一种基于区块链的云存储密钥安全管理方法技术

本发明专利技术公开了一种基于区块链的云存储密钥安全管理方法，该方案在云数据存储中引入秘密种子来生成加密密钥，从而提高了数据的机密性。为了实现安全可靠的密钥管理，数据拥有者可先利用消息认证码机制来生成密钥认证码，然后采用秘密共享方案将密钥划分为密钥碎片，最后与节点管理中心进行协作，将密钥碎片整合成有效的交易并发布到区块链上。当需要下载数据时，数据所有者可以利用其有效的私钥从区块链中恢复完整的加密密钥，并可通过密钥认证码来验证加密密钥的完整性。本发明专利技术通过区块链技术实现云存储密钥的安全管理，抵制云存储服务提供商发起的串谋、窃取及篡改等恶意攻击，确保了数据拥有者的数据隐私安全。了数据拥有者的数据隐私安全。了数据拥有者的数据隐私安全。

【技术实现步骤摘要】
一种基于区块链的云存储密钥安全管理方法


[0001]本专利技术属于区块链领域，特别是涉及一种基于区块链的云存储密钥安全管理方法。

技术介绍

[0002]近年来，随着云计算技术的快速发展，越来越多的云存储服务提供商为用户提供数据存储的服务，此时用户可以选择将自己的数据外包给云存储服务提供商，以节省本地的存储空间。然而，随着数据量的快速增长，外包数据的存储空间和传输带宽也随之呈现出爆炸式增长趋势。为了提高存储效率、节省数据存储空间，云存储服务提供商需要采用重复数据删除技术(又称为数据去重技术)对外包数据进行重复性检测，以此消除其中的冗余数据，避免存储重复的数据，并最终只保留一份数据副本到云存储服务器上。尽管重复数据删除技术能够提高存储利用率，但由于数据存储在非完全可信云存储平台上，此时数据的控制权和管理权分离，数据已脱离了用户的直接管理。为了保障云服务器上数据的安全性，用户需要对数据明文执行额外的加密操作，然而使用传统加密算法会导致相同的数据产生不同密文，使得无法执行有效的数据去重操作。
[0003]为了实现有效的安全数据去重，相关研究者提出了收敛加密算法，即先对数据进行哈希运算得到收敛密钥，然后利用收敛密钥对数据进行加密操作，以此得到密文。收敛加密能够使得相同的数据生成相同的密文，确保去重操作顺利执行。然而，在收敛加密算法中，收敛密钥的数量与数据量呈线性相关，即收敛密钥也会随着数据量的不断增长而快速增长，导致用户自身需要承担大量密钥管理的负担。相关研究者提出了高可靠性的密钥管理方案，通过秘密共享方案机制将编码后的密钥分布式地存储在多个云服务器上，在一定数据范围内的密钥即使丢失受损也能通过其余的密钥进行重构恢复，提高了密钥的容错性。其中引入了可信的密钥服务器对收敛密钥进行存储并管理，然而完全可信的密钥服务器在现实中并不存在，该方案易受到云存储服务提供商的串谋攻击，即云存储服务提供商可能会与密钥服务器进行共谋合作，窃取用户的收敛密钥并最终获取其原始数据。实际上，现有的大多支持收敛密钥管理的云存储方案都过于依赖可信的密钥服务器的引入，而易遭受此类的串谋攻击。
[0004]因此，寻找一种更好的云存储密钥安全管理方法来保证收敛密钥的安全性和机密性，避免可信密钥服务器的引入和抵制敌手发起的串谋、窃取及篡改等恶意攻击成为研究人员关注的问题。

