支持高效收敛密钥管理的云存储数据去重方法技术

本发明专利技术公开了一种支持高效收敛密钥管理的云存储数据去重方法，主要解决现有云存储去重技术中收敛密钥安全强度低与管理困难问题。其实现方案是：数据拥有者与目录服务器交互进行数据重复检查；对于未能去重的数据，由数据的初始上传者随机选择密钥进行数据加密上传，并对数据密钥进行分发共享；对于去重成功的数据，用户通过数据拥有证明解密得到数据密钥，进行数据与标签的一致性检测；当用户需要用到自身存储在云存储服务器中的数据时，进行数据下载解密。本发明专利技术在消除冗余的同时减少用户的密钥管理负担，减小计算与通信的开销，提高了云存储数据去重的效率，可用于云计算环境下的数据安全外包。

Cloud storage data removal method supporting efficient convergent key management

The invention discloses a cloud storage data de-duplication method supporting efficient convergent key management, which mainly solves the problems of low convergent key security intensity and difficult management in the existing cloud storage de-duplication technology. The implementation scheme is as follows: the data owner interacts with the directory server to check the data repeatedly; the initial uploader randomly chooses the key to encrypt and upload the data, and distributes and shares the data key for the data that can not be de-duplicated; for the data that is successfully de-duplicated, the user decrypts the data through the data ownership certificate. To the data key, data and label consistency detection; when users need to use their own stored in the cloud storage server data, data download and decryption. The invention can eliminate redundancy and reduce the burden of key management of users, reduce the overhead of computation and communication, improve the efficiency of data de-duplication in cloud storage, and can be used for data security outsourcing in cloud computing environment.

【技术实现步骤摘要】
支持高效收敛密钥管理的云存储数据去重方法
本专利技术涉及数据处理
，具体涉及一种能支持高效收敛密钥管理的云存储数据去重方法，可用于云计算环境下的数据安全外包。
技术介绍
随着云计算技术的飞速发展，越来越多的企业和个人将自身的数据存储在云端，随着云存储规模的增长，大量数据被重复存储，这对云服务器的存储资源造成极大的浪费。数据去重技术是云存储中非常重要的数据管理和存储优化方法，通过数据去重可以消除数据冗余，相同数据只保留一个物理副本，从而有效降低用户端上传数据耗费的带宽及节省服务器端的存储空间。收敛加密已经被广泛应用于构造安全的数据去重系统，其采用对称加密算法，加密及解密所使用的收敛密钥仅取决于要加密的数据本身，因此，相同的明文通过收敛加密可以得到相同的密文。如何安全高效管理用户大量的收敛密钥成为收敛加密面临的主要问题。现有的基本的方法是用户用自身主密钥将收敛密钥加密后存储在云上，然而随着用户及数据规模增大，给用户带来密钥管理负担的同时，大量收敛密钥的重复存储本身就是一种数据冗余。针对该问题，Li等在(LiJ,ChenX,LiM,etal.SecureDeduplicationwithEfficientandReliableConvergentKeyManagement[J].IEEETransactionsonParallel&DistributedSystems,2014,25(6):1615-1625.)提出了一个支持高效收敛密钥管理的去重方案，该方案采取门限秘密共享技术允许用户将其收敛密钥分发存储在分布式云存储中，然而该方案不能抵抗超过门限数量的云服务器共谋攻击而且要求分发秘密份额的信道是安全的。Kwon等在(KwonH,HahnC,KooD,etal.ScalableandReliableKeyManagementforSecureDeduplicationinCloudStorage[C]//IEEE,InternationalConferenceonCloudComputing.IEEE,2017:391-398.)引入了完全可信的目录服务器，提出了将收敛密钥分成三个秘密组件存储于不同的实体，该方法所说解决了公开信道的问题，但却面临用户与云存储服务器共谋欺骗目录服务器的问题，而且计算与通信开销较大。
技术实现思路
本专利技术的目的在于针对上述现有技术的不足，提出一种支持高效收敛密钥管理的云存储数据去重方法，以在消除冗余的同时减少用户的密钥管理负担，减小计算与通信的开销，实现安全高效的云存储数据去重。本专利技术的技术思路是：只要第一位初始数据上传者进行数据加密及密钥分发共享，后续相同数据拥有者通过数据拥有证明获得数据密钥，使得对于去重的数据只存储一份收敛密钥，其实现方案包括如下：(1)系统初始化，设定系统参数，生成用户的公私钥：(1a)目录服务器IS定义由G到GT的双线性映射e(·):G×G→GT，其中G和GT是两个阶为大素数p的乘法循环群，→表示生成操作；(1b)目录服务器IS设定(n,r)-RSSS门限秘密共享方案，其中，n表示秘密划分的份额，r表示门限值，RSSS是门限秘密共享的缩写，在门限秘密共享方案中设有秘密分发操作和秘密恢复操作，分别表示为share(·)和Recover(·)；(1c)用户U随机选择一个正整数x∈Zp作为私钥sk＝x，得到公钥为其中x-1为x在模p整数群中的乘法逆元，p为一个大素数，g为群G的生成元，Zp表示小于p的所有正整数；(2)用户对拥有数据D需要上传至云进行存储时，进行数据去重检查：(2a)根据系统分块大小将数据D分成t块，并以这t个分块为叶子节点构建MHT哈希树，其中MHT为MerkleHashTree的缩写；(2b)将MHT哈希树的根节点hroot发送给目录服务器IS进行去重查验，如果目录服务器IS的目录列表中没有根节点hroot，则去重失败，执行(3)，如果根节点hroot已经存在于目录服务器IS的目录列表中，则去重成功，执行(4)(3)对于未能去重的数据，则用户作为该数据的初始上传者，对其进行加密上传：(3a)用户随机选择一个正整数R∈Zp，哈希R产生数据D的数据密钥k，加密数据D得到密文C←Enck(D)及标签T，其中Enc表示加密运算，C表示加密后的密文，←表示生成操作；(3b)用户将密文C及其标签T一并上传存储，云存储服务器CS验证密文C及其标签T的一致性，若一致，则存储，否则，拒绝其存储请求；(3c)对于初次上传的数据D，目录服务器IS将其根节点hroot及数据目录信息一并存入目录列表，随机选择一个正整数u∈Zp安全存储在数据D的目录数据库中，并对u进行加密得到密文Y并发送给用户；(3d)密钥加密：用户收到密文Y后，使用自己的私钥进行解密得到明文X，哈希X得到数据D的拥有密钥kw，使用拥有密钥kw加密数据密钥k获得密钥密文Φ；(3e)密钥分发，用户对密钥密文Φ进行门限秘密共享方案Share(·)操作，产生n个秘密共享份额{k1,k2,···,kn}←Share(·)，其中Share(·)为秘密分发操作，k1,k2,···,kn为分发产生的秘密份额，将这些秘密份额上传至云存储服务器CS存储；(4)对于去重成功的数据，用户对密文数据C进行验证，以防止恶意用户不按规则加密数据导致后续用户无法根据密文C解密得到数据D：(4a)用户与目录服务器IS交互进行数据拥有证明，若证明不通过，则拒绝该用户的数据上传请求，若证明通过，则目录服务器IS将该用户添加至数据D的拥有者列表中，加密u产生密文Y并发送给用户，其中u已经存在于数据D目录中；(4b)用户收到密文Y后，解密得到明文X，哈希X得到数据拥有密钥kw；(4c)用户与云存储服务器CS交互获取r个秘密份额，运行门限秘密共享方案的Recover(·)操作恢复得到密钥密文Φ；(4d)用户解密密钥密文Φ得到数据密钥k，加密数据D得到数据密文C←Enck(D)，其中Enc表示加密运算，←表示生成操作，C表示加密后的密文；(4e)用户对数据密文C进行哈希得到数据标签T，发送标签T给云存储服务器CS进行一致性检查，检查通过则数据上传结束，否则上传密文C至云存储服务器CS进行存储；(5)当用户需要时从云存储服务器CS下载，得到自身存储在云中的数据。本专利技术与现有技术相比具有以下优点：第一，本专利技术由数据的初始上传者随机生成密钥，减少了用户与第三方交互产生收敛密钥环节，从而节省了计算与通信开销，并且确保了可预测明文空间时用户数据的安全性。第二，本专利技术对明文、密文、标签的一致性进行追踪，能够及时发现并制止用户的恶意行为，避免了因恶意用户的不当行为对正常用户的利益造成损害。第三，本专利技术采用密钥共享机制，使得对于去重的数据，只需要存储一份密钥，节省了云端的存储资源，引入了可信的目录服务器保证了密钥的安全性，且用户使用密钥便捷高效。附图说明图1为本专利技术的实现流程图。图2为本专利技术中使用的MHT哈希树原理图。具体实施方式下面结合附图和具体实施例，对本专利技术作进一步的详细说明：本专利技术的使用场景包括三个有效实体：云存储服务器(CS):CS向用户提供存储计算服务，拥有强大的计算能力和巨大的存储空间。一般情况下，用户会以租赁的形式从云本文档来自技高网...

