CN110377225A - 一种支持外包数据安全转移与可验证删除的方法 - Google Patents

Abstract

本发明属于云存储的数据处理技术领域，公开了一种支持外包数据安全转移与可验证删除的方法，首先在将密文外包到云服务器A后，数据所有者检查存储结果并删除文件的本地备份；然后数据所有者为了享受更合适的存储服务或出于客观因素，中途更换云存储服务供应商，并将外包数据从原始云服务器A迁移到目标云服务器B，并检查转移结果；最后当数据转移完成或数据所有者不再需要数据时，要求云服务器删除数据并检查删除结果。通过安全分析证明本发明的新方案可以满足所需的安全需求。最后，仿真实验表明，本发明新方案非常高效和实用。

Description

一种支持外包数据安全转移与可验证删除的方法

技术领域

本发明属于云存储的数据处理技术领域，尤其涉及一种支持外包数据安全转移与可验证删除的方法。

背景技术

目前，最接近的现有技术：云计算是一种新兴的非常有前景的基于互联网的计算模式，它通过网络将大规模分布式存储资源、计算资源和网络带宽连接在一起。通过使用这些资源，它可以为租户提供许多高质量的服务。由于吸引人的优势，云服务(尤其是云存储服务)已得到广泛应用。通过使用云存储服务，资源受限的数据所有者能够将其大规模个人文件外包给到云服务器，这可以大大降低数据所有者的本地存储开销。根据全球云指数显示，2019年互联网消费者数量将达到约36亿，其中约55％(约20亿)将使用云存储服务。

由于云存储服务广阔的市场前景，越来越多的公司(如微软，亚马逊，华为，阿里巴巴)纷纷投资云存储服务，它们提供的云存储服务在价格、安全性、访问速度等方面具有明显的差异。为了享受更合适自己的云存储服务，数据所有者可能会中途更换云存储服务供应商。因此，他们需要将外包数据从一个云服务器转移到另一个云服务器，然后从原来的云服务器中删除已经被转移的数据。据思科的调查报告显示，到2021年底，云数据流量预计将占总数据流量的95％，而云服务器间的数据流量将占云数据流量总量的14％。可以预见，不同云服务器之间的数据传转移将成为数据所有者的一项基本需求。

目前针对数据转移与删除已经有较多成果，如通过存储设备(CN201710443366.X)、蓝牙技术(CN201711456678.0)等方法进行转移，但对于云服务器间的数据转移与被转移数据的删除仍缺乏有效的方法。为了实现数据在不同云服务器之间的安全转移，防止被转移数据在迁移过程中泄露隐私信息，一个采用加密算法的外包数据转移应用程序Cloudsfer已经被设计出来，但是该应用程序无法验证被转移数据的完整性，同时无法从原始云服务器上删除被转移的数据。为了安全删除外包数据，Xue提出了一种基于密钥策略属性的加密方案，可以实现外包数据的细粒度访问控制与确定性删除(L.Xue,Y.Yu,Y.Li,et al.,Efficient attribute-based encryption with attributerevocation for assured data deletion,Information Sciences,Vol.479,pp.640-650,2019)。如果云服务器没有诚实地删除外包数据，它将被数据所有者检测到。然而，该方案的数据删除与结果验证过程需要一个可信的第三方协助，但在云环境下无法找到一个完全可信的第三方。为此，Yang提出了一个基于区块链的外包数据删除方案(C.Yang,X.Chen andY.Xiang,Blockchain-based publicly verifiable data deletion scheme for cloudstorage,Journal ofNetwork and Computer Applications,Vol.103,pp.185-193,2018)。数据所有者不需要任何可信第三方即可实现外包数据的安全删除，并高效地验证删除结果。

然而，上述的这些方案仅支持删除操作，没有考虑外包数据在不同云服务器间的转移问题。为了同时实现外包数据的转移与删除，Yu提出一个数据所有性验证方案，该方案还可以实现外包数据在两个不同云服务器间的安全转移(Y.Yu,J.Ni,W.Wu,et al.,Provable data possession supporting secure data transfer for cloud storag,BWCCA2015,pp.38-42,2015)。然而，他们的方案在数据删除过程中效率很低，因为它们通过重加密被转移的数据而达到删除目的，这个过程需要数据所有者上传许多信息。在该方案基础上，Xue提出了一个可验证的外包数据转移方案，数据所有者可以通过数据所有性验证方案来检查数据完整性，并通过基于编号的Merkle哈希树来实现删除结果的验证性。然而，在转移、删除和验证过程中需要可信第三方的协助，这使方案无法在实际中广泛应用。为此，Yang使用向量承诺来设计一种新的可验证外包数据转移和删除方案(C.Yang,J.Wang,X.Tao,et al.,Publicly verifiable data transfer and deletion scheme for cloudstorage,ICICS 2018,pp.445-458,2018)。该方案无需任何第三方即可实现外包数据的可验证转移与删除。然而，验证过程所需的计算量与数据记录数成正比，这降低了方案的效率。

