基于收斂加密的文件所有權(quán)證明方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于通信安全領(lǐng)域��,主要設(shè)及一種文件所有權(quán)的證明方法,可用于支持跨 客戶端數(shù)據(jù)去重復(fù)的云存儲(chǔ)系統(tǒng)��,W降低網(wǎng)絡(luò)上傳帶寬開(kāi)銷�,減少云存儲(chǔ)服務(wù)器存儲(chǔ)開(kāi)銷。
【背景技術(shù)】
[0002] 隨著云存儲(chǔ)業(yè)務(wù)的迅速發(fā)展���,用戶存儲(chǔ)的數(shù)據(jù)量呈現(xiàn)出爆炸性的增長(zhǎng)���。為了最大 化利用上傳帶寬,降低存儲(chǔ)空間開(kāi)銷���,云存儲(chǔ)服務(wù)提供商要盡力避免重復(fù)數(shù)據(jù)的上傳����。重復(fù) 數(shù)據(jù)刪除是目前云存儲(chǔ)系統(tǒng)廣泛采用的技術(shù)手段���,對(duì)于相同內(nèi)容的文件或數(shù)據(jù)塊�����,云存儲(chǔ) 服務(wù)器只保留一個(gè)拷貝�����。重復(fù)數(shù)據(jù)刪除可W在服務(wù)器或客戶端側(cè)執(zhí)行��,也可在客戶端和服 務(wù)器端都進(jìn)行操作�����。其中客戶端側(cè)重復(fù)數(shù)據(jù)刪除因具有可同時(shí)降低網(wǎng)絡(luò)上傳帶寬和云存儲(chǔ) 開(kāi)銷的良好特性���,在化opbox����、Wuala等系統(tǒng)中均有應(yīng)用����。早期的客戶端側(cè)重復(fù)數(shù)據(jù)刪除W 文件的哈希值作為文件的代表,如果客戶端上傳的文件哈希值在服務(wù)器數(shù)據(jù)庫(kù)中有相同的 哈希值對(duì)應(yīng)�����,服務(wù)器即判定該用戶擁有相應(yīng)的文件�����。
[0003] 由HALEVIS.等人撰寫的"ProofsofOwnershipinRemoteStorageSystems" 論文中指出��,在W較短的哈希值作為文件壓縮表示的重復(fù)數(shù)據(jù)刪除方案中�,用戶只需要知 道文件的哈希值,就可W成功欺騙服務(wù)器����,使服務(wù)器誤認(rèn)為該用戶擁有文件,從而獲得未經(jīng) 授權(quán)的數(shù)據(jù)訪問(wèn)���,使得云存儲(chǔ)系統(tǒng)實(shí)質(zhì)上成為一個(gè)內(nèi)容分發(fā)網(wǎng)絡(luò)����。為此HALEVIS.等人提 出了使用所有權(quán)證明的方法來(lái)認(rèn)證用戶是否真正擁有某個(gè)文件���。該方法使得客戶端能有效 地向服務(wù)器證明用戶確實(shí)擁有完整的文件����,而不是關(guān)于文件的一些小片段或較短的壓縮表 示��,從而避免了前述類型的攻擊�。該方法基于Merkle哈希樹(shù)和糾刪碼來(lái)實(shí)施,文件由構(gòu)成 Merkle樹(shù)的一系列哈希值來(lái)表示�。隨后又有部分方案基于該思想設(shè)計(jì)了基于加密數(shù)據(jù)的文 件所有權(quán)證明方法。運(yùn)類方法的缺點(diǎn)在于文件依然是由較短的固定信息來(lái)代表,當(dāng)運(yùn)些信 息被泄露或竊取后�����,協(xié)議將不再安全�。此外,用戶在協(xié)議開(kāi)始前需要根據(jù)文件構(gòu)造Merkle 哈希樹(shù)���,當(dāng)文件較大時(shí)增加了客戶端的計(jì)算開(kāi)銷��。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的在于針對(duì)上述現(xiàn)有技術(shù)存在的問(wèn)題�,提出一種基于收斂加密的文件 所有權(quán)證明方法����,W抵抗收斂加密所固有的離線字典攻擊,克服W哈希值作為所有權(quán)證據(jù) 的安全缺陷���,并降低通信開(kāi)銷和計(jì)算量�。 陽(yáng)〇化]實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案包括如下:
[0006] (1)密鑰生成中屯�、KGC生成系統(tǒng)參數(shù),該系統(tǒng)參數(shù)包括大素?cái)?shù)q�����、Wq為階的S個(gè) 乘法循環(huán)群Gi、Gz和GT���、雙線性映射關(guān)系e、Gi的生成元g1和G2的生成元g2��、S個(gè)哈希函數(shù) Hi��、&和H3�、對(duì)稱加解密算法(SE,SD)、偽隨機(jī)代換ft和消息認(rèn)證碼hk;
[0007] (2)密鑰生成中屯�、KGC根據(jù)上述系統(tǒng)參數(shù),生成云服務(wù)器的公私鑰對(duì)(心Xs)����、用戶 i的公私鑰對(duì)(Vi,Xi)及它們之間的預(yù)共享密鑰Ksc;
[0008] (3)用戶向服務(wù)器上傳文件F時(shí)����,服務(wù)器通過(guò)在其數(shù)據(jù)庫(kù)中檢索文件哈希值Hi(F) 判斷是否有用戶已經(jīng)上傳過(guò)相同文件F:
[0009] 如果檢索不到文件哈希值,證明該用戶為文件F的原始上傳用戶�����,則執(zhí)行步驟 (4);
[0010] 如果能檢索到文件哈希值��,證明該用戶為文件F的后繼上傳用戶并設(shè)其索引值為 i,則執(zhí)行步驟巧)����;
[0011] (4)文件F的原始上傳用戶對(duì)文件進(jìn)行分塊,再由該用戶與云服務(wù)器合作產(chǎn)生各 數(shù)據(jù)塊所對(duì)應(yīng)的對(duì)稱加密密鑰�,根據(jù)密鑰依次生成密文和校驗(yàn)標(biāo)簽,計(jì)算各數(shù)據(jù)塊所對(duì)應(yīng) 的哈希值和消息認(rèn)證碼�����,并將密文�、校驗(yàn)標(biāo)簽、哈希值和消息認(rèn)證碼一起上傳給服務(wù)器����;
[0012] (5)服務(wù)器與客戶端進(jìn)行所有權(quán)證明的雙向認(rèn)證:
[0013] 巧a)文件F的后繼上傳用戶i上傳文件F時(shí),服務(wù)器首先向客戶端發(fā)起文件所有 權(quán)證明請(qǐng)求�,即讓該用戶證明他確實(shí)擁有文件F,接著啟動(dòng)一個(gè)詢問(wèn)-應(yīng)答過(guò)程����,隨機(jī)產(chǎn)生 要詢問(wèn)的數(shù)據(jù)塊索引,并生成詢問(wèn)值發(fā)送給客戶端����;
[0014] 巧b)客戶端收到來(lái)自服務(wù)器的詢問(wèn)值后進(jìn)行文件的所有權(quán)證明���,將未加密的數(shù)據(jù) 塊明文參與到所有權(quán)證據(jù)的生成過(guò)程中,并采用聚合技術(shù)生成相應(yīng)數(shù)據(jù)塊的簽名作為應(yīng)答 發(fā)送給服務(wù)器�;
[0015] 巧C)服務(wù)器收到來(lái)自客戶端的應(yīng)答后進(jìn)行文件的所有權(quán)驗(yàn)證,如果驗(yàn)證通過(guò)�,貝U 證明該用戶i確實(shí)擁有文件F�,服務(wù)器向客戶端返回消息"驗(yàn)證成功",并將該用戶i列入其 所維護(hù)的文件擁有者列表中��,否則服務(wù)器向客戶端返回消息"驗(yàn)證失敗"�����。
[0016] 本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn):
[0017] 1)本發(fā)明由用戶與云服務(wù)器交互產(chǎn)生用于生成數(shù)據(jù)塊加密密鑰所需的秘密值�,可 抵抗收斂加密所容易受到的離線字典攻擊,防止信息泄露���,達(dá)到語(yǔ)義安全�����;
[0018] 2)本發(fā)明由于采用原始數(shù)據(jù)塊的簽名作為用戶文件所有權(quán)的證據(jù)���,增加了偽造一 個(gè)合法文件所有權(quán)證據(jù)的難度�,安全性更好�����;
[0019] 3)本發(fā)明由于采用聚合認(rèn)證的方法實(shí)現(xiàn)對(duì)用戶文件所有權(quán)的認(rèn)證����,協(xié)議交互時(shí)傳 輸所需的通信開(kāi)銷顯著降低,在驗(yàn)證時(shí)也不需要逐塊進(jìn)行����,可降低服務(wù)器端計(jì)算開(kāi)銷,加快 認(rèn)證速度��。
【附圖說(shuō)明】
[0020] 圖1為本發(fā)明的實(shí)現(xiàn)流程圖�;
[0021] 圖2為本發(fā)明中對(duì)文件分塊加密的子流程圖;
[0022] 圖3為本發(fā)明中雙向認(rèn)證的子流程圖���;
[0023] 圖4為本發(fā)明中生成詢問(wèn)值的子流程圖����;
[0024] 圖5為本發(fā)明中生成證據(jù)的子流程圖�����。
【具體實(shí)施方式】
[00巧]下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的描述。 陽(yáng)0%] 參照?qǐng)D1�,本發(fā)明的實(shí)現(xiàn)步驟如下:
[0027] 步驟1,密鑰生成中屯����、KGC生成系統(tǒng)參數(shù)。
[0028] (Ia)根據(jù)實(shí)際要求設(shè)定系統(tǒng)的安全參數(shù)a> 160 ;
[0029] (化)密鑰生成中屯��、KGC根據(jù)系統(tǒng)的安全參數(shù)a選取一個(gè)大于2°的素?cái)?shù)q����,構(gòu)造 Wq為階的第一乘法循環(huán)群Gi��、第二乘法循環(huán)群Gz和第=乘法循環(huán)群GT���,并使它們能滿足 從Gi和G2群到GT群的雙線性映射關(guān)系e��,即從第一乘法循環(huán)群G1中和第二乘法循環(huán)群G2 中分別任取一個(gè)元素A和B作為輸入����,則從第S乘法循環(huán)群Gt中會(huì)輸出一個(gè)元素C=e(A�, B);
[0030] (Ic)密鑰生成中屯、KGC從第一乘法循環(huán)群Gi中任意選取一個(gè)生成元g1��,從第二乘 法循環(huán)群Gz中任意選取一個(gè)生成元g2;
[003U(Id)密鑰生成中屯、KGC按如下規(guī)則選取S個(gè)不同的哈希函數(shù)Hi����、&和H3:
[0032] 根據(jù)SHA-256哈希算法和抗碰撞性的要求,選取第一哈希函數(shù)Hi;
[0033] 根據(jù)要能將任意長(zhǎng)度的二進(jìn)制字符串均勻的映射為第一乘法循環(huán)群Gi中的元素 的原則�����,選取第二哈希函數(shù)
[0034] 根據(jù)要能將任意長(zhǎng)度的二進(jìn)制字符串均勻的映射為第二乘法循環(huán)群Gz中的元素 的原則�,選取第=哈希函數(shù)
[0035] (Ie)密鑰生成中屯、KGC選取對(duì)稱加解密算法(SE,SD)�,其中SE算法用于加密,DE 算法用于解密���;
[0036] (If)密鑰生成中屯����、KGC選取一個(gè)偽隨機(jī)代換函數(shù)ft�����,其選取原則是:要能將固定 長(zhǎng)度的二進(jìn)制字符串均勻的映射為固定長(zhǎng)度的較小二進(jìn)制字符串����,其中t為通信雙方的共 享密鑰����;
[0037] (Ig)密鑰生成中屯���、KGC選取一個(gè)消息認(rèn)證碼函數(shù)hk����,其選取原則是:要能將任意 長(zhǎng)度的二進(jìn)制字符串均勻的映射為固定長(zhǎng)度為a的較小二進(jìn)制字符串�����,其中k為通信雙方 的共享密鑰�����,a為系統(tǒng)安全參數(shù)�;
[003引(比)密鑰生成中屯����、KGC