技术实现思路

[0005]为了解决上述技术问题，本专利技术提供一种基于区块链的云存储密钥安全管理方法，该方案在云数据存储中引入秘密种子来生成加密密钥，从而提高了数据的机密性。为了实现安全可靠的密钥管理，数据拥有者可先利用消息认证码机制来生成密钥认证码，然后采用秘密共享方案将密钥划分为密钥碎片，最后与节点管理中心进行协作，将密钥碎片整
合成有效的交易并发布到区块链上。当需要下载数据时，数据所有者可以利用其有效的私钥从区块链中恢复完整的加密密钥，并可通过密钥认证码来验证加密密钥的正确性。本专利技术通过区块链技术实现云存储密钥的安全管理，抵制云存储服务提供商发起的串谋、窃取及篡改等恶意攻击，确保了数据拥有者的数据隐私安全。
[0006]为实现上述目的，本专利技术提出一种基于区块链的云存储密钥安全管理方法，具体包括以下步骤：
[0007]S1、对用户身份及所拥有的文件分别进行标识，并通过MOD函数得到用户的公钥和私钥；然后将所述公钥公开，并将私钥存储在本地；
[0008]S2、计算所述文件的数据块标签，并发送给云存储服务提供商CSP进行搜索；
[0009]S3、计算所述文件的加密密钥，并基于所述加密密钥对所述文件进行加密，得到密文；然后将密文发送给所述云存储服务提供商CSP中进行存储；
[0010]S4、通过利用消息认证码机制生成密钥认证码，并验证所述加密密钥的完整性；
[0011]S5、采用秘密共享方案中的Share切分算法对所述加密密钥K
F
进行划分，得到密钥碎片集合，并计算所述密钥的摘要信息和密文；
[0012]S6、将所述密钥的摘要信息整合成一笔交易，并将所述交易上传到区块链进行存储，同时将所述密文发送到云服务器进行存储；
[0013]S7、对所述交易进行解析，得到完整的加密密钥和密钥认证码，并通过检测所述密钥认证码的正确性来验证所述加密密钥是否为正确的密钥；
[0014]S8、当验证通过时，根据所述完整的加密密钥计算出原始文件。
[0015]优选地，所述步骤S1具体为：
[0016]S1.1、对用户的身份及拥有的文件分别进行标识；
[0017]S1.2、将用户公开的RSA指数e输入到MOD函数ed≡1modФ(N)中，输出N和d，其中，N为两个不同素数e和d的乘积，且N<e；
[0018]S1.3、基于所述步骤S1.2，得到用户的公钥pk＝(N，e)和私钥sk＝(N，d)；
[0019]S1.4、将用户的公钥pk公开，并将私钥sk存储在本地。
[0020]优选地，所述步骤S2具体为：
[0021]S2.1、计算用户文件的数据块标签；
[0022]S2.2、将所述数据块标签发送给云存储服务提供商CSP，所述云存储服务提供商CSP在标签数据上对所述数据块标签执行搜索操作；
[0023]S2.3、若所述标签数据库已存储所述数据块标签，则无需上传文件，CSP将向用户返回块指针；否则，执行步骤S3。
[0024]优选地，所述步骤S3具体为：
[0025]S3.1、基于用户所拥有的文件，计算哈希数；
[0026]S3.2、基于所述哈希数和用户选取的随机数，计算盲因子；
[0027]S3.3、基于所述盲因子，将所述哈希数发送到节点管理中心进行签名，得到盲因子的签名，并将所述盲因子的签名返回给用户；
[0028]S3.4、基于所述随机数，计算安全秘密种子；并根据所述安全秘密种子，得到用户的加密密钥；
[0029]S3.5、基于所述加密密钥对所述文件进行加密，得到密文；然后将密文发送给所述
云存储服务提供商CSP中进行存储，并将所述数据块标签添加到标签数据库中。
[0030]优选地，所述步骤S4具体为：
[0031]基于所述加密密钥，计算得到密钥哈希值，并根据所述密钥哈希值，得到密钥认证码；然后采用秘密共享方案的切分算法函数将所述密钥认证码进行切分。
[0032]优选地，所述步骤S6具体为：
[0033]S6.1、基于所述用户身份标识、用户所拥有的文件标识和所述密文，计算出密钥摘要信息Data，并将所述密钥摘要信息Data发送到所述节点管理中心；
[0034]S6.2、所述节点管理中心接收到所述密钥摘要信息Data后，创建一个交易；
[0035]S6.3、所述节点管理中心将所述交易发布在区块链上，并向用户返回交易的指针。
[0036]优选地，所述交易包括：发送方的账户地址、接收方的账户地址、创建交易需要支付的费用、存储在交易中的数据和交本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于区块链的云存储密钥安全管理方法，其特征在于，具体包括以下步骤：S1、对用户身份及所拥有的文件分别进行标识，并通过MOD函数得到用户的公钥和私钥；然后将所述公钥公开，并将私钥存储在本地；S2、计算所述文件的数据块标签，并发送给云存储服务提供商CSP进行搜索；S3、计算所述文件的加密密钥，并基于所述加密密钥对所述文件进行加密，得到密文；然后将密文发送给所述云存储服务提供商CSP中进行存储；S4、通过利用消息认证码机制生成密钥认证码，并验证所述加密密钥的完整性；S5、采用秘密共享方案中的Share切分算法对所述加密密钥K
F
进行划分，得到密钥碎片集合，并计算所述密钥的摘要信息和密文；S6、将所述密钥的摘要信息整合成一笔交易，并将所述交易上传到区块链进行存储，同时将所述密文发送到云服务器进行存储；S7、对所述交易进行解析，得到完整的加密密钥和密钥认证码，并通过检测所述密钥认证码的正确性来验证所述加密密钥是否为正确的密钥；S8、当验证通过时，根据所述完整的加密密钥计算出原始文件。2.根据权利要求1所述的基于区块链的云存储密钥安全管理方法，其特征在于，所述步骤S1具体为：S1.1、对用户的身份及拥有的文件分别进行标识；S1.2、将用户公开的RSA指数e输入到MOD函数ed≡1modФ(N)中，输出N和d，其中，N为两个不同素数e和d的乘积，且N<e；S1.3、基于所述步骤S1.2，得到用户的公钥pk＝(N，e)和私钥sk＝(N，d)；S1.4、将用户的公钥pk公开，并将私钥sk存储在本地。3.根据权利要求1所述的基于区块链的云存储密钥安全管理方法，其特征在于，所述步骤S2具体为：S2.1、计算用户文件的数据块标签；S2.2、将所述数据块标签发送给云存储服务提供商CSP，所述云存储服务提供商CSP在标签数据上对所述数据块标签执行搜索操作；S2.3、若所述标签数据库已存储所述数据块标签，则无需上传文件，CSP将向用户返回块指针；否则，执行步骤S3。4.根据权利要求1所述的基于区块链的云存储密钥安全管理方法，其特征在于，所述步骤S3具体为：S3.1、基于用户所拥有的文件，计算哈希数；S3.2、基于所述哈希数和用户选取的随机数，计算盲因子；S3.3、基于所述盲因子，将所述哈希数发送到节点管理中心进行签名，得到盲因子的签名，并将所述盲因子的签名返回给用户；S3.4、基于所述随机数，计算安全秘密种子；并根据...

【专利技术属性】
技术研发人员：刘文印，张桂鹏，钟林峰，林禄滨，杨振国，
申请(专利权)人：广东工业大学，
类型：发明
国别省市：