基于秘密共享的云存储方法及系统技术方案

本发明专利技术公开了一种基于秘密共享的云存储方法及系统，涉及云存储技术领域，本发明专利技术的主要目的在于提出一种在更新子秘密的过程中兼顾云存储的服务业务处理性能的技术方案。本发明专利技术主要的技术方案为：根据秘密更新周期，由指定方利用预设数据为所有参与目标秘密共享的云存储方生成对应的子秘密更新份额；云存储方在本地利用随机数生成验证消息，并将其发送至指定方；指定方将验证消息转发至其他云存储方进行身份验证，验证通过后，各云存储方生成共同的更新序列；由多个验证方根据更新序列对公开秘密份额进行更新与秘密恢复，以确定更新序列与子秘密更新份额正确，由云存储方根据子秘密更新份额对本地存储的子秘密份额进行更新。密更新份额对本地存储的子秘密份额进行更新。密更新份额对本地存储的子秘密份额进行更新。

【技术实现步骤摘要】
基于秘密共享的云存储方法及系统


[0001]本专利技术涉及云存储
，尤其涉及一种基于秘密共享的云存储方法及系统。

技术介绍

[0002]在当今时代，越来越多的人选择将数据存储于云端服务器上，该服务器一般为第三方托管的虚拟服务器，而非自己私有的服务器。需要进行数据存储托管服务的人可向第三方平台以购买或租赁存储空间的方式，来满足自己的数据存储需求。然而，随着越来越多的服务商加入云存储行业，与之伴随的信息安全问题如数据机密问题、数据隔离问题、应用安全问题、用户隐私问题、版权风险问题等等也不得不受到人们重视。在这些安全问题中，最受到人们关注的就是数据机密问题。
[0003]对个人用户来说，他们希望将照片、文件、通信录等安全完整的存储在云服务器上，当需要的时候可以随时从云服务器下载，不需要时也希望这些数据在云端不被窃取和篡改；对企业用户来说，他们可能将大量重要的行业数据交予第三方平台的服务器托管，这些数据可能涉及到重要的行业秘密，一旦泄露后果不堪设想。因此，确保第三方平台服务器中的数据的机密性和完整性，是云存储产业发展的关键，也是近年来产业界和学术界的研究热点。
[0004]秘密共享技术是现代密码学的重要分支之一，它的出现是为了解决秘密过于集中带来的高风险和对入侵容忍度差的问题，是保护信息安全和秘密数据的重要手段之一。秘密共享方案，即(k，n)阈值方案，最早由Shamir和Blakley于1979年在不同场合分别独立的提出。n为参与秘密共享的参与者总数，k为能够恢复出原秘密的最小参与者个数。由参与者持有的秘密份额被称为影子秘密，任意不少于k个影子秘密可以恢复出原秘密，少于k个影子秘密不能得到原秘密的任何信息。在秘密共享发展的过程中，另一个较典型的情况是长时安全性威胁：由于某些机密数据要在服务器中存放几十年甚至一百年，长时间的系统运行或许会给攻击者留有足够的时间来逐个攻破大于阈值数目的服务器，从而获取或破坏这些服务器的影子份额，最终危机受保护的机密数据。主动安全的概念最早于1991年由Ostrovsky和Yung提出。随后，Herzberg等人于1995年提出了第一个主动秘密共享的方案。该方案中，秘密的存在时间被分为一个个的周期，每隔一个时间周期所有的参与者即对所持有的影子秘密进行刷新，从而使得攻击者除非在一个周期内攻破超过阈值数目的服务器，否则无法获得关于原秘密的任何信息。然而在该刷新的过程中，持有影子秘密的参与者需要两两交互以验证双方的身份，当参与者较多时，该刷新操作将会给参与者带来交互数据的处理压力，影响其自身所提供的服务质量。

