CN109508552B - 分布式云存储***的隐私保护方法 - Google Patents

Abstract

本发明公开一种分布式云存储***的隐私保护方法，包括用户、矿工、存储提供方，实现***初始化、文件上传、文件分享、文件下载、文件删除等操作。本发明将分布式云存储***与区块链技术结合，并将文件所有权处理过程作为交易处理，实现分布式云存储***中文件所有权处理过程的隐私保护，包括发送方、接收方、交易内容的隐藏。另外，本发明在保证用户隐私的同时，能够有效地抵制重放攻击、数据伪造攻击。

Description

分布式云存储***的隐私保护方法

技术领域

本发明涉及一种分布式存储技术，具体涉及一种分布式云存储***的隐私保护方法。

背景技术

随着云存储技术的发展，用户可以很方便的将数据外包到云中，并在云中对数据进行分享、下载、修改等操作。然而传统的云存储模型几乎唯一的依赖于中心化的云服务器来提供服务，这种基于客户端-服务端信任的模式具有一些固有弱点，很容易受到攻击，比如中间人攻击、恶意软件攻击、中心化的服务器也可能因技术故障导致数据不可用以及用户隐私的泄露。分布式云存储可以较好的解决这些问题。常见的分布式云存储***有HDFS、Ceph、Pangu等。分布式云存储***去除了中心化的服务器，保证了数据的可靠性，同时，还具有存储容量大、高吞吐量、服务高可用、高效运维、低成本等优点。

另外，区块链技术的快速发展，使得越来越多的应用将区块链使用到分布式云存储中。区块链的引入，为***提供了奖励机制，使得更多的用户参与到***中。进一步的，可以使用区块链的防篡改功能，为云存储***提供便利，增加安全性，这一改进使得基于区块链的分布式云存储***越来越流行，常见的基于区块链的分布式云存储***有Storj，IPFS等。

基于区块链的分布式云存储***没有中心化的服务器。因此，具有中心化的云存储模型所不具备的一些优点：首先，没有了中心化的服务器，因服务器故障以及服务器安全漏洞造成的数据不可用问题大大降低；其次，采用用户侧加密保证了数据安全性，采用可恢复性证明保证了数据的完整性；另外，开放的存储市场可以降低存储成本，并且在抵制审查制度、外部干预、非授权访问等方面具有一定的优势。

以Storj为例，分布式云存储的存储过程：Storj鼓励用户将自己空闲的硬盘空间出租给网络，组成分布式的的存储空间，这样的用户被称为农户，相当于比特币网络中的矿工。当用户要上传文件时，首先，由用户在客户端对文件进行分块、加密，然后分散地存储到网络，并使用分布式哈希表(DHT)来存储文件碎片的位置信息。文件碎片存取能更好的保护数据安全性，因为没有一个农户拥有完整的副本。其次，为保证文件可用性，Storj提供了可恢复性证明以及冗余策略。另外，Storj采用区块链来记录信息，而不是采用中心化的数据库。区块链上并不存储文件内容，而是存储文件的元数据，包括文件的哈希、merkle根以及其他必要信息。最后，Storj提供了一种奖励机制，为区块链矿工和提供存储空间的农户提供代币奖励。然而，Storj采用中本聪式的区块链，账本是开放的，每个人都可以看到里面的每一笔交易以及交易的踪迹，因此存在隐私泄露问题。

关于区块链数据隐私保护问题，已有一些工作。DASH使用混币技术来提供支付的保密性，通过将不同的交易混合然后分发给接收者，以此实现交易的匿名。ZCASH使用零知识证明技术，保证了只有那些拥有查看密钥的人才能看到交易的内容。用户拥有完全的控制权，他们可自行选择向其他人提供查看密钥。Monero对交易进行完全的隐藏，可以对交易发送方、接收方、交易内容进行隐匿。对于分布式云存储的隐私保护方案，目前已有一些工作，主要是对分布式云存储的奖励机制进行隐藏，实现分布式云存储过程中代币交易过程的隐私保护，分别对交易发送方、接收方、交易内容进行隐藏。对于交易发送方，采用环签名进行隐藏；对于交易接收方，采用隐匿地址技术；对于交易内容，采用混币方法。但是，该方案只对分布式云存储的代币交易过程进行隐私保护，对于文件存储过程，隐私泄露问题依旧存在。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种分布式云存储***的隐私保护方法，本发明实现分布式云存储过程中的隐私保护，不仅实现交易过程的隐私保护，而且实现存储过程中用户相关、文件相关的隐私保护。