综上所述，现有技术存在的问题是：在云存储中数据的管理权与所有权分离，导致数据所有者不能直接对数据进行任何操作。外包数据在不同云服务器间的转移与删除均由云服务器代为执行。但是，出于自身利益考虑，云服务可能不诚实地执行转移与删除操作，并返回错误的结果欺骗数据所有者。而现有的技术方案不仅验证过程效率低，资源消耗大，还需要一个可信第三方辅助，这限制了其在实际应用中的推广。

解决上述技术问题的难度：在商业模式下，云服务器是自私的。如何不依靠可信第三方实现外包数据转移与删除结果的公开可验证，及时发现云服务器的恶意行为是本发明解决的一个技术难点。此外，在如今信息化高速发展的今天，数据量急速增加，如何不受数据量的影响实现高效的转移与删除结果验证是本发明解决的另一个技术难点。

解决上述技术问题的意义：实现高效的、无需可信第三方辅助的外包数据转移与删除方案，不仅降低了数据所有者端的计算开销和存储资源消耗，还在很大程度上保护了数据所有者的隐私，有效防止隐私泄露。这对于加速云存储服务的普及、云服务器间的数据安全转移有很大的推动作用。

发明内容

针对现有技术存在的问题，本发明提供了一种支持外包数据安全转移与可验证删除的方法。

本发明是这样实现的，一种支持外包数据安全转移与可验证删除的方法，所述支持外包数据安全转移与可验证删除的方法包括：

首先在将密文外包到云服务器A后，数据所有者检查存储结果并删除文件的本地备份；

然后数据所有者为了享受更合适的存储服务或出于客观因素，中途更换云存储服务供应商，并将外包数据从原始云服务器A迁移到目标云服务器B，并检查转移结果；

最后当数据转移完成或数据所有者不再需要数据时，要求云服务器删除数据并检查删除结果。

进一步，所述支持外包数据安全转移与可验证删除的方法具体包括：

步骤一，初始化：分别为数据所有者、云服务器A和云服务器B生成ECDSA公私钥对(PK_O，SK_O)，(PK_A，SK_A)和(PK_B，SK_B)；数据所有者选择k个安全的单向抗碰撞哈希函数f₁，…，f_k，它们将[1，n]中的整数映射到CBF中的不同单元格，即f_i：[1，n]→[1，m]；数据所有者为将被外包到云服务器A的文件选择一个独一无二的标签tag_f；

步骤二，数据加密：数据所有者使用安全的加密算法对外包数据进行加密，并将密文数据集发送给云服务器A；

步骤三，数据外包：云服务器A保存数据集并生成相关的存储证据；数据所有者可以检查存储结果并删除文件的本地备份；

步骤四，数据转移：当数据所有者想要更换云存储服务供应商时，他需要将部分数据块，甚至整个文件从原始云服务器A转移到目标云服务器B；

步骤五，转移结果验证：在数据迁移之后，云服务器B检查转移的正确性并将转移结果返回给数据所有者；

步骤六，数据删除：当不再需要数据或数据已被成功转移到云服务器B时，数据所有者可能需要云服务器A删除数据块。

进一步，所述步骤二数据所有者使用安全的加密算法对外包数据进行加密具体包括：

1)首先，数据所有者将需外包的文件划分为n′块；同时，数据所有者在随机的位置***n-n′个随机的数据块；然后数据所有者将随机位置记录在表PF中，外包文件表示为F＝(m₁，…，m_n)；

2)对于每个数据块m_i，数据所有者随机选择-个独一无二的整数a_i作为m_i的索引，并计算数据加密密钥k_i＝H(tag_f||α_i||SK_O)，其中i＝1，2，...，n；数据所有者使用密钥k_i将数据块m_i加密：同时计算哈希值H_i＝H(tag_f||a_i||C_i)，其中，Enc是一种IND-CPA安全的对称加密算法；数据所有者将数据集D＝{(a_i，C_i)}_i∈[1，n]连同文件标签tag_f一起发送给云服务器A。

进一步，所述步骤三云服务器A保存数据集并生成相关的存储证据，数据所有者检查存储结果并删除文件的本地备份具体包括：

1)在接收到D和tag_f后，云服务器A保存数据集D，并使用索引(a₁，a₂，…，a_n)构建计数型布隆过滤器CBF_s；同时，云服务器A保存文件标签tag_f作为外包数据集D的索引；云服务器A计算签名并发送存储证据λ＝(CBF_s，T_s，sig_s)给数据所有者，其中Sign是ECDSA签名算法，T_s是时间戳；

2)接收到存储证据λ后，数据所有者验证存储证据的有效性，数据拥有者首先检查签名sig_s的有效性；如果sig_s是无效的，那么数据所有者退出并输出失败；否则，数据所有者从快索引集(a₁，a₂，…，a_n)中随机选择其中的一半来检查CBF_s的正确性。如果CBF_s不正确，那么数据所有者退出并输出失败；否则，数据所有者删除文件的本地备份。

