一种基于云服务器的具有审计功能的数据存取方法及系统技术方案

本发明专利技术涉及一种基于云服务器的具有审计功能的数据存取方法及系统，该方法包括：数据用户终端生成加密密钥，并对文件分块加密后将加密数据存储到云服务器；数据用户终端向云服务器发送提取数据请求以及加密密钥的次数t，云服务器将解密数据返还给数据用户终端；授权用户终端向数据用户终端发出授权请求，数据用户终端对加密密钥的次数t加密得到加密授权请求标签t_sign后返还给授权用户终端，授权用户终端向云服务器发送提取数据请求以及t_sign，云服务器解密后得到次数t′，在判断t′与次数t相等时将解密数据返还给授权用户终端，否则不解密。本发明专利技术提供了授权用户终端的数据提取方案，并利用加密密钥的次数对授权用户终端的身份进行验证，提高了数据存取方法的安全性。

Data access method and system with audit function based on Cloud Server

The invention relates to a system and has the function of audit data access method based on the cloud server, the method comprises: a user terminal generates the data encryption key and block encryption of files encrypted data stored in the cloud server; the data user terminal server sends the data request and Xiang Yun extraction times t encryption key, cloud server decrypt the data returned to the data user terminal; the authorized user terminal sends a request to the authorized user terminal data, the number of user terminal T data encryption key encrypted by encryption authorization request label t_sign after the return to the authorized user terminal, authorized user terminal server requests and data extraction Xiang Yun t_sign, cloud server after decryption number T 'data. Return to the authorized user terminal will decrypt the judgment of T' and T number are equal, otherwise no decryption. The invention provides a data extraction scheme for authorizing a user terminal, and verifies the identity of the authorized user terminal by the number of encryption keys, thereby improving the security of the data access method.

【技术实现步骤摘要】
一种基于云服务器的具有审计功能的数据存取方法及系统本申请为专利技术名称为“一种基于云服务器的数据存取方法及系统”的分案申请，原申请的申请日为2017.2.24，申请号为201710105793.7。
本专利技术涉及加密
，尤其涉及一种基于云服务器的具有审计功能的数据存取方法及系统。
技术介绍
云存储是云计算中的一个重要的设备，它允许数据用户将他们的本地数据移交给云服务器，并且在保证了云服务器正确存储了本地数据之后本地用户可以删除该数据。数据用户可能会担心数据有没有在云服务器丢失的风险，这是因为无论云服务器的可靠性有多高，它都有被外界攻击的可能性，并且有时候甚至云服务器也有可能是恶意云，即一个恶意云，当它处理数据时，审计查询对其都是透明的，因此，该恶意云知道用户是否接收到了验证信息，此时恶意云就可以伪造审计信息让用户误以为存储的数据是正确的。总而言之，云存储技术一方面为数据用户节省了存储空间，另一方面声明了外包给云服务器的数据是被正确存储的。传统的云存储，用户检测数据的完整性是基于两方存储审计协议的。然而，在云服务器端或是在用户端产生审计查询都是不合适的，因为它们二者都不能保证可以提供公正的审计结果。在这种情况下，在云存储中利用三方审计就成了一个最佳的选择。一个好的三方审计是通过它的审计效率和是否能保证云服务器和数据用户正确交互来衡量的。对于三方审计，已经有很多人提出来了相关理论，总结出来可以概括为三点：1)保密性，即审计协议应该保证用户数据对三方审计保密；2)动态审计，即审计协议应该支持数据在云端动态更新；3)批量审计，即审计协议支持应该允许多用户多云服务器进行批量审计。三方审计模型如图1所示：其中包括三个实体，即数据用户终端100、云服务器200和第三方审计300。本地的数据用户终端100用来生成数据并将其数据存储在云服务器200，云服务器200存储用户的数据并可供用户随时提取数据，第三方审计300可为数据用户终端100和云服务器200提供数据存储审计服务，例如可在数据用户终端100向云服务器200存储数据后，向云服务器200发起挑战，并接收云服务器200返回的证明，以验证数据用户终端100外包给云服务器200的数据是否保持完整。因为若云服务器200保存的数据不完整，用户再提取数据也就没有意义了；同时使用第三方审计300作为一个独立的实体，也可以减轻云服务器200的压力。然而，在实际操作中，不是只有本地用户来提取云服务器200的外包数据，非本地用户由于实际需要也会提取该外包数据，而现有技术中缺乏对非本地用户提取数据的安全有效的方案。
技术实现思路
本专利技术要解决的技术问题是，针对现有技术中缺乏对非本地用户提取数据的安全有效方案的缺陷，提供一种基于云服务器的数据存取方法及系统，通过对加密密钥的次数进行验证来提供非本地的授权用户提取数据方案。为了解决上述技术问题，本专利技术采用如下技术方案：本专利技术第一方面，提供了一种基于云服务器的数据存取方法，包括：数据存储步骤：数据用户终端生成加密密钥，并使用所述加密密钥对文件分块加密后将加密数据存储到云服务器；数据用户提取步骤：所述数据用户终端向云服务器发送提取数据请求以及所述加密密钥的次数t，所述云服务器将解密数据返还给数据用户终端；授权用户提取步骤：授权用户终端向所述数据用户终端发出授权请求；所述数据用户终端对加密密钥的次数t进行加密得到加密授权请求标签t_sign后返还给所述授权用户终端；所述授权用户终端向云服务器发送提取数据请求以及所述加密授权请求标签t_sign，云服务器对接收的加密授权请求标签t_sign进行解密后得到次数t′，在判断t′与存储的次数t相等时将解密数据返还给授权用户终端，否则不解密数据。优选地，所述方法还包括：存储审计步骤：所述数据用户终端在向云服务器存储数据后将所述加密文件的抽象信息发送给第三方审计，所述第三方审计根据所述加密文件的抽象信息向所述云服务器发起挑战，并根据云服务器返回的该挑战的相应证明验证存储在云服务器的数据是否完整，并将验证结果反馈给所述数据用户终端。优选地，所述方法还包括：提取审计步骤：所述数据用户终端或者授权用户终端在接收解密数据后将解密文件的抽象信息发送给第三方审计，所述第三方审计根据接收的解密文件的抽象信息判断与原始数据用户终端加密时发送的加密文件的抽象信息是否相等，是则发送无需重新加密的验证信息给所述数据用户终端，否则发送需要重新加密的验证信息给所述数据用户终端。优选地，所述数据存储步骤包括：密钥生成子步骤：将文件F分成n个数据块，记为mi∈Zp，i∈I,I＝[1,n]；生成加密密钥，所述加密密钥包括文件的加密密钥key_cml，以及文件分块后每一个数据块的标签密钥skt、哈希密钥skh和标签公钥pkt＝(gx,ux)；其中，x∈Zp为随机数，skt＝ytag,ytag是一个随机素数，ytag1,ytag2,.....,ytagn是与ytag互质的素数，并找到一个随机数s，使得e是一个素数；文件加密子步骤：文件F分块后每一个数据块的标签记为ti∈Zp，总的标签记为T＝{ti}i∈[1,n]；将生成后的标签附加在对应的数据块上实现数据致盲，记为mi'＝mi+ti；数据发送子步骤：将加密数据发送至云服务器，所述加密数据包括文件的加密数据、加密文件的抽象信息和带标签的认证信息；所述文件的加密数据为F′＝{mi′}i∈[1,n]，所述带标签的认证信息为其中Ri＝FID||i，FID为识别文件的标识信息，“||”为串联标志。优选地，所述存储审计步骤包括：请求发送子步骤：数据用户终端在执行数据存储步骤后将审计请求发送给第三方审计，该审计请求中含有加密文件的抽象信息以及标签公钥pkt；发起挑战子步骤：第三方审计定义挑战并向云服务器发起挑战；其中，vi为加密数据每一块对应产生的随机数，Q＝pktq是一个挑战集，q∈Zp是一个随机数；证明子步骤：所述云服务器接收所述挑战后生成相应证明P＝(ρ,ω,ε,τ)返回给所述第三方审计；其中，认证信息ρi为所述加密数据中每一块的去标签认证信息，验证子步骤：所述第三方审计收到云服务器返回的相应证明后通过公式验证审计证明的正确性，若该等式成立，则判断存储在云服务器的数据是完整的，否则不完整。本专利技术第二方面，提供了一种基于云服务器的数据存取系统，至少包括云服务器、数据用户终端和授权用户终端；所述数据用户终端用于生成加密密钥，并使用所述加密密钥对文件分块加密后将加密数据存储到云服务器；所述数据用户终端还用于在提取数据时向云服务器发送提取数据请求以及所述加密密钥的次数t，并接收所述云服务器返还的解密数据；所述数据用户终端还用于在在接收数据用户终端发送的授权请求时对加密密钥的次数t进行加密后得到加密授权请求标签t_sign后返还给所述授权用户终端；所述授权用户终端用于向所述数据用户终端发出授权请求以及所述加密授权请求标签t_sign；所述云服务器用于存储所述数据用户终端发送的加密数据；所述云服务器还用于接收数据用户终端发送的提取数据请求以及所述加密密钥的次数t后将解密数据返还给数据用户终端；所述云服务器还用于在接收授权用户终端发送的提取数据请求和加密授权请求标签t_sign后进行解密后得到次数t′，本文档来自技高网...

