CN103501352A - 一种允许群组用户身份撤销的云存储数据安全审计方法 - Google Patents

Abstract

本发明公开了一种允许群组用户身份撤销的云存储数据安全审计方法，分为如下六个步骤，（1）生成密钥（KeyGen），（2）计算重签名密钥（ReKey）；（3）生成签名（Sign），（4）生成重签名（ReSign）；（5）生成验证值（GenProof）；（6）验证验证值（CheckProof）。本发明不仅能够实现在群组用户身份撤销后第三方审计者对共享数据的有效审计，而且该方法的安全性相较于现有的允许群组用户身份撤销的公共审计协议的解决方法有进一步增强。由此可见，本发明的方法可以增强人们对云存储安全的信心，从而促进云存储环境的健康发展。

Description

一种允许群组用户身份撤销的云存储数据安全审计方法

技术领域

本发明涉及数据安全的技术领域，尤其涉及一种允许群组用户身份撤销的云存储数据安全审计方法。

背景技术

随着互联网和计算技术的发展，人们的生活已经悄然进入了“云时代”。置身于“云”中，人们想要的各类信息触手可及，可以像使用自来水一样按需使用几乎是无限的软硬件资源，云计算将人类真正带入了信息时代。但是云计算给我们带来很多便利的同时也面临很多安全挑战，如果不能够很好的解决，将严重影响云计算的发展。

云存储是云计算中“基础设施即服务”（Infrastructure as a Service,laaS)的一种重要形式，将存储资源作为服务通过互联网提供给用户使用。借助于虚拟化和分布式计算与存储技术，云存储可以将众多廉价的存储介质整合为一个存储资源池，用户可以按自己对存储资源的实际需求量向云服务提供商租用池内资源，省却了本地的存储硬件及人员投入。一些知名IT公司已经提供云存储服务并作为其云计算服务的重要组成部分，如Amazon公司的SimpleStorage Service(S3)、Google公司的Google Cloud Storage等。

虽然云存储服务在性能和成本上具有诸多优势，它让用户无需投入大量的存储硬件及软件资源，即可享受大容量、高规格的存储服务，但目前云存储并未得到足够普遍的应用。主要由于在云环境中用户的数据脱离了自己的安全管控，因此引发了机密性、完整性和可用性等一系列的安全问题，最基本的就是数据的完整性问题。数据的完整性要求数据不在未经授权的情况下被修改或丢弃，是数据安全C.L A.三大特性之一。

传统存储系统的数据完整性检查主要基于访问模式，如在线存储系统、海量存储系统及数据库存储系统等，用户将文件从存储服务器上下载到本地后对文件完整性进行检查。作为一种新型的存储系统和模式，由于用户存储在云服务器（Cloud Server，CS）上的数据量是巨大的，显然直接下载CS中的数据来验证数据的真实性和完整性是不可行的，它会增加CS的负担并严重浪费网络的带宽资源。为了解决上述问题，需要对存储在云服务器上的数据进行安全审计，通过数据安全审计协议能够使审计者以一个很小的计算量和通信量来确保云服务器数据的真实性和完整性。

此外，使用云环境提供的数据存储和共享服务技术，人们可以通过共享数据的方式以群组形式协同工作。当群组中用户离开后，最直观的方法是云服务器将该用户创建和维护的数据及对应的签名返回给当前群组某个用户，该用户验证数据未被修改后使用自己的私钥重新对该数据签名并存储至云服务器。该方法过于复杂，需要耗费大量的通信带宽和计算资源。理想的方法是令云服务器直接将离开群组用户的签名转换为当前群组用户的签名，从而使得审计者使用当前群组用户的公共信息即可执行审计任务。

根据审计者的不同，数据安全审计协议分为用户自我审计和公共审计。Juels和Kaliski提出了一个用户自我审计协议，实现了用户对云存储中数据的有效审计，随后人们又提出了若干的用户自我审计协议。但是在实际应用中用户的计算能力和通信能力是有限的，用户可能不具备对云存储数据进行审计的能力，那么用户可以委托一个公共的可信第三方审计者（TPA）来实现对云服务器中数据的审计。