进一步，所述步骤四当数据所有者想要更换云存储服务供应商时，需要将部分数据块，甚至整个文件从原始云服务器A转移到目标云服务器B具体包括：

1)首先，数据所有者生成块索引集φ，其标识需要转移的数据块；然后数据所有者计算签名其中T_t是时间戳；数据所有者生成转移请求R_t＝(transfer，tag_f，φ，T_t，sig_t)，并将其发送给原始云服务器A；同时，数据所有者将哈希值{H_i}_i∈φ发送给目标云服务器B；

2)接收到转移请求R_t后，云服务器A检查R_t的有效性；如R_t是无效的，那么云服务器A退出并输出失败；否则，云服务器A计算签名并将数据块连同签名sig_ta和转移请求R_t一起发送给目标云服务器B。

进一步，所述步骤五在数据迁移之后，目标云服务器B检查转移的正确性并将转移结果返回给数据所有者具体包括：

1)首先，目标云服务器B检查数据转移请求R_t和签名sig_ta的有效性；如果不是两个都有效，则云服务器B退出并输出失败；否则，云服务器B检查等式H_i＝H(tag_f||a_i||C_i)是否成立，其中i∈φ。如果H_i≠H(tag_f||a_i||c_i)，则云服务器B将会要求云服务器A再次发送数据块(a_i，C_i)；否则，云服务器B执行2)；

2)云服务器B存储数据块并使用索引来构造新的计数型布隆过滤器CBF_b；云服务器B计算签名最后，云服务器B将转移证据π＝(sig_ta，sig_tb，CBF_b)返回给数据所有者；

3)收到转移证据π后，数据所有者可以检查数据转移结果，数据所有者检查签名sig_tb的有效性；同时，数据所有者从块索引集φ中随机选择一半的索引来验证计数布隆过滤器CBF_b的正确性；当且仅当所有验证都通过时，数据所有者才相信转移证据是有效的，并且相信云服务器B诚实地存储被转移的数据。

进一步，所述步骤六当不再需要数据或数据已被成功转移到云服务器B时，数据所有者可能需要云服务器A删除数据块具体包括：

1)首先，数据所有者生成块索引集ψ，它将标记需要删除的数据块，如果数据所有者想要删除被转移的数据块，则等式ψ＝φ成立；然后数据所有者计算签名其中T_d是时间戳；最后，数据所有者生成数据删除请求R_d＝(delete，tag_f，ψ，T_d，sig_d)并将其发送给云服务器A；

2)接收到删除请求R_d后，云服务器A检查R_d的有效性；如果R_d是无效的，那么云服务器A退出并输出失败；否则，云服务器A通过重写删除数据块{(a_i，C_i)}_i∈ψ；同时，云服务器A从CBF_s中删除{a_q}_q∈ψ并获得新的计数型布隆过滤器CBF_d；最后，云服务器A计算签名sig_da＝Sign(delete||R_d||CBF_d)，并将数据删除证据τ＝(sig_da，CBF_d)返回给数据所有者；

3)接收到数据删除证据τ后，数据所有者检查签名sig_da的有效性；如果签名sig_da是无效的，那么数据所有者退出并输出失败；否则，数据所有者从块索引集ψ中随机选择一半的索引来检查等式CBF(a_q)＝0并确定a_q是否属于CBF_d。如果等式成立，那么数据所有者相信τ是有效的；之后如果数据所有者在云服务器A上发现数据块{(a_i，C_i)}_i∈ψ，则他有权向云服务器A索赔。

本发明的另一目的在于提供一种应用所述支持外包数据安全转移与可验证删除的方法的云服务器。

综上所述，本发明的优点及积极效果为：不仅可以实现外包数据从原始云服务器到目标云服务器的安全转移，还可以实现被转移数据从原始云服务器上的可验证删除。如果原始云服务器没有按照数据所有者的要求如实地迁移或删除相应的数据，则任何验证者(不仅限于数据所有者和目标云服务器)都可以通过验证返回的相关证据来发现这些恶意操作。此外，通过安全分析证明本发明的新方案可以满足所需的安全需求。最后，仿真实验表明，本发明新方案非常高效和实用。

附图说明

图1是本发明实施例提供的支持外包数据安全转移与可验证删除的方法流程图。

图2是本发明实施例提供的布隆过滤器示意图。

图3是本发明实施例提供的计数型布隆过滤器示意图。

图4是本发明实施例提供的***方案示意图。

图5是本发明实施例提供的支持外包数据安全转移与可验证删除的方法实现流程图。

图6是本发明实施例提供的数据加密的时间开销示意图。

图7是本发明实施例提供的存储和验证的时间开销示意图。

图8是本发明实施例提供的数据转移的时间开销示意图。

图9是本发明实施例提供的数据删除的时间开销图。

图10是本发明实施例提供的数据删除结果验证的时间开销示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在云存储中，数据所有者可以将他们的大规模数据存储到云服务器上，从而尽可能降低本地的存储成本。云存储由于具有诸多吸引人的优势，在日常生活和工作中得到了广泛的应用。然而，在云存储中数据的管理权与所有权分离，导致数据所有者不能直接对数据进行任何操作。因此，外包数据的转移和删除已经成为两个严峻的安全挑战。为了使外包数据的转移和删除操作更加安全，本发明设计了新的基于计数型布隆过滤器方案，能够实现外包数据从原始云服务器到目标云服务器的可验证转移，并在目标云服务器上验证被转移数据的完整性。此外，如果数据所有者不再需要某些数据块，他可以从云服务器删除这些数据块，并通过验证返回的删除证据来检查删除的结果。最后证明了所提出的方案不仅能满足期望的安全性要求，而且能具有实用性和高效性。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的支持外包数据安全转移与可验证删除的方法包括以下步骤：

S101：在将密文外包到云服务器A后，数据所有者可以检查存储结果并删除文件的本地备份；

S102：数据所有者为了享受更合适的存储服务或出于一些客观因素，会中途更换云存储服务供应商，并将一些外包数据从原始云服务器A迁移到目标云服务器B，并检查转移结果；

S103：当数据转移完成或数据所有者不再需要数据时，要求云服务器删除数据并检查删除结果。

下面结合附图对本发明的应用原理作进一步的描述。

1.预备知识

布隆过滤器(BF)是一种非常节省空间的数据结构，可用于测试集合是否包含指定元素。与其他数据结构不同，无论有多少个元素，BF***新元素或验证元素是否属于集合所需的时间开销是恒定的。

一般来说，BF可以看作是一个带有k个独立哈希函数的m比特长的位数组，其中哈希函数可以定义如下：h_i(·)：[0，1]^*→{0，1，2，…，m}。如果要向集合中***元素，本发明只需要将h₁(x)，h₂(x)，…，h_k(x)对应位置的值设置为1。为了判断元素x是否属于集合，只需检查h_i(x)对应位置的值是否都为1，如果不是，则元素不属于集合。如图2给出了BF的一个例子，本发明可以看到元素x，y和z都属于集合。但是，元素v不属于该集合。注意，BF存在误判率，这意味着即使与元素w对应的位置的值都是1，但该元素可能不属于集合，例如图2中的元素w。这是因为值为1的位置都可能是其他元素作用产生的。误判率与哈希函数k的数量，BF的长度m和元素的数量n有关。

另外，BF不支持从集合中删除元素。为了解决这个缺点，提出了计数型布隆过滤器(CBF)。作为BF的一个变型，CBF使用计数器单元来替换每个“比特”位，如图3所示。为了***元素y，需要将k个对的计数器的值增加1，计数器的索引也由散列值h₁(y)，h₂(y)，…，h_k(y)确定。相反，删除操作只需将k个对应的计数器减1。

2.问题陈述

本发明将首先简要介绍***框架和潜在的安全挑战，然后确定本发明的新方案应该满足的安全目标。

2.1.***框架

在本发明的新方案中，本发明的目标是实现外包数据在两个不同云服务器之间的安全转移以及可靠删除。因此，本发明的***结构将包括三个实体，如图4所示。

在本发明的场景事例中，云服务器A和B为数据所有者提供高质量的云存储服务。资源受限的数据所有者将其大规模个人数据外包给云服务器A，从而减少本地的软件/硬件开销和人力资源投资。此外，数据所有者可能需要云服务器A将一些数据块迁移到云服务器B，或者从存储介质中删除一些数据。本发明定义云服务器A为原始云服务器，它需要将一些数据块迁移到目标云服务器B，并删除这些已经被转移的数据块。但是，出于经济原因，云服务器A可能不会如实地执行这些操作。

此外，本发明可以假设云服务器A和云服务器B属于两个不同的公司，它们不会串通欺骗数据所有者。因此，两个云服务器将独立地遵循协议。此外，本发明可以假设目标云服务器B不会恶意诽谤原始云服务器A。

2.2.设计目标

在本发明的新方案中，本发明应实现以下三个设计目标。

1)数据机密性。一般来说，外包文件可能包含一些数据所有者的隐私信息。从数据所有者的角度来看，这些隐私信息应该被严格保密。因此，为了保护数据机密性，数据所有者需要利用安全算法来加密外包文件，然后将其密文上传到云服务器。

2)数据的完整性。云服务器A可能只迁移部分数据到云服务器B以节省网络带宽，或者将一些不相关的数据发送给云服务器B。此外，数据在转移过程中可能被破坏，例如恶意修改和删除。因此，数据所有者和云服务器B都应该能够验证被转移数据的完整性，以确保数据块完好无损。

3)可公开验证性。为了经济利益，云服务器A可能不会将数据诚实地迁移到目标云服务器B，或不会按要求删除数据。因此，从数据所有者的角度来看，需要满足外包数据转移和删除结果的可验证性。

3.提出的方案

本发明将详细描述本发明提出的基于CBF的外包数据可验证转移与删除方案。本发明假设数据所有者已通过身份验证并成为云服务器A和云服务器B的合法租户。

3.1.概述

所提出的新方案的主要过程如图5所示。由于外包文件可能包含一些敏感信息，因此数据所有者必须在上传之前对文件进行加密，以保护数据机密性。在将密文外包到云服务器A后，数据所有者可以检查存储结果并删除文件的本地备份。随后，数据所有者为了享受更合适的存储服务或出于一些客观因素，会中途更换云存储服务供应商，并将一些外包数据从原始云服务器A迁移到目标云服务器B，并检查转移结果。最后，当数据转移完成或数据所有者不再需要数据时，他会要求云服务器删除数据并检查删除结果。

3.2.详细方案

本发明提出的新方案主要包含六个算法，具体如下所述。

步骤1.初始化：本阶段先分别为数据所有者、云服务器A和云服务器B生成ECDSA公私钥对(PK_O，SK_O)，(PK_A，SK_A)和(PK_B，SK_B)。然后，数据所有者选择k个安全的单向抗碰撞哈希函数f₁，…，f_k，它们将[1，n]中的整数映射到CBF中的不同单元格，即f_i：[1，n]→[1，m]。此外，数据所有者为将被外包到云服务器A的文件选择一个独一无二的标签tagf。

步骤2.数据加密：为了保护外包数据机密性，数据所有者使用安全的加密算法对外包数据进行加密。

1)首先，数据所有者将需外包的文件划分为n′块。同时，数据所有者在随机的位置***n-n′个随机的数据块，以保证在数据转移和删除后计数型布隆过滤器不为空。然后数据所有者将这些随机位置记录在表PF中。因此，外包文件可以表示为F＝(m₁，…，m_n)。

2)对于每个数据块m_i，数据所有者随机选择一个独一无二的整数a_i作为m_i的索引，并计算数据加密密钥k_i＝H(tag_f||α_i||SK_O)，其中i＝1，2，...，n。然后，数据所有者使用密钥k_i将数据块m_i加密：同时计算哈希值H_i＝H(tag_f||a_i||C_i)，其中，Enc是一种IND-CPA安全的对称加密算法。最后，数据所有者将数据集D＝{(a_i，C_i)}_i∈[1，n]连同文件标签tag_f一起发送给云服务器A。

步骤3.数据外包：云服务器A保存数据集并生成相关的存储证据。然后，数据所有者可以检查存储结果并删除文件的本地备份。

1)在接收到D和tag_f后，云服务器A保存数据集D，并使用索引(α₁，a₂，…，a_n)构建计数型布隆过滤器CBF_s。同时，云服务器A保存文件标签tag_f作为外包数据集D的索引。最后，云服务器A计算签名并发送存储证据λ＝(CBF_s，T_s，sig_s)给数据所有者，其中Sign是ECDSA签名算法，T_s是时间戳。

2)接收到存储证据λ后，数据拥有者可以验证存储证据的有效性。更具体地说，数据拥有者首先检查签名sig_s的有效性。如果sig_s是无效的，那么数据所有者退出并输出失败；否则，数据所有者从块索引集(a₁，a₂，…，a_n)中随机选择其中的一半来检查CBF_s的正确性。如果CBF_s不正确，那么数据所有者退出并输出失败；否则，数据所有者删除文件的本地备份。

步骤4.数据转移：当数据所有者想要更换云存储服务供应商时，他需要将一些数据块，甚至整个文件从原始云服务器A转移到目标云服务器B。

1)首先，数据所有者生成块索引集φ，其标识需要转移的数据块。然后数据所有者计算签名其中T_t是时间戳。之后，数据所有者生成转移请求R_t＝transfer，tag_f，φ，T_t，sig_t)，并将其发送给原始云服务器A。同时，数据所有者将哈希值{H_i}_i∈φ发送给目标云服务器B。

2)接收到转移请求R_t后，云服务器A检查R_t的有效性。如R_t是无效的，那么云服务器A退出并输出失败；否则，云服务器A计算签名并将数据块连同签名sig_ta和转移请求R_t一起发送给云服务器B。

步骤5.转移结果验证：在数据迁移之后，目标云服务器B检查转移的正确性并将转移结果返回给数据所有者。

1)首先，目标云服务器B检查数据转移请求R_t和签名sig_ta的有效性。如果不是两个都有效，则云服务器B退出并输出失败；否则，云服务器B检查等式H_i＝H(tag_f||a_i||c_i)是否成立，其中i∈φ。如果H_i≠H(tag_f||a_i||c_i)，则云服务器B将会要求云服务器A再次发送数据块(a_i，C_i)；否则，云服务器B执行第2)步。

2)云服务器B存储数据块并使用索引来构造新的计数型布隆过滤器CBF_b。然后，目标云服务器B利用私钥计算签名最后，云服务器B将转移证据π＝(sig_ta，sig_tb，CBF_b)返回给数据所有者。

3)收到转移证据π后，数据所有者可以检查数据转移结果。具体而言，数据所有者检查签名sig_tb的有效性。同时，数据所有者从块索引集φ中随机选择一半的索引来验证计数布隆过滤器CBF_b的正确性。当且仅当所有验证都通过时，数据所有者才相信转移证据是有效的，并且相信云服务器B诚实地存储被转移的数据。

步骤6.数据删除：当不再需要数据或数据已被成功转移到云服务器B时，数据所有者可能需要云服务器A删除一些数据块。

1)首先，数据所有者生成块索引集ψ，它将标记需要删除的数据块(注意，如果数据所有者想要删除被转移的数据块，则等式ψ＝φ成立)。然后数据所有者计算签名其中F_d是时间戳。最后，数据所有者生成数据删除请求R_d＝(delete，tag_f，ψ，T_d，sig_d)并将其发送给云服务器A。

2)接收到删除请求R_d后，云服务器A检查R_d的有效性。如果R_d是无效的，那么云服务器A退出并输出失败；否则，云服务器A通过重写删除数据块{(a_i，C_i)}_i∈ψ。同时，云服务器A从CBF_s中删除{a_q}_q∈ψ并获得新的计数型布隆过滤器CBt_d。最后，云服务器A计算签名sig_da＝Sign(delete||R_d||CBF_d)，并将数据删除证据τ＝(sig_da，CBF_d)返回给数据所有者。

3)接收到数据删除证据τ后，数据所有者检查签名sig_da的有效性。如果签名sig_da是无效的，那么数据所有者退出并输出失败；否则，数据所有者从块索引集ψ中随机选择一半的索引来检查等式CBF(a_q)＝0并确定a_q是否属于CBF_d。如果等式成立，那么数据所有者相信τ是有效的。此后，如果数据所有者在云服务器A上发现数据块{(α_i，C_i)}_i∈ψ，则他有权向云服务器A索赔。

备注1.等式CBF(a_q)＝0成立意味着对于所有的q∈ψ，至少有一个a_q使得等式h_i(a_q)＝0成立，那么表示a_q不属于计数型布隆过滤器CBF_d。

下面结合安全性分析对本发明的应用原理作进一步的描述。

(1)数据机密性：外包数据机密性是指如果没有相应的数据解密密钥，任何攻击者都无法从密文中获得任何明文信息。在上传数据之前，数据所有者使用IND-CPA安全AES算法加密外包文件。此外，数据所有者对数据解密密钥进行保密。也就是说，任何攻击者都无法获得解密密钥进而恶意地获取明文信息。因此，本发明的方案可以保证外包数据的机密性。

(2)数据完整性。数据完整性是指被转移的数据块必须完好无损，否则目标云服务器B拒绝接受数据块。接收到来自云服务器A的数据块(a_i，C_i)和来自数据所有者的哈希值H_i后，云服务器B检查等式H_i＝H(tag_f||a_i||c_i)，其中i∈φ。注意，哈希值{H_i}_i∈φ由数据所有者用安全的单向哈希函数计算所得。因此，云服务器A和其他攻击者不能伪造一个新的数据块(α_i，C_i′)使等式H_i＝H(tag_f||a_i||C_i′)成立。也就是说，如果云服务器A只发送部分数据，或者将一些不相关的数据块转移给云服务器B，或者数据块在迁移过程中被攻击者篡改了，那么云服务器B可以检测到这些恶意行为，且不会接受这些数据块。因此，本发明的方案可以保证被转移数据块的完整性。

(3)可公开验证性：下面本发明将分别分析数据转移结果和数据删除结果的可验证性。

拥有数据转移证据π＝(sig_ta，sig_tb，CBF_b)和数据转移请求R_t的验证者能够验证转移结果。具体而言，验证者首先检查转移请求R_t的有效性。如果R_t是有效的，则说明数据所有者确实请求将数据块迁移到云服务器B。然后验证者进一步验证签名sig_ta和sig_tb的有效性。由于目标云服务器B不会与原始云服务器A串通，以欺骗数据所有者。因此，当且仅当两个签名都有效时，验证者才能相信返回的数据转移结果。另外，验证者可以通过验证返回的计数型布隆过滤器CBF_b来检查云服务器B是否诚实地维护被转移的数据。

另外，拥有数据删除证据τ＝(sig_da，CBF_d)和删除请求R_d的验证者可以验证删除结果。首先，验证者检查删除请求R_d的有效性。如果删除请求R_d是无效的，那么说明数据所有者从未要求删除数据块；否则，验证者进一步验证签名sig_da的有效性和计数型布隆过滤器CBF_d的正确性。当且仅当所有验证都通过时，验证者认为删除证据τ是正确的。因此，如果数据所有者随后在云服务器A上发现数据块{(a_i，C_i)}_i∈ψ，则有权向云服务器A索赔。

虽然计数型布隆过滤器存在误判率，但本发明可以降低其概率。根据文献分析，误判率是P_f＝(1-e^-kn/m)^k，其中m是计数布隆过滤器的长度，n和k分别代表元素的数量和计数型布隆过滤器包含的哈希函数个数。当k＝ln2*(m/n)时，误判率P_f达到最小值，约为(0.6185)^m/n。在本发明的方案中，本发明令k＝20和m/n＝29，因此，误判率P_f约等于2^-20，可以忽略不计。

下面结合仿真实验对本发明的应用效果作详细的描述。

本发明通过仿真实验提供方案的性能评估。更具体地说，本发明使用OpenSSL库和PBC库在配备有4G内存和Intel(R)Core(TM)i5-4590处理器笔记本电脑上模拟本发明的方案。另外，本发明假设计数型布隆过滤器包含20个哈希函数，计数型布隆过滤器的大小与数据块的数量的比值是29。此外，本发明省略了一些额外的开销，例如通信和加法。

外包文件往往包含一些应保密的敏感信息，因此，数据所有者必须在外包之前对文件进行加密。主要的计算开销来自数据加密密钥生成、数据块加密和哈希值计算，时间开销如图6所示。从图6中本发明可以发现时间开销将随着加密数据的大小和数据块的数量增加而递增。由于数据加密操作是一次性的，并且可以离线完成。因此，可以说本发明的方案在数据加密阶段是高效的。

将数据集上传到云服务器A后，数据所有者能够验证存储结果。为了生成存储证据，云服务器A需要计算20n个哈希值并生成一个签名。然后，数据所有者执行签名验证操作并计算10n个哈希值以验证存储证据的有效性，效率评估如图7所示。虽然时间开销会随着数据块的数量而增加，但是所耗时间非常小，对数据所有者而言是可以接受的。

为了实现数据安全转移和转移结果验证，数据所有者需要分别执行一个签名生成和签名验证操作，并计算10l个哈希值，其中l是需要转移的数据块的数量。然后，云服务器A和云服务器B需要生成两个签名，还需要验证三个签名并计算21l哈希值以完成数据转移，时间开销如图8所示。虽然时间成本会随着被转移数据块的数量递增而递增，但是大部分的运算是云服务器A和云服务器B完成的。因此，对于数据所有者而言，本发明的方案是高效的。

最后，数据所有者需要删除一些数据块并验证删除结果。数据所有者需要计算一个签名以生成删除请求。然后云服务器A需要分别计算一个签名并执行一个签名验证操作，同时需要计算20p哈希值以生成删除证据，其中p是需要删除的数据块的数量，图9给出了数据删除的耗时。随后，数据所有者可以通过验证证据来检查删除结果，时间开销如图10所示。

本发明解决两个不同云服务器之间数据的安全转移和可验证删除问题。在将数据外包给云服务器之前，数据所有者随机地将一些不相关的数据块***到外包文件中。在将数据块迁移到云服务器B后，云服务器B将验证所接收数据块的完整性，并向数据所有者返回转移证据。数据所有者可以验证转移结果，以确保成功迁移数据块。通过使用ECDSA和CBF，云服务器A能够生成新的计数型布隆过滤器作为删除的证据，并且数据所有者可以验证证据的有效性确保数据块已确实被删除。通过安全性分析和仿真结果，验证了本发明所提方案的安全性和实用性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种支持外包数据安全转移与可验证删除的方法，其特征在于，所述支持外包数据安全转移与可验证删除的方法包括：

首先在将密文外包到云服务器A后，数据所有者检查存储结果并删除文件的本地备份；

然后数据所有者为了享受更合适的存储服务或出于客观因素，中途更换云存储服务供应商，并将外包数据从原始云服务器A迁移到目标云服务器B，并检查转移结果；

最后当数据转移完成或数据所有者不再需要数据时，要求云服务器删除数据并检查删除结果。

2.如权利要求1所述的支持外包数据安全转移与可验证删除的方法，其特征在于，所述支持外包数据安全转移与可验证删除的方法具体包括：

步骤一，初始化：分别为数据所有者、云服务器A和云服务器B生成ECDSA公私钥对(PK_o，SK_O)，(PK_A，SK_A)和(PK_B，SK_B)；数据所有者选择k个安全的单向抗碰撞哈希函数f₁，…，f_k，它们将[1，n]中的整数映射到CBF中的不同单元格，即f_i：[1，n]→[1，m]；数据所有者为将被外包到云服务器A的文件选择一个独一无二的标签tag_f；

步骤二，数据加密：数据所有者使用安全的加密算法对外包数据进行加密，并将密文数据集发送给云服务器A；

步骤三，数据外包：云服务器A保存数据集并生成相关的存储证据；数据所有者可以检查存储结果并删除文件的本地备份；

步骤四，数据转移：当数据所有者想要更换云存储服务供应商时，他需要将部分数据块，甚至整个文件从原始云服务器A转移到目标云服务器B；

步骤五，转移结果验证：在数据迁移之后，云服务器B检查转移的正确性并将转移结果返回给数据所有者；

步骤六，数据删除：当不再需要数据或数据已被成功转移到云服务器B时，数据所有者可能需要云服务器A删除数据块。

3.如权利要求2所述的支持外包数据安全转移与可验证删除的方法，其特征在于，所述步骤二数据所有者使用安全的加密算法对外包数据进行加密具体包括：

1)首先，数据所有者将需外包的文件划分为n′块；同时，数据所有者在随机的位置***n-n’个随机的数据块；然后数据所有者将随机位置记录在表PF中，外包文件表示为F＝(m₁，…，m_n)；

2)对于每个数据块m_i，数据所有者随机选择一个独一无二的整数a_i作为m_i的索引，并计算数据加密密钥k_i＝H(tag_f||α_i||SK_o)，其中i＝1，2，...，n；数据所有者使用密钥k_i将数据块m_i加密：同时计算哈希值H_i＝H(tag_f||a_i||C_i)，其中，Enc是一种IND-CPA安全的对称加密算法；数据所有者将数据集D＝{(a_i，C_i)}_i∈[1，n]连同文件标签tag_f一起发送给云服务器A。

4.如权利要求2所述的支持外包数据安全转移与可验证删除的方法，其特征在于，所述步骤三云服务器A保存数据集并生成相关的存储证据，数据所有者检查存储结果并删除文件的本地备份具体包括：

1)在接收到D和tag_f后，云服务器A保存数据集D，并使用索引(a₁，a₂，…，a_n)构建计数型布隆过滤器CBF_s；同时，云服务器A保存文件标签tag_f作为外包数据集D的索引；云服务器A计算签名并发送存储证据λ＝(CBF_s，T_s，sig_s)给数据所有者，其中Sign是ECDSA签名算法，T_s是时间戳；

2)接收到存储证据λ后，数据所有者验证存储证据的有效性，数据所有者首先检查签名sig_s的有效性；如果sig_s是无效的，那么数据所有者退出并输出失败；否则，数据所有者从块索引集(a₁，a₂，…，a_n)中随机选择其中的一半来检查CBF_s的正确性；如果CBF_s不正确，那么数据所有者退出并输出失败；否则，数据所有者删除文件的本地备份。

5.如权利要求2所述的支持外包数据安全转移与可验证删除的方法，其特征在于，所述步骤四当数据所有者想要更换云存储服务供应商时，需要将部分数据块，甚至整个文件从原始云服务器A转移到目标云服务器B具体包括：

1)首先，数据所有者生成块索引集φ，其标识需要转移的数据块；然后数据所有者计算签名其中T_t是时间戳；数据所有者生成转移请求R_t＝(transfer，tag_f，φ，T_t，sig_t)，并将其发送给原始云服务器A；同时，数据所有者将哈希值{H_i}_i∈φ发送给目标云服务器B；

2)接收到转移请求R_t后，云服务器A检查R_t的有效性；如R_t是无效的，那么云服务器A退出并输出失败；否则，云服务器A计算签名并将数据块连同签名sig_ta和转移请求R_t一起发送给目标云服务器B。

6.如权利要求2所述的支持外包数据安全转移与可验证删除的方法，其特征在于，所述步骤五在数据迁移之后，目标云服务器B检查转移的正确性并将转移结果返回给数据所有者具体包括：

1)首先，目标云服务器B检查数据转移请求R_t和签名sig_ta的有效性；如果不是两个都有效，则云服务器B退出并输出失败；否则，云服务器B检查等式H_i＝H(tag_f||a_i||C_i)是否成立，其中i∈φ；如果H_i≠H(tag_f||a_i||C_i)，则云服务器B将会要求云服务器A再次发送数据块(α_i，C_i)；否则，云服务器B执行2)；

2)云服务器B存储数据块并使用索引来构造新的计数型布隆过滤器CBF_b；云服务器B计算签名最后，云服务器B将转移证据π＝(sig_ta，sig_tb，CBF_b)返回给数据所有者；

3)收到转移证据π后，数据所有者可以检查数据转移结果，数据所有者检查签名sig_tb的有效性；同时，数据所有者从块索引集φ中随机选择一半的索引来验证计数布隆过滤器CBF_b的正确性；当且仅当所有验证都通过时，数据所有者才相信转移证据是有效的，并且相信云服务器B诚实地存储被转移的数据。

7.如权利要求2所述的支持外包数据安全转移与可验证删除的方法，其特征在于，所述步骤六当不再需要数据或数据已被成功转移到云服务器B时，数据所有者可能需要云服务器A删除数据块具体包括：

1)首先，数据所有者生成块索引集ψ，它将标记需要删除的数据块，如果数据所有者想要删除被转移的数据块，则等式ψ＝φ成立；然后数据所有者计算签名其中T_d是时间戳；最后，数据所有者生成数据删除请求R_d＝(delete，tag_f，ψ，T_d，sig_d)并将其发送给云服务器A；

2)接收到删除请求R_d后，云服务器A检查R_d的有效性；如果R_d是无效的，那么云服务器A退出并输出失败；否则，云服务器A通过重写删除数据块{(a_i，C_i)}_i∈ψ；同时，云服务器A从CBF_s中删除{a_q}_q∈ψ并获得新的计数型布隆过滤器CBF_d；最后，云服务器A计算签名sig_da＝Sign(delete||R_d||CBF_d)，并将数据删除证据τ＝(sig_da，CBF_d)返回给数据所有者；

3)接收到数据删除证据τ后，数据所有者检查签名sig_da的有效性；如果签名sig_da是无效的，那么数据所有者退出并输出失败；否则，数据所有者从块索引集ψ中随机选择一半的索引来检查等式CBF(a_q)＝0并确定a_q是否属于CBF_d；如果等式成立，那么数据所有者相信τ是有效的；之后如果数据所有者在云服务器A上发现数据块{(a_i，C_i)}_i∈ψ，则他有权向云服务器A索赔。

8.一种应用权利要求1～7任意一项所述支持外包数据安全转移与可验证删除的方法的云服务器。