CN106412087B - 一种共享所有权证明的方法及系统 - Google Patents

一种共享所有权证明的方法及系统 Download PDF

Info

Publication number
CN106412087B
CN106412087B CN201610934535.5A CN201610934535A CN106412087B CN 106412087 B CN106412087 B CN 106412087B CN 201610934535 A CN201610934535 A CN 201610934535A CN 106412087 B CN106412087 B CN 106412087B
Authority
CN
China
Prior art keywords
shared
module
owner
token value
tenant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610934535.5A
Other languages
English (en)
Other versions
CN106412087A (zh
Inventor
熊金波
李素萍
姚志强
张媛媛
李璇
金彪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Normal University
Original Assignee
Fujian Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Normal University filed Critical Fujian Normal University
Priority to CN201610934535.5A priority Critical patent/CN106412087B/zh
Publication of CN106412087A publication Critical patent/CN106412087A/zh
Application granted granted Critical
Publication of CN106412087B publication Critical patent/CN106412087B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种共享所有权证明的方法及系统,具体涉及一种用于协作云数据安全去重的共享所有权证明的方法及系统。云协作应用产生大量共享文件,这些文件由协作参与方共同所有、共同决策。为了实现对共享文件的安全访问与去重,充分利用共享文件散布、收敛加密、秘密共享等技术对共享文件进行变换处理,实现对共享文件的分享授权,然后设计一种挑战—响应的交互协议实现对共享文件的共享所有权证明,为共享文件的安全去重提供技术支撑。本发明结合秘密共享、收敛加密等技术,实现了一种共享所有权证明的方法及系统。

