CN108377237A - 用于云端密文存储的具有所有权管理的数据去重系统及其数据去重方法 - Google Patents

Abstract

本发明公开一种用于云端密文存储的具有所有权管理的数据去重系统及其数据去重方法，包括安装、数据上传、文件级所有权管理、数据块级所有权管理、数据下载。本发明支持跨用户文件级数据去重以及单用户数据块级数据去重，并且具有安全性、高效性，可抵制针对跨用户文件级数据去重的污染攻击和数据伪造攻击。另外，本发明中的延迟更新策略在保证前向和后向保密性的同时，降低了跨用户文件级数据去重的数据更新频率，降低了系统的计算开销。本发明的用户辅助收敛加密方法能够实现单用户数据块级数据去重。

Description

用于云端密文存储的具有所有权管理的数据去重系统及其数 据去重方法

技术领域

本发明涉及一种数据去重技术，具体涉及一种用于云端密文存储的具有所有权管理的数据去重系统及其数据去重方法。

背景技术

随着云计算技术的发展和普及，由于其巨大的灵活性和经济性，促使企业和个人将数据外包给云服务商。互联网数据中心(IDC)的分析报告显示，到2020 年，世界的数据总量将达到44ZB。随着云服务器中数据总量的飞速增长，迫切的需要发展新的技术来高效地使用存储空间和网络带宽。事实上，数据去重技术已经引起了工业界和学术界的极大关注。例如，Dropbox，SpiderOak，GoogleDrive 已经采用数据去重技术来减少存储空间的消耗，并采用客户端侧的数据去重来减少网络带宽的开销。一方面，数据去重技术利用数据的相似性(文件级/数据块级)来识别相同数据，对于相同的数据，云服务器中只存储一个备份，这样可以节省存储空间。另一方面，从安全性的角度考虑，跨用户的文件分享为数据去重技术带来新的挑战。

基于隐私性和机密性的考虑，数据拥有者倾向于在上传数据到云服务器之前利用自己的密钥对数据进行加密。由于相同的文件经过不同的密钥加密后将得到不同的密文，因此上述加密方式使得跨用户的数据去重技术变得不可行。为解决以上问题，可采用收敛加密(CE)算法。在收敛加密算法中，采用数据的哈希值作为加密密钥，相同的数据经过加密就可得到相同的密文，因此可以进行数据去重操作。然而，这一方案在应对暴力破解攻击和标签一致性方面存在缺陷。为解决这一问题，可采用消息锁(MLE)和弹性泄露去重方案。

在跨用户数据去重研究中，动态所有权管理是另一个需要考虑的问题。数据拥有者可能会请求云服务器删除或者修改数据。当云服务商响应用户的请求以后，被取消的数据拥有者将不再拥有访问该数据的权限(前向保密)。另外，如果数据拥有者上传的文件已经存在于云服务器中，在被授予数据所有权以后，数据拥有者将具备访问该数据的权限(后向保密)。为实现上述安全需求，国内外研究者已经做出大量研究，普遍采用的是在跨用户文件级数据去重过程中采用重加密技术来实现动态所有权管理。然而，所有权的变更极为频繁，这将造成巨大的计算开销。另外，在基于CE的数据去重方案中，加密密钥是在初始阶段确切地生成的，而且在生成以后很少变更。因此，在跨用户数据去重过程中，如何高效安全地实现所有权管理是一个亟待解决的问题。

另外，在动态所有权管理过程中，为抵制对于标签一致性的污染攻击，有效数据的所有者应下载对应的密文来计算随机化收敛密钥，并检查标签。因为对于用户端随机收敛加密(RCE)，云服务器可能不具备检查密文与对应明文一致性的能力。这一过程将导致巨大的通信开销(上传/下载密文)和计算开销(加密/ 解密操作)。进一步地，不诚实的只拥有数据标签的数据拥有者可能会骗取服务器的信任，这将造成重复伪造攻击或者恶意生成密文替代攻击。为解决这一问题，基于布隆过滤器的所有权证明(PoW)方案是一个很好的选择，相比于已有方案，该方案在客户端和云端都更加高效。然而，在动态所有权管理过程中，被取消的数据拥有者会存储所有有效的标签证明，进而在没有对应文件的情况下重新获取数据所有权。为抵制这种重加入攻击，需要重新设计PoW方案以支持更新。因此，在密文数据去重过程中，如何设计安全高效的交互所有权认证方案来支持所有权管理是另一个需要应对的挑战。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种用于云端密文存储的具有所有权管理的数据去重系统及其数据去重方法。

技术方案：本发明的用于云端密文存储的具有所有权管理的数据去重系统，包括数据拥有者和云服务商，所述数据拥有者将数据外包给云服务商GSP；云服务商GSP为数据拥有者提供云存储服务，云存储服务包含云服务器和云存储器，如有必要，云服务器对数据拥有者外包的数据进行数据去重，然后将去重后的数据存储于云存储器。

当所述数据拥有者请求接入云服务商，首先云服务器验证数据拥有者的密码和证书；验证成功后数据拥有者加密数据，并将加密后的数据和对应的索引信息上传到云服务商；云服务器中存有数据所有权列表，云服务器对存储的数据提供访问控制，并基于所有权列表对数据进行动态所有权管理，数据所有权列表包括数据标签和数据拥有者的身份标识。

本发明还公开了一种用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，包括以下步骤：

(1)安装：云服务商CSP执行Setup(1^λ)算法，其中输入为安全参数λ，输出为公共参数P；采用哈希函数并采用AES-128算法进行 Enc_k(·)和Dec_k(·)(加密和解密)操作，密钥为k；

