一种面向云存储的高效数据加密、更新和访问控制方法

本发明涉及一种面向云存储的高效数据加密、更新和访问控制方法，可用于对存储在云服务器上的密 文数据进行直接更新和访问控制，属于网络信息安全和计算机软件技术领域。

随着信息时代的来临，如何实现海量数据的安全存储成为一个亟待解决的重要问题。云存储技术的出 现为解决这一问题提供了良好契机，采用云存储可以降低企业的存储成本，规避数据丢失和损毁等安全风 险，提高数据管理效率和利用率，因而被认为是信息技术领域的下一个重要增长点，具有巨大的市场前景。 但由于数据的远程异地存储也导致了涉及机密性、加密数据更新以及权限控制等较为棘手的安全问题。

云存储服务一般由不可信的第三方服务商提供，因此如何防止服务商泄漏用户隐私信息，或者对用户 数据进行统计分析挖掘，从而保障数据的机密性就成为云用户所重点关注的首要问题。一种较为简单的解 决方法是将所有数据进行常规加密后存储，但这样将对数据的修改和检索操作带来不便，因此较少被采用。 集中信息流控制(DIFC)和差分隐私保护技术可以用于防止云计算过程中的隐私信息泄露，同时还支持对计 算结果的自动除密。以用户信任模型为基础的隐私管理工具也有助于用户控制存储在云服务器上的敏感信 息，但主要用于数据存储和使用阶段。目前为止尚未发现面向云存储的并且能够兼顾机密性、效率和可操 作性的数据加密方法。

如何对存储在云服务器上的加密数据进行相关操作是云存储服务面临的另外一个问题。一方面，考虑 到无法信任第三方云服务器，为了保证数据机密性，一般要求对数据进行加密存储；但另一方面，密文存 储形式也对相关数据操作带来较大难度。如果直接对修改后的明文数据进行重新加密后上传存储，但相应 的明文数据改动又非常小，这样无疑会带来较大的时间和带宽损耗，进而降低了系统效率。目前对密文处 理的研究主要集中在秘密同态加密算法设计上。早期的同态算法被证明安全性存在缺陷，因此相关研究一 度陷入停顿。近期IBM研究员Gentry等人利用“理想格(ideal lattice)”的数学对象构造隐私同态(privacy  homomorphism)算法，使人们可以充分地操作加密状态的数据。虽然相关研究在理论上取得了一定突破， 并重新得到研究者的关注，但与实用化阶段仍有较大距离。

对第三方云服务器的不信任还引发了对所存储数据的访问控制问题。由于无法信赖云存储服务商执行 用户定义的访问控制策略，通过非传统访问控制类手段特别是密码学技术实施数据对象的访问控制成为解 决该问题的主流研究方向。目前的主要研究成果包括基于层次密钥生成与分配策略实施访问控制的方法、 基于属性的加密算法、基于代理重加密的方法、以及在用户密钥或密文中嵌入访问控制树的方法等。该类 方法的一个主要问题是无法解决权限撤销，因此需要对授权附加时间约束或引入第三方可信机构实现授权 管理，目前仍存在较多问题有待解决。

综上所述，云存储服务中明文数据的远程异地存储方式要求数据加密方法同时兼顾机密性和可操作 性，对第三方存储服务商的不信任也使得密文数据更新和数据访问控制面临较大困难，因此需要提出能够 解决上述问题的高效方法。

为了解决上述问题，本发明设计了“一种面向云存储的高效数据加密、更新和访问控制方法”，能够 以相对较小的代价实现对数据的高效加密、密文更新和访问控制等目标，具体包括三项技术：明文数据的 分块加密置换技术、密文数据的直接更新技术和对云端数据的访问控制技术。

为实现本发明的目标之一，采用的技术方案概述如下：

一种面向云存储的数据分块加密置换技术，该加密算法的主要目标是对固定长度的明文数据块进行快 速加密处理，使得除第一数据块之外的任何数据块加密结果同时依赖于随机密钥和前一个数据块，再通过 随机置换操作混淆各加密数据块的顺序关系。其步骤包括：

1)明文数据M被分割为N个长度为L字节的明文块M1、M2、......、MN，若MN不足L字节则填 充至L字节。

2)生成长度为L字节的二进制伪随机比特串K_e作为初始明文加密密钥，随后计算各明文块对应的密
文块：i＝2，3，......，N。其中为二进制逐位异或操作，
H(m)为安全杂凑函数，E(k，m)为输出长度为L字节的加密算法。

3)构造随机置换PC，在该随机置换作用下原密文块序列C1、C2、C3、......、CN 转变为新密文块序 列C′1、C′2、C′3、......、C′N。

4)构造该数据文件的访问控制列表ACL，经数据所有者私钥签字后连同新密文块序列被依次发送到 云服务器进行存储，服务器存储成功后向数据所有者反馈一个唯一的数据文件标识ID。

本发明内容之一的关键点是将明文数据进行分割处理，对各明文块单独进行加密而不是对明文数据整 体加密，这种分治策略消除了传统加密方法中各明文块间的相关性和依赖性，使得在不改动其它密文块的 情况下修改某个密文块成为可能。随机置换操作的引入则进一步保护了加密数据在不可信云存储服务器上 的安全性。

为实现本发明的目标之二，采用的技术方案概述如下：

一种面向云存储的密文数据更新技术，该方法允许在明文发生变化时直接对相应密文进行修改，而不 是重新加密整个明文数据并上传。根据对明文操作的不同情况，密文更新方式可分为三种情况：明文块插 入、明文块修改和明文块删除。其步骤包括：

A.在第i个位置插入新的明文块M′1：

1)若i＝1，则新的新的其余新的C₁为原来的C_j‑1，j＝3，4，......，
N+1，向服务器发送新的C₁、C₂，同时更新随机置换P_C＝[L₁、L₂、L₃、......、L_N]为[L_N+1、L₁、L₂、
L₃、......、L_N]；

2)若i＝N+1，则新的其余新的C_j为原来的C_j，j＝1，2，......，N，向服
务器发送新的C_N+1，同时更新随机置换P_C＝[L₁、L₂、L₃、......、L_N]为[L₁、L₂、L₃、......、L_N、
L_N+1]；

3)除上述两种情况外，新的新的其余新的C_j
或为原来的C_j(j＜i)或为原来的C_j‑1(j＞i+1)，向服务器发送新的C_i、C_i+1，同时更新随机置换P_C＝[L₁、
L₂、......、L_i‑1、L₁、L_i+1......L_N]为[L₁、L₂、......、L_i‑1、L_N+1、L₁、L_i+1......L_N]。

B.修改第i个位置的明文块M1为M′1

1)若i＝1，则新的新的其余新的C_j为原来的C_j，j＝3，4，......，
N，向服务器发送新的C₁、C₂；

2)若i＝N，则新的其余新的C_j为原来的C_j，j＝1，2，......，N‑1，向服务
器发送新的C_N；

3)除上述两种情况外，新的新的其余新的C_j
或为原来的C_j，j＝1，2，......，N，同时j≠i且j≠i+1；向服务器发送新的C_i、C_i+1。修改明文
块时随机置换P_C保持不变。

C.删除第i个位置的明文块Mi：

1)若i＝1，则新的新的其余新的C_j为原来的C_j+1，j＝3，4，......，
N‑1，命令服务器删除原来的C₁，并将原来的C₂、C₃替换为新发送的C₁、C₂，同时更新随机置换
P_C＝[L₁、L₂、L₃、......、L_N]为[L₂、L₃、......、L_N]；

2)若i＝N，命令服务器删除原来的CN，其余新的Cj为原来的Cj，j＝1，2，......，N‑1，同时更新随 机置换PC＝[L1、L2、.......、LN‑1、LN]为[L2、L3、......、LN‑1]；

3)除上述两种情况外，新的其余新的C_j或为原来的C_j(j＜i)或为原来的
C_j+1(j＞i)，命令服务器删除原来的C_i，并将原来的C_i+1替换为新发送的C_i，同时更新随机置换
P_C＝[L₁、L₂、......、L_i‑1、L_i、L_i+1......L_N]为[L₁、L₂、......、L_i‑1、L_i+1......L_N]。

本发明内容之二的关键点是将各明文块所对应的密文块视作相对独立的个体，这样当明文块局部发生 变化时对应的密文变化结果受到限制，影响范围不会超过两个连续的密文块，从而方便直接对所存储的密 文数据进行更新。由于随机置换操作的存在，服务器也无从得知发生变化的具体明文位置。

为实现本发明的目标之三，采用的技术方案概述如下：

一种面向云存储的数据访问控制技术，若其他用户申请使用该加密数据，则首先由服务器检查该用户 是否具备相应访问权限，然后将加密数据再次处理后发给申请者，并且通知数据所有者向中请者提供解密 数据所需要的材料，最终由根据密钥材料解密得到明文数据。其步骤包括：

1)用户向服务器申请访问加密数据文件，服务器比对用户身份和数据文件访问列表：若无相应权限 则拒绝用户申请并结束此过程；否则继续以下步骤。

2)服务器生成长度为L字节的二进制伪随机比特串K_s，对于所存储的各密文块C′_i计算
i＝1，2，......，N。

3)服务器构造伪随机置换PS，在该置换作用下序列C″1、C″2、C″3......、C″N转变为序列C″′1、C″′2、 C″′3、......、C″′N，该新密文块序列随后被依次发送到用户端进行存储。

4)服务器向数据所有者发送申请数据的用户ID、所申请的数据文件ID、随机生成的密钥Ks、以及 伪随机置换PS，上述数据经服务器私钥签名并用数据所有者公钥加密后发送给数据所有者。

5)数据所有者再次检查数据申请者权限是否匹配，若匹配则计算密文块序列C″′1、C″′2、C″′3、......、 C″′N相对于密文块序列C1、C2、C3、......、CN的最终置换PF＝P‑1C⊙P‑1S，其中⊙表示两个置换 的级联操作。

6)数据所有者将密钥最终置换P_F签名并用数据申请者公钥加密后发送给数据申请者。

明文数据的加密过程如图1所示。明文数据文件首先被分割为N个固定长度的明文块，计算除最后一 个明文块外的其它明文块的杂凑值，每个杂凑值均作为用以加密下一个明文块的加密密钥，从而得到第一 个明文块和其余N‑1个密文块。随后通过选定的伪随机比特串对上一步得到的结果进行逐位二进制比特异 或，并通过随机置换操作得到N个密文块，但与明文块间的对应次序已经被打乱。这些密文块被发送到云 服务器存储，但数据所有者需要保密所采用的伪随机比特串和置换操作。

在第一个位置插入明文块所对应的密文更新过程如图2所示。此时明文数据由N个明文块变为N+1个 明文块，新明文块变为第一个明文块，原第i个明文块变为第i+1个明文块。首先使用选定的伪随机比特 串对新明文块进行逐位二进制比特异或操作得到新的第一个密文块，使用新明文块的杂凑值和伪随机比特 串对原第一个明文块加密得到新的第二个密文块。然后更新置换操作，并通过置换更新存储第一个密文块 并更新第二个密文块。

在最后一个位置插入明文块所对应的密文更新过程如图3所示。此时明文数据由N个明文块变为N+1 个明文块，新明文块变为最后一个明文块，其它明文块序位不变。首先计算原最后一个明文块的杂凑值， 使用该杂凑值和伪随机比特串对最后一个明文块加密得到新的最后一个密文块。然后更新置换操作，并通 过置换更新存储最后一个密文块。

在中间位置插入明文块所对序的密文更新过程如图4所示。此时明文数据由N个明文块变为N+1个明 文块，新明文块变为第i个明文块，第i至N个明文块依次变为第i+1至N+1个明文块，其它明文块序位 不变。首先计算原第i个明文块的杂凑值，使用第i+1和第i个杂凑值和伪随机比特串分别对第i和第i+1 个明文块加密得到两个新的密文块。然后更新置换操作，并通过置换更新存储第i个密文块并更新第i+1 个密文块。

修改第一个位置明文块所对应的密文更新过程如图5所示。首先使用选定的伪随机比特串重新对第一 个明文块进行逐位二进制比特异或操作得到第一个密文块，使用第一个明文块的杂凑值和伪随机比特串对 第二个明文块重新加密得到第二个密文块。然后更新置换操作，并通过置换更新替换存储第一个和第二个 密文块。

修改其它位置明文块所对应的密文更新过程如图6所示。首先计算原第i个明文块的杂凑值，使用第 i‑1和第i个杂凑值和伪随机比特串分别对第i和第i+1个明文块加密得到两个新的密文块。然后更新置 换操作，并通过置换更新替换存储第i个和第i+1个密文块。

删除第一个位置明文块所对应的密文更新过程如图7所示。此时明文数据由N个明文块变为N‑1个明 文块，原第二个明文块变为第一个明文块，原第i个明文块变为第i‑1个明文块。首先使用选定的伪随机 比特串对第一个明文块进行逐位二进制比特异或操作得到第一个密文块，使用第一个明文块的杂凑值和伪 随机比特串对原第三个明文块加密得到第二个密文块。然后更新置换操作，并通过置换更新删除原第一个 密文块并更新新的第一个密文块。

删除中间位置明文块所对应的密文更新过程如图8所示。此时明文数据由N个明文块变为N‑1个明文 块，原第i+1至第N个明文块变为第i至第N‑1个明文块，i为删除位置，其它明文块序位不变。首先使 用第i‑1个明文块的杂凑值和伪随机比特串对原第i+1个明文块加密得到第i个密文块。然后更新置换操 作，并通过置换更新删除原第i个密文块并更新新的第i个密文块。

密文数据的解密过程如图9所示。作为前提条件，数据申请者应该通过服务器获得数据密文，并通过
数据所有者获得密钥材料(包括两个伪随机比特串的异或和组合置换P^‑1_C οP^‑1_S)。首先使用组合置

7)数据申请者根据最终置换P_F先出第一加密块C″′_1′，利用密钥计算出对应明文： $M_1={C^{\′\′\′}}_{1^{\′}}$
$\⊕K_e\⊕K_s={C^{\′\′}}_{1^{\′}}\⊕K_s\⊕K_e\⊕K_s=K_e\⊕M_1\⊕K_s\⊕K_e\⊕K_s=M_1,$ 同时计算H(M₁)。

8)数据申请者根据最终置换P_F先出第i个加密块C″′_i′(i＝2，3，......，N)，利用H(M_i‑1)和密钥
计算出对应明文： $M_i=D(H\left(M_{i-1}\right),{C^{\′\′\′}}_{i^{\′}}\⊕K_e\⊕K_s)=D(H\left(M_{i-1}\right),{C^{\′\′}}_{1^{\′}}\⊕K_s\⊕K_e\⊕K_s)=D(H\left(M_{i-1}\right),$
$K_e\⊕E(H\left(M_{i-1}\right),M_i)\⊕K_s\⊕K_e\⊕K_s)=D(H\left(M_{i-1}\right),E(H\left(M_{i-1}\right),M_i))=M_i,M=M_1\left|\right|M_2\left|\right|......\left|\right|M_N,$ 其中
D(k，c)为输出长度为L字节的解密算法，||为数据块的级联操作。

本发明内容之三的关键点是采用了双重异或运算和置换操作，使得数据的解密不仅依赖服务器，更多 的还依赖于数据所有者，后者从而掌握了更多的主动性，可以实现除访问控制列表外的灵活授权。这一方 法还确保了每次对相同数据的访问申请总会得到不同的加密反馈结果，其对应的解密密钥和组合置换也是 唯一的。

与现有结果相比，本发明具有以下特点：

1)分块加密置换技术将数据分成固定长度的比特串，然后再依次单独进行加密并置换次序，从而消 除了不同数据块间的空间关联性，增强了数据的机密性，也有利于对数据进行局部修改。

2)密文更新技术可以直接修改变动的明文所对应的密文块，避免了重新加密整个数据文件并上传至 云服务器端，提高了带宽利用和存储效率。

3)对云服务器端数据的访问控制技术通过双重加密运算和二次置换操作强化了数据所有者对于云端 数据的控制能力，任何对明文数据的访问最终都需要获得数据所有者的许可，同时也较大程度的 缓解了云服务器滥用用户数据的风险。

4)对数据的访问控制由云服务器和数据所有者同时参与，前者根据后者制定的访问控制列表决定用 户对密文的访问权限，后者则最终决定已经获取密文的用户是否最终获得对应的明文数据结果。 由于密钥材料数据传输量相对较小，这种分级控制模式有利于捉高系统的传输效率，权限控制方 式也更加灵活方便。

图1明文数据加密算法流程

图2在第一个位置插入明文块的密文更新

图3在最后一个位置插入明文块的密文更新

图4在中间位置插入明文块的密文更新

图5修改第一个位置明文块的密文更新

图6修改其它位置明文块的密文更新

图7删除第一个位置明文块的密文更新

图8删除中间位置明文块的密文更新

图9密文数据解密算法流程

以下结合附图对本发明做进一步详细的说明，但不以任何方式限制本发明的范围。
换对从服务器获得的密文进行操作得到与N个明文块对应次序一致的N个密文块，然后使用对N
个密文块进行逐位二进制比特异或操作得到第一个明文块和N‑1后续密文块，最后使用前一个明文块的杂
凑值对后一个密文块依次进行解密就可以得到完整的明文数据。