CN110750796A - 一种支持公开审计的加密数据去重方法 - Google Patents

Abstract

本发明公开了一种支持公开审计的加密数据去重方法，通过云服务器CS、用户User、第三方审计者TPA三者协助完成；其中，加密数据的密钥由初始上传该文件的用户User随机选择，采用隐藏凭据恢复方法将文件密钥安全传递至需要下载该文件的合法拥有者，基于挑战‑应答模型的PoW协议验证后继上传用户是否是文件的真实拥有者，同时添加第三方审计者TPA代表用户User对数据进行公共完整性审计，实现加密数据安全去重的同时保证云数据完整性。

Description

一种支持公开审计的加密数据去重方法

技术领域

本发明涉及云存储中数据去重的技术领域，尤其涉及到一种支持公开审计的加密数据去重方法。

背景技术

在云存储服务中，客户将数据外包给远程存储，并在需要数据时访问数据。近年来，由于云存储服务的便捷性，云存储服务得到了广泛的应用，云存储服务的使用也越来越多。众所周知的云服务，如Dropbox和iCloud，被个人和企业用于各种应用程序。为了节约存储空间，降低网络带宽，数据去重技术在云存储服务中应用广泛。

数据去重(deduplication)技术，也称为重复数据删除技术，是一种消除冗余文件或文件内部冗余数据块的技术。由于该技术仅保留一份数据副本，因此可以极大地节省云存储空间。

由于用户关心他们数据的隐私，一般在上传数据至云服务器之前会对数据进行加密处理，由于加密算法的随机性，相同数据的多个用户利用不同加密密钥产生不同的密文，使得云服务器不能判断明文是否相同并去重，因此传统的加密方案不能同时实现去重和加密。为此，(Douceur J R,Adya A,Bolosky W J,et al.Reclaiming Space from DuplicateFiles in a Serverless Distributed File System[C]//International Conference onDistributed Computing Systems.IEEE,2002)Douceu等人提出了收敛加密(Convergentencryption,CE)，实现了加密数据去重。在此基础上，(Bellare M,KeelveedhiS.Interactive Message-Locked Encryption and Secure Deduplication[M]//Advancesin Cryptology–EUROCRYPT 2013.Springer Berlin Heidelberg,2013)Bellare等人提出了消息锁加密(Message-Locked Encryption,MLE)解决收敛加密存在的标签一致性问题。

同时，在用户使用云存储服务时关心数据的完整性。换句话说，用户希望保证他们在云中数据的完整性。在云存储服务中，我们不能排除弱云服务器的可能性，它们容易受到内部和外部安全威胁。在某些事件导致数据丢失的情况下，弱服务器可能会试图掩盖它们丢失了一些客户委托的数据的事实。更严重的是，服务器删除很少访问的用户数据，以增加利润。因此，客户端定期检查数据的当前状态是很自然的需求。为了在实践中做到这一点，我们需要一种方法来有效地检查远程存储中的数据的完整性。到目前为止，已经提出了各种方案，包括可恢复性证明(proof of retrievability,POR)方案(Y.Dodis,S.Vadhan,andD.Wichs,Proofs of retrievability via hardness amplification,in Proc.6thTheory Cryptogr.Conf.,San Francisco,CA,USA,2009,pp.109–127)和数据持有性验证(provable data possession,PDP)方案(G.Ateniese et al.,Provable data possessionat untrusted stores,in Proc.14th ACM Conf.Comput.Commun.Secur.,Alexandria,VA,USA,2007,pp.598–609)。基于这两个方案，提出了很多变体。安全重复数据删除和完整性审计是云存储服务的重要功能。因此，对这两个问题进行了较为积极的研究。然而，同时支持这两种功能的组合方案的设计研究相对较少。

发明内容

本发明的目的在于克服现有技术的不足，提供一种以保证数据安全性和完整性为基础的支持公开审计的加密数据去重方法。

为实现上述目的，本发明所提供的技术方案为：

一种支持公开审计的加密数据去重方法，通过云服务器CS、用户User、第三方审计者TPA三者协助完成；其中，加密数据的密钥由初始上传该文件的用户User随机选择，采用隐藏凭据恢复方法将文件密钥安全传递至需要下载该文件的合法拥有者，基于挑战-应答模型的PoW协议验证后继上传用户是否是文件的真实拥有者，同时添加第三方审计者TPA代表用户User对数据进行公共完整性审计，实现加密数据安全去重的同时保证云数据完整性。

进一步地，上述中具体包括以下步骤：

S1.云服务器CS初始化：云服务器CS运行初始化算法Setup(λ)→PP，输入安全参数λ，输出系统公开参数PP；

S2.数据加密：运行加密算法Encrypt(PP,K,M)→(C,T_F)，输入系统公开参数PP，数据明文M，密钥K，输出密文C，数据标签T_F；

S3.文件上传：用户User发送文件标签T_F至云服务器CS，云服务器CS对文件标签T_F进行哈希，得到对应的哈希值，检查Bloom Filter对应比特位是否全为1，若不全为1，说明该文件时第一次被上传，称为初始上传；反之，表明云服务器CS中已存在该标签，称为后继上传；

S4.文件下载：用户User发送下载请求和文件标签、用户ID给云服务器CS，云服务器CS判断该用户User是否为文件的所有者，若不是，则忽略这次请求，若是，则返回密文等信息给用户User，运行解密算法Decrypt(C,PP,K)→M，输入系统公开参数PP，利用解密密钥K得到明文M；

S5.数据审计：数据完整性审计由第三方审计者TPA定时与云服务器CS进行交互完成；第三方审计者TPA发送审计挑战，服务器响应挑战，TPA根据响应判断数据完整性是否被破坏。

进一步地，所述步骤S1具体为：

服务器运行初始化算法Setup(λ)→PP，输入安全参数λ，输出系统公开参数PP＝{q,g,G,G_T,h,H₁,H₂,H₃}，其中，G表示一个q阶加法群，g表示其生成元，映射关系e:G×G→H₂，h,H₁,H₂,H₃均为哈希函数。

进一步地，所述步骤S2具体为：

运行加密算法Encrypt(PP,K,M)→(C,T_F)，输入系统公开参数PP，数据明文M，随机生成加密密钥K，使用对称加密算法AES加密数据M，得到对应密文C，使用哈希函数H₂计算得到数据标签T_F＝H₂(M)，标签是作为标识数据的唯一标识符。

进一步地，所述步骤S3中初始上传和后继上传的操作分别如下：

初始上传：用户User选择2个随机数w、s，计算z＝w^s，根据隐藏凭据恢复方法计算秘钥传递值D＝(h(T_F))^s，密钥传递保护值r＝K×D^-1，发送w,s,z,r和密文C至云服务器CS，云服务器CS把密文C分成n块，进一步把每块分成x个向量C_ij，1≤i≤n,1≤j≤x；云服务器CS随机选择

作为私钥，计算对应公钥V＝α·g，随机选择x个元素U_j，1≤j≤x，为每个密文块计算标签

1≤i≤n,1≤j≤x；云服务器CS为文件创建所有权表{T_F}，并把用户ID插入其中，所有权表和密文块标签t_i存储到主存储区，把密文C_ij存储到二级缓存区，并对文件标签T_F进行哈希，把产生的k个哈希值插入到Bloom Filter中，对应比特位置为1；同时，云服务器CS把{U_j}抄送给用户User，用户User发送审计信息{T_F、U_ID、V、U_j}给第三方审计者TPA，用户User保存文件标签T_F；

