CN107086902A

CN107086902A - 一种基于动态门限密码支持三方审核与文件去重的云存储系统

Info

Publication number: CN107086902A
Application number: CN201710171654.4A
Authority: CN
Inventors: 郑军; 吴凡; 薛金蓉; 管乐乐
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2017-03-22
Filing date: 2017-03-22
Publication date: 2017-08-22

Abstract

本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统，属于云计算中云存储安全技术领域。包括密钥共享系统和文件去重系统；基于动态门限访问控制，提出一种能保护用户隐私不被服务提供商侵犯的云存储安全模型，系统允许由服务商、可信中心外的第三方权威机构通过合法渠道获取两份秘密以对文件内容进行审核，服务商不能解密云中数据；本发明还基于同态加密技术实现去重删冗，允许服务商对不同用户存储的相同文件进行去重操作，节约存储成本。本发明将基于动态门限的访问控制与基于同态加密的文件去重删冗有机结合起来，是一个CSP可信的低冗余云存储方案，是可行的、安全的、相对高效的，有被应用的价值与前景。

Description

一种基于动态门限密码支持三方审核与文件去重的云存储系统

技术领域

本发明涉及一种基于动态门限密码支持三方审核与文件去重的云存储系统，属于云计算中云存储安全技术领域。

背景技术

近年来，随着网络带宽等资源的日益改善、各种移动设备相继问世以及用户在多个终端使用相同文件的需求的出现，云存储作为一种提供虚拟存储与共享的服务被越来越多的用户所使用。用户文件隐私问题是云存储服务领域研究热点之一。云服务提供商(Cloud Service Provider，CSP)可以直接访问用户存储在云端的数据，受到攻击时可能泄露用户隐私或破坏用户数据。另一方面，不同用户可能在各自的存储空间保存相同的文件，CSP也希望能够减少文件副本的个数以节省存储和管理成本。

云存储中的访问控制与去重删冗都是云存储技术中的重要部分，现有的云安全存储方案多采用对称密钥进行加密，且未处理云中冗余文件问题，本发明将基于动态门限的访问控制与基于同态加密的文件去重删冗有机结合起来，应用到云存储实例中，是一个CSP可信的低冗余云存储方案。本系统中需要用到门限密码技术与同态加密技术，这里对这两种技术做简单介绍：

(一)门限密码

本发明采用门限密码实现访问控制。在实际的应用场景中，有时会有需要多个密钥保管者同时参与才能解密，我们将秘密分解为多个碎片并分发给不同持有者的行为称为秘密共享，门限密码学指实现秘密共享的技术。秘密共享是门限密码体制的基础，门限密码方案中有以下三种主要角色：

合格的(t,n)门限秘密分享机制需符合以下条件：

1)秘密S被分割为n份，n个参与者各持有一份秘密份额；

2)任意t个或t个以上的参与者可以联合恢复出秘密S；

3)任意t-1个或t-1个以下的参与者不能够完成秘密恢复操作。

(二)同态加密

本发明采用同态加密实现文件副本控制，以减少云存储中重复文件副本数目。为了节省云存储对相同文件不同副本存储与管理的开销，本发明安全系统提出了文件副本去重机制的理论实现。文件副本去重机制需要用到密文对比技术，其中实现密文对比需要用到的关键技术是同态加密。1978年Rivest等人首次提出利用同态加密来保护数据的私密性。同态加密中，在数环上先对明文数据先加密得到密文再对密文进行某种映射得到的结果，与先对明文进行这种映射再对映射值进行加密得到的结果是一样的。

同态加密的定义可记为：

记一个四元组{En，Dec，f，D}，En代表加密方案，Dec代表解密方案，f代表一种函数映射关系，D代表运算数域，对当这个四元组满足：

Dec(f(En(m₁),En(m₂),…,En(m_k)))＝f(m₁,m₂,…,m_k) (1)

时，就称这个四元组体系具有同态性，称密码算法En/Dec对于运算f是同态的。

当不需要进行解密操作时，上式可简化为：

f(En(m₁),En(m₂),…,En(m_k))＝En(f(m₁,m₂,…,m_k)) (2)

