CN103414690A - 一种可公开验证云端数据持有性校验方法 - Google Patents

Abstract

一种可公开验证云端数据持有性校验方法，该方法包括初始化、用户挑战-响应验证和TTP仲裁3个阶段共10个步骤，步骤1，数据分割{F→F'}；步骤2，验证标签生成{(sk,F)→HVTs}；步骤3，数据与标签信息上传{(F,HVT)→S}；步骤4，秘密参数备案至TTP（可信第三方）；步骤5，TTP验证备案参数；步骤6，用户发起挑战{chal}，并将chal及其验证信息交予TTP备案；步骤7，服务器作出响应；步骤8，验证{(R,sk)→("success","failure")}；步骤9，验证相关信息获取；步骤10，可信第三方公开验证。本发明能够实现用户对其数据在云存储服务器中存在性/完整性验证，具有用户验证次数不受限、客户端存储量小计算复杂度低等优点，有较好的实用价值和广阔的应用前景。

Description

一种可公开验证云端数据持有性校验方法

（一）技术领域

本发明提供一种可公开验证云端数据持有性校验方法，它涉及一种用于验证存储于云服务器中的用户数据存在性和完整性，并实现用户数据远端存储服务验证公平性的方法，属于云计算安全领域。

（二）背景技术

云存储是以数据存储和管理为核心业务的云计算系统构建，旨在通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能。

但云存储也给数据保护带来了新的安全挑战与威胁。云存储中的数据安全隐患存在的根源在于用户数据被集中、外包到云服务器中。这种方式令用户失去了对其数据的控制权，而数据可能会遭到非法授权地泄露，篡改，删除，修改等恶意行为；虽然云存储基础设施较个人计算设备计算能力更强与可靠性更高，但依然面临内部和外部的安全威胁；觊觎云端数据的黑客们亦不断尝试分析探测服务商产品漏洞，以期造成数据泄露、获取有价值数据；出于利益考虑原因，云存储供应商对用户的数据可能存在不诚实行为，如丢弃很少被访问的外包数据，隐藏数据丢失事实等。

云数据远端存储完整性校验，需兼顾数据完整性验证的正确性、低通信、存储和计算开销等。基于此考虑，本发明涉及的主要技术和内容有基于离线可信赖第三方的公平云存储数据完整性校验，签名技术，同态加密算法。

同态加密是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。同态加密源于2009年IBM公司的克雷格·金特里（Craig Gentry）发表的一篇文章，文章公布了一项关于密码学的全新发现：对加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。本发明采用了Paillier同态加密算法，该密码算法满足加法同态的性质，即对于数据m∈Z_n，用公钥n和生成元g进行加密的结果为：ε(m)=g^mrⁿmodn²，其中r为随机数，其同态的性质为： $\mathrm{\ϵ}\left(m_1\right)\·\mathrm{\ϵ}\left(m_2\right)=\left(g^{m_1}{r}^n\right)\left(g^{m_2}{r}^n\right)=g^{m_1+m_2}{\left(r_1{r}_2\right)}^n=\mathrm{\ϵ}(m_1+m_2\mathrm{mod}n).$

（三）发明内容

（1）发明目的

本发明目的在于提出一种可公开验证云端数据持有性校验方法。保证验证双方诚实、公平参与云数据存储完整性校验，有效监测服务双方欺诈行为。针对现有技术存在的问题，本发明所要解决的技术问题主要有：

