CN102611749B - 一种云存储数据安全审计方法 - Google Patents

Abstract

本发明公开了一种云存储数据安全审计方法，分为如下四个步骤，（1）生成密钥(KeyGen)；（2）标记消息块(TagBlock)；（3）生成验证值(GenProof)；（4）验证验证值(CheckProof)。本发明属于一个新的公共审计协议，该协议不仅能够实现第三方审计者对用户云存储数据的有效审计，并且协议综合复杂度相较于现有的公共审计协议有进一步改善。

Description

一种云存储数据安全审计方法

技术领域

本发明涉及一种数据安全审计协议，尤其涉及一种云存储数据的公共审计协议。

背景技术

云计算是一种新兴的服务模式，近年来受到了学术界和商业界的广泛关注。云计算将各种计算资源、存储资源、软件资源集合在一起，形成巨大规模的共享虚拟IT资源池，为远程计算机用户提供“能力无限”的IT服务。但是在云计算给我们带来很多便利的同时也面临很多安全挑战，如果不能够很好的解决，将严重影响云计算的发展。

云存储是云计算的一个基本组成部分，个人或是商业机构可以将他们海量的数据存储在云服务器上，这样可以给他们带来很多便利：(1)减小了存储管理的压力；(2)能够实现与地域无关的数据访问；(3)减少购买存储硬件和软件以及数据维护的资金花费。云存储已经开始在商业上得到了应用并且存储所需的花费也相对低，例如Amazon公司的s3数据存储服务只需每千兆字节每月0.12-0.15美元。因此我们可以相信随着云计算的快速发展，将会有越来越多的用户将选择将数据存储在云服务器上。

正如上面提到的一样，云计算正面临着很多安全挑战，云存储在给我们带来很多优势和便利的同时也存在很多的安全问题。用户将数据存储到云服务器上后，用户就失去了对数据控制，这样使得云存储的数据面临严重的安全问题：(1)虽然云服务提供商能够提供安全性更高的存储设备，但是海量的数据存储在云服务器上使得数据更容易遭受攻击者的主动攻击，同时云服务提供商同样可能因为一些不可抗拒的客观原因造成对用户数据的丢失；(2)对云服务供应商来说，由于一些利益原因，他们可能不会真实的反应对用户数据的存储情况，例如：云服务供应商可能因为利益原因删除一些用户很少访问的数据，或是云服务提供商隐瞒了由他造成的用户数据的丢失来维护他的声誉。因此可以看出，云存储虽然能带来很多优势和便利，但是它并不能保证用户存储数据的真实性和完整性。

通常用户存储在云服务器上的数据量是巨大的，显然单纯的直接下载云服务器中的数据来验证数据的真实性和完整性是不可行的。为了解决上面提到的云存储中的安全问题，我们需要对存储在云服务器上的数据进行安全审计，通过数据安全审计协议能够使审计者以一个很小的计算量和通信量来确保云服务器数据的真实性和完整性。

根据审计者的不同，数据安全审计协议分为用户自我审计和公共审计。

Juels和Kaliski（A.Juels and B.Kaliski,PORs:Proofs of retrievability forlarge files,In ACM CCS’07,Full paper available on e-print(2007/243),2007.）提出了一个用户自我审计协议，实现了用户对云存储中数据的有效审计，随后人们又提出了若干的用户自我审计协议。但是在实际应用中用户的计算能力和通信能力是有限的，用户可能不具备对云存储数据进行审计的能力，那么用户可以委托一个公共的可信第三方审计者(TPA)来实现对云服务器中数据的审计。

Shah等人（M.Shah,M.Baker,J.Mogul,and R.Swaminathan,Auditing to keeponline storage services honest,In Proc.of HotOS’07.Berkeley,CA,USA:USENIXAssociation,2007,pp.1-6.；M.Shah,R.Swaminathan,and M.Baker,Privacy-preserving audit and extraction of digital contents,Cryptology ePrint Archive,Report2008/196,2008.）提出了基于数据块加密的公共审计协议，但是该协议要求用户先将数据块加密然后再存储到云服务器中，这样限制了该协议的应用范围。