在已有的公钥算法中，经典的RSA、ElGamal、Paillier、GM、Benaloh等算法都具有同态性。

发明内容

本发明的目的在于克服现有云存储技术存在的CSP不可信问题和云中文件冗余存储的技术缺陷，提出了一种基于动态门限密码支持三方审核与文件去重的云存储系统。

一种基于动态门限密码支持三方审核与文件去重的云存储系统，简称本云存储系统，包括密钥共享系统和文件去重系统；将基于动态门限的访问控制与基于同态加密的文件去重删冗有机结合起来，应用到云存储中，是一个CSP可信的低冗余云存储方案；以文件为基本单位，每个不同文件需单独建立一个系统实例，各实例都拥有自己单独的共享秘密；其中，共享秘密指用来加解密文件的密钥信息，可以是对称密钥或者非对称密钥中的私钥；安全系统中主要参与的角色为用户、云服务提供商和三方可信机构；其中，用户，即User，可以有一至多位；云存储服务提供商，即CSP；可信机构，即TC；

具体的角色阐述如下：

用户：云存储租户，可以是个人用户，也可以是企业用户，系统构建初期始于一位用户上传文件至云存储，允许系统初始化后用户加入和用户退出；

云存储服务提供商：提供云存储的服务商，提供物理存储空间与管理服务为主的功能；

可信机构：第三方公信机构，此第三方公信机构必须是受认可的和安全的；

在具体阐述本系统的构建前，先列出系统阐述过程中所涉及的数学符号及其代表意义：

表1 本云存储系统中的参数符号及其代表意义

本云存储系统假设以下前提条件成立：

A.每个用户拥有唯一id，记为uid，并且每个uid还能继续产生m个唯一的id，其中m为每份秘密所包含秘密的个数；m不能太小，否则多项式次数很低，容易被破解；m太大也会使计算更耗时；

B.存在安全的云存储文件加密算法，该算法足够复杂和安全。被分享的秘密可以是对称密码中的密钥，也可以是非对称密码中的私钥，加密算法的破解在有限时间内基本是不能完成的；

C.存在一种唯一hash算法，称为uhash算法，该算法满足：

C.1任何相同值，在任何条件下经过uhash运算后得到的值相同，或者出现值相同的概率极其低，可以忽略不计；

C.2任何不同值，在任何条件下经过uhash运算后得到的值不相同，或者出现值相同的概率特别低，可以忽略不计；

C.3单向性：对于任意明文数据x，已知uhash(x)值不能计算出原数值x，或计算难度非常高，uhash算法具有强抗碰撞性；

D.存在一种可用的安全同态加密算法E_h，满足E_h(a+b)＝E_h(a)·E_h(b)，其中a、b为明文，+、·为特定运算；

基于以上前提，本系统是通过下述技术方案实现的。

一种基于动态门限密码支持三方审核与文件去重的云存储系统，包括以下部分：

第一部分、构建云存储安全系统；

具体基于动态门限密码方案构建，又包括：秘密初始化、文件上传与下载与解密、时序秘密更新和用户加入与退出；

其中，秘密初始化负责生成和分发秘密，主要由TC完成；

文件上传与下载与解密主要是用户与CSP的交互；

时序秘密更新指系统中各方需要按照一定规则更新自己的秘密份额，以提高系统安全性；

用户加入与退出处理新用户加入和有效用户退出时系统对部分参数的新增与废除；

第二部分、同态去重机制，具体为：当用户向云存储发起上传文件请求时，系统开始进行文件判重操作；

其中，文件判重操作对用户是透明的，即用户不知道自己的文件是否与其他已在云中存储的其他文件相同，在一定程度上保护了用户的文件隐私，因为即使两位用户存储了相同文件，他们也互相不知道对方拥有该文件，否则，如果用户能知道自己上传的文件与其他用户相同，攻击者可能通过多次上传文件行为来揣测对比其他用户文件，以制造出与指定用户文件相同的文件，导致用户文件泄露；

一种基于动态门限密码支持三方审核与文件去重的云存储系统的操作过程如下：

步骤一、搭建密钥共享系统，即基于用户、服务提供商(简称CSP)、可信中心(简称TC)构建密钥共享系统，并采用随机时序更新机制增强系统安全性；

步骤一，具体为：

对每一个用户上传的新文件，TC采用基于Sun Shieh动态门限方案构造三份密钥，简称SS方案，并分发给TC、CSP以及用户各存储一份；

其中，TC存储的秘密称为托管秘密ts，CSP存储的秘密称为基秘密bs，用户存储的秘密称为私秘密us；TC需销毁除了自身保留的托管秘密之外的所有秘密；

具体为：

步骤1.1TC选取2m-1阶多项式f(x)＝a_2m-1x^2m-1+a_2m-2x^2m-2+…+a₁x+K(mod p)；TC选取一个随机数r，计算d＝g^r(mod p)，并公布d；

其中，mod为取模操作；

步骤1.2对每个u_i，TC计算b_i＝f(u_i)·(y_i)^r(mod p)和得到对应公开份额组(y_i,b_i,c_i)，并公布TC与CSP对应的公开份额，同时TC与CSP保留用户对应的公开份额组用于后续验证，但不公开；

步骤1.3在任意方得到两份密钥时，可使用公式(1)、公式(2)、公式(3)及公式(4)进行密钥恢复：

f′(u_i)＝b′_i[(y_i)^r]^-1＝b_ihash(t_x)[(y_i)^r]^-1(mod p) (2)

其中，公式(1)和公式(2)此两公式的输出为公式(3)的输入；

密钥恢复通过使用c′_i验证u_i的有效性，即验证公式(3)是否成立：

1.3A若公式(3)成立，则秘密有效，即2m个子份额u_i都是合法的，采用公式(4)恢复原密钥，重构出影子多项式；

1.3B若公式(3)不成立，说明获取到的密钥份额是无效的，原密钥不能恢复；

其中，f′(x)为重构的影子多项式，秘密K＝f′(0)·hash(t_x)^-1；

步骤一搭建的密钥更新系统的时序更新机制特征如下：

系统内所有秘密份额持有者都需要保存一个时间戳的哈希值，用来产生秘密份额的影子；记最新的时间戳为t_x，TC对t_x进行单向hash运算得到hash(t_x)，再通过公式(5)和公式(6)更新公开值：

b′_i＝b_i·hash(t_x)(mod p) (5)

再将hash(t_x)发送给CSP和有效用户，得到新时间戳的各方，具体通过公式(7)、公式(8)和公式(9)计算：

s′_i＝s_i+hash(t_x)(mod p) (7)

f′(u_i)＝f(u_i)·hash(t_x)＝b_ix·[(y_i)^r]^-1(mod p) (9)

其中，TC选取的原多项式，即步骤1.1中TC选取的2m-1阶多项式，也随之更变为影子多项式，记为f′(x)，表达式如下公式(10)所示：

有效用户向CSP请求基秘密时，CSP返回基秘密的影子，即将原基秘密与hash(t_x)相乘所得值；用户使用基秘密影子，与私秘密影子，可恢复出影子多项式，秘密仍为f(0)；

步骤二、文件去重系统基于步骤一搭建的密钥共享系统进行重复文件判定，即基于上述门限密钥系统，采用同态加密方式进行重复文件判定；

其中，本系统使用同态加密进行判重的方法，具体方法为：

步骤2.1用户U_i在本地计算要上传至云存储空间的文件F_i的唯一哈希值uhash_i，计算(uid_i+uhash_i)与E_h(uhash_i+uid_i)，将运算结果其发给TC；如果+运算满足交换律，那么这两个值是相等的，这里讨论更一般的情况；

步骤2.2TC收到用户U_j的新文件F_j对应的E_h(uhash_j+uid_j)时，因为

E_h(uid_i+uhash_i)·E_h(uid_j)＝E_h(uid_i+uhash_i+uid_j) (11)

E_h(uid_i)·E_h(uhash_j+uid_j)＝E_h(uid_i+uhash_j+uid_j) (12)

此处基于前述前提条件D.存在一种可用的安全同态加密算法E_h，满足E_h(a+b)＝E_h(a)·E_h(b)，其中a、b为明文，+、·为特定运算；

因此，TC若发现满足公式(13)

E_h(uid_i+uhash_i)·E_h(uid_j)＝E_h(uid_i)·E_h(uhash_j+uid_j) (13)

则

uhash_i＝uhash_j (14)

这两个文件uhash相同，判定这两个文件为同一文件；

对于发现的重复文件，TC通过动态门限算法，将原有的SS(2m,n)扩充为SS(2m,n+m)，分配一份新秘密份额发送给U_j，TC将这部分us_j给发送给U_j，CSP将基秘密bs发送给U_j，并将U_j添加到该文件对用的有效用户列表，系统原有其他用户私秘密us、CSP基秘密bs和TC托管秘密ts不变；

至此，从步骤一到步骤二，完成一种基于动态门限密码支持三方审核与文件去重的云存储系统的操作过程。

有益效果

本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统，与现有的云存储安全技术相比，具有如下有益效果：

a.本系统基于动态门限密码理论，将秘密均分为三份，分别由用户、云存储服务商、三方可信机构保存，对云存储中加密的数据，至少需要同时使用两份密钥才能进行解密，服务商不能直接解密，可以保证数据安全；

b.本系统通过动态更新密钥参数提高了安全性，即增加了随机时序更新机制，；在该系统中，可以添加新用户和删除老用户；系统允许权威机构(如政府、版权机构)通过合法渠道获取两份秘密以对文件内容进行审核；

c.本系统基于同态加密技术，提出一个可与上述模型协作的安全去重删冗机制，在保护用户隐私的同时，允许服务商对不同用户存储的相同文件进行去重操作，在隐私不被破坏的前提下节约存储成本；

d.本系统的去重操作对用户是透明的，且整个去重的过程中，操作的都是加密后的文件数据，服务商完全不可获知文件具体内容，可以防止隐私泄露。

附图说明

图1是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的工作概要图；

图2是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的云存储安全系统秘密初始化阶段的流程图；

图3是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的云存储安全系统文件上传与下载阶段流程图；

图4是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的云存储安全系统时序更新机制流程图；

图5是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的云存储安全系统用户加入流程图；

图6是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的云存储安全系统用户退出流程图；

图7是本发明一种基于动态门限密码支持三方审核与文件去重的云存储系统的云存储安全系统出现重复文件时去重机制工作流程图；

其中，各图中的数字编号代表下文具体实施方式中对应的流程序号。

具体实施方式

下面结合附图和对本发明方法做进一步详细说明。

基于动态门限密码支持三方审核与文件去重的云存储系统，包括以下步骤：第一部分、构建云存储安全系统

一)秘密初始化

1.TC选取一个大素数p和阶为p的群G，g是G的一个生成元。秘密分享者分别为U_i，CSP，TC，每个分享者拥有m个唯一id，记这3m个id为u₁,u₂,…,u_3m，其中u₁,u₂…,u_m属于TC，u_m+1,u_m+2…,u_2m属于CSP，u_2m+1,u_zm+1…,u_3m属于U_i，每个秘密份额对应一个公开份额其中s_i是一个随机选取的数且0≤s_i≤p-1，是u_i对应的私密份额，三方各拥有m个不同私密份额；

2.记要分享的秘密为K，要求0≤K≤p-1，如果K>p-1则K需要分组，每组长度不能超过p-1。TC进行如下三步割秘密K：

1)TC选取2m-1阶多项式f(x)＝a_2m-1x^2m-1+a_2m-2x^2m-2+…+a₁x+K(mod p)；

2)TC选取一个随机数r，计算d＝g^r(mod p)，并公布d；

3)对每个u_i，TC计算b_i＝f(u_i)·(y_i)^r(mod p)和得到对应公开份额组(y_i,b_i,c_i)，并公布TC与CSP对应的公开份额，同时TC与CSP保留用户对应的公开份额组用于后续验证，但不公开；

3.对这三份秘密进行如下处理：

1)TC保留u₁,…,u_m对应的秘密，即s₁,…,s_m，称为托管秘密(ts,trustee-secret)；

2)TC将u_m+1,…,u_2m对应的秘密通过安全信道发给CSP，即s_m+1,…,s_2m，称为基秘密(bs,base-secret)；

3)TC将u_2m+1,…,u_3m对应的秘密通过安全信道发给用户U_i，即s_2m+1,…,s_3m，称为用户私秘密(us,user-secret)；

4)TC销毁除了自身保留的托管秘密ts之外的所有秘密；

5)TC与CSP更新文件对应的所有者列表，将该用户添加到有效用户列表中；

6)TC产生新时序t_x，将hash(t_x)值分别发送给CSP和用户。

二)文件上传与下载

4.系统初始化完成后，用户获取私秘密us与基秘密bs，恢复出密钥加密文件并上传；按照系统协议，用户在本次使用完密钥后，需销毁密钥K与基秘密bs，只在本地保存私秘密us；

5.当用户需要从云存储中取回文件时，用先向CSP发起下载请求；

6.CSP验证用户身份：身份认证有许多实现方式，这里提出一种基于同态加密的文件拥有权验证方式，同态的相关知识将在下一章中详细阐述。假设存在一种同态算法E_h满足E_h(a+b)＝E_h(a)·E_h(b)，用户凭系统中自身的唯一uid与自身持有的最新时序t_x，计算E_h(uid+t_x)，发送给CSP，CSP查询被访问文件对应的有效用户列表，分别计算E_h(uid)·E_h(t_x)，若存在相等的值，则为有效用户，将最新基秘密返回给用户；否则，用户不是文件的拥有者，时序更新机制在3.3.3节中阐述；

7.通过身份验证后，CSP允许用户下载该文件密文，并将基秘密中各秘密份额bs与最新时间戳哈希值hash(t_x)做乘运算，得到基秘密的最新秘密影子bs′，返回给用户；

8.用户得到CSP返回的bs′后，按同样方法计算出私秘密的影子us′，此时拥有基秘密与私秘密s′_m+1,…,s′_3m两份共2m个秘密份额的影子。分别使用公式(1)(2)(3)计算(y_i)^r、f′(u_i)与c′_i，使用c′_i验证u_i的有效性，成立则秘密有效。如果2m个子份额u_i都是合法的，那么可以使用公式(4)重构出影子多项式f′(x)，秘密K＝f′(0)·hash(t_x)^-1。

9.恢复出原秘密后，使用秘密中的密钥信息K对文件进行解密即可获取文件明文数据；同样的，在解密完成后，用户需销毁密钥K与基秘密影子bs′，只在本地保存私秘密us；

三)时序秘密更新

10.系统内所有秘密份额持有者都需要保存一个时间戳的哈希值，以用来产生秘密份额的影子。记最新的时间戳为t_x，TC对t_x进行单向hash运算得到hash(t_x)，使用公式(5)(6)更新公开值b′_i与c′_i，并将hash(t_x)发送给CSP和有效用户，得到新时间戳的各方，使用公式(7)(8)(9)计算s′_i、(y_i)^r与f′(u_i)，对应的原多项式也随之更变为影子多项式(10)，记为f′(x)。有效用户向CSP请求基秘密时，CSP返回基秘密的影子，即将原基秘密与hash(t_x)相乘所得值。用户使用基秘密影子，与私秘密影子，可恢复出影子多项式。秘密仍为f(0)。

11.TC更新时间戳时必须通知CSP与所有有效用户同时更新所持时间戳，所持时间戳不是最新的用户将不能通过用户验证请求到CSP的基秘密影子，即使该用户获得基秘密的影子，也不能恢复出正确的影子多项式，从而无法解密。产生新时间戳的时机如下：

1)每当系统中有用户退出时，需产生新时序哈希值t_x更新系统，以保证退出用户的秘密份额失效；

2)确定一个时间间隔t_p，选取不大于t_p的一个值t_p′，TC间隔t_p′产生一个新的时间戳，使用该时间戳的哈希值更新系统；每次时序更新操作完成后，重复选取与更新步骤，这样可以保证用户不能通过更新间隔推断文件是否被其他用户共享，增加系统安全性。

四)用户加入与用户退出

12.用户上传文件时，若TC判定用户上传的文件为新文件(云存储中没有相同文件)，则执行上述1)至11)步骤，判断重复方法在下一部分中提出。

13.用户上传文件时，若TC判定用户上传的文件不是新文件(云存储中有相同文件)，记该用户为U_j，对应的m个唯一id为u_j,u_j+1,…,u_j+m-1，则TC先向CSP请求基秘密，恢复出多项式和原秘密(同6)，然后使用多项式f按2)中方法计算出u_j,…,u_j+m-1对应的新秘密份额s_j,…,s_j+m-1，记作新用户私秘密us_j，将us_j发送给新加入的用户U_j，然后TC与CSP更新该文件的有效用户列表，将U_j添加到列表中，最后TC销毁除ts外的其余秘密；

14.用户删除文件时，若该用户为此文件的最后一位拥有者，则各方销毁秘密，CSP删除云存储中文件；

15.用户删除文件时，若该用户不是此文件的最后一位拥有者，该用户销毁自身秘密，CSP与TC更新有效用户列表，TC产生新时序并通知CSP与其余有效用户，以保证退出用户的秘密份额失效；

16.对于14)中提到的最后一位用户退出情况，CSP与TC可考虑采用带缓存的延迟删除策略，即最后一位用户退出时，不立即删除加密文件与秘密系统，改为间隔一定时间后，仍无新用户加入再做清理，这样可以减小同一用户再次上传该文件或不同用户上传相同文件时的系统开销。

按照上述过程，TC、CSP、用户分别保留了一份秘密(m个)，因为必须至少拥有2m个不同秘密份额才能恢复多项式以获得原秘密，于是在系统初始化完成后，单个用户、CSP和TC都不能单独解析出文件内容，当用户需要在云中取回自己的文件时，CSP验证用户身份，若在该文件的有效用户列表中，则返回基秘密影子bs′与加密数据，用户可以使用基秘密影子和自己的私秘密对加密数据完成解密操作。此处可以看到，一旦用户解密过数据后，如果原秘密是不再改变的，用户将能获得并永久保留原秘密，不过考虑到用户本身是文件的拥有者，而新用户加入系统对原来已经在系统中老用户是透明的，老用户并不知道自己的秘密是否可以解密其他用户的指定文件，因此用户持有自己文件的原秘密是合理的。

当政府或版权机构需要对文件内容进行核查时，在不需要用户参与的情况下，通过严格的合法渠道同时取得TC托管秘密份额ts和CSP保管的基秘密份额bs，就能恢复原秘密并解出文件内容。

第二部分、重复文件去除

记同态加密方法为E_h，+、·为其中两个运算操作。对任意明文数据a、b，满足E_h(a+b)＝E_h(a)·E_h(b)，则同态判重步骤如下：

i.用户U_i在本地计算要上传至云存储空间的文件F_i的唯一哈希值uhash_i，然后进行两次同态运算E_h(uid_i+uhash_i)与E_h(uhash_i+uid_i)，将运算结果其发给TC(或用户发送给CSP，由CSP转发给TC)。如果+运算满足交换律，那么这两个值是相等的，这里讨论更一般的情况。这两个数值中，E_h(uid_i+uhash_i)仅用于上传文件时进行判重操作，E_h(uhash_i+uid_i)则需保存在TC文件信息库中，作为每次文件上传时E_h(uid_i+uhash_i)的对比数据，即TC需储存每个用户每个文件的E_h(uhash+uid)值；

ii.当CSP向TC发出显式去重存储请求时，TC收到用户U_j的新文件F_j对应的E_h(uhash_j+uid_j)，由公式(11)(12)，

E_h(uid_i+uhash_i)·E_h(uid_j)＝E_h(uid_i+uhash_i+uid_j) (15)

E_h(uid_i)·E_h(uhash_j+uid_j)＝E_h(uid_i+uhash_j+uid_j) (16)

iii.TC进行比较计算，若发现等式(13)成立

则说明等式(14)成立，即uhash_i＝uhash_j，

这两个文件uhash相同，根据安全性前提中uhash算法的性质，可以判定这两个文件为同一文件。

iv.对于发现的重复文件，TC通过动态门限算法，将原有的SS(2m,n)扩充为SS(2m,n+m)，分配一份新秘密份额发送给U_j，扩充步骤如下：

1)记U_j对应的m个唯一id分别为u_j1,u_j2,…,u_jm，依次代入原多项式中计算f(u_jk)＝a_2m-1u_jk ^2m-1+a_2m-2u_jk ^2m-2+…+a₁u_jk+K(mod p)；

2)对每个秘密份额u_jk，TC计算b_jk＝f(u_jk)·(y_jk)^r(mod p)和得到对应私密份额s_jk＝(b_jk,c_jk)；

3)记新生成的用户私秘密s_j1,s_j2,…,s_jm为us_j，通过安全信道，TC将这部分us_j给发送给U_j，CSP将基秘密bs发送给U_j，并将U_j添加到有效用户列表，系统原有其他用户私秘密us、CSP基秘密bs和TC托管秘密ts不变。

出现重复文件时系统的工作流程如下：

文件去重操作中TC负责对不同文件进行uhash计算与对比，计算量非常大，文件数目越多，TC的计算负荷也越大。为了减轻TC文件判重操作的压力，可以采取的措施有：

(A).CSP不针对每个文件请求都进行去重存储请求。即一般文件CSP都进行普通存储，TC不需要进行重复判定与门限秘密扩充，而是按照简单系统处理；而对于一些特定的文件，比如大文件，或者近期上传行为较相似的文件(大小类似、上传时间相近)等，CSP才向TC发起显式去重存储请求，这个做法将大大减少文件判重请求的次数；

(B).TC只对过去一段时间内文件进行文件重复性判定。比如TC对过去一个月内文件的E_h(uhash+uid)信息进行保存，或只保存最近上传或更新的指定数目个文件的E_h(uhash+uid)值，每次重复判定只扫描库中文件，库中保存的数据定期清理，这样可以减小TC的遍历开销，这个做法将减少判重操作中对比的文件数，减小对比文件的开销，不过也可能导致冗余实例增多。

以上所述为本发明的较佳实施例而已，本发明不应该局限于该实施例和附图所公开的内容。凡是不脱离本发明所公开的精神下完成的等效或修改，都落入本发明保护的范围。

Claims

1.一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：简称本云存储系统，包括密钥共享系统和文件去重系统；将基于动态门限的访问控制与基于同态加密的文件去重删冗有机结合起来，应用到云存储中，是一个CSP可信的低冗余云存储方案；以文件为基本单位，每个不同文件需单独建立一个系统实例，各实例都拥有自己单独的共享秘密；其中，共享秘密指用来加解密文件的密钥信息，可以是对称密钥或者非对称密钥中的私钥；安全系统中主要参与的角色为用户、云服务提供商和三方可信机构；其中，用户，即User，可以有一至多位；云存储服务提供商，即CSP；可信机构，即TC；

具体的角色阐述如下：

表1 本云存储系统中的参数符号及其代表意义

本云存储系统假设以下前提条件成立：

C.存在一种唯一hash算法，称为uhash算法，该算法满足：

D.存在一种可用的安全同态加密算法E_h，满足E_h(a+b)＝E_h(a)·E_h(b)，其中a、b为明文，+、·为特定运算。

2.根据权利要求1所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：包括以下部分：

第一部分、构建云存储安全系统；

第二部分、同态去重机制，具体为：当用户向云存储发起上传文件请求时，系统开始进行文件判重操作。

3.根据权利要求2所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：第一部分中的秘密初始化负责生成和分发秘密，主要由TC完成；

文件上传与下载与解密主要是用户与CSP的交互；

用户加入与退出处理新用户加入和有效用户退出时系统对部分参数的新增与废除。

4.根据权利要求2所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：第二部分中的文件判重操作对用户是透明的，即用户不知道自己的文件是否与其他已在云中存储的其他文件相同，在一定程度上保护了用户的文件隐私，因为即使两位用户存储了相同文件，他们也互相不知道对方拥有该文件，否则，如果用户能知道自己上传的文件与其他用户相同，攻击者可能通过多次上传文件行为来揣测对比其他用户文件，以制造出与指定用户文件相同的文件，导致用户文件泄露。

5.根据权利要求1所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：操作过程如下：

步骤二、文件去重系统基于密钥共享系统进行重复文件判定，基于步骤一搭建的密钥共享系统，采用同态加密方式进行重复文件判定；

6.根据权利要求5所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：步骤一对每一个用户上传的新文件，TC采用基于Sun Shieh动态门限方案构造三份密钥，简称SS方案，并分发给TC、CSP以及用户各存储一份；

其中，TC存储的秘密称为托管秘密ts，CSP存储的秘密称为基秘密bs，用户存储的秘密称为私秘密us；TC需销毁除了自身保留的托管秘密之外的所有秘密。

7.根据权利要求5所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：步骤一，具体为：

步骤1.1 TC选取2m-1阶多项式f(x)＝a_2m-1x^2m-1+a_2m-2x^2m-2+…+a₁x+K(mod p)；TC选取一个随机数r，计算d＝g^r(mod p)，并公布d；

其中，mod为取模操作；

f′(u_i)＝b′_i[(y_i)^r]^-1＝b_ihash(t_x)[(y_i)^r]^-1(mod p) (2)

<mrow> <msub> <msup> <mi>c</mi> <mo>&prime;</mo> </msup> <mi>i</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msup> <mi>f</mi> <mo>&prime;</mo> </msup> <mrow> <mo>(</mo> <msub> <mi>u</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </mrow>

其中，公式(1)和公式(2)此两公式的输出为公式(3)的输入；

<mrow> <msup> <mi>f</mi> <mo>&prime;</mo> </msup> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&Sigma;</mo> <mrow> <msub> <mi>u</mi> <mi>i</mi> </msub> <mo>&Element;</mo> <mo>{</mo> <msub> <mi>u</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>}</mo> </mrow> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </munderover> <mrow> <mo>(</mo> <msup> <mi>f</mi> <mo>&prime;</mo> </msup> <mo>(</mo> <msub> <mi>u</mi> <mi>i</mi> </msub> <mo>)</mo> <mo>&CenterDot;</mo> <msubsup> <mi>&Pi;</mi> <mrow> <mi>j</mi> <mo>&Element;</mo> <mrow> <mo>{</mo> <msub> <mi>u</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>}</mo> </mrow> <mo>,</mo> <mi>j</mi> <mo>&NotEqual;</mo> <msub> <mi>u</mi> <mi>i</mi> </msub> </mrow> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msubsup> <mfrac> <mrow> <mi>x</mi> <mo>-</mo> <mi>j</mi> </mrow> <mrow> <msub> <mi>u</mi> <mi>i</mi> </msub> <mo>-</mo> <mi>j</mi> </mrow> </mfrac> <mo>)</mo> </mrow> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </mrow> 3

其中，f′(x)为重构的影子多项式，秘密K＝f′(0)·hash(t_x)^-1。

8.根据权利要求5所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：步骤一搭建的密钥更新系统的时序更新机制特征如下：

b′_i＝b_i·hash(t_x)(mod p) (5)

