CN113301042A - 一种负载均衡的隐私数据共享方法 - Google Patents

一种负载均衡的隐私数据共享方法 Download PDF

Info

Publication number
CN113301042A
CN113301042A CN202110560903.5A CN202110560903A CN113301042A CN 113301042 A CN113301042 A CN 113301042A CN 202110560903 A CN202110560903 A CN 202110560903A CN 113301042 A CN113301042 A CN 113301042A
Authority
CN
China
Prior art keywords
data
node
encryption
message
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110560903.5A
Other languages
English (en)
Other versions
CN113301042B (zh
Inventor
张建忠
李建斌
徐敬东
刘松
蒲凌君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nankai University
Original Assignee
Nankai University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nankai University filed Critical Nankai University
Priority to CN202110560903.5A priority Critical patent/CN113301042B/zh
Publication of CN113301042A publication Critical patent/CN113301042A/zh
Application granted granted Critical
Publication of CN113301042B publication Critical patent/CN113301042B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/4881Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5083Techniques for rebalancing the load in a distributed system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Abstract

一种负载均衡的隐私数据共享方法。数据共享步骤包括:(1)所有参与节点生成公私钥对,加入IPFS网络(2)数据拥有者通过两重加密后上传数据至IPFS网络(3)数据请求者向数据拥有者的请求得到响应后发送正式请求;(4)数据拥有者收到正式请求后生成多个分组重加密密钥,根据邻近节点状态,分发至邻近节点;(5)邻近节点根据自身状态,对接收数据进行再次转发或者进行重加密计算,结果发送给数据请求者;(6)数据请求者积累多个结果后,从IPFS网络下载数据,解密得到明文。其中节点状态由节点阈值和节点当前任务队列长度确定。本发明实现了数据的秘密共享同时解决了重加密过程中单一节点负载过重问题,实现了整体上的加密负载均衡。

Description

一种负载均衡的隐私数据共享方法
技术领域
本发明属于云计算中的代理重加密和负载均衡技术领域,具体涉及动态阈值算法、门限代理重加密和星际文件系统。
背景技术
云计算的快速发展使得人们具有了一个便捷的数据共享与存储平台。利用云计算,团队可以在节省大量本地存储资源以及避免长期维护的情况下,进行数据共享。但是,云端数据脱离了数据拥有者的直接掌握,存在安全隐患。为了数据的安全性,必须对数据进行访问控制。最简单方法是采取对称加密,通过密钥管理机构向内部成员分发公共对称密钥。但是由于内部成员的变动,密钥需要频繁更换,云端数据也需要重新加密。而且一旦单个成员密钥泄露,所有数据均存在泄密风险。另一种方法是采用非对称加密。数据拥有者将数据公钥加密上传云端,当收到数据请求时,从云端下载数据,解密,利用数据请求者公钥加密后重新上传,实现数据共享。但是,该方法由于将所有的计算开销和通讯开销集中于数据拥有者,无法发挥云端优势。
考虑到以上问题,Blaze,Bleumer和Strauss提出了代理重加密(Proxy Re-Encryption)方案。代理重加密方案中代理节点利用重加密密钥进行重加密运算,使被加密数据的解密权由数据拥有者转移至数据请求者,该过程中,数据明文与双方密钥均不泄露给代理节点,数据拥有者不必承担重加密计算开销。但是该过程发生在云端或中心节点,只是半信任的代理节点,依然存在安全隐患。例如合谋攻击,代理节点与数据请求者合谋,保留重加密密钥,随时可以对任何加密数据进行重加密,如此一来数据请求者即使未获得授权,也可以对数据进行解密。
针对该问题Michael等人提出了Umbral门限代理重加密方案,该方案通过分组重加密密钥机制,引导多个随机节点参与重加密过程,避免了中心化代理重加密的缺陷。但是该方案通过代币挖矿机制来激励节点参与重加密过程,与重加密过程本身无关,白白增加节点负载和处理时间。
因此提供一种负载均衡的分布式隐私数据共享方法是本领域技术人员亟待解决的技术问题。
发明内容
本发明针对上述研究现状和存在的问题,提供了一种负载均衡的分布式隐私数据共享方法,可以使得各个节点的重加密计算任务负载均衡化。
本发明提供一种负载均衡的隐私数据共享方法,所述方法包括:
由多个参与节点构成分布式网络,每个节点包含数据存储单元、数据加密单元和加密任务分发单元:
数据存储单元,用于共享数据的分布式存储,本系统实际采用IPFS网络进行数据存储;
数据加密单元,为节点生成对称加密密钥和非对称加密公私钥对,并提供代理重加密功能,本系统实际采用Umbral门限代理重加密方案提供数据加密功能;
加密任务分发单元,根据邻近节点状态分发重加密任务,平衡各节点计算负载;
各个节点间隐私数据共享过程中,参与者包含数据请求者、数据拥有者和由其他节点构成的IPFS网络,数据共享过程包括步骤:
(1)参与节点初始化参数;
(2)数据拥有者利用随机对称密钥key加密隐私数据得到数据密文,利用Umbral公钥加密key得到密钥密文和对称密钥封装,之后将数据密文和密钥密文合并后上传至IPFS网络,得到内容标识符;
(3)数据请求者向数据拥有者发送询问是否同意共享的请求消息并得到响应消息后,发送含有自身公钥和内容标识符的正式请求消息;
(4)数据拥有者收到正式请求消息,生成N个分组重加密密钥,向邻近节点发送包含有分组重加密密钥和对称密钥封装的重加密消息;
(5)邻近节点收到重加密消息,若该邻近节点处于过载状态,转发给其他邻近节点;否则将重加密消息放入任务队列,按优先度进行处理,得到分组对称密钥封装,向数据请求者发送包含有分组对称密钥封装的结果消息;
(6)数据请求者收到结果消息,积累t个分组对称密钥封装后对对称密钥封装进行处理,实现解密权转移;数据请求者通过内容标识符从IPFS网络下载数据,以处理后的对称密钥封装、自身私钥为参数解密密钥密文得到对称密钥key,之后解密数据密文得到明文。
在数据共享过程步骤(1)节点进行初始化中,每个节点初始化时配置其节点等级、节点信息表、任务队列、分组重加密密钥生成数N、门限数t、最大节点等级、IPFS网络ID、Umbral加密用公钥私钥、Umbral验证用公钥私钥、Umbral数字签名对象,并将密钥保存于密钥文件。
节点信息表存储邻近节点信息与自身节点信息,每个节点信息包括节点IPFS网络ID、节点过载阈值、节点空闲阈值和节点状态。
节点状态由任务队列长度与节点过载阈值和节点空闲阈值的相对大小决定;若任务队列长度大于节点过载阈值,节点为过载状态;若任务队列长度小于节点空闲阈值,节点为空闲状态;其余情况节点处于正常状态。
节点过载阈值和节点空闲阈值通过通过动态阈值算法周期性更新,更新算法如下:
(1)若当前节点过载阈值TO小于邻近节点平均过载阈值TOE,节点过载阈值增加α1
α1=(TOE-TO)*0.5
(2)若当前节点空闲阈值TU小于邻近节点平均空闲阈值TUE,节点空闲阈值增加α2
α2=(TUE-TU)*0.5
(3)若周期内过载状态时间占比为φO,且φO大于90%,节点过载阈值减少β1
β1=(TO-TU)*(φO-0.9)
(4)若周期内空闲状态时间占比为φU,且φU大于90%,节点空闲阈值增加β2
β2=(TO-TU)*(φU-0.9)
负载阈值更新完毕后,向上取整,根据当前任务队列长度调整自身节点状态,通知邻近节点。
在数据共享过程步骤(4)中,当数据拥有者生成N个分组重加密密钥后,为这批分组重加密密钥生成版本号,之后确认处于连接状态的邻近节点状态,以如下规则发送重加密消息:
选择一个集合,记录已被发送消息节点IPFS网络ID,若邻近节点为空闲状态且未被记录于集合,向该节点发送重加密消息;否则向正常状态且未被记录于集合的节点发送重加密消息;再否则向过载状态且未被记录于集合的节点发送重加密消息;成功发送消息后,将发送对象节点IPFS网络ID记录于集合,若该集合大小等于当前连接节点数,清空集合。
在数据共享过程步骤(5)中,重加密任务的处理顺序由任务优先度决定,优先度高的任务优先处理;优先度计算方法如下:
P=T+S+L/Max
其中P代表任务优先度,T代表任务转发数,S代表任务停留时间,L代表节点等级,Max代表最大节点等级;任务转发数和任务停留时间初始为0,任务转发数在任务被转发时加1,任务停留时间在任务队列中加入新任务时加1。
在数据共享过程步骤(6)中,存在一个版本号集合,当数据请求者收到包含分组对称密钥封装的结果消息时,若该消息版本号已存在于版本号集合,抛弃该消息,否则将该消息中的分组对称密钥封装保存;当使用分组对称密钥封装处理对称密钥封装完成后,清空已保存分组对称密钥封装,将其版本号加入版本号集合中。
本发明的每个节点需要处理各类消息,消息类型包括:
节点状态消息,数据项为:节点IPFS网络ID、节点过载阈值、节点空闲阈值、节点状态;
数据消息,包括:
(1)请求消息,数据项为:内容标识符、数据消息类型、数据请求者IP地址;
(2)响应消息,数据项为:内容标识符、数据消息类型、数据拥有者IP地址、对称密钥封装、数据拥有者公钥、数据拥有者验证公钥;
(3)正式请求消息,数据项为:内容标识符、数据消息类型、数据请求者IP地址、数据请求者节点等级、数据请求者公钥;
(4)重加密消息,数据项为:内容标识符、数据消息类型、数据请求者IP地址、对称密钥封装、数据拥有者公钥、数据拥有者验证公钥、数据请求者公钥、版本号、任务转发数、数据请求者节点等级;
(5)结果消息,数据项为:内容标识符、分组对称密钥封装、版本号。
本发明所述的负载均衡的分布式隐私数据共享方法,参与节点的数据存储单元为IPFS网络,数据加密单元为Umbral门限代理重加密方案;
IPFS(InterPlanetary FileSystem)全称为星际文件系统,它是一个旨在创建持久且分布式存储和共享文件的网络传输协议。区别于传统HTTP协议,它是基于内容进行文件寻址。在IPFS网络中的节点将构成一个分布式文件系统,根据文件的哈希值进行文件索引。
Umbral门限代理重加密系统通过Shamir秘密共享机制将重加密密钥进行分组,由其他多个节点进行重加密运算,避免了代理重加密服务器单点腐蚀问题。
本发明相较现有技术具有以下有益效果:
本发明由于通过参考邻近节点的节点状态来进行重加密任务的分发,因此保证了各个节点计算负载的均衡,不会造成部分节点过分空闲或负担过重的问题;定期的阈值更新,既避免了部分节点设置过低的阈值逃避任务分配,也避免部分节点设置过高的阈值导致任务队列累积过长;任务优先度的设定保证了来自高等级节点的任务优先处理、长时间等待任务优先处理、高转发数任务优先处理,避免任务的阻塞。
附图说明
图1是本发明隐私数据共享步骤图;
图2是本发明实施例节点连接与消息转发图;
图3是本发明重加密消息发送流程图;
图4是本发明邻近节点处理重加密消息流程图;
图5是本发明结果消息处理流程图。
图6是本发明实施例共享数据过程图;
图7是本发明实施例节点负载分布图。
具体实施方式
下面结合附图对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在实施例中假设存在A、B、C、D、E、F六个参与节点。在一次数据共享过程中,A为数据拥有者,F为数据请求者,B、C、D、E为执行重加密任务节点。下面以F对A的数据请求为例,对图1所示的隐私数据共享步骤进行说明:
1、A、B、C、D、E、F初始化,每个节点生成节点等级、节点信息表、任务队列、分组重加密密钥生成数N、门限数t、最大节点等级、IPFS网络ID、Umbral加密用公钥私钥、Umbral验证用公钥私钥、Umbral数字签名对象。本实施例中假设N为3,t为2,最大节点等级为10。A、B、C、D、E、F构成如图2所示的IPFS网络,并充分交换节点信息;
2、A随机生成对称密钥key,加密隐私数据msg得到数据密文D(msg),隐私数据msg内容不限,然后利用自身Umbral公钥Pubkey_A加密key得到密钥密文D(key)和对称密钥封装Capsule_A,之后将数据密文D(msg)和密钥密文D(key)合并后上传至IPFS网络,得到内容标识符CID_A,A将内容标识符CID_A与对称密钥封装Capsule_A以键值对形式保存于记录文件中;
3、F构建请求消息通过底层网络发送给A。请求消息的数据项包括内容标识符、数据消息类型、数据请求者的IP地址。如表1所示,内容标识符是隐私文件的唯一索引,数据消息类型用于节点判断接收消息的类型。本实施例中,内容标识符为CID_A,请求消息的类型标记为0,数据请求者的IP地址为IP_F;
表1
内容标识符 数据消息类型 数据请求者的IP地址
CID_A 0 IP_F
4、A接收到请求消息后,查看记录文件是否存在请求的内容标识符CID_A,若存在,取出相应的对称密钥封装Capsule_A,返回响应消息。响应消息的数据项包括内容标识符、数据消息类型、数据拥有者的IP地址、对称密钥封装、数据拥有者公钥、数据拥有者验证公钥;如表2所示,本实施例中,响应消息的类型标记为1,数据拥有者的IP地址为IP_A,数据拥有者验证公钥为Verifykey_A;
表2
Figure BDA0003074791160000071
5、F接收到响应消息后,将其中包含的对称密钥封装Capsule_A利用自身Umbral公钥Pubkey_F、数据有拥有者公钥Pubkey_A和数据有拥有者验证公钥Verifykey_A进行处理,确保重加密安全性;将其包含的内容标识符CID_A和对称密钥封装Capsule_A以键值对形式保存于F的记录文件,之后向A发送正式请求消息。正式请求消息数据项包括内容标识符、数据消息类型、数据请求者IP地址、数据请求者公钥、数据请求者节点等级。如表3所示,本实施例中,正式请求消息的类型标记为2,数据请求者节点等级为LV_F;
表3
Figure BDA0003074791160000072
6、A收到正式请求消息后,查询分组重加密密钥生成数N和门限数t,以自身私钥Prikey_A、数据请求者公钥Pubkey_F、自身数据签名对象Signer_A、N、t为参数生成N个分组重加秘密钥(Re-Encryption key Fragment,kFrag);接着以本地时间、为参数进行sha256计算生成本批重加密密钥的版本号Version;之后通过IPFS网络确定处于连接状态的邻近节点,如图3所示,以如下规则挑选B、C、D、E逐个发送重加密消息:
选择一个集合记录已被发送消息的节点,若邻近节点为空闲状态且未被记录于集合,向该邻近节点发送重加密消息;否则向正常状态且未被记录于集合的邻近节点发送重加密消息;否则向过载状态且未被记录于集合的其他邻近节点发送重加密消息;成功发送消息后,将发送对象节点IPFS网络ID记录于集合,若该集合大小等于当前连接节点数时,清空集合;
重加密消息的数据项包括内容标识符、数据消息类型、数据请求者IP地址、对称密钥封装、数据拥有者公钥、数据请求者公钥、数据有拥有者验证公钥、分组重加密密钥、版本号、数据请求者节点等级、任务转发数;如表4所示,本实施例中重加密消息的类型标记为3,任务转发数初始设为0;
表4
Figure BDA0003074791160000081
7、邻近节点接收到重加密消息,如图4所示,根据自身状态进行如下处理:
若自身处于过载状态,确认IPFS网络中处于连接状态的节点,从空闲、正常、过载状态逐级筛选,随机挑选其中的负载较轻节点,转发该重加密消息给选择节点,重加密消息的任务转发数加1;本实施例中如图2所示,假设节点D处于过载状态,将重加密消息转发给节点C;
若自身状态处于正常或空闲,对该消息进行包装,计算该消息优先度,分配自增索引号,得到一个含有优先度、自增索引号、重加密消息的三元组,将其加入任务队列;在新任务加入前,取出所有已有任务,对其优先度加1,代表停留时间的增加,之后将所有任务放回任务队列;
优先度计算方法如下:
P=T+S+L/Max
其中P代表任务优先度,T代表任务转发数,S代表任务停留时间,L代表节点等级,Max代表最大节点等级;本实例中节点等级L为重加密消息中的LV_F;
6、任务队列为优先队列,优先度高的任务优先处理。任务队列中存在任务时,取出优先度最高任务,对其中的重加密消息进行处理。本实施例中,以起源于节点A的重加密消息中的数据拥有者公钥Pubkey_A、数据请求者公钥Pubkey_F和数据拥有者验证公钥Verifykey_A对对称密钥封装Capsule_A进行安全验证处理,之后以分组重加密密钥kFrag和对称密钥封装Capsule_A为参数进行重加密计算,得到分组对称密钥封装(CapsuleFragment,cFrag),向F发送结果消息。结果消息的数据项包括分组对称密钥封装、内容标识符、版本号,如表5所示;
表5
内容标识符 分组对称密钥封装 版本号
CID_A cFrag Version
8、F维护一个版本号集合,接收到结果消息后,如图5所示,对结果消息如下处理:
若消息中版本号Version已在版本号集合中,说明该消息为冗余消息,抛弃;
否则将该消息中包含的分组对称密钥封装cFrag存储于以内容标识符CID_A和版本号Version为键值的多层字典的集合中。若集合中分组对称密钥封装数量大于等于门限数t,取出之前保存在记录文件中的内容标识符CID_A对应的对称密钥封装Capsule_A,利用集合中的分组对称密钥封装对其进行处理,完成对称密钥封装Capsule_A的解密权转移。之后通过内容标识符CID_A从IPFS网络下载数据密文D(msg)和密钥密文D(key),以处理后的对称密钥封装Capsule_A和F自身私钥Prikey_F为参数,解密D(key)得到对称密钥key,以key为参数,解密D(msg)得到隐私数据明文msg。最后向版本号集合中添加该消息版本号Version,并清空版本号对应的分组对称密钥封装集合。
此次数据共享过程如图6所示;
本实施例中动态阈值算法如下所示:
在周期T为30s时,记录节点处于过载、正常和空闲状态的时间,计算过载时间占比和空闲时间占比。阈值更新时,从节点信息表中获取各个邻近节点过载阈值和空闲阈值,计算平均过载阈值TOE和平均空闲阈值TUE,根据如下规则更新节点的过载阈值和空闲阈值:
(1)若当前节点过载阈值TO小于邻近节点平均过载阈值TOE,节点过载阈值增加α1
α1=(TOE-TO)*0.5
(2)若当前节点空闲阈值TU小于平均邻近节点空闲阈值TUE,节点空闲阈值增加α2
α2=(TUE-TU)*0.5
(3)若周期T内过载时间占比为φO,且φO大于90%,节点过载阈值减少β1
β1=(TO-TU)*(φO-0.9)
(4)若周期T内空闲时间占比为φU,且φU大于90%,节点空闲阈值增加β2
β2=(TO-TU)*(φU-0.9)
节点空闲阈值与过载阈值更新完成后,向上取整,与当前任务队列长度进行比较,更新节点当前状态,并将节点信息通知邻近节点,等待下一轮更新。
本发明以计算机模拟的方式进行试验
本实施例以同一服务器上的6台Linux虚拟机A、B、C、D、E、F构建私有IPFS网络,如图2所示,每台虚拟机作为一个节点。其中设置A、C、D的空闲阈值为20,过载阈值为40;设置B、D、E的空闲阈值为10,过载阈值为20。每个节点在IPFS网络中上传5个数据文件并得到内容标识符CID。将所有节点的CID汇总保存于测试文件,配置给所有节点。所有节点读取测试文件,以随机频率请求CID对应数据文件,进行2轮数据请求后,得到每个节点处理的任务数量,每个节点的任务处理数如图7所示。可以看出,当初始过载阈值和空闲阈值相等时,各个节点计算的重加密任务数基本一致;当初始初始过载阈值和空闲阈值不相等时,若不采用动态阈值算法处理,高阈值节点重加密计算负载较重;采用动态阈值算法后,节点处理的重加密任务数又趋于一致。
以上对本发明所提供的一种负载均衡的分布式隐私数据共享系统进行了详细介绍,本发明中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (9)

1.一种负载均衡的隐私数据共享方法,其特征在于,所述方法包括:
由多个参与节点构成分布式网络,每个节点包含数据存储单元、数据加密单元和加密任务分发单元:
数据存储单元,用于共享数据的分布式存储,本方法实际采用IPFS网络进行数据存储;
数据加密单元,为节点生成对称加密密钥和非对称加密公私钥对,并提供代理重加密功能,本方法实际采用Umbral门限代理重加密方案提供数据加密功能;
加密任务分发单元,根据邻近节点状态分发重加密任务,平衡各节点计算负载;
各个节点间隐私数据共享过程中,参与者包含数据请求者、数据拥有者和由其他节点构成的IPFS网络,隐私数据共享过程包括步骤:
(1)参与节点初始化参数;
(2)数据拥有者利用随机对称密钥key加密隐私数据得到数据密文,利用Umbral公钥加密key得到密钥密文和对称密钥封装,之后将数据密文和密钥密文合并后上传至IPFS网络,得到内容标识符;
(3)数据请求者向数据拥有者发送询问是否同意共享的请求消息并得到响应消息后,发送含有自身公钥和内容标识符的正式请求消息;
(4)数据拥有者收到正式请求消息,生成N个分组重加密密钥,向邻近节点发送包含有分组重加密密钥和对称密钥封装的重加密消息;
(5)邻近节点收到重加密消息,若该邻近节点处于过载状态,转发给其他邻近节点;否则将重加密消息放入任务队列,按优先度进行处理,得到分组对称密钥封装,向数据请求者发送包含有分组对称密钥封装的结果消息;
(6)数据请求者收到结果消息,积累t个分组对称密钥封装后对对称密钥封装进行处理,实现解密权转移;数据请求者通过内容标识符从IPFS网络下载数据,以处理后的对称密钥封装、自身私钥为参数解密密钥密文得到对称密钥key,之后解密数据密文得到明文。
2.根据权利要求1所述的负载均衡的隐私数据共享方法,其特征在于,数据共享过程步骤(1)进行节点的初始化中,每个节点初始化时配置其节点等级、节点信息表、任务队列、分组重加密密钥生成数N、门限数t、最大节点等级、IPFS网络ID、Umbral加密用公钥私钥、Umbral验证用公钥私钥和Umbral数字签名对象,并将密钥保存于密钥文件。
3.根据权利要求2所述的负载均衡的隐私数据共享方法,其特征在于每个节点维护一个节点信息表,存储邻近节点信息与自身节点信息,每个节点信息包括节点IPFS网络ID、节点过载阈值、节点空闲阈值和节点状态。
4.根据权利要求3所述的负载均衡的隐私数据共享方法,其特征在于,节点状态由任务队列长度与节点过载阈值和节点空闲阈值的相对大小决定;若任务队列长度大于节点过载阈值,节点为过载状态;若任务队列长度小于节点空闲阈值,节点为空闲状态;其余情况节点处于正常状态。
5.根据权利要求3或4所述的负载均衡的隐私数据共享方法,其特征在于,节点过载阈值和节点空闲阈值通过动态阈值算法周期性更新,更新算法如下:
(1)若当前节点过载阈值TO小于邻近节点平均过载阈值TOE,节点过载阈值增加α1
α1=(TOE-TO)*0.5
(2)若当前节点空闲阈值TU小于邻近节点平均空闲阈值TUE,节点空闲阈值增加α2
α2=(TUE-TU)*0.5
(3)若周期内过载状态时间占比为φO,且φO大于90%,节点过载阈值减少β1
β1=(TO-TU)*(φO-0.9)
(4)若周期内空闲状态时间占比为φU,且φU大于90%,节点空闲阈值增加β2
β2=(TO-TU)*(φU-0.9)
负载阈值更新完毕后,向上取整,根据当前任务队列长度调整自身节点状态,通知邻近节点。
6.根据权利要求1所述的负载均衡的隐私数据共享方法,其特征在于,在数据共享过程的步骤(4)中,当数据拥有者生成N个分组重加密密钥后,为这批分组重加密密钥生成版本号,之后确认处于连接状态的邻近节点状态,以如下规则发送重加密消息:
选择一个集合,记录已被发送消息节点IPFS网络ID,若邻近节点为空闲状态且未被记录于集合,向该节点发送重加密消息;否则向正常状态且未被记录于集合的节点发送重加密消息;再否则向过载状态且未被记录于集合的节点发送重加密消息;成功发送消息后,将发送对象节点IPFS网络ID记录于集合,若该集合大小等于当前连接节点数,清空集合。
7.根据权利要求1所述的负载均衡的隐私数据共享方法,其特征在于,在数据共享过程的步骤(5)中,重加密任务的处理顺序由任务优先度决定,优先度高的任务优先处理;优先度计算方法如下:
P=T+S+L/Max
其中P代表任务优先度,T代表任务转发数,S代表任务停留时间,L代表节点等级,Max代表最大节点等级;任务转发数和任务停留时间初始为0,任务转发数在任务被转发时加1,任务停留时间在任务队列中加入新任务时加1。
8.根据权利要求1或6所述的负载均衡的隐私数据共享方法,其特征在于,在数据共享过程的步骤(6)中,存在一个版本号集合,当数据请求者收到包含分组对称密钥封装的结果消息时,若该消息版本号已存在于版本号集合,抛弃该消息,否则将该消息中的分组对称密钥封装保存;当使用分组对称密钥封装处理对称密钥封装完成后,清空已保存分组对称密钥封装,将其版本号加入版本号集合中。
9.根据权利要求1所述的负载均衡的隐私数据共享方法,其特征在于,每个节点需要处理各类消息,消息类型包括:
节点状态消息,数据项为:节点IPFS网络ID、节点过载阈值、节点空闲阈值、节点状态;
数据消息,包括:
(1)请求消息,数据项为:内容标识符、数据消息类型、数据请求者IP地址;
(2)响应消息,数据项为:内容标识符、数据消息类型、数据拥有者IP地址、对称密钥封装、数据拥有者公钥、数据拥有者验证公钥;
(3)正式请求消息,数据项为:内容标识符、数据消息类型、数据请求者IP地址、数据请求者节点等级、数据请求者公钥;
(4)重加密消息,数据项为:内容标识符、数据消息类型、数据请求者IP地址、对称密钥封装、数据拥有者公钥、数据拥有者验证公钥、数据请求者公钥、版本号、任务转发数、数据请求者节点等级;
(5)结果消息,数据项为:内容标识符、分组对称密钥封装、版本号。
CN202110560903.5A 2021-05-20 2021-05-20 一种负载均衡的隐私数据共享方法 Active CN113301042B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110560903.5A CN113301042B (zh) 2021-05-20 2021-05-20 一种负载均衡的隐私数据共享方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110560903.5A CN113301042B (zh) 2021-05-20 2021-05-20 一种负载均衡的隐私数据共享方法

Publications (2)

Publication Number Publication Date
CN113301042A true CN113301042A (zh) 2021-08-24
CN113301042B CN113301042B (zh) 2022-06-17

Family

ID=77323904

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110560903.5A Active CN113301042B (zh) 2021-05-20 2021-05-20 一种负载均衡的隐私数据共享方法

Country Status (1)

Country Link
CN (1) CN113301042B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113923216A (zh) * 2021-09-29 2022-01-11 阿里巴巴(中国)有限公司 一种分布式集群限流系统及方法和分布式集群节点
CN116112151A (zh) * 2023-04-10 2023-05-12 山东工程职业技术大学 一种数据信息安全共享管理方法、系统及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594824A (zh) * 2012-02-21 2012-07-18 北京国泰信安科技有限公司 基于多重安全保护机制的电子文档安全分发方法
CN105262587A (zh) * 2015-10-30 2016-01-20 西安电子科技大学 基于代理重加密的机器类型通信群组密钥分发方法
CN106356066A (zh) * 2016-08-30 2017-01-25 孟玲 一种基于云计算的语音识别系统
CN108259169A (zh) * 2018-01-09 2018-07-06 北京大学深圳研究生院 一种基于区块链云存储的文件安全分享方法及系统
US20190229887A1 (en) * 2016-06-30 2019-07-25 Nokia Technologies Oy Secure data processing
US20200252457A1 (en) * 2019-02-05 2020-08-06 S&P Global Inc. Content Management Systems And Methods
CN111901320A (zh) * 2020-07-16 2020-11-06 西南交通大学 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统
US20200412651A1 (en) * 2019-06-27 2020-12-31 Citrix Systems, Inc. Securing communications between services in a cluster using load balancing systems and methods
CN112702160A (zh) * 2020-12-16 2021-04-23 江苏通付盾区块链科技有限公司 一种云端数据加密存储与分享的方法、装置及系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594824A (zh) * 2012-02-21 2012-07-18 北京国泰信安科技有限公司 基于多重安全保护机制的电子文档安全分发方法
CN105262587A (zh) * 2015-10-30 2016-01-20 西安电子科技大学 基于代理重加密的机器类型通信群组密钥分发方法
US20190229887A1 (en) * 2016-06-30 2019-07-25 Nokia Technologies Oy Secure data processing
CN106356066A (zh) * 2016-08-30 2017-01-25 孟玲 一种基于云计算的语音识别系统
CN108259169A (zh) * 2018-01-09 2018-07-06 北京大学深圳研究生院 一种基于区块链云存储的文件安全分享方法及系统
US20200252457A1 (en) * 2019-02-05 2020-08-06 S&P Global Inc. Content Management Systems And Methods
US20200412651A1 (en) * 2019-06-27 2020-12-31 Citrix Systems, Inc. Securing communications between services in a cluster using load balancing systems and methods
CN111901320A (zh) * 2020-07-16 2020-11-06 西南交通大学 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统
CN112702160A (zh) * 2020-12-16 2021-04-23 江苏通付盾区块链科技有限公司 一种云端数据加密存储与分享的方法、装置及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
IEEE 11TH ANNUAL COMPUTING AND COMMUNICATION WORKSHOP AND CONFER: "《Parallel Proxy Re-Encryption Workload Distribution for Efficient Big Data Sharing in Cloud Computing》", 《IEEE 11TH ANNUAL COMPUTING AND COMMUNICATION WORKSHOP AND CONFERENCE (CCWC)》 *
JIANZHONG ZHANG: "《A Novel TLS/SSL Encrypted Traffic Classification System Based on Stereo Transform Neural Network》", 《2019 IEEE 25TH INTERNATIONAL CONFERENCE ON PARALLEL AND DISTRIBUTED SYSTEMS (ICPADS)》 *
张建忠: "《支持多路负载平衡的SSL VPN系统的设计与实现》", 《计算机工程与设计》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113923216A (zh) * 2021-09-29 2022-01-11 阿里巴巴(中国)有限公司 一种分布式集群限流系统及方法和分布式集群节点
CN113923216B (zh) * 2021-09-29 2023-12-15 阿里巴巴(中国)有限公司 一种分布式集群限流系统及方法和分布式集群节点
CN116112151A (zh) * 2023-04-10 2023-05-12 山东工程职业技术大学 一种数据信息安全共享管理方法、系统及存储介质
CN116112151B (zh) * 2023-04-10 2023-06-20 山东工程职业技术大学 一种数据信息安全共享管理方法、系统及存储介质

Also Published As

Publication number Publication date
CN113301042B (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
US9049011B1 (en) Secure key storage and distribution
US20220006627A1 (en) Quantum key distribution node apparatus and method for quantum key distribution thereof
CN111523133B (zh) 一种区块链与云端数据协同共享方法
Stanek et al. Enhanced secure thresholded data deduplication scheme for cloud storage
CN111526197B (zh) 一种云端数据安全共享方法
WO2019061983A1 (zh) 区块链数据上传方法、系统、计算机系统及存储介质
US20100094921A1 (en) Peer-To-Peer Distributed Storage
CN113301042B (zh) 一种负载均衡的隐私数据共享方法
US11336627B2 (en) Packet inspection and forensics in an encrypted network
TWI704793B (zh) 物件共享系統及方法
CN106209739A (zh) 云存储方法及系统
Fan et al. TraceChain: A blockchain‐based scheme to protect data confidentiality and traceability
KR20200099541A (ko) 블록체인 트랜잭션의 보안-강화된 발원
CN110690961B (zh) 一种量子网络功能虚拟化方法与装置
US11283903B2 (en) Demand response event dissemination system and method
Koo et al. A hybrid deduplication for secure and efficient data outsourcing in fog computing
CN112367163A (zh) 一种量子网络虚拟化方法与装置
WO2020082226A1 (en) Method and system for transferring data in a blockchain system
Cheng et al. Talek: a private publish-subscribe protocol
US20090282250A1 (en) Communication apparatus, server, and computer program product therefor
Dimitriou et al. SuperTrust: a secure and efficient framework for handling trust in super-peer networks
Almasian et al. Secure cloud file sharing scheme using blockchain and attribute-based encryption
Paul et al. Security of the MaidSafe vault network
JP6840685B2 (ja) データ共有方法、データ共有システム、通信端末、データ共有サーバ、プログラム
Etemad et al. Efficient key authentication service for secure end-to-end communications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant