The invention belongs to the field of encrypted cloud storage technology, and particularly relates to a secure and reliable cloud storage method and device based on renewable encryption. The method includes: the key management server generates symmetric keys for the data owner to upload data; the data owner uses symmetric keys to encrypt uploaded data and codes based on regenerative code technology, and uploads encrypted data into blocks for cloud storage. Storage server data nodes; users download coded data blocks from cloud storage server data nodes and compose them into ciphertext; authorization tokens are generated and/or periodically updated by key management server, which sends authorization tokens to trusted proxy servers. Trusted proxy servers retrieve corresponding coded blocks from cloud storage server data nodes and decode them to obtain ciphertext, and recover them with authorization tokens. The stored ciphertext is updated. The invention reduces the risk of sensitive information leakage, avoids the overhead of plaintext re-encryption calculation, supports dynamic data repair and fast self-healing, increases the difficulty and cost of attack, and improves the fault-tolerant ability.
【技术实现步骤摘要】
基于可更新加密的安全可靠云存储方法及装置
本专利技术属于加解密云存储
,特别涉及一种基于可更新加密的安全可靠云存储方法及装置。
技术介绍
在实践中一个常见的需求就是周期性的轮换用于加密存储数据的密钥来应对密钥泄露的风险。比如,出于隐私和安全考虑,法规要求信用卡号码必须以加密形式存储,其中包括建议必须建立机制来周期性更新密钥,以面对已知或可疑的密钥泄露。考虑到如支付信息等敏感信息的安全性,对数据进行解密并重加密的简单的解决方案会使其面临一些风险,因为它使数据以明文形式提供存在一段时间。再者,考虑静态数据的长期存储,通常称为“深”或“冷”存储,这类数据通常被访问的频率不高,但是数据属主还是希望甚至要求对存储的密文及相应密钥进行周期性的更新。在这种情况下,对于数据所有者来说,允许存储提供者使用本地数据的系统来周期性更新加密数据可能更方便,而不是数据属主下载数据并执行重新加密。现有一般按照通用的“密文下载-解密-重加密-上传”方法,即在每一次密钥轮换开始时,用户首先将之前上传的密文下载回本地,用上一个周期的密钥进行解密,然后用新分发的密钥加密明文并重新上传至云存储服务器。通过对现有技术进行研究发现,若周期性的更新存储密文,则频繁的加解密过程将极大增加用户的计算开销,且上传下载导致通信开销较高。此外,现有的云存储平台面临着一系列固有的安全问题,如静态的系统结构和存储模式容易暴露系统的脆弱性,信息系统内部的软硬件漏洞难以避免,这些都严重威胁着用户的数据安全。使用多副本存储能够在部分节点失效的情况下保证数据的可用性,但是存储代价过高。
技术实现思路
为此,本专利技术提 ...
【技术保护点】
1.一种基于可更新加密的安全可靠云存储方法,其特征在于,包含如下内容:数据属主加密待上传文件阶段,密钥管理服务器为待上传数据的数据属主产生对称密钥;数据属主使用对称密钥对待上传数据进行加密并编码,将编码后的加密数据分块上传至云存储服务器数据节点;用户解密阶段,用户从云存储服务器数据节点中下载编码数据块并组合成密文;密钥周期性更新阶段,通过密钥管理服务器通过密钥管理服务器周期性地生成新的授权令牌并发送给可信代理服务器;可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文,利用接收到的授权令牌对密文进行更新,然后将更新后的密文数据重新编码分块并发送至云存储服务器数据节点替换原有数据块。
【技术特征摘要】
1.一种基于可更新加密的安全可靠云存储方法,其特征在于,包含如下内容:数据属主加密待上传文件阶段,密钥管理服务器为待上传数据的数据属主产生对称密钥;数据属主使用对称密钥对待上传数据进行加密并编码,将编码后的加密数据分块上传至云存储服务器数据节点;用户解密阶段,用户从云存储服务器数据节点中下载编码数据块并组合成密文;密钥周期性更新阶段,通过密钥管理服务器通过密钥管理服务器周期性地生成新的授权令牌并发送给可信代理服务器;可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文,利用接收到的授权令牌对密文进行更新,然后将更新后的密文数据重新编码分块并发送至云存储服务器数据节点替换原有数据块。2.根据权利要求1所述的基于可更新加密的安全可靠云存储方法,其特征在于,基于伪随机函数实现密文构造,数据属主对待上传数据进行加密后的密文包括密文头和密文体两部分,并将密文头在密钥管理服务器进行备份,然后对密文数据进行分块编码。3.根据权利要求2所述的基于可更新加密的安全可靠云存储方法,其特征在于,基于伪随机函数构造加密方案,生成的密文包括密文头和密文体数据,包含如下内容:基于伪随机函数F:随机选取群中的元素x,y,计算χ=x+y,τ=h(m)+F(x,0),密文头密文体其中,h(m)代表对待加密原始数据m进行哈希运算,F(a,b)表示参数为(a,b)的伪随机函数运算,b∈χ,ε(key,(χ,τ))表示利用对称密钥key对待加密内容(χ,τ)进行对称加密,l代表待加密原始数据m划分份数。4.根据权利要求2所述的基于可更新加密的安全可靠云存储方法,其特征在于,数据属主对密文数据进行分块编码,包含如下内容:首先,数据属主对密文进行分块处理,将大小为M的密文C切分为k(n-k)个固定大小的原始数据块,其中,n为云存储服务器数据节点个数,设定由k个数据节点的数据进行组合来恢复密文数据,k<n;然后,数据属主对原始数据块进行编码,得到n(n-k)个编码数据块。5.根据权利要求4所述的基于可更新加密的安全可靠云存储方法,其特征在于,原始数据块的编码过程包含内容如下:构造大小为n(n-k)*k(n-k)的编码矩阵EM,编码矩阵EM中每个元素均是从有限域中随机产生;将该编码矩阵与原始数据块进行相乘,得到n(n-k)个编码数据块,其中,编码矩阵EM中每个行向量对应于一个编码数据块,该编码矩阵EM中每个行向量记为编码向量;数据属主将n(n-k)个编码数据块上传到n个云存储服务器数据节点,每个该数据节点存储相邻的n-k个编码数据块,...
【专利技术属性】
技术研发人员:陈越,严新成,陈迪,赵俭,王龙江,巴阳,李雪伟,刘洪波,张馨月,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。