[发明专利]满足语义安全的无可信第三方云存储密文去重方法与系统

说明书

本发明属于云数据密文去重技术领域，提供了一种满足语义安全的无可信第三方云存储密文去重方法与系统。其中，该方法包括数据上传者将数据的短哈希值发送给云存储服务器；云存储服务器利用该短哈希值进行匹配，判断数据是否可能已经存在云存储中；其中，所述数据上传者包括数据首次上传者和数据后续上传者；数据首次上传者利用外包数据完整性远程审计方案生成数据完整性认证集合，上传数据密文，并利用完整性认证集合和校验算法构造智能合约，以实现数据首次上传过程；数据后续上传者利用智能合约进行数据完整性校验，根据校验结果获取智能合约输出的数据加密密钥或执行数据首次上传过程。

技术领域

本发明属于云数据密文去重技术领域，尤其涉及一种满足语义安全的无可信第三方云存储密文去重方法与系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

去重技术被云服务提供商广泛采用，保证相同的数据副本只在云服务器存储一次,若有相同副本出现,则云服务器为上传者创建访问该数据副本的链接，以降低存储成本。然而，目前云存储用户常通过上传加密数据来保证数据机密性，由于使用语义安全的加密算法在不同密钥下对消息进行加密会形成不同的密文，因此传统的明文去重方法无法应用于云中密文数据。发明人发现现有技术中存在以下技术问题：

(1)现有的基于收敛加密或消息锁加密的密文去重方法与系统无法保证密文数据的语义安全性，安全等级较低，容易受到离线暴力攻击，存在安全隐患。

(2)已有的满足语义安全性的密文去重方法与系统大多需要一个可信第三方负责分发数据加密密钥或者需要部分其他之前上传过相同数据的用户在线与新的数据上传者执行会话密钥交换协议来安全的分发数据加密密钥，这些要求在现实的云存储环境中并不容易满足，导致方法的实用性较差。

(3)已有的无需可信第三方在线或者无需其他之前上传过相同数据的用户在线的满足语义安全性的密文去重方法与系统需要预先限定一个用户群，并由一个可信中心为用户群中的用户预先生成一些辅助信息，导致云存储服务器可以与用户群中的其他用户合谋，获得数据上传者的数据加密密钥。

发明内容

为了解决上述背景技术中存在的技术问题，本发明提供一种满足语义安全的无可信第三方云存储密文去重方法及系统，其利用智能合约与上传数据的用户执行数据完整性证明协议，根据完整性验证结果将原始数据加密密钥发送给后续上传用户，无需可信第三方，支持客户端利用语义安全加密算法加密数据，可以提供更强的安全性和实用性。

为了实现上述目的，本发明采用如下技术方案：

本发明的第一个方面提供一种满足语义安全的无可信第三方云存储密文去重方法，其包括：

数据上传者将数据的短哈希值发送给云存储服务器；

云存储服务器利用该短哈希值进行匹配，判断数据是否可能已经存在云存储中；

其中，所述数据上传者包括数据首次上传者和数据后续上传者；数据首次上传者利用外包数据完整性远程审计方案的密钥生成算法和安全参数生成用于数据完整性校验的公私钥对，以实现数据首次上传过程；数据后续上传者利用公钥加密算法的密钥生成算法生成用于公钥加解密的公私钥对，再基于数据完整性校验，利用公私钥对来解密数据加密密钥的密文或执行数据首次上传过程。

若不匹配，即数据肯定不存在云存储中，则数据首次上传者生成上传数据明文的完整性认证集合，将密文数据上传给云存储服务器，将加密密钥和完整性校验代码写入可保护数据机密性的智能合约T0，将数据的完整性认证集合以及自己的公钥写入智能合约T1，完成数据首次上传过程。