技术实现思路

[0005]鉴于上述问题，本专利技术提出了一种基于秘密共享的云存储方法及系统，主要目的在于提出一种参与秘密共享的云存储服务商在更新子秘密的过程中兼顾服务业务处理性能的技术方案。
[0006]为达到上述目的，本专利技术主要提供如下技术方案：
[0007]第一方面，本专利技术提供一种基于秘密共享的云存储方法，具体包括：
[0008]根据秘密更新周期，由指定方利用预设数据为所有参与目标秘密共享的云存储方生成对应的子秘密更新份额；
[0009]所述云存储方在本地利用随机数生成验证消息及其数字签名，并将所述验证消息及其数字签名发送至指定方；
[0010]所述指定方将所述验证消息及其数字签名转发至其他云存储方，进行身份验证；
[0011]在所有云存储方验证通过后，各云存储方根据本地的随机数以及验证得到的随机数生成云存储方共同的更新序列；
[0012]由多个验证方根据所述更新序列对云存储方中的公开秘密份额进行更新验证与秘密恢复，以确定所述更新序列与子秘密更新份额正确，所述公开秘密份额是对秘密数据分割为多个子秘密后增加的一个公开子秘密；
[0013]由云存储方根据子秘密更新份额对本地存储的子秘密份额进行更新。
[0014]第二方面，本专利技术提供一种基于秘密共享的云存储系统，所述系统包括：指定方、多个云存储方以及验证方，其中，在对目标秘密对应于各云存储方中存储的子秘密份额执行更新操作时，具体执行以下操作：
[0015]根据秘密更新周期，由指定方利用预设数据为所有参与目标秘密共享的云存储方生成对应的子秘密更新份额；
[0016]所述云存储方在本地利用随机数生成验证消息及其数字签名，并将所述验证消息及其数字签名发送至指定方；
[0017]所述指定方将所述验证消息及其数字签名转发至其他云存储方，进行身份验证；
[0018]在所有云存储方验证通过后，各云存储方根据本地的随机数以及验证得到的随机数生成云存储方共同的更新序列；
[0019]由多个验证方根据所述更新序列对云存储方中的公开秘密份额进行更新验证与秘密恢复，以确定所述更新序列与子秘密更新份额正确，所述公开秘密份额是对秘密数据分割为多个子秘密后增加的一个公开子秘密；
[0020]由云存储方根据子秘密更新份额对本地存储的子秘密份额进行更新。
[0021]另一方面，本专利技术提供一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述的基于秘密共享的云存储方法。
[0022]另一方面，本专利技术提供一种计算机可读存储介质，所述计算机可读存储介质用于存储计算机程序，其中，所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述的基于秘密共享的云存储方法。
[0023]借由上述技术方案，本专利技术提供的一种基于秘密共享的云存储方法及系统，在对云存储的秘密进行定期更新时，是通过指定的第三方以及多个验证方实现的，由指定方为各云存储方分别生成对应的自秘密更新份额，并作为中转方将各云存储方发送验证消息转发给其他云存储方，避免了云存储方在更新验证阶段中向其他各云存储方发送验证消息而导致的计算压力大的问题，降低了因云存储方之间的通信交互而对自身提供服务质量的影响。并且，在本专利技术中，云存储方在进行身份验证时，是由多个验证方基于更新序列对所存储的公开秘密份额进行数据的更新与恢复验证，如此在保证了其他秘密份额安全性的同
时，也降低了验证所需的系统开销，提高了验证过程的效率、准确性以及安全性。
[0024]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0025]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
[0026]图1示出了本专利技术实施例提出的一种基于秘密共享的云存储系统的框架示意图；
[0027]图2示出了本专利技术实施例提出的一种云存储方法的秘密数据共享以及恢复过程的流程图；
[0028]图3示出了本专利技术实施例提出的一种基于秘密共享的云存储方法的流程图；
[002本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于秘密共享的云存储方法，所述方法包括：根据秘密更新周期，由指定方利用预设数据为所有参与目标秘密共享的云存储方生成对应的子秘密更新份额；所述云存储方在本地利用随机数生成验证消息及其数字签名，并将所述验证消息及其数字签名发送至指定方；所述指定方将所述验证消息及其数字签名转发至其他云存储方，进行身份验证；在所有云存储方验证通过后，各云存储方根据本地的随机数以及验证得到的随机数生成云存储方共同的更新序列；由多个验证方根据所述更新序列对云存储方中的公开秘密份额进行更新验证与秘密恢复，以确定所述更新序列与子秘密更新份额正确，所述公开秘密份额是对秘密数据分割为多个子秘密后增加的一个公开子秘密；由云存储方根据子秘密更新份额对本地存储的子秘密份额进行更新。2.根据权利要求1所述的方法，其特征在于，在根据秘密更新周期，由指定方利用预设数据为所有参与目标秘密共享的云存储方生成对应的子秘密更新份额之前，所述方法还包括：由秘密分发方将目标秘密分割成多个子秘密，并在所述多个子秘密中设置一个公开子秘密；将含有所述公开子秘密的多个子秘密向多个云存储方进行秘密共享。3.根据权利要求1所述的方法，其特征在于，由指定方利用预设数据为所有参与目标秘密共享的云存储方生成对应的子秘密更新份额之后，所述方法还包括：指定方在将所述子秘密更新份额发送给对应的云存储方后，删除所述子秘密更新份额以及生成过程中的随机参数。4.根据权利要求1所述的方法，其特征在于，各云存储方根据本地的随机数以及验证得到的随机数生成云存储方共同的更新序列，包括：云存储方将本地的随机数以及验证其他云存储的验证消息得到的随机数进行累加，得到共有随机数；基于所述共有随机数利用流密钥生成算法生成更新序列。5.根据权利要求1所述的方法，其特征在于，由多个验证方根据所述更新序列对云存储方中的公开秘密份额进行更新验证与秘密恢复，包括：由验证方向各云存储方发送更新份额验证请求；云存储方根据所述更新份额验证请求对本地存储的公开秘密份额进行更新，并将更新后的公开秘密份额及其数字签名发送至验证方；在验证方通过对公开秘密份额及其数字签名的验证后，从多个验证方中随机选取预置数量的公开秘密份额进行秘密恢复，判断恢复出的秘密数据是否为公开子秘...

【专利技术属性】
技术研发人员：吕春利，张水海，裴蓓，吴松洋，孙昊驿，
申请(专利权)人：公安部第三研究所，
类型：发明
国别省市：