【技术实现步骤摘要】
一种基于可信硬件的安全云数据去重方法及系统
[0001]本专利技术属于数据去重
,特别涉及一种基于可信硬件的安全云数据去重方法及系统。
技术介绍
[0002]在海量数据当中,存在着大量的冗余数据,这些重复数据浪费了云服务器当中的存储空间。为了缓解存储压力,减少网络通信的开销,数据去重技术被应用于云存储系统当中。该技术只在云存储中保留相同文件的一个备份,从而极大地节省了存储成本。
[0003]现有技术的缺陷和不足:
[0004]1.数据去重方案中往往需要客户端和服务端之间频繁的进行通信,现有的解决方案大多缺乏对在不可信环境下数据安全的考虑,用户的信息在去重过程当中可能会被敌手窃取击,原始数据以及隐私信息因此被泄露;
[0005]2.现有方案往往欠缺对数据完整性的保障,恶意的用户可能会上传与标签不一致的数据,而半可信的云存储平台可能会由于外部攻击与内部攻击而损坏外包数据,因此数据的完整性可能会被破坏;
[0006]3.如何保证用户与服务端的通信安全问题,防止在通信过程中受到恶意攻击,是去重方案中的一项难题。
技术实现思路
[0007]本专利技术的目的在于提供一种基于可信硬件的安全云数据去重方法及系统,以解决上述问题。
[0008]为实现上述目的,本专利技术采用以下技术方案:
[0009]一种基于可信硬件的安全云数据去重方法,包括以下步骤:
[0010]首先对原文件进行数据加密与标签生成,随后将加密文件与相应的标签发送至云存储平台,云存储平台经过...
【技术保护点】
【技术特征摘要】
1.一种基于可信硬件的安全云数据去重方法,其特征在于,包括以下步骤:首先对原文件进行数据加密与标签生成,随后将加密文件与相应的标签发送至云存储平台,云存储平台经过文件分块之后,对标签进行重复检测,存储不存在相同副本的将加密文件,并赋予对于该文件的权限。2.根据权利要求1所述的一种基于可信硬件的安全云数据去重方法,其特征在于,云存储平台所配备的可信硬件区域为完全可信的服务器,每个被设置好的可信硬件内部都包含一个唯一的密封密钥s
k
;首先生成对原始数据的哈希,与可信硬件进行远程认证成功后,将哈希发送至可信硬件内,之后enclave使用该密封密钥s
k
对文件哈希进行盲签名,用户收到盲签名后进行解盲,并且将得到的安全签名作为加密密钥;相同的文件哈希在同一个可信硬件内获得相同的签名,相同的文件会生成相同的加密密钥,使用对称加密来加密文件数据。3.根据权利要求2所述的一种基于可信硬件的安全云数据去重方法,其特征在于,文件分块聚合步骤在Client中进行,首先比较文件长度与公共参数Pub中α的大小关系;若小于α则无需进行文件的分块聚合过程,直接生成整个文件的哈希h;否则进行分块聚合,计算表示块集合的个数,向上取整,根据公共参数Pub中的m来确定块集合中块的个数,生成块集合B
i
,并计算出哈希h
i
;长度α,固定的分块长度l;块个数m;密钥生成步骤由Client与CEnclave共同完成;首先两者之间进行远端认证,若认证失败则返回错误信息,成功则继续进行;Client根据前一个步骤确定文件是否分块,分别将文件哈希或块集合哈希发送至CEnclave,CEnclave利用可信区域的密封密钥s_k分别进行盲签名,Client收到盲签名后进行解盲,如下公式分别计算出文件加密密钥与块集合加密密钥;k=h
′
·
r
‑1(modN)数据加密步骤由Client完成,利用对称加密分别对文件或块集合进行加密,使用上一阶段生成的相应加密密钥完成加密过程,如下式所述;数据加密完成后,密文暂时保存在Client中;C=Enc(k
F
,F)。4.根据权利要求1所述的一种基于可信硬件的安全云数据去重方法,其特征在于,标签生成分为两部分:文件标签生成、块集合标签生成;对文件在有限域内生成了一个文件名,并且利用索引生成对应的块集合索引值,将该值映射到有限域内,并且计算出相应的验证值,利用验证值可以进行后续的标签一致性检测过程。5.根据权利要求4所述的一种基于可信硬件的安全云数据去重方法,其特征在于,分为三个步骤:文件标签生成、块集合标签生成、标签集合生成;三个步骤均在Client中执行;其中在文件标签生成步骤,首先给文件在有限域内设置一个文件名name
F
...
【专利技术属性】
技术研发人员:周瑞洁,刘宇豪,齐赛宇,鹿又水,侯迪,齐勇,
申请(专利权)人:西安交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。