Shah等人提出了基于数据块加密的公共审计协议，但该协议要求先将数据块加密后再存储到云服务器中，限制了该协议的应用范围。Ateniese等人提出了一个高效的公共审计协议，但该协议不能确保数据对TPA的保密性。C.Wang等人提出了一个数据对TPA保密的公共审计协议，并声称该协议能够抵御现有的各种攻击。但该协议不能抵御恶意云服务器的攻击，恶意云服务器可以任意修改用户存储数据而不被TPA发现。

上述工作均未考虑群组用户共享数据时面临的公共审计问题。B.Wang等人使用代理重签名技术首次给出了针对共享数据公共审计的方法，解决了群组用户身份撤销面临的问题。具体说来，B.Wang等人的方法工作原理如下：共享数据创建者U₁创建共享数据后，群组成员可以通过访问并修改数据的方式共享最新数据。为了实现公共审计，用户需对共享数据签名，某个用户修改数据块时需利用自己的私钥产生新的签名。如果一个用户（记为B）离开群组，由B签名的消息块应由当前群组成员（记为A）重新签名。为了避免用户反复下载和上传大量数据带来的巨大的通信开销，B.Wang等人提议由CS代替A进行重签名，从而大大提高了公共审计协议的效率。

但B.Wang等人的方案中，当离开群组的用户的私钥泄露后，当前群组中其他用户的私钥也面临着被泄露的危险。如果云服务器计算出当前群组成员的私钥，则可以随意选择数据并计算对应的签名，从而损害当前群组用户的利益。例如，当用户通过审计发现云服务器删除掉用户访问较少的某些数据后，向公平第三方提出诉讼；此时云服务器随意选择数据并使用当前群组用户的私钥计算签名，之后提交给公平第三方并声称该用户所存储的数据完整无损；此时公平第三方无法分辨云服务器提交的数据和签名到底是云用户产生还是云服务器产生，从而给云用户带来损失。

因此，有必要设计一种新的云存储数据安全审计方法，从而在有用户离开群组时有效的保护群组中现有用户的私钥，并实现第三方审计者对数据的有效审计。

发明内容

针对上述现有技术，本发明要解决的技术问题是提供一种安全的、允许群组用户身份撤销的云存储共享数据审计方法，该方法不仅能够实现在群中用户身份撤销后第三方审计者对共享数据的有效审计，而且该方法的安全性相较于现有的允许群组中用户身份撤销的公共审计有进一步增强。

为了解决上述技术问题，本发明采用如下技术方案：一种允许群组用户身份撤销的云存储数据安全审计方法，其特征在于，包括如下步骤：

（1）生成密钥：

令G₁和G₂分别表示阶为素数p的循环群，g为G₁的一个生成元，w为G₁的一个随机元素，G₁和G₂满足双线性映射e：G₁×G₁→G₂，全局参数为(e,p,G₁,G₂,g,w,H,H')，其中H为哈希函数H：{0,1}^*→G₁，H'为哈希函数H`:{0,1}^*→Z_q；

用户U_i选择随机数x_i∈Z_p，并计算

；其中，Z_p表示整数模p剩余类集合，用户将pk_i作为公钥对外公布，将x_i作为私钥，不失一般性，假设用户U₁为共享数据的创建者，U₁同时创建一个用户列表（UL），该列表包括群中所有用户的身份，用户列表公开且由U₁签名；

（2）计算重签名密钥：

假设用户U_j离开群组，U_i为当前群组用户，云服务器欲将U_j的签名转变为Ui的签名。首 先云服务器产生一个随机数r∈Z_p并发送给用户U_j，U_j计算并发送给用户U_i；之后U_i产生一 个随机数r_i∈Z_p，并计算及，其中，然后发送给云服 务器；最后云服务器计算重签名密钥

（3）生成签名：

在存储数据的共享文件M={m_k}(1≤k≤n)中，m_k∈Z_p，共享数据创建者U₁对每个数据块m_k计算签名：

其中id_k为数据块标记符，x₁为用户U₁的私钥，然后U₁将集合{M,{σ_k}_1≤k≤n}发送给云服务器保存，并删除本地数据M；

当群组用户U_i修改某个共享数据块为m_k时，使用自己的私钥x_i对修改后的数据块计算签名

之后将修改后的数据块和相应的签名发送给云服务器保存，并删除本地数据；

（4）生成重签名：

当用户U_j从群中离开时，云服务器可以将用户U_j的签名转变成当前群中用户U_i对同一数 据块的签名；具体说来，给定重签名密钥rk_j→i、公钥pk_j、签名σ_k、数据块m_k及数据块标记符 id_k，云服务器首先检验是否成立，若不成立，云服务器输出⊥， 否则，云服务器计算并输出

重签名之后，数据初始创建者U₁将用户U_j的id号从UL列表移除，并对新的UL列表签名；

（5）生成验证值：

为了审计共享数据的完整性，第三方审计者随机从集合[1,n]中选择一个包含c个元素的子集L，用于定位要审计的c个随机数据块，之后产生随机数y_l∈Z_q，其中l∈L且q是一个比p小得多的素数，最后将对云服务器发起的挑战值｛（l，y_l）｝_l∈L发送给云服务器；

云服务器收到挑战值后，需要生成一个正确响应；具体说来，云服务器首先将集合L分 成d个子集L₁、L₂、…、L_d，其中L_i是用户U_i签名的数据块标识符索引集合，L_i中元素数量是 c_i；不失一般性，此处假设U_j的签名均转变成U1的签名；此时U₁对应的签名有两种类型：用 户U₁自己所做的签名和云服务器所做的代理签名，因此将L₁进一步分为两部分L₁₁和L₁₂，其 中L₁₁为U₁所做签名的数据块标识符索引集合，L₁₂为云服务器所做的代理签名的数据块标识 符索引集合，满足L₁＝L₁₁∪L₁₂，令c₁=c₁₁+c₁₂，其中c₁₁为U₁所做的签名数，c₁₂ 为云服务器所做的代理签名数，显然，且i≠j；

对每个集合L_i（i≠1），云服务器计算

对于L₁，云服务器分别计算及

最后云服务器将{α,β,γ,{id_l}_l∈L}发送给第三方审计者作为对挑战者的响应；其中，其中α₁＝（α₁₁，α₁₂），β₁＝（β₁₁，β₁₂）；

（6）验证验证值：

第三方审计者收到响应值{α,β,γ,{id_l}_l∈L}后，利用{(l,y_l)}_l∈L及所有当前群中用户的公钥（pk₁,…,pk_d），进行如下验证：

对于，通过等式验证；

对于l∈L₁₁，通过等式验证；

对于l∈L₁₂，通过等式验证，其 中λ＝h(γ)；

若第三方审计者验证等式相等，则表明云服务器正确存储了用户的数据，其中验证公式等式两边分别为审计者生成的双线性对。

综上所述，本方案可以很好地解决当群组某个用户离开时当前群组用户的私钥面临的威胁问题。具体体现在：在计算重签名密钥阶段，通过随机掩码技术，将当前群组用户的私钥掩藏起来，从而使得即使离开群组用户的私钥泄露给云服务器，云服务器也无法计算出当前群组成员的私钥，进而维护了群组用户的利益。由此可见，本发明的方法可以增强人们对云存储安全的信心，从而促进云存储环境的健康发展。

本发明具有以下有益效果：

1、该方法能够实现第三方审计者对云存储中共享数据的有效审计；

2、该方法允许群组中用户身份撤销时由服务器对该用户的签名数据进行代理重签名，从而避免云用户从云服务器下载大量数据及验证、重签名等复杂计算，进而节省了大量的通信带宽及云用户的计算量；

3、最为重要的是，该方法的安全性相较于现有的允许群组用户身份撤销的公共审计协议的解决方法有进一步增强，即保护了当前群组用户的私钥安全性不受离开群组用户私钥的影响。

具体实施方式

下面将结合具体实施方式对本发明作进一步的描述。

一种允许群组用户身份撤销的云存储数据安全审计方法，具体如下：

1.1该方法中使用的符号含义

M表示存储在云服务器的共享数据，它由n个数据块m₁，…,m_n组成；n表示共享数据的总块数；d表示群组中用户的总数；

令G₁和G₂分别表示阶为p的循环群，g为G₁的一个生成元，w为G₁中的一个随机元素。p是素数，长度为160比特；q是一个比p小得多的素数，长度为64比特；

H表示单向哈希函数，定义映射为H:{0,1}^*→G₁，其中G₁是阶为素数p的循环群；H'为一个抗碰撞的哈希函数，定义映射为H':{0,1}*→Z_q；h表示单向哈希函数，定义映射为h:G₁→Z_p，其中G₁是阶为素数p的循环群；

idi表示数据块标识符，定义为id_i＝{V_i||R_i||S_i}，其中Vi为该数据块的虚拟索引，R_i＝H'{m_i||V_i}，S_i为数据块m_i的签名者身份标识符。

1.2双线性映射

G₁、G₂是阶为素数p的循环群，g是群G₁的生成元。双线性映射e：G₁×G₁→G₂，满足如下的性质：

（1）双线性：给定元素u,v∈G₁，对任意a,b∈Z_p，有e(u^a,v^b)=e(u,v)^ab。

（2）非退化性：e(g,g)≠1.

（3）可计算性：存在一个有效的算法，对任何可能的输入都有效地进行计算。

1.3方法描述

该方法步骤为：生成密钥（KeyGen），计算重签名密钥（ReKey）；生成签名（Sign），生成重签名（ReSign）；生成验证值（GenProof）；验证验证值（CheckProof）。该方法的具体描述如下：

（1）生成密钥（KeyGen）：

用户U_i选择随机数x_i∈Z_p，并计算

。用户将pk_i作为公钥对外公布，将x_i作为私钥。不失一般性，假设用户U₁为共享数据的创建者，U₁同时创建一个用户列表（UL），该列表包括群中所有用户的身份。用户列表公开且由U₁签名。

（2）计算重签名密钥（ReKey）：

假设用户U_j离开群组，U_i为当前群组用户，云服务器欲将U_j的签名转变为Ui的签名。首 先云服务器产生一个随机数r∈Z_p并发送给用户U_j，U_j计算并发送给用户U_i；之后U_i产生一 个随机数r_i∈Z_p，并计算及，其中，然后发送给云服 务器；最后云服务器计算重签名密钥

（3）生成签名（Sign）：

在存储数据的共享文件M={m_k}(1≤k≤n)中，m_k∈Z_p，共享数据创建者U₁对每个数据块m_k计算签名：其中id_k为数据块标记符，x₁为用户U₁的私钥，然后U₁将集合{M,{σ_k}_1≤k≤n}发送给云服务器保存，并删除本地数据M；

当群组用户U_i修改某个共享数据块为m_k时，使用自己的私钥x_i对修改后的数据块计算签名

之后将修改后的数据块和相应的签名发送给云服务器保存，并删除本地数据；

（4）生成重签名（ReSign）：

当用户U_j从群中离开时，云服务器可以将用户U_j的签名转变成当前群中用户U_i对同一数 据块的签名。具体说来，给定重签名密钥rk_j→i、公钥pk_j、签名σ_k、数据块m_k及数据块标记符 id_k，云服务器首先检验是否成立。若不成立，云服务器输出⊥， 否则，云服务器计算并输出

重签名之后，数据初始创建者U₁将用户U_j的id号从UL列表移除，并对新的UL列表签名；

（5）生成验证值（GenProof）：

第三方审计者随机从集合[1,n]中选择一个包含c个元素的子集L，用于定位要审计的c个随机数据块，之后产生随机数y_l∈Z_q，最后将对云服务器发起的挑战值｛（l，y_l）｝_l∈L发送给云服务器。

云服务器收到挑战值后，需要生成一个正确响应。具体说来，云服务器首先将集合L分 成d个子集L₁、L₂、…、L_d，其中L_i是用户U_i签名的数据块标识符索引集合，L_i中元素数量是 c_i。不失一般性，此处假设U_j的签名均转变成数据初始创建者U₁的签名。此时U₁对应的签名 有两种类型：用户U₁自己所做的签名和云服务器所做的代理签名，因此将L₁进一步分为两部 分L₁₁和L₁₂，其中L₁₁为U₁所做签名的数据块标识符索引集合，L₁₂为云服务器所做的代理签名 的数据块标识符索引集合，满足令c₁=c₁₁+c₁₂，其中c₁₁为U₁所做 的签名数，c₁₂为云服务器所做的代理签名数，显然，且 i≠j。对每个集合L_i（i≠1），云服务器计算对于L₁， 云服务器分别计算及 最后云服务器将{α,β,γ,{id_l}_l∈L}发送给第三方审计者作为对挑战者的响应；其中，其中α₁＝（α₁₁，α₁₂），β₁＝（β₁₁，β₁₂）；

（6）验证验证值（CheckProof）：

第三方审计者收到响应值{α,β,γ,{id_l}_l∈L}后，利用{(l,y_l)}_l∈L及所有当前群中用户的公钥（pk₁,…,pk_d），进行如下验证：

对于，通过等式验证。

对于l∈L₁₁，通过等式验证。

对于l∈L₁₂，通过等式验证，其 中λ＝h(γ)。

若第三方审计者验证等式相等，则表明云服务器正确存储了用户的数据，其中验证公式等式两边分别为审计者生成的双线性对。

验证公式推导如下：

本发明不仅能够实现在群组用户身份撤销后第三方审计者对群组用户云中共享数据的有效审计，而且无需当前群组用户下载退出群组的用户所管理的共享数据，从而有效节省了大量带宽和当前群组用户的计算量。更重要的是，该方法的安全性相较于现有的允许群组用户身份撤销的公共审计方法有进一步增强。

将本发明方法的安全性与现有的公共审计方法C.Wang协议（C.Wang,Q.Wang,K.Ren,and W.Lou,Privacy-preserving public auditing for data Storage Security in Cloud computing,InInforCom2010,IEEE,March2010.）与B.Wang协议（Boyang Wang,Baochun Li,Hui Li,PublicAuditing for Shared Data with Efficient User Revocation in the Cloud,In INFOCOM2013,IEEE,April2013.）进行比较，对比结果如表1。

表1

其中n表示用户存储数据块的数量，对比内容包括综合复杂度（包括用户计算复杂度、服务器计算复杂度、通信复杂度、服务器生成验证值时对数据的访问复杂度）、基于的困难问题、是否允许群组用户身份撤销、安全性。通过对比可以看出该方法不仅能够实现第三方审计者对用户云存储共享数据的有效审计并且允许群组用户身份撤销。该方法的综合复杂度同C.Wang协议的解决方法与B.Wang协议的解决方法相比都是O（1），但是C.Wang协议的解决方法存在安全问题，不允许群组用户身份撤销；B.Wang协议的解决方法虽然允许群组用户身份撤销，但当离开群组用户的私钥泄露后，该协议不再安全；而本发明方法不但允许群组用户身份撤销，且当离开群组用户的私钥泄露后，该协议依然安全。

以上只是本发明的优选实施方式进行了描述，本领域的技术人员在本发明的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围内。

Claims (1)

1.一种允许群组用户身份撤销的云存储数据安全审计方法，其特征在于，包括如下步骤：

（1）生成密钥：

令G₁和G₂分别表示阶为素数p的循环群，g为G₁的一个生成元，w为G₁中的一个随机元素，G₁和G₂满足双线性映射e：G₁×G₁→G₂，全局参数为(e,p,G₁,G₂,g,w,H,H')，其中H为哈希函数H：{0,1}^*→G₁，H'为哈希函数H`:{0,1}^*→Z_q；

用户U_i选择随机数x_i∈Z_p，并计算；其中，Z_p表示整数模p剩余类集合，用户将pk_i作为公钥对外公布，将x_i作为私钥，不失一般性，假设用户U₁为共享数据的创建者，U₁同时创建一个用户列表（UL），该列表包括群中所有用户的身份，用户列表公开且由U₁签名；

（2）计算重签名密钥：

假设用户U_j离开群组，U_i为当前群组用户，云服务器欲将U_j的签名转变为U_i的签名。首 先云服务器产生一个随机数r∈Z_p并发送给用户U_j，U_j计算并发送给用户U_i；之后U_i产生一 个随机数r_i∈Z_p，并计算及，其中，然后发送给云服 务器；最后云服务器计算重签名密钥

（3）生成签名：

在存储数据的共享文件M={m_k}(1≤k≤n)中，m_k∈Z_p，共享数据创建者U1对每个数据块m_k计算签名：，其中id_k为数据块标记符，x₁为用户U₁的私钥，然后U₁将集合{M,{σ_k}_1≤k≤n}发送给云服务器保存，并删除本地数据M；

当群组用户U_i修改共享数据时，使用自己的私钥x_i对修改后的数据块签名，之后将修改后的数据块和相应的签名发送给云服务器保存，并删除本地数据；

（4）生成重签名：

当用户U_j从群中离开时，云服务器可以将用户U_j的签名转变成当前群中用户Ui对同一数 据块的签名；具体说来，给定重签名密钥rk_j→i、公钥pk_j、签名σ_k、数据块m_k及数据块标记符 id_k，云服务器首先检验是否成立，若不成立，云服务器输出⊥， 否则，云服务器计算并输出

重签名之后，数据初始创建者U₁将用户U_j的id号从UL列表移除，并对新的UL列表签名；

（5）生成验证值：

为了审计共享数据的完整性，第三方审计者随机从集合[1,n]中选择一个包含c个元素的子集L，用于定位要审计的c个随机数据块，之后产生随机数y_l∈Z_q，其中l∈L且q是一个比p小得多的素数，最后将对云服务器发起的挑战值｛（l，y_l）｝_l∈L发送给云服务器；

云服务器收到挑战值后，需要生成一个正确响应；具体说来，云服务器首先将集合L分 成d个子集L₁、L₂、…、L_d，其中L_i是用户U_i签名的数据块标识符索引集合，L_i中元素数量是 c_i；不失一般性，此处假设U_j的签名均转变成U1的签名；此时U1对应的签名有两种类型：用 户U₁自己所做的签名和云服务器所做的代理签名，因此将L₁进一步分为两部分L₁₁和L₁₂，其 中L₁₁为U₁所做签名的数据块标识符索引集合，L₁₂为云服务器所做的代理签名的数据块标识 符索引集合，满足L₁＝L₁₁∪L₁₂，令c₁=c₁₁+c₁₂，其中c₁₁为U₁所做的签名数，c₁₂ 为云服务器所做的代理签名数，显然，且

对每个集合L_i（i≠1），云服务器计算

对于L₁，云服务器分别计算及

最后云服务器将{α,β,γ,{id_l}_l∈L}发送给第三方审计者作为对挑战者的响应；其中，其中α₁＝（α₁₁，α₁₂），β₁＝（β₁₁，β₁₂）；

（6）验证验证值：

第三方审计者收到响应值{α,β,γ,{id_l}_l∈L}后，利用{(l,y_l)}_l∈L及所有当前群中用户的公钥（pk₁,…,pk_d），进行如下验证：

对于，通过等式验证；

对于l∈L₁₁，通过等式验证；

对于l∈L₁₂，通过等式验证，其 中λ＝h(γ)；

若第三方审计者验证等式相等，则表明云服务器正确存储了用户的数据，其中验证公式等式两边分别为审计者生成的双线性对。