Ateniese等人（G.Ateniese,R.Burns,R.Curtmola,J.Herring,L.Kissner,Z.Peterson,and D.Song,Provable data possession at untrusted stores,CryptologyePrint Archive,Report2007/202,2007.）提出了一个高效的公共审计协议，但是该协议不能确保数据对TPA的保密性。

Wang等人（C.Wang,Q.Wang,K.Ren,andW.Lou,Privacy-preserving publicauditing for data Storage Security in cloud computing,In InfoCom2010,IEEE,March2010.）提出了一个数据对TPA保密的公共审计协议，并声称该协议能够抵御现有的各种攻击。但是我们分析发现该协议不能抵御恶意云服务器的攻击，恶意云服务器可以任意修改用户存储数据而不被TPA发现。

发明内容

针对上述现有技术，本发明要解决的技术问题是提供一种云存储数据安全审计方法，其属于一个新的公共审计协议，该协议不仅能够实现第三方审计者对用户云存储数据的有效审计，并且协议综合复杂度相较于现有的公共审计协议有进一步改善。

为了解决上述技术问题，本发明采用如下技术方案：一种云存储数据安全审计方法，包括如下步骤：

（1）生成密钥：

用户选择随机数x∈Z_p,u∈G₁，并计算v=g^x，v∈G₂；其中，Z_p表示整数模p剩余类集合，G₁和G₂表示阶为素数_p的循环群，_g表示G₂的一个生成元，G₁和G₂满足双线性映射e：G₁×G₂→G_T，G_T表示阶为素数_p的循环群，用户将(v,_g,u)做公钥对外公布，将x做私钥；

（2）标记数据块：

在存储数据的文件F＝{m_i}(1≤i≤n)中，m_i∈Z_P，用户对每个数据块m_i计算生成标记值：

然后用户将集合{F,{σ_i}_1≤i≤n}发送给云服务器保存；其中，H（i）表示单向哈希函数，定义映射为{0,1}^*→G₁；

（3）生成验证值：

第三方审计者选择需要审计的被标记的数据块数c，并产生随机密钥k₁,k₂，然后第三方审计者将对云服务器发起的挑战值challenge=(c,k₁,k₂)发送给云服务器；

云服务器收到challenge后，需要生成一个对challenge的正确响应，其中，先定义一个伪随机排列π_key(·)和一个伪随机函数f_key(·)，π_key(·)定义映射为

f_key(·)定义映射为{0,1}^*×key→Z_p，则云服务器计算云服务器根据challenge中的k₁和数据块数c得到的一串审计者需要审计的数据块序号

计算云服务器根据挑战中的k₂和数据块数c得到的一串随机数 $v_j={f_k}_2\left(j\right)(1\≤j\≤c),$

设集合I＝{s_j}(1≤j≤c)，集合I中每个元素s_j的值用i表示，云服务器计算其根据自己每次审计随机选择的密钥k₃和挑战值challenge得到的随机值

然后云服务器计算响应值R＝u^r∈G₁,中间变量μ′＝Σ_i∈Iv_im_i,响应值μ＝μ′+rh(R)∈Z_p,响应值最后云服务器将{μ,σ,R}发送给第三方审计者作为对challenge的响应；其中，h(R)表示单向哈希函数，定义映射为G₁→Z_p；

（4）验证验证值：

第三方审计者收到响应值{μ,σ,R}后，同样根据密钥k₁,k₂计算数据块序号 $S_j={{\mathrm{\π}}_k}_1\left(j\right)(1\≤j\≤c),$ 随机数 $v_j={f_k}_2\left(j\right)(1\≤j\≤c),$ 然后通过验证公式：