Description

一种共享所有权证明的方法及系统
技术领域
本发明涉及云数据安全存储领域,具体涉及协作云数据安全去重的一种共享所有权证明的方法及系统。
背景技术
随着云计算、大数据技术的快速发展,越来越多的企业和个人利用云计算平台进行协同工作,以实现资源共享、无缝沟通、降低成本与提高服务质量。云协作应用平台采用多用户协同参与的工作模式,协作应用中产生的共享文件由多参与者共同所有。与普通文件由单用户拥有、可单方面设定访问权限不同,共享文件的访问、决策控制等都要求参与者共同决定。在共享文件的产生、使用、访问、更新、存储等过程中,都将产生多个版本或者多副本文件,增加云平台的存储开销。
为了提高存储效率和盈利,云存储服务商采用有效存储的方法来存储用户数据,如数据压缩技术,但不同的压缩算法得到不同的压缩文件,从而一份文件需存储多个副本,大量浪费存储空间。数据重复性删除(数据去重),作为一种有效的数据缩减方法,被各大云服务提供商广泛使用,如DropBox、Google Drive、阿里云OSS。数据去重典型的代表方案为收敛加密与消息锁加密,但这两种机制的安全性都依赖原始文件的哈希值,即用户只需拥有文件的哈希值就可以向云存储服务器获取文件,而哈希值本身容易遭受离线蛮力攻击。
为了解决上述攻击,最典型的解决方法为所有权证明方案,使用Merkle树与纠删码,即用户对上传文件进行纠删码编码,服务器使用Merkle树对文件进行存储与管理,该方案可以帮助云存储服务器确认用户是否真实拥有请求的文件。
上述方案可实现文件的安全去重或所有权证明,但均考虑用户单独拥有某普通文件,可单方面对该文件实施管控、设置访问权限等,证明其确实拥有该文件。这种用户单方面进行证明的方式不能解决云协作应用中多用户拥有的共享文件的所有权证明与共享文件的安全去重问题。
发明内容
本发明的目的在于提供一种共享所有权证明的方法及系统,既能实现对共享文件的安全访问又能实现共享文件的安全去重要求。
为实现上述目的,本发明的技术方案是:一种共享所有权证明的方法及系统,包括上传共享文件阶段和共享所有权证明阶段;
所述上传共享文件阶段包括以下步骤:
S100、将共享文件进行分块处理得到数据块,对所述数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算得到token值,对所有所述token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到密钥与token值分量;对共享所有者账号进行哈希运算;
S200、将步骤 S100所得的文件标识符、密文块、token值、共享所有者账号哈希值上传至云存储服务器;
S300、将步骤S100所得的密钥与token值分量通过通信网络发送至所述共享文件的其他共享所有者;
S400、存储步骤S200所得文件标识符、密文块、token值、共享所有者账号哈希值;随机生成1000个挑战;
所述共享所有权证明阶段包括以下步骤:
S500、所述共享所有者之一将步骤S100所得文件标识符与共享所有者账号哈希值上传至云存储服务器;
S600、判断步骤S500所得文件标识符是否存储,若存在,则进一步检查步骤S500所得共享所有者账号哈希值是否存储,若存在,则选择一个由步骤S400所得的挑战;
S700、将步骤S600所得挑战发送至步骤S500中的共享所有者;
S800、步骤S500中的共享所有者通过通信网络向其他共享所有者获取token值分量与密钥分量;对所述token值分量进行解码得到所述token值;
S900、将步骤S800所得token值上传至云存储服务器;
S1000、对步骤S900所得token值与步骤S600所得挑战对应的哈希值进行对比,若相同,则验证成功;
S1100、发送步骤S1000所得验证结果与步骤S500中的共享所有者请求的密文块;
S1200、对步骤S1100所得密文块解密。
在本发明一实施例中,所述步骤S100中的分块处理具体为将所述共享文件根据共享所有者个数进行分块;所述哈希运算方式采用包括SHA-128、SHA256的算法;所述加密方式采用包括AES、DES的算法;所述秘密共享方式采用包括SSSS、IDA、RSSS、SSMS的算法。
在本发明一实施例中,所述通信网络为公共网络或专用网络,有线网络或无线网络;所述步骤S400中的存储信息方式具体为将步骤S200所得信息存入一个四元数组中;所述生成挑战方式具体为随机生成的1000个位置数组。
在本发明一实施例中,所述步骤S600还包括从数据库中读取数据与所述文件标识符进行对比;所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回步骤S400重新生成1000个挑战。
在本发明一实施例中,所述步骤S800还包括其他共享所有者将token值分量与密钥分量通过所述通信网络发送给所述步骤S500中的共享所有者。
本发明还提供了一种共享所有权证明的系统,包括数据分块模块、编码模块、上传模块、数据分发模块、存储模块、数据分量获取模块、验证模块;
所述数据分块模块,用于对共享文件进行分块得到数据块;
所述编码模块,用于对数据分块模块生成的数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算,对所有所述token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到分量;对共享所有者账号进行哈希运算;
所述上传模块,用于将编码模块生成的文件标识符、密文块、token值、密钥与token值分量上传至云存储服务器;
所述数据分发模块,用于将密钥与token值分量发送至所述共享文件的其他共享所有者;
所述存储模块,用于存储上传模块所得文件标识符、密文块、token值、密钥与token值分量并随机生成1000个挑战;
所述数据分量获取模块,用于所述共享所有者之一通过所述通信网络向其他共享所有者获取token与密钥分量;
所述验证模块,用于当共享所有者之一将编码模块生成文件标识符与账号哈希值上传至云存储服务器;云存储服务器判断所得文件标识符是否存储,若存在,则检查所得账号哈希值是否存储,若存在,则选择一个存储模块生成的挑战发送至所述共享所有者之一;并将数据分量获取模块得到的token分量进行解码得到所述token值;对所得token值与所述挑战对应的哈希值进行对比,若相同,则验证成功;发送验证信息至所述共享所有者之一。
在本发明一实施例中,所述编码模块的哈希运算方式采用包括SHA-128、SHA256的算法;所述加密方式采用包括AES、DES的算法;所述秘密共享方式采用包括SSSS、IDA、RSSS、SSMS的算法。
在本发明一实施例中,所述数据分发模块中发送方式具体为通过所述通信网络发送;所述存储模块中存储信息方式具体为将上传模块所得信息存入一个四元数组中;所述生成挑战方式具体为随机生成的1000个位置数组。
在本发明一实施例中,所述数据分量获取模块还包括其他共享所有者将token值分量与密钥分量通过所述通信网络发送给所述共享所有者之一。
在本发明一实施例中,所述验证模块还包括从数据库中读取数据与所述文件标识符进行对比;所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回存储模块重新生成1000个挑战。
相较于现有技术,本发明具有以下有益效果:
本发明创建了一种共享所有权证明的方法及系统,它不但能够有效的解决共享文件的安全访问与安全去重问题,而且使用合适的对称加密算法与秘密共享机制可以降低系统开销,适用于大规模推广使用,能应用到实际生产生活过程中。
附图说明
图1为本发明具体实施方式的一种共享所有权证明的系统的系统模型图。
图2为本发明具体实施方式的一种共享所有权证明的方法的步骤流程图。
图3为本发明具体实施方式的一种共享所有权证明的系统的结构示意图。
图中:10、数据分块模块;20、编码模块;30、上传模块;40、数据分发模块、50、存储模块;60、数据分量获取模块;70、验证模块;100、文件创建者;110、通信网络;120、共享所有者;130、共享文件;140、云存储服务器;150、敌手。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
本发明关键的构思在于:充分利用共享文件散布、收敛加密、秘密共享等技术对共享文件进行变换处理,实现对共享文件的分享授权,然后基于挑战—响应模型完成共享所有权证明,为共享文件的安全去重提供技术支撑。
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
请参阅图1,为本发明具体实施方式的一种共享所有权证明的系统的系统模型图,具体如下:
一种共享所有权证明的系统,包括:文件创建者 100、通信网络 110、共享所有者120、共享文件 130、云存储服务器 140、敌手 150;
所述文件创建者 100,主要创建共享文件,对共享文件进行加密、编码等处理,并上传至云服务器。
所述通信网络 110,可以为公共网络或专用网络,但信道需是可信的。
所述共享所有者120,可以与其他所有者共同拥有云存储服务器上的共享文件的所有权。如果其中某个所有者想访问共享文件,必须得到至少t-1个其他所有者的授权,并通过云存储服务器发送的挑战。
所述共享文件 130,共享所有者共同拥有的文件,若要访问该文件,需得到一定数量的其他共享所有者的授权。
所述云存储服务器140,主要任务为存储共享文件,建立与该文件相关联的挑战信息,当所有者请求下载文件时,实施挑战并判断该所有者是否挑战成功,若成功则返回相应信息给该所有者。
所述敌手 150,表示对云存储服务器、共享文件传播过程中可能发起攻击。
请参照图2,为本发明具体实施方式的一种共享所有权证明的方法的步骤流程图,具体如下:
一种共享所有权证明的方法,包括:上传共享文件阶段和共享所有权证明阶段;
所述上传共享文件阶段包括以下步骤:
S100、将所述共享文件进行分块处理得到数据块,对所述数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算得到token值,对所有所述token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到分量;对所述共享所有者账号进行哈希运算。
进一步的,所述分块处理具体为将所述共享文件根据共享所有者个数进行分块。
进一步的,所述哈希运算方式可以采用SHA-128、SHA-256等算法。
进一步的,所述加密方式可以采用AES、DES等算法。
进一步的,所述秘密共享方式可以采用SSSS、IDA、RSSS、SSMS等算法。
S200、将步骤S100所得的文件标识符、密文块、token值、共享所有者账号哈希值上传至云存储服务器;
S300、将步骤S100所得的密钥与token值分量通过通信网络发送至所述共享文件的其他共享所有者;
进一步的,所述通信网络可以为公共网络或者专用网络,但需建立可信信道。
S400、存储步骤S200所得文件标识符、密文块、token值、共享所有者账号哈希值;随机生成1000个挑战;
进一步的,所述存储信息方式具体为将步骤S200所得信息存入一个四元数组中。
进一步的,所述生成挑战方式具体为随机生成的1000个位置数组。
所述共享所有权证明阶段包括以下步骤:
S500、所述共享所有者之一将步骤S100所得文件标识符与账号哈希值上传至云存储服务器;
S600、判断步骤S500所得文件标识符是否存储,若存在,则进一步检查步骤S500所得账号哈希值是否存储,若存在,则选择一个由步骤S400所得的挑战;
进一步的,所述步骤S600还包括从数据库中读取数据与所述文件标识符进行对比。
进一步的,所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回步骤S400重新生成1000个挑战。
S700、将步骤S600所得挑战发送至步骤S500中所述共享所有者;
S800、步骤S500中所述共享所有者通过所述通信网络向其他共享所有者获取token值分量与密钥分量;对所述token值分量进行解码得到所述token值;
进一步的,所述步骤S800还包括其他共享所有者将token值分量与密钥分量通过所述通信网络发送给所述共享所有者。
S900、将步骤S800所得token值上传至云存储服务器;
S1000、对步骤S900所得token值与步骤S600所得挑战对应的哈希值进行对比,若相同,则验证成功;
S1100、发送步骤S1000所得验证结果与步骤S500中所述共享所有者请求的密文块;
进一步的,所述步骤S1100还包括从步骤S400中生成的四元组中读取相应的token值。
S1200、对步骤S1100所得密文块解密。进一步的,步骤S1200还包括对步骤S800所得密钥分量进行解码,得到密钥。
请参阅图3,为本发明具体实施方式的一种共享所有权证明的系统的结构示意图,具体如下:
一种共享所有权证明的系统,包括:数据分块模块 10、编码模块 20、上传模块30、数据分发模块40、存储模块 50、数据分量获取模块 60、验证模块 70;
所述数据分块模块 10,用于对共享文件进行分块得到数据块;
进一步的,所述分块处理具体为将所述共享文件根据共享所有者个数进行分块。
所述编码模块 20,用于对数据分块模块生成的数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算得到token值,对所有所述token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到分量;对所述共享所有者账号进行哈希运算。
进一步的,所述分块处理具体为将所述共享文件根据共享所有者个数进行分块。
进一步的,所述哈希运算方式可以采用SHA-128、SHA256等算法。
进一步的,所述加密方式可以采用AES、DES等算法。
进一步的,所述秘密共享方式可以采用SSSS、IDA、RSSS、SSMS等算法。
所述上传模块 30,用于将编码模块生成的文件标识符、密文块、token值、共享所有者账号哈希值上传至云存储服务器;
所述数据分发模块 40,用于将密钥与token值分量通过通信网络发送至所述共享文件的其他共享所有者;
进一步的,所述通信网络可以为公共网络或者专用网络,但需建立可信信道。
所述存储模块 50,用于存储上传模块所得文件标识符、密文块、token值、共享所有者账号哈希值并随机生成1000个挑战;
进一步的,所述存储信息方式具体为将上传模块所得信息存入一个四元数组中。
进一步的,所述生成挑战方式具体为随机生成的1000个位置数组。
所述数据分量获取模块 60,用于所述共享所有者之一通过所述通信网络向其他共享所有者获取token与密钥分量。
进一步的,获取分量步骤还包括将token值分量通过所述通信网络发送给所述共享所有者。
所述验证模块 70,用于当共享所有者之一将编码模块生成文件标识符与账号哈希值上传至云存储服务器;云存储服务器判断所得文件标识符是否存储,若存在,则检查所得账号哈希值是否存储,若存在,则选择一个存储模块生成的挑战发送至所述共享所有者之一;所述共享所有者将数据分量获取模块得到的token分量进行解码得到所述token值;对所得token值与所述挑战对应的哈希值进行对比,若相同,则验证成功;发送验证信息至所述共享所有者。
进一步的,所述验证模块还包括从数据库中读取数据与所述文件标识符进行对比。
进一步的,所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回存储模块重新生成1000个挑战。
实施例一
本发明提供的一种共享所有权证明的方法,该方法具体包括如下步骤:
1、上传共享文件阶段
(1)数据分块步骤
该步骤由数据分块模块执行,根据所述共享所有者个数n将所述共享文件均等分为n份,得到长度相等的数据块;
进一步的,若所述共享文件不能均等分为n份,则对所述共享文件补齐字符,使其可以均等分为n份。
(2)数据编码步骤
该步骤由编码模块执行,对步骤(1)生成的数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算得到token值,对所有所述token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到分量;对所述共享所有者账号进行哈希运算;
进一步的,所述分块处理具体为将所述共享文件根据共享所有者个数进行分块。
进一步的,所述哈希运算方式可以采用SHA-128、SHA256等算法。
进一步的,所述加密方式可以采用AES、DES等算法。
进一步的,所述秘密共享方式可以采用SSSS、IDA、RSSS、SSMS等算法。
(3)数据上传步骤
该步骤由上传模块完成,将步骤(2)生成的文件标识符、密文块、token值、共享所有者账号哈希值上传至云存储服务器;
(4)数据分发步骤
该步骤由数据分发模块完成,用于步骤(2)生成密钥与token值分量通过通信网络发送至所述共享文件的其他共享所有者;
进一步的,所述通信网络可以为公共网络或者专用网络,但需建立可信信道。
2、共享所有权证明阶段
(5)数据存储步骤
该步骤由存储模块完成,云存储服务器接收到步骤(3)上传的文件标识符、密文块、token值、共享所有者账号哈希值后,存储步骤(3)上传的信息并根据用户个数n随机生成1000个挑战;
进一步的,所述存储信息方式具体为将步骤(3)上传的信息存入一个四元数组中。
进一步的,所述生成挑战方式具体为随机生成的1000个位置数组。
(6)共享所有权证明步骤
该步骤由验证模块执行,用于当共享所有者之一将编码模块生成文件标识符与账号哈希值上传至云存储服务器;云存储服务器判断所得文件标识符是否存储,若存在,则检查所得账号哈希值是否存储,若存在,则选择一个存储模块生成的挑战发送至所述共享所有者之一;所述共享所有者将数据分量获取模块得到的token分量进行解码得到所述token值; 对所得token值与所述挑战对应的哈希值进行对比,若相同,则验证成功;发送验证信息至所述共享所有者。
进一步的,所述步骤还包括从数据库中读取数据与所述文件标识符进行对比。
进一步的,所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回存储模块重新生成1000个挑战。
综上所述,本发明结合秘密共享、收敛加密、所有权证明等技术,提供一种共享所有权证明方法及系统,既能实现对共享文件的安全访问又能实现共享文件的安全去重要求,具体为: 对共享文件进行相关分割和加密操作,然后通过安全文件散布算法和秘密共享算法对密钥与token值进行分享,并将共享文件密文与分量值上传至云存储服务器中保存;若该文件已经存在,则对共享所有者发起挑战,即云存储服务器通过随机抽样等方式从上传的密文中产生挑战种子信息,并计算相应的token值,然后将挑战种子发送给发起挑战的所有者,该所有者通过通信网络从其他所有者中获取足够的分量信息,并根据种子计算相应的响应信息并发回给服务器,服务器校验这两个响应是否相同,相同则通过共享所有权证明,说明其确实拥有共享文件,从而通知该共享所有者不需要再次上传该共享文件,实现对所有者源端的数据去重。
进一步的,所述步骤(1)(2)(3)(4)中的数据分块模块、编码模块、上传模块、数据分发模块在共享所有者客户端实现,所述步骤(5)(6)中的存储模块、数据分量获取模块、验证模块在云存储服务器端实现。
进一步的,所述云存储服务器为公有服务器,还可添加可信的私有云服务器或可信的第三方服务器,所述私有云存储服务器或第三方服务器的主要工作为对共享文件进行分块,编码处理;并将处理后的文件标识符、密文块、token值、密钥与token值分量上传公共有云存储服务器。
进一步的,所述共享文件为多个参与方通过通信网络共同参与制定、创建、使用、签署的文件,属于参与方共同所有。如健康医疗的联合会诊文件、工程项目合同、联合项目申请书等均属于此列。
进一步的,所述通信网络可以是公共网络、专用网络,有线网络、无线网络等。
以上所述仅为本发明的较佳实施例,并非因此限制本发明的专利范围,凡是在本发明的精神和原则之内,利用本发明说明书及附图内容所作的任何修改、等同变换、等同替换、改进等,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种共享所有权证明的方法,其特征在于:包括上传共享文件阶段和共享所有权证明阶段;
所述上传共享文件阶段包括以下步骤:
S100、将共享文件进行分块处理得到数据块,对所述数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算得到token值,对所有所述token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到密钥与token值分量;对共享所有者账号进行哈希运算;
S200、将步骤 S100所得的文件标识符、密文块、token值、共享所有者账号哈希值上传至云存储服务器;
S300、将步骤S100所得的密钥与token值分量通过通信网络发送至所述共享文件的其他共享所有者;
S400、存储步骤S200所得文件标识符、密文块、token值、共享所有者账号哈希值;随机生成1000个挑战;
所述共享所有权证明阶段包括以下步骤:
S500、所述共享所有者之一将步骤S100所得文件标识符与共享所有者账号哈希值上传至云存储服务器;
S600、判断步骤S500所得文件标识符是否存储,若存在,则进一步检查步骤S500所得共享所有者账号哈希值是否存储,若存在,则选择一个由步骤S400所得的挑战;
S700、将步骤S600所得挑战发送至步骤S500中的共享所有者;
S800、步骤S500中的共享所有者通过通信网络向其他共享所有者获取token值分量与密钥分量;对所述token值分量进行解码得到所述token值;
S900、将步骤S800所得token值上传至云存储服务器;
S1000、对步骤S900所得token值与步骤S600所得挑战对应的哈希值进行对比,若相同,则验证成功;
S1100、发送步骤S1000所得验证结果与步骤S500中的共享所有者请求的密文块;
S1200、对步骤S1100所得密文块解密。
2.根据权利要求1所述的共享所有权证明的方法,其特征在于:所述步骤S100中的分块处理具体为将所述共享文件根据共享所有者个数进行分块;所述哈希运算方式采用包括SHA-128、SHA256的算法;所述加密方式采用包括AES、DES的算法;所述秘密共享方式采用包括SSSS、IDA、RSSS、SSMS的算法。
3.根据权利要求1所述的共享所有权证明的方法,其特征在于:所述通信网络为公共网络或专用网络,有线网络或无线网络;所述步骤S400中的存储信息方式具体为将步骤S200所得信息存入一个四元数组中;所述生成挑战方式具体为随机生成的1000个位置数组。
4.根据权利要求1所述的共享所有权证明的方法,其特征在于:所述步骤S600还包括从数据库中读取数据与所述文件标识符进行对比;所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回步骤S400重新生成1000个挑战。
5.根据权利要求1所述的共享所有权证明的方法,其特征在于:所述步骤S800还包括其他共享所有者将token值分量与密钥分量通过所述通信网络发送给所述步骤S500中的共享所有者。
6.一种共享所有权证明的系统,其特征在于:包括数据分块模块、编码模块、上传模块、数据分发模块、存储模块、数据分量获取模块、验证模块;
所述数据分块模块,用于对共享文件进行分块得到数据块;
所述编码模块,用于对数据分块模块生成的数据块进行哈希运算得到密钥,使用所述密钥对所述数据块进行加密处理得到密文块;对所述密文块进行哈希运算,对所有token值进行哈希运算得到文件标识符;将所述密钥与所述token值进行秘密共享处理得到分量;对共享所有者账号进行哈希运算;
所述上传模块,用于将编码模块生成的文件标识符、密文块、token值、密钥与token值分量上传至云存储服务器;
所述数据分发模块,用于将密钥与token值分量发送至所述共享文件的其他共享所有者;
所述存储模块,用于存储上传模块所得文件标识符、密文块、token值、密钥与token值分量并随机生成1000个挑战;
所述数据分量获取模块,用于所述共享所有者之一通过通信网络向其他共享所有者获取token与密钥分量;
所述验证模块,用于当共享所有者之一将编码模块生成文件标识符与账号哈希值上传至云存储服务器;云存储服务器判断所得文件标识符是否存储,若存在,则检查所得账号哈希值是否存储,若存在,则选择一个存储模块生成的挑战发送至所述共享所有者之一;并将数据分量获取模块得到的token分量进行解码得到所述token值;对所得token值与所述挑战对应的哈希值进行对比,若相同,则验证成功;发送验证信息至所述共享所有者之一。
7.根据权利要求6所述的共享所有权证明的系统,其特征在于:所述编码模块的哈希运算方式采用包括SHA-128、SHA256的算法;所述加密方式采用包括AES、DES的算法;所述秘密共享方式采用包括SSSS、IDA、RSSS、SSMS的算法。
8.根据权利要求6所述的共享所有权证明的系统,其特征在于:所述数据分发模块中发送方式具体为通过所述通信网络发送;所述存储模块中存储信息方式具体为将上传模块所得信息存入一个四元数组中;所述生成挑战方式具体为随机生成的1000个位置数组。
9.根据权利要求6所述的共享所有权证明的系统,其特征在于:所述数据分量获取模块还包括其他共享所有者将token值分量与密钥分量通过所述通信网络发送给所述共享所有者之一。
10.根据权利要求6所述的共享所有权证明的系统,其特征在于:所述验证模块还包括从数据库中读取数据与所述文件标识符进行对比;所述选择挑战方式具体为从所述1000个挑战中顺序选择,若挑战使用完后,返回存储模块重新生成1000个挑战。
CN201610934535.5A 2016-10-25 2016-10-25 一种共享所有权证明的方法及系统 Active CN106412087B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610934535.5A CN106412087B (zh) 2016-10-25 2016-10-25 一种共享所有权证明的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610934535.5A CN106412087B (zh) 2016-10-25 2016-10-25 一种共享所有权证明的方法及系统

Publications (2)

Publication Number Publication Date
CN106412087A CN106412087A (zh) 2017-02-15
CN106412087B true CN106412087B (zh) 2019-02-19

Family

ID=58012160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610934535.5A Active CN106412087B (zh) 2016-10-25 2016-10-25 一种共享所有权证明的方法及系统

Country Status (1)

Country Link
CN (1) CN106412087B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106961431B (zh) * 2017-03-17 2019-11-08 福建师范大学 角色对称加密所有权证明的方法及系统
CN107295002B (zh) * 2017-07-12 2020-06-19 联动优势科技有限公司 一种云端存储数据的方法及服务器
CN108494552B (zh) * 2018-03-16 2020-11-20 西安电子科技大学 支持高效收敛密钥管理的云存储数据去重方法
CN109088720B (zh) * 2018-08-14 2021-08-13 广东工业大学 一种基于混合云存储的加密文件去重方法及装置
CN113259317B (zh) * 2021-04-09 2023-05-30 淮阴工学院 一种基于身份代理重加密的云存储数据去重方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103595696A (zh) * 2012-08-15 2014-02-19 中兴通讯股份有限公司 一种文件所有权证明的方法及装置
CN104660720A (zh) * 2015-03-25 2015-05-27 成都艺辰德迅科技有限公司 一种基于身份认证的安全存储方法
CN105141602A (zh) * 2015-08-18 2015-12-09 西安电子科技大学 基于收敛加密的文件所有权证明方法
CN105159919A (zh) * 2015-07-24 2015-12-16 福建师范大学 一种数据多副本关联的方法及系统
CN105681273A (zh) * 2015-12-17 2016-06-15 西安电子科技大学 客户端重复数据删除方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103595696A (zh) * 2012-08-15 2014-02-19 中兴通讯股份有限公司 一种文件所有权证明的方法及装置
CN104660720A (zh) * 2015-03-25 2015-05-27 成都艺辰德迅科技有限公司 一种基于身份认证的安全存储方法
CN105159919A (zh) * 2015-07-24 2015-12-16 福建师范大学 一种数据多副本关联的方法及系统
CN105141602A (zh) * 2015-08-18 2015-12-09 西安电子科技大学 基于收敛加密的文件所有权证明方法
CN105681273A (zh) * 2015-12-17 2016-06-15 西安电子科技大学 客户端重复数据删除方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"一种基于重复数据删除技术的云中云存储系统";毛波等;《计算机研究与发展》;20150615;全文

Also Published As

Publication number Publication date
CN106412087A (zh) 2017-02-15

Similar Documents

Publication Publication Date Title
CN106412087B (zh) 一种共享所有权证明的方法及系统
CN111639361B (zh) 一种区块链密钥管理方法、多人共同签名方法及电子装置
CN112910840B (zh) 一种基于联盟区块链的医疗数据存储共享方法及系统
Kwon et al. Riffle: An efficient communication system with strong anonymity
CN106254324B (zh) 一种存储文件的加密方法及装置
CN103563325B (zh) 用于保护数据的系统和方法
RU2589861C2 (ru) Система и способ шифрования данных пользователя
CN103763319B (zh) 一种移动云存储轻量级数据安全共享方法
CN103178965B (zh) 使用多因素或密钥式分散对数据进行保护的系统和方法
CN100536393C (zh) 一种基于秘密共享密码机制的用户管理方法
CN104158827B (zh) 密文数据共享方法、装置、查询服务器和上传数据客户端
CN104917780A (zh) 对移动中数据进行保护的系统和方法
CN1695343A (zh) 用于通过公共网络提供安全数据分发的方法和系统
KR20100103645A (ko) 정보 유통 시스템 및 그를 실현하기 위한 프로그램
CN106209823A (zh) 一种移动云计算环境下的轻量级文件远程加密方法
CN109976948A (zh) 一种私密信息备份方法及恢复方法和系统
CN108462696A (zh) 一种去中心化的区块链智能身份认证系统
CN102404329A (zh) 用户终端与虚拟社区平台间交互的认证加密方法
CN114765543A (zh) 一种量子密码网络扩展设备的加密通信方法及系统
CN1329418A (zh) 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法
CN113656818A (zh) 满足语义安全的无可信第三方云存储密文去重方法与系统
CN110474873B (zh) 一种基于知悉范围加密的电子文件访问控制方法和系统
CN102184367A (zh) 电子公文定时销毁方法及系统
CN107147615B (zh) 密文去重场景下不损失熵的所有权认证与密钥传递方法
Abbdal et al. Secure and Efficient Data Integrity Based on Iris Features in Cloud Computing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant