KR101913497B1 - Method for encryption key management for deduplication - Google Patents

Method for encryption key management for deduplication Download PDF

Info

Publication number
KR101913497B1
KR101913497B1 KR1020170029400A KR20170029400A KR101913497B1 KR 101913497 B1 KR101913497 B1 KR 101913497B1 KR 1020170029400 A KR1020170029400 A KR 1020170029400A KR 20170029400 A KR20170029400 A KR 20170029400A KR 101913497 B1 KR101913497 B1 KR 101913497B1
Authority
KR
South Korea
Prior art keywords
key
encryption key
secret information
pairing
common secret
Prior art date
Application number
KR1020170029400A
Other languages
Korean (ko)
Other versions
KR20180102799A (en
Inventor
박철순
허준범
권현수
한창희
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020170029400A priority Critical patent/KR101913497B1/en
Publication of KR20180102799A publication Critical patent/KR20180102799A/en
Application granted granted Critical
Publication of KR101913497B1 publication Critical patent/KR101913497B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/122Hardware reduction or efficient architectures

Abstract

본 발명은 암호화키로부터 페어링키를 생성하는 단계, 상기 페어링키가 이미 존재하는지 검증하는 단계 및 상기 검증하는 단계에 의해 상기 페어링키가 중복되지 않는 페어링키인 경우, 제1 공통비밀정보를 생성하여 상기 제1 공통비밀정보로부터 제2 공통비밀정보를 추출하는 단계를 포함하는 암호화키 분배 단계를 포함하는 중복 데이터 제거를 위한 암호화키 관리 방법으로서, 본 발명에 의하면, 클라우드 저장소에서 암호문에 대한 데이터 중복제거 기술 적용 시 발생되는 암호화키를 클라우드 저장소에 나누어 관리할 때 상당한 오버헤드가 발생되는 보안 채널 설립 없이 전송되는 암호화키 조각에 대한 기밀성을 보장하고 더불어 확장성 및 신뢰성을 확보할 수 있다.The method includes generating a pairing key from an encryption key, verifying whether the pairing key already exists, and generating a first common secret information if the pairing key is a pairing key in which the pairing key is not duplicated by the verifying step And extracting second common secret information from the first common secret information. According to the present invention, there is provided an encryption key management method for removing redundant data, When the encryption key generated in applying the removal technology is divided and managed in the cloud storage, it is possible to secure the confidentiality of the encryption key fragments transmitted without establishment of the security channel, which has considerable overhead, and to secure the scalability and reliability.

Description

중복 데이터 제거를 위한 암호화키 관리 방법{METHOD FOR ENCRYPTION KEY MANAGEMENT FOR DEDUPLICATION}{METHOD FOR ENCRYPTION KEY MANAGEMENT FOR DEDUPLICATION}

본 발명은 클라우드 컴퓨팅 환경에서 중복 데이터의 제거를 위해 사용되는 암호화키를 관리하는 방법에 관한 것이다.The present invention relates to a method for managing an encryption key used for removal of redundant data in a cloud computing environment.

클라우드 컴퓨팅 환경에서 널리 사용되는 데이터 중복제거 기술은 클라우드 서버에 저장되는 수많은 중복 데이터 중 하나를 제외한 나머지를 모두 제거하고 사용자들에게 남겨진 하나의 데이터에 대해 접근하도록 하는 저장소 관리 기법이다.Data de-duplication technology, widely used in cloud computing environments, is a storage management technique that removes all but one of the many redundant data stored in the cloud server and allows users to access a single piece of data left behind.

이를 통해 클라우드 저장소 사용량을 줄임으로써 관리 및 유지보수에 드는 비용뿐만 아니라 저장소 용량 부족으로 인한 시스템 확장에 드는 비용 또한 절감되는 효과를 볼 수 있다.This reduces cloud storage usage, which not only reduces the cost of management and maintenance, but also the cost of expanding the system due to insufficient storage capacity.

한편, 클라우드 저장소에 업로드 되는 데이터에 대한 안전성을 확보하기 위해 사용자가 전통적인 암호화 기법을 통해 데이터를 암호화할 경우, 동일한 데이터가 서로 다른 암호문으로 변형되기 때문에 데이터 중복제거 기술을 적용하기 어렵게 된다.On the other hand, in order to secure the data uploaded to the cloud storage, when the user encrypts the data through the conventional encryption technique, it is difficult to apply the data de-duplication technique because the same data is transformed into different ciphertexts.

그래서, 암호문에 대해서도 데이터 중복제거 기술 적용이 가능하도록 하는 convergent 암호화 기법이 소개되었지만, 암호화되는 데이터 개수에 따라 암호화키 개수가 늘어나기 때문에 사용자 입장에서 암호화키 관리를 위한 자원부족으로 인해 큰 부하가 발생하는 문제가 생기게 된다.However, since the number of encryption keys increases according to the number of data to be encrypted, a large load is caused due to a lack of resources for managing the encryption key from a user's point of view .

더불어, 빅데이터 시대가 도래한 만큼 암호화키 관리를 위한 자원 부족 문제는 보다 심각한 문제로 자리매김하게 되었다.In addition, as the era of big data has arrived, the resource shortage problem for managing encryption keys has become a more serious problem.

나아가 최근에는, 이러한 문제를 해결하고자 비밀분산기법을 통해 암호화키를 여러 개의 암호화키 조각으로 나누고 다수의 클라우드 서버에 나누어 저장함으로써 사용자의 암호화키 관리 부담 문제를 해결하는 Dekey가 제안된 바 있다.In recent years, Dekey has been proposed to solve the above problem by dividing the encryption key into a plurality of encryption key fragments through a secret distribution technique and dividing the fragments into a plurality of cloud servers, thereby solving the problem of the burden of the user's encryption key management.

하지만, Dekey의 경우 암호화키 조각의 기밀성 보장을 위해 SSL/TLS와 같은 보안채널을 통해 전송되어야 하며 클라우드 서버와 보안채널을 설립하는 데 필요한 연산 및 통신 오버헤드가 상당히 많이 발생한다.However, in the case of Dekey, the encryption key fragment must be transmitted over a secure channel, such as SSL / TLS, to ensure confidentiality, and considerable computation and communication overhead is required to establish a secure channel with the cloud server.

뿐만 아니라 전송해야하는 클라우드 서버 개수에 따라 보안 채널 개수도 늘어나기 때문에 확장성 또한 문제가 된다.In addition, scalability is also a problem because the number of secure channels increases with the number of cloud servers to be transmitted.

이상의 배경기술에 기재된 사항은 발명의 배경에 대한 이해를 돕기 위한 것으로서, 이 기술이 속하는 분야에서 통상의 지식을 가진 자에게 이미 알려진 종래기술이 아닌 사항을 포함할 수 있다.The matters described in the background art are intended to aid understanding of the background of the invention and may include matters which are not known to the person of ordinary skill in the art.

한국등록특허공보 제10-1605766호Korean Patent Registration No. 10-1605766

본 발명은 상술한 문제점을 해결하고자 안출된 것으로서, 본 발명은 클라우드 저장소에서 암호문에 대한 데이터 중복제거 기술 적용 시 발생되는 암호화키를 클라우드 저장소에 나누어 관리할 때 상당한 오버헤드가 발생되는 보안 채널 설립 없이 전송되는 암호화키 조각에 대한 기밀성을 보장하고 더불어 확장성 및 신뢰성을 확보하는 방법을 제공하는 데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a method and a system for managing a cryptographic key in a cloud storage, The present invention aims to provide a method for ensuring confidentiality of encrypted key fragments to be transmitted and ensuring scalability and reliability.

본 발명의 일 관점에 의한 중복 데이터 제거를 위한 암호화키 관리 방법은, 암호화키로부터 페어링키를 생성하는 단계, 상기 페어링키가 이미 존재하는지 검증하는 단계 및 상기 검증하는 단계에 의해 상기 페어링키가 중복되지 않는 페어링키인 경우, 제1 공통비밀정보를 생성하여 상기 제1 공통비밀정보로부터 제2 공통비밀정보를 추출하는 단계를 포함하는 암호화키 분배 단계를 포함한다.According to an aspect of the present invention, there is provided an encryption key management method for removing redundant data, comprising: generating a pairing key from an encryption key; verifying whether the pairing key already exists; and verifying, And generating the first common secret information and extracting the second common secret information from the first common secret information when the pairing key is a pairing key that is not a pairing key.

상기 암호화키 분배 단계는, 상기 제2 공통비밀정보로부터 부분키를 생성하는 단계 및 상기 페어링키로부터 분산암호화키를 생성하는 단계를 더 포함하는 것을 특징으로 한다.The encryption key distribution step further includes generating a partial key from the second common secret information and generating a distributed encryption key from the pairing key.

