t个有效的份额结合拉格朗日插值方法通过等式(3)恢复出数据：

$S=\underset{i=1}{\overset{t}{\Σ}}{\mathrm{\λ}}_i\·S_i=(P_1,P_2,...,P_{m-1})---\left(3\right)$

，其中是拉格朗日系数。

由于采用了以上技术方案，本发明利用多线性映射和公开可验证秘密共享技术，对数据进行分发、承诺，使用可公开验证秘密共享的技术将需存储的数据在多个云服务提供商中共享，并在多个云存储服务器间存储；客户端设置门限值t，t个或更多个后端云服务商提供有效的份额才可以恢复出数据，而少于t-1个份额无法恢复出数据，避免了单点失效故障的发生，即便在一些份额丢失或损坏的情况下，原始数据仍可以在至少有t个有效份额的状态下被恢复，该技术使得云存储方法具有更好的容错功能，来保证存储方案的安全性，对份额进行加解密运算减少了大数据存储的时间和计算耗费，同时也保证了存储过程的安全性和公开可验证性，同时本发明在“云上贵州”平台和大数据的存储之间提供了一个便捷，高效且具有容错功能的云存储方法。

附图说明

图1为数据生成与分发的概念架构图；

图1中示意了由客户端Client将数据分割成n个份额存储在n个云服务器上首先客户端利用(t,n)-门限公开可验证秘密共享技术将需要存储的数据分成n个份额S_i，分发给前端云服务商FS；然后FS利用多线性映射对份额进行加密得到加密的份额Y_i，发送给n个后端云服务商(BS₁,BS₂,…,BS_n)，每个后端云服务商利用自己的私钥对加密的份额进行解密得到相应的份额S_i，并存储在不同的云存储中；

图2为本发明的数据存储的示意图；

图2示意了由客户端利用公开可验证秘密共享方案将数据分割成n个份额并存储在n个云存储中的过程，主要分为横向和纵向两个层面；

A.纵向来看：客户端首先定义数据的访问结构和份额的存储结构，确定份额数n及门限值t，并公开对数据的承诺值C₀，同时与选定的前端云服务商进行通信，确定全部存储数据份额的后端云服务商后，客户端构造t-1次多项式，计算并分发n个份额S_i及秘密信息r_i(用来对多项式系数进行承诺的参数)，并公开系数的承诺值C_i(i＝1,2,…,t-1)；客户端将份额S_i发送给前端云服务商FS后，FS进行用户验证，若验证通过，FS执行用户认证过程，若认证成功，FS计算并公开信息X_i＝e(F(i),R(i)P)，同时利用多线性映射对份额进行加密，得到加密的份额Y_i；最后FS将加密的份额Y_i和会话秘钥SID_i发送给相应的n个后端云服务商(BS₁,BS₂,…,BS_n)；

B.横向来看：后端云服务商BS收到n个加密的份额Y_i后，每个BS_i利用自己的私钥x_i能从公开信息中通过等式解密出份额S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)，并利用公开信息Y_i,P等利用自己的公钥y_i通过等式e(Y_i,P)＝e(S_i,y_i)(2)公开验证份额的有效性，若验证通过，则客户端分发的份额有效，否则，无效；最后，后端云服务商BS_i将有效的份额S_i和会话ID SID_i发送给n个云存储(Sto₁,Sto₂,…,Sto_n)进行存储；

图3为恢复原始数据的示意图；

图3中示意了原始数据能从t个有效的份额中重构出来的过程；首先，后端云服务商BS_i利用自己的私钥x_i解密出份额S_i后，并利用公开信息Y_i,P等利用自己的公钥y_i通过等式e(Y_i,P)＝e(S_i,y_i)(2)对份额的有效性进行公开验证，若验证通过，BS_i将有效的份额存储在n个存储器中(Sto₁,Sto₂,…,Sto_n)；其次，客户端从n个存储器处获得t个有效的份额，然后结合拉格朗日插值方法利用公式恢复出数据S＝(P₁,P₂,…,P_m-1)；最后，任何人利用已知信息同上述方法可以公开验证恢复出的数据的正确性。

