本發明涉及一種角色對稱加密所有權證明的方法及系統，依次通過角色密鑰管理步驟、文件密鑰生成步驟、數據加密步驟、數據上傳步驟、數據存儲步驟、所有權證明挑戰步驟和所有權證明驗證步驟，既實現了對文件的角色訪問控制又能滿足文件的授權去重要求，并且能夠利用靈活的角色訪問控制機制和合適的對稱加密算法降低系統開銷，達到了安全高效的設計目標，適用于大規模推廣使用，能應用到實際生產生活過程中。

技術領域

本發明涉及一種角色對稱加密所有權證明的方法及系統。

背景技術

全球數據量的爆炸式增長促進了云計算技術的急速發展，越來越多的個人和企業選擇使用云平臺存儲和管理數據以實現資源共享。最新的研究數據表明，截止2015年底，全球數據量已達到8.61ZB，預計2020年，全球數據量將突破44ZB。因此，如何提高存儲效率、減少通信開銷對云服務提供商將是一個嚴峻的挑戰。

數據壓縮技術雖然節省了存儲空間和帶寬消耗，但是針對同一份文件，不同個體選擇不同的壓縮技術將產生不同的文件副本，實際上增加了云存儲的壓力。為了解決上述問題，提出了數據去重技術，云服務器采用隨機采樣或者提取哈希值的方式檢測用戶上傳的數據是否已存在，如果存在，則無需再次上傳，有效的節省帶寬消耗，同時降低了存儲開銷。然而，云數據去重技術也存在嚴重的隱私問題和新的安全挑戰，例如隱私泄露、側信道攻擊以及未授權訪問等。

為了解決云數據去重中的隱私泄露，最直接的方式是對數據進行加密。同時，為了實現對密文數據的去重，提出了收斂加密和消息鎖加密算法，這類加密方法使用文件的哈希值作為加密密鑰，保證了相同的明文得到相同的密鑰和密文。然而，哈希值本身易遭受內容猜測攻擊等側信道攻擊而泄露隱私信息，存在很大的安全隱患。

為了解決云數據去重中的側信道攻擊，如敵手僅通過上傳文件的哈希值即可獲得隱私信息，提出了所有權證明的概念，通過典型的挑戰-回答交互機制驗證用戶確實擁有特定的文件，從而抵抗側信道攻擊。

為了解決云數據去重中的授權訪問，引入可信的私有云構建混合云架構，對用戶實施訪問控制策略實現對云數據的授權去重，但是沒有考慮云數據的隱私泄露和側信道攻擊等問題。

綜上所述，針對云數據去重中存在的隱私泄露、側信道攻擊以及未授權訪問問題，已有解決方案均從某一方面考慮，簡單解決某一問題，嚴重忽視了其他挑戰，不能綜合解決云數據去重中的文件訪問控制和授權去重問題。因此，需要發明一種能夠同時解決上述三類安全問題的方法和相應的系統。

發明內容

有鑒于此，本發明的目的在于提供一種角色對稱加密所有權證明的方法及系統，既能實現對文件的角色訪問控制，又能滿足對文件的授權去重要求。

為實現上述目的，本發明采用如下技術方案：

一種角色對稱加密所有權證明的方法，其特征在于：包括文件上傳階段和文件所有權證明階段；

所述文件上傳階段包括以下步驟：

S100、角色認證中心根據角色建立組織層次架構，并給根節點分配主密鑰，執行角色密鑰生成算法得到各層角色密鑰；

S200、將步驟S100所得的角色密鑰通過安全信道發送給各層角色中的文件所有者；

S300、所述文件所有者獲取步驟S200的角色密鑰，根據角色訪問控制策略執行文件密鑰生成算法得到文件密鑰；

S400、使用步驟S300所得到的文件密鑰對文件進行加密處理得到密文；對所述密文進行哈希運算得到第一文件索引值；對所述文件所有者的賬號進行哈希運算得到帳號哈希值；

S500、將步驟S400所得的密文、第一文件索引值、賬號哈希值上傳至云存儲服務器；