基于可更新加密的安全可靠云存储方法及装置制造方法及图纸

本发明专利技术属于加密云存储技术领域，特别涉及一种基于可更新加密的安全可靠云存储方法及装置，该方法包含：密钥管理服务器为待上传数据的数据属主产生对称密钥；数据属主用对称密钥对待上传数据进行加密并基于再生码技术进行编码，将加密数据分块上传云存储服务器数据节点；用户从云存储服务器数据节点下载编码数据块并组合成密文；通过密钥管理服务器生成和/或周期更新授权令牌，将授权令牌发送给可信代理服务器，可信代理服务器从云存储服务器数据节点获取相应编码块并解码得到密文，利用授权令牌对恢复的存储密文进行更新。本发明专利技术降低敏感信息泄露风险，避免明文重加密计算开销，支持数据动态修复和快速自愈，增加攻击难度和成本，提高容错能力。

A Secure and Reliable Cloud Storage Method and Device Based on Updateable Encryption

The invention belongs to the field of encrypted cloud storage technology, and particularly relates to a secure and reliable cloud storage method and device based on renewable encryption. The method includes: the key management server generates symmetric keys for the data owner to upload data; the data owner uses symmetric keys to encrypt uploaded data and codes based on regenerative code technology, and uploads encrypted data into blocks for cloud storage. Storage server data nodes; users download coded data blocks from cloud storage server data nodes and compose them into ciphertext; authorization tokens are generated and/or periodically updated by key management server, which sends authorization tokens to trusted proxy servers. Trusted proxy servers retrieve corresponding coded blocks from cloud storage server data nodes and decode them to obtain ciphertext, and recover them with authorization tokens. The stored ciphertext is updated. The invention reduces the risk of sensitive information leakage, avoids the overhead of plaintext re-encryption calculation, supports dynamic data repair and fast self-healing, increases the difficulty and cost of attack, and improves the fault-tolerant ability.