技术方案：本发明的一种分布式云存储***的隐私保护方法，所述分布式云存储***包括用户、矿工和存储提供方；用户包括数据所有者μ_i和数据使用者μ_j，数据所有者μ_i使用***服务将数据外包给存储提供方，进行下载和删除操作，同时数据所有者μ_i将文件分享给数据使用者μ_j；矿工和存储提供方为用户提供分布式云存储服务，其中，矿工负责打包区块和维护区块，存储提供方将自己空闲的硬盘空间出租给网络组成分布式的存储空间；另外，矿工和存储提供方通过提供服务获得代币奖励；

隐私保护方法具体包括以下步骤：

(1)***初始化：输入公共参数(l,G)，l为基点的素数阶，G为椭圆曲线的基点；用户选取随机数a∈[1,l-1]，b∈[1,l-1]组成私钥对(a,b)，a≠b；同时，用户计算A＝aG，B＝bG，作为公钥对(A,B)；另外，用户计算ripemd160(sha256(A,B))作为其标准地址，同时也作为其ID；

l＝2²⁵²+27742317777372353535851937790883648493；

(2)文件上传，即数据所有者μ_i要将文件F_i上传到分布式存储***；

(3)文件删除，即数据所有者μ_i要删除其对于文件F_i的所有权；

(4)文件分享，即文件F_i的所有者μ_i授予数据使用者μ_j文件F_i的所有权；

(5)文件下载。

进一步的，所述步骤(2)的详细过程如下：

(2.1)数据所有者μ_i选取哈希函数

例如SHA-256，并计算文件F_i的哈希值hash_i＝H(F_i)，然后数据所有者μ_i向***广播上传请求：

其中，hash_i为文件F_i的哈希值，

为数据所有者μ_i的标准地址；

(2.2)当***接收到数据所有者μ_i的上传请求，***中的矿工开始执行工作量证明算法POW来争取记账权(即交易打包权)；执行完POW算法后，假定矿工Node_j获取到记账权；然后矿工Node_j通知数据所有者μ_i开始上传文件：

Node_j→μ_i:upload,hash_i

(2.3)当数据所有者μ_i接收到上传指令，μ_i在客户端侧使用同态加密算法AES256-CTR加密文件F_i：F_i′＝Enc(F_i)，其中加密密钥为文件哈希hash_i；然后，μ_i在客户端侧对加密后的文件F_i′进行分块得到文件碎片{shard₁,shard₂,...,shard_n}，其中每个碎片大小为8M，不足8M的空间用0填充；接着数据所有者μ_i求取各碎片哈希{hash_sh1,hash_sh2,...,hash_shn}并建立Merkle Tree，用于文件审计；最后，μ_i将文件碎片分散地存储在***中，并在分布式哈希表(DHT)中生成文件索引；同时，矿工Node_j将文件元数据(Merkle根、文件哈希值等)打包进区块，其中metadata＝{hash_i,MerkleRoot_i}；矿工Node_j通知数据所有者μ_i开始打包交易：

Node_j→μ_i:transaction,hash_i

(2.4)当数据所有者μ_i接收到交易打包指令，μ_i开始生成文件上传交易Tx_k，上传交易中交易发送方和接收方都是数据所有者μ_i。

进一步的，所述步骤(2.4)中文件上传交易生成的具体过程如下：

(2.4.1)μ_i选取随机数r_k∈[1,l-1]；然后μ_i计算隐匿地址

交易公钥R_k＝r_kG，其中

为数据所有者μ_i的公钥对，

为密码散列函数；

(2.4.2)μ_i选取随机数x_k∈[1,l-1]作为私钥，并计算对应的公钥PK_k＝x_kG，密钥镜像

其中，

为确定性哈希函数；

(2.4.3)μ_i使用对称加密算法计算

作为交易内容Proof_k，用于授予交易接收方文件所有权，并可用于文件所有权验证，其中

R为随机数，

为μ_i的标准地址，同时作为对称加密密钥；

(2.4.4)μ_i将R_k，P_k，I_k以及Proof_k打包进交易Tx_k，然后μ_i计算环签名σ_k，对交易Tx_k进行签名并发送到网络；网络中任何一方都可以验证交易签名，并且不会泄露交易发送方；

(2.4.5)矿工节点Node_j验证交易并将交易打包进区块；

其中，数据所有者μ_i作为交易接收方向矿工节点Node_j发送交易Tx_k信息P_k，I_k，Proof_k来验证μ_i对于文件F_i的所有权，并用于消费(分享、删除、下载操作)。

进一步的，所述步骤(3)中数据所有者删除文件所有权的详细过程如下：

(3.1)首先，数据所有者μ_i向***广播删除请求：

其中，hash_i为文件F_i哈希；P_k是能够证明μ_i对文件F_i的所有权的交易的隐匿地址，

为数据所有者μ_i标准地址；

(3.2)当***接收到μ_i的删除请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(3.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(3.4)当数据所有者μ_i通过所有权验证以后，矿工节点Node_j从地址为P_k的交易获取其密钥镜像I_k，并将I_k添加到交易失效名单Blacklist，并向全网广播；网络中的矿工节点接收到广播以后更新交易失效名单Blacklist；

上述所有权验证方法为：

进一步的，所述步骤(4)中数据所有者μ_i要分享文件F_i给数据使用者μ_j的详细过程如下：

(4.1)首先，μ_i向***广播分享请求：

其中，hash_i为文件F_i哈希；P_k是能够证明μ_i对文件F_i的所有权的交易的隐匿地址；

分别为数据所有者μ_i和数据使用者μ_j的标准地址；

(4.2)当***接收到μ_i的分享请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(4.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(4.4)μ_i通过所有权验证以后，Node_j向μ_i发送分享指令：

(4.5)当μ_i接收到指令，开始生成文件分享交易Tx_τ，其中，μ_i作为交易发送方，μ_j作为交易接收方；

(4.6)μ_j作为交易接收方，检查每一个新生成的区块中的交易，提取交易中的隐匿地址P和交易公钥R′，使用自己的私钥对

计算

判断

其中，

为密码散列函数；由于

如果μ_j为该交易的接收方，则等式成立；反之，不成立；

(4.7)当μ_j找到交易Tx_τ之后，μ_j计算

μ_j使用x_τ恢复交易Tx_τ，并在消费交易(分享、下载、删除)Tx_τ时使用x_τ作为交易私钥。

进一步的，所述步骤(4.5)中文件分享交易生成的方法为：

(4.5.1)交易发送方μ_i选取随机数r_τ∈[1,l-1]，并获取交易接收方μ_j的公钥对

然后μ_i计算隐匿地址

交易公钥R_τ＝r_τG，其中，

为密码散列函数；

(4.5.2)交易发送方μ_i使用对称加密算法计算

作为交易内容Proof_τ，用于授予交易接收方文件所有权，并可用于文件所有权验证，其中

R为随机数，加密密钥为μ_j的标准地址

(4.5.3)交易发送方μ_i选取随机数x_τ∈[1,l-1]，同时也作为签名私钥，并计算对应的公钥PK_τ＝x_τG，密钥镜像

其中，

为确定性哈希函数；

(4.5.4)交易发送方μ_i将R_τ，P_τ，I_τ以及Proof_τ打包进交易Tx_τ，进一步的，μ_i计算环签名σ_τ，对交易Tx_τ进行签名并发送到网络，网络中任何一方都可以验证交易签名，并且不会泄露交易发送方；

(4.5.5)矿工节点Node_j验证交易并将交易打包进区块。

本发明中，Tx_k为文件上传交易，Tx_τ为文件分享交易，Tx_k的交易发送方和接收方都是数据所有者μ_i，Tx_τ的交易发送方是μ_i，交易接收方是μ_j。

进一步的，所述(5)的详细过程如下：

(5.1)数据所有者μ_i向***广播下载请求：

其中，hash_i为文件F_i的哈希；P_k为能够证明μ_i对文件F_i的所有权的交易的隐匿地址，

为数据所有者μ_i标准地址；

(5.2)当***接收到μ_i的下载请求，***中的矿工开始执行工作量证明算法(POW)来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(5.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(5.4)μ_i通过所有权验证以后，Node_j在DHT网络中查询文件实际存储地址addr_i，并将下载地址addr_i返回给μ_i：

Node_j→μ_i:hash_i,addr_i；

(5.5)μ_i使用下载工具将文件从地址addr_i恢复到本地。

本发明中环签名生成方法如下：

本发明中环签名验证方法为：

有益效果：与现有技术相比，本发明具有以下优点：

1、本发明将分布式存储技术与区块链技术相结合，在实现安全有效的分布式云存储的同时，将文件所有权处理过程作为区块链交易过程的处理，并进一步实现分布式存储中的隐私保护，包括交易发送方、接收方以及交易内容的隐私保护，保证了只有真正的接收者才能精确定位到该笔交易，进而获取文件所有权，并进一步的进行文件处理过程(文件分享、下载、删除等操作)。

2、本发明所述方案可有效抵制数据伪造攻击：在本发明的***模型中，恶意用户可能对***发起数据伪造攻击，即没有文件所有权的用户试图通过向***发送不属于他的交易，来骗取文件所有权。为应对数据伪造攻击，本发明设计一种所有权验证方案，保证了只有拥有正确标准地址的授权用户，才能完成所有权认证。由于用户的标准地址只对矿工和交易双方公开，因而可以抵制数据伪造攻击。

3、本发明所述方案可有效抵制重放攻击：在本发明的***模型中，恶意用户可能对***发起重放攻击，即被取消文件所有权的用户，可能使用其原有的交易来向***证明其所有权。为应对重放攻击，本发明的方案中使用交易失效列表Blacklist来记录失效交易。当用户被取消文件所有权时，对应的交易会被添加到交易失效列表中。进一步的，在进行所有权验证之前，***首先检查该交易是否在交易失效列表中，如果交易存在于失效列表中，则无法通过所有权验证。因而可以抵制重放攻击。

附图说明

图1是本发明实施例中的***结构图；

图2是本发明实施例中的区块结构图；

图3是本发明实施例中的交易结构图；

图4是本发明实施例中的交易生成示意图；

图5是本发明实施例中的交易查找示意图；

图6是实施例中不同环大小情况下，环签名生成和环签名验证的时间开销关系图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

如图1所示，本发明的一种分布式云存储***的隐私保护方法，所述分布式云存储***包括用户、矿工和存储提供方；用户包括数据所有者μ_i和数据使用者μ_j，数据所有者μ_i将数据外包给存储提供方，进行下载和删除操作，同时数据所有者μ_i可以将文件分享给数据使用者μ_j；矿工和存储提供方为用户提供分布式云存储服务，其中，矿工负责打包区块和维护区块，存储提供方将自己空闲的硬盘空间出租给网络组成分布式的的存储空间；另外，矿工和存储提供方通过提供服务获得代币奖励；

隐私保护方法具体包括以下步骤：

步骤一、***初始化：输入公共参数(l,G)，l为基点的素数阶，G为椭圆曲线的基点；用户选取随机数a∈[1,l-1]，b∈[1,l-1]组成私钥对(a,b)，a≠b；同时，用户计算A＝aG，B＝bG，作为公钥对(A,B)；另外，用户计算ripemd160(sha256(A,B))作为其标准地址，同时也作为其ID；

l＝2²⁵²+27742317777372353535851937790883648493；

步骤二、文件上传，即数据所有者μ_i要将文件F_i上传到分布式存储***；步骤(2)的详细过程如图4所示：

(2.1)数据所有者μ_i选取哈希函数

例如SHA-256，并计算文件F_i的哈希值hash_i＝H(F_i)，然后数据所有者μ_i向***广播上传请求：

其中，hash_i为文件F_i的哈希值，

为数据所有者μ_i的标准地址；

(2.2)当***接收到数据所有者μ_i的上传请求，***中的矿工开始执行工作量证明算法POW来争取记账权(即交易打包权)；执行完POW算法后，假定矿工Node_j获取到记账权；然后矿工Node_j通知μ_i开始上传文件：

Node_j→μ_i:upload,hash_i

(2.3)当数据所有者μ_i接收到上传指令，μ_i在客户端侧使用同态加密算法AES256-CTR加密文件F_i：F_i′＝Enc(F_i)，其中加密密钥为文件哈希hash_i；然后，μ_i在客户端侧对加密后的文件F_i′进行分块得到文件碎片{shard₁,shard₂,...,shard_n}，其中每个碎片大小为8M，不足8M的空间用0填充，如图2所示；接着数据所有者μ_i求取各碎片哈希{hash_sh1,hash_sh2,...,hash_shn}并建立Merkle Tree，用于文件审计；最后，μ_i将文件碎片分散地存储在***中，并在分布式哈希表(DHT)中生成文件索引；同时，矿工Node_j将文件元数据(Merkle根、文件哈希值等)打包进区块，其中metadata＝{hash_i,MerkleRoot_i}；矿工Node_j通知数据所有者μ_i开始打包交易：

Node_j→μ_i:transaction,hash_i

(2.4)当数据所有者μ_i接收到交易打包指令，开始生成上传交易Tx_k，上传交易中交易发送方和接收方都是数据所有者μ_i。

如图3所示，步骤(2.4)中交易生成的具体过程如下：

(2.4.1)μ_i选取随机数r_k∈[1,l-1]；然后μ_i计算隐匿地址

交易公钥R_k＝r_kG，其中

为μ_i的公钥对，

为密码散列函数；

(2.4.2)μ_i选取随机数x_k∈[1,l-1]作为私钥，并计算对应的公钥PK_k＝x_kG，密钥镜像

其中，

为确定性哈希函数；

(2.4.3)μ_i使用对称加密算法计算

作为交易内容Proof_k，用于授予交易接收方文件所有权，并可用于文件所有权验证，其中

R为随机数，

为μ_i的标准地址，同时作为对称加密密钥；

(2.4.4)μ_i将R_k，P_k，I_k以及Proof_k打包进交易Tx_k，然后μ_i计算环签名σ_k，对交易Tx_k进行签名并发送到网络；网络中任何一方都可以验证交易签名，并且不会泄露交易发送方；

(2.4.5)矿工节点Node_j验证交易并将交易打包进区块；

其中，数据所有者μ_i作为交易接收方向矿工节点Node_j发送交易Tx_k信息P_k，I_k，Proof_k来验证μ_i对于文件F_i的所有权，并用于消费(分享、删除、下载操作)。

步骤三、文件删除，即数据所有者μ_i要删除其对于文件F_i的所有权，详细过程如下：

(3.1)首先，数据所有者μ_i向***广播删除请求：

其中，hash_i为文件F_i哈希；P_k是能够证明μ_i对文件F_i的所有权的交易的隐匿地址，

为数据所有者μ_i标准地址；

(3.2)当***接收到μ_i的删除请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(3.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(3.4)当数据所有者μ_i通过所有权验证以后，矿工节点Node_j从地址为P_k的交易获取其密钥镜像I_k，并将I_k添加到交易失效名单Blacklist，并向全网广播；网络中的矿工节点接收到广播以后更新交易失效名单Blacklist；

上述所有权验证方法为：

步骤四、文件分享，即文件F_i的所有者μ_i授予数据使用者μ_j文件F_i的所有权，详细过程如下：

(4.1)首先，数据所有者μ_i向***广播分享请求：

其中，hash_i为文件F_i哈希；P_k是能够证明μ_i对文件F_i的所有权的交易的隐匿地址；

分别为数据所有者μ_i和数据使用者μ_j的标准地址；

(4.2)当***接收到μ_i的分享请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(4.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(4.4)μ_i通过所有权验证以后，Node_j向μ_i发送分享指令：

(4.5)当μ_i接收到指令，开始生成交易Tx_τ，其中，μ_i作为交易发送方，μ_j作为交易接收方；

(4.6)如图5所示，μ_j作为交易接收方，检查每一个区块中的交易，提取交易中的隐匿地址P和交易公钥R′，使用自己的私钥对

计算

判断

其中，

为密码散列函数；由于

如果μ_j为该交易的接收方，则等式成立；反之，不成立；

(4.7)当μ_j找到交易Tx_τ之后，μ_j计算

μ_j使用x_τ恢复交易Tx_τ，并在消费交易(分享、下载、删除)Tx_τ时使用x_τ作为交易私钥。

上述步骤(4.5)中交易生成的方法为：

(4.5.1)交易发送方μ_i选取随机数r_τ∈[1,l-1]，并获取交易接收方μ_j的公钥对

然后μ_i计算隐匿地址

交易公钥R_τ＝r_τG，其中，

为密码散列函数；

(4.5.2)交易发送方μ_i使用对称加密算法计算

作为交易内容Proof_τ，用于授予交易接收方文件所有权，并可用于文件所有权验证，其中

R为随机数，加密密钥为μ_j的标准地址

(4.5.3)交易发送方μ_i选取随机数x_τ∈[1,l-1]，同时也作为签名私钥，并计算对应的公钥PK_τ＝x_τG，密钥镜像

其中，

为确定性哈希函数；

(4.5.4)交易发送方μ_i将R_τ，P_τ，I_τ以及Proof_τ打包进交易Tx_τ，且μ_i计算环签名σ_τ，对交易Tx_τ进行签名并发送到网络，网络中任何一方都可以验证交易签名，并且不会泄露交易发送方；

(4.5.5)矿工节点Node_j验证交易并将交易打包进区块。

步骤五、文件下载的详细过程如下：

(5.1)数据所有者μ_i向***广播下载请求：

其中，hash_i为文件F_i的哈希；P_k为能够证明μ_i对文件F_i的所有权的交易的隐匿地址，

为数据所有者μ_i标准地址；

(5.2)当***接收到μ_i的下载请求，***中的矿工开始执行工作量证明算法(POW)来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(5.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(5.4)μ_i通过所有权验证以后，Node_j在DHT网络中查询文件实际存储地址addr_i，并将下载地址addr_i返回给μ_i：

Node_j→μ_i:hash_i,addr_i；

(5.5)μ_i使用下载工具将文件从地址addr_i恢复到本地。

实施例

为评估本发明的性能表现，以如下实施例测量部分算法的时间开销。

为评估***开销，实施过程采用基于CryptoNote协议的开源DigitalNote平台，并且根据***需求，完成相关算法实现。为了评估***开销，在实施过程中在本地部署测试链实验环境，其中，本地部署了三个矿工节点以及三个钱包终端进行实验，并对***主要步骤的主要算法的时间开销进行分析，并进行时间开销的测量。其中，T_File为客户端文件处理的时间开销，包括文件哈希操作时间、文件分块操作时间、文件分块上传时间；T_Tx为用户侧生成交易操作的时间，包括计算目的地址操作的时间、计算环签名操作的时间、发送交易操作的时间；另外，T_del，T_chk，T_POW，T_DHT分别为删除交易操作的时间、交易验证操作的时间、文件所有权验证操作的时间以及DHT查询时间。对各阶段时间开销分析总结见表1。

表1***时间开销分析表

另外，本实施例的算法时间开销如表2所示。

表2主要算法时间开销

算法	时间开销
		生成目标地址	36ms
发送交易	31ms
		创建交易	0.0093ms
查找交易	22ms
		生成密钥镜像	0.164ms

另外，如图6所示，为不同环大小情况下，环签名生成时间和环签名验证时间。

Claims (5)

1.一种分布式云存储***的隐私保护方法，其特征在于：所述分布式云存储***包括用户、矿工和存储提供方；所述用户是使用***服务的实体，包括数据所有者μ_i和数据使用者μ_j，数据所有者μ_i将数据外包给存储提供方，并使用***服务进行下载和删除操作，同时数据所有者μ_i将文件F_i分享给数据使用者μ_j；矿工和存储提供方为用户提供云存储服务，其中，矿工负责打包区块和维护区块，存储提供方将自己空闲的硬盘空间出租给网络组成分布式的存储空间；另外，矿工和存储提供方通过提供服务获得代币奖励；

隐私保护方法具体包括以下步骤：

(1)***初始化：输入公共参数(l,G)，l为基点的素数阶，G为椭圆曲线的基点；用户选取随机数a∈[1,l-1]，b∈[1,l-1]组成私钥对(a,b)，a≠b；同时，用户计算A＝aG，B＝bG，作为公钥对(A,B)；另外，用户计算ripemd160(sha256(A,B))作为其标准地址，同时也作为其ID；

l＝2²⁵²+27742317777372353535851937790883648493；

(2)文件上传，即数据所有者μ_i要将文件F_i上传到分布式存储***；步骤(2)的详细过程如下：

(2.1)数据所有者μ_i选取哈希函数H:

并计算文件F_i的哈希值hash_i＝H(F_i)，然后数据所有者μ_i向***广播上传请求：

其中，hash_i为文件F_i的哈希值，

为数据所有者μ_i的标准地址；

(2.2)当***接收到数据所有者μ_i的上传请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工Node_j获取到记账权；然后矿工Node_j通知数据所有者μ_i开始上传文件：

Node_j→μ_i:upload,hash_i

(2.3)当数据所有者μ_i接收到上传指令，数据所有者μ_i在客户端侧使用同态加密算法AES256-CTR加密文件F_i：F_i′＝Enc(F_i)，其中加密密钥为文件哈希hash_i；然后，μ_i在客户端侧对加密后的文件F_i′进行分块得到文件碎片{shard₁,shard₂,...,shard_n}，其中每个碎片大小为8M，不足8M的空间用0填充；接着数据所有者μ_i求取各碎片哈希{hash_sh1,hash_sh2,...,hash_shn}并建立Merkle Tree，用于文件审计；最后μ_i将文件碎片分散地存储在***中，并在分布式哈希表DHT中生成文件索引；同时，矿工Node_j将文件元数据metadata打包进区块，其中metadata＝{hash_i,MerkleRoot_i}；矿工节点Node_j通知数据所有者μ_i开始打包交易：

Node_j→μ_i:transaction,hash_i

(2.4)当数据所有者μ_i接收到交易打包指令，μ_i开始生成文件上传交易Tx_k，上传交易中交易发送方和交易接收方都是数据所有者μ_i；

上述(2.4)中文件上传交易生成的具体过程如下：

(2.4.1)μ_i选取随机数r_k∈[1,l-1]；然后μ_i计算隐匿地址

交易公钥R_k＝r_kG，其中

为μ_i的公钥对，

为密码散列函数；

(2.4.2)μ_i选取随机数x_k∈[1,l-1]作为私钥，并计算对应的公钥PK_k＝x_kG，密钥镜像

其中，

为确定性哈希函数；

(2.4.3)μ_i使用对称加密算法计算

作为交易内容Proof_k，用于授予交易接收方文件所有权，并可用于文件所有权验证，其中

R为随机数，

为μ_i的标准地址，同时作为对称加密密钥；

(2.4.4)μ_i将R_k，P_k，I_k以及Proof_k打包进交易Tx_k，然后μ_i计算环签名σ_k，对交易Tx_k进行签名并发送到网络；网络中任何一方都可以验证交易签名，并且不会泄露交易发送方的信息；

(2.4.5)矿工节点Node_j验证交易并将交易打包进区块；此处，数据所有者μ_i作为交易接收方向***发送交易Tx_k信息P_k，I_k，Proof_k来验证μ_i对于文件F_i的所有权，并用于消费；

(3)文件删除，即数据所有者μ_i要删除其对于文件F_i的所有权；

(4)文件分享，即文件F_i的数据所有者μ_i授予数据使用者μ_j文件F_i的所有权；

(5)文件下载。

2.根据权利要求1所述的分布式云存储***的隐私保护方法，其特征在于：所述步骤(3)中数据所有者删除文件所有权的详细过程如下：

(3.1)首先，数据所有者μ_i向***广播删除请求：

其中，hash_i为文件F_i哈希；P_k是能够证明μ_i对文件F_i的所有权的交易的隐匿地址，

为数据所有者μ_i标准地址；

(3.2)当***接收到数据所有者μ_i的删除请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(3.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(3.4)当数据所有者μ_i通过所有权验证以后，矿工节点Node_j从地址为P_k的交易获取其密钥镜像I_k，并将I_k添加到交易失效名单Blacklist，并向全网矿工节点广播；网络中的矿工节点接收到广播以后更新交易失效名单Blacklist；

上述所有权验证方法为：

其中，R_k′,hash_i′,MAC_k′为解密Proof_k′之后获取的内容，其含义分别对应Proof_k中的R_k、hash_i、MAC_k。

3.根据权利要求1所述的分布式云存储***的隐私保护方法，其特征在于：所述步骤(4)中数据所有者μ_i分享文件F_i给数据使用者μ_j的详细过程如下：

(4.1)首先，μ_i向***广播分享请求：

其中，hash_i为文件F_i哈希；P_k是能够证明μ_i对文件F_i的所有权的交易的隐匿地址；

分别为数据所有者μ_i和数据使用者μ_j的标准地址；

(4.2)当***接收到μ_i的分享请求，***中的矿工开始执行工作量证明算法POW来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(4.3)矿工节点Node_j验证数据所有者μ_i对文件F_i的所有权；

(4.4)μ_i通过所有权验证以后，Node_j向μ_i发送分享指令：

(4.5)当μ_i接收到指令，μ_i开始生成文件分享交易Tx_τ，其中，μ_i作为交易发送方，μ_j作为交易接收方；

(4.6)μ_j作为交易接收方，检查每一个新生成区块中的交易，提取交易中的隐匿地址P和交易公钥R′，使用自己的私钥对

计算

判断

其中，

为密码散列函数；由于

如果μ_j为该交易的接收方，则等式成立；反之，不成立；

(4.7)当μ_j找到交易Tx_τ之后，μ_j计算

μ_j使用x_τ恢复交易Tx_τ，并在消费交易Tx_τ时使用x_τ作为交易私钥。

4.根据权利要求3所述的分布式云存储***的隐私保护方法，其特征在于：所述步骤(4.5)中文件分享交易生成的方法为：

(4.5.1)交易发送方μ_i选取随机数r_τ∈[1,l-1]，并获取交易接收方μ_j的公钥对

然后μ_i计算隐匿地址

交易公钥R_τ＝r_τG，其中，

为密码散列函数；

(4.5.2)交易发送方μ_i使用对称加密算法计算

作为交易内容Proof_τ，用于授予交易接收方文件所有权，并可用于文件所有权验证，其中

R为随机数，加密密钥为μ_j的标准地址

(4.5.3)交易发送方μ_i选取随机数x_τ∈[1,l-1]，同时也作为签名私钥，并计算对应的公钥PK_τ＝x_τG，密钥镜像

其中，

为确定性哈希函数；

(4.5.4)交易发送方μ_i将R_τ，P_τ，I_τ以及Proof_τ打包进交易Tx_τ，且μ_i计算环签名σ_τ，对交易Tx_τ进行签名并发送到网络，网络中任何一方都可以验证交易签名，并且不会泄露交易发送方的信息；

(4.5.5)矿工节点Node_j验证交易并将交易打包进区块。

5.根据权利要求1所述的分布式云存储***的隐私保护方法，其特征在于：所述(5)的详细过程如下：

(5.1)数据所有者μ_i向***广播下载请求：

其中，hash_i为文件F_i的哈希；P_k为能够证明μ_i对文件F_i的所有权的交易的隐匿地址，

为μ_i标准地址；

(5.2)当***接收到μ_i的下载请求，***中的矿工开始执行工作量证明算法(POW)来争取记账权；执行完POW算法后，假定矿工节点Node_j获取到记账权；

(5.3)矿工节点Node_j验证μ_i对文件F_i的所有权；

(5.4)μ_i通过所有权验证以后，Node_j在DHT中查询文件实际存储地址addr_i，并将下载地址addr_i返回给μ_i：

Node_j→μ_i:hash_i,addr_i；

(5.5)μ_i使用下载工具将文件从地址addr_i恢复到本地。

Images