그리고, 상기 페어링키를 생성하는 단계는 이중선형사상(bilinear map) 연산을 통해 암호화키로부터 생성하는 것을 특징으로 한다.The generating of the pairing key may be performed using a bilinear map operation.

또한, 상기 제2 공통비밀정보를 추출하는 단계는 상기 제1 공통비밀정보로부터 사용자의 비밀키를 순환군(cyclic group)에서의 지수연산을 하여 생성하는 것을 특징으로 한다.The extracting of the second common secret information may include generating a secret key of the user from the first common secret information by exponentiation in a cyclic group.

그리고, 상기 부분키를 생성하는 단계는 상기 페어링키와 상기 제2 공통비밀정보의 순환군(cyclic group)에서의 곱연산을 통해 얻어진 값의 해시값을 암호화키와 XOR 하여 생성하는 것을 특징으로 한다.The generating of the partial key is performed by XORing a hash value of a value obtained through a multiplication operation in a cyclic group of the pairing key and the second common secret information with an encryption key .

한편, 분산암호화키를 비밀분산기법을 통해 페어링키로 복원하는 단계, 상기 페어링키에 해당하는 비밀정보와 사용자의 공개키로부터 제1 공통비밀정보를 생성하는 단계, 상기 제1 공통비밀정보를 사용자의 비밀키를 통해 제2 공통비밀정보를 추출하는 단계를 포함하는 암호화키 회수 단계를 더 포함할 수 있다.Generating a first common secret information from the public key corresponding to the pairing key and the public key of the user, and transmitting the first common secret information to the public key of the user, And extracting the second common secret information through the secret key.

상기 암호화키 회수 단계는, 상기 복원된 페어링키와 상기 제2 공통비밀정보의 곱의 해쉬값을 부분키에 XOR 하여 암호화키를 복원하는 단계를 더 포함하는 것을 특징으로 한다.The encryption key recovery step may further include recovering an encryption key by XORing a hash value of a product of the restored pairing key and the second common secret information with a partial key.

그리고, 상기 제1 공통비밀정보를 생성하는 단계는 사용자의 공개키와 임의의 비밀정보로부터 이중선형사상(bilinear map) 연산을 통해 생성하는 것을 특징으로 한다.The generating of the first common secret information may be performed by a bilinear map operation from a user's public key and arbitrary secret information.

본 발명의 중복 데이터 제거를 위한 암호화키 관리 방법에 의하면, 클라우드 저장소에 안전한 데이터 중복제거 기법 적용 시 생성되는 암호화키에 대한 기밀성을 보장함과 동시에 상당한 오버헤드를 야기하는 보안채널 설립 필요성을 제거할 수 있다.According to the encryption key management method for removing redundant data of the present invention, it is possible to secure confidentiality of an encryption key generated when a secure data deduplication technique is applied to a cloud storage, and to eliminate the necessity of establishing a secure channel that causes considerable overhead .

또한, 클라우드 저장소에 안전한 데이터 중복제거 기법 적용 시 다수의 클라우드 저장소에 대한 확장성 및 신뢰성 있는 암호화키 관리를 제공할 수 있다.In addition, secure data deduplication in cloud storage can provide scalability and reliable cryptographic key management for multiple cloud repositories.

도 1은 본 발명의 일 실시예에 따른 암호화키 분배 시 암호화키 관리자의 구조를 도시한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 암호화키 분배 시 인덱스 서비스 제공자의 구조를 도시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 암호화키 분배 시 키 저장소의 구조를 도시한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 암호화키 분배 시 클라우드 저장소의 구조를 도시한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 암호화키 회수 시 암호화키 관리자의 구조를 도시한 블록도이다.
도 6은 본 발명의 일 실시예에 따른 암호화키 회수 시 인덱스 서비스 제공자의 구조를 도시한 블록도이다.
도 7은 본 발명의 일 실시예에 따른 암호화키 회수 시 키 저장소의 구조를 도시한 블록도이다.
도 8은 본 발명의 일 실시예에 따른 암호화키 회수 시 클라우드 저장소의 구조를 도시한 블록도이다.
도 9는 본 발명의 일 실시예에 따른 암호화키 분배 방법을 단계별로 설명한 순서도이다.
도 10은 본 발명의 일 실시예에 따른 암호화키 회수 방법을 단계별로 설명한 순서도이다.
1 is a block diagram illustrating a structure of an encryption key manager in an encryption key distribution according to an embodiment of the present invention.
2 is a block diagram illustrating a structure of an index service provider in an encryption key distribution according to an embodiment of the present invention.
FIG. 3 is a block diagram illustrating a structure of a key storage in distribution of an encryption key according to an embodiment of the present invention. Referring to FIG.
4 is a block diagram illustrating the structure of a cloud storage in distribution of an encryption key according to an embodiment of the present invention.
FIG. 5 is a block diagram illustrating a structure of an encryption key manager in an encryption key recovery according to an embodiment of the present invention. Referring to FIG.
FIG. 6 is a block diagram illustrating a structure of an index service provider when an encryption key is retrieved according to an embodiment of the present invention. Referring to FIG.
FIG. 7 is a block diagram illustrating a structure of a key storage when an encryption key is retrieved according to an embodiment of the present invention. Referring to FIG.
FIG. 8 is a block diagram illustrating a structure of a cloud storage when an encryption key is retrieved according to an embodiment of the present invention.
FIG. 9 is a flowchart illustrating an encryption key distribution method according to an exemplary embodiment of the present invention.
FIG. 10 is a flowchart illustrating steps of an encryption key recovery method according to an embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.

본 발명의 바람직한 실시 예를 설명함에 있어서, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지의 기술이나 반복적인 설명은 그 설명을 줄이거나 생략하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In describing the preferred embodiments of the present invention, a description of known or repeated descriptions that may unnecessarily obscure the gist of the present invention will be omitted or omitted.

이하, 도 1 내지 도 10을 참조하여 본 발명의 일 실시예에 의한 중복 데이터 제거를 위한 암호화키 관리 방법을 설명하기로 한다.Hereinafter, an encryption key management method for removing duplicate data according to an embodiment of the present invention will be described with reference to FIGS. 1 to 10. FIG.

암호화키 관리 방법은 암호화키 분배와 암호화키 회수 부분으로 구성되며, 암호화 키 k는 3개의 암호화키 요소(encryption key component)로 분할되어 관리되고, 각각 페어링키(pairing key), 제2 공통비밀정보(shared secret), 부분키(partial key)로 명명한다.The encryption key management method comprises an encryption key distribution part and an encryption key recovery part. The encryption key k is managed by being divided into three encryption key components, and is divided into a pairing key, a second common secret information a shared secret, and a partial key.

본 발명에 의한 암호화키 관리 시스템은 암호화키 관리자, 인덱스 서비스 제공자, 키 저장소 및 클라우드 저장소로 구성된다.The encryption key management system according to the present invention comprises an encryption key manager, an index service provider, a key storage, and a cloud storage.

도 1 내지 도 4는 각각 암호화키 분배 단계에서의 암호화키 관리자, 인덱스 서비스 제공자, 키 저장소 및 클라우드 저장소를 도시한 것이다.FIGS. 1 to 4 show an encryption key manager, an index service provider, a key store, and a cloud storage in the encryption key distribution step, respectively.

우선 암호화키 분배 단계를 도 1 내지 도 4를 참조하여 살펴보면, 도 1에서 참조되는 암호화키 관리자는, 암호화키 k로부터 페어링키 pak를 생성하는 pak 생성부, 상기 생성된 페어링키가 클라우드 저장소에 이미 존재하는지 검증하는 pak 중복 검증부, 수신된 제1 공통비밀정보(blinded shared secret)로부터 제2 공통비밀정보를 생성하며 페어링키, 제2 공통비밀정보, 암호화키로부터 부분키 kp를 생성하는 kp 생성부, 페어링키를 비밀분산기법을 통해 여러 개로 분할하여 분산암호화키 cek를 생성하는 cek 생성부, 상기 검증을 위한 페어링키 전송에 필요하며 이후 생성된 부분키와 분산암호화키를 각각 키 저장소, 클라우드 저장소에 전송하는 전송부, 상기 검증을 위한 정보 수신 및 제1 공통비밀정보를 수신하는 수신부를 포함한다.1 to 4, the encryption key manager referred to in FIG. 1 includes a pak generation unit for generating a pairing key pak from the encryption key k, a paging unit for generating the pairing key pak from the encryption key k, Generating a second common secret information from the received first common secret and generating a partial key k p from the pairing key, the second common secret information, and the encryption key; p generating unit, a cek generating unit for generating a distributed encryption key cek by dividing the pairing key into a plurality of secret sharing schemes, a partial key and a distributed encryption key, which are necessary for the transmission of the pairing key for the verification, A transmitting unit for transmitting the information to the cloud repository, a receiving unit for receiving information for the verification and receiving the first common secret information.

그리고, 도 2에서 참조되는 인덱스 서비스 제공자는, 수신된 페어링키 저장여부를 검증하는 pak 중복 검증부, 사용자의 공개키와 비밀정보로부터 제1 공통비밀정보를 생성하는 bss 생성부, 상기 수신된 페어링키를 저장하는 pak 저장부, 상기 검증에 필요한 정보 전송과 제1 공통비밀정보를 전송하는 전송부, 상기 페어링키를 수신하는 수신부를 포함한다.2, the index service provider includes a pak duplication verifying unit for verifying whether or not the received pairing key is stored, a bss generating unit for generating first common secret information from the user's public key and confidential information, A pak storage for storing the key, a transmission unit for transmitting information necessary for the verification and the first common secret information, and a receiver for receiving the pairing key.

또한, 도 3에서 참조되는 키 저장소는, 암호화키 관리자로부터 수신되는 부분키를 저장하는 kp 저장부, 상기 부분키를 수신하는 수신부를 포함하며, 도 4에서 참조되는 클라우드 저장소는, 암호화키 관리자로부터 수신되는 분산암호화키를 저장하는 cek 저장부, 상기 분산암호화키를 수신하는 수신부를 포함한다.3 includes a k p storage unit for storing a partial key received from the encryption key manager and a reception unit for receiving the partial key. The cloud storage referred to in FIG. 4 includes an encryption key manager A cek storage unit for storing a distributed encryption key received from the distributed cryptographic key generation unit, and a reception unit for receiving the distributed cryptographic key.

다음으로, 암호화키 회수 단계를 도 5 내지 도 8을 참조하여 살펴보면, 도 5에서 참조되는 암호화키 관리자는, 다수의 클라우드 저장소로부터 수신된 분산암호화키에서 비밀분산기법을 통해 페어링키를 복원하는 pak 복원부, 수신된 제1 공통비밀정보로부터 얻어낸 제2 공통비밀정보와 수신된 부분키, 상기 복원된 페어링키로부터 암호화키 k를 복원하는 k 복원부, 제1 공통비밀정보와 부분키를 얻기 위해 각각 페어링키와 인덱스를 전송하는 전송부, 상기 분산암호화키와 제1 공통비밀정보, 인덱스, 부분키를 수신하는 수신부를 포함한다.5 to 8, the encryption key manager, which is referred to in FIG. 5, includes a pak for recovering a pairing key from a distributed encryption key received from a plurality of cloud repositories through a secret distribution scheme, A restoring unit, a second common secret information obtained from the received first common secret information, a received partial key, a k-th reconstruction unit for restoring the encryption key k from the restored pairing key, a first common secret information and a partial key A transmission unit for transmitting a pairing key and an index, and a receiver for receiving the distributed encryption key and the first common secret information, the index, and the partial key.

그리고, 도 6에서 참조되는 인덱스 서비스 제공자는, 암호화키 관리자의 공개키와 비밀정보로부터 제1 공통비밀정보를 생성하는 bss 생성부, 생성된 제1 공통비밀정보와 해당 인덱스를 전송하는 전송부, 상기 페어링키를 수신하는 수신부를 포함한다.The index service provider referred to in FIG. 6 includes a bss generating unit for generating first common secret information from the public key and secret information of the encryption key manager, a transmitting unit for transmitting the generated first common secret information and the corresponding index, And a receiving unit for receiving the pairing key.

또한, 도 7에서 참조되는 키 저장소는, 수신된 인덱스에 해당하는 부분키를 회수하는 kp 회수부, 상기 회수된 부분키를 전송하는 전송부, 상기 인덱스를 수신하는 수신부를 포함하며, 도 8에서 참조되는 클라우드 저장소는, 분산암호화키 회수를 위한 cek 회수부, 회수한 분산암호화키를 전송하는 전송부를 포함한다.The key storage referred to in FIG. 7 includes a k p collection unit for retrieving a partial key corresponding to the received index, a transmission unit for transmitting the retrieved partial key, and a receiver for receiving the index, The cloud repository referred to in the present invention includes a cek collection unit for collecting distributed cryptographic keys and a transmission unit for transmitting the collected distributed cryptographic keys.

다음으로, 이상과 같은 암호화키 관리 시스템에 의한 암호화키 관리 방법을 도 9의 분배 단계와 도 10의 회수 단계로 구분하여 설명한다.Next, an encryption key management method by the above-described encryption key management system will be described by dividing it into a distribution step in FIG. 9 and a collection step in FIG.

도 9를 참조하면, 암호화키 관리자는 암호화키 k로부터 페어링연산을 통해 페어링키 pak를 생성할 수 있다.Referring to FIG. 9, the encryption key manager may generate a pairing key pak from the encryption key k through a pairing operation.

그리고, 생성된 페어링키를 인덱스 서비스 제공자에게 전송하고 수신한 페어링키에 대해 인덱스 서비스 제공자는 이미 존재하는지를 검증한다.Then, the generated pairing key is transmitted to the index service provider, and the index service provider verifies whether or not the indexing service provider already exists for the received pairing key.

중복되는 페어링키의 경우 암호화키 관리자에 의해 소유권 증명을 통과하면 이전에 다른 사용자가 페어링키를 이미 분배한 것이기 때문에 현재 단계에서 암호화키 분배를 종료한다.In the case of a duplicate pairing key, the encryption key distribution is terminated at the current stage because the encryption key manager passes the proof of ownership and the other user has previously distributed the pairing key.

중복되지 않는 페어링키에 대해 인덱스 서비스 제공자는 사용자의 공개키 pk와 임의로 선택된 비밀정보 u와의 페어링 연산을 통해 제1 공통비밀정보를 생성하여, 이에 맞는 인덱스를 설정한 뒤 인덱스와 제1 공통비밀정보를 암호화키 관리자에게 전송한다. 암호화키 관리자는 수신한 제1 공통비밀정보로부터 사용자의 비밀키를 통해 제2 공통비밀정보를 추출한다.For the non-overlapping pairing key, the index service provider generates the first common secret information through a pairing operation between the public key pk of the user and the randomly selected secret information u, sets an index corresponding thereto, To the encryption key manager. The encryption key manager extracts the second common secret information from the received first common secret information through the secret key of the user.

그리고, 페어링키와 제2 공통비밀정보의 곱에 대한 해쉬값과 암호화키를 XOR(eXclusive OR) 연산하여 부분키를 생성하며, 상기 수신한 인덱스와 부분키를 키 저장소에 전송한다.Then, a partial key is generated by XOR (eXclusive OR) the hash value and the encryption key for the product of the pairing key and the second common secret information, and the received index and partial key are transmitted to the key store.

그런 다음, 비밀분산기법을 통해 페어링키로부터 분산암호화키를 생성하고 이를 다수의 클라우드 저장소에 분배한다.Then, it generates a distributed encryption key from the pairing key and distributes it to multiple cloud repositories through a secret distribution scheme.

결과적으로, 페어링 연산 또는 페어링 연산의 산물로 마스킹 함으로써 보안채널이 아닌 공개채널에 노출되어도 각 암호화키 부품에 대한 기밀성이 보장되기 때문에 안전하게 암호화키 관리를 할 수 있다. 이로 인해 보안 채널을 각각의 클라우드 저장소마다 설립할 필요성이 사라지고 다수의 클라우드 저장소에 대한 확장성을 확보하고 동시에 암호화키가 해당 클라우드 저장소에 분할되어 관리되기 때문에 신뢰성 또한 보장될 수 있다.As a result, by masking with the product of the pairing operation or the pairing operation, the confidentiality of each encryption key part is ensured even when exposed to a public channel, not a secure channel, so that encryption key management can be performed safely. Reliability can also be ensured because this eliminates the need to establish a secure channel for each cloud repository, secures scalability for multiple cloud repositories, and at the same time the encryption key is managed in the cloud storage.

다음, 도 10을 참조하면, 암호화키 관리자는 다수의 클라우드 저장소로부터 수신한 분산암호화키를 비밀분산기법을 통해 페어링키로 복원한다.Next, referring to FIG. 10, the encryption key manager restores the distributed encryption key received from a plurality of cloud repositories as a pairing key through a secret sharing technique.

그리고, 상기 복원된 페어링키를 인덱스 서비스 제공자에게 전송하면 인덱스 서비스 제공자는 해당 pak에 해당하는 비밀정보 u와 사용자의 공개키로부터 페어링 연산을 통해 제1 공통비밀정보를 생성한다.When the restored pairing key is transmitted to the index service provider, the index service provider generates the first common secret information through a pairing operation from the secret information u corresponding to the pak and the public key of the user.

그래서, 이에 해당하는 인덱스와 상기 생성된 제1 공통비밀정보를 암호화키 관리자에게 전송하고, 암호화키 관리자는 부분키를 얻기 위해 수신한 인덱스를 키 저장소에 전송한다.Then, the index and the generated first common secret information are transmitted to the encryption key manager, and the encryption key manager transmits the received index to the key store to obtain the partial key.

그려면, 키 저장소는 인덱스에 해당하는 부분키를 사용자에게 전송하고, 상기 인덱스 서비스 제공자로부터 수신한 제1 공통비밀정보를 암호화키 관리자의 비밀키를 통해 제2 공통비밀정보를 추출한다.In this case, the key store transmits the partial key corresponding to the index to the user, and extracts the first common secret information received from the index service provider through the secret key of the encryption key manager.

이렇게 상기 복원한 페어링키와 제2 공통비밀정보의 곱의 해쉬값을 부분키에 XOR하여 암호화키 k를 복원할 수 있다.The hash value of the product of the restored pairing key and the second common secret information can be XOR'ed to the partial key to restore the encryption key k.

이상과 같은 본 발명은 예시된 도면을 참조하여 설명되었지만, 기재된 실시 예에 한정되는 것이 아니고, 본 발명의 사상 및 범위를 벗어나지 않고 다양하게 수정 및 변형될 수 있음은 이 기술의 분야에서 통상의 지식을 가진 자에게 자명하다. 따라서 그러한 수정 예 또는 변형 예들은 본 발명의 특허청구범위에 속한다 하여야 할 것이며, 본 발명의 권리범위는 첨부된 특허청구범위에 기초하여 해석되어야 할 것이다.While the present invention has been described with reference to the exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It is obvious to those who have. Accordingly, it is intended that the present invention cover the modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents.

Claims (8)

암호화키로부터 페어링키를 생성하는 단계;
상기 페어링키가 이미 존재하는지 검증하는 단계; 및
상기 검증하는 단계에 의해 상기 페어링키가 중복되지 않는 페어링키인 경우, 제1 공통비밀정보를 생성하여 상기 제1 공통비밀정보로부터 제2 공통비밀정보를 추출하는 단계를 포함하는 암호화키 분배 단계를 포함하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
Generating a pairing key from an encryption key;
Verifying that the pairing key already exists; And
Generating the first common secret information and extracting the second common secret information from the first common secret information when the pairing key is a pairing key in which the pairing key is not duplicated in the verifying step; Including,
An encryption key management method for duplicate data removal.
청구항 1에 있어서,
상기 암호화키 분배 단계는,
상기 제2 공통비밀정보로부터 부분키를 생성하는 단계; 및
상기 페어링키로부터 분산암호화키를 생성하는 단계를 더 포함하는 것을 특징으로 하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method according to claim 1,
Wherein the encryption key distribution step includes:
Generating a partial key from the second common secret information; And
Further comprising generating a distributed encryption key from the pairing key.
An encryption key management method for duplicate data removal.
청구항 2에 있어서,
상기 페어링키를 생성하는 단계는 이중선형사상(bilinear map) 연산을 통해 암호화키로부터 생성하는 것을 특징으로 하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method of claim 2,
Wherein generating the pairing key is generated from an encryption key via a bilinear map operation.
An encryption key management method for duplicate data removal.
청구항 3에 있어서,
상기 제2 공통비밀정보를 추출하는 단계는 상기 제1 공통비밀정보로부터 사용자의 비밀키를 순환군(cyclic group)에서의 지수연산을 하여 생성하는 것을 특징으로 하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method of claim 3,
Wherein the step of extracting the second common secret information generates the secret key of the user from the first common secret information by performing exponentiation in a cyclic group,
An encryption key management method for duplicate data removal.
청구항 4에 있어서,
상기 부분키를 생성하는 단계는 상기 페어링키와 상기 제2 공통비밀정보의 순환군(cyclic group)에서의 곱연산을 통해 얻어진 값의 해시값을 암호화키와 XOR 하여 생성하는 것을 특징으로 하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method of claim 4,
Wherein the generating of the partial key comprises generating a hash value of a value obtained through a multiplication operation in a cyclic group of the pairing key and the second common secret information by XORing with an encryption key.
An encryption key management method for duplicate data removal.
청구항 1에 있어서,
분산암호화키를 비밀분산기법을 통해 페어링키로 복원하는 단계;
상기 페어링키에 해당하는 비밀정보와 사용자의 공개키로부터 제1 공통비밀정보를 생성하는 단계;
상기 제1 공통비밀정보를 사용자의 비밀키를 통해 제2 공통비밀정보를 추출하는 단계를 포함하는 암호화키 회수 단계를 더 포함하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method according to claim 1,
Restoring a distributed encryption key to a pairing key through a secret sharing scheme;
Generating first common secret information from secret information corresponding to the pairing key and a public key of the user;
And extracting the second common secret information from the first common secret information through the user's private key.
An encryption key management method for duplicate data removal.
청구항 6에 있어서,
상기 암호화키 회수 단계는,
상기 복원된 페어링키와 상기 제2 공통비밀정보의 곱의 해쉬값을 부분키에 XOR 하여 암호화키를 복원하는 단계를 더 포함하는 것을 특징으로 하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method of claim 6,
The encryption key recovery step includes:
Further comprising restoring an encryption key by XORing a hash value of a product of the restored pairing key and the second common secret information with a partial key,
An encryption key management method for duplicate data removal.
청구항 7에 있어서,
상기 제1 공통비밀정보를 생성하는 단계는 사용자의 공개키와 임의의 비밀정보로부터 이중선형사상(bilinear map) 연산을 통해 생성하는 것을 특징으로 하는,
중복 데이터 제거를 위한 암호화키 관리 방법.
The method of claim 7,
Wherein the step of generating the first common secret information comprises generating a bilinear map from the user's public key and arbitrary secret information.
An encryption key management method for duplicate data removal.
KR1020170029400A 2017-03-08 2017-03-08 Method for encryption key management for deduplication KR101913497B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170029400A KR101913497B1 (en) 2017-03-08 2017-03-08 Method for encryption key management for deduplication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170029400A KR101913497B1 (en) 2017-03-08 2017-03-08 Method for encryption key management for deduplication

Publications (2)

Publication Number Publication Date
KR20180102799A KR20180102799A (en) 2018-09-18
KR101913497B1 true KR101913497B1 (en) 2018-10-30

Family

ID=63718547

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170029400A KR101913497B1 (en) 2017-03-08 2017-03-08 Method for encryption key management for deduplication

Country Status (1)

Country Link
KR (1) KR101913497B1 (en)

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Stanek, Jan, et al. "A Secure Data Deduplication Scheme for Cloud Storage, International Conference on Financial Cryptography and Data Security (2014)
Wen, Mi, et al. "BDO-SD: An Efficient Scheme for Big Data Outsourcing with Secure Deduplication, BigSecurity 2015
김현일 외 3명, 키 발급 서버를 이용한 암호데이터 중복제거 기술, 정보과학회논문지 제43권 제2호 (2016.02.)

Also Published As

Publication number Publication date
KR20180102799A (en) 2018-09-18

Similar Documents

Publication Publication Date Title
CN109150519B (en) Anti-quantum computing cloud storage security control method and system based on public key pool
US8589695B2 (en) Methods and systems for entropy collection for server-side key generation
US8635465B1 (en) Counter-based encryption of stored data blocks
CN106209739A (en) Cloud storage method and system
EP3169035A1 (en) Secure removable storage for aircraft systems
JP6363032B2 (en) Key change direction control system and key change direction control method
CN105245328A (en) User and file key generation and management method based on third party
CN103414682A (en) Method for cloud storage of data and system
US20180115535A1 (en) Blind En/decryption for Multiple Clients Using a Single Key Pair
CN110768787A (en) Data encryption and decryption method and device
Shin et al. A Survey of Public Provable Data Possession Schemes with Batch Verification in Cloud Storage.
KR101285281B1 (en) Security system and its security method for self-organization storage
US20110154015A1 (en) Method For Segmenting A Data File, Storing The File In A Separate Location, And Recreating The File
Agarwala et al. DICE: A dual integrity convergent encryption protocol for client side secure data deduplication
CN108494552B (en) Cloud storage data deduplication method supporting efficient convergence key management
CN109412788B (en) Anti-quantum computing agent cloud storage security control method and system based on public key pool
Yang et al. A secure ciphertext self-destruction scheme with attribute-based encryption
Li et al. A data assured deletion scheme in cloud storage
KR101913497B1 (en) Method for encryption key management for deduplication
Newman et al. Spectrum: High-bandwidth Anonymous Broadcast
CN110362984B (en) Method and device for operating service system by multiple devices
CN112187456A (en) Key hierarchical management and collaborative recovery system and method
Omote et al. DD-POR: Dynamic operations and direct repair in network coding-based proof of retrievability
Kamboj et al. DEDUP: Deduplication system for encrypted data in cloud
CN109063496A (en) A kind of method and device of data processing

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant