CN111931201B - 一种基于对称密钥的安全云存储系统 - Google Patents
一种基于对称密钥的安全云存储系统 Download PDFInfo
- Publication number
- CN111931201B CN111931201B CN202010678841.3A CN202010678841A CN111931201B CN 111931201 B CN111931201 B CN 111931201B CN 202010678841 A CN202010678841 A CN 202010678841A CN 111931201 B CN111931201 B CN 111931201B
- Authority
- CN
- China
- Prior art keywords
- data
- cloud
- owner
- tag
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于对称密钥的安全云存储系统,涉及涉及云存储安全技术领域,具体方案为:包括云端、可信密钥生成中心、数据所有者和数据使用者;可信密钥生成中心生成密钥,并通过安全通道将密钥分配到数据所有者和数据使用者,数据所有者外包数据块及其标签存储在云端,数据所有者生成数据完整性审核需求,云端使用选定的数据块和标签生成完整性证明,数据使用者验证证明并返回验证结果。本发明提供一种基于对称密钥的安全云存储系统,对于一个3MB的数据文件,能够将外包步骤的时间控制在1秒以下,且在云存储其他阶段的效率也能得到更有效的改进,使得整体效率大幅度提高,这对于安全云存储的应用将有着重要的意义。
Description
技术领域
本发明涉及云存储安全技术领域,更具体地说,它涉及一种基于对称密钥的安全云存储系统。
背景技术
在大数据时代,数据急剧增加(例如,银行中的个人信息,医院的病历信息,公司的财务报告以及法院的存证)对数据存储构成了巨大的挑战。因此公司和个人倾向于将数据外包到云存储提供商中。在很多应用中云存储提供商为我们提供了巨大的便利。但是,由于一些有意或无意的操作,比如内部雇主的恶意操纵,外在黑客的攻击和突然的软件故障会导致云存储提供商丢失或修改数据,因此把数据外包到云存储服务商中也存在着巨大的风险,如何保证云存储服务商中数据的完整性广泛地吸引了广大研究者的兴趣。
安全云存储(SCS)是当下验证数据完整性的最流行的一种解决方案。与传统方法不同(例如数字签名或MAC),无需下载验证数据完整性的全部数据,因此节省了大量的计算和通讯资源。确切地说,首先,数据所有者将数据文件划分为许多数据块。然后数据所有者为每个数据块生成标签,并将所有数据块及标签一起外包存储到云中。然后,数据使用者发送审核请求,即一些随机选择的数据块索引,然后云端为选定的数据块生成证明。最后,数据使用者验证证明并输出验证结果,以此声明云端数据是否完整。
在2007年,Ateniese和Juels首先提出了SCS的研究工作,随后涌现了越来越多的SCS解决方案。总体而言,这些解决方案大致分为两种类别,基于对称密钥的解决方案和基于非对称密钥的解决方案。对于基于非对称密钥的解决方案,数据使用者和数据所有者不需要事先建立安全的密钥共享通道。但是,由于使用了较为复杂的密码学工具,这些解决方案的效率却并不高。相反,基于对称密钥的解决方案效率很高,所需要的计算资源大幅度减少。考虑到大多数实际应用(例如便携式设备和无线传感器),效率是最重要的功能之一,因此轻便快捷的解决方案更加贴近实际需求。
以往的研究所提出的安全云存储方案存在两个不足。(1)效率有待提高,在以往的方案中,外包步骤花费了大部分计算资源。数据文件越大,花费的外包时间越多。例如,对于一个3MB的数据文件,通常需要几十秒甚至几分钟的时间来实现外包,这对于安全云存储的应用将有着重要的意义。
发明内容
为解决上述技术问题,本发明提供一种基于对称密钥的安全云存储系统,对于一个3MB的数据文件,能够将外包步骤的时间控制在1秒以下,且在云存储其他阶段的效率也能得到更有效的改进,使得整体效率大幅度提高。
本发明的上述技术目的是通过以下技术方案得以实现的:
一种基于对称密钥的安全云存储系统,包括云端、可信密钥生成中心、数据所有者和数据使用者;
可信密钥生成中心生成密钥,并通过安全通道将密钥分配到数据所有者和数据使用者,数据所有者外包数据块及其标签存储在云端,数据所有者生成数据完整性审核需求,云端使用选定的数据块和标签生成完整性证明,数据使用者验证证明并返回验证结果;
外包:数据所有者将数据文件F分为m个数据块,每个数据块表示为di,其中i=1,2…n,将最后一个块使用连续的0和文件大小进行填充;其中每个数据块,数据所有者计算标签所有数据块和对应的标签(di,ti)形成数据文件F',数据所有者将F'外包给云端;
