JP6404481B2 - クラウドコンピューティングにおける異種混合データ記憶管理方法および装置 - Google Patents
クラウドコンピューティングにおける異種混合データ記憶管理方法および装置 Download PDFInfo
- Publication number
- JP6404481B2 JP6404481B2 JP2017536778A JP2017536778A JP6404481B2 JP 6404481 B2 JP6404481 B2 JP 6404481B2 JP 2017536778 A JP2017536778 A JP 2017536778A JP 2017536778 A JP2017536778 A JP 2017536778A JP 6404481 B2 JP6404481 B2 JP 6404481B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- deduplication
- owner
- user
- dek
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 86
- 238000013500 data storage Methods 0.000 title claims description 46
- 238000012545 processing Methods 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 42
- 238000012790 confirmation Methods 0.000 claims description 27
- 238000012795 verification Methods 0.000 claims description 15
- 238000007726 management method Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 13
- 238000012217 deletion Methods 0.000 claims description 9
- 230000037430 deletion Effects 0.000 claims description 9
- 230000007717 exclusion Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 230000010076 replication Effects 0.000 claims description 3
- 101100331197 Arabidopsis thaliana DEK2 gene Proteins 0.000 description 39
- 101150011387 DEK1 gene Proteins 0.000 description 37
- 101100331195 Oryza sativa subsp. japonica ADL1 gene Proteins 0.000 description 37
- 230000008569 process Effects 0.000 description 20
- 238000002507 cathodic stripping potentiometry Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Description
InitiateNodeアルゴリズムは、システム設定時にユーザuにより実行されてもよく、通常は固有のノード識別子であるノード識別子uを入力とする。アルゴリズムは、以下の鍵組と認証を出力してもよい。
(1)ABE用の公開ユーザ鍵PK_uおよび秘密ユーザ鍵SK_u。
ユーザuがデータ所有者で、ユーザu'がデータ保持者であるとする。上述のアルゴリズムIssueIDSK(ID,SK_u,PK_u')を呼び出すことにより、ユーザu'に対して、公開ユーザ鍵PK_u'を使用してユーザu'の秘密属性鍵(すなわちSK_(ID,u,u'))を発行してもよい。
各ユーザは、別のユーザの識別子に基づいて別のユーザに秘密属性鍵を発行するために使用される秘密鍵SK_uを保持してもよい。それはさらにユーザu−pk_(ID,u)の識別子属性(IDで示す)の自身の公開鍵を生成するために使用されてもよい。秘密ユーザ鍵SK_uはさらに、PK_uにより暗号化された暗号文の復号に使用されてもよい。
(2)公開鍵暗号化システム(PKC)用の鍵組PK'_uおよびSK'_u。
SK'_uは、署名生成の実行や、PK'_uによって暗号化されたデータの復号に使用されてもよい。したがって、PK'_uは、署名検証やデータ暗号化に使用されてもよい。
(3)PRE用の鍵組pk_uおよびsk_u。
上述のように、PREシステムは三種類の関係者、すなわち、委任者、プロキシ(代理)、受任者を含み得る。一例として、データ保持者が受任者であり得る。したがって、pk_uを受任者公開鍵、sk_uを受任者秘密鍵と称してもよい。
(4)さらに、PK_u、PK'_u、pk_uは、権限のある第三者(例えばPKIにおけるCA)またはCSPによりそれぞれCert(PK_u)、Cert(PK'_u)、Cert(pk_u)という認証とされてもよい。Cert(PK_u)、Cert(pk_u)、Cert(PK'_u)は、CSPおよびCSPユーザにより検証されてもよい。
このアルゴリズムの処理では、APは単独でPRE用のpk_APおよびsk_APを生成し、CSPのストレージサービスを介して、CSPユーザに対してpk_APを同時送信してもよい。一例として、APはPREシステムにおける委任者であり得る。したがって、pk_APを委任者公開鍵、sk_APを委任者秘密鍵と称してもよい。
Encryptアルゴリズムは、データM、対称鍵DEK_uを入力としてもよい。このアルゴリズムは、DEK_uによりデータMを暗号化し、暗号文CT_uを出力してもよい。この処理は、ユーザuがCSPに記憶された自身のデータをDEK_uで保護するために実行してもよい。
DEK1_uとDEK2_uの両方が非NULLであると判定されると、DEK_uの入力に応じて、この関数は例えばランダム分割に基づいて、鍵の2つの部分DEK1_uおよびDEK2_uを出力してもよい。
CreateIDPKアルゴリズムは、ユーザ(すなわちデータ所有者)が自身のデータ記憶の制御と、クラウドへのアクセスを望んだ際にはいつでも実行されてもよい。このアルゴリズムは、ユーザuのID(例えばPK_u)がデータ記憶管理に関連するポリシーに適合するかを確認してもよい。例えば、データの記憶およびアクセス管理のため、該IDがデータ所有者のIDであるかを確認してもよい。IDがポリシーに適合する場合、このアルゴリズムは、ABE機構に応じて、ユーザuのIDに関連した公開属性鍵(pk_(ID,u)で示す)を出力してもよい。適合しない場合、このアルゴリズムは、NULLを出力してもよい。
なお、識別子属性はID(匿名識別子であってもよい)として示されている。(ID,u)で示されるすべての属性には、pk_(ID,u)で示された公開鍵が存在する。これはユーザuにより生成され、DEKの一部である対称鍵DEK2の暗号化に使用される。
EncryptKeyアルゴリズムは、対称鍵DEK2_uである第2部分と、アクセスポリシーAと、データ記憶管理に関連したポリシーで生じる識別子属性に対応する公開鍵pk_(ID,u)を入力としてもよい。このアルゴリズムは、ポリシーAによりDEK2_uを暗号化し、暗号鍵CK2_uを出力してもよい。この処理は、CSPにおけるデータの記憶に対する重複排除に対応するためにユーザuにより実行されてもよい。
アクセスポリシーAについて、例えばデータ所有者はID=PK_uj'(j=1、2、3)を有する別のデータ保持者とデータの記憶を共有することを望む場合がある。この場合、ポリシーAはID=PK_u'1∨PK_u'2∨PK_u'3となり得る。EncryptKeyアルゴリズムは、j=1、2、3のすべてに対して繰り返し、論理積ごとにランダム値R_jおよび構成要素CK2_jを生成してもよい。暗号鍵CK2はタプルCK=<CK2_1、CK2_2、…、CK2_j>として取得され得る。
IssueIDSKアルゴリズムを呼び出す前に、Cert(PK_u')が信頼された第三者またはデータ所有者自身により認証された有効な識別子であるかを確認することで、ユーザu'の適格性を確認してもよい。図2を参照して後述するように、ユーザuはCSPを介してユーザu'からCert(PK_u')を受信してもよい。
確認の結果が適格を示した場合、最初に公開鍵PK_u'を有するユーザu'が適格な属性IDを有するか(すなわちPK_u'がデータを保持する権限を有するか)を確認することで、ユーザuがIssueIDSKアルゴリズムを実行してもよい。例えば、PK_u'がアクセスポリシーAに適合するかを確認してもよい。
その結果が適合することを示す場合、IssueIDSKアルゴリズムは、ユーザu'に対して秘密属性鍵SK_(ID,u,u')を出力してもよい。適合しなければ、このアルゴリズムは、NULLを出力してもよい。生成されたSK_(ID,u,u')は、ユーザuからセキュアチャネルを介して、またはPKCを使用して、ユーザu'に送信されてもよい。
なお、pk_(ID,u)により暗号化された暗号鍵を復号するための対応する秘密属性鍵は、適格なデータ保持者に対して個別化され、データ所有者uにより発行される。癒着が生じないよう、すべてのデータ保持者には、それぞれ自身のみが使用可能な、別々の秘密属性鍵が提供される。適格な保持者u'に対してユーザuから発行される属性IDの秘密属性鍵は、sk_(ID,u,u')で示される。
DecryptKeyアルゴリズムは、EncryptKeyアルゴリズムにより生成された暗号鍵と、CK2_uを暗号化したアクセスポリシーAと、ユーザu'に対するSK_u'、sk_(ID,u,u')を入力としてもよい。属性(例えばPK_u')が十分アクセスポリシーAに適合するならば、DecryptKeyアルゴリズムは、暗号鍵CK2_uを復号し、対応する平文鍵DEK2_uを出力してもよい。適合しない場合、このアルゴリズムは、NULLを出力してもよい。
この処理は、重複保存が生じると、ユーザu'により実行されてもよい。最初にPK_u'が暗号化ポリシーAに適合するかが確認され、その結果が適合を示す場合、復号を実行してDEK2_uを取得する。
pk_APおよびDEK1_uの入力に応じて、このアルゴリズムは、暗号文CK1=E(pk_AP,DEK1_u)を出力してもよい。
(pk_AP,sk_AP,pk_u')の入力に応じて、再暗号化鍵生成アルゴリズムRGは、プロキシCSPに対して再暗号化鍵rk_AP→u'を出力してもよい。
rk_AP→u'および暗号文CK1の入力に応じて、再暗号化関数Rは、秘密鍵sk_u'により復号可能なR(rk_AP→u',CK1)=E(pk_u',DEK1_u)=CK1'を出力してもよい。
sk_uおよび暗号文CK'1の入力に応じて、復号アルゴリズムDは平文鍵DEK1_uを出力してもよい。
DEK1_uおよびDEK2_uの入力に応じて、この関数は、結合によって完全鍵DEK_uを出力してもよい。
Decryptアルゴリズムは、暗号化データCT_uおよび対称鍵DEK_uを入力としてもよい。このアルゴリズムは、DEK_uによりCT_uを復号し、平文データMを出力してもよい。この処理は、CSPに保存されたデータの平文を開示するため、データ保持者により実行される。
(1)拡張性:本開示は、1つのCSPおよび複数のCSPで生じた大規模な重複データ記憶に対応できる。各記憶領域を節約するため、重複確認および重複排除が複数のCSP間で実行されてもよい。
(2)柔軟性:本開示は、重複排除およびアクセス制御の両方に対応するためのポリシーA更新により、ABEに基づくDEK2暗号化に制御属性(アクセスポリシー)を導入することで、データ所有者が扱う他のデータアクセス制御機構と協働可能である。これにより、データ所有者の期待に沿ったデジタル著作権管理に対応できる。さらに、集中型データアクセス制御機構とも協働可能である。これは、CSPでの権限者(AP)および/またはCK1再暗号化における再暗号化鍵生成用の確認に、アクセスポリシーを絡めることで実現される。本発明の柔軟性により、データ所有者の意図に応じて分散型制御、集中型制御の一方または両方に対応可能となる。
(3)データ所有者がABEを採用する、さらに/あるいはAPにPREを適用することで、データアクセスおよび重複排除に使用される属性(例えば信頼レベルおよび識別子)を含むアクセスポリシー木を容易に構築でき、アクセスおよび重複排除のための委任制御が可能となるようAPにポリシーを絡めることが容易となる。
(4)低コストストレージ:本開示によると、複数のCSPについて記憶容量を節約できることは明白である。1つのデータは、多数のCSPをまたいで1つのコピーのみ記憶される。各CSPで重複排除記録を記憶するのには、ある程度記憶容量またはメモリを消費する可能性があり、追加の重複確認や重複排除処理は、ある程度のメモリおよび処理コストを要する可能性がある。しかし、このようなコストは重複データの記憶を大量に節約できることを考えると、些細なものである。
(5)安全性:本開示では、安全性がABE理論、PRE理論、対称鍵暗号化、および公開PKC理論で裏付けられている。一次元重複排除制御よりも二次元重複排除制御のほうが安全であろう。さらに、データの所有者検証のため、ランダムなハッシュチェーン確認を適用した。重複排除を実現するため、同時にデータ記憶管理に対応するため、追加の管理プロトコルを適用してもよい。
Claims (27)
- 通信ネットワークにおけるデータ記憶管理方法であって、
前記通信ネットワークにおけるデータセンターにより、第1のデバイスから前記データセンターにデータを記憶するための要求を受信することと、
前記データセンターに当該データが記憶されているかを確認することと、
当該データが前記データセンターに記憶済みではないという確認結果に応じて、前記第1のデバイスから、前記データの平文または暗号文(CT)を少なくとも含むデータパッケージを受信することと、
当該データが前記データセンターに記憶済みであるという確認結果に応じて、前記データの重複排除ポリシーを取得することと、
前記重複排除ポリシーが、権限者(AP)および前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみによって重複排除が制御されることを示す場合、前記APおよび前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみに連絡して、前記データの重複排除を実行することと、
前記重複排除ポリシーが、前記APおよび前記データの所有者のいずれによっても重複排除が制御されないことを示す場合、前記データの重複排除を前記データセンターにより実行することと、
を含む方法。 - 前記データパッケージはさらに、それぞれ前記データの特定の部位を示す複数のインデックスを含むインデックスリストと、それぞれ1つのインデックスに対応する複数のハッシュ情報を含むハッシュチェーン情報とを含み、
前記連絡して前記データの重複排除を実行すること、または前記データの重複排除を実行することは、
前記第1のデバイスに、前記インデックスリストの少なくとも1つのインデックスに対応するハッシュ情報を送信することを要求することと、
前記第1のデバイスからの前記要求された少なくとも1つのインデックスに対応する前記ハッシュ情報に基づき、前記第1のデバイスが前記データを保持しているかを検証することと、
保持しているという検証結果に応じて、連絡して重複排除を実行するか、前記第1のデバイスに対して、前記データの重複排除情報を記録することと、を含む請求項1に記載の方法。 - 前記データに対する前記重複排除ポリシーを取得することは、前記データセンターに事前に記憶された前記重複排除ポリシーを読み出すこと、前記データの所有者から前記重複排除ポリシーを受信すること、または前記データパッケージに応じて前記重複排除ポリシーを決定することと、を含む、請求項1または2に記載の方法。
- 前記重複排除ポリシーを決定することは、
前記データパッケージが、前記データを暗号化して前記CTを取得するためのデータ暗号化鍵(DEK)を分割して得られた第1のDEKおよび第2のDEKを暗号化して得られた互いに異なる第1の暗号鍵(CK)および第2のCKをさらに含む場合、前記APおよび前記データの所有者の両方によって重複排除が制御されると決定すること、
前記データパッケージが互いに等しい前記第1および第2のCKをさらに含む場合、前記APまたは前記データの所有者の一方によって重複排除が制御されると決定すること、
前記データパッケージが前記第1のCKのみ、または第2のCKのみをさらに含む場合、前記APのみまたは前記データの所有者のみによって重複排除が制御されると決定すること、
前記データパッケージがCKを含まない場合、前記APおよび前記データの所有者のいずれによっても重複排除が制御されないと決定することを含む、請求項1から3のいずれかに記載の方法。 - 前記APに連絡して前記データの重複排除を実行することは、
利用不能であれば、再暗号化鍵を前記APから受信することと、
プロキシ再暗号化(PRE)方式に沿って、前記再暗号化鍵で前記第1のCKを再暗号化することと、
前記第1のデバイスが前記第1のデバイスの秘密鍵により前記再暗号化された第1のCKを復号できるように、前記再暗号化された第1のCKを、前記第1のデバイスに送信することと、を含む請求項1から4のいずれかに記載の方法。 - 前記データの所有者に連絡して前記データの重複排除を実行することは、
属性ベース暗号(ABE)方式で前記第2のCKを復号することが適格な場合、前記データの所有者が前記第1のデバイスに対する属性秘密鍵を発行できるように、前記第1のデバイスの属性識別子(ID)を前記データの所有者に送信することを含む、請求項4に記載の方法。 - 当該データが前記データセンターに記憶済みではないという確認結果に応じて、少なくとも1つの他のデータセンターに当該データが記憶されているかを確認することを要求することと、
前記データに対する重複排除を実行可能な、前記少なくとも1つの他のデータセンターからの記憶済みであるという応答に応じて、前記第1のデバイスに対する前記データの重複排除情報を記録することと、
前記少なくとも1つの他のデータセンターからの記憶済みではないという応答に応じて、それに応じたデータの記憶を実行することと、をさらに含む、請求項1から6のいずれかに記載の方法。 - 前記データセンターにより、第2のデバイスからデータの削除要求を受信することと、
前記第2のデバイスによって前記データセンターに前記データが記憶されているかを確認することと、
記憶されているという確認結果に応じて、前記第2のデバイスに対する前記データの記憶の記録を削除し、前記データの重複排除記録が空であれば、前記データを削除し、前記データの前記重複排除記録が空でなければ、前記データの所有者に通知して前記CTを更新することと、
記憶されていないという確認結果に応じて、前記データを記憶し、前記第2のデバイスに対して前記データの記憶の記録を削除可能な別のデータセンターに連絡することと、をさらに含む、請求項1から7のいずれかに記載の方法。 - 前記所有者に通知して前記CTを更新することは、
前記所有者が重複排除制御を継続すると判断するかを問い合わせることと、
継続するという判断に応じて、前記データの所有者と協働して、前記データの前記重複排除ポリシーに沿って前記CTを更新することと、
継続しないという判断に応じて、前記データの別の保持者に前記CTの更新を要求するか、前記データの所有者と協働で、前記APのみによって重複排除が制御されることを示す新たな重複排除ポリシーに沿って前記CTを更新することを含む、請求項8に記載の方法。 - データの前記CTを更新する要求に応じて、前記データの前記重複排除ポリシーを取得することと、
前記重複排除ポリシーが、APの重複排除制御が必要であることを示す場合、PRE方式に沿って前記再暗号化鍵により更新済み第1のCKを再暗号化することと、
前記第1のデバイスが、前記第1のデバイスの秘密鍵で、前記再暗号化された更新済み第1のCKを復号できるように、前記再暗号化された更新済み第1のCKを前記第1のデバイスに送信することと、
前記重複排除ポリシーが、前記データの所有者による重複排除制御が必要であることを示す場合、ABE方式に沿って必要であれば、前記データの所有者に、前記データの識別子と、前記データの所有者の公開鍵情報を通知することで、前記第1のデバイスが更新済み第2のCKを復号できるように、前記第1のデバイスに秘密鍵を発行して、前記データの所有者によるデータ重複排除を実行可能とすることと、をさらに含む、請求項5に記載の方法。
- ユーザ装置におけるデータ記憶管理方法であって、
前記ユーザ装置が、データセンターにデータの記憶要求を送信することと、
前記データセンターからの前記データの要求に応じて、前記データの平文または暗号文(CT)を少なくとも含み、権限者(AP)および前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみによって重複排除が制御される、またはそのいずれによっても制御されないことを示す前記データの重複排除ポリシーを含むデータパッケージ、または当該重複排除ポリシーが判定可能なデータパッケージを、前記データセンターに送信することと、
前記データセンターまたは少なくとも1つの他のデータセンターからの前記データの重複排除要求に応じて、重複排除を実行するために属性ベース暗号(ABE)方式に沿って適格なデータ保持者に属性秘密鍵を発行することと、
を含む方法。 - 前記データの適格なデータ保持者を検証するために、それぞれ前記データの特定の部位を示す複数のインデックスを含むインデックスリストと、それぞれ1つのインデックスに対応する複数のハッシュ情報を含むハッシュチェーン情報とを前記データパッケージにより送信することをさらに含む請求項11に記載の方法。
- 前記データセンターに第2のデータを記憶する要求を送信することと、
前記データセンターからの少なくとも1つのインデックスに対応するハッシュ情報の要求に応じて、前記第2のデータの保持者を検証するために前記データセンターに対して前記少なくとも1つのインデックスに対応する計算されたハッシュ情報を送信することと、をさらに含む請求項11または12に記載の方法。 - 前記重複排除ポリシーが前記APおよび前記データの所有者の両方によって重複排除が制御されることを示す場合、前記データパッケージにより、前記データを暗号化して前記CTを取得するためのデータ暗号化鍵(DEK)を分割して得られた第1のDEKおよび第2のDEKを暗号化して得られた互いに異なる第1の暗号鍵(CK)および第2のCKを送信することと、
前記重複排除ポリシーが、重複排除が前記APまたは前記データの所有者の一方によって制御されることを示す場合、前記データパッケージにより、互いに等しい前記第1および第2のCKを送信することと、
前記重複排除ポリシーが、重複排除が前記APのみまたは前記データの所有者のみによって制御されることを示す場合、前記第1のCKのみまたは前記第2のCKのみを前記データパッケージにより送信することと、
前記重複排除ポリシーが、前記APおよび前記データの所有者のいずれによっても重複排除が制御されないことを示す場合、前記データパッケージにより前記平文を送信することと、
をさらに含む請求項13に記載の方法。 - 前記第1のDEKは、プロキシ再暗号化(PRE)方式に沿って、前記APの公開鍵で暗号化され、
前記第2のDEKは、前記データの保持に適格なユーザのユーザ識別子(ID)を含むアクセスポリシーに基づいて暗号化される、請求項14に記載の方法。 - 前記データの前記重複排除要求は、ユーザID情報を含み、
重複排除を実行するために前記属性秘密鍵を発行することは、
前記ユーザID情報が前記データの保持に適格なユーザを示すかを検証することと、
示すという検証結果に応じて、前記ユーザID情報に基づいて前記属性秘密鍵を生成することと、を含む、請求項11〜15のいずれかに記載の方法。 - 前記データセンターから、前記第2のデータに対する再暗号化された第1のCKを受信することと、
前記ユーザ装置の秘密鍵により前記再暗号化された第1のCKを復号して前記第1のDEKを取得することと、
前記第2のデータの所有者から属性秘密鍵を受信し、前記第2のデータの所有者または前記データセンターから前記第2のデータに対する前記第2のCKを受信することと、
前記第2のCKを前記属性秘密鍵により復号して、前記第2のDEKを取得することと、
前記第1および第2のDEKを結合して、複製排除のために前記DEKを取得することと、をさらに含む請求項14に記載の方法。 - 前記ユーザ装置により、データの削除要求を前記データセンターに送信することと、
前記データセンターからの少なくとも1つのインデックスに対応するハッシュ情報の要求に応じて、前記データの前記保持者を検証するために前記データセンターに対して前記少なくとも1つのインデックスに対応する計算されたハッシュ情報を送信することと、
前記データセンターまたは少なくとも1つの他のデータセンターからの、CT更新の要求に応じて、前記データの重複排除ポリシーに沿って前記CTを更新することと、をさらに含む請求項13に記載の方法。 - 重複排除制御の継続が必要な場合、前記データのオリジナルの重複排除ポリシーに沿って、前記CTを更新することと、
重複排除制御の継続が不要な場合、前記APのみによって重複排除が制御されることを示す新たな重複排除ポリシーに沿って、前記CTを更新することと、をさらに含む請求項18に記載の方法。 - 前記データセンターに、データのCTの更新要求であって、権限者(AP)、および前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみによって重複排除が制御される、またはそのいずれによっても制御されないことを示す前記データの重複排除ポリシーを含む要求、または当該重複排除ポリシーが判定可能な要求を送信することと、
前記重複排除ポリシーが、前記データの所有者による重複排除制御が必要であることを示す場合、属性秘密鍵が未送信であれば、重複排除を実行するために属性ベース暗号(ABE)方式に沿って適格なデータ保持者に前記属性秘密鍵を発行することと、をさらに含む請求項11〜19のいずれかに記載の方法。 - 前記データセンターから再暗号化された更新済み第1のCKを受信することと、
前記ユーザ装置の秘密鍵により、前記再暗号化された更新済み第1のCKを復号し、前記更新済み第1のDEKを取得することと、
利用不能な場合、前記データの所有者から属性秘密鍵を受信し、前記データセンターまたはデータ所有者から前記更新済み第2のCKを受信することと、
前記属性秘密鍵により前記更新済み第2のCKを復号して、前記更新済み第2のDEKを取得することと、
前記更新済み第1および第2のDEKを結合して、重複排除のために前記更新済みDEKを取得することと、をさらに含む請求項11から20のいずれかに記載の方法。 - 通信ネットワークにおけるデータの記憶を管理する装置であって、
第1のデバイスから前記装置にデータを記憶するための要求を受信する手段と、
前記装置に当該データが記憶されているかを確認する手段と、
当該データが前記装置に記憶済みではないという確認結果に応じて、前記第1のデバイスから、前記データの平文または暗号文(CT)を少なくとも含むデータパッケージを受信する手段と、
当該データが前記装置に記憶済みであるという確認結果に応じて、前記データの重複排除ポリシーを取得する手段と、
前記重複排除ポリシーが、権限者(AP)および前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみによって重複排除が制御されることを示す場合、前記APおよび前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみに連絡して、前記データの重複排除を実行する手段と、
前記重複排除ポリシーが、前記APおよび前記データの所有者のいずれによっても重複排除が制御されないことを示す場合、前記データの重複排除を実行する手段と、
を備える装置。 - ユーザ装置におけるデータの記憶を管理する装置であって、
データセンターにデータの記憶要求を送信する手段と、
前記データセンターからの前記データの要求に応じて、前記データの平文または暗号文(CT)を少なくとも含み、権限者(AP)および前記データの所有者の両方または一方、前記APのみ、あるいは前記データの所有者のみによって重複排除が制御される、またはそのいずれによっても制御されないことを示す前記データの重複排除ポリシーを含むデータパッケージ、または当該重複排除ポリシーが判定可能なデータパッケージを、前記データセンターに送信する手段と、
前記データセンターまたは少なくとも1つの他のデータセンターからの前記データの重複排除要求に応じて、重複排除を実行するために属性ベース暗号(ABE)方式に沿って適格なデータ保持者に属性秘密鍵を発行する手段と、
を備える装置。 - 処理手段及び記憶手段を備える装置であって、前記記憶手段はプログラム命令を格納し、前記プログラム命令は、前記処理手段に実行されると、前記装置に、請求項1から10のいずれかに記載の方法を遂行させるように構成される、装置。
- 処理手段及び記憶手段を備える装置であって、前記記憶手段はプログラム命令を格納し、前記プログラム命令は、前記処理手段に実行されると、前記装置に、請求項11から21のいずれかに記載の方法を遂行させるように構成される、装置。
- 装置の処理手段に実行されると、前記装置に、請求項1から10のいずれかに記載の方法を遂行させるように構成されるプログラム命令を備える、コンピュータプログラム。
- 装置の処理手段に実行されると、前記装置に、請求項11から21のいずれかに記載の方法を遂行させるように構成されるプログラム命令を備える、コンピュータプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2015/071013 WO2016115663A1 (en) | 2015-01-19 | 2015-01-19 | Method and apparatus for heterogeneous data storage management in cloud computing |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018508864A JP2018508864A (ja) | 2018-03-29 |
JP6404481B2 true JP6404481B2 (ja) | 2018-10-10 |
Family
ID=56416249
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017536778A Expired - Fee Related JP6404481B2 (ja) | 2015-01-19 | 2015-01-19 | クラウドコンピューティングにおける異種混合データ記憶管理方法および装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10581856B2 (ja) |
EP (1) | EP3248354A4 (ja) |
JP (1) | JP6404481B2 (ja) |
CN (1) | CN107113314B (ja) |
WO (1) | WO2016115663A1 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10097429B2 (en) * | 2015-11-25 | 2018-10-09 | Fluke Corporation | System and method for applying aggregated cable test result data |
US10528751B2 (en) * | 2017-04-13 | 2020-01-07 | Nec Corporation | Secure and efficient cloud storage with retrievability guarantees |
WO2018188074A1 (en) * | 2017-04-14 | 2018-10-18 | Nokia Technologies Oy | Secure encrypted data deduplication with efficient ownership proof and user revocation |
US11263087B2 (en) * | 2018-07-05 | 2022-03-01 | EMC IP Holding Company LLC | Methods and systems for serverless data deduplication |
CN110677487B (zh) * | 2019-09-30 | 2022-04-26 | 中科柏诚科技(北京)股份有限公司 | 一种支持隐私和完整性保护的外包数据去重云存储方法 |
KR102172903B1 (ko) * | 2019-12-09 | 2020-11-02 | (주)트러스트체인파트너스위드하모니 | 블록체인 기술 기반 데이터 베이스 관리 시스템 |
CN111404960B (zh) * | 2020-03-26 | 2022-02-25 | 军事科学院系统工程研究院网络信息研究所 | 应用于天地一体化网络接入管控系统的属性提取方法 |
KR102579334B1 (ko) * | 2021-03-24 | 2023-09-15 | 도요보 가부시키가이샤 | 화상 표시 장치 및 액정 표시 장치에 있어서의 백라이트 광원과 편광판의 조합을 선택하는 방법 |
CN114598535B (zh) * | 2022-03-14 | 2023-12-15 | 太原科技大学 | 基于云计算多授权中心的cp-abe代理重加密方法 |
Family Cites Families (51)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6598161B1 (en) | 1999-08-09 | 2003-07-22 | International Business Machines Corporation | Methods, systems and computer program products for multi-level encryption |
EP1271951A1 (en) | 2001-06-22 | 2003-01-02 | Octalis S.A. | Conditional access system for digital data by key decryption and re-encryption |
JP2006345160A (ja) | 2005-06-08 | 2006-12-21 | Base Technology Inc | 情報通信システム |
JP2007129413A (ja) * | 2005-11-02 | 2007-05-24 | Ntt Data Corp | 情報処理システム及びコンピュータプログラム |
US8094810B2 (en) * | 2006-02-03 | 2012-01-10 | Massachusetts Institute Of Technology | Unidirectional proxy re-encryption |
WO2007130416A2 (en) * | 2006-04-29 | 2007-11-15 | Navio Systems, Inc. | Title-enabled networking |
US20080104393A1 (en) * | 2006-09-28 | 2008-05-01 | Microsoft Corporation | Cloud-based access control list |
WO2008090779A1 (ja) | 2007-01-26 | 2008-07-31 | Nec Corporation | 権限管理方法、そのシステム並びにそのシステムで利用されるサーバ装置及び情報機器端末 |
KR20090002660A (ko) | 2007-07-02 | 2009-01-09 | 삼성전자주식회사 | 암호화된 컨텐츠를 재생하는 방법 및 재생을 인가하는방법과 그 장치 |
EP2235640A2 (en) | 2008-01-16 | 2010-10-06 | Sepaton, Inc. | Scalable de-duplication mechanism |
US7567188B1 (en) * | 2008-04-10 | 2009-07-28 | International Business Machines Corporation | Policy based tiered data deduplication strategy |
US8397084B2 (en) * | 2008-06-12 | 2013-03-12 | Microsoft Corporation | Single instance storage of encrypted data |
US7814149B1 (en) * | 2008-09-29 | 2010-10-12 | Symantec Operating Corporation | Client side data deduplication |
JP5113717B2 (ja) | 2008-10-27 | 2013-01-09 | Kddi株式会社 | 移動通信ネットワークシステム |
US8312276B2 (en) | 2009-02-06 | 2012-11-13 | Industrial Technology Research Institute | Method for sending and receiving an evaluation of reputation in a social network |
JP5255499B2 (ja) | 2009-03-30 | 2013-08-07 | 株式会社エヌ・ティ・ティ・ドコモ | 鍵情報管理方法、コンテンツ送信方法、鍵情報管理装置、ライセンス管理装置、コンテンツ送信システム、及び端末装置 |
US20100333116A1 (en) * | 2009-06-30 | 2010-12-30 | Anand Prahlad | Cloud gateway system for managing data storage to cloud storage sites |
US9058298B2 (en) | 2009-07-16 | 2015-06-16 | International Business Machines Corporation | Integrated approach for deduplicating data in a distributed environment that involves a source and a target |
US8874929B2 (en) | 2009-10-27 | 2014-10-28 | Lockheed Martin Corporation | Cross domain discovery |
WO2011070393A1 (en) | 2009-12-07 | 2011-06-16 | Nokia Corporation | Preservation of user data privacy in a network |
WO2011073894A1 (en) * | 2009-12-18 | 2011-06-23 | Koninklijke Philips Electronics N.V. | Digital rights management using attribute-based encryption |
US8977853B2 (en) | 2010-01-06 | 2015-03-10 | Telcordia Technologies, Inc. | System and method establishing trusted relationships to enable secure exchange of private information |
CN102244576A (zh) | 2010-05-10 | 2011-11-16 | 国民技术股份有限公司 | 一种实现终端安全存储的系统及方法 |
US8931048B2 (en) | 2010-08-24 | 2015-01-06 | International Business Machines Corporation | Data system forensics system and method |
CN102014133B (zh) | 2010-11-26 | 2013-08-21 | 清华大学 | 在云存储环境下一种安全存储系统的实现方法 |
US8645702B2 (en) | 2010-12-28 | 2014-02-04 | Futurewei Technologies, Inc. | Method and apparatus to use identity information for digital signing and encrypting content integrity and authenticity in content oriented networks |
US8943023B2 (en) * | 2010-12-29 | 2015-01-27 | Amazon Technologies, Inc. | Receiver-side data deduplication in data systems |
WO2012158654A2 (en) | 2011-05-14 | 2012-11-22 | Bitcasa, Inc. | Cloud file system with server-side deduplication of user-agnostic encrypted files |
US9805054B2 (en) * | 2011-11-14 | 2017-10-31 | Panzura, Inc. | Managing a global namespace for a distributed filesystem |
CN102571746B (zh) | 2011-11-23 | 2014-11-05 | 西安交通大学 | 一种面向云计算环境侧通道攻击防御的虚拟机部署方法 |
KR20130064518A (ko) * | 2011-12-08 | 2013-06-18 | 삼성전자주식회사 | 저장 장치 및 그것의 동작 방법 |
KR101583748B1 (ko) * | 2011-12-08 | 2016-01-19 | 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 | 사용자 간의 중복제거를 허용하기 위한 저장소 할인 |
CN102546764B (zh) | 2011-12-20 | 2014-06-04 | 华中科技大学 | 一种云存储系统的安全访问方法 |
US20140075193A1 (en) | 2012-03-19 | 2014-03-13 | Donglin Wang | Storage method |
CN102629940A (zh) | 2012-03-19 | 2012-08-08 | 天津书生投资有限公司 | 一种存储方法、系统和装置 |
US8903764B2 (en) | 2012-04-25 | 2014-12-02 | International Business Machines Corporation | Enhanced reliability in deduplication technology over storage clouds |
EP2885893B1 (en) * | 2012-08-17 | 2018-09-26 | Koninklijke Philips N.V. | Attribute-based encryption |
US9769124B2 (en) | 2012-09-21 | 2017-09-19 | Nokia Technologies Oy | Method and apparatus for providing access control to shared data based on trust level |
US20140108332A1 (en) * | 2012-10-17 | 2014-04-17 | Dell Products L.P. | System and method for migration and deduplication of digital assets |
WO2014064323A1 (en) | 2012-10-23 | 2014-05-01 | Nokia Corporation | Method and apparatus for managing access rights |
US9164926B2 (en) * | 2012-11-22 | 2015-10-20 | Tianjin Sursen Investment Co., Ltd. | Security control method of network storage |
US9390101B1 (en) * | 2012-12-11 | 2016-07-12 | Veritas Technologies Llc | Social deduplication using trust networks |
CN103095847B (zh) | 2013-02-04 | 2015-06-17 | 华中科技大学 | 一种云存储系统安全保障方法及其系统 |
US9471590B2 (en) * | 2013-02-12 | 2016-10-18 | Atlantis Computing, Inc. | Method and apparatus for replicating virtual machine images using deduplication metadata |
FR3003968A1 (fr) | 2013-03-28 | 2014-10-03 | France Telecom | Procede de stockage de donnees dans un systeme informatique effectuant une deduplication de donnees. |
US9202076B1 (en) * | 2013-07-26 | 2015-12-01 | Symantec Corporation | Systems and methods for sharing data stored on secure third-party storage platforms |
US20150066873A1 (en) * | 2013-08-30 | 2015-03-05 | Kaladhar Voruganti | Policy based deduplication techniques |
US9367559B1 (en) * | 2013-10-01 | 2016-06-14 | Veritas Technologies Llc | Data locality control for deduplication |
CN103763362B (zh) * | 2014-01-13 | 2016-12-21 | 西安电子科技大学 | 一种安全的分布式重复数据删除方法 |
US9076004B1 (en) * | 2014-05-07 | 2015-07-07 | Symantec Corporation | Systems and methods for secure hybrid third-party data storage |
US9397832B2 (en) * | 2014-08-27 | 2016-07-19 | International Business Machines Corporation | Shared data encryption and confidentiality |
-
2015
- 2015-01-19 US US15/542,952 patent/US10581856B2/en not_active Expired - Fee Related
- 2015-01-19 JP JP2017536778A patent/JP6404481B2/ja not_active Expired - Fee Related
- 2015-01-19 WO PCT/CN2015/071013 patent/WO2016115663A1/en active Application Filing
- 2015-01-19 CN CN201580073740.0A patent/CN107113314B/zh not_active Expired - Fee Related
- 2015-01-19 EP EP15878341.5A patent/EP3248354A4/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
JP2018508864A (ja) | 2018-03-29 |
EP3248354A4 (en) | 2018-08-15 |
US20180034819A1 (en) | 2018-02-01 |
WO2016115663A1 (en) | 2016-07-28 |
CN107113314A (zh) | 2017-08-29 |
EP3248354A1 (en) | 2017-11-29 |
CN107113314B (zh) | 2020-06-19 |
US10581856B2 (en) | 2020-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6404481B2 (ja) | クラウドコンピューティングにおける異種混合データ記憶管理方法および装置 | |
CN109144961B (zh) | 授权文件共享方法及装置 | |
US11146391B2 (en) | Orthogonal access control for groups via multi-hop transform encryption | |
CN107113165B (zh) | 在云计算中用于重复数据管理的方法和装置 | |
EP2912800B1 (en) | Methods and apparatus for data access control | |
Yan et al. | Heterogeneous data storage management with deduplication in cloud computing | |
US10546141B2 (en) | Network system, and methods of encrypting data, decrypting encrypted data in the same | |
US9465947B2 (en) | System and method for encryption and key management in cloud storage | |
US9767299B2 (en) | Secure cloud data sharing | |
CN106453612B (zh) | 一种数据存储与共享系统 | |
US9626527B2 (en) | Server and method for secure and economical sharing of data | |
CN109891423B (zh) | 使用多个控制机构的数据加密控制 | |
JP6363032B2 (ja) | 鍵付替え方向制御システムおよび鍵付替え方向制御方法 | |
Yan et al. | A scheme to manage encrypted data storage with deduplication in cloud | |
TW202031010A (zh) | 資料儲存方法、裝置及設備 | |
US10740478B2 (en) | Performing an operation on a data storage | |
JP2019102970A (ja) | データ共有サーバ装置、鍵生成サーバ装置、通信端末、プログラム | |
KR102269753B1 (ko) | 컨소시엄 블록체인 네트워크에서의 프라이빗 키를 백업 및 복원하는 방법 및 장치 | |
TW202304172A (zh) | 位置密鑰加密系統 | |
CN113824713A (zh) | 一种密钥生成方法、系统及存储介质 | |
TWI835684B (zh) | 即時通訊服務資料的備份系統和備份方法 | |
KR101936955B1 (ko) | 디피헬만 알고리즘과 타원곡선 디피헬만 알고리즘의 비대칭 응용을 이용한 가용성이 보장되는 안전한 비밀정보 백업 및 복원 방법 | |
JP2016045619A (ja) | 認証制御システム、制御サーバ、認証制御方法、プログラム | |
JP6287282B2 (ja) | 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム | |
Imam | A Framework to Secure Outsourced Data in Public Cloud Storage Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180725 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180801 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180815 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180827 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180827 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180910 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6404481 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |