[发明专利]支持高效收敛密钥管理的云存储数据去重方法

摘要

本发明公开了一种支持高效收敛密钥管理的云存储数据去重方法，主要解决现有云存储去重技术中收敛密钥安全强度低与管理困难问题。其实现方案是：数据拥有者与目录服务器交互进行数据重复检查；对于未能去重的数据，由数据的初始上传者随机选择密钥进行数据加密上传，并对数据密钥进行分发共享；对于去重成功的数据，用户通过数据拥有证明解密得到数据密钥，进行数据与标签的一致性检测；当用户需要用到自身存储在云存储服务器中的数据时，进行数据下载解密。本发明在消除冗余的同时减少用户的密钥管理负担，减小计算与通信的开销，提高了云存储数据去重的效率，可用于云计算环境下的数据安全外包。

主权项

1.一种支持高效收敛密钥管理的云存储数据去重方法，包括：(1)系统初始化，设定系统参数，生成用户的公私钥：(1a)目录服务器IS定义由G到GT的双线性映射e(·):G×G→GT，其中G和GT是两个阶为大素数p的乘法循环群，→表示生成操作；(1b)目录服务器IS设定(n,r)‑RSSS门限秘密共享方案，其中，n表示秘密划分的份额，r表示门限值，RSSS是门限秘密共享的缩写，在门限秘密共享方案中设有秘密分发操作和秘密恢复操作，分别表示为share(·)和Recover(·)；(1c)用户U随机选择一个正整数x∈Z_p作为私钥sk＝x，得到公钥为其中x^‑1为x在模p整数群中的乘法逆元，p为一个大素数，g为群G的生成元，Z_p表示小于p的所有正整数；(2)用户对拥有数据D需要上传至云进行存储时，进行数据去重检查：(2a)根据系统分块大小将数据D分成t块，并以这t个分块为叶子节点构建MHT哈希树，其中MHT为Merkle Hash Tree的缩写；(2b)将MHT哈希树的根节点hroot发送给目录服务器IS进行去重查验，如果目录服务器IS的目录列表中没有根节点hroot，则去重失败，执行(3)，如果根节点hroot已经存在于目录服务器IS的目录列表中，则去重成功，执行(4)(3)对于未能去重的数据，则用户作为该数据的初始上传者，对其进行加密上传：(3a)用户随机选择一个正整数R∈Zp，哈希R产生数据D的数据密钥k，加密数据D得到密文C←Enck(D)及标签T，其中Enc表示加密运算，C表示加密后的密文，←表示生成操作；(3b)用户将密文C及其标签T一并上传存储，云存储服务器CS验证密文C及其标签T的一致性，若一致，则存储，否则，拒绝其存储请求；(3c)对于初次上传的数据D，目录服务器IS将其根节点hroot及数据目录信息一并存入目录列表，随机选择一个正整数u∈Zp安全存储在数据D的目录数据库中，并对u进行加密得到密文Y并发送给用户；(3d)密钥加密：用户收到密文Y后，使用自己的私钥进行解密得到明文X，哈希X得到数据D的拥有密钥kw，使用拥有密钥kw加密数据密钥k获得密钥密文Φ；(3e)密钥分发，用户对密钥密文Φ进行门限秘密共享方案Share(·)操作，产生n个秘密共享份额{k1,k2,…,kn}←Share(·)，其中Share(·)为秘密分发操作，k1,k2,…,kn为分发产生的秘密份额，将这些秘密份额上传至云存储服务器CS存储；(4)对于去重成功的数据，用户对密文数据C进行验证，以防止恶意用户不按规则加密数据导致后续用户无法根据密文C解密得到数据D：(4a)用户与目录服务器IS交互进行数据拥有证明，若证明不通过，则拒绝该用户的数据上传请求，若证明通过，则目录服务器IS将该用户添加至数据D的拥有者列表中，加密u产生密文Y并发送给用户，其中u已经存在于数据D目录中；(4b)用户收到密文Y后，解密得到明文X，哈希X得到数据拥有密钥kw；(4c)用户与云存储服务器CS交互获取r个秘密份额，运行门限秘密共享方案的Recover(·)操作恢复得到密钥密文Φ；(4d)用户解密密钥密文Φ得到数据密钥k，加密数据D得到数据密文C←Enck(D)，其中Enc表示加密运算，←表示生成操作，C表示加密后的密文；(4e)用户对数据密文C进行哈希得到数据标签T，发送标签T给云存储服务器CS进行一致性检查，检查通过则数据上传结束，否则上传密文C至云存储服务器CS进行存储；(5)当用户需要用到自身存储在云存储服务器CS中的数据时，进行数据下载解密。