CN109962769A - 基于门限盲签名的数据安全去重方法 - Google Patents

Abstract

基于门限盲签名的数据安全去重方法，涉及信息安全中数字签名领域，解决现有采用n个密钥管理节点同时对消息进行盲签，密钥管理节点之间需要交互大量信息，且验证签名的计算开销较大的问题，首先进行系统初始化，主密钥节点生成公钥和主密钥，公开公钥；将n个分密钥节点编号为k₁，k₂，..，k_n，构造t‑1次多项式：f(x)＝a₀+a₁x+…+a_t‑1x^t‑1，计算各个分密钥节点对应的部分私钥：f(k₁)，f(k₂)，...，f(k_n)，并将其安全地传输给分密钥节点。然后客户端盲化消息，并将盲化后的消息发送给分密钥节点。分密钥节点对消息签名，并返回给客户端。客户端将密文数据上传到云服务器。本发明的方法，不存在单点故障问题，主密钥节点在初始化完成之后就可以不在线了，n个分密钥节点只需要至少t个可用就可以完成后续步骤。

Description

基于门限盲签名的数据安全去重方法

技术领域

本发明涉及信息安全中数字签名领域，具体涉及一种基于门限盲签名的数据安全去重方法，用于解决密文数据的安全重删问题。

背景技术

随着数据中心容灾系统备份的数据越来越多，存储效率成为一个亟待解决的问题，主要是存储空间利用率和数据传输效率，为此需要引入数据去重技术以删除大量冗余数据。另一方面，用户为了保证数据机密性，必然将数据加密后再存储和传输，而相同数据加密后的密文通常不同，这给数据去重带来极大挑战，如何实现加密数据的安全去重成为未来研究的重要方向。

为此，收敛加密的方案被提出，但该方案在很大的安全漏洞，无法抵抗选择明文攻击。DupLESS系统解决了这个问题，它主要由客户端、云存储节点和密钥管理节点组成，但由于只有一个密钥管理节点，因此存在单点故障问题，且一旦密钥管理节点被攻破，则整个系统就被攻破了。随后，有研究人员提出了一种基于门限盲签名的安全重删方案，该方案使用n个密钥管理节点同时对消息进行盲签，客户端通过组合其中的t个(t≤n)签名来获取加密密钥，从而解决了单点故障问题，并能抵抗合谋攻击。但是其在初始化过程中，密钥管理节点之间需要交互大量信息，且验证签名的计算开销较大。针对该问题，本发明提出了新的门限盲签名方案，将密钥管理节点分为主密钥节点和分密钥节点，在保证安全性的前提下，不但解决了单点故障问题，同时密钥节点之间的交互较少，验证签名的计算开销也较小，实际应用的前景更大。

发明内容

本发明为解决现有采用n个密钥管理节点同时对消息进行盲签，密钥管理节点之间需要交互大量信息，且验证签名的计算开销较大的问题，提供一种基于门限盲签名的数据安全去重方法。

基于门限盲签名的数据安全去重方法，包括主密钥节点、n个分密钥节点、客户端和云存储节点，所述主密钥节点生成主密钥和公钥，公开公钥；生成各个分密钥节点对应的部分私钥，并将所述部分私钥传送至分密钥节点；

所述客户端盲化消息，并将盲化后的消息传送至分密钥节点，所述分密钥节点采用部分私钥对盲化后的消息进行签名后返回至客户端；

所述客户端去盲后得到加密密钥，采用所述加密密钥加密数据并发送给云存储节点；所述云存储节点对接收的加密数据进行去重；具体实现步骤为：

步骤一：主密钥节点选择一个循环加法群G₁，生成元为P，阶数为素数q；再选择一个相同阶数的循环乘法群G₂；生成双线性映射e，所述e为G₁×G₁到G₂的映射；

步骤二：主密钥节点选择一个整数K_M，所述为模q的同余类，计算系统公钥Q＝K_MP，选择以下加密散列函数H₁和H₂，所述H₁为{0，1}^*到G₁的映射，H₂为{0，1}^*到的映射；然后主密钥节点将K_M作为系统私钥保存，并且公开参数{G₁，G₂，e，q，P，Q，H₁，H₂}；

步骤三：将n个分密钥节点编号为k₁，k₂，...，k_n，构造随机的t-1次多项式f(x)＝a₀+a₁x+…+a_t-1x^t-1，t≤n·，其中a₁，a₂...，a_t-1是随机正整数，a₀＝f(0)＝K_M，计算各个分密钥节点对应的部分私钥：f(k₁)，f(k₂)，...，f(k_n)，并将f(k_i)传送至分密钥节点；

步骤四：客户端选择随机数α对消息H₁(m)进行盲化：计算盲化消息W＝αH₁(m)，然后随机选择t个分密钥节点，为这些节点构造拉格朗日多项式：其中C为选中的t个分密钥节点的编号集合，随后将W和l(k_i)发送给选中的分密钥节点，所述m为加密数据；

步骤五：分密钥节点k_i接收客户端的盲化消息W后，使用密钥f(k_i)进行签名，计算得到盲签名：σ_i＝W×f(k_i)×l(k_i)，并将σ_i返回给客户端；

步骤六：客户端接收所述分密钥节点的签名，计算再通过α^-1解盲获得加密密钥：

其中，因此可得：σ＝K_MH₁(m)；

并计算e(σ，P)和e(H₁(m)，Q)，若e(σ，P)和e(H₁(m)，Q)的值相等，则证明σ是由K_M加密获得；

步骤八：所述客户端采用σ加密数据m，并将加密后的数据上传到云存储节点，所述云存储节点对加密后的数据进行重删。

本发明的有益效果：本发明所述的基于门限盲签名的数据安全去重方法，是一种带有密钥中心的门限盲签名方法，主密钥节点只与分密钥节点通信，其安全性较高，只要主密钥节点不被攻破，则整个方案的安全性与门限盲签名等同。

本发明所述的基于门限盲签名的数据安全去重方法，不存在单点故障问题，主密钥节点在初始化完成之后就可以不在线了，n个分密钥节点只需要至少t个可用就可以完成后续步骤。

本发明所述的基于门限盲签名的数据安全去重方法与无密钥中心的门限盲签名方法相比，在初始化阶段的通信开销和计算开销都较小，主密钥节点只需和n个分密钥节点进行n次通信即可完成初始化，而在无密钥中心的方案中，各密钥节点必须和其他密钥节点通信，总通信次数为n(n-1)。同时，由于本发明是主密钥节点向分密钥节点发送部分密钥，不需要分密钥节点之间相互验证，计算开销也较小。

本发明所述的基于门限盲签名的数据安全去重方法也可令主密钥节点向客户端发送部分密钥，这样客户端只需要组合t-1个分密钥节点的签名即可获得加密密钥。与无密钥中心的门限盲签名方法相比，由于本发明的客户端也可作为一个分密钥节点，因此客户端与分密钥节点之间的通信开销更小。

附图说明

图1为本发明所述的基于门限盲签名的数据安全去重方法的架构图；

图2为本发明所述的基于门限盲签名的数据安全去重方法的流程图。

具体实施方式

具体实施方式一、结合图1和图2说明本实施方式，基于门限盲签名的数据安全去重方法，本发明中涉及到的实体：主密钥节点、n个分密钥节点、客户端(用户)，云存储节点。

主密钥节点：主密钥节点必须是安全可信的，生成主密钥和公钥，公开公钥，生成各个分密钥节点的部分私钥，并将其安全地共享给分密钥节点。

分密钥节点：分密钥节点有多个，接收主密钥节点生成的部分私钥，用其对客户端的盲化消息进行签名，并将结果返回客户端。

客户端(用户)：客户端盲化消息，将其发送给分密钥节点，然后组合t个(t≤n)盲签名，去盲后得到加密密钥，最后使用加密密钥加密数据并发送给云存储节点。

云存储节点：存储密文数据，并对其进行去重。

具体由以下步骤实现：

步骤1：主密钥节点选择一个循环加法群G₁，生成元是P，阶数为素数q；再选择一个相同阶数的循环乘法群G₂；生成双线性映射e：G₁×G₁→G₂，它具有以下性质：①双线性：e(aP，bQ)＝e(P，Q)^ab，对所有P，Q∈G1和所有②非退化性：存在P，Q∈G1使得e(P，Q)≠1；③可计算性：存在有效算法可以计算e(P，Q)，对所有P，Q∈G₁。

步骤2：主密钥节点选择一个整数计算系统公钥Q＝K_MP，选择以下加密散列函数然后主密钥节点将K_M作为系统私钥保存，并且公开参数{G₁，G₂，e，q，P，Q，H₁，H₂}。

步骤3：给n个分密钥节点编号为k₁，k₂，...，k_n，构造随机的t-1次多项式f(x)＝a₀+a₁x+…+a_t-1x^t-1，t≤n，令f(0)＝a₀＝K_M，计算各个分密钥节点对应的部分私钥：f(k₁)，f(k₂)，...，f(k_n)，并将f(k_i)安全地传输给分密钥节点。

步骤4：客户端选择随机数对消息H₁(m)进行盲化：计算W＝αH₁(m)，然后随机选择t个分密钥节点，为这些节点构造拉格朗日多项式：其中C为选中的t个分密钥节点的编号集合，随后将W和l(k_i)发送给选中的分密钥节点。

步骤5：分密钥节点k_i接收客户端的盲化消息W后，使用部分密钥f(k_i)进行签名，计算得到σ_i＝W×f(k_i)×l(k_i)，并将σ_i返回给客户端。

步骤6：客户端接收来自分密钥节点的签名，计算再通过α^-1解盲获得：其中，因此可得：σ＝K_MH₁(m)。

步骤7：客户端计算e(σ，P)和e(H₁(m)，Q)，若二者相等，则证明σ是由K_M加密获得。

验证：左边

步骤8：客户端使用σ加密数据m，并将加密后的数据上传到云存储节点。

步骤9：云存储节点对加密后的数据进行重删。

本实施方式所述的方法，在保证安全性的前提下，比现有方法具备更好的性能。

Claims (1)

1.基于门限盲签名的数据安全去重方法，其特征是：包括主密钥节点、n个分密钥节点、客户端和云存储节点，所述主密钥节点生成主密钥和公钥，公开公钥；生成各个分密钥节点对应的部分私钥，并将所述部分私钥传送至分密钥节点；

所述客户端盲化消息，并将盲化后的消息传送至分密钥节点，所述分密钥节点采用部分私钥对盲化后的消息进行签名后返回至客户端；

所述客户端去盲后得到加密密钥，采用所述加密密钥加密数据并发送给云存储节点；所述云存储节点对接收的加密数据进行去重；具体实现步骤为：

步骤一：主密钥节点选择一个循环加法群G₁，生成元为P，阶数为素数q；再选择一个相同阶数的循环乘法群G₂；生成双线性映射e，所述e为G₁×G₁到G₂的映射；

步骤二：主密钥节点选择一个整数K_M，所述为模q的同余类，计算系统公钥Q＝K_MP，选择以下加密散列函数H₁和H₂，所述H₁为{0，1}^*到G₁的映射，H₂为{0，1}^*到的映射；然后主密钥节点将K_M作为系统私钥保存，并且公开参数{G₁，G₂，e，q，P，Q，H₁，H₂}；

步骤三：将n个分密钥节点编号为k₁，k₂，...，k_n，构造随机的t-1次多项式f(x)＝a₀+a₁x+…+a_t-1x^t-1，t≤n，其中a₁，a₂...，a_t-1是随机正整数，a₀＝f(0)＝K_M，计算各个分密钥节点对应的部分私钥：f(k₁)，f(k₂)，...，f(k_n)，并将f(k_i)传送至分密钥节点；

步骤四：客户端选择随机数α对消息H₁(m)进行盲化：计算盲化消息W＝αH₁(m)，然后随机选择t个分密钥节点，为这些节点构造拉格朗日多项式：其中C为选中的t个分密钥节点的编号集合，随后将W和l(k_i)发送给选中的分密钥节点，所述m为加密数据；

步骤五：分密钥节点k_i接收客户端的盲化消息W后，使用密钥f(k_i)进行签名，计算得到盲签名：σ_i＝W×f(k_i)×l(k_i)，并将σ_i返回给客户端；

步骤六：客户端接收所述分密钥节点的签名，计算再通过α^-1解盲获得加密密钥：

其中，因此可得：σ＝K_MH₁(m)；

并计算e(σ，P)和e(H₁(m)，Q)，若e(σ，P)和e(H₁(m)，Q)的值相等，则证明σ是由K_M加密获得；

步骤八：所述客户端采用σ加密数据m，并将加密后的数据上传到云存储节点，所述云存储节点对加密后的数据进行重删。