【技术实现步骤摘要】
基于可更新加密的安全可靠云存储方法及装置
本专利技术属于加解密云存储
，特别涉及一种基于可更新加密的安全可靠云存储方法及装置。
技术介绍
在实践中一个常见的需求就是周期性的轮换用于加密存储数据的密钥来应对密钥泄露的风险。比如，出于隐私和安全考虑，法规要求信用卡号码必须以加密形式存储，其中包括建议必须建立机制来周期性更新密钥，以面对已知或可疑的密钥泄露。考虑到如支付信息等敏感信息的安全性，对数据进行解密并重加密的简单的解决方案会使其面临一些风险，因为它使数据以明文形式提供存在一段时间。再者，考虑静态数据的长期存储，通常称为“深”或“冷”存储，这类数据通常被访问的频率不高，但是数据属主还是希望甚至要求对存储的密文及相应密钥进行周期性的更新。在这种情况下，对于数据所有者来说，允许存储提供者使用本地数据的系统来周期性更新加密数据可能更方便，而不是数据属主下载数据并执行重新加密。现有一般按照通用的“密文下载-解密-重加密-上传”方法，即在每一次密钥轮换开始时，用户首先将之前上传的密文下载回本地，用上一个周期的密钥进行解密，然后用新分发的密钥加密明文并重新上传至云存储服务器。通过对现有技术进行研究发现，若周期性的更新存储密文，则频繁的加解密过程将极大增加用户的计算开销，且上传下载导致通信开销较高。此外，现有的云存储平台面临着一系列固有的安全问题，如静态的系统结构和存储模式容易暴露系统的脆弱性，信息系统内部的软硬件漏洞难以避免，这些都严重威胁着用户的数据安全。使用多副本存储能够在部分节点失效的情况下保证数据的可用性，但是存储代价过高。
技术实现思路
为此，本专利技术提供一种基于可更新加密的安全可靠云存储方法及装置，以应对密钥泄露情形下现有技术中周期性更新密钥存在的计算及通信开销大等问题，并利用功能性最小存储再生码(FMSR,functionalminimumstorageregenerated)提高云存储系统的容错能力与可靠性，有效保证存储数据的完整性和可用性。按照本专利技术所提供的设计方案，一种基于可更新加密的安全可靠云存储方法，包含如下内容：数据属主加密待上传文件阶段，密钥管理服务器为待上传数据的数据属主产生对称密钥；数据属主使用对称密钥对待上传数据进行加密并编码，将编码后的加密数据分块上传至云存储服务器数据节点；用户解密阶段，用户从云存储服务器数据节点中下载编码数据块并组合成密文；密钥周期性更新阶段，通过密钥管理服务器周期性地生成新的授权令牌并发送给可信代理服务器。可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文，利用接收到的授权令牌对恢复后的密文进行更新，然后对更新后的密文数据重新编码分块并发送至云存储服务器数据节点替换原有数据块。上述的，数据属主通过对称密钥对待上传数据进行加密过程中，密文数据表示为密文头和密文体两部分，基于伪随机函数获取密文头和密文体数据；并将密文头在密钥管理服务器进行备份，并对密文数据进行分块编码。优选的，基于伪随机函数获取密文头和密文体数据，包含如下内容：基于伪随机函数随机选取群中的元素x,y，计算χ＝x+y，τ＝h(m)+F(x,0)，密文头密文体其中，h(m)代表对待加密原始数据m进行哈希运算，F(a,b)表示参数为(a,b)的伪随机函数运算，b∈χ，ε(key,(χ,τ))表示利用对称密钥key对待加密内容(χ,τ)进行对称加密，l代表待加密原始数据m划分份数。优选的，数据属主对密文数据进行分块编码，包含如下内容：首先，数据属主对密文进行分块处理，将大小为M的密文C切分为k(n-k)个固定大小的原始数据块，其中，n为云存储服务器数据节点个数，设定由k个数据节点的数据进行组合来恢复密文数据，k＜n；然后，数据属主对原始数据块进行编码，得到n(n-k)个编码数据块。更进一步，原始数据块的编码过程包含内容如下：构造大小为n(n-k)*k(n-k)的编码矩阵EM，编码矩阵EM中每个元素均是从有限域中随机产生；将该编码矩阵与原始数据块进行相乘，得到n(n-k)个编码数据块，其中，编码矩阵EM中每个行向量对应于一个编码数据块，该编码矩阵EM中每个行向量记为编码向量；数据属主将n(n-k)个编码数据块上传到n个云存储服务器数据节点，每个该数据节点存储相邻的n-k个编码数据块，并由客户端存储维护编码矩阵EM。优选的，用户解密阶段，下载编码数据块并组合成密文，包含如下内容：客户端从n个云存储服务器数据节点中任取k个数据节点下载编码数据块，得到k(n-k)个编码数据块，并从编码矩阵EM中获取编码数据块对应的编码向量，得到k(n-k)*k(n-k)阶的组合方阵；客户端通过组合方阵与编码数据块运算，得到k(n-k)个原始数据块；将得到的原始数据块进行合并组装解密，得到原始密文C。上述的，密钥周期性更新阶段中，密钥管理服务器首先用初始密钥解密密文头；然后重新随机选取伪随机函数中群的元素，使用新的对称密钥计算新的密文头，获取重加密授权令牌。优选的，密钥周期性更新阶段中，可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文，利用接收到的授权令牌对恢复后的密文进行更新，并对新生成的密文数据分块编码，将新产生的n(n-k)个编码数据块上传给n个云存储服务器数据节点，对上一个周期的编码数据块进行替换。一种基于可更新加密的安全可靠云存储装置，包含加密模块、解密模块和更新模块，其中，加密模块，用于密钥管理服务器为待上传数据的数据属主产生对称密钥；数据属主使用对称密钥对待上传数据进行加密并编码，将编码后的加密数据分块上传至云存储服务器数据节点；解密模块，用于用户从云存储服务器数据节点中下载编码数据块并组合成密文；更新模块，用于通过密钥管理服务器周期性地生成新的授权令牌，将授权令牌发送给可信代理服务器；可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文，利用接收到的授权令牌对恢复的密文进行更新，然后对更新后的密文数据重新编码分块并发送至云存储服务器数据节点替换原有数据块。上述的装置中，更新模块包含令牌获取子模块和密文更新子模块，其中，令牌获取子模块，用于密钥管理服务器用初始密钥解密密文头；然后重新随机选取伪随机函数中群的元素，使用新的对称密钥计算新的密文头，获取重加密授权令牌；密文更新子模块，用于用于可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文，利用接收到的授权令牌对恢复的密文进行更新，然后对更新后的密文数据重新编码分块并发送至云存储服务器数据节点，对上一个周期的编码数据块进行替换。本专利技术的有益效果：本专利技术在数据加密层面，基于可更新的对称加密实现存储密文与密钥的周期性更新，使得密文更新过程直接由持有重加密令牌的可信代理服务器完成，既避免现有通用“密文下载-解密-重加密-上传”方法中密文解密带来的敏感信息泄露的风险，也避免客户端的重加密计算开销以及客户端与存储服务器之间的通信开销，有效应对了云存储系统存在的密钥泄露问题；在数据存储层面，利用再生码技术实现数据存储状态的动态时变切换，支持数据的动态修复和快速自愈，增加攻击的难度和成本，提高系统的容错能力和安全性，可有效保证数据的安全性、完整性和可用性，对安全可靠的网络云存储技术具有重要的指导意义。附图说明：图1本文档来自技高网...

【技术保护点】
1.一种基于可更新加密的安全可靠云存储方法，其特征在于，包含如下内容：数据属主加密待上传文件阶段，密钥管理服务器为待上传数据的数据属主产生对称密钥；数据属主使用对称密钥对待上传数据进行加密并编码，将编码后的加密数据分块上传至云存储服务器数据节点；用户解密阶段，用户从云存储服务器数据节点中下载编码数据块并组合成密文；密钥周期性更新阶段，通过密钥管理服务器通过密钥管理服务器周期性地生成新的授权令牌并发送给可信代理服务器；可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文，利用接收到的授权令牌对密文进行更新，然后将更新后的密文数据重新编码分块并发送至云存储服务器数据节点替换原有数据块。

【技术特征摘要】
1.一种基于可更新加密的安全可靠云存储方法，其特征在于，包含如下内容：数据属主加密待上传文件阶段，密钥管理服务器为待上传数据的数据属主产生对称密钥；数据属主使用对称密钥对待上传数据进行加密并编码，将编码后的加密数据分块上传至云存储服务器数据节点；用户解密阶段，用户从云存储服务器数据节点中下载编码数据块并组合成密文；密钥周期性更新阶段，通过密钥管理服务器通过密钥管理服务器周期性地生成新的授权令牌并发送给可信代理服务器；可信代理服务器从云存储服务器数据节点获取相应数据块并解码得到密文，利用接收到的授权令牌对密文进行更新，然后将更新后的密文数据重新编码分块并发送至云存储服务器数据节点替换原有数据块。2.根据权利要求1所述的基于可更新加密的安全可靠云存储方法，其特征在于，基于伪随机函数实现密文构造，数据属主对待上传数据进行加密后的密文包括密文头和密文体两部分，并将密文头在密钥管理服务器进行备份，然后对密文数据进行分块编码。3.根据权利要求2所述的基于可更新加密的安全可靠云存储方法，其特征在于，基于伪随机函数构造加密方案，生成的密文包括密文头和密文体数据，包含如下内容：基于伪随机函数F:随机选取群中的元素x,y，计算χ＝x+y，τ＝h(m)+F(x,0)，密文头密文体其中，h(m)代表对待加密原始数据m进行哈希运算，F(a,b)表示参数为(a,b)的伪随机函数运算，b∈χ，ε(key,(χ,τ))表示利用对称密钥key对待加密内容(χ,τ)进行对称加密，l代表待加密原始数据m划分份数。4.根据权利要求2所述的基于可更新加密的安全可靠云存储方法，其特征在于，数据属主对密文数据进行分块编码，包含如下内容：首先，数据属主对密文进行分块处理，将大小为M的密文C切分为k(n-k)个固定大小的原始数据块，其中，n为云存储服务器数据节点个数，设定由k个数据节点的数据进行组合来恢复密文数据，k＜n；然后，数据属主对原始数据块进行编码，得到n(n-k)个编码数据块。5.根据权利要求4所述的基于可更新加密的安全可靠云存储方法，其特征在于，原始数据块的编码过程包含内容如下：构造大小为n(n-k)*k(n-k)的编码矩阵EM，编码矩阵EM中每个元素均是从有限域中随机产生；将该编码矩阵与原始数据块进行相乘，得到n(n-k)个编码数据块，其中，编码矩阵EM中每个行向量对应于一个编码数据块，该编码矩阵EM中每个行向量记为编码向量；数据属主将n(n-k)个编码数据块上传到n个云存储服务器数据节点，每个该数据节点存储相邻的n-k个编码数据块，...

【专利技术属性】
技术研发人员：陈越，严新成，陈迪，赵俭，王龙江，巴阳，李雪伟，刘洪波，张馨月，
申请(专利权)人：中国人民解放军战略支援部队信息工程大学，
类型：发明
国别省市：河南,41