【技术保护点】
一种基于云服务器的具有审计功能的数据存取方法，其特征在于，包括：数据存储步骤：数据用户终端生成加密密钥，并使用所述加密密钥对文件分块加密后将加密数据存储到云服务器；数据用户提取步骤：所述数据用户终端向云服务器发送提取数据请求以及所述加密密钥的次数t，所述云服务器将解密数据返还给数据用户终端；授权用户提取步骤：授权用户终端向所述数据用户终端发出授权请求；所述数据用户终端对加密密钥的次数t进行加密得到加密授权请求标签t_sign后返还给所述授权用户终端；所述授权用户终端向云服务器发送提取数据请求以及所述加密授权请求标签t_sign，云服务器对接收的加密授权请求标签t_sign进行解密后得到次数t′，在判断t′与存储的次数t相等时将解密数据返还给授权用户终端，否则不解密数据；存储审计步骤：所述数据用户终端在向云服务器存储数据后将所述加密文件的抽象信息发送给第三方审计，所述第三方审计根据所述加密文件的抽象信息向所述云服务器发起挑战，并根据云服务器返回的该挑战的相应证明验证存储在云服务器的数据是否完整，并将验证结果反馈给所述数据用户终端；所述存储审计步骤包括：请求发送子步骤：数据用户终端在执行数据存储步骤后将审计请求发送给第三方审计，该审计请求中含有加密文件的抽象信息以及标签公钥pkt＝(g...