【技术保护点】
1.一种支持高效收敛密钥管理的云存储数据去重方法，包括：(1)系统初始化，设定系统参数，生成用户的公私钥：(1a)目录服务器IS定义由G到GT的双线性映射e(·):G×G→GT，其中G和GT是两个阶为大素数p的乘法循环群，→表示生成操作；(1b)目录服务器IS设定(n,r)‑RSSS门限秘密共享方案，其中，n表示秘密划分的份额，r表示门限值，RSSS是门限秘密共享的缩写，在门限秘密共享方案中设有秘密分发操作和秘密恢复操作，分别表示为share(·)和Recover(·)；(1c)用户U随机选择一个正整数x∈Zp作为私钥sk＝x，得到公钥为

【技术特征摘要】
1.一种支持高效收敛密钥管理的云存储数据去重方法，包括：(1)系统初始化，设定系统参数，生成用户的公私钥：(1a)目录服务器IS定义由G到GT的双线性映射e(·):G×G→GT，其中G和GT是两个阶为大素数p的乘法循环群，→表示生成操作；(1b)目录服务器IS设定(n,r)-RSSS门限秘密共享方案，其中，n表示秘密划分的份额，r表示门限值，RSSS是门限秘密共享的缩写，在门限秘密共享方案中设有秘密分发操作和秘密恢复操作，分别表示为share(·)和Recover(·)；(1c)用户U随机选择一个正整数x∈Zp作为私钥sk＝x，得到公钥为其中x-1为x在模p整数群中的乘法逆元，p为一个大素数，g为群G的生成元，Zp表示小于p的所有正整数；(2)用户对拥有数据D需要上传至云进行存储时，进行数据去重检查：(2a)根据系统分块大小将数据D分成t块，并以这t个分块为叶子节点构建MHT哈希树，其中MHT为MerkleHashTree的缩写；(2b)将MHT哈希树的根节点hroot发送给目录服务器IS进行去重查验，如果目录服务器IS的目录列表中没有根节点hroot，则去重失败，执行(3)，如果根节点hroot已经存在于目录服务器IS的目录列表中，则去重成功，执行(4)(3)对于未能去重的数据，则用户作为该数据的初始上传者，对其进行加密上传：(3a)用户随机选择一个正整数R∈Zp，哈希R产生数据D的数据密钥k，加密数据D得到密文C←Enck(D)及标签T，其中Enc表示加密运算，C表示加密后的密文，←表示生成操作；(3b)用户将密文C及其标签T一并上传存储，云存储服务器CS验证密文C及其标签T的一致性，若一致，则存储，否则，拒绝其存储请求；(3c)对于初次上传的数据D，目录服务器IS将其根节点hroot及数据目录信息一并存入目录列表，随机选择一个正整数u∈Zp安全存储在数据D的目录数据库中，并对u进行加密得到密文Y并发送给用户；(3d)密钥加密：用户收到密文Y后，使用自己的私钥进行解密得到明文X，哈希X得到数据D的拥有密钥kw，使用拥有密钥kw加密数据密钥k获得密钥密文Φ；(3e)密钥分发，用户对密钥密文Φ进行门限秘密共享方案Share(·)操作，产生n个秘密共享份额{k1,k2,…,kn}←Share(·)，其中Share(·)为秘密分发操作，k1,k2,…,kn为分发产生的秘密份额，将这些秘密份额上传至云存储服务器CS存储；(4)对于去重成功的数据，用户对密文数据C进行验证，以防止恶意用户不按规则加密数据导致后续用户无法根据密文C解密得到数据D：(4a)用户与目录服务器IS交互进行数据...

【专利技术属性】
技术研发人员：王亮，王保仓，刘鹤群，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61