(2)数据上传，即数据所有者μ_i上传文件F_i到CSP：首先，μ_i使用 F-KeyGen(P,F_i)算法得到密钥FK_i＝H(P,F_i)，P是公共参数；接着μ_i计算标签 FT_i←H(P,FK_i)；然后数据所有者μ_i发送upload||μ_i||FT_i到CSP；当CSP接收到上传的信息，CSP检查标签信息，并根据检查结果执行不同的操作；

(3)文件级所有权管理：对于跨用户文件级数据去重，CSP通过 ReEncrypt(GK,FC)算法，利用所有权群组信息对密文进行重加密；在此过程中对密文和群组成员进行更新；

(4)数据块级所有权管理，包括数据块删除和数据块修改；

(5)数据下载。

进一步的，所述步骤(2)的详细过程如下：

(2.1)如果标签FT_i不存在于标签索引中，那么数据所有者μ_i是原始上传者，此时对文件F_i执行跨用户文件级收敛加密或者单用户数据块级收敛加密；

(2.1.1)如果对文件F_i执行跨用户文件级收敛加密，则数据所有者μ_i使用 F-Encrypt(P,FK,F)算法加密文件F_i：μ_i选择一个随机数加密密钥L←{0,1}^k(λ)，其中k(λ)是根据λ决定加密秘钥长度的算法；其中，μ_i加密数据和加密密钥为接着μ_i发送到CSP；然后云服务器插入FT_i到标签索引，并将存储到云存储器；并且，云服务器为FT_i创建一个群组成员列表，并在μ_i删除F_i而只保留FK_i之后将μ_i插入该列表；然后，CSP通过ReEncrypt(GK,FC)算法重加密得到以此实现访问控制；具体流程在文件级所有权管理部分介绍；进一步地，为保证PoW，CSP需要建立基于布隆过滤器的PoW；

(2.1.2)如果对文件F_i执行单用户数据块级收敛加密，则数据拥有者μ_i首先将文件F_i均分成若干数据块F[i]并执行B-KeyGen(P,F[i])算法来计算数据块级密钥BK_i，步骤如下：μ_i计算数据块B_i＝H(P,F[i])；同时μ_i计算数据块级密钥以及数据块标签BT_i＝H(P,B_i)，其中是μ_i的主密钥；生成BT_i之后，μ_i发送BT_i到CSP，用于查重；最后μ_i更新非重复加密数据块BC_i到CSP，其中BC_i使用算法B-Encrypt(P,BK_i,F[i])经由计算得到；

(2.2)如果FT_i存在于标签索引中，那么μ_i是非原始上传者，则：首先，云服务商CSP返回给μ_i；当μ_i接收到反馈，在μ_i和CSP之间执行PoW确认；通过PoW确认后，CSP更新所有权群组密钥，并对密文进行重加密，以此实现动态所有权管理；为减少更新频率，降低计算开销，基于延迟更新策略，由非原始上传者为FT_i创建更新列表。

进一步的，所述步骤(3)的详细过程如下

(3.1)对于标签FT_i，为实现访问权限控制，云服务商CSP选择对应的所有权群组密钥GK_i，采用算法ReEncrypt(GK,FC)，经由流程来加密

(3.2)CSP采用KEK树来实现所有权群组密钥分配：CSP选取KEK树中最小的覆盖集，来覆盖所有与所有权群组G_i中数据所有者有关的叶结点；其中，使用KEK(G_i)表示包含所有G_i内结点的集合；

(3.3)选取结点以后，CSP通过密钥来加密GK_i；

(3.4)最后，CSP存储

进一步的，所述步骤(3)中密文和群组成员进行更新的过程为：

(A)非原始上传：当数据拥有者μ_i作为非原始上传者上传文件F_i到云服务商CSP，在通过PoW认证以后，CSP添加μ_i到G_i，其中G_i是所有权群组，并通过延迟更新策略更新群组密钥GK_i，重加密密文，步骤如下：

为减少频繁更新操作造成的计算开销，通过新加入的非原始上传者μ_i为FT_i创建更新列表；在添加μ_i到FT_i的更新列表以后，并不立即更新群组密钥GK_i；当μ_i发送FT_i到CSP来执行下载操作，CSP首先检查FT_i的更新列表；如果μ_i存在于更新列表中，CSP将执行群组密钥更新以及重加密操作；然后，CSP清空更新列表；通过这种方式，可以在保证后向保密性的同时，减少群组更新操作的频率；密钥更新和群组加密的具体流程如下：

4)CSP使用GK_i解密密文得到进一步地，选取随机所有权群组密钥GK_i′，并执行算法ReEncrypt(GK,FC)实现对重加密，得到

5)CSP选取能覆盖所有与G_i′中用户有关叶结点的最小覆盖集中的KEK树结点，命名为KEK(G_i′)，并使用如下方程计算GK_i′：

6)CSP清空FT_i的更新列表，然后CSP存储

(B)数据删除：当μ_i请求从云存储空间中删除文件F_i，μ_i发送数据删除请求信息delete||μ_i||FT_i到CSP；进一步地，CSP执行如下步骤：

3)如果μ_i∈G_i，其中G_i是所有权群组，CSP从G_i中删除μ_i，并使用密钥GK_i解密得到进一步地，选取新的群组密钥GK_i′并执行算法 ReEncrypt(GK,FC)重加密得到为保证前向保密性，采用方程更新所有权群组密钥GK_i′；另外，为抵制重加入攻击，CSP要求下一个非原始上传者采用一个新的随机数R'创建新的基于布隆过滤器的PoW；

4)否则，不采取任何操作；

(C)数据修改：当μ_i请求修改文件F_i得到F_j，首先加密F_j得到密文并使用算法F-Encrypt(P,FK,F)生成对应的标签FT_j；进一步地，μ_i发送数据修改请求modify||μ_i||FT_i||FT_j到CSP；进一步地，CSP执行如下操作：

3)CSP检查对于标签FT_i公式μ_i∈G_i是否成立；如果成立，CSP执行数据删除操作，从G_i中删除μ_i，并立即更新所有权群组信息和密文；

4)CSP对FT_j执行更新操作；如果FT_j存在于标签索引中，意味着μ_i是非原始上传者，因此CSP对其执行非原始上传操作；否则，μ_i是原始上传者，CSP 对其执行前文所述的对应操作。

进一步的，所述步骤(4)中数据块删除的具体方法为：当μ_i请求从云存储器中删除数据F_i时，μ_i发送数据数据删除请求delete||μ_i||FT_i到CSP；然后CSP 执行如下流程：

4)CSP寻找所有属于FT_i的数据块标签BT_i；

5)对于每一个BT_i，CSP检查其对应的数据块密文BC_i计数，并减1；

6)如果存在计数为0，意味着μ_i没有文件包含BC_i，CSP将删除其对应的 BC_i；

所述步骤(4)中数据块修改的具体方法为：当μ_i请求修改数据F_i为F_j，μ_i加密F_j为FC_j，并生成对应的标签FT_j；然后μ_i发送数据修改请求 modify||μ_i||FT_i||FT_j到CSP；接着CSP执行如下流程：

1)首先，CSP执行数据块删除操作，删除F_i；

2)CSP为FT_j执行更新操作；如果FT_j存在于文件级标签索引中，这意味着μ_i是非原始上传者，因此，CSP将执行非原始上传操作；否则，CSP将执行单用户数据块级数据去重操作；

3)最后，μ_i更新FT_j中非重复的数据块到CSP。

进一步的，所述步骤(5)中数据下载的具体方法为：

当CSP接收到μ_i发送的数据下载请求download||μ_i||FT_i，首先检查μ_i的密码和证书，在通过身份验证以后，CSP分别检查在文件级和数据块级数据去重情况下，FT_i是否存在于标签索引中；不同情况下，CSP执行的具体操如下：

i、如果FT_i存在于文件级标签索引中，CSP将检查FT_i的更新列表：如果μ_i在更新列表中，意味着μ_i是非原始上传者，此时群组密钥尚未更新，因此，CSP 将更新群组密钥，并按照非原始上传操作的步骤对密文重加密，最后，返回否则，返回当μ_i接收到CSP发送的密文μ_i计算GK_i'如下：

计算得到GK_i′之后，μ_i通过F-DeCrypt(GK,FK,FC′)算法解密密文，并以如下方式获取文件数据：

此处不执行标签验证操作，因为在数据上传过程中，采用了PoW来保证标签一致性。

ii、如果FT_i存在于数据块级标签索引中，CSP将所有属于FT_i的数据块BT_i||BC_i||EBK_i返回给μ_i；当μ_i接收到消息，μ_i使用解密EBK_i得到BK_i，并利用B-DeCrypt(P,K,BC_i)算法计算明文F[i]。

有益效果：与现有技术相比，本发明具有以下优点：

(1)本发明采用基于布隆过滤器的所有权认证方案，来抵制跨用户文件级数据去重过程中的数据污染攻击和重复伪造攻击。

(2)本方案采用延迟更新策略，在保证了跨用户文件级数据去重过程中前向保密性和后向保密性的同时，极大降低了更新频率，并降低了计算开销。

(3)本发明采用用户辅助收敛加密方案，实现单用户数据块级数据去重。

(4)本发明采用PoW验证算法，在满足数据去重过程中安全性要求的同时，降低了网络带宽的消耗。

附图说明

图1是本发明实施例中的系统结构图；

图2是本发明中所有权群组密钥分布KEK树示意图；

图3是本发明中跨用户文件级数据去重情形下，用于群组密钥更新操作的延迟更新策略示意图；

图4是不同方案在收敛密钥生成阶段的计算负担对比图；

图5是不同方案在数据上传阶段的计算负担对比图；

图6是不同方案在所有权更新操作的计算负担对比图；

图7是不同方案在数据下载阶段的计算负担对比图；

图8是不同方案的总体计算负担对比图；

图9是不同方案的上传/下载速度对比图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

如图1所示，本发明的用于云端密文存储的具有所有权管理的数据去重系统中包括两个实体：数据拥有者和云服务商(CSP)。

·数据拥有者：数据拥有者将数据外包给云服务商。当数据拥有者请求接入云服务商，首先需要验证其密码和证书。然后，数据拥有者加密数据，并将加密后的数据和对应的索引信息(标签)上传到云服务商。如果上传的数据不存在于云服务器中，那么，该上传者为原始上传者。相反地，如果上传的数据已经存在于云服务器中，那么，该上传者为非原始上传者。在本发明中，为节省网络带宽，非原始上传者在完成所有权认证以后，不向云服务器上传任何数据。

·云服务商：云服务商提供云存储服务。包含云服务器和云存储器。如有必要，云服务器对数据拥有者外包的数据进行数据去重，然后将去重后的数据存储于云存储器。云服务器通过密码和证书来判断数据拥有者的身份，实现访问控制。另外，云服务器中存有数据所有权列表(由数据标签和数据拥有者的身份标识两部分组成)。云服务器对存储的数据提供访问控制，并基于所有权列表对数据进行动态所有权管理。本发明为降低跨用户文件级数据去重的更新频率，采用延迟更新策略。

另外，本发明中所涉及系统支持跨用户文件级数据去重和单用户数据块级数据去重两种情形。在上传数据之前，数据拥有者首先进行跨用户文件级去重检查。如果文件已存在于云存储器中，数据拥有者执行跨用户文件级数据去重。否则，数据拥有者被选为原始上传者，或者进行单用户数据块级数据去重，以确定要上传的数据。

本发明采用如下语法的算法式来定义去重方法：

·P←Setup(1^λ)：该算法由云服务商执行，输入参数为1^λ，返回公共参数P。

·FK←F-KeyGen(P,F)：该算法由数据拥有者执行。输入公共参数P和更新文件F，输出参数为FK。

·BK_i←B-KeyGen(P,F[i])：该算法由数据拥有者执行。输入为公共参数P， F的第i个升级文件块。输出参数为文件块衍生密钥BK_i。

·FC←F-Encrypt(P,FK,F)：该算法是一个随机化算法，输入参数：公共参数P，文件衍生密钥FK，文件F。输出文件F对应的密文FC，FC包含加密后的文件及其对应的标签FT(索引)。

·BC_i←B-Encrypt(P,BK_i,F[i])：该算法是一个随机化算法。输入参数：公共参数P，文件块衍生密钥BK_i，文件块F[i]。输出参数：数据块密文BC_i，BC_i包含加密后的文件以及对应的标签(索引)BT_i。

·FC′←ReEncrypt(GK,FC)：该重加密算法由CSP执行，用来实现访问控制。输入参数：密文FC，群组G的所有权组密钥GK。输出参数：重加密密文 FC′。

·F←F-DeCrypt(GK,FK,FC′)：该加密算法由数据拥有者执行。输入参数：密文FC′，文件衍生密钥FK，所有权组密钥GK。输出参数：文件F。当且仅当FK由F衍生，并且GK没有被F的所有权组G取消。

·F[i]←B-DeCrypt(P,K,BC_i)：该解密算法由数据拥有者执行。输入参数：密文BC_i，公共参数P，数据拥有者的主密钥K。输出参数：文件块F[i]。当且仅当BC_i由F[i]衍生，并且BC_i属于拥有主密钥的K数据拥有者。

总体来说，本发明中当数据拥有者上传其文件后，首先，执行跨用户文件级数据去重。对于每一个文件，数据拥有者利用RCE算法计算文件级密钥和文件标签；然后，数据拥有者发送文件标签到CSP，CSP执行数据去重并将结果返回给数据拥有者。注意：为保证标签一致性，在数据拥有者和CSP之间执行所有权证明(PoW)过程。如果该文件不存在于云存储器中，数据拥有者将执行单用户数据块级数据去重，该操作将文件分成若干数据块，数据块收敛密钥和数据块的标签由单用户收敛加密算法(CE)计算得到。进一步地，数据拥有者发送数据块标签到CSP。CSP检查该数据块标签是否存在于该数据拥有者的标签索引中，并返回结果。进一步地，数据拥有者加密非重复的数据块，并将其发送给CSP。同时，需要考虑动态所有权管理问题，并在保证安全的前提下，采用一种延迟更新策略来降低更新频率。

本发明的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，具体过程为：

(1)安装：CSP执行Setup(1^λ)算法。输入：安全参数λ。输出：系统参数P。采用哈希函数：例如SHA-256，并采用AES-128算法作为 Enc_k(·)/Dec_k(·)(加密/解密)操作，其中密钥为k。

(2)数据上传：假定数据拥有者μ_i想要上传文件F_i到CSP。首先，μ_i使用 F-KeyGen(P,F_i)算法得到FK_i＝H(P,F_i)。进一步地，μ_i计算标签 FT_i←H(P,FK_i)。进一步地，数据拥有者μ_i发送upload||μ_i||FT_i到CSP。当CSP 接收到上传的信息，CSP检查标签信息，并根据检查结果执行不同的操作。具体分析如下所述：

(2.1)如果FT_i不存在于标签索引中，那么μ_i是原始上传者。这种情况下，可对F_i执行跨用户文件级收敛加密或者单用户数据块级收敛加密。

1)如果对F_i执行跨用户文件级收敛加密，μ_i使用F-Encrypt(P,FK,F)算法加密F_i：μ_i选择一个随机数加密密钥L←{0,1}^k(λ)，其中k(λ)是根据λ决定加密秘钥长度的算法。进一步地，μ_i加密数据和加密密钥： 最后，μ_i发送到CSP。

进一步地，云服务器插入FT_i到标签索引，并将存储到云存储器。并且，云服务器为FT_i创建一个群组成员列表，并在μ_i删除F_i而只保留FK_i之后将μ_i插入该列表。然后，CSP通过ReEncrypt(GK,FC)算法重加密得到以此实现访问控制。具体流程在文件级所有权管理部分介绍。进一步地，为保证PoW， CSP需要如算法1所示建立基于布隆过滤器的PoW。

2)如果对F_i执行单用户数据块级收敛加密，μ_i首先将F_i均分成若干数据块 F[i]并执行B-KeyGen(P,F[i])算法来计算BK_i，步骤如下：μ_i计算B_i＝H(P,F[i])；进一步地，μ_i计算数据块级密钥以及数据块标签 BT_i＝H(P,B_i)，其中是μ_i的主密钥；生成BT_i之后，μ_i发送BT_i到CSP，用于查重；最后μ_i更新非重复加密数据块BC_i到CSP，其中BC_i使用算法 B-Encrypt(P,BK_i,F[i])经由计算得到。

(2.2)如果FT_i存在于标签索引中，那么，μ_i是非原始上传者。CSP返回给μ_i。当μ_i接收到反馈，在μ_i和CSP之间执行PoW确认，具体方法如算法2。通过PoW确认后，CSP更新所有权群组密钥，并对密文进行重加密，以此实现动态所有权管理。为减少更新频率，降低计算开销，基于延迟更新策略，由非原始上传者为FT_i创建更新列表。因此，通过使用延迟更新策略，可使动态所有权管理过程中的计算开销降到最低，并且保证安全需求。具体操作在下一部分介绍。

(3)文件级所有权管理：为实现动态所有权管理，对于跨用户文件级数据去重，CSP通过ReEncrypt(GK,FC)算法，利用所有权群组信息对密文进行重加密。算法实施如下：

1)对于标签FT_i，为实现访问权限控制，CSP选择对应的所有权群组密钥GK_i，采用算法ReEncrypt(GK,FC)，经由流程来加密

2)CSP采用KEK树来实现所有权群组密钥分配。如图2所示，CSP选取 KEK树中最小的覆盖集，来覆盖所有与G_i中数据拥有者有关的叶结点。其中，使用KEK(G_i)表示包含所有G_i内结点的集合。

3)选取结点以后，CSP通过密钥来加密GK_i。

4)最后，CSP存储

在动态所有权管理过程中，为保证数据转发和回退的安全，需要对密文和群组成员进行更新。不同情形下，具体操作流程如下：

非原始上传：当μ_i作为非原始上传者上传F_i到CSP，在通过PoW认证以后， CSP添加μ_i到G_i，并通过延迟更新策略更新群组密钥GK_i，并对密文进行重加密，步骤如下：

如图3所示，为降低频繁更新操作造成的计算开销，通过新加入的非原始上传者μ_i为FT_i创建更新列表。在添加μ_i到FT_i的更新列表以后，并不立即更新群组密钥GK_i。当μ_i发送FT_i到CSP来执行下载操作，CSP首先检查FT_i的更新列表。如果μ_i存在于更新列表中，CSP将执行群组密钥更新操作和重加密操作。然后，CSP清空更新列表。通过这种方式，可以在保证后向保密性的同时，减少群组更新操作的频率。密钥更新和群组加密的具体流程如下：

7)CSP使用GK_i解密密文得到选取一个随机所有权群组密钥 GK_i′，并执行算法ReEncrypt(GK,FC)实现对重加密，得到

8)CSP选取能覆盖所有与G_i′中用户有关叶结点的最小覆盖集中的KEK树结点，命名为KEK(G_i′)，并使用如下方程计算GK_i′：

9)CSP清空FT_i的更新列表。然后CSP存储

数据删除：当μ_i想要从云存储空间中删除文件F_i，μ_i发送数据删除请求 delete||μ_i||FT_i到CSP。进一步地，CSP执行如下操作：

5)如果μ_i∈G_i，CSP从G_i中删除μ_i，并使用密钥GK_i解密得到进一步地，选取新的群组密钥GK_i′并执行算法ReEncrypt(GK,FC)重加密得到为保证前向保密性，采用方程更新所有权群组密钥GK_i′。另外，为抵制重加入攻击，CSP要求下一个非原始上传者利用算法1的方法，采用一个新的随机数R′创建新的基于布隆过滤器的PoW。

6)否则，不采取任何操作。

数据修改：当μ_i想要修改文件F_i为F_j，首先加密F_j得到并使用算法 F-Encrypt(P,FK,F)生成对应的标签FT_j。进一步地，μ_i发送数据修改请求 modify||μ_i||FT_i||FT_j到CSP。进一步地，CSP执行如下操作：

5)CSP检查对于FT_i，μ_i∈G_i是否成立；如果成立，CSP执行数据删除操作，从G_i中删除μ_i，并立即更新所有权群组信息和密文。

6)进一步地，CSP对FT_j执行更新操作。如果FT_j存在于标签索引中，意味着μ_i是非原始上传者，因此CSP对其执行非原始上传操作。否则，μ_i是原始上传者，CSP对其执行前文所述的对应操作。

(4)数据块级所有权管理：在动态所有权管理中，数据块加密密钥应与文件标签无关，因为单用户数据块级更新会改变文件级密钥。不同于跨用户数据块级数据去重的是，单用户数据去重中，数据块只属于单用户μ_i，这使得所有权管理更加的简单。因此，使用主密钥来加密数据块密钥并将加密后的数据块密钥EBK_i与数据块密文BC_i存储于云存储器中，格式为： BT_i||BC_i||EBK_i。单用户数据块级数据去重中动态用户管理详细流程如下：

数据块删除：当μ_i想要从云存储器中删除数据F_i时，μ_i发送数据数据删除请求delete||μ_i||FT_i到CSP。进一步地，CSP执行如下流程：

7)CSP寻找所有属于FT_i的数据块标签BT_i。

8)对于每一个BT_i，CSP检查其对应的BC_i计数，并减1。

9)进一步地，如果存在计数为0，意味着，μ_i没有文件包含BC_i，CSP将删除其对应的BC_i。

数据块修改：当μ_i请求修改数据F_i为F_j，μ_i加密F_j为FC_j，并生成对应的标签FT_j。进一步地，μ_i发送数据修改请求modify||μ_i||FT_i||FT_j到CSP。进一步地，CSP执行如下流程：

1)首先，CSP执行数据块删除操作，删除F_i。

2)进一步地，CSP为FT_j执行更新操作。如果FT_j存在于文件级标签索引中，这意味着μ_i是非原始上传者，因此，CSP将执行非原始上传操作。否则，CSP 将执行单用户数据块级数据去重操作。最后，μ_i更新FT_j中非重复的数据块到 CSP。

(5)数据下载：当CSP接收到μ_i发送的数据下载请求download||μ_i||FT_i，首先检查μ_i的密码和证书。在通过身份验证以后，CSP分别检查在文件级和数据块级数据去重情况下，FT_i是否存在于标签索引中。不同情况下，CSP执行的具体操作详细叙述如下：

·如果FT_i存在于文件级标签索引中，CSP将检查FT_i的更新列表。如果μ_i在更新列表中，意味着μ_i是非原始上传者，此时群组密钥尚未更新。因此，CSP 将更新群组密钥，并按照非原始上传操作的步骤对密文重加密。最后，返回否则，返回当μ_i接收到CSP发送的密文μ_i计算GK_i'如下：

计算得到GK_i′之后，μ_i通过F-DeCrypt(GK,FK,FC′)算法解密密文，并以如下方式获取文件数据：

此处不执行标签验证操作，因为在数据上传过程中，采用了PoW来保证标签一致性。

·如果FT_i存在于数据块级标签索引中，CSP将所有属于FT_i的数据块 BT_i||BC_i||EBK_i返回给μ_i。当μ_i接收到消息，μ_i使用解密EBK_i得到BK_i，并利用B-DeCrypt(P,K,BC_i)算法计算明文F[i]。

实施例：

为评估本发明的性能表现，以如下实例实施与现有安全去重方案在不同阶段的表现进行对比。

在本实施例中，设定参数如下：b＝16，s＝100，l＝8，n＝16；文件大小分别为16MB、64MB、256MB、1024MB。

实施例性能评估如下：

1)收敛密钥生成：如图4所示，该部分评估不同方案在生成收敛加密密钥阶段的计算开销。可以看出，密钥生成时间随着文件大小呈线性增长。

2)数据上传：图5(a)是对原始上传者在数据上传阶段计算开销的评估。可以看出，本发明的计算开销优于其他方案，并且支持单用户数据块级数据去重。

另外，图5(b)是对非原始上传者在数据上传阶段计算开销的评估。相比于图5(a)，现有技术的计算开销与原始上传者计算开销基本相同。差别在于，由于本发明去除了PoW确认过程中的哈希操作，因而大大降低了计算开销。

3)所有权管理：为演示本方案涉及的延时更新策略的效率，采用非原始上传者和下载操作，这将引起所有权更新操作和对应的计算开销。在实施过程中，假定每一个所有权群组的所有权更新操作是独立同分布于泊松分布。实施过程中，文件大小从640MB到1024MB。如图6所示，对于不同方案，所有权更新操作过程中耗时从14924ms到24123.6ms。如图可以看到，随着文件大小的增加以及数据下载请求的增长，本发明的效率明显优于其他方案。

4)数据下载：图7显示了数据下载阶段计算开销对比情况。由于本发明采用了PoW，避免了数据下载阶段的标签验证，因而计算开销低于其他现有技术方案。另外，由于哈希操作和AES操作的计算开销基本相同，随着s的增加，本发明的计算开销基本保持不变。

5)总体计算开销：图8显示了不同方案的总体计算开销。如图8所示，总体计算开销趋势上是随着文件大小的增长呈线性增长。对于文件大小为16MB、 64MB、256MB、1024MB四种情况，MLE方案、DupLESS方案、SecDup方案的文件级数据去重消耗时间大致相同，大约为626.9ms、2484.5ms、10004.7ms、 39900.1ms。对于大小相同的文件，Xu等人的方案计算开销是MLE方案的80％；对于本发明，计算开销是MLE方案的109.6％，高出的计算开销是由PoW过程和所有权管理产生。

注意：由于本发明削减了数据升级阶段的计算开销，因而，对于非原始上传者，总体计算开销是MLE方案的104.5％。对于同样具有所有权管理的方案， Hur等人的方案计算开销是MLE方案的119.5％。由于该方案采用数据重加密实现所有权管理，从实施例中可以看出，本发明在计算开销方面是高效可接受的；并且在支持所有权管理的前提下，能够抵制针对标签完整性的污染攻击和数据伪造攻击。

6)通信开销：为评估方案的通信开销，采用两台具有相同配置(i5处理器) 的电脑组成局域网，其中一台作为数据拥有者，另一台为云服务商(CSP)。两台电脑都安装有1TB7200RPM SATA硬盘作为存储后端。两台电脑通过100Mb/s 网络连接。本实施例将传输速度定义为总上传/下载时间除以数据拥有者完成上传/下载操作的时间。

实施方案为：首先，上传1GB的原始数据(原始上传者)到CSP，然后上传1GB的重复数据(非原始上传者)到CSP，最后从CSP下载1GB的数据。对于每个方案，执行上述步骤10次并取平均值，结果如图9所示。

图9为不同方案的基准传输速度。在试验过程中，对于所有方案原始上传者的上传速度为9.9MB/s。对于MLE方案、DupLESS方案、SecDup/F方案以及Hur 等人的方案，对应的非原始上传者上传速度为9.9MB/s。而对于Xu等人的方案以及本方案，在完成跨用户数据去重之后，实际上并没有上传数据(1GB)，对应的非原始上传者上传速度为56.8MB/s以及53.7MB/s。

注意，在评测过程中，非原始上传者数据更新时间包含了PoW验证过程。事实上，对于局域网中实际传输的数据量，Xu等人的方案传输了大约512位，本发明的传输数据为(128+256l)，其中本实施例中l＝10。对于BL-MLE方案，对应的非原始上传者传输速度为9.6MB/s。对于现有技术的所有方案来说，下载速度为大约9.9MB/s。很显然，本发明能有效提高网络带宽利用率，并节省网络带宽。

Claims (8)

1.用于云端密文存储的具有所有权管理的数据去重系统，其特征在于：包括数据拥有者和云服务商，所述数据拥有者将数据外包给云服务商GSP；云服务商GSP为数据拥有者提供云存储服务，云存储服务器包含云服务器和云存储器，当用户上传数据时，首先检测数据是否存在于云服务器中，如果云服务器中已存在改文件，云服务器对数据拥有者外包的数据进行数据去重，然后将去重后的数据存储于云存储器。

2.根据权利要求1所述的用于云端密文存储的具有所有权管理的数据去重系统，其特征在于：

当所述数据拥有者请求接入云服务商，首先云服务器验证数据拥有者的密码和证书；验证成功后数据拥有者加密数据，并将加密后的数据和对应的索引信息上传到云服务商；

所述云服务器中存有数据所有权列表，云服务器对存储的数据提供访问控制，并基于所有权列表对数据进行动态所有权管理，数据所有权列表包括数据标签和数据拥有者的身份标识。

3.一种根据权利要求1或2任意一项所述的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，其特征在于：包括以下步骤：

(1)安装：云服务商CSP执行Setup(1^λ)算法，其中输入为安全参数λ，输出为公共参数P；采用哈希函数并采用AES-128算法进行Enc_k(·)和Dec_k(·)操作，密钥为k；

(2)数据上传，即数据所有者μ_i上传文件F_i到CSP：首先，μ_i使用F-KeyGen(P,F_i)算法得到密钥FK_i＝H(P,F_i)，接着μ_i计算标签FT_i←H(P,FK_i)；然后数据所有者μ_i发送upload||μ_i||FT_i到CSP；当CSP接收到上传的信息，CSP检查标签信息，并根据检查结果执行不同的操作；

(3)文件级所有权管理：对于跨用户文件级数据去重，CSP通过ReEncrypt(GK,FC)算法，利用所有权群组信息对密文进行重加密；在此过程中对密文和群组成员进行更新；

(4)数据块级所有权管理，包括数据块删除和数据块修改；

(5)数据下载。

4.根据权利要求3所述的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，其特征在于：所述步骤(2)的详细过程如下：

(2.1)如果标签FT_i不存在于标签索引中，那么数据所有者μ_i是原始上传者，此时对文件F_i执行跨用户文件级收敛加密或者单用户数据块级收敛加密；

(2.1.1)如果对文件F_i执行跨用户文件级收敛加密，则数据所有者μ_i使用F-Encrypt(P,FK,F)算法加密文件F_i：μ_i选择一个随机数加密密钥L←{0,1}^k(λ)，其中k(λ)是根据λ决定加密秘钥长度的算法；其中，μ_i加密数据和加密密钥为和接着μ_i发送到CSP；然后云服务器插入FT_i到标签索引，并将存储到云存储器；并且，云服务器为FT_i创建一个群组成员列表，并在μ_i删除F_i而只保留FK_i之后将μ_i插入该列表；然后，CSP通过ReEncrypt(GK,FC)算法重加密得到CSP建立基于布隆过滤器的PoW，方法如下；

(2.1.2)如果对文件F_i执行单用户数据块级收敛加密，则数据拥有者μ_i首先将文件F_i均分成若干数据块F[i]并执行B-KeyGen(P,F[i])算法来计算数据块级密钥BK_i，步骤如下：μ_i计算数据块B_i＝H(P,F[i])；同时μ_i计算数据块级密钥以及数据块标签BT_i＝H(P,B_i)，其中是μ_i的主密钥；生成BT_i之后，μ_i发送BT_i到CSP，用于查重；最后μ_i更新非重复加密数据块BC_i到CSP，其中BC_i使用算法B-Encrypt(P,BK_i,F[i])经由计算得到；

(2.2)如果FT_i存在于标签索引中，那么μ_i是非原始上传者，则：首先，云服务商CSP返回给μ_i；当μ_i接收到反馈，在μ_i和CSP之间执行PoW确认；通过PoW确认后，CSP更新所有权群组密钥，并对密文进行重加密；

上述PoW确认验证方法为：

5.根据权利要求3所述的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，其特征在于：所述步骤(3)的详细过程如下

(3.1)对于标签FT_i，为实现访问权限控制，云服务商CSP选择对应的所有权群组密钥GK_i，采用算法ReEncrypt(GK,FC)，经由流程来加密

(3.2)CSP采用KEK树来实现所有权群组密钥分配：CSP选取KEK树中最小的覆盖集，来覆盖所有与所有权群组G_i中数据所有者有关的叶结点；其中，使用KEK(G_i)表示包含所有G_i内结点的集合；

(3.3)选取结点以后，CSP通过密钥来加密GK_i；

(3.4)最后，CSP存储

6.根据权利要求3所述的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，其特征在于：所述步骤(3)中密文和群组成员进行更新的过程为：

(A)非原始上传：当数据拥有者μ_i作为非原始上传者上传文件F_i到云服务商CSP，在通过PoW认证以后，CSP添加μ_i到G_i，其中G_i是所有权群组，并通过延迟更新策略更新群组密钥GK_i，重加密密文，步骤如下：

通过新加入的非原始上传者μ_i为FT_i创建更新列表；在添加μ_i到FT_i的更新列表以后，并不立即更新群组密钥GK_i；当μ_i发送FT_i到CSP来执行下载操作，CSP首先检查FT_i的更新列表；如果μ_i存在于更新列表中，CSP将执行群组密钥更新以及重加密操作；然后，CSP清空更新列表；密钥更新和群组加密的具体流程如下：

1)CSP使用GK_i解密密文得到选取随机所有权群组密钥GK_i′，并执行算法ReEncrypt(GK,FC)实现对重加密，得到

2)CSP选取能覆盖所有与G_i′中用户有关叶结点的最小覆盖集中的KEK树结点，命名为KEK(G_i′)，并使用如下方程计算GK_i′：

3)CSP清空FT_i的更新列表，然后CSP存储

(B)数据删除：当μ_i请求从云存储空间中删除文件F_i，μ_i发送数据删除请求信息delete||μ_i||FT_i到CSP；CSP执行如下步骤：

1)如果μ_i∈G_i，其中G_i是所有权群组，CSP从G_i中删除μ_i，并使用密钥GK_i解密得到选取新的群组密钥GK_i′并执行算法ReEncrypt(GK,FC)重加密得到为保证前向保密性，采用方程更新所有权群组密钥GK_i′；上述过程中CSP要求下一个非原始上传者采用一个新的随机数R'创建新的基于布隆过滤器的PoW；

2)否则，不采取任何操作；

(C)数据修改：当μ_i请求修改文件F_i得到F_j，首先加密F_j得到密文并使用算法F-Encrypt(P,FK,F)生成对应的标签FT_j；进一步地，μ_i发送数据修改请求modify||μ_i||FT_i||FT_j到CSP；进一步地，CSP执行如下操作：

1)CSP检查对于标签FT_i公式μ_i∈G_i是否成立；如果成立，CSP执行数据删除操作，从G_i中删除μ_i，并立即更新所有权群组信息和密文；

2)CSP对FT_j执行更新操作；如果FT_j存在于标签索引中，意味着μ_i是非原始上传者，因此CSP对其执行非原始上传操作；否则，μ_i是原始上传者，CSP对其执行前文所述的对应操作。

7.根据权利要求3所述的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，其特征在于：

所述步骤(4)中数据块删除的具体方法为：当μ_i请求从云存储器中删除数据F_i时，μ_i发送数据数据删除请求delete||μ_i||FT_i到CSP；然后CSP执行如下流程：

1)CSP寻找所有属于FT_i的数据块标签BT_i；

2)对于每一个BT_i，CSP检查其对应的数据块密文BC_i计数，并减1；

3)如果存在计数为0，意味着μ_i没有文件包含BC_i，CSP将删除其对应的BC_i；

所述步骤(4)中数据块修改的具体方法为：当μ_i请求修改数据F_i为F_j，μ_i加密F_j为FC_j，并生成对应的标签FT_j；然后μ_i发送数据修改请求modify||μ_i||FT_i||FT_j到CSP；接着CSP执行如下流程：

1)首先，CSP执行数据块删除操作，删除F_i；

2)然后CSP为FT_j执行更新操作；如果FT_j存在于文件级标签索引中，这意味着μ_i是非原始上传者，因此，CSP将执行非原始上传操作；否则，CSP将执行单用户数据块级数据去重操作；

3)最后，μ_i更新FT_j中非重复的数据块到CSP。

8.根据权利要求3所述的用于云端密文存储的具有所有权管理的数据去重系统的数据去重方法，其特征在于：所述步骤(5)中数据下载的具体方法为：

当CSP接收到μ_i发送的数据下载请求download||μ_i||FT_i，首先检查μ_i的密码和证书，在通过身份验证以后，CSP分别检查在文件级和数据块级数据去重情况下，FT_i是否存在于标签索引中；不同情况下，CSP执行的具体操如下：

i、如果FT_i存在于文件级标签索引中，CSP将检查FT_i的更新列表：如果μ_i在更新列表中，意味着μ_i是非原始上传者，此时群组密钥尚未更新，因此，CSP将更新群组密钥，并按照非原始上传操作的步骤对密文重加密，最后，返回否则，返回当μ_i接收到CSP发送的密文μ_i计算GK_i'如下：GK_i′＝Dec_{K∈KEK(Gi′)}(GC_i′)；

计算得到GK_i′之后，μ_i通过F-DeCrypt(GK,FK,FC′)算法解密密文，并以如下方式获取文件数据：

ii、如果FT_i存在于数据块级标签索引中，CSP将所有属于FT_i的数据块BT_i||BC_i||EBK_i返回给μ_i；当μ_i接收到消息，μ_i使用解密EBK_i得到BK_i，并利用B-DeCrypt(P,K,BC_i)算法计算明文F[i]。