个分片级密钥并发送到分布式密钥服务器 储存;
[0026] 所述存储服务提供商包括跨用户文件指纹索引表模块、用户内部块级指纹索引表 模块、元数据存储模块、文件谱存储模块和数据块存储模块,其中所述跨用户文件指纹索引 模块用于生成并维护跨用户文件指纹索引表,接收客户端传输的文件指纹并在跨用户文件 指纹索引表中查询,若文件指纹存在,则返回文件指纹存在的查询结果;否则,将文件指纹 插入到文件指纹索引表,并返回文件指纹不存在的查询结果;所述用户内部块级指纹索引 表模块用于生成并维护用户内部块级指纹索引表,接受客户端的块级指纹并在用户内部 块级指纹索引表中查询,若块级指纹存在,则返回块级指纹存在的查询结果;否则,将块级 指纹插入到块级指纹索引表,并返回块级指纹不存在的查询结果;所述元数据存储模块用 于存储并管理文件元数据信息;所述文件谱存储模块用于存储并管理文件谱信息;所述数 据块存储模块用于存储数据块密文;
[0027]所述分布式密钥服务器包括密钥服务器协助文件级密钥模块和分片级密钥存储 模块,其中,所述密钥服务器协助文件级密钥模块用于接收客户端传输的信息,对该信息模 进行指数运算并返回客户端,生成文件级密钥;分片级密钥存储模块用于接收客户端发送 的分片级密钥,存储并管理分片级密钥。
[002引总体而言,通过本发明所构思的W上技术方案与现有技术相比,能够取得下列有 近:效果:
[0029] 1、本发明基于用户感知的安全数据去重方法,通过在文件级采用密钥服务器协助 的基于哈希的收敛加密和块级的采用用户协助的收敛加密方案添加随机信息,使得用户的 文件级和块级密钥随机化,能够有效地抵抗敌手的暴力破解攻击,保证用户数据的机密性 和安全性。
[0030] 2、本发明基于用户感知的高效安全数据去重方法,在跨用户的文件级采用安全的 密钥和指纹生成方式,而在用户内部的块级去重中采用更加高效的块级密钥和指纹生成方 式,能有效地减少在细粒度的安全数据去重方案中的计算开销,减少备份时间。
[0031] 3、本发明基于用户感知的高效安全数据去重方法,构建了细粒度的多级密钥管理 方案,该密钥管理方案采用文件级密钥来加密块级密钥,能够有效地保证块级密钥的安全 性。同时采用秘密共享将文件级密钥切分成分片级密钥,并分发到多个密钥服务器存储,能 够有效地保证文件级密钥的安全性,防止单点故障问题,保证文件级密钥的可靠性。
[0032] 4、本发明基于用户感知的高效安全数据去重方法,提供了存储空间开销低的多级 密钥管理方案,该方案通过文件级密钥来管理块级密钥,能够有效地防止密钥存储空间随 共享用户数和数据块数目的线性增长。
[0033] 5、本发明提供了一种包括客户端、存储服务提供商W及分布式密钥服务器构成的 基于用户感知的高效安全数据去重系统,用户通过客户端向存储服务提供商提交数据备 份/恢复请求;客户端通过分布式密钥服务器协助处理文件级密钥,生成文件指纹;用户通 过客户端向存储服务提供商发送文件指纹进行文件级重复数据检测;若文件不重复,在客 户端将文件切分成数据块并计算数据块密钥和指纹,将数据块指纹发送到存储服务提供商 进行块级重复数据检测;用户通过客户端向存储服务提供商传输元数据、文件谱和非重复 数据块密文;用户通过客户端将文件级密钥切分成分片级密钥传输到分布式密钥服务器储 存。本系统通过在文件级采用密钥服务器协助的基于哈希的收敛加密和在块级采用用户协 助的收敛加密添加随机信息,使用户文件级和块级密钥随机化,能有效地抵抗敌手的暴力 破解攻击,保证用户数据机密性和安全性。采用多级密钥管理方案保证密钥安全性,减少密 钥空间开销。
【附图说明】
[0034]图1是本发明基于用户感知的高效安全数据去重系统架构图;
[00巧]图2是本发明基于用户感知的高效安全数据去重方法的系统备份流程图;
[0036] 图3是本发明的基于用户感知的高效安全数据去重方法的原理图;其中:
[0037] 图3(a)是跨用户文件级的密钥服务器协助的基于哈希的收敛加密算法原理图; [003引图3(b)是用户内部块级的用户协助的收敛加密算法原理图;
[0039]图4是本发明基于用户感知的安全数据去重系统的多级密钥管理方案原理图;
[0040] 图5是本发明基于用户感知的高效安全数据去重的系统恢复流程图。
【具体实施方式】
[0041] 为了使本发明的目的、技术方案及优点更加清楚明白,W下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用W解释本发明, 并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所设及到的技术特征只 要彼此之间未构成冲突就可W相互组合。
[0042] 如图1所示,为本发明基于用户感知的高效安全数据去重系统的架构图。本发明 的系统包含3个组成部分;用户(客户端)、存储服务提供商和分布式密钥服务器,它们之 间通过企业级网络连接,采用安全的网络传输协议保障数据的机密性和完整性。用户(客 户端)向存储服务提供商发起数据备份/恢复请求,存储服务提供商提供文件级和块级重 复数据检测,元数据、数据块和块级密钥存储,分布式密钥服务器协助用户处理文件级密钥 并存储分片级密钥。用户连接存储服务提供商和分布式密钥服务器需要进行身份验证,其 存储的数据和用户操作需要遵守访问控制策略。
[0043] 具体而言,本系统包括客户端、存储服务提供商和分布式密钥服务器,其中,客户 端和存储服务提供商、分布式密钥服务器之间的交互采用安全网络传输协议;用户访问存 储服务提供商和分布式密钥服务器需要进行身份验证;所有存储在存储服务提供商和分 布式密钥服务器的数据和密钥实行访问控制策略保证数据隐私性。其中,安全的网络传输 协议采用安全套接层协议(SecureSocketLayer,SSL)或者传输层安全协议(Transport LayerSecurity,TLS)。身份认证技术采用基于密码和证书的身份认证,其访问控制策略采 用基于角色的访问控制(Role-BasedAccessControl,RBAC)。
[0044] 客户端与存储服务提供商之间,客户端与分布式密钥服务器之间的交互协议如 下;(1)用户通过客户端向存储服务提供商提交数据备份/恢复请求;(2)客户端通过分布 式密钥服务器协助处理文件级密钥,生成文件指纹;(3)用户通过客户端向存储服务提供 商发送文件指纹进行文件级重复数据检测;(4)若文件不重复,在客户端将文件切分成数 据块并计算数据块密钥和指纹,将数据块指纹发送到存储服务提供商进行块级重复数据检 测;(5)用户通过客户端向存储服务提供商传输元数据、文件谱和非重复数据块密文;(6) 用户通过客户端将文件级密钥切分成分片级米哟啊并传输到分布式密钥服务器储存。
[0045] 其中客户端包括跨用户文件级去重模块,用户内部块级去重模块W及多密钥管理 模块,其中,
[0046] 跨用户文件级去重模块包括文件级密钥模块和文件指纹模块,当用户输入备份文 件时,用户首先使用文件级密钥模块计算文件级密钥根据文件级密钥通过文件指纹模块对 文件级密钥计算哈希值得到文件指纹
[0047]用户内部块级去重模块包括分块模块,块级密钥模块,块级指纹模块,数据传输模 块。当文件不重复时,用户使用分块模块将文件切分成多个数据块,对每个数据块使用块级 密钥模块产生块级密钥,根据块级密钥加密数据块得到密文,利用块级指纹模块对数据块 密文计算哈希值得到块级指纹;在进行块级重复数据检测之后,使用数据传输模块将非重 复数据块密文发送到存储服务提供商储存。
[0048] 多级密钥管理模块包括密钥加密模块和秘密共享模块。用户在客户端根据文件级 密钥利用密钥加密模块加密块级密钥,并将块级密钥的密文写入文件谱中。对于非重复的 文件,用户在客户端使用秘密共享模块将文件级密钥切分成多个分片级密钥并发送到分布 式密钥服务器储存。
[0049] 存储服务提供商包括跨用户文件指纹索引表模块、用户内部块级指纹索引表模 块、元数据存储模块、文件谱(密钥)存储模块和数据块存储模块,其中跨用户文件指纹索 引模块生成并维护跨用户文件指纹索引表,接收客户端传输的文件指纹并在跨用户文件指 纹索引表中查询,若文件指纹存在,则返回文件指纹存在的查询结果;否则,将文件指纹插 入到文件指纹索引表,并返回文件指纹不存在的查询结果。与上相似,用户内部块级指纹索 引表模块生成并维护用户内部块级指纹索引表,接受客户端的块级指纹并在用户内部块级 指纹索引表中查询,若块级指纹存在,则返回块级指纹存在的查询结果;否则,将块级指纹 插入到块级指纹索引表,并返回块级指纹不存在的查询结果。元数据存储模块存储并管理 文件元数据信息;文件谱(密钥)存储模块存储并管理文件谱信息;数据块存