【技术特征摘要】
1.一种基于云服务器的具有审计功能的数据存取方法，其特征在于，包括：数据存储步骤：数据用户终端生成加密密钥，并使用所述加密密钥对文件分块加密后将加密数据存储到云服务器；数据用户提取步骤：所述数据用户终端向云服务器发送提取数据请求以及所述加密密钥的次数t，所述云服务器将解密数据返还给数据用户终端；授权用户提取步骤：授权用户终端向所述数据用户终端发出授权请求；所述数据用户终端对加密密钥的次数t进行加密得到加密授权请求标签t_sign后返还给所述授权用户终端；所述授权用户终端向云服务器发送提取数据请求以及所述加密授权请求标签t_sign，云服务器对接收的加密授权请求标签t_sign进行解密后得到次数t′，在判断t′与存储的次数t相等时将解密数据返还给授权用户终端，否则不解密数据；存储审计步骤：所述数据用户终端在向云服务器存储数据后将所述加密文件的抽象信息发送给第三方审计，所述第三方审计根据所述加密文件的抽象信息向所述云服务器发起挑战，并根据云服务器返回的该挑战的相应证明验证存储在云服务器的数据是否完整，并将验证结果反馈给所述数据用户终端；所述存储审计步骤包括：请求发送子步骤：数据用户终端在执行数据存储步骤后将审计请求发送给第三方审计，该审计请求中含有加密文件的抽象信息以及标签公钥pkt＝(gx,ux)；发起挑战子步骤：第三方审计定义挑战并向云服务器发起挑战；其中，vi为加密数据每一块对应产生的随机数，Q＝pktq是一个挑战集，q∈Zp是一个随机数；证明子步骤：所述云服务器接收所述挑战后生成相应证明P＝(ρ,ω,ε,τ)返回给所述第三方审计；其中，认证信息ρi为所述加密数据中每一块的去标签认证信息，其中ti∈Zp；mi∈Zp，为文件F分成的n个数据块，i∈I,I＝[1,n]；哈希密钥skt＝ytag,ytag是一个随机素数，ytag1,ytag2,.....,ytagn是与ytag互质的素数，并找到一个随机数s，使得e是一个素数；验证子步骤：所述第三方审计收到云服务器返回的相应证明后通过公式验证审计证明的正确性，其中，Ri＝FID||i，FID为识别文件的标识信息，“||”为串联标志；若该等式成立，则判断存储在云服务器的数据是完整的，否则不完整。2.根据权利要求1所述的基于云服务器的具有审计功能的数据存取方法，其特征在于，所述方法还包括：提取审计步骤：所述数据用户终端或者授权用户终端在接收解密数据后将解密文件的抽象信息发送给第三方审计，所述第三方审计根据接收的解密文件的抽象信息判断与原始数据用户终端加密时发送的加密文件的抽象信息是否相等，是则发送无需重新加密的验证信息给所述数据用户终端，否则发送需要重新加密的验证信息给所述数据用户终端。3.根据权利要求2所述的基于云服务器的具有审计功能的数据存取方法，其特征在于，所述数据存储步骤包括：密钥生成子步骤：将文件F分成n个数据块，记为mi∈Zp，i∈I,I＝[1,n]；生成加密密钥，所述加密密钥包括文件的加密密钥key_cml，以及文件分块后每一个数据块的标签密钥skt、哈希密钥skh和标签公钥pkt＝(gx,ux)；其中，x∈Zp为随机数，skt＝ytag,ytag是一个随机素数，ytag1,ytag2,.....,ytagn是与ytag互质的素数，并找到一个随机数s，使得e是一个素数；文件加密子步骤：文件F分块后每一个数据块的标签记为ti∈Zp，总的标签记为T＝{ti}i∈[1,n]；将生成后的标签附加在对应的数据块上实现数据致盲，记为mi'＝mi+ti；数据发送子步骤：将加密数据发送至云服务器，所述加密数据包括文件的加密数据、加密文件的抽象信息和带标签的认证信息；所述文件的加密数据为F′＝{mi′}i∈[1,n]，所述带标签的认证信息为其中Ri＝FID||i，FID为识别文件的标识信息，“||”为串联标志。4.根据权利要求3所述的基于云服务器的具有审计功能的数据存取方法，其特征在于，所述提取审计步骤中通过抽象信息中用户终端的类别来判断该发送抽象信息的用户是否为本地的数据用户终端，是则返回一个提取的验证信息extract＝0，否则向数据用户终端发送extract＝1；数据用户终端收到extract＝0时，保持不变，数据用户终端收到extract＝1时，重新生成密钥对原始的文件数据进行加密。5.一种基于云服务器的具有审计功能的数据存取系统，其特征在于，至少包括云服务器、数据用户终端和授权用户终端；所述数据用户终端用于生成加密密钥，并使用所述加密密钥对文件分块加密后将加密数据存储到云服务器；所述数据用户终端还用于在提取数据时向云服务器发送提取数据请求以及所...

【专利技术属性】
技术研发人员：韦鹏程，雷烈，李莉，尹胜，吴迎莹，周震，
申请(专利权)人：重庆第二师范学院，
类型：发明
国别省市：重庆,50