拟解决技术问题一：实现用户对其数据在云存储服务器中数据存在性/完整性验证。对恶意云服务商行为有效检测，同时确保：

a)用户验证无需取回原存储数据；

b)验证次数不受限制；

c)低存储复杂度；

d)客户端低计算复杂度；

e)低通信复杂度。

拟解决技术问题二：实现用户云数据远端存储服务验证公平性。有效监测恶意用户对诚实服务商的虚假评价行为，具体确保：

a)防止用户篡改验证关键信息，伪造验证行为；

b)确保数据完整性校验公平性同时，避免产生瓶颈节点；

c)优化通信计算复杂度；

d)第三方验证无信息泄露。

（2）技术方案

为达到上述目的，本发明引入离线可信赖第三方，结合基于椭圆曲线的数字签名技术，同态加密算法，杂凑函数等技术，提出基于可信赖第三方的公平云数据远端存储正确性验证方法。方案共有三方参与：数据拥有者/用户(Client)；云存储服务器(Server)；离线可信赖第三方(TTP)。方法共包括三个阶段，十个步骤。具体流程如图1所示：

本发明涉及一种可公开验证云端数据持有性校验方法，具体进行方式如下：

阶段1：初始化：如图2所示，包括第(1)～(5)步，数据F的拥有者执行数据分割操作，验证标签的生成{(sk,F)→HVTs}操作，然后将数据块f_i和验证标签存储到云端服务器进行存储和管理；用户将秘密参数安全交予可信第三方，同时可信第三方还需验证用户的合法性；

步骤1：数据分割{F→F'}:User首先对原始数据F（以文件的形式存在）进行预处理，F被分割成n个等大小的数据块{f₁,f₂,…,f_n}，然后用户（User）外包（outsouring）数据块至云端（CSP）进行存储和管理；

步骤2：验证标签生成{(sk,F)→HVTs}:对于每一个数据块f_i，根据设定的安全参数为其计算同态标签，所生成的同态标签具有加法同态的性质；

步骤3：数据与标签信息上传{(F,HVT)→S}:用户将同态标签(T₁,T₂,…,T_l)和数据块f_i一起存入服务器，用户则自己存储私钥和一些随机数；

步骤4：秘密参数备案至TTP：用户将秘密参数通过安全信道交予可信第三方；

步骤5：TTP验证备案参数：依据备案参数，可信第三方完成对参数正确性的验证，以判断是否为一个合法用户；

阶段2：用户挑战-响应验证：如图3所示，包括第(6)～(8)步，用户生成挑战，指定其要检测的随机数据块，根据用户挑战，云服务器通过执行生成证据（GenProof）{(chal,HVTs,F)→R}操作作出响应；然后用户执行验证{(R,sk)→("success","failure")}操作，作出数据检测结果判断。

步骤6：用户发起挑战{chal}，并将chal及其验证信息交予TTP备案：当用户想要验证服务器S是否正确持有数据的时，用户向服务器发出挑战：用户生成一个挑战chal，发送给服务器，对chal进行签名后，将挑战及其验证信息交予TTP备案，以进行验证。

步骤7：服务器作出响应：生成证据（GenProof）{(chal,HVTs,F)→R}:当服务器收到挑战chal时，存储数据块F的服务器需要产生一个证据R=(T,ρ)，服务器将R及其验证信息一同返回给用户。

步骤8：验证{(R,sk)→("success","failure")}：当用户收到服务器返回的R时，利用秘密参数sk进行运算，从而对其服务器存储的数据状态进行判断，结果为“success”或者“failure”。

阶段3：TTP仲裁：如图4所示，包括第（9）～（10）步，如果验证{(R,sk)→("success","failure")}操作的输出结果为“failure”，则用户声称数据被损坏，在与服务商发生争议时，可请求可信第三方进行仲裁；

步骤9：验证相关信息获取：将阶段2中的挑战chal及其验证信息、响应R及其验证信息提交给可信第三方，同时可信第三方（TTP）提取阶段1中所备案用户信息。

步骤10：可信第三方公开验证：可信第三方验证挑战chal及响应R的合法性，然后执行与步骤8相同的操作进行验证，并公布仲裁结果。

其中，在步骤3中所述的“私钥”是相对于“公钥”而言，二者构成了双钥密码体制，即采用两个密钥将加密和解密能力分开：一个密钥公开作为加密密钥，称为公钥；一个密钥为用户专用，作为解密密钥，称为私钥。

（3）优点及功效

本发明是一种可公开验证云端数据持有性校验方法，该方法涉及可信第三方和数据验证方面，其优点和功效是：实现用户对其数据在云存储服务器中存在性/完整性验证。对恶意云服务商行为有效检测，同时具有：1）用户验证无需取回原存储数据；2）验证次数不受限制；3）低存储复杂度，用户的本地存储量小，用户只需存储私钥；4）客户端低计算复杂度，仅为椭圆曲线上进行的一次解密速度；5）低通信复杂度，用户发出的挑战和服务器作出的响应的通信量固定的，为GF(N²)域上的数，与存储数据大小无关；6）在减小服务器计算开销（降低为原开销的c/n,c为抽样块数，n为总块数）同时，仍可保证检查的高置信度，在损坏率为1%,抽样块数为400时,置信度可达98%）等优势；另外，可实现用户云数据远端存储服务验证公平性。有效监测恶意用户对诚实服务上虚假评价行为，同时具有：7)防止用户篡改验证关键信息，伪造验证行为；8)确保数据完整性校验公平性同时，避免产生瓶颈节点；9)优化通信计算复杂度；10)第三方验证无信息泄露等优势。

（四）附图说明

图1本发明所述方法流程图

图2校验方法阶段1：初始化

图3校验方法阶段2：用户挑战/应答验证

图4校验方法阶段3：TTP仲裁

图5可公开验证的云数据存储完整性校验方法系统框架图

图6数据预处理流程图

图7具体验证过程流程图

图8挑战信息I₁、证据信息I₂数据结构图

图中符号、代号说明如下：

TTP：离线可信赖第三方

Server：云存储服务器

Chal:挑战

Sign():签名算法    H()：哈希算法

I₁：挑战信息  I₂:证据信息

Nounce：随机数

TimeStamp：时间戳

ID：用户身份信息

（五）具体实施方式

以下将结合附图对所述的完整性校验方法详细阐述，见图1-8所示。图5为本发明的系统框图；图6为本发明的数据预处理流程图，图7为某次完整性验证过程流程图，图8为挑战信息I₁、证据信息I₂的数据结构图。

主要的符号及算法解释：

（1）代表用户原数据，其被分割成n个数据块，f_i为第i个数据向量块。

（2）E()和D()为分别为paillier密码算法的加密算法和解密算法，k₁为其公钥，k₂为其私钥，N为模数，paillier加密算法满足加法同态的性质。

（3）G为椭圆曲线E_P(a,b)的生成元，其中大素数p<N，P=yG，P表示在挑战中的公开参数，y为用户产生的保密参数。

（4）sign()为某种签名算法，可选用某种常用的一些签名算法，如RSA、ElGamal、DSA等。H()为某种哈希算法，nounce，TimeStamp，ID分别代表随机数，时间戳和用户身份信息。

（5）π(·)是一个伪随机置换(pseudorandom permutation，PRP)函数，即满足其中k₃为其密钥，用于确定每次随机抽取的数据块的位置。

（6）x_i∈Z_p为保密的随机数，p为（3）中设定的大素数，x_i可以由带密钥的伪随机发生器产生，为用户的保密参数。

本发明可分为初始化、用户挑战-响应、可信第三方公开验证三个阶段，其中可信第三方验证阶段为选择性执行阶段。如图5，本发明提供了一种可公开验证云端数据持有性校验方法，该方法具体步骤如下：

1.初始化阶段

本阶段包括数据分块，验证标签的生成，数据与标签信息上传，秘密参数备案至TTP以及TTP验证备案参数。如图6所示。

步骤1：数据分块：

（1）用户将要存储到云端的数据文件F分割成n块，每一块都可表示为伽罗华域中的元素GF(p)，其中p为大素数。即为：

F=(f₁,f₂,…,f_n)

步骤2：验证标签的生成：

（1）设置相关参数。用户选择一条椭圆曲线E_p(a,b)，取其生成元为G；设置Paillier加密算法的公钥为k₁=(n,g)，私钥为k₂=(λ,μ)；选择伪随机置换函数π(·)；生成随机整数x_i∈Z_p，并且用户需要为其保密。

（2）用户为分割后的每个数据块f_i生成同态标签

其中，

表示采用Paillier密码算法的公钥k₁=(n,g)进行加密。所以，每一块数据的同态标签为(T₁,T₂,…,T_n)。

步骤3：数据与标签信息上传：

用户将同态标签(T₁,T₂,…,T_n)和数据块F一起存入服务器S，用户则自己存储私钥和随机数x_i∈Z_p。

步骤4：秘密参数备案至TTP

用户将随后验证过程中需要的秘密参数（k₂=(λ,μ)，y，x_i∈Z_p）通过安全信道交予TTP。

步骤5：TTP验证备案参数

依据备案参数，可信第三方验证其秘密参数以判断是否为一个合法的用户。

（1）随机选择一个消息m，以k₁对其进行加密

然后采用

解密，若能成功解密，则该参数k₂=(λ,μ)验证通过；

（2）随机选择一个消息m，以P对其进行加密E_p(m)，然后采用D_y(E_P(m))解密，若能成功解密，则该参数y验证通过；若k₂=(λ,μ)和y均通过验证，则该用户为合法用户，否则为欺诈用户。

2.用户挑战-响应验证阶段

本阶段中，用户和服务器之间的交互操作流程如图7所示。

步骤6：用户发起挑战：

当用户想要验证服务器S是否正确持有数据的时，用户向服务器发出挑战：用户生成一个挑战chal=(c,k₃)，发送给服务器。其中，1≤c≤n，k₃为伪随机置换函数π(·)的密钥，P=yG。同时用户对其挑战chal进行签名得到验证信息sign(H(chal||nounce||Timestamp||ID))，之后将chal及其验证信息chal||sign||nounce||TimeStamp||ID等一并交予TTP备案，以用来之后公开验证时验证chal的发起者确实为该用户；

步骤7：服务器作出响应：

（1）服务器S根据挑战chal，对于每一个1≤r≤c进行如下计算：

$i_r={\mathrm{\&pi;}}_{k_3}\left(r\right)$

然后根据所得到的i_r，进行如下计算：

$T\&equiv;T_{i_1}......T_{i_c}\mathrm{mod}{N}^2$

$\mathrm{\&rho;}=(f_{i_1}+f_{i_2}+\&CenterDot;\&CenterDot;\&CenterDot;+f_{i_c})P\mathrm{mod}N$

（2）服务器S对计算证据R=(T,ρ)进行签名得到

sign(H(R||nounce||TimeStamp||ID))。

（3）服务器S将计算的证据R||sign||nounce||TimeStamp||ID一并返回给用户。

步骤8：用户验证服务器返回的证据：

（1）当用户收到服务器S返回的证据(T,ρ)后，执行如下操作：用私钥k₂=(n,g)依据Paillier密码算法对T进行解密得到对于每一个1≤r≤c计算然后依据i_r选择

，执行c次

得到τ。

（2）验证n·τ·G=ρ，若等式成立则验证成功，说明服务器S正确持有用户的数据；否则，则说明该服务器S数据存储出现了错误。

3.TTP仲裁

当用户声称数据被损坏，与服务商发生争议时，可请求可信第三方进行仲裁，执行该阶段的操作。本阶段中，用户，可信第三方和服务器三者之间的交互操作流程如图7所示。

步骤9：验证相关信息获取

将阶段2中服务器返回的证据R||sign||nounce||TimeStamp||ID发送给可信第三方。同时可信第三方提取阶段2中用户该次发起的挑战及其验证信息chal||sign||nounce||Timestamp||ID。

步骤10：可信第三方公开验证

（1）可信第三方首先验证chal及sign(H(chal||nounce||TimeStamp||ID))，通过chal的签名信息sign(H(chal||nounce||TimeStamp||ID))验证chal；

（2）通过签名信息sign(H(R||nounce||TimeStamp||ID))验证R；

（3）然后执行与步骤8相同的操作进行验证，即8.1和8.2。判断是否与用户诉求一致公布仲裁结果，如若一致，则云服务器存在欺诈行为，否则用户为欺诈用户。

Claims (2)

1.一种可公开验证云端数据持有性校验方法，其特征在于：该方法具体进行方式如下：

阶段1：初始化：包括步骤1～步骤5，数据F的拥有者执行数据分割操作，验证标签的生成{(sk,F)→HVTs}操作，然后将数据块f_i和验证标签存储到云端服务器进行存储和管理；用户将秘密参数安全交予可信第三方，同时可信第三方还需验证用户的合法性；

步骤1：数据分割{F→F'}:User首先对原始数据F以文件的形式存在进行预处理，F被分割成n个等大小的数据块{f₁,f₂,…,f_n}，然后用户即User外包即outsouring数据块至云端即CSP进行存储和管理；

步骤2：验证标签生成{(sk,F)→HVTs}:对于每一个数据块f_i，根据设定的安全参数为其计算同态标签，所生成的同态标签具有加法同态的性质；

步骤3：数据与标签信息上传{(F,HVT)→S}:用户将同态标签(T₁,T₂,…,T_l)和数据块f_i一起存入服务器，用户则自己存储私钥和一些随机数；

步骤4：秘密参数备案至TTP：用户将秘密参数通过安全信道交予可信第三方；

步骤5：TTP验证备案参数：依据备案参数，可信第三方完成对参数正确性的验证，以判断是否为一个合法用户；

阶段2：用户挑战-响应验证：包括步骤6～步骤8，用户生成挑战，指定其要检测的随机数据块，根据用户挑战，云服务器通过执行生成证据即GenProof证据{(chal,HVTs,F)→R}操作作出响应；然后用户执行验证{(R,sk)→("success","failure")}操作，作出数据检测结果判断；

步骤6：用户发起挑战{chal}，并将chal及其验证信息交予TTP备案：当用户想要验证服务器S是否正确持有数据的时，用户向服务器发出挑战：用户生成一个挑战chal，发送给服务器，对chal进行签名后，将挑战及其验证信息交予TTP备案，以进行验证；

步骤7：服务器作出响应：生成证据{(chal,HVTs,F)→R}:当服务器收到挑战chal时，存储数据块F的服务器需要产生一个证据R=(T,ρ)，服务器将R及其验证信息一同返回给用户；

步骤8：验证{(R,sk)→("success","failure")}：当用户收到服务器返回的R时，利用秘密参数sk进行运算，从而对其服务器存储的数据状态进行判断，结果为“success”或者“failure”；

阶段3：TTP仲裁：包括步骤9～步骤10，如果验证{(R,sk)→("success","failure")}操作的输出结果为“failure”，则用户声称数据被损坏，在与服务商发生争议时，请求可信第三方进行仲裁；

步骤9：验证相关信息获取：将阶段2中的挑战chal及其验证信息、响应R及其验证信息提交给可信第三方，同时可信第三方即TTP提取阶段1中所备案用户信息；

步骤10：可信第三方公开验证：可信第三方验证挑战chal及响应R的合法性，然后执行与步骤8相同的操作进行验证，并公布仲裁结果。

2.根据权利要求1所述的一种可公开验证云端数据持有性校验方法，其特征在于：在步骤3中所述的“私钥”，是相对于“公钥”而言，二者构成了双钥密码体制，即采用两个密钥将加密和解密能力分开：一个密钥公开作为加密密钥，称为公钥；一个密钥为用户专用，作为解密密钥，称为私钥。

Images