CN108600263B - 一种基于拥有性证明的安全有效的客户端去重方法 - Google Patents

Abstract

本发明公开了一种基于拥有性证明的安全有效的客户端去重协议，属于通信技术领域。本发明包括：系统初始化安全系数和参数、客户端和密钥服务器通信通过盲签名获得加密文件的密钥、云服务器与客户端通信实施挑战‑应答机制；密钥服务器引入Rate‑limiting策略，限制一定时间内客户端向密钥服务器发起请求的次数；本方案的发明抵抗穷举攻击和欺骗攻击，确保了拥有性证明协议的安全性和高效性；本发明可以提升认证的效率，节省存储空间，保证恒定的通信代价。

Description

一种基于拥有性证明的安全有效的客户端去重方法

技术领域

本发明属于通信技术领域，具体涉及一种基于拥有性证明的安全有效的客户端去重协议。

背景技术

拥有性证明(Proofs of Ownership)是一种客户端向云服务器证明自己拥有整个数据文件而不是部分数据或者单纯的一个文件哈希值的证明技术。在拥有性证明技术中，客户端和云服务器之间的通信采用挑战-应答机制，由云服务器发起询问，客户端应答，最终由云服务器验证是否成立。

在数据爆炸的时代，越来越多的用户选择把数据存储在云服务器，为了降低存储成本，云服务器对于相同的数据只存储一份。客户端去重是客户端在无需上传客户数据情况下判断该数据是否与云服务器数据重复，若重复，则无需再上传该数据，以此来节省带宽。在客户端去重中，目前很多协议判断云服务器是否已经存储数据的方法是：客户端先发送文件的哈希值给云服务器，由云服务器判断该哈希值是否已经存储，若文件的哈希值已经存储则说明该文件已经存储，否则判断该文件没有存储。用上述方法判断数据是否重复给数据去重带来了很大的安全隐患，攻击者只需要窃取文件的哈希值就可以向云服务器证明自己拥有文件，与此同时云服务器把攻击者添加到文件拥有者列表，之后攻击者再向云服务器请求文件具体内容，就可以窃取整个文件。为了解决上述的安全隐患，引入了拥有性证明技术，拥有性证明是指客户端和云服务器通过挑战-应答机制，由云服务器发起挑战，客户端响应，最终由云服务器来验证客户端是否真正拥有完整文件。

拥有性证明保证了客户端去重的安全性，与此同时仍需要考虑通信代价和计算、存储开销。因此，如何在保证安全性的同时又降低通信代价和提升效率是拥有性证明的重点和难点。

发明内容

本发明的目的是克服上述现有技术的不足，提供一种基于拥有性证明的安全有效的客户端去重协议。

本发明所提出的技术问题是这样解决的：

一种基于拥有性证明的安全有效的客户端去重协议，包括：

初始化：本协议包括三个主体，分别为客户端，密钥服务器和云服务器；系统初始化安全系数，密钥服务器选取自己的私钥和公钥，用于与客户端通信；其次云服务器选取自己的私钥和公钥；

客户端与密钥服务器交互，获取文件的加密密钥：客户端为了获取上传文件的加密密钥，需要与密钥服务器进行通信；客户端把需要上传的消息先用哈希函数处理，再盲化后发送给密钥服务器，密钥服务器用自己的私钥对已经盲化的消息签名，之后把签名返回给客户端，客户端将签名去盲化后利用双线性对进行验证，如果验证成功，则对去盲化后的结果做哈希运算作为用户上传文件的加密密钥；

云服务器与客户端通信实施挑战-应答机制：客户端需要把数据上传到云服务器存储；首先客户端发送密文哈希值到云服务器以判断该文件是否已经存储，云服务器使用Bloom filter 存储密文的哈希值以节省存储空间和提升搜索效率；如果该哈希值不在Bloom filter中，云服务器要求客户端上传文件；云服务器存储分为两级，分别为一级存储器和二级存储器，一级存储器用来存储文件块的认证值，而二级存储器存储空间大，用来存储文件；如果文件哈希值已经存储在Bloom filter中，云服务器向客户端发起挑战，云服务器随机选择需挑战的文件块数和两个随机值发送给客户端，客户端用此计算相应的应答值并返回给云服务器，云服务器验证等式是否成立，如果成立，则证明客户端拥有该文件。

协议初始化具体方法为：

给定可计算的双线性对e:G×G→G_T，其中G是基于Gap Diffie-Hellman的加法群，G_T为乘法群，群G和G_T 的阶为q，P是群G的生成元；系统选定三个哈希函数：H₁:{0,1}^*→G，H₂:{0,1}^*→Z_q ^*，H₃:G→Z_q ^*，其中{0,1}^*为任意长度的01串，Z_q ^*为一个群，其中q是一个大素数；系统选定两个伪随机函数

和

分别用来计算挑战应答阶段的挑战索引块和索引块相应的系数，其中K为伪随机函数选定的秘钥空间，k₁、k₂分别为K中的元素， log₂(n)伪随机函数

的01串的长度；

密钥服务器随机选取自己的私钥x←Z_q ^*，公开公钥y←xP；云服务器随机选择自己的私钥α←Z_q ^*，并公开自己的公钥V←αP。

客户端与密钥服务器交互，获取文件M的加密密钥的具体步骤为：

a. 客户端随机选择随机数r←Z_q ^*，计算文件M的哈希值h←H₁(M)，消息经过盲化处理

发送盲化后的结果

到密钥服务器；

b. 密钥服务器首先检测q_C＜q_E是否成立，q_C为客户端当前请求次数，q_E为密钥服务器设定的在一定时间段内客户端请求次数的上限；如果不成立，则拒绝请求，如果成立，利用自身的私钥x对

进行签名

把签名结果

发送给客户端；

c.客户端收到

后，首先去盲化，计算去盲化后的签名

其中上标-1表示求逆元，再验证e(σ,P)＝e(h,y)是否成立，若成立则计算H₃(σ)获得文件的加密密钥 K_M＝H₃((x·H₁(M))modq)，其中mod为取模，再计算文件M的密文

表示用密钥K_M对M进行加密，若不成立则退出协议。

云服务器与客户端实施挑战-应答机制的具体步骤为：

a.云服务器初始化Bloom filter：Bloom filter是一个概率存储结构，用于判断一个文件密文的哈希值是否存储在云服务器中；Bloom filter初始化为m比特，每一位的值设置为0，格式为：BF←{B₀,B₁,…,B_m-1}，B₀,B₁,…,B_m-1为BF的元素；Bloom filter使用t个独立的哈希函数h₀,h₁,…,h_t-1；当客户端发送文件的标签tag＝H₂(C)到云服务器，服务器先利用Bloom filter判断H₂(C)是否已经存在；

表示用每个哈希函数对H₂(C)进行哈希计算，得到Bloom filter中对应的位置，判断相应的位置是否为1，若不全为1，则说明H₂(C) 不是Bloom filter成员，密钥服务器使用Bloom filter添加元素H₂(C)，并要求客户端上传密文C；若判断相应的位置全为1，则认定H₂(C)已经存在于Bloom filter中，云服务器则与客户端实施挑战-应答机制，以判断客户端用户是否真正拥有密文C；虽然Bloom filter存在错误率，但是通过之后的挑战-应答机制可以避免和降低错误率；云服务器存储大量密文的哈希值，应用Bloom filter来判断可以节省大量存储空间并且提升查找效率；

b.若Bloom filter判断文件未存储于云服务器，要求客户端上传密文C；云服务器存储器分为一级存储器和二级存储器；一级存储器的特点是存储空间小，但存取速度快，成本高，类似高速缓冲器，而二级存储器与一级存储器特点相反，其存储空间大，但存取速度慢，成本低；云服务器把密文分为N块，每块有S个扇区，表示为c_ns，其中1≤n≤N，1≤s≤S；云服务器随机从群G中选择S个随机数U₁,U₂,…,U_s←G，计算第n块文件的标识

其中α为云服务器的私钥；云服务器把δ₁,δ₂…δ_N存储在一级服务器，把文件块c₁₁…c_1S,c₂₁…c_2S,……,c_N1…c_NS存储在二级服务器；

c.若Bloom filter判断文件已存储于云服务器，则由云服务器发起挑战-应答机制，以检验客户端是否真正拥有密文C；云服务器从群Z_q*中随机选择三个元素L,k₁,k₂∈Z_q，构成挑战值集合Q＝{L,k₁,k₂}，并发送Q给客户端，其中L为挑战的数据块数，k₁,k₂为伪随机函数密钥；

d.客户端收到Q＝{L,k₁,k₂}，对于每个l∈[1,L]，计算挑战索引块

和相应系数

并计算应答值

发送应答值集合{μ₁,μ₂,…μ_S}到云服务器；

e.云服务器收到应答值集合{μ₁,μ₂,…μ_S}，验证

是否成立，其中ξ₁≤u≤ξ_L，

若上述公式成立，则说明用户的确拥有文件M的密文 C，否则表明用户只拥有部分文件或者加密文件的哈希值。

本发明的有益效果是：

本发明所述协议可以抵抗穷举攻击、欺骗攻击；在本协议中，密钥服务器无法获取客户端上传文件的具体内容，只有客户端可以计算文件的加密密钥；本协议可以抵抗穷举攻击，密钥服务器实施Rate-limiting策略，限制客户端与密钥服务器在一定时间内的交互次数，防止攻击者穷举攻击在线猜测上传文件内容；本协议还可抵抗欺骗攻击，客户端与云服务器通过拥有性证明协议，客户端可以向服务器证明自己真正拥有完整文件，而不是部分文件或者文件的哈希值，所以可以抵挡攻击者窃取部分文件或者哈希值就声称拥有整个文件的欺骗攻击；与此同时，本发明的协议可以提升认证的效率，节省存储空间，保证恒定的通信代价。

具体实施方式

下面结合实施例对本发明进行进一步的说明。

本实施例提供基于拥有性证明的安全有效的客户端去重协议，包括：

初始化：本协议包括三个主体，分别为客户端，密钥服务器和云服务器；系统初始化安全系数，密钥服务器选取自己的私钥和公钥，用于与客户端通信；其次云服务器选取自己的私钥和公钥；

客户端与密钥服务器交互，获取文件的加密密钥：客户端为了获取上传文件的加密密钥，需要与密钥服务器进行通信；客户端把需要上传的消息先用哈希函数处理，再盲化后发送给密钥服务器，密钥服务器用自己的私钥对已经盲化的消息签名，之后把签名返回给客户端，客户端将签名去盲化后利用双线性对进行验证，如果验证成功，则对去盲化后的结果做哈希运算作为用户上传文件的加密密钥；

云服务器与客户端通信实施挑战-应答机制：客户端需要把数据上传到云服务器存储；首先客户端发送密文哈希值到云服务器以判断该文件是否已经存储，云服务器使用Bloom filter 存储密文的哈希值以节省存储空间和提升搜索效率；如果该哈希值不在Bloom filter中，云服务器要求客户端上传文件；云服务器存储分为两级，分别为一级存储器和二级存储器，一级存储器用来存储文件块的认证值，而二级存储器存储空间大，用来存储文件；如果文件哈希值已经存储在Bloom filter中，云服务器向客户端发起挑战，云服务器随机选择需挑战的文件块数和两个随机值发送给客户端，客户端用此计算相应的应答值并返回给云服务器，云服务器验证等式是否成立，如果成立，则证明客户端拥有该文件。

协议初始化具体方法为：

给定可计算的双线性对e:G×G→G_T，其中G是基于Gap Diffie-Hellman的加法群，G_T为乘法群，群G和G_T的阶为q,，P是群G的生成元；系统选定三个哈希函数：H₁:{0,1}^*→G，H₂:{0,1}^*→Z_q ^*，H₃:G→Z_q ^*，其中{0,1}^*为任意长度的01串，Z_q ^*为一个群，其中q是一个大素数；系统选定两个伪随机函数

和

分别用来计算挑战应答阶段的挑战索引块和索引块相应的系数，其中K为伪随机函数选定的秘钥空间，k₁、k₂分别为K中的元素，log₂(n)伪随机函数

的01串的长度；

密钥服务器随机选取自己的私钥x←Z_q ^*，公开公钥y←xP；云服务器随机选择自己的私钥α←Z_q ^*，并公开自己的公钥V←αP。

客户端与密钥服务器交互，获取文件M的加密密钥的具体步骤为：

a.客户端随机选择随机数r←Z_q ^*，计算文件M的哈希值h←H₁(M)，消息经过盲化处理

发送盲化后的结果

到密钥服务器；

b.密钥服务器首先检测q_C＜q_E是否成立，q_C为客户端当前请求次数，q_E为密钥服务器设定的在一定时间段内客户端请求次数的上限；如果不成立，则拒绝请求，如果成立，利用自身的私钥x对

进行签名

把签名结果

发送给客户端；

c.客户端收到

后，首先去盲化，计算去盲化后的签名

其中上标-1表示求逆元，再验证e(σ,P)＝e(h,y)是否成立，若成立则计算H₃(σ)获得文件的加密密钥 K_M＝H₃((x·H₁(M))modq)，其中mod为取模，再计算文件M的密文

表示用密钥K_M对M进行加密，若不成立则退出协议；

云服务器与客户端实施挑战-应答机制的具体步骤为：

a.云服务器初始化Bloom filter：Bloom filter是一个概率存储结构，用于判断一个文件密文的哈希值是否存储在云服务器中；Bloom filter初始化为m比特，每一位的值设置为0，格式为：BF←{B₀,B₁,…,B_m-1}，B₀,B₁,…,B_m-1为BF的元素；Bloom filter使用t个独立的哈希函数h₀,h₁,…,h_t-1；当客户端发送文件的标签tag＝H₂(C)到云服务器，服务器先利用Bloom filter判断H₂(C)是否已经存在；

表示用每个哈希函数对H₂(C)进行哈希计算，得到Bloom filter中对应的位置，判断相应的位置是否为1，若不全为1，则说明H₂(C) 不是Bloom filter成员，密钥服务器使用Bloom filter添加元素H₂(C)，并要求客户端上传密文C；若判断相应的位置全为1，则认定H₂(C)已经存在于Bloom filter中，云服务器则与客户端实施挑战-应答机制，以判断客户端用户是否真正拥有密文C；虽然Bloom filter存在错误率，但是通过之后的挑战-应答机制可以避免和降低错误率；云服务器存储大量密文的哈希值，应用Bloom filter来判断可以节省大量存储空间并且提升查找效率；

b.若Bloom filter判断文件未存储于云服务器，要求客户端上传密文C；云服务器存储器分为一级存储器和二级存储器；一级存储器的特点是存储空间小，但存取速度快，成本高，类似高速缓冲器，而二级存储器与一级存储器特点相反，其存储空间大，但存取速度慢，成本低；云服务器把密文分为N块，每块有S个扇区，表示为c_ns，其中1≤n≤N，1≤s≤S；云服务器随机从群G中选择S个随机数U₁、U₂…U_s←G，计算第n块文件的标识

其中α为云服务器的私钥；云服务器把δ₁,δ₂…δ_N存储在一级服务器，把文件块c₁₁…c_1S,c₂₁…c_2S,……,c_N1…c_NS存储在二级服务器；

c.若Bloom filter判断文件已存储于云服务器，则由云服务器发起挑战-应答机制，以检验客户端是否真正拥有密文C；云服务器从群Z_q ^*中随机选择三个元素L,k₁,k₂∈Z_q，构成挑战值集合Q＝{L,k₁,k₂}，并发送Q给客户端，其中L为挑战的数据块数，k₁,k₂为伪随机函数密钥；

d.客户端收到Q＝{L,k₁,k₂}，对于每个l∈[1,L]，计算挑战索引块

和相应系数

并计算应答值

发送应答值集合{μ₁,μ₂,…μ_S}到云服务器；

e.云服务器收到应答值集合{μ₁,μ₂,…μ_S}，验证

是否成立，其中ξ₁≤u≤ξ_L，

若上述公式成立，则说明用户的确拥有文件M的密文 C，否则表明用户只拥有部分文件或者加密文件的哈希值。

Claims (3)

1.一种基于拥有性证明的安全有效的客户端去重方法，其特征在于，包括：

初始化：本方法基于三个主体，分别为客户端，密钥服务器和云服务器；系统初始化安全系数，密钥服务器选取自己的私钥和公钥，云服务器选取自己的私钥和公钥；

初始化具体方法为：

给定可计算的双线性对e：G×G→G_T，其中G是基于Gap Diffie-Hellman的加法群，G_T为乘法群，群G和G_T的阶为q，P是群G的生成元；系统选定三个哈希函数：H₁：{0，1}^*→G，H₂：{0，1}^*→Z_q ^*，H₃：G→Z_q ^*，其中{0，1}^*为任意长度的01串，Z_q ^*为一个群，其中q是一个大素数；系统选定两个伪随机函数

和

{0，1}^*×K→Z_q ^*，分别用来计算挑战应答阶段的挑战索引块和索引块相应的系数，其中K为伪随机函数选定的秘钥空间，k₁、k₂分别为K中的元素，log₂(n)为伪随机函数

的01串的长度；

密钥服务器随机选取自己的私钥x←Z_q ^*，公开公钥y←xP；云服务器随机选择自己的私钥α←Z_q ^*，并公开自己的公钥V←αP；

客户端与密钥服务器交互，获取文件的加密密钥：客户端把需要上传的消息先用哈希函数处理，再盲化后发送给密钥服务器，密钥服务器用自己的私钥对已经盲化的消息签名，之后把签名返回给客户端，客户端将签名去盲化后利用双线性对进行验证，如果验证成功，则对去盲化后的结果做哈希运算作为用户上传文件的加密密钥；

云服务器与客户端通信实施挑战-应答机制：客户端需要把数据上传到云服务器存储；首先客户端发送密文哈希值到云服务器以判断该文件是否已经存储，云服务器使用Bloomfilter存储密文的哈希值；如果该哈希值不在Bloom filter中，云服务器要求客户端上传文件；云服务器存储分为两级，一级存储器用来存储文件块的认证值，二级存储器存储文件；如果文件哈希值已经存储在Bloom filter中，云服务器向客户端发起挑战，云服务器随机选择需挑战的文件块数和两个随机值发送给客户端，客户端用此计算相应的应答值并返回给云服务器，云服务器验证等式是否成立，如果成立，则证明客户端拥有该文件。

2.根据权利要求1所述的基于拥有性证明的安全有效的客户端去重方法，其特征在于，客户端与密钥服务器交互，获取文件M的加密密钥的具体步骤为：

a.客户端随机选择随机数r←Z_q ^*，计算文件M的哈希值h←H₁(M)，消息经过盲化处理

发送盲化后的结果

到密钥服务器；

b.密钥服务器首先检测q_C＜q_E是否成立，q_C为客户端当前请求次数，q_E为密钥服务器设定的在一定时间段内客户端请求次数的上限；如果不成立，则拒绝请求，如果成立，利用自身的私钥x对

进行签名

把签名结果

发送给客户端；

c.客户端收到

后，首先去盲化，计算去盲化后的签名

其中上标-1表示求逆元，再验证e(σ，P)＝e(h，y)是否成立，若成立则计算H₃(σ)获得文件的加密密钥K_M＝H₃((x·H₁(M))mod q)，其中mod为取模，再计算文件M的密文

表示用密钥K_M对M进行加密，若不成立则退出协议。

3.根据权利要求1所述的基于拥有性证明的安全有效的客户端去重方法，其特征在于，云服务器与客户端实施挑战-应答机制的具体步骤为：

a.云服务器初始化Bloom filter：Bloom filter是一个概率存储结构，用于判断一个文件密文的哈希值是否存储在云服务器中；Bloom filter初始化为m比特，每一位的值设置为0，其格式为：BF←{B₀，B₁，…，B_m-1}，B₀，B₁，…，B_m-1为BF的元素；Bloom filter使用t个独立的哈希函数h₀，h₁，…，h_t-1；当客户端发送文件的标签tag＝H₂(C)到云服务器，服务器先利用Bloom filter判断H₂(C)是否已经存在；

表示用每个哈希函数对H₂(C)进行哈希计算，得到Bloom filter中对应的位置，判断相应的位置是否为1，若不全为1，则说明H₂(C)不是Bloom filter成员，密钥服务器使用Bloom filter添加元素H₂(C)，并要求客户端上传密文C；若判断相应的位置全为1，则认定H₂(C)已经存在于Bloom filter中，云服务器则与客户端实施挑战-应答机制，以判断客户端用户是否真正拥有密文C；虽然Bloomfilter存在错误率，但是通过之后的挑战-应答机制可以避免和降低错误率；云服务器存储大量密文的哈希值，应用Bloom filter来判断可以节省大量存储空间并且提升查找效率；

b.若Bloom filter判断文件未存储于云服务器，要求客户端上传密文C；云服务器存储器分为一级存储器和二级存储器；一级存储器的特点是存储空间小，但存取速度快，成本高，类似高速缓冲器，而二级存储器与一级存储器特点相反，其存储空间大，但存取速度慢，成本低；云服务器把密文分为N块，每块有S个扇区，表示为c_ns，其中1≤n≤N，1≤s≤S；云服务器随机从群G中选择S个随机数U₁，U₂，...，U_s←G，计算第n块文件的标识

其中α为云服务器的私钥；云服务器把δ₁，δ₂…δ_N存储在一级服务器，把文件块c₁₁…c_1S，c₂₁…c_2S，……，c_N1…c_NS存储在二级服务器；

c.若Bloom filter判断文件已存储于云服务器，则由云服务器发起挑战-应答机制，以检验客户端是否真正拥有密文C；云服务器从群Z_q ^*中随机选择三个元素L，k₁，k₂∈Z_q，构成挑战值集合Q＝{L，k₁，k₂}，并发送Q给客户端，其中L为挑战的数据块数，k₁，k₂为伪随机函数密钥；

d.客户端收到Q＝{L，k₁，k₂}，对于每个l∈[1，L]，计算挑战索引块

和相应系数

并计算应答值

发送应答值集合{μ₁，μ₂，…μ_S}到云服务器；

e.云服务器收到应答值集合{μ₁，μ₂，…μ_S}，验证

是否成立，其中ξ₁≤u≤ξ_L，

若上述公式成立，则说明用户的确拥有文件M的密文C，否则表明用户只拥有部分文件或者加密文件的哈希值。