<mrow> <msub> <msup> <mi>c</mi> <mo>&prime;</mo> </msup> <mi>i</mi> </msub> <mo>=</mo> <msup> <msub> <mi>c</mi> <mi>i</mi> </msub> <mrow> <mi>h</mi> <mi>a</mi> <mi>s</mi> <mi>h</mi> <mrow> <mo>(</mo> <msub> <mi>t</mi> <mi>x</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mo>=</mo> <msup> <mi>g</mi> <mrow> <mi>f</mi> <mrow> <mo>(</mo> <msub> <mi>u</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mo>&CenterDot;</mo> <mi>h</mi> <mi>a</mi> <mi>s</mi> <mi>h</mi> <mrow> <mo>(</mo> <msub> <mi>t</mi> <mi>x</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </mrow>

s′_i＝s_i+hash(t_x)(mod p) (7)

<mrow> <msup> <mrow> <mo>(</mo> <msub> <mi>y</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mi>r</mi> </msup> <mo>=</mo> <msup> <mi>d</mi> <msub> <mi>s</mi> <mi>i</mi> </msub> </msup> <mo>=</mo> <msup> <mi>d</mi> <mrow> <msub> <msup> <mi>s</mi> <mo>&prime;</mo> </msup> <mi>i</mi> </msub> <mo>-</mo> <mi>h</mi> <mi>a</mi> <mi>s</mi> <mi>h</mi> <mrow> <mo>(</mo> <msub> <mi>t</mi> <mi>x</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mo>=</mo> <msup> <mi>d</mi> <mrow> <msub> <msup> <mi>s</mi> <mo>&prime;</mo> </msup> <mi>i</mi> </msub> </mrow> </msup> <mo>&CenterDot;</mo> <msup> <mrow> <mo>(</mo> <msup> <mi>d</mi> <mrow> <mi>h</mi> <mi>a</mi> <mi>s</mi> <mi>h</mi> <mrow> <mo>(</mo> <msub> <mi>t</mi> <mi>x</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mo>)</mo> </mrow> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msup> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </mrow>

f′(u_i)＝f(u_i)·hash(t_x)＝b_ix·[(y_i)^r]^-1(mod p) (9)

<mrow> <mtable> <mtr> <mtd> <mrow> <msup> <mi>f</mi> <mo>&prime;</mo> </msup> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>=</mo> <mi>f</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> <mo>&CenterDot;</mo> <mi>h</mi> <mi>a</mi> <mi>s</mi> <mi>h</mi> <mrow> <mo>(</mo> <msub> <mi>t</mi> <mi>x</mi> </msub> <mo>)</mo> </mrow> <mrow> <mo>(</mo> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mrow> <mo>(</mo> <mrow> <msub> <mi>a</mi> <mrow> <mn>2</mn> <mi>m</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <msup> <mi>x</mi> <mrow> <mn>2</mn> <mi>m</mi> <mo>-</mo> <mn>1</mn> </mrow> </msup> <mo>+</mo> <msub> <mi>a</mi> <mrow> <mi>m</mi> <mo>-</mo> <mn>2</mn> </mrow> </msub> <msup> <mi>x</mi> <mrow> <mi>m</mi> <mo>-</mo> <mn>2</mn> </mrow> </msup> <mo>+</mo> <mn>...</mn> <mo>+</mo> <msub> <mi>a</mi> <mn>1</mn> </msub> <mi>x</mi> <mo>+</mo> <mi>K</mi> </mrow> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>&CenterDot;</mo> <mi>h</mi> <mi>a</mi> <mi>s</mi> <mi>h</mi> <mrow> <mo>(</mo> <msub> <mi>t</mi> <mi>x</mi> </msub> <mo>)</mo> </mrow> <mrow> <mo>(</mo> <mrow> <mi>mod</mi> <mi> </mi> <mi>p</mi> </mrow> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> </mtable> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>10</mn> <mo>)</mo> </mrow> </mrow>

有效用户向CSP请求基秘密时，CSP返回基秘密的影子，即将原基秘密与hash(t_x)相乘所得值；用户使用基秘密影子，与私秘密影子，可恢复出影子多项式，秘密仍为f(0)。

9.根据权利要求5所述的一种基于动态门限密码支持三方审核与文件去重的云存储系统，其特征在于：步骤二具体的工作流程具体为：

步骤2.2 TC收到用户U_j的新文件F_j对应的E_h(uhash_j+uid_j)时，因为