具体实施方式

本发明的实施例：公开可验证的数据容错安全存储方法，系统成员包括拥有数据的用户User，客户端Client，前端云服务商FS(Frontend-Server)，用来存储份额的n个云存储Sto_i(Storage)，以及相应的n个后端云服务商BS_i(Backend-Server)，其中i＝1,2,…,n。

主要分为四个阶段：预处理阶段、份额分发阶段、公开验证和数据存储阶段、数据恢复阶段。预处理阶段由客户端Client对需要存储的数据进行预处理，预处理的结果将被直接用于分发阶段；在份额分发阶段，客户端生成n个份额，分发给前端云服务商FS，FS利用多线性映射对份额进行加密后向n个后端云服务商(BS₁,BS₂,…,BS_n)发送加密的份额；在公开验证和数据存储阶段，后端云服务商BS_i利用公开信息和自己的公钥对份额的正确性进行公开验证，并利用自己的私钥从加密的份额中解密出份额存储在不同的n个云存储中的过程；在数据恢复阶段，客户端从n个云存储Sto₁,Sto₂,…,Sto_n处得到t个有效的份额，利用拉格朗日插值方法可以恢复出数据。本专利的具体实现过程包括以下四步：

1)预处理：客户端Client对用户的数据进行预处理，用预处理的结果作为实际共享的信息，预处理的结果将被直接用于分发步骤；这个处理可以预防云存储的合谋攻击，也使得执行恢复操作的云服务器不会获得数据的真实内容并保证恢复出的数据可以被任何人利用已知信息进行公开验证；

2)份额分发：客户端Client利用秘密共享技术生成n个份额S_i，发送给前端云服务商FS，FS利用多线性映射对份额S_i进行加密后向n个后端云服务商BS₁,BS₂,…,BS_n发送加密的份额Y_i，其中i＝1,2,…,n；

3)公开验证和数据存储：公开验证和数据存储：每个后端云服务商BS_i可以利用公开值，如群生成元P和数据份额的加密值Y_i等利用自己的公钥y_i对客户端Client生成n个份额S_i的有效性进行公开验证；

4)数据恢复：客户端Client从存储数据份额的n个云存储服务器Sto₁,Sto₂,…,Sto_n处得到不少于门限值t个份额，就可以利用拉格朗日插值公式恢复出原始数据。

在本发明中，令G₁，G₂分别表示q阶加法循环群和q阶乘法循环群，其中q为大素数。使用合适的公钥程序选择群G₁，G₂的一个生成元P，同时假设在群G₁，G₂之间存在一个多线性映射e:下面详细介绍本发明中每一步的具体内容。

其中，所述第一步进一步具体包括：

所述的步骤1)具体包括如下步骤：

a、客户端Client定义数据的访问结构，以及份额的存储结构，确定份额的数量n及门限t的值；

b、客户端Client在每次会话中随机生成一个会话IDSID_i，为份额的存储确定n个云存储服务器Sto₁,Sto₂,…,Sto_n及相应的后端云服务商BS₁,BS₂,…,BS_n；

c、令m-1维向量S＝(P₁,P₂,…,P_m-1)表示需存储的数据，其中P_i＝b_i·P，且i＝1,2,…,m-1；每个后端云服务商BS_i从中选择自己的私钥x_i并计算y_i＝x_iP作为自己的公钥。

所述的步骤2)具体包括如下步骤：

a、客户端Client公开对数据的承诺值C₀＝e(S,rP)＝e_m(P₁,P₂,…,P_m-1,rP)，其中任意

b、客户端Client随机从中选择(t-1)×(m-1)个元素f_i,j，其中i∈{1,2,…,t-1},j∈{1,2,…,m-1}，并构造m-1个次数不超过t-1的多项式如下：

$g_1\left(x\right)=b_1+\underset{i=1}{\overset{t-1}{\Σ}}{f}_{i,1}{x}^i$

$\begin{array}{c}{g}_2\left(x\right)=b_2+\underset{i=1}{\overset{t-1}{\Σ}}{f}_{i,2}{x}^i\\ \·\\ \·\\ \·\\ g_{m-1}\left(x\right)=b_{m-1}+\underset{i=1}{\overset{t-1}{\Σ}}{f}_{i,m-1}{x}^i\end{array}$

