[发明专利]云存储中一种加密数据的去重方法

摘要

本发明提出了一种云存储中一种加密数据的去重方法，主要涉及云存储、大数据环境下的重复密文数据检测和删除领域，通过对文件摘要的哈希创建所生成的标识数据与云服务商数据库中文件的对比，得到文件是否重复的结果，若重复则上传不同的文件块或取消文件上传；若不重复则对文件进行分块、哈希、生成验证数据后最终上传没有相同文件块的密文数据及标签信息。此操作能在对密文数据去重的同时保护数据的机密性，并能够抵抗通过数据块的暴力搜索攻击而造成的文件隐私泄露，由于执行的是两级数据去重，有效的减少了网络传输流量并抵抗不良云服务商的攻击。

主权项

1.基于云存储中一种加密数据的去重方法，其特征是：在用户上传文件之前，对文件摘要进行哈希创建，生成文件标识数据，然后将文件标识数据上传到云服务商CSP处进行验证，确定用户有没有相同文件，若是有相同文件，则进行验证，最终上传不同的文件块或者在已经有相同文件存在的情况下取消上传；若没有相同的数据标识，则对文件进行分块、哈希、生成验证数据，然后将文件及验证数据一起加密得到密文数据和元数据，然后对密文块进行对比验证，最终只上传文件库中没有相同文件块的密文数据及标签信息，其具体的实施步骤如下：步骤1：生成文件标识，进行初步验证，具体的内容如下：用户的文件F，在上传之前是没有加密的，首先对文件属性包括文件类型、文件名、文件摘要信息进行哈希，获得文件的属性标签：h(F_P)，如果在云空间内有相同的属性标签，则提示是否确定上传，如果继续上传，则进入后续过程，步骤2：文件分块，并生成数据块的特征集，具体的内容如下：将文件F分成n个数据块{F_i}，1≤i≤n，然后计算每个数据块的哈希值即标识：表示文件F的第i个数据块的特征，放入集合中，步骤3：数据块及标识加密，步骤4：生成元数据和验证标签，步骤5：数据验证，更新元数据，步骤6：数据去重，步骤7：数据访问，具体的内容如下：当用户需要访问云端的数据时，从CSP获得数据F的密文C_F和元数据{i，h(F_P)，lb_i，mb_i}，再利用存储与本地的根密钥和文件参数ft，fs即能够生成密钥树，计算变换叶子节点密钥、解密出数据密钥以及解密数据块，得到数据F，步骤3的数据块及标识加密，其计算过程为：高度为p，具有n个叶子节点的密钥树，然后将叶子节点密钥转换为“变换叶子节点密钥”，以其作为控制密钥，其中：2^p‑1＜n≤2^p并依据安全参数λ随机选择一个根密钥key_0，1，利用左右派生规则f_L和f_R逐级计算得到树叶节点密钥：k_i+1，2j‑1＝f_L(k_i，j)＝h(k_i，j||i||(2j‑1)k_i+1，2j＝f_R(k_i，j)＝h(k_i，j||i||2j)然后对叶子节点k_p、i(1≤i≤n)计算变换叶子节点密钥：k‘_p、i＝f(k_p、i)＝h(k_p、i||p||i|fa)fa＝h(ft||fs)，表示文件属性然后，采用AES算法对数据块进行加密；得到文件块的密文数据：步骤4生成元数据和验证标签，其具体的计算过程：首次上传的数据，数据加密后，生成元数据项表示为：{i，h(F_P)，lb_i，mb_i}其中lb_i表示F文件第i个数据块的密文mb_i表示其控制密钥在控制密钥树中的位置，如果上传的文件F′的第j个数据块，其加密后生成的标签集在CSP检测到与F的第i个相同时，生成元数据项为：{j，h(F’_P)，lb_i，mb_i}并多生成一条元数据项(i，T_j)，T_j为F’的验证标签，然后，将元数据项组成元数据MD_F，MD_F＝(h(F_P)，lb_F，T_i，({i，h(F_P)，lb_i，mb_i})数据块加密完成后，User将加密结果发送给CSP，并在本地为文件F存储h(F_P)，key_0，1，fs，ft，n的参数，计算数据块密文、计算验证标签并将元数据和数据密文分别存储到主服务器和存储服务器，步骤5数据验证，更新元数据，其计算过程为：CSP以散列运算，计算各数据的验证标签，对数据密文中的每个密文块C_i进行散列运算，并以该值作为验证标签即：T_i＝h(C_i)令T_i＝T_j，以T_j作为叶子节点，并以数据块序号i为序，有叶子节点逐级往上生成验证二叉树Tree_F，并以T_root，F作为根节点，更新文件的元数据MD‘_F＝(h(F_P)，lb_F，T_root，F，{(i，h(F_P)，lb_i，mb_i，T_i)})，1≤i≤n，步骤6数据去重的具体计算过程为：CSP随机选择一个数c，1≤c≤n，作为需要检测的数据块数目，并生成一个随机置换密钥r，然后CSP从元数据MDF中提取lbF、Troot，F和(i，h(FP)，lbi，mbi，Ti)，并将他们连同c、r一起发送到客户端，客户端解密得到F的根密钥keyO，1，根据根密钥派生得到位置为mbi的n个叶子节点密钥kp、i，从而得到变换叶子节点密钥k‘_p、i，k‘_p、i＝h(k_p、i||p||i||fa)解密相应的数据块密钥：以文件F的块数n、被挑战数据块数目c和随机数r为伪随机置换函数δ的输入，得到c个数据块序号ij＝δr(c，n)然后对各数据块密文Ci计算摘要值作为验证标签，并以Ti为叶节点、数据块序号i为序，由叶节点逐级往上生成一棵验证二叉树；比较该树的根节点T’root，F与Troot，F是否相等，若相等则表示用户又有文件F，并且文件F与F’是同一个文件，若不相等，则表示F与F’具有相同标识，但内容不同，然后上传具有不同内容的数据块，并且记录下更新元数据：MD‘F＝(h(FP)，lbF，Troot，F，{(i，h(FP)，lbi，mbi，Ti)})。