进行验证，若第三方审计者验证等式相等，则云服务器正确存储了用户的数据，其中验证公式等式两边分别为审计者生成的双线性对。

与现有技术相比，本发明具有以下有益效果：该协议不仅能够实现第三方审计者对云存储中数据的有效审计，并且协议综合复杂度相较于现有的公共审计协议有进一步改善。

具体实施方式

下面将结合具体实施方式对本发明作进一步的描述。

一种云存储数据安全审计方法，即云存储数据安全审计协议，具体如下：

1.1协议中使用的符号含义

F表示存储数据的文件，它是由n个数据块m₁,…,m_n∈Z_p组成，其中p是一个大素数；

f_key(·)表示一个伪随机函数，定义映射为{0,1}^*×key→Z_p；

π_key(·)表示一个伪随机排列，定义映射为

H(·)表示单向哈希函数，定义映射为{0,1}^*→G₁，其中G₁是阶为素数p的循环群。

h(·)表示单向哈希函数，定义映射为G₁→Z_p。

1.2双线性映射

G₁,G₂,G_T是阶为素数p的循环群，g₁是群G₁的生成元，g₂是群G₂的生成元。双线性映射e：G₁×G₂→G_T，满足如下的性质：

(1)双线性：给定元素u∈G₁,v∈G₂，对任意a,b∈Z_p，有e(u^a,v^b)＝e(u,v)^ab。

(2)非退化性：e(g₁,g₂)≠1。

(3)可计算性：存在一个有效的算法，对任何可能的输入都能有效的进行计算。

1.3协议描述

云存储数据安全审计协议分为4个阶段：生成密钥(KeyGen)，标记消息块(TagBlock)，生成验证值(GenProof)，验证验证值(CheckProof)。新协议的具体描述如下：

(1)生成密钥(KeyGen)：

用户选择随机数x∈Z_p,u∈G₁，计算v=g^x。公钥(v,g,u)，私钥x。

(2)标记消息块(TagBlock)

存储数据的文件F＝{m_i}(1≤i≤n)，用户对每个数据块m_i计算生成标记值：

然后用户将{F,{σ_i}_1≤i≤n}发送给云服务器保存。

(3)生成验证值(GenProof)：

第三方审计者选择需要审计的数据块数c，并产生随机密钥k₁,k₂。然后第三方审计者将challenge=(c,k₁,k₂)发送给云服务器。

云服务器收到challenge后，需要生成一个对challenge的正确响应。首先云服务器计算

设I＝{s_j}(1≤j≤c)，I中每个元素s_j的值用i表示。云服务器计算

其中k₃是云服务器为每次审计随机选择的密钥。然后云服务器计算R＝u^r∈G₁,μ′＝Σ_i∈Iv_im_i,μ＝μ′+rh(R)∈Z_p,

最后云服务器将{μ,σ,R}发送给第三方审计者作为对challenge的响应。

(4)验证验证值(CheckProof)

第三方审计者收到{μ,σ,R}后，同样根据k₁,k₂计算

$v_j={f_k}_2\left(j\right)(1\≤j\≤c).$ 然后验证：

$e(\mathrm{\σ},g)\stackrel{?}{=}e({\mathrm{\Π}}_{i\∈I}{H\left(i\right)}^{v_i}\·u^{\mathrm{\μ}}\·R^{-h\left(R\right)},v)$

若用户验证等式相等，则表示云服务器正确存储了用户的数据，其中，等式两边都是审计者生成的双线性对。

验证公式推导如下：

$\begin{array}{c}e(\mathrm{\σ},g)=e({\mathrm{\Π}}_{i\∈I}{\mathrm{\σ}}_i^{v_i},g)=e{({\mathrm{\Π}}_{i\∈I}\left({H\left(i\right)\·}^{\mathrm{mi}}\right)}^{x\·v_i},g)=e{\left({\mathrm{\Π}}_{i\∈I}{(H{\left(i\right)}^{v_i}\·u}^{m_i{v}_i}\right),g)}^x\\ =e({\mathrm{\Π}}_{i\∈I}\left(H{\left(i\right)}^{v_i}\right)\·{u^{\mathrm{\μ}}}^{\′},g^{x\′})=e({\mathrm{\Π}}_{i\∈I}\left(H{\left(i\right)}^{v_i}\right)\·u^{\mathrm{\μ}-\mathrm{rh}\left(R\right)},v)=e({\mathrm{\Π}}_{i\∈I}\left(H{\left(i\right)}^{v_i}\right)\·u^{\mathrm{\μ}}\·R^{-h\left(R\right)},v)\end{array}$

本申请提出了一个新的云存储数据公共审计协议，该协议不仅能够实现第三方审计者对云存储中数据的有效审计，并且协议综合复杂度相较于现有的公共审计协议有进一步改善。

将本发明的协议与现有的公共审计协议Wang协议（C.Wang,Q.Wang,K.Ren,and W.Lou,Privacy-preserving public auditing for data Storage Security in cloudcomputing,In InfoCom2010,IEEE,March2010.）与Ateniese协议（G.Ateniese,R.Burns,R.Curtmola,J.Herring,L.Kissner,Z.Peterson,and D.Song,Provabledata possession at untrusted stores,Cryptology ePrint Archive,Report2007/202,2007.）进行比较，对比结果如表1。

其中n表示用户存储数据块的数量，对比内容包括综合复杂度（包括用户计算复杂度、服务器计算复杂度、通信复杂度、服务器生成验证值时对数据的访问复杂度）、基于的困难问题、用户数据对TPA的隐私保密性、协议安全性。通过对比可以看出新协议不仅能够实现第三方审计者对用户云存储数据的有效审计并且具有用户数据对TPA的隐私保密性。新协议的综合复杂度同Wang协议与Ateniese协议相比都是O(1)，但是Wang协议存在安全问题，不能实现第三方审计者对用户云存储数据的有效审计；Ateniese协议不具有用户数据对TPA的隐私保密性而且它是基于RSA困难问题，而新协议是基于椭圆曲线上的离散对数问题，这使得在同等安全级别上新协议不论从计算量还是通信量都优于Ateniese协议。

表1

Claims (1)

1.一种云存储数据安全审计方法，其特征在于，包括如下步骤：

（1）生成密钥：

用户选择随机数x∈Z_p,u∈G₁，并计算v=g^x，v∈G₂；其中，Z_p表示整数模p剩余类集合，G₁和G₂表示阶为素数p的循环群，g表示G₂的一个生成元，G₁和G₂满足双线性映射e：G₁×G₂→G_T，G_T表示阶为素数p的循环群，用户将(v,g,u)做公钥对外公布，将x做私钥；

（2）标记数据块：

在存储数据的文件F＝{m_i}(1≤i≤n)中，m_i∈Z_P，用户对每个数据块m_i计算生成标记值：

然后用户将集合{F,{σ_i}_1≤i≤n}发送给云服务器保存；其中，n为文件F的数据块数，H（i）表示单向哈希函数，定义映射为{0,1}^*→G₁；

（3）生成验证值：

第三方审计者选择需要审计的被标记的数据块数c，并产生随机密钥k₁,k₂，然后第三方审计者将对云服务器发起的挑战值challenge=(c,k₁,k₂)发送给云服务器；

云服务器收到challenge后，需要生成一个对challenge的正确响应，其中，先定义一个伪随机排列π_key(·)和一个伪随机函数f_key(·)，π_key(·)定义映射为f_key(·)定义映射为{0,1}^*×key→Z_p，则云服务器计算云服务器根据challenge中的k₁和数据块数c得到的一串审计者需要审计的数据块序号

计算云服务器根据挑战中的k₂和数据块数c得到的一串随机数

$v_j={f_k}_2\left(j\right)(1\≤j\≤c),$

设集合I＝{s_j}(1≤j≤c)，集合I中每个元素s_j的值用i表示，云服务器计算其根据自己每次审计随机选择的密钥k₃和挑战值challenge得到的随机值然后云服务器计算响应值R＝u^r∈G₁,中间变量值μ′＝Σ_i∈Iv_im_i,响应值μ＝μ′+rh(R)∈Z_p,响应值

最后云服务器将{μ,σ,R}发送给第三方审计者作为对challenge的响应；其中，h(R)表示单向哈希函数，定义映射为G₁→Z_p；

（4）验证验证值：

第三方审计者收到响应值{μ,σ,R}后，同样根据密钥k₁,k₂计算数据块序号 $S_j={{\mathrm{\π}}_k}_1\left(j\right)(1\≤j\≤c),$ 随机数 $v_j={f_k}_2\left(j\right)(1\≤j\≤c),$ 然后通过验证公式：进行验证，若第三方审计者验证等式相等，则云服务器正确存储了用户的数据，其中验证公式等式两边分别为审计者生成的双线性对。