云安全隱私性和完整性保護方法和系統(tǒng)的制作方法
【技術領域】
[0001] 本發(fā)明涉及云計算安全技術領域,尤其涉及一種云安全隱私性和完整性保護方法 和系統(tǒng)。
【背景技術】
[0002] 近幾年,隨著云計算的不斷發(fā)展,云計算領域在計算機領域的地位也有所提高。由 于云計算它有一系列在IT歷史中沒有預見到的優(yōu)勢主要是:自請求式服務,普遍的網(wǎng)絡訪 問,與位置無關的資源池,以及基于使用的價格等等,所以云計算被期望成為IT專業(yè)領域內(nèi) 下一代的技術結構。使用云計算就是把數(shù)據(jù)集中或者外包給云平臺。從單個個體用戶以及 IT專業(yè)領域用戶的角度來看,把數(shù)據(jù)以請求的方式遠程存儲在云端減輕了存儲管理的負 擔,并且一般的數(shù)據(jù)存儲與位置無關,也避免了一些硬件、軟件以及人員維修的資金開支。 [0003]云計算雖然有著比以往更為吸引人的優(yōu)勢,但是對于存儲在云平臺的用戶的外包 的數(shù)據(jù)也有著新的安全威脅。因為云服務提供商(CSP)是一個單獨的管理實體,這就意味著 用戶對于他們外包的數(shù)據(jù)放棄了管理權限。雖然云平臺的基礎設施比個人的計算設備更可 靠和安全,但是也無法完全抵御來自內(nèi)外所有的安全威脅。比如為了自身的經(jīng)濟利益,云服 務商可能會把不經(jīng)常訪問的外包數(shù)據(jù)丟棄,而為了維護良好的聲譽向用戶隱瞞這種數(shù)據(jù)丟 失。因此CSP要確保存儲數(shù)據(jù)的完整性。
[0004] 安全審計是一種有效的解決方法。審計分為私有審計和公開審計。
[0005] 私有審計效率高,但是審計任務只能由用戶自己來完成。并且存儲在云平臺上的 數(shù)據(jù)量大,審計任務繁重,而且用戶設備的計算資源也受限。而在公開審計中用戶可以將繁 重的審計任務委托給有能力的可信的第三方審計中心(TPA),TPA審計完成后將審計結果返 回給用戶。這樣就減輕了用戶的計算負擔,因此公開審計更符合實際應用。
[0006] 新實體TPA的引入,也造成了一定的安全威脅。TPA在審計過程中會學習到用戶的 外包數(shù)據(jù)信息,而且TPA不一定徹底可信。如果云服務器直接將用戶外包信息上回應TPA,因 為TPA不是徹底可信的,所以可能會導致用戶外包數(shù)據(jù)的泄露。一旦用戶的信息泄露,即使 審計過程正確,整個審計模型也是不安全的。所以在云服務器和TPA交互式的審計過程中, 云服務器會把含有用戶外包數(shù)據(jù)信息或者是相關信息的回應信息進行盲化,這樣TPA就無 法知道用戶的外包數(shù)據(jù)信息。從而保護了用戶在云存儲審計中的隱私性。
【發(fā)明內(nèi)容】
[0007] 為了解決云存儲數(shù)據(jù)審計中數(shù)據(jù)隱私性和完整性的問題,本專利提出了一種云安 全隱私性和完整性保護方法和系統(tǒng)。該方法中,用戶在上傳數(shù)據(jù)到云服務器前,先對元數(shù)據(jù) 用AES算法進行加密,而后將密文上傳給云服務器。并且在云服務器和TPA交互的審計過程 中,云服務器對用戶的信息進行盲化,這樣TPA也無法獲知到用戶的信息。
[0008] 為解決上述技術問題,本發(fā)明提供了一種云安全隱私性和完整性保護系統(tǒng),其包 括系統(tǒng)參數(shù)生成中心、云端、終端和可信第三方審計中心(TPA),
[0009] 系統(tǒng)參數(shù)生成中心生成各種系統(tǒng)參數(shù),為用于生成公私鑰、為云服務器生成公私 鑰、計算審計參數(shù)等;
[0010] 云服務器為用戶數(shù)據(jù)提供存儲資源;
[0011] 終端將用戶的大量數(shù)據(jù)外包存儲到云端;
[0012] 審計中心代表用戶來驗證數(shù)據(jù)的完整性,
[0013] 該系統(tǒng)在用戶上傳數(shù)據(jù)到云服務器前,對元數(shù)據(jù)用AES算法進行加密,再將密文上 傳給云服務器。
[0014] 本發(fā)明還提供了采用上述云安全隱私性和完整性保護系統(tǒng)進行云安全隱私性和 完整性保護的方法,其包括:
[0015] 第一步,系統(tǒng)參數(shù)生成,由系統(tǒng)參數(shù)生成中心生成各種系統(tǒng)公私參數(shù);
[0016] 第二步,元數(shù)據(jù)加密,將用戶的元數(shù)據(jù)用AES算法進行加密;
[0017]第三步,數(shù)據(jù)文件上傳,用戶通過終端將加密后的數(shù)據(jù)上傳到云服務器;
[0018]第四步,審計,由審計中心對數(shù)據(jù)文件進行審計,并將審計結果返回給用戶。
[0019]所述第一步系統(tǒng)參數(shù)生成具體為:
[0020] 第a步,系統(tǒng)參數(shù)生成中心選擇階為素數(shù)p的乘法循環(huán)群群61,62和61, 6為可計算的 雙線性映射e X G2-Gt,g為G2的生成元;選擇兩個hash函數(shù),其中H是從串映射到一點的 hash函數(shù):H: {0,1} *^Gi;另一個hash函數(shù)h: Gt-Zp,映射到ZP中;