然后，客户端计算b_j＝g_j(0)，P_j＝g_j(0)·P，其中j＝1,2,…,m-1；因此，需存储的数据S＝(P₁,P₂,…,P_m-1)＝(g₁(0)P,g₂(0)P,…,g_m-1(0)P)；从而，客户端能够计算出S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)作为n个份额S_i发送给前端云服务商FS，FS将份额S_i加密后得到加密的份额值Y_i发送给对应的后端云服务商BS_i存储在n个不同的云存服务器Sto_i中，其中i＝1,2,…,n为每个拥有数据份额的后端云服务商的身份信息；

c、根据上述m-1个等式，客户端可将其简记为m-1维向量多项式F(x)＝P·g₁(x)+P·g₂(x)+…+P·g_m-1(x)＝F₀+F₁x+…+F_t-1x^t-1，其中数据F₀＝F(0)＝S＝(b₁P,b₂P,…,b_m-1P)，其它系数能被记作向量F₁＝(Pf_1,1,Pf_1,2,…,Pf_1,m-1)，F₂＝(Pf_2,1,Pf_2,2,…,Pf_2,m-1)，…,F_t-1＝(Pf_t-1,1,Pf_t-1,2,…,Pf_t-1,m-1)；另外，Client随机从中选择R₁,R₂,…,R_t-1，并广播相关的承诺C_i＝e(F_i,R_iP)＝e_m(Pf_i,1,Pf_i,2,…,Pf_i,m-1,r_iP)，其中j＝1,2,…,t-1；

d、客户端随机选择次数不超过t-1的多项式R(x)＝r₀+r₁x+…+r_t-1x^t-1，其系数均随机取自于且r₀＝r，客户端计算并公开其中i＝1,2,…,n；

e、客户端将生成的n个份额S_i发送给前端云服务商FS，FS进行用户验证，验证通过后，前端云服务商FS计算并公开X_i＝e(F(i),R(i)P)，并利用多线性映射对份额S_i进行加密得到Y_i＝y_i·(g₁(i),g₂(i),…,g_m-1(i))，然后FS将n个加密的份额Y_i和会话秘钥SID_i发送给相应的n个后端云服务商BS_i，其中i＝1,2,…,n。

所述的步骤3)具体包括如下步骤：

a、后端云服务商BS_i检验从FS获得的SID_i是否等于从客户端获得的SID_i；如果相等，BS_i接收FS发送的加密的份额值Y_i；然后，每个BS_i使用自己的私钥x_i，通过计算等式从公开的加密的份额Y_i中解密出份额S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)，最后后端云服务商BS_i利用自己的公钥y_i通过等式(2)利用公开信息P,Y_i公开验证份额S_i的有效性：

e(Y_i,P)＝e(S_i,y_i) (2)；

b、若上述验证式通过，后端云服务商BS_i保留有效的份额S_i，否则，S_i无效可销毁；最后，BS_i将有效的份额S_i和会话IDSID_i发送给相应的云存储服务器Sto_i进行存储。

所述的步骤4)具体包括如下步骤：

a、客户端Client从n个云存储服务器(Sto₁,Sto₂,…,Sto_n)处选择任意t个有效的份额，不妨设为S₁,S₂,…,S_t，并对每个存储份额的存储器Sto₁,Sto₂,…,Sto_t执行有效性验证，如果验证通过，客户端Client就能获得用来重构数据的份额；

b、客户端Client利用获得的t个有效的份额结合拉格朗日插值方法通过等式(3)恢复出数据：

$S=\underset{i=1}{\overset{t}{\Σ}}{\mathrm{\λ}}_i\·S_i=(P_1,P_2,...,P_{m-1})---\left(3\right)$

，其中是拉格朗日系数。

本发明的优势：

本发明中使用公开可验证秘密共享体制实现大数据的云存储，从而提出公开可验证的数据容错安全存储方法，该方法使得云服务者利用公开信息可以对分发的份额的有效性和恢复出的数据的正确性进行公开验证，同时利用多线性映射对分发的份额进行加解密运算，保证了大数据存储的公开可验证性；另外，秘密共享技术的应用使得数据存储方案具有更好的鲁棒性。

本发明使用可公开验证秘密共享的技术将需存储的数据在多个云服务提供商中共享，并在多个云存储服务器间存储。客户端设置门限值t，t个或更多个后端云服务商提供有效的份额才可以恢复出数据，而少于t-1个份额无法恢复出数据，避免了单点失效故障的发生。即便在一些份额丢失或损坏的情况下，原始数据仍可以在至少有t个有效份额的状态下被恢复，该技术使得云存储方法具有更好的容错功能。

本发明利用了信息率几乎渐进最优的公开可验证秘密共享方案，因而在大数据的云存储中，由于需存储数据S＝(P₁,P₂,…,P_m-1)的大小为(m-1)·|q|bits，共享份额(S_i,r_i)的大小是(m-1)·|q|+|q|的大小是(m-1)·|q|+|q|bits，因此，本发明在一次存储任务中总的通信花费仅仅需要消耗与现有的云存储方法相比节省了带宽耗费，并提高了通信效率。

本发明所述并不限于具体实施方式中所述的实施例，本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围。显然本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术范围内，则本发明也意图包含这些改动和变型在内。

Claims (6)

1.一种公开可验证的数据容错安全存储方法，其特征在于：利用多线性映射和公开可验证秘密共享技术，对数据进行分发和承诺，并将生成的n个份额发送给前端云服务商进行加密，生成加密的份额后，发送给n个不同的后端云服务商进行公开验证其有效性后对加密的份额进行解密运算，得到份额后存储在相应的云存储上。

2.根据权利要求1所述的公开可验证的数据容错安全存储方法，其特征在于：具体包括如下步骤：

1)预处理：客户端Client对用户的数据进行预处理，用预处理的结果作为实际共享的信息，预处理的结果将被直接用于分发步骤；

2)份额分发：客户端Client利用秘密共享技术生成n个份额S_i，发送给前端云服务商FS，FS利用多线性映射对份额S_i进行加密后向n个后端云服务商BS₁,BS₂,…,BS_n发送加密的份额Y_i，其中i＝1,2,…,n；

3)公开验证和数据存储：每个后端云服务商BS_i可以利用公开值，如群生成元P和数据份额的加密值Y_i等利用自己的公钥y_i对客户端Client生成n个份额S_i的有效性进行公开验证；

4)数据恢复：客户端Client从存储数据份额的n个云存储服务器Sto₁,Sto₂,…,Sto_n处得到不少于门限值t个份额，就可以利用拉格朗日插值公式恢复出原始数据。

3.根据权利要求2所述的公开可验证的数据容错安全存储方法，其特征在于：所述的步骤1)具体包括如下步骤：

a、客户端Client定义数据的访问结构，以及份额的存储结构，确定份额的数量n及门限t的值；

b、客户端Client在每次会话中随机生成一个会话IDSID_i，为份额的存储确定n个云存储服务器Sto₁,Sto₂,…,Sto_n及相应的后端云服务商BS₁,BS₂,…,BS_n；

c、令m-1维向量S＝(P₁,P₂,…,P_m-1)表示需存储的数据，其中P_i＝b_i·P，且i＝1,2,…,m-1；每个后端云服务商BS_i从中选择自己的私钥x_i并计算y_i＝x_iP作为自己的公钥。

4.根据权利要求2所述的公开可验证的数据容错安全存储方法，其特征在于：所述的步骤2)具体包括如下步骤：

a、客户端Client公开对数据的承诺值C₀＝e(S,rP)＝e_m(P₁,P₂,…,P_m-1,rP)，其中任意

b、客户端Client随机从中选择(t-1)×(m-1)个元素f_i,j，其中i∈{1,2,…,t-1},j∈{1,2,…,m-1}，并构造m-1个次数不超过t-1的多项式如下：

$\begin{array}{c}{g}_1\left(x\right)=b_1+\underset{i=1}{\overset{t-1}{\mathrm{\Σ}}}{f}_{i,1}{x}^i\\ g_2\left(x\right)=b_2+\underset{i=1}{\overset{t-1}{\mathrm{\Σ}}}{f}_{i,2}{x}^i\\ .\\ .\\ .\\ g_{m-1}\left(x\right)=b_{m-1}+\underset{i=1}{\overset{t-1}{\mathrm{\Σ}}}{f}_{i,m-1}{x}^i\end{array}$