作为一种优选方案,外包过程中,索引和数据块被镶入到标签中,然后将数据更新操作分为两种类型,插入/删除操作和修改操作,输入:标签数组,数据数组,L,L(i)=(索引,操作,长度,数值),具体包括以下步骤:
步骤1:初始化n=L的长度;
步骤2:对于i=0到n-1,
循环步骤3到步骤15;
步骤3:如果L(i)的操作=更新,然后
步骤4:q=1到L(i)的长度,
循环步骤5到步骤7;
步骤8:如果L(i)的操作=插入,然后
步骤9:q=1到L(i)的长度,
循环步骤10到步骤12;
步骤12:在标签数组起始位置L(i)的索引+q-1插入L(i)的索引+q-1;
步骤13:如果L(i)的操作=其他,然后
步骤14:q=1到L(i)的长度,
循环步骤15;
综上所述,本发明具有以下有益效果:
本发明提供一种基于对称密钥的安全云存储系统,对于一个3MB的数据文件,能够将外包步骤的时间控制在1秒以下,且在云存储其他阶段的效率也能得到更有效的改进,使得整体效率大幅度提高,这对于安全云存储的应用将有着重要的意义。
附图说明
图1是本发明实施例的安全云存储系统模型图;
图2是本发明实施例的数据更新的四种示例图。
具体实施方式
本说明书及权利要求并不以名称的差异来作为区分组件的方式,而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求当中所提及的“包括”为一开放式用语,故应解释成“包括但不限定于”。“大致”是指在可接收的误差范围内,本领域技术人员能够在一定误差范围内解决所述技术问题,基本达到所述技术效果。
下面结合附图进行进一步说明。
安全云存储。数据所有者可有效地将数据外包给云。此外,数据所有者或数据使用者能够验证云上的数据是否完整。
数据动态。数据在被外包到云后,能够支持动态更新。方案应允许数据所有者执行各种更新操作,包括数据插入,删除和修改。
安全威胁。我们认为安全威胁来自于云端,恶意云可能会偏离指定的规则进行操作。数据所有者将数据外包给云后,出于各种原因(例如硬件或软件故障),在云端的数据发生了更改,同时,恶意云选择欺骗用户存储在云端的数据仍然完整。
假设条件。方案存在两个假设条件。首先,负责分发密钥的信道假定是安全的。其次,数据所有者和数据使用者可以安全地存储私钥。
在之前安全云存储方案的基础上,我们提出了一种轻量级可更新可审计云存储方案—SecACS。如图1所示,SecACS系统模型由以下五个实体组成。
云服务器提供商(CSP)。CSP由两部分组成。一部分负责存储数据。另一部分负责响应数据审核请求,并返回数据完整性的证明。
可信密钥生成中心(TKGC)。TKGC是值得信赖的第三方,负责生成系统公共参数和在以下阶段中使用的秘密密钥。
数据使用者。数据使用者负责将审核查询发送到CSP并验证来自云端返回的完整性证明。
数据所有者。数据所有者负责将数据外包给CSP并更新数据。安全信道。密钥在安全信道中分发并通过安全通道传输。
简要描述安全云存储的步骤如下:首先,TKGC生成密钥,然后通过安全通道将其分配给数据所有者和数据使用者。然后数据所有者外包数据块及其标签给云端。数据所有者生成数据完整性审核需求。云端使用选定的数据块和标签生成完整性证明。之后数据使用者验证证明并返回验证结果。
具体方案
1.SecACS
SecACS包含如下五个计算步骤:(1)密钥生成;(2)外包;(3)生成审计请求;(4)生成证明;(5)验证证明。为了简要表达,我们忽略计算过程中的模运算(mod)符号,每个步骤的具体描述如下。
(1)密钥生成(KeyGen(1k)→(KOC,r)):输入安全参数k,TKGC生成以下参数:位长大于等于k的大素数p,素数阶为p的群任意选择一个随机数/>一个带有k位密钥KOC的伪随机函数/>系统密钥为(r,KOC)。
(2)外包(Outsource(F,KOC,r)→F'):数据所有者将数据文件F分为m个数据块,将每个数据块表示为di,其中i=1,2…n,我们将最后一个块使用连续的0和文件大小进行填充。对于每个数据块,数据所有者计算标签所有的数据块和对应的标签(di,ti)形成数据文件F',数据所有者将F'外包给云端。
(3)生成审计请求(Audit→q):随机审核CSP上数据的完整性。数据所有者或使用者随机选择索引及数值(i1,i2…il)∈{1,2…,m},数据所有者或数据使用者发送审核查询(i1,i2…il),/>到CSP。
2.动态更新
2、数据动态更新包括数据插入,删除和修改。在外包中,标签设定为索引和数据块被嵌入到标签中。我们将数据更新操作分为两种类型,插入/删除操作和修改操作。插入/删除操作会导致块索引的改变,而修改操作将不会修改索引值。为了提高效率,我们的方案支持数据的批量更新。我们在图2中详细描述了数据更新的过程。标签数组用于记录数据索引,数据数组表示数据块。在验证中,我们可以根据标签数组找到数据的原始索引。标签数组的初始长度与原始数据块的数量相同。对于数据修改操作,标签数组中的内容保持不变(第3-7行)。对于插入/删除操作,标签数组中更新点之后的元素会发生改变(第8-15行)。表示一个更新列表,中的每个元素可表示为一个四维组:L(i)=(索引,操作,长度,数值)。其中索引是一个可选参数,表示插入操作中起始的索引位置,操作代表的是插入/删除/更新的类型,长度表示的是一次操作的数据块长度,数值表示的是具体数据块。
外包过程中,索引和数据块被镶入到标签中,然后将数据更新操作分为两种类型,插入/删除操作和修改操作,输入:标签数组,数据数组,L,L(i)=(索引,操作,长度,数值),具体包括以下步骤:
步骤1:初始化n=L的长度;
步骤2:对于i=0到n-1,
循环步骤3到步骤15;
步骤3:如果L(i)的操作=更新,然后
步骤4:q=1到L(i)的长度,
循环步骤5到步骤7;
步骤8:如果L(i)的操作=插入,然后
步骤9:q=1到L(i)的长度,
循环步骤10到步骤12;
步骤12:在标签数组起始位置L(i)的索引+q-1插入L(i)的索引+q-1;
步骤13:如果L(i)的操作=其他,然后
步骤14:q=1到L(i)的长度,
循环步骤15;
示例1:更新数据块d4、d5为数据块d4'、d5'。首先使用索引4、索引5和数据块d4、d5得到新的标签t4'、t5'。随后数据所有者使用(d4,t4')、(d5,t5')进行替换,对于更新操作来说,标签数组的元素不会发生改变。
示例2:在数据块的起始索引2处插入数据块d2'、d3'。首先数据所有者计算得到标签t2'、t3'。随后数据所有者在数据数组中插入(d'2,t2')、(d'3,t3'),在标签数组中插入2和3。
示例3:删除数据块(d1,d2')。首先数据所有者在数据数组中删除(d1,t1)、(d'2,t'2),然后数据所有者从标签数组中删除索引1和2。
示例4:在数据数组的起始位置2处插入数据块d”4,删除d'4,更新数据块d'5为d”5。首先使用索引2和数据块d”4计算标签t”4。随后数据所有者在数据数组中插入(d”4,t”4)并且在标签数组中插入索引2。数据所有者从数据数组中删除(d'4,t'4)并且从标签数组中删除索引4。数据所有者使用索引5和数据块d5'计算标签t5',最后数据所有者在数据数组中使用(d”5,t”5)代替(d'5,t'5)。
本具体实施例仅仅是对本发明的解释,其并不是对本发明的限制,本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改,但只要在本发明的权利要求范围内都受到专利法的保护。
Claims (2)
1.一种基于对称密钥的安全云存储系统,其特征在于,包括云端、可信密钥生成中心、数据所有者和数据使用者;
可信密钥生成中心生成密钥,并通过安全通道将密钥分配到数据所有者和数据使用者,数据所有者外包数据块及其标签存储在云端,数据所有者生成数据完整性审核需求,云端使用选定的数据块和标签生成完整性证明,数据使用者验证证明并返回验证结果;
外包:数据所有者将数据文件F分为m个数据块,每个数据块表示为di,其中i=1,2…n,将最后一个块使用连续的0和文件大小进行填充;其中每个数据块,数据所有者计算标签所有数据块和对应的标签(di,ti)形成数据文件F',数据所有者将F'外包给云端;
2.根据权利要求1所述的基于对称密钥的安全云存储系统,其特征在于,所述外包过程中,索引和数据块被镶入到标签中,然后将数据更新操作分为两种类型,插入/删除操作和修改操作,输入:标签数组,数据数组,L,L(i)=(索引,操作,长度,数值),具体包括以下步骤:
步骤1:初始化n=L的长度;
步骤2:对于i=0到n-1,
循环步骤3到步骤15;
步骤3:如果L(i)的操作=更新,然后
步骤4:q=1到L(i)的长度,
循环步骤5到步骤7;
步骤8:如果L(i)的操作=插入,然后
步骤9:q=1到L(i)的长度,
循环步骤10到步骤12;
步骤12:在标签数组起始位置L(i)的索引+q-1插入L(i)的索引+q-1;
步骤13:如果L(i)的操作=其他,然后
步骤14:q=1到L(i)的长度,
循环步骤15;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010678841.3A CN111931201B (zh) | 2020-07-15 | 2020-07-15 | 一种基于对称密钥的安全云存储系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010678841.3A CN111931201B (zh) | 2020-07-15 | 2020-07-15 | 一种基于对称密钥的安全云存储系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111931201A CN111931201A (zh) | 2020-11-13 |
CN111931201B true CN111931201B (zh) | 2023-06-16 |
Family
ID=73313382
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010678841.3A Active CN111931201B (zh) | 2020-07-15 | 2020-07-15 | 一种基于对称密钥的安全云存储系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111931201B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115052007A (zh) * | 2022-05-23 | 2022-09-13 | 重庆第二师范学院 | 一种云存储数据完整性可溯源公开验证方法、系统及终端 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104038493A (zh) * | 2014-06-10 | 2014-09-10 | 电子科技大学 | 无双线性对的云存储数据安全审计方法 |
CN104811300A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云存储的密钥更新方法及云数据审计系统的实现方法 |
CN106254374A (zh) * | 2016-09-05 | 2016-12-21 | 电子科技大学 | 一种具备去重功能的云数据公开审计方法 |
CN106789082A (zh) * | 2017-01-11 | 2017-05-31 | 西南石油大学 | 基于无线体域网的云存储医疗数据批量自审计方法 |
CN109861829A (zh) * | 2019-03-15 | 2019-06-07 | 上海海事大学 | 支持动态更新的云数据公正审计系统及其审计方法 |
CN109948372A (zh) * | 2019-03-29 | 2019-06-28 | 福建师范大学 | 一种指定验证者的云存储中远程数据持有验证方法 |
CN110113320A (zh) * | 2019-04-18 | 2019-08-09 | 南京信息工程大学 | 一种基于双线性对累加器的云存储数据完整性验证方法 |
CN110365469A (zh) * | 2019-08-30 | 2019-10-22 | 金陵科技学院 | 一种支持数据隐私保护的云存储中数据完整性验证方法 |
CN110808953A (zh) * | 2019-09-27 | 2020-02-18 | 西安电子科技大学 | 一种具备位置感知的云数据可验证备份方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015173434A1 (en) * | 2014-05-16 | 2015-11-19 | Nec Europe Ltd. | Method for proving retrievability of information |
-
2020
- 2020-07-15 CN CN202010678841.3A patent/CN111931201B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104038493A (zh) * | 2014-06-10 | 2014-09-10 | 电子科技大学 | 无双线性对的云存储数据安全审计方法 |
CN104811300A (zh) * | 2015-04-22 | 2015-07-29 | 电子科技大学 | 云存储的密钥更新方法及云数据审计系统的实现方法 |
CN106254374A (zh) * | 2016-09-05 | 2016-12-21 | 电子科技大学 | 一种具备去重功能的云数据公开审计方法 |
CN106789082A (zh) * | 2017-01-11 | 2017-05-31 | 西南石油大学 | 基于无线体域网的云存储医疗数据批量自审计方法 |
CN109861829A (zh) * | 2019-03-15 | 2019-06-07 | 上海海事大学 | 支持动态更新的云数据公正审计系统及其审计方法 |
CN109948372A (zh) * | 2019-03-29 | 2019-06-28 | 福建师范大学 | 一种指定验证者的云存储中远程数据持有验证方法 |
CN110113320A (zh) * | 2019-04-18 | 2019-08-09 | 南京信息工程大学 | 一种基于双线性对累加器的云存储数据完整性验证方法 |
CN110365469A (zh) * | 2019-08-30 | 2019-10-22 | 金陵科技学院 | 一种支持数据隐私保护的云存储中数据完整性验证方法 |
CN110808953A (zh) * | 2019-09-27 | 2020-02-18 | 西安电子科技大学 | 一种具备位置感知的云数据可验证备份方法 |
Non-Patent Citations (2)
Title |
---|
一种基于代数签名的远程数据完整性验证方法;王惠清 等;;计算机应用与软件;33(02);第302-306页 * |
基于有限域代数签名分治表的大数据云存储远程审计;钱政 等;;计算机工程与科学;40(11);第1907-1914页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111931201A (zh) | 2020-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Raman et al. | Distributed storage meets secret sharing on the blockchain | |
CN108965258B (zh) | 一种基于全同态加密的云环境数据完整性验证方法 | |
Ning et al. | Passive attacks against searchable encryption | |
CN110912706B (zh) | 一种基于身份的动态数据完整性审计方法 | |
CN110334526B (zh) | 一种支持验证的前向安全可搜索加密存储系统及方法 | |
Zheng et al. | Fair and dynamic proofs of retrievability | |
Papamanthou et al. | Authenticated hash tables | |
CN109716375A (zh) | 区块链账户的处理方法、装置和存储介质 | |
Fan et al. | TraceChain: A blockchain‐based scheme to protect data confidentiality and traceability | |
Li et al. | A method for achieving provable data integrity in cloud computing | |
KR101594553B1 (ko) | 암호화 키를 생성하는 방법, 이를 위한 네트워크 및 컴퓨터 프로그램 | |
KR101082917B1 (ko) | 원격 컴퓨팅 환경에서 사용자 데이터의 무결성 검증 방법 및 그 시스템 | |
CN109272316B (zh) | 一种基于区块链网络下的区块实现方法及系统 | |
CN106991148B (zh) | 一种支持全更新操作的数据库验证系统及方法 | |
Tan et al. | An efficient method for checking the integrity of data in the cloud | |
CN114826703A (zh) | 基于区块链的数据搜索细粒度访问控制方法及系统 | |
Giri et al. | A survey on data integrity techniques in cloud computing | |
CN112163854A (zh) | 一种层级化基于区块链公钥可搜索加密方法及系统 | |
Ma et al. | CP‐ABE‐Based Secure and Verifiable Data Deletion in Cloud | |
CN115659417A (zh) | 审计日志存储方法、验证方法、装置和计算机设备 | |
Fu et al. | Searchable encryption scheme for multiple cloud storage using double‐layer blockchain | |
CN111931201B (zh) | 一种基于对称密钥的安全云存储系统 | |
EP4066199A1 (en) | Feedback controller using secret sharing | |
Gritti et al. | Dynamic provable data possession protocols with public verifiability and data privacy | |
CN113448515A (zh) | 一种云存储中支持外包数据细粒度插入的可验证删除方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |