CN110213042A - 一种基于无证书代理重加密的云数据去重方法 - Google Patents

Abstract

本发明公开了一种基于无证书代理重加密的云端数据去重方法，属于云数据安全存储领域。本发明首先利用无证书签名的方法和挑战，依靠用户掌握的信息和云存储服务器拥有的预计算证据来完成文件所有权证明，从而实现客户端加密数据的删除；其次，利用无证书代理重加密方案实现了跨用户的数据共享和去重。即将服务器作为代理，对客户端上传的一次密文，用客户端上传的转换密钥进行二次加密，使得该二次密文能被另一客户端用户解密，实现数据共享，在这过程中，代理并不能获得与该数据相关的任何明文信息。最后，在文件级去重中，给出了一个数据块的映射表，客户端解密该文件映射表即可在特定的时间内向云服务器下载对应的数据块并解密组成完成的文件。

Description

一种基于无证书代理重加密的云数据去重方法

技术领域

本发明属于云数据安全存储领域，特别是涉及一种基于无证书代理重加密的云端数据去重方法。

背景技术

随着云计算、大数据技术的不断发展，越来越多的用户选择将数据外包给云服务提供商(Cloud Service Provider,CSP)进行存储和管理，使云端数据量将呈爆炸式增长，已经进入一个大数据时代。面对如此庞大规模的数据量，如何经济、高效地进行存储服务成为CSP的挑战之一。

为了提高CSP的存储效率，节约用户带宽，最直接的方法是采用数据压缩技术对原始数据压缩处理后再上传到云端。然而，对于同一份数据文件，不同用户可能采用不同的压缩技术，这样就会产生了不同的压缩文件，导致一个数据会存在多个不同的压缩后的副本，反而使云端存储压力更大。因此，迫切需要数据压缩后的副本重复性检测删除机制，即数据去重机制。

数据去重是一种高效的数据缩减方法，目的是在消除数据集合中的冗余数据，通过仅保留一份数据副本来提高云服务器的存储效率。对于明文数据，服务器可以采用提取数据的散列值，当下一个同样的数据进行上传时，先进行散列值的匹配，用来判断新上传的数据与原存储数据是否相同，相同则删除重复数据，且该用户无需再次上传数据，CSP返回该用户该数据的指针以便下次访问。但当数据以明文形式存储于云服务器中，用户的隐私就无法得到保证，CSP能随时查看用户的数据，且一旦攻击者攻陷了CSP，所有数据将以明文形式暴露给攻击者，会产生很严重的安全问题，所以数据必须以密文的方式进行存储。但加密技术是对数据进行随机化处理，不同用户使用的加密密钥不同，产生的密文数据肯定不同，而数据去重又需要检测到相同密文才能进行去重，这两者之间就产生了矛盾，所以如何从随机化的密文中检测是相同的数据是一个迫切的需求。为了解决上述问题，云数据安全去重技术的研究迅速得到了学术界和产业界的广泛关注，成为云数据安全存储领域的研究热点，并取得了一定的研究成果。

目前，云端数据安全去重有三种方法：基于内容加密的去重、基于所有权证明(Proofs of Ownership,PoW)的去重和基于隐私保护的去重。

1、基于内容加密的去重：基于内容的加密算法属于对称加密算法，根据数据内容计算得到加密密钥，并用该加密密钥对明文数据进行加密。这样就能保证对于相同的明文数据，可以得到相同的密文，从而进行重复性检测。主要包括两种算法：收敛加密(Convergent Encryption，CE)算法和消息锁加密(Message-Locked Encryption,MLE)算法。

(1)收敛加密：Douceur等人提出了CE算法，其中加密密钥是由原数据经过哈希运算得到，确保了相同的数据能得到相同的密钥，用相同的密钥加密数据就能得到相同的密文。

(2)消息锁加密：Bellare等人提出了一种基于CE的消息锁加密算法，加密密钥k＝E_k(p,m)由数据和系统参数共同计算得到，密文C＝E_k(m)。(其中p为系统参数，m为原始文件)该算法增加了一个数据重复性标识t＝T(C)，用于实现对密文的重复性检验。

2、基于所有权证明的去重：所有权证明是为了防止敌手通过获取用户文件的指纹信息，从而利用客户端去重机制从服务器得到完整文件。PoW协议通常采用挑战——应答模型来实现。主要包含3个阶段：(1)文件上传阶段：客户端向CSP发送上传文件的请求，CSP收到该请求后，在数据库中检索文件，若不存在，则要求客户端上传文件，接收并存储该文件，若存在，则需要客户端证明拥有者的身份；(2)CSP挑战阶段：CSP根据文件的相关信息生成挑战，并将该挑战发送给客户端；(3)客户端应答阶段：客户端接收到挑战后，根据拥有的文件生成应答，返回验证，CSP将接收到的证据与自身计算结果比较，若匹配，表明客户端确实拥有该文件，返回文件指针给客户端，反之，表明客户端不是该文件的拥有者，返回一个错误信息。主要包括两种算法，基于Merkle哈希树(Merkle Hash Tree,MHT)的所有权证明，基于随机抽样的所有权证明。

(1)基于MHT的所有权证明：所有权证明最初由Halevi等人基于MHT实现的，服务器和客户端都根据原始文件内容建立MHT，通过类似挑战——应答模型由CSP挑战客户端对于给定叶子节点的子集能否正确提供有效的MHT路径。

(2)基于随机抽样的所有权证明：Di.Pietro等人提出了一种PoW优化方案(s-POW)。该方案采用四元组数据结构存储文件信息，通过伪随机数生成器和相关加密算法产生seed,该seed可作为挑战发送给客户端，服务器保存对应挑战的应答，与接收到客户端发来的应答进行比较，返回结果。

3、基于隐私保护的安全去重。

CSP在采用数据去重技术来控制单个文件副本数量的同时，攻击者可能利用数据去重过程作为侧信道来对用户隐私信息进行攻击。主要分为两种类型：基于随机化方法实现隐私保护的安全去重和基于差分隐私实现隐私保护的安全去重。

(1)基于随机化方法的隐私保护安全去重：该方法通过增加数据去重发生的随机性来改变随机事件发生的概率，从而达到混淆数据去重事件的效果。Harnik等人提出随机化的解决方案，在数据去重过程中设置单个文件的数据，当单个文件的上传数量达到此阈值时执行数据去重。

(2)基于差分隐私的隐私保护安全去重：Dwork等人首次提出差分隐私概念，该方法主要是在数据去重的过程中采用差分隐私保护机制，保证在数据特征不变的前提下添加适量虚拟数据即噪声数据，达到数据失真的效果来保护数据的隐私。

目前，云端数据去重的方法主要有以下几种：

1、2002年，Douceur等在文献《Douceur J R,Adya A,Bolosky W J,etal.Reclaiming space from duplicate files in a serverless distributed filesystem[C].22nd International Conference on Distributed Computing Systems,2002:617-624》中首次提出了一个在Farsite分布式文件系统中基于收敛加密的去重方案，它利用文件本身产生文件的加密密钥，实现了不同用户之间的密钥共享，并且实现了数据的隐私保护。但是，收敛加密将会产生大量的密钥，特别是对于一些可预测的文件，容易受到离线的暴力字典攻击，很容易猜测到文件及文件的收敛密钥。

2、2010年，Harnik等在文献《Harnik D,Pinkas B,Shulman-Peleg A.Sidechannels in cloud services:Deduplication in cloud storage[J].IEEE Security&Privacy,2010,8(6):40-47》中提出随机化的解决方案，在数据去重过程中设置单个文件的数量，当单个文件的上传数量达到此阈值时执行数据去重。虽然通过修改阈值可以降低隐私泄露的概率，但这种随机化方法可能会上传一些不必要文件，导致增加网络带宽。同时，无法抵御攻击者利用文件之间的相关性腿短文件F是否存在关联文件攻击，也无法完全抵抗敌手的侧信道攻击。

3、2011年，Halevi等在文献《Halevi S,Harnik D,Pinkas B,et al.Proofs ofownership in remote storage systems[C].18th ACM Conference on Computer andCommunications Security,2011:491-500》中提出，在以较短的哈希值作为文件压缩表示的重复数据删除方案中，攻击者只要获得文件的哈希值就可以成功欺骗服务器，使得服务器误认为他是文件的所有者，从而获得未经授权的数据访问，使得云存储系统实质上成为一个内容分发网络。为此，Halevi等人引入了所有权证明(Proofs of Ownership，PoW)的方法来认证用户是否真正拥有某个文件，以避免上述攻击。该方法是基于Merkle哈希树和纠错码来实现的文件由构成Merkle哈希树的一系列哈希值来表示，使得客户端能够有效地向服务器证明用户确实拥有完整的文件，而不是关于文件的一些小片段或较短的压缩表示。不过由于用户在协议开始前需要根据文件构造Merkle哈希树，当文件较大时就会大大增加客户端的计算开销，此外，由于Merkle哈希树的静态性的缺点，协议存在着一定的安全缺陷。

4、2013年，Bellare等在文献《Bellare M,Keelveedhi S,Ristenpart T.Message-locked encryption and secure deduplication[C].Annual International Conferenceon the Theory and Applications of Cryptographic Techniques(EUROCRYPT 2013),2013:296-312》中，提出了利用收敛加密的思想给出了一个基于消息锁定加密的云存储去重方法，能够对密文数据进行安全去重。但它只能做到文件级去重，对部分内容进行更新过的文件做不到重复性检测。

5、2013年，Bellare等在文献《Keelveedhi S,Bellare M,Ristenpart T.DupLESS:server-aided encryption for deduplicated storage[C].the 22nd USENIX SecuritySymposium 2013:179-194》提出了一个DUPLESS方案，通过引入一个密钥服务器(KeyServer,KS)，利用RSA的思想，实现对收敛密钥的二次加密，并将加密后的收敛密钥作为文件的加密密钥，由于该加密密钥中嵌入了KS的私钥，使得文件的加密更加安全。但是当CSP和KS共谋时，攻击者能够同时得到密文和收敛密钥。

6、另外，申请号为CN201810223420.4的专利申请公开了一种支持高效收敛密钥管理的云存储数据去重方法，该方法由初始数据上传者进行数据加密及密钥分发共享，后续相同数据拥有者通过数据拥有证明获得数据密钥，使得对于去重的数据只存储一份收敛密钥；申请号为CN201810329747.X的专利申请公开了一种雾存储中支持动态所有权管理的块级数据去重方法，该方法提出了一种改进的块级客户端去重技术，在数据外包阶段，无论初始还是后续上传者都需要执行同样的上传步骤，用户无法通过服务器的响应判断是否发生数据去重，从而在节省网络带宽的同时，解决了当前块级客户端去重中的数据敏感信息泄露的问题。

发明内容

本发明的目的在于：实现了一种基于无证书的代理重加密方案实现跨用户去重和数据共享，再结合无证书签名方案做到数据块一致性认证和文件的所有权认证，做到安全高效的去除云端的重复数据。

本发明的基于无证书代理重加密的云端数据去重方案，包括下列步骤：

步骤1、密钥生成中心生成密钥：

步骤101、设定系统参数，包括：

选择素数p，设置p阶的循环加法群G₁；

并选择群G₁的一个生成元，记为参数P；

以及设置p阶的循环乘法群G₂；

基于循环加法群G₁和循环乘法群G₂设置双线性映射

以及计算参数

定义三个安全哈希函数H₁,H₂和H₃，其中H₁为从{0,1}^*映射到H₂从G₁映射到H₃是从{0,1}^*×{0,1}^*×G₁×G₂映射到{0,1}^*表示任意比特长的二进制序列组成的集合，表示有限域去掉元素零所得到的有限域；

公开系统参数

步骤102、生成密钥：

密钥生成中心根据用户的身份信息，从有限域中随机选择主密钥s，计算公钥P_pub＝sP，部分私钥并将公钥P_pub、部分私钥D_ID和系统参数g发送给用户；

用户端从有限域中随机选择参数x_ID作为秘密值，计算公钥PK_ID＝x_ID(H₁(ID)P+P_pub)，并设置完全私钥

步骤2、用户端初始化文件和数据块：

用户端将文件M分为n块，得到n个数据块：m₁,m₂,…,m_n；

为每一个数据块m_i计算收敛密钥kh_i＝H₁(m_i)，并用该收敛密钥作为加密密钥对数据块m_i进行对称加密处理，得到数据块密文c_i，并得到每个数据块的块标签

计算从而得到文件M的文件标签

用户端基于公钥P_pub、用户端的身份标识ID和公钥PK_ID，以及系统参数对每个数据块密文及收敛密钥作进行一次加密处理，得到一级密文数据块C_i：

C_i＝(U_i,V_i)＝((h_i||c_i)·g^r,r·(PK_ID+H₂(PK_ID)·(H₁(ID)·P+P_pub)))；

并设置数据块映射表Maps作为文件M指向一级密文数据块C_i的指针值；

计算每个数据块的块签名σ_i：

用户端从有限域中随机选取参数γ，计算承诺t＝g^γ；

计算每个数据块密文的哈希值h_i＝H₃(c_i,ID,PK_ID,t)，签名参数S_i＝(γ+h_i)SK_ID，得到每个数据块的块签名σ_i＝(h_i,S_i)；

对文件M的数据块映射表Maps进行一次加密处理，得到一级密文数据块映射表C_M：C_M＝(U_M,V_M)＝(Maps·g^r,r·(PK_ID+H₂(PK_ID)·(H₁(ID)·P+P_pub)))；

步骤3、用户端向云服务器发送文件上传请求：

用户端向云服务器发送文件上传请求，所述文件上传请求包括用户身份标识ID和公钥PK_ID，文件标签T_M，以及每个数据块的块标签T_ci和块签名σ_i；

步骤4、文件上传去重处理：

步骤401、服务器检测文件上传请求中的文件标签T_M是否存在；若是，则执行步骤402；否则执行步骤405；

步骤402：云服务器生成文件挑战信息challenge_M并返回给用户端；

其中，生成文件挑战信息challenge_M具体为：

根据文件标签T_M对应的文件M的总块数n，从1至n中随机生成k个整数，组成整数集I，其中整数集I中的任意两个元素之间均相互独立；

对于从有限域中随机选择一个参数，记为v_i；

生成文件挑战信息challenge_M＝{i||v_i||ID||a_i||S_i||PK_ID}_i∈I，其中

步骤403：用户端对文件挑战信息challenge_M的应答处理：

用户端计算参数并计算哈希值其中，c_i基于数据块索引i得到；

以及计算响应证据并将P_v发送给云服务器；

步骤404：云服务器对文件的所有权证明：

云服务器验证是否成立，若成立，则表示当前文件已经存在于云服务器中，云服务器将当前用户身份标识ID添加到云服务器的ID列表中，云服务器请求用户端上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′，并将用户身份标识ID、ID′添加到云服务器的ID列表中，并分配一个指向当前文件的指针，对当前文件上传请求的去重处理结束；

其中转换密钥rk_ID→ID′为：

若不成立，则云服务器返回给用户端一个错误消息(即文件上传请求失败)，对当前文件上传请求的去重处理结束；

步骤405：云服务器检测块标签是否存在，若存在，则执行步骤406；若不存在，则执行步骤409；

步骤406：云服务器基于用户身份标识ID、公钥PK_ID，以及数据块的签名参数S_i和哈希值h_i生成数据块挑战信息challenge_c＝{ID||S_i||a_i||PK_ID}，并返回给用户端，其中，参数

步骤407：用户端生成数据块响应并发送给云服务器：

用户端基于收到挑战信息challenge_c，计算参数并计算哈希值h^*＝H₃(c_i,ID,PK_ID,t′)并发送给云服务器；

其中c_i为用户端根据S_i的匹配结果得到，本端已经存在签名参数S_i＝(γ+h_i)SK_ID，只要与接收到的挑战信息challenge_c中的S_i匹配上，则可确定对应的c_i；或者用户端根据自身明文通过散列计算得到；

步骤408：云服务器对数据块所有权认证：

当云服务器接收到用户端传来的h^*时，与存储的块签名σ_i＝(h_i,S_i)中的h_i进行比较，判断h^*＝h_i是否成立，若成立，则通过所有权认证，执行数据块去重处理：将用户身份标识ID加入云服务器的ID列表中，并且为其设置一个指针指向该数据块(用于获取数据块的存储位置)；否则向用户端返返回一个错误消息；

步骤409：新上传处理：

即对于待上传文件M的所有数据块均不存在的情况，则执行新的文件上传处理，用户端待上传的上传内容包括用户身份标识ID、文件标签T_M，一级密文数据块映射表C_M，以及文件M所包括的所有数据块信息

而对于云服务器中已存在待上传文件M的部分数据块的情况，则只需要上传缺失的那些数据块信息即可，当然对应的上传内容还应包括用户身份标识ID、文件标签T_M和一级密文数据块映射表C_M。

该步骤的具体处理描述如下：

云服务器确定上传内容并向用户端发送上传所述上传内容的上传请求；

所述上传内容包括用户身份标识ID、文件标签T_M，一级密文数据块映射表C_M，以及未存在于云服务器中的文件标签T_M对应的数据块信息，所述数据块信息包括一级密文数据块C_i块标签和块签名σ_i，以及请求用户端上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′；

云服务器将用户身份标识ID添加云服务器的ID列表中，为收到的每个一级密文数据块C_i设置一个指针(用于获取数据块的存储位置)，并存储用户端上传的上传内容。

进一步的，本发明还公开了对上述上传文件的下载处理方式(即步骤5：用户端从云服务器下载文件)，即当需要从云服务器中下载文件M时，用户能够通过待下载文件的文件标签和下载用户的用户身份标识ID′从云服务器获取文件M。具体过程如下：

步骤501：用户端向云服务器发送文件下载请求，所述文件下载请求包括下载用户的用户身份标识ID′、下载文件M的文件标签T_M；

步骤502：云服务器收到文件下载请求后，验证文件标签T_M和用户身份标识ID′是否存在；

若是，则进行文件所有权认证：

云服务器根据下载文件M的总块数n，从1至n中随机生成k个整数，组成数据块索引子集I，其中I中的任意两个元素之间均相互独立；

对于从有限域中随机选择一个参数，记为v_i；并使用对应ID′的转换密钥rk_ID→ID′对对应的一级密文数据块C_i进行二次加密，得到二级密文数据块C′_i＝(U′_i,V′_i)＝(U_i·rk_ID→ID′,V_i)；

生成文件挑战信息challenge′_M并发送给用户端；

其中challenge′_M＝{i||C′_i||v_i||ID′||a_i||S_i||PK_ID}_i∈I，

用户端应答处理：算参数哈希值以及计算响应证据并将P_v发送给云服务器；其中c_i根据解密公式得到；

云服务器验证是否成立，若成立，则认为所有权验证通过；

当通过所有权验证后，云服务器设置一个时钟t,并使用对应ID′的转换密钥rk_ID→ID′对文件M的一级密文数据块映射表C_M进行二次加密对，生成二次密文C'_M并返回给用户端；若文件所有权认证失败，则返回给用户端一个错误信息；其中，C'_M＝(U′_M,V′_M)＝(U_M·rk_ID→ID′,V_M)；

步骤503：用户端收到C'_M后，解密得到数据块映射表Maps；

并在时钟t时间内根据数据块映射表Maps中的指针向云服务器发送下载对应的一级密文数据块C_i的请求；即数据块映射表Maps用于确定待下载文件包括的数据块及其连接顺序，进而实现对解密后的数据块明文的重组，得到待下载文件。

其中，对C'_M的解密处理为：

步骤504：云服务器使用对应的转换密钥rk_ID→ID′对请求的一级密文数据块C_i进行二次加密处理，得到二级密文数据块C′_i并发送给用户端，其中C′_i＝(U′_i,V′_i)＝(U_i·rk_ID→ID′,V_i)；

步骤505：用户端对所有二级密文数据块C′_i解密后得到n个数据块密文c_i，并验证是否成立，若成立，再对每个数据块密文c_i进行对称解密处理，得到文件M的各数据块明文；若不成立，则否则说明云服务器返回给了用户不完整的密文，即下载失败；

其中，对C′_i的解密处理为：

步骤506：若在时钟t时间内未完成步骤501-504，则云服务器报超时错误，拒绝当前文件下载请求。此时，用户只有重复步骤501步骤505。

由于采用了上述技术方案，本发明的有益效果是：

本发明的去重方法，在密钥生成使用了无证书的方法，避免第三方单独生成密钥，更加安全；并且使用无证书代理重加密方法实现了数据的共享，能实现跨用户去重；即，将云服务器作为代理，对客户端上传的一次密文，用客户端上传的转换密钥进行二次加密，使得该二次密文能被另一客户端用户解密，做到了数据的共享，在这过程中，代理并不能获得与该数据相关的任何明文信息；而在数据一致性认证和文件所有权认证方法使用了无证书的签名方案，在验证端只需要执行一次双线性对运算，比以往的基于双线性对的无证书签名方法都要高效。

附图说明

图1是本发明的具体实施方式的算法流程图。

图2是本发明的具体实施方式的密钥生成示意图。

图3是本发明的具体实施方式的代理重加密的流程实施示意图。

图4是本发明的具体实施方式的无证书签名及验证图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

本发明的一种基于无证书代理重加密的云端数据去重方法，具体的算法流程图如图1所示，包括：

设定系统参数，生成用于无证书代理重加密及无证书签名的公钥PK_ID和私钥SK_ID，如图2所示；

根据生成的无证书公钥PK_ID和私钥SK_ID，实现一种基于无证书的代理重加密方案，如图3所示，包括一次密文生成、转换密钥生成和二次密文的生成，以及一次密文及二次密文的解密。

根据生成的无证书公钥PK_ID和私钥SK_ID，实现一种基于无证书的签名方案用户后续的数据及文件所有权认证，包括无证书签名的生成及验证，如图4所示；

根据实现的无证书代理重加密方案和无证书签名方案实现具体的云端数据安全去重方法，包括：密钥生成、无证书代理重加密方案的设定、无证书签名方案的设定、文件和数据块的初始化，数据块的所有权认证及文件的所有权挑战应答模型，以及最后的解密。具体描述如下：

步骤S1：密钥生成：

步骤S101：设定系统参数，包括：

选择素数p，设置p阶的循环加法群G₁；

并选择群G₁的一个生成元，记为参数P；

以及设置p阶的循环乘法群G₂；

基于循环加法群G₁和循环乘法群G₂设置双线性映射

以及计算参数

定义三个安全哈希函数H₁,H₂和H₃，其中H₁为从{0,1}^*映射到H₂从G₁映射到H₃是从{0,1}^*×{0,1}^*×G₁×G₂映射到{0,1}^*表示任意比特长的二进制序列组成的集合，表示有限域去掉元素零所得到的有限域；

公开系统参数

步骤S102：生成密钥：

密钥生成中心根据用户的身份信息，从有限域中随机选择主密钥s，计算公钥P_pub＝sP，部分私钥并将公钥P_pub、部分私钥D_ID和系统参数g发送给用户；

用户从有限域中随机选择参数x_ID作为秘密值，计算用户公钥PK_ID＝x_ID(H₁(ID)P+P_pub)，并设置完全私钥

步骤S2：设置基于无证书的代理重加密方案，用于实现用户与云服务提供商之间的文件上传处理，以及非上传用户对文件的下载处理：

步骤S201：生成一次密文：选择一个随机数r属于计算一次密文

其中，m表示待加密的数据，也可称为消息；ID₁表示待加密数据m的拥有者的用户的身份标识，表示对应用户身份标识ID₁的用户公钥；

步骤S202：生成转换密钥：

计算由用户ID₁到用户ID₂的代理重加密密钥

其中，ID₂表示用户的身份标识，表示对应用户身份标识ID₂的用户公钥；本具体实施方式中，ID₂用于表示文件下载用户的用户身份标识。

步骤S203：生成二次密文：

为了重加密密文使用计算二次密文

步骤S204：解密处理：

解密一次密文计算

解密二次密文计算

本发明中，设置为文件上传者(例如图3中的用户Alice(其对应的身份ID为：ID_A，公钥为私钥为))生成对应的转换密钥(代理重加密密钥)，并将其上传至云服务器实现对相关一次密文的二次加密得到二次密文并发送给文件下载客户端(例如图3中的用户Bob(其对应的身份ID为ID_B，公钥为私钥为))，从而使得该二次密文能被另一客户端用户解密，实现数据共享。

步骤S3：基于无证书的签名处理：

步骤S301：生成消息m的签名：

签名端从有限域中随机选取参数γ，计算承诺t＝g^γ；

以及计算哈希值h＝H₃(m,ID,PK_ID,t)、签名S＝(γ+h)SK_ID；

将消息m及其签名σ＝(h,S)，以及签名端的身份ID和公钥PK_ID发送给验证端；

由于步骤S204的两次解密得到的解密结果均为通一个对象，次步骤中不管是对一次解密结果还是二次解密结果进行签名处理均相同。

步骤S302：验证消息m的签名：

验证端在收到消息m、签名σ＝(h,S)和签名端的身份ID以及公钥PK_ID后，计算参数计算哈希值h^*＝H₃(m,ID,PK_ID,t′)；验证等式h^*＝h是否成立，若成立，则认为签名σ合法，验证端输出“接受”，表示验证通过；否则输出“拒绝”，表示验证失败。

步骤S4：用户端初始化文件和数据块：

用户将文件M分为n块(m₁,m₂,…,m_n)，并为每一个数据块m_i计算收敛密钥kh_i＝H₁(m_i)，并用该收敛密钥作为加密密钥使用对称加密来加密对应的数据块，得到数据块密文c_i，即c_i＝ENC(kh_i,m_i)，ENC()表示对称加密；

计算则文件M的标识(文件标签)为数据块的标识为也可称为块标签；其中，用于完整性验证；

用户根据无证书代理重加密方案中的一次密文加密方案对每个数据块密文及收敛密钥进行加密(即将步骤S201中的待加密的数据m替换为：h_i||c_i)，得到一级密文C_i，用ENC_proxy()表示无证书代理重加密方案中的一次密文加密方案，即则C_i＝ENC_proxy(h_i||c_i),设置数据块映射表Maps，作为文件M指向一级密文数据块的指针值；

为了便于区分文件上传用户和文件下载用户的身份ID，本具体实施方式中，将文件上传用户的身份ID标识为ID_M。

文件上传用户利用无证书签名方案设置数据块的签名σ_i＝(h_i,S_i)

对于文件M，对其数据块映射表Maps使用无证书代理重加密方案进行一次加密，得到C_M＝ENC_proxy(Maps)。

从而便于对非重文件进行文件上传处理时，将(T_M||C_M||C₁||C₂||...||C_n)以及用户身份ID_M和公钥和每个数据块的标识及签名存储到云服务器。

步骤S5：用户端向云服务器发送文件上传请求：

用户端向云服务器发送文件上传请求，所述文件上传请求包括用户身份标识ID和公钥PK_ID，文件标签T_M，以及每个数据块的块标签和块签名σ_i；

步骤S7：文件上传去重处理：

步骤S701：生成文件挑战：

当云服务器收到来自用户的文件M的文件标签T_M，云服务器检测文件标签T_M是否存在，若不存在，则按照步骤S704执行；若存在，则云服务器生成文件挑战信息发送给用户，只有当挑战通过后才执行文件去重处理，具体过程如下：

根据文件M的总块数n，从1至n中随机生成k个数，组成I＝{s₁,s₂,...,s_k}并且对于s_i和s_j是相互独立的。

对于从有限域中随机选择一个参数，记为v_i，即

然后组成文件挑战信息(其中 )并将challenge_M发送给用户。

步骤S702：应答处理：

当收到来自云服务器发送的挑战信息challenge_M后，用户计算并计算然后计算响应证据并将P_v发送给云服务器；

步骤S703：所有权证明：

当云服务器收到来自用户的响应证据P_v后，通过验证响应证据是否正确，从而判断用户是否拥有和CSP相同的文件。具体过程如下：

云服务器验证是否成立_。若成立，说明用户拥有和云服务器相同的文件，该文件已经存在于云服务器中，用户只需上传身份ID_M到云服务器。云服务器将用户的身份ID_M添加到云服务器的ID列表中，并且给它分配一个指向该文件的指针。否则，云服务器返回给用户一个错误消息。

同时，云服务器会请求用户端上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′，以及将ID′添加到云服务器的ID列表中，并存储该转换密钥rk_ID→ID′，且与ID′相关联，以便于云服务器的二次加密处理。

步骤S704：云服务器生成数据块挑战：

当云服务器收到用户的块标签时，云服务器检测块标签是否存在，若不存在，则执行步骤S8；若存在，则云服务器生成数据块挑战信息(其中)，并将挑战信息challenge_c发送给用户。

即生成的数据块挑战信息challenge_c包括数据块的一次密文，第一次上传该密文的用户身份ID_M、数据块签名及公钥。

步骤S705：用户端生成数据块响应并发送给云服务器：

用户接收到挑战信息challenge_c后，计算

并计算然后将h^*发送给云服务器。

步骤S706：云服务器对数据块所有权认证：

当云服务器接收到客户端传来的h^*时，与存储的签名σ_i＝(h_i,S_i)中的h_i进行比较，判断h^*＝h_i是否成立，若成立，则通过所有权认证，执行数据块去重处理，将用户的身份ID_M加入云服务器的ID列表中，并且为其设置一个指针指向该数据块；若无法通过验证，则说明用户并不具有该数据块，将返回给用户一个错误消息。

步骤S8：用户端新数据块上传或新文件上传：

对于云服务器中已存在待上传文件M的部分数据块的情况，云服务器需请求用户上传对应的一级密文数据块C_i块标签和块签名σ_i；然后云服务器将用户的身份ID_M添加云服务器的ID列表中，并且为其设置一个指针指向该一级密文数据块，并存储所有上传的数据。

对于待上传文件M的所有数据块均不存在的情况，则执行新的文件上传处理：

服务器向用户请求当前上传文件的文件标签T_M，一级密文数据块映射表C_M，以及文件M所包括的所有数据块信息用户将(T_M||C_M||C₁||C₂||...||C_n)以及用户身份ID_M和每个数据块的块标签、一级密文数据块及块签名存储到CSP。

云服务器设置不同的指针指向每个一级密文数据块，并将用户身份ID_M存储到云服务器的ID列表中，并存储用户上传的所有信息。

同时，在云服务器确定上传内容中，还包括用户端上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′，以及将ID′添加到云服务器的ID列表中，并存储该转换密钥rk_ID→ID′，且与ID′相关联，以便于云服务器的二次加密处理。

也可以在需要进行数据共享时，用户端主动向云服务器上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′，收到对应的信息后，云服务器将ID′添加到云服务器的ID列表中，并存储该转换密钥rk_ID→ID′，且与ID′相关联。

步骤S9：文件下载处理：

当需要从云服务器中下载文件M时，用户能够通过文件标签T_M和下载用户的身份ID从云服务器获取文件M。具体过程如下：

步骤S901：首先，用户发送文件M的标签T_M和下载用户的身份ID(例如图3中的用户Bob的身份ID：ID_B)给云服务器。

步骤S902：云服务器收到文件标签T_M和身份ID后，验证文件标签T_M和身份ID是否正确。若正确，并且通过了文件所有权认证，云服务器设置一个时钟t,并将M对应的C_M依据转换密钥转换成用户可以解密的二次密文C'_M。将其发送给用户；否则，返回给用户一个错误信息。

其中，下载文件时的文件所有权认证处理具体为：

云服务器根据下载文件M的总块数n，从1至n中随机生成k个整数，组成数据块索引子集I，其中I中的任意两个元素之间均相互独立；

对于从有限域中随机选择一个参数，记为v_i；并使用对应ID′的转换密钥rk_ID→ID′对对应的一级密文数据块C_i进行二次加密，得到二级密文数据块C′_i＝(U′_i,V′_i)＝(U_i·rk_ID→ID′,V_i)；

生成文件挑战信息challenge′_M并发送给用户端；

其中challenge′_M＝{i||C′_i||v_i||ID′||a_i||S_i||PK_ID}_i∈I，

用户端应答处理：算参数哈希值以及计算响应证据并将P_v发送给云服务器；其中c_i根据解密公式得到；

云服务器验证是否成立，若成立，则认为所有权验证通过；

步骤S903：用户收到C'_M后，解密得到数据块映射表，并在时钟t时间内根据表中的指针去云服务器中下载对应的C_i，此时云服务器仍依据转换密钥将C_i转换成其可以解密的二次密文C′_i。对所有的C_i解密后得到c_i并计算是否成立，若成立，再解密；否则说明云服务器返回给了用户不完整的密文。

步骤S904：若在时钟t时间内未完成上述操作，则云服务器报超时错误，则不在响应该用户的下载请求。此时，用户只有重复步骤S1301～步骤S1303。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims (3)

1.一种基于无证书代理重加密的云端数据去重方法，其特征在于，包括下列步骤：

步骤1、密钥生成中心生成密钥：

步骤101、设定系统参数，包括：

选择素数p，设置p阶的循环加法群G₁；

并选择群G₁的一个生成元，记为参数P；

以及设置p阶的循环乘法群G₂；

基于循环加法群G₁和循环乘法群G₂设置双线性映射G₁×G₁→G₂；

以及计算参数

定义三个安全哈希函数H₁,H₂和H₃，其中H₁为从{0,1}^*映射到H₂从G₁映射到H₃是从{0,1}^*×{0,1}^*×G₁×G₂映射到{0,1}^*表示任意比特长的二进制序列组成的集合，表示有限域去掉元素零所得到的有限域；

公开系统参数

步骤102、生成密钥：

密钥生成中心根据用户的身份信息，从有限域中随机选择主密钥s，计算公钥P_pub＝sP，部分私钥并将公钥P_pub、部分私钥D_ID和系统参数g发送给用户；

用户端从有限域中随机选择参数x_ID作为秘密值，基于用户端的身份标识ID计算公钥PK_ID＝x_ID(H₁(ID)P+P_pub)，并设置完全私钥

步骤2、用户端初始化文件和数据块：

用户端将文件M分为n块，得到n个数据块：m₁,m₂,…,m_n；

为每一个数据块m_i计算收敛密钥kh_i＝H₁(m_i)，并用该收敛密钥作为加密密钥对数据块m_i进行对称加密处理，得到数据块密文c_i，并得到每个数据块的块标签

计算从而得到文件M的文件标签用户端基于公钥P_pub、用户端的身份标识ID和公钥PK_ID，以及系统参数对每个数据块密文及收敛密钥作进行一次加密处理，得到一级密文数据块C_i：

C_i＝(U_i,V_i)＝((h_i||c_i)·g^r,r·(PK_ID+H₂(PK_ID)·(H₁(ID)·P+P_pub)))；

并设置数据块映射表Maps作为文件M指向一级密文数据块C_i的指针值；

计算每个数据块的块签名σ_i：

用户端从有限域中随机选取参数γ，计算承诺t＝g^γ；

计算每个数据块密文的哈希值h_i＝H₃(c_i,ID,PK_ID,t)，签名参数S_i＝(γ+h_i)SK_ID，得到每个数据块的块签名σ_i＝(h_i,S_i)；

对文件M的数据块映射表Maps进行一次加密处理，得到一级密文数据块映射表C_M：C_M＝(U_M,V_M)＝(Maps·g^r,r·(PK_ID+H₂(PK_ID)·(H₁(ID)·P+P_pub)))；

步骤3、用户端向云服务器发送文件上传请求：

用户端向云服务器发送文件上传请求，所述文件上传请求包括用户身份标识ID和公钥PK_ID，文件标签T_M，以及每个数据块的块标签和块签名σ_i；

步骤4、文件上传去重处理：

步骤401、服务器检测文件上传请求中的文件标签T_M是否存在；若是，则执行步骤402；否则执行步骤405；

步骤402：云服务器生成文件挑战信息challenge_M并返回给用户端；

其中，生成文件挑战信息challenge_M具体为：

根据文件标签T_M对应的文件M的总块数n，从1至n中随机生成k个整数，组成数据块索引子集I，其中I中的任意两个元素之间均相互独立；

对于从有限域中随机选择一个参数，记为v_i；

生成文件挑战信息challenge_M＝{i||v_i||ID||a_i||S_i||PK_ID}_i∈I，其中

步骤403：用户端对文件挑战信息challenge_M的应答处理：

用户端计算参数并计算哈希值以及计算响应证据并将P_v发送给云服务器；

步骤404：云服务器对文件的所有权证明：

云服务器验证是否成立，若成立，则表示当前文件已经存在于云服务器中，云服务器请求用户端上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′，并将用户身份标识ID、ID′添加到云服务器的ID列表中，并分配一个指向当前文件的指针，对当前文件上传请求的去重处理结束；

其中转换密钥rk_ID→ID′为：

若不成立，则云服务器返回给用户端一个错误消息，对当前文件上传请求的去重处理结束；

步骤405：云服务器检测块标签是否存在，若存在，则执行步骤406；若不存在，则执行步骤409；

步骤406：云服务器基于用户身份标识ID、公钥PK_ID，以及数据块的签名参数S_i和哈希值h_i生成数据块挑战信息challenge_c＝{ID||S_i||a_i||PK_ID}，并返回给用户端，其中，参数

步骤407：用户端生成数据块响应并发送给云服务器：

用户端基于收到挑战信息challenge_c，计算参数并计算哈希值h^*＝H₃(c_i,ID,PK_ID,t′)并发送给云服务器；

步骤408：云服务器对数据块所有权认证：

当云服务器接收到用户端传来的h^*时，与存储的块签名σ_i＝(h_i,S_i)中的h_i进行比较，判断h^*＝h_i是否成立，若成立，则通过所有权认证，执行数据块去重处理：将用户身份标识ID加入云服务器的ID列表中，并且为其设置一个指针指向该数据块；否则向用户端返返回一个错误消息；

步骤409：新上传处理：

云服务器确定上传内容并向用户端发送上传所述上传内容的上传请求；

所述上传内容包括用户身份标识ID、文件标签T_M，一级密文数据块映射表C_M，未存在于云服务器中的文件标签T_M对应的数据块信息，所述数据块信息包括一级密文数据块C_i块标签和块签名σ_i，以及请求用户端上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′；

云服务器将用户身份标识ID和ID′添加云服务器的ID列表中，为收到的每个一级密文数据块C_i设置一个指针，并存储用户端上传的上传内容。

2.如权利要求1所述的方法，其特征在于，还包括步骤5：用户端从云服务器下载文件，具体处理为：

步骤501：用户端向云服务器发送文件下载请求，所述文件下载请求包括下载用户的用户身份标识ID′、下载文件M的文件标签T_M；

步骤502：云服务器收到文件下载请求后，验证文件标签T_M和用户身份标识ID′是否存在；

若是，则进行下载文件所有权认证处理，当通过所有权验证后，云服务器设置一个时钟t,并使用对应ID′的转换密钥rk_ID→ID′对文件M的一级密文数据块映射表C_M进行二次加密，生成二次密文C'_M并返回给用户端；若文件所有权认证失败，则返回给用户端一个错误信息；其中，二次密文C'_M为：C'_M＝(U′_M,V′_M)＝(U_M·rk_ID→ID′,V_M)；

其中，下载文件所有权认证处理具体为：

云服务器根据下载文件M的总块数n，从1至n中随机生成k个整数，组成数据块索引子集I，其中I中的任意两个元素之间均相互独立；

对于从有限域中随机选择一个参数，记为v_i；并使用对应ID′的转换密钥rk_ID→ID′对对应的一级密文数据块C_i进行二次加密，得到二级密文数据块C'_i＝(U′_i,V_i′)＝(U_i·rk_ID→ID′,V_i)；

生成文件挑战信息challenge′_M并发送给用户端；

其中challenge′_M＝{i||C’_i||v_i||ID′||a_i||S_i||PK_ID}_i∈I，

用户端应答处理：算参数哈希值以及计算响应证据并将P_v发送给云服务器；其中c_i根据解密公式得到；

云服务器验证是否成立，若成立，则认为所有权验证通过；

步骤503：用户端收到C'_M后，解密得到数据块映射表Maps；

并在时钟t时间内根据数据块映射表Maps中的指针向云服务器发送下载对应的一级密文数据块C_i的请求；

其中，对C'_M的解密处理为：

步骤504：云服务器基于对应ID′的转换密钥rk_ID→ID′对请求的一级密文数据块C_i进行二次加密处理，得到二级密文数据块C’_i＝(U′_i,V_i′)＝(U_i·rk_ID→ID′,V_i)；

步骤505：用户端对所有二级密文数据块C_i'解密后得到n个数据块密文c_i，并验证是否成立，若成立，再对每个数据块密文c_i进行对称解密处理，得到文件M的各数据块明文；若不成立，则表示下载失败；

其中，对C_i'的解密处理为：

步骤506：若在时钟t时间内未完成步骤501-504，则云服务器报超时错误，拒绝当前文件下载请求。

3.如权利要求1或2所述的方法，其特征在于，在需要进行数据共享时，用户端主动向云服务器上传用于文件下载的下载用户身份标识ID′及其对应的转换密钥rk_ID→ID′；收到对应的信息后，云服务器将ID′添加到云服务器的ID列表中，并存储该转换密钥rk_ID→ID′，且与ID′相关联。