后继上传：说明云服务器CS中已有该文件的备份，要求后继上传者向云服务器CS证明其是文件的合法拥有者，即进行PoW验证；云服务器CS随机选择

发送挑战集Q＝{a,k₁,k₂}给用户User，用户User计算A_i＝π_k1(i)，i∈[1,a]，V_Ai＝f_k2(i)，计算

发送{μ₁,μ₂,...,μ_x}给云服务器CS；云服务器CS计算A_i＝π_k1(i)，V_Ai＝f_k2(i)，计算

比较等式

是否成立，若等式成立，则PoW验证成功，表明该用户User确实为文件的合法拥有者，把该用户添加至文件的所有权表中，反之，PoW验证失败。

进一步地，所述步骤S4具体为：

用户User发送下载文件请求，发送文件标签T_F、用户ID给云服务器CS，云服务器CS查询文件的所有权表中是否包含该用户，若不包含，则忽略这次请求，反之，若该用户在文件的所有权表中，则将w,z,r，{C_ij}发送给用户，用户选择一个随机数R，计算U＝w^Rh(T_F)并返回给云服务器CS，云服务器CS计算验证值B＝U^s并发送给用户User，用户User根据接收到的验证值，计算秘钥传递值D＝B×z^-R，得到密钥K＝r×D，根据云服务器CS发送来的密文块集合{C_ij}恢复密文得到完整密文C，运行解密算法Decrypt(C,PP,K)→M输入系统公开参数PP，利用解密密钥K得到明文M。

进一步地，所述步骤S5具体为：

第三方审计者TPA随机选择

发送挑战集Q＝{a,k₁,k₂}给云服务器CS，云服务器CS计算A_i＝π_k1(i)，i∈[1,a]，V_Ai＝f_k2(i)，计算1≤i≤n,1≤j≤x，发送{μ_j}、{τ_j}给第三方审计者TPA，第三方审计者TPA计算A_i＝π_k1(i)，V_Ai＝f_k2(i)，比较

是否成立，若等式成立，则表明用户数据在云服务器CS中正确存储，反之，则说明，数据完整性遭到破坏。

与现有技术相比，本方案的原理如下：

本方案通过云服务器CS、用户User、第三方审计者TPA三者协助完成；其中，加密数据的密钥由初始上传该文件的用户User随机选择，采用隐藏凭据恢复方法将文件密钥安全传递至需要下载该文件的合法拥有者，基于挑战-应答模型的PoW协议验证后继上传用户是否是文件的真实拥有者，同时添加第三方审计者TPA代表用户User对数据进行公共完整性审计，实现加密数据安全去重的同时保证云数据完整性。

与现有技术相比，本方案的优点如下：

1)加密数据安全去重；加密密钥随机选择产生，与文件本身无关，确保密钥的隐私，提高安全性。

2)安全的PoW机制；PoW即所有权证明，一个挑战-应答机制，当文件被检测出重复上传时，当前用户需要向服务器证明它确实是文件的拥有者。服务器发出挑战，用户根据挑战作出应答，服务器根据验证接收到的应答是否正确来判别当前用户是否是文件的合法拥有者。

3)数据完整性审计；在实现加密数据安全去重的同时添加第三方审计者代表用户定时与服务器交互，检查云数据的完整性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的服务作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种支持公开审计的加密数据去重方法中云服务器CS、用户User、第三方审计者TPA三者之间的交互模型图；

图2为本发明一种支持公开审计的加密数据去重方法中文件上传的流程图；

图3为本发明一种支持公开审计的加密数据去重方法中数据公开审计的流程图。

具体实施方式

下面结合具体实施例对本发明作进一步说明：

本实施例所述的一种支持公开审计的加密数据去重方法，通过云服务器CS、用户User、第三方审计者TPA三者协助完成，如图1所示；其中，加密数据的密钥由初始上传该文件的用户User随机选择，采用隐藏凭据恢复方法将文件密钥安全传递至需要下载该文件的合法拥有者，基于挑战-应答模型的PoW协议验证后继上传用户是否是文件的真实拥有者，同时添加第三方审计者TPA代表用户User对数据进行公共完整性审计，实现加密数据安全去重的同时保证云数据完整性。

上述中，采用的隐藏凭据恢复方法分为两个阶段：注册阶段和传递阶段，通过这两个阶段党的运算，从而实现对加密信息的安全传递。

注册阶段

①用户随机选择随机数v和随机数s；

②客户端计算中间变量值z＝w^s；

③客户端计算口令传递值D＝(h(T_F))^s；

④客户端计算口令传递保护值r＝K×D^-1；

⑤用户将(w,z,r,s)发送给服务器存储。

传递阶段

①服务器发送(w,z,r)给用户；

②客户端随机选择R，计算口令证据值U＝w^Rh(T_F)并发送给服务器；

③服务端计算口令证据验证值B＝U^s并将其发送给客户端；

④客户端计算口令传递值D＝B×z^-R；

⑤客户端计算K＝r×D。

本实施例中各符号的含义：

G、G_T：两个阶为素数q的加法循环群；

g：G的生成元；

e:G×G→G_T：双线性映射；

h：哈希函数(md5或者SHA1哈希函数)；

H₁:{0,1}^*→G：哈希函数，任意长的0、1串映射到G中的一个元素；H₂:{0,1}^*→Z_q ^*：哈希函数，任意长的0、1串映射到的一个元素；H₃:G→Z_q ^*：哈希函数，G中的元素映射到的一个元素；

K：加密密钥；

M：待上传文件或数据M；

π_k1：一个伪随机排列函数；

f_k2：一个伪随机函数。

整个实施例的具体步骤如下：

S1.云服务器CS初始化：

服务器运行初始化算法Setup(λ)→PP，输入安全参数λ，输出系统公开参数PP＝{q,g,G,G_T,h,H₁,H₂,H₃}，其中，G表示一个q阶加法群，g表示其生成元，映射关系e:G×G→H₂，h,H₁,H₂,H₃均为哈希函数。

S2.数据加密：

运行加密算法Encrypt(PP,K,M)→(C,T_F)，输入系统公开参数PP，数据明文M，随机生成加密密钥K，使用对称加密算法AES加密数据M，得到对应密文C，使用哈希函数H₂计算得到数据标签T_F＝H₂(M)，标签是作为标识数据的唯一标识符。

S3.文件上传：

用户User发送文件标签T_F至云服务器CS，云服务器CS对文件标签T_F进行哈希，得到对应的哈希值，检查Bloom Filter对应比特位是否全为1，若不全为1，说明该文件时第一次被上传，称为初始上传；反之，表明云服务器CS中已存在该标签，称为后继上传；

初始上传和后继上传的操作分别如下：

初始上传：用户User选择2个随机数w、s，计算z＝w^s，根据隐藏凭据恢复方法计算秘钥传递值D＝(h(T_F))^s，密钥传递保护值r＝K×D^-1，发送w,s,z,r和密文C至云服务器CS，云服务器CS把密文C分成n块，进一步把每块分成x个向量C_ij，1≤i≤n,1≤j≤x；云服务器CS随机选择

作为私钥，计算对应公钥V＝α·g，随机选择x个元素U_j，1≤j≤x，为每个密文块计算标签

1≤i≤n,1≤j≤x；云服务器CS为文件创建所有权表{T_F}，并把用户ID插入其中，所有权表和密文块标签t_i存储到主存储区，把密文C_ij存储到二级缓存区，并对文件标签T_F进行哈希，把产生的k个哈希值插入到Bloom Filter中，对应比特位置为1；同时，云服务器CS把{U_j}抄送给用户User，用户User发送审计信息{T_F、U_ID、V、U_j}给第三方审计者TPA，用户User保存文件标签T_F；

后继上传：说明云服务器CS中已有该文件的备份，要求后继上传者向云服务器CS证明其是文件的合法拥有者，即进行PoW验证；云服务器CS随机选择发送挑战集Q＝{a,k₁,k₂}给用户User，用户User计算A_i＝π_k1(i)，i∈[1,r]，V_Ai＝f_k2(i)，计算发送{μ₁,μ₂,...,μ_x}给云服务器CS；云服务器CS计算A_i＝π_k1(i)，V_Ai＝f_k2(i)，计算比较等式

是否成立，若等式成立，则PoW验证成功，表明该用户User确实为文件的合法拥有者，把该用户添加至文件的所有权表中，反之，PoW验证失败。

上传流程如图2所示。

S4.文件下载：

用户User发送下载文件请求，发送文件标签T_F、用户ID给云服务器CS，云服务器CS查询文件的所有权表中是否包含该用户，若不包含，则忽略这次请求，反之，若该用户在文件的所有权表中，则将w,z,r，{C_ij}发送给用户，用户选择一个随机数R，计算U＝w^Rh(T_F)并返回给云服务器CS，云服务器CS计算验证值B＝U^s并发送给用户User，用户User根据接收到的验证值，计算秘钥传递值D＝B×z^-R，得到密钥K＝r×D，根据云服务器CS发送来的密文块集合{C_ij}恢复密文得到完整密文C，运行解密算法Decrypt(C,PP,K)→M输入系统公开参数PP，利用解密密钥K得到明文M。

S5.数据审计：

如图3所示，第三方审计者TPA随机选择

发送挑战集Q＝{a,k₁,k₂}给云服务器CS，云服务器CS计算A_i＝π_k1(i)，i∈[1,r]，V_Ai＝f_k2(i)，计算

1≤i≤n,1≤j≤x，发送{μ_j}、{τ_j}给第三方审计者TPA，第三方审计者TPA计算A_i＝π_k1(i)，V_Ai＝f_k2(i)，比较

是否成立，若等式成立，则表明用户数据在云服务器CS中正确存储，反之，则说明，数据完整性遭到破坏。

以上所述之实施例子只为本发明之较佳实施例，并非以此限制本发明的实施范围，故凡依本发明之形状、原理所作的变化，均应涵盖在本发明的保护范围内。

Claims (7)

1.一种支持公开审计的加密数据去重方法，其特征在于，通过云服务器CS、用户User、第三方审计者TPA三者协助完成；其中，加密数据的密钥由初始上传该文件的用户User随机选择，采用隐藏凭据恢复方法将文件密钥安全传递至需要下载该文件的合法拥有者，基于挑战-应答模型的PoW协议验证后继上传用户是否是文件的真实拥有者，同时添加第三方审计者TPA代表用户User对数据进行公共完整性审计，实现加密数据安全去重的同时保证云数据完整性。

2.根据权利要求1所述的一种支持公开审计的加密数据去重方法，其特征在于，包括以下步骤：

S1.云服务器CS初始化：云服务器CS运行初始化算法Setup(λ)→PP，输入安全参数λ，输出系统公开参数PP；

S2.数据加密：运行加密算法Encrypt(PP,K,M)→(C,T_F)，输入系统公开参数PP，数据明文M，密钥K，输出密文C，数据标签T_F；

S3.文件上传：用户User发送文件标签T_F至云服务器CS，云服务器CS对文件标签T_F进行哈希，得到对应的哈希值，检查Bloom Filter对应比特位是否全为1，若不全为1，说明该文件时第一次被上传，称为初始上传；反之，表明云服务器CS中已存在该标签，称为后继上传；

S4.文件下载：用户User发送下载请求和文件标签、用户ID给云服务器CS，云服务器CS判断该用户User是否为文件的所有者，若不是，则忽略这次请求，若是，则返回密文等信息给用户User，运行解密算法Decrypt(C,PP,K)→M，输入系统公开参数PP，利用解密密钥K得到明文M；

S5.数据审计：数据完整性审计由第三方审计者TPA定时与云服务器CS进行交互完成；第三方审计者TPA发送审计挑战，服务器响应挑战，TPA根据响应判断数据完整性是否被破坏。

3.根据权利要求2所述的一种支持公开审计的加密数据去重方法，其特征在于，所述步骤S1具体为：

服务器运行初始化算法Setup(λ)→PP，输入安全参数λ，输出系统公开参数PP＝{q,g,G,G_T,h,H₁,H₂,H₃}，其中，G表示一个q阶加法群，g表示其生成元，映射关系e:G×G→H₂，h,H₁,H₂,H₃均为哈希函数。

4.根据权利要求2所述的一种支持公开审计的加密数据去重方法，其特征在于，所述步骤S2具体为：

运行加密算法Encrypt(PP,K,M)→(C,T_F)，输入系统公开参数PP，数据明文M，随机生成加密密钥K，使用对称加密算法AES加密数据M，得到对应密文C，使用哈希函数H₂计算得到数据标签T_F＝H₂(M)，标签是作为标识数据的唯一标识符。

5.根据权利要求2所述的一种支持公开审计的加密数据去重方法，其特征在于，所述步骤S3中初始上传和后继上传的操作分别如下：

初始上传：用户User选择2个随机数w、s，计算z＝w^s，根据隐藏凭据恢复方法计算秘钥传递值D＝(h(T_F))^s，密钥传递保护值r＝K×D^-1，发送w,s,z,r和密文C至云服务器CS，云服务器CS把密文C分成n块，进一步把每块分成x个向量C_ij，1≤i≤n,1≤j≤x；云服务器CS随机选择

作为私钥，计算对应公钥V＝α·g，随机选择x个元素U_j，1≤j≤x，为每个密文块计算标签

1≤i≤n,1≤j≤x；云服务器CS为文件创建所有权表{T_F}，并把用户ID插入其中，所有权表和密文块标签t_i存储到主存储区，把密文C_ij存储到二级缓存区，并对文件标签T_F进行哈希，把产生的k个哈希值插入到Bloom Filter中，对应比特位置为1；同时，云服务器CS把{U_j}抄送给用户User，用户User发送审计信息{T_F、U_ID、V、U_j}给第三方审计者TPA，用户User保存文件标签T_F；

后继上传：说明云服务器CS中已有该文件的备份，要求后继上传者向云服务器CS证明其是文件的合法拥有者，即进行PoW验证；云服务器CS随机选择a,k₁,

发送挑战集Q＝{a,k₁,k₂}给用户User，用户User计算A_i＝π_k1(i)，i∈[1,a]，V_Ai＝f_k2(i)，计算

发送{μ₁,μ₂,...,μ_a}给云服务器CS；云服务器CS计算A_i＝π_k1(i)，V_Ai＝f_k2(i)，计算比较等式

是否成立，若等式成立，则PoW验证成功，表明该用户User确实为文件的合法拥有者，把该用户添加至文件的所有权表中，反之，PoW验证失败。

6.根据权利要求2所述的一种支持公开审计的加密数据去重方法，其特征在于，所述步骤S4具体为：

用户User发送下载文件请求，发送文件标签T_F、用户ID给云服务器CS，云服务器CS查询文件的所有权表中是否包含该用户，若不包含，则忽略这次请求，反之，若该用户在文件的所有权表中，则将w,z,r，{C_ij}发送给用户，用户选择一个随机数R，计算U＝w^Rh(T_F)并返回给云服务器CS，云服务器CS计算验证值B＝U^s并发送给用户User，用户User根据接收到的验证值，计算秘钥传递值D＝B×z^-R，得到密钥K＝r×D，根据云服务器CS发送来的密文块集合{C_ij}恢复密文得到完整密文C，运行解密算法Decrypt(C,PP,K)→M输入系统公开参数PP，利用解密密钥K得到明文M。

7.根据权利要求2所述的一种支持公开审计的加密数据去重方法，其特征在于，所述步骤S5具体为：

第三方审计者TPA随机选择a,k₁,

发送挑战集Q＝{a,k₁,k₂}给云服务器CS，云服务器CS计算A_i＝π_k1(i)，i∈[1,a]，V_Ai＝f_k2(i)，计算

1≤i≤n,1≤j≤a，发送{μ_j}、{τ_j}给第三方审计者TPA，第三方审计者TPA计算A_i＝π_k1(i)，V_Ai＝f_k2(i)，比较

是否成立，若等式成立，则表明用户数据在云服务器CS中正确存储，反之，则说明，数据完整性遭到破坏。

Images