[0021] 第b步,參數(shù)生成中心為用戶選擇一對簽名密鑰(spk,Ssk),從ZP*任選一個隨機 數(shù)x-Z P,并從Gi中任選一個隨機數(shù)u-Gi,計算v-gx;參數(shù)中心為云服務提供商在ZP中任選 一個隨機數(shù)S-Z P,并計算Z = u5,云服務器的公私鑰對為(S,z);用戶的私鑰為(x,ssk),公鑰 對為(spk,v,g,u,z);
[0022] 第c步,為用戶加密元數(shù)據(jù)產(chǎn)生一個密鑰k。
[0023]所述第二步元數(shù)據(jù)加密步驟具體為用戶對n個數(shù)據(jù)塊{nu,...,mn}中每個數(shù)據(jù)塊使 用密鑰k進行AES加密,生成密文e = {ci,C2,. . . cn}。
[0024]所述第三步數(shù)據(jù)文件上傳具體為:
[0025]第(1)步,終端用戶對文件F = {m i}中的每一個文件塊m i,計算各塊的簽名: Si^(H{wi)-iimi) e Gi
[0026] 并記①=,其中Wi = name | | imame是用戶從ZP中選取的一個隨機數(shù),作為 文件F的文件名;| |為連接符;
[0027]第(2)步,計算文件F的標簽t:t = name | | SSigssk(name),其中SSigssk(name)是在私 鑰name下對文件名name的簽名,從而在數(shù)據(jù)上傳的最后階段確保文件的唯一的標識;
[0028]第(3)步,用戶將F以及驗證信息,t)上傳給云服務器并且把這些信息在本地存 儲器中刪除。
[0029]所述第四步審計進一步具體為
[0030] 第A步,TPA接收文件標簽t,并通過公鑰spk驗證文件名的簽名SSigssk(name),如果 驗證失敗,則輸出FALSE;如果成功,TPA就接收文件名name;
[0031 ]第B步,產(chǎn)生一個審計的質(zhì)詢信息"chal",TPA在[1,n]中任選含有c個元素的子集I = I = {si,. . .s。},對于每個元素 iei,都表示要求去審計的文件塊的位置,TPA為每個元素 任選一個隨機數(shù)^,然后TPA將chal = {(i,Vl)} 發(fā)送給云服務器;
[0032]第C步,當云服務器接收到質(zhì)詢信息chal = {(i,Vl) }lEI后,會對于存儲在云端數(shù)據(jù) 的正確性進行回應:服務器會任選一個元素 r-ZP,并計算Rrf,然后計算V = Siemnu,而 后將V和r進行盲化yiWlOV+r+S,其中y =h(R)eZP,與此同時云服務器也計算驗證碼 的聚合谷=「IeG_,然后云服務器將{y,S,R}發(fā)送給TPA;
[0033] 第D步,TPA收到云服務器的回應信息后,首先計算y =h(R),然后驗證等式:
是否成立,如果成立則審計通過,否則輸出 FALSE〇
[0034]本發(fā)明的有益效果:
[0035]采用本發(fā)明提供的云安全隱私性和完整性保護系統(tǒng)和方法確保了用戶放在云服 務器上的數(shù)據(jù)是保密的,因為用戶在把數(shù)據(jù)外包之前用AES進行了加密,即使云服務器是惡 意的也不能夠知道用戶的數(shù)據(jù)信息。
[0036]云服務器和TPA審計中,服務器會把用戶的信息盲化,這樣TPA不知道用戶的數(shù)據(jù) 信息。即使第三方審計中心(TPA)不是徹底可信的,用戶的數(shù)據(jù)信息也不會被惡意泄露。 [0037] 參數(shù)中心為云服務器也分配了公私鑰,在盲化過程中讓云的公私鑰參與,改進了 盲化方法。
【附圖說明】
[0038]圖1為云安全隱私性和完整性保護系統(tǒng)的模型圖;
[0039]圖2為系統(tǒng)建立示意圖;
[0040] 圖3為文件上傳示意圖;
[0041] 圖4為審計階段示意圖。
【具體實施方式】
[0042]本發(fā)明提供了一種云安全隱私性和完整性保護系統(tǒng),其包括系統(tǒng)參數(shù)生成中心、 云端、終端和可信第三方審計中心(TPA),
[0043]系統(tǒng)參數(shù)生成中心生成各種系統(tǒng)參數(shù),為用于生成公私鑰、為云服務器生成公私 鑰、計算審計參數(shù)等;
[0044] 云服務器為用戶數(shù)據(jù)提供存儲資源;
[0045] 終端將用戶的大量數(shù)據(jù)外包存儲到云端;
[0046] 審計中心代表用戶來驗證數(shù)據(jù)的完整性。
[0047]本發(fā)明還提供了采用上述云安全隱私性和完整性保護系統(tǒng)進行云安全隱私性和 完整性保護的方法,其包括:
[0048] 第一步,系統(tǒng)參數(shù)生成,由系統(tǒng)參數(shù)生成中心生成各種系統(tǒng)公私參數(shù);
[0049] 第二步,元數(shù)據(jù)加密,將用戶的元數(shù)據(jù)用AES算法進行加密;
[0050] 第三步,數(shù)據(jù)文件上傳,用戶通過終端將