然后，客户端计算b_j＝g_j(0)，P_j＝g_j(0)·P，其中j＝1,2,…,m-1；因此，需存储的数据S＝(P₁,P₂,…,P_m-1)＝(g₁(0)P,g₂(0)P,…,g_m-1(0)P)；从而，客户端能够计算出S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)作为n个份额S_i发送给前端云服务商FS，FS将份额S_i加密后得到加密的份额值Y_i发送给对应的后端云服务商BS_i存储在n个不同的云存服务器Sto_i中，其中i＝1,2,…,n为每个拥有数据份额的后端云服务商的身份信息；

c、根据上述m-1个等式，客户端可将其简记为m-1维向量多项式F(x)＝P·g₁(x)+P·g₂(x)+…+P·g_m-1(x)＝F₀+F₁x+…+F_t-1x^t-1，其中数据F₀＝F(0)＝S＝(b₁P,b₂P,…,b_m-1P)，其它系数能被记作向量F₁＝(Pf_1,1,Pf_1,2,…,Pf_1,m-1)，F₂＝(Pf_2,1,Pf_2,2,…,Pf_2,m-1)，…,F_t-1＝(Pf_t-1,1,Pf_t-1,2,…,Pf_t-1,m-1)；另外，Client随机从中选择R₁,R₂,…,R_t-1，并广播相关的承诺C_i＝e(F_i,R_iP)＝e_m(Pf_i,1,Pf_i,2,…,Pf_i,m-1,r_iP)，其中j＝1,2,…,t-1；

d、客户端随机选择次数不超过t-1的多项式R(x)＝r₀+r₁x+…+r_t-1x^t-1，其系数均随机取自于且r₀＝r，客户端计算并公开其中i＝1,2,…,n；

e、客户端将生成的n个份额S_i发送给前端云服务商FS，FS进行用户验证，验证通过后，前端云服务商FS计算并公开X_i＝e(F(i),R(i)P)，并利用多线性映射对份额S_i进行加密得到Y_i＝y_i·(g₁(i),g₂(i),…,g_m-1(i))，然后FS将n个加密的份额Y_i和会话秘钥SID_i发送给相应的n个后端云服务商BS_i，其中i＝1,2,…,n。

5.根据权利要求2所述的公开可验证的数据容错安全存储方法，其特征在于：所述的步骤3)具体包括如下步骤：

a、后端云服务商BS_i检验从FS获得的SID_i是否等于从客户端获得的SID_i；如果相等，BS_i接收FS发送的加密的份额值Y_i；然后，每个BS_i使用自己的私钥x_i，通过计算等式从公开的加密的份额Y_i中解密出份额S_i＝(g₁(i)P,g₂(i)P,…,g_m-1(i)P)，最后后端云服务商BS_i利用自己的公钥y_i通过等式(2)利用公开信息P,Y_i公开验证份额S_i的有效性：

e(Y_i,P)＝e(S_i,y_i) (2)；

b、若上述验证式通过，后端云服务商BS_i保留有效的份额S_i，否则，S_i无效可销毁；最后，BS_i将有效的份额S_i和会话IDSID_i发送给相应的云存储服务器Sto_i进行存储。

6.根据权利要求2所述的公开可验证的数据容错安全存储方法，其特征在于：所述的步骤4)具体包括如下步骤：

a、客户端Client从n个云存储服务器(Sto₁,Sto₂,…,Sto_n)处选择任意t个有效的份额，不妨设为S₁,S₂,…,S_t，并对每个存储份额的存储器Sto₁,Sto₂,…,Sto_t执行有效性验证，如果验证通过，客户端Client就能获得用来重构数据的份额；

b、客户端Client利用获得的t个有效的份额结合拉格朗日插值方法通过等式(3)恢复出数据：

$S=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{\mathrm{\λ}}_i\·S_i=(P_1,P_2,...,P_{m-1})---\left(3\right)$ ，

其中是拉格朗日系数。