CN104038493A - 无双线性对的云存储数据安全审计方法 - Google Patents

Abstract

本发明提供一种无双线性对的云存储数据安全审计方法。用户将自己的数据块加密后放到云服务器上，以防止数据信息的泄露。同时，用户让可信审计者对数据进行审计，并保证数据信息不会泄露给可信审计者；根据本发明的数据审计方案，不需要计算花销很大的双线性就能对云存储数据进行安全审计。

Description

无双线性对的云存储数据安全审计方法

技术领域

本发明涉及数据安全审计技术，特别涉及对云存储数据的安全审计。

背景技术

云存储，作为云计算的一个重要组成部分，可以使个人或企业用户摆脱自身资源的束缚，享受许多便利：(1)减小了存储管理的压力；(2)能够实现与所在地域无关的数据访问；(3)减少软硬件购买和资源维护的费用。可以相信，随着云计算的快速发展，将会有更多的用户将自己的数据存储在云端。然而，正是这种集中式、外包式的数据存储模式，使得云存储技术给人们带来好处的同时，也引发了对数据安全的关切。

为了解决云存储数据的安全问题，需要我们对存储在云上的数据进行安全审计。在实际应用中用户的计算能力和通信能力都很有限，用户可能不具备对云存储数据进行有规律审计的能力。目前云存储数据审计方案中，委托可信审计者(TPA)来对云存储数据进行审计具有明显的应用优势。

Ateniese等在2007年最早开始研究委托第三方审计方案，但在每次审计中，TPA都可以根据所得数据的线性组合求出用户的原始数据。Wang等在2010年提出了一个具有隐私保护的公共审计方案，该方案不会将用户的原始数据泄露给TPA。但该方案存在致命安全性缺陷——云服务器可以随机修改用户存储的数据而不被TPA发现。后来Wang等又提出了另外一个新的公共审计方案，该方案可抵御恶意云服务器的欺骗攻击，但其计算量和存储量都需要进一步优化。2012年，Zhu等人提出了一个协同性可验证云数据持有(Cooperative-PDP)架构方案。该方案将可验证性数据审计模型应用到多云环境。通过使用哈希索引分级结构(Hash Index Hierarchy)技术和同态验证技术实现数据持有性验证。2013年Wang等基于Shachan和Waters的方案提出了一个满足隐私性的云存储公共审计方案。Wang等使用随机掩饰码技术来有效解决用户数据的隐私性问题，这样TPA即使从云服务器上获得审计证明信息，它也不能获取用户的原始秘密信息。但这些方案都需要运算代价较高的双线性对运算。

发明内容

本发明所要解决的技术问题是，提供一种有效保证云存储数据安全审计方法，此方法不需要计算花销很大的双线性对。

本发明为解决上述技术问题所采样的技术方式是，无双线性对的云存储数据安全审计方法，包括以下步骤：

1)系统初始化

1-1)将数据文件M分成n个数据块，这n个数据块分别分成在Z_q中的k个元素，q为大素数，Z_q为模q的剩余类环；

1-2)系统产生伪随机数发生器PRG:伪随机函数PRF:K_prf×I→Z_q，

其中，→表示映射至箭头方向，K_prg,K_prf分别为伪随机数发生器PRG和伪随机函数PRF的私钥集合，表示定义在模q剩余类环上的k维向量，I为文件中n个数据块的索引指数集合；

1-3)用户选取使得g^q≡1 mod p，∈表示属于，≡表示恒等于，表示表示模p剩余类环中的非零元，mod表示取模，g为q阶循环群的生成元，记此循环群为G；接着均匀随机地选取私钥x,且1<x<q，利用私钥x计算公钥y，y≡g^xmod p，并随机均匀地产生密钥对skp＝(sk_prg,sk_prf)，其中sk_prg∈K_prg，sk_prf∈K_prf；

1-4)用户选取一个轻量级对称密码算法ε，对称密码算法ε的密钥为τ，并设置一个安全的哈希函数H：G→Z_q；

2)签名步骤

2-1)用户计算第j个数据块m_j的同态消息认证码t_j，其中j＝1,2,…,n，中间变量l∈{1,…,k}，中间变量b_j←PRF(sk_prf,j)∈Z_q，PRG(sk_prg)表示利用密钥sk_prg作为伪随机数发生器输入，伪随机数发生器生成的k个随机数；PRF(sk_prf,j)表示利用密钥sk_prf作为伪随机函数输入，伪随机函数输出为第j个数据生成的随机数；

2-2)用户调用Schnorr变型签名算法对每一个数据块m_j的同态消息认证码t_j进行签名：随机选取随机数k_j←Z_q，计算签名数据r_j与签名数据s_j，s_j≡(r_j'k_j+t_jx)mod q，其中，r_j'≡r_j mod q，记同态消息认证码t_j的签名为σ_j＝(r_j,s_j)这样数据文件M的n个数据块消息认证码的签名集合为Ψ＝{σ_j}_1≤j≤n；

2-3)用户再调用轻量级对称密码算法ε对每一个数据块进行加密，数据文件 $M=\left(\begin{array}{c}{m}_1\\ .\\ .\\ .\\ m_n\end{array}\right)$ 被加密为 $M^{\&prime;}=\left(\begin{array}{c}{m_1}^{\&prime;}\\ .\\ .\\ .\\ {m_n}^{\&prime;}\end{array}\right);$

2-4)用户将加密数据块与数据块消息认证码的签名集合{M',Ψ}发送给服务器，并且将原始数据文件M与消息认证码的签名集合Ψ在用户端删除；

3)审计证明产生步骤

3-1)用户向可信审计者TPA发送审计请求信息；TPA接到请求信息后，产生审计挑战信息chal＝{(j,y_j)}_j∈J，TPA向云服务器发送审计挑战信息chal；挑战信息数据j∈J，J为TPA在集合{1,2,...,n}中随机选取含有c个元素的集合，其中n表示存储在云服务器上的数据块的总数，c为集合J的元素个数，y_j为TPA产生相应于挑战信息数据j的匹配系数；

3-2)当云服务器接到审计挑战信息chal,云服务器生成审计响应信息(μ,r,s,T)：

计算响应信息数据∏表示累乘；

计算响应信息数据∑表示累加；

计算中间数据其中l∈{1,…,k}

云服务器再选择一个随机数η_l←Z_q，计算并且盲化中间数据μ′_l为μ_l≡μ′_l+η_lH(T_l)，得到响应信息数据μ＝(μ₁,…,μ_k)、T＝(T₁,…,T_k)，最后云服务器发送审计响应信息(μ,r,s,T)至TPA；

4)审计证明验证步骤：

当TPA接到云服务器发给他的审计响应信息(μ,r,s,T)，TPA调用伪随机数发生器PRG、伪随机函数PRF以及轻量级对称密码算法ε，TPA验证审计响应信息的正确性如下：

4-1)计算中间变量与b_j←PRF(sk_prf,j)∈Z_q,其中j∈J。

4-2)计算中间变量 ${\mathrm{\&lambda;}}_1\&equiv;\underset{l=1}{\overset{k}{\mathrm{\&Sigma;}}}{\mathrm{\&delta;}}_l{\mathrm{\&mu;}}_l+\underset{j\&Element;J}{\mathrm{\&Sigma;}}{y}_j{b}_j\mathrm{mod}q$ 与 ${\mathrm{\&lambda;}}_2\&equiv;\underset{l=1}{\overset{k}{\mathrm{\&Sigma;}}}\underset{j\&Element;J}{\mathrm{\&Sigma;}}{\mathrm{\&delta;}}_l{y}_j{\mathrm{\&epsiv;}}_{\mathrm{\&tau;}}(l,j)\mathrm{mod}q,$ 以及哈希函数H(T_l)，其中l∈{1,…,k}，ε_τ为密钥为τ的轻量级对称密码算法

4-3)验证是否成立；如是，则表示用户存储服务器上的数据块是完整且安全，如否，表示用户存储服务器上的数据块已被修改。

本发明的有益效果是，用户将自己的数据块加密后放到云服务器上，以防止数据信息的泄露。同时，用户让可信审计者对数据进行审计，并保证数据信息不会泄露给可信审计者；根据本发明的数据审计方案，不需要计算花销很大的双线性就能对云存储数据进行安全审计。

具体实施方式

本发明的步骤分为4个部分：

系统初始化：系统对数据文件进行分块处理，生成一个伪随机数发生器，一个伪随机函数。系统再选取一个轻量级对称密码算法，以及一个安全的哈希函数。

签名步骤：用户首先调用伪随机数发生器以及伪随机函数生成用以产生数据块同态消息认证码的匹配系数，采用Schnorr变型签名算法对其进行签名，再调用一个轻量级对称密码算法对每一个数据块进行加密盲化。最后将同态消息认证码的签名集合以及盲化后的数据文件发送到云服务器，并且在用户端将签名集合以及原来的数据文件删除。

审计证明产生步骤：当用户向可信审计者发送审计请求信息，可信审计者则向云服务器发送审计挑战信息，云服务器根据审计挑战信息计算审计响应证明并发送给可信审计者。

审计证明验证步骤：接收到云服务器的审计响应证明后，审计者调用伪随机数发生器，伪随机函数，以及轻量级对称密码算法，对审计证明进行验证。

以下给出一个具体实施例说明：

实施中用到的符号说明见下表：

(一)系统初始化

1)将数据文件M(文件名为name)分成n个数据块，这n个数据块分别进一步分成在Z_q中的k个元素。M表示如下： Z_q为模q的剩余类环，为Z_q中的n*k个元素。

2)系统产生伪随机数发生器PRG:伪随机函数PRF:K_prf×I→Z_q其中K_prg,K_prf分别为PRG和PRF的私钥集合，I为文件中每一个数据块的索引指数集合，→表示映射至箭头方向，表示定义在模q剩余类环上的k维向量；

3)用户选取使得g^q≡1(mod p)，g为q阶循环群G的生成元，接着均匀随机地选取私钥x,且1<x<q，计算公钥y≡g^x mod p，并随机均匀地产生密钥对skp＝(sk_prg,sk_prf)，其中sk_prg∈K_prg，sk_prf∈K_prf。

4)用户选取一个轻量级对称密码算法ε(对称密钥为τ)，并设置一个安全的哈希函数：H:G→Z_qH→Z_q。

(二)签名步骤

1)用户首先计算b_j←PRF(sk_prf,name||j)∈Z_q。然后用户计算数据块m_j的同态消息认证码，即||表示级联符号。

2)用户调用Schnorr变型签名算法对每一个数据块m_j的同态消息认证码t_j计算签名如下：随机选取k_j←Z_q，计算r_j'≡r_j mod q，s_j≡(r_j'k_j+t_jx)mod q，记t_j的签名为σ_j＝(r_j,s_j)这样数据文件M的n个数据块消息认证码的签名集合为Ψ＝{σ_j}_1≤j≤n。

3)用户再调用轻量级对称密码算法ε将每一个数据块m_j＝(m_j,1…,m_j,k)加密为m_j'＝(m_j,1+ε_τ(1,name||j),…,m_j,k+ε_τ(k,name||j))，m_j,k+ε_τ(k,name||j)表示使用私钥为τ的对称密码算法ε对数据块m_j的第k个位置进行加密，这样数据文件 $M=\left(\begin{array}{c}{m}_1\\ .\\ .\\ .\\ m_n\end{array}\right)$ 被加密为 $M^{\&prime;}=\left(\begin{array}{c}{m_1}^{\&prime;}\\ .\\ .\\ .\\ {m_n}^{\&prime;}\end{array}\right).$

4)最后用户将{M',Ψ}发送给服务器，并且将原来的数据文件M，消息认证码的签名集合Ψ＝{σ_j}_1≤j≤n在用户端删除。

(三)审计证明产生步骤

1)为审计存储在云服务器上的数据的完整性与正确性，用户首先向可信审计者(TPA)发送审计请求信息，接到请求信息后，TPA产生审计挑战信息如下：

(1a)TPA在集合{1,2,...,n}中随机选取含有c个元素的集合J；

(1b)对于每一个j∈J，TPA产生一个相应的随机值y_j；

然后,TPA向云服务器发送审计挑战信息chal＝{(j,y_j)}_j∈J。

2)当云服务器接到来自chal＝{(j,y_j)}_j∈J,云服务器产生拥有TPA所选择的数据块的审计证明信息并计算如下：

(2a)计算 $r\&equiv;\underset{j\&Element;J}{\mathrm{\&Pi;}}{r}_j^{y_j{r}_j}\mathrm{mod}p;$

(2b)计算 $s\&equiv;\underset{j\&Element;J}{\mathrm{\&Sigma;}}{y}_j{s}_j\mathrm{mod}q;$

(2c)计算其中l∈{1,…,k}

云服务器再选择一个随机数η_l←Z_q，计算并且盲化μ′_l为μ_l≡μ′_l+η_lH(T_l)。最后云服务器发送审计响应信息(μ,r,s,T),其中μ＝(μ₁,…,μ_k)，T＝(T₁,…,T_k)。

(四)审计证明验证步骤：

当TPA接到云服务器发给他的审计响应信息(μ,r,s,T)，TPA调用伪随机数发生器PRG、伪随机函数PRF以及轻量级对称密码算法ε，TPA验证审计响应信息的正确性如下：

1)计算b_j←PRF(sk_prf,name||j)∈Z_q,其中j∈J。

2)计算 ${\mathrm{\&lambda;}}_1\&equiv;\underset{l=1}{\overset{k}{\mathrm{\&Sigma;}}}{\mathrm{\&delta;}}_l{\mathrm{\&mu;}}_l+\underset{j\&Element;J}{\mathrm{\&Sigma;}}{y}_j{b}_j\left(\mathrm{mod}q\right),$ ${\mathrm{\&lambda;}}_2\&equiv;\underset{l=1}{\overset{k}{\mathrm{\&Sigma;}}}\underset{j\&Element;J}{\mathrm{\&Sigma;}}{\mathrm{\&delta;}}_l{y}_j{\mathrm{\&epsiv;}}_{\mathrm{\&tau;}}(l,\mathrm{name}|\left|j\right)\left(\mathrm{mod}q\right),$ 以及H(T_l)，其中l∈{1,…,k}。

3)验证以下等式是否成立： $g^s\&equiv;{\mathrm{ry}}^{{\mathrm{\&lambda;}}_1-{\mathrm{\&lambda;}}_2}\underset{l=1}{\overset{k}{\mathrm{\&Pi;}}}{T}_l^{-{\mathrm{\&delta;}}_{l}H\left(T_l\right)}\left(\mathrm{mod}p\right).$

如果等式成立，用户就可以相信他存储在这个服务器上的数据块是完整的,未被篡改,并且这些数据块信息未被泄露给TPA。

验证公式推导如下：

通过以下比较对本发明的使用效果做补充说明：

本发明方法与Wang等在2013年发表的具有隐私保护的公共审计方法(Privacy-PreservingPublic Auditing for Secure Cloud Storage)进行比较，如下表，表中所涉及的计算量和通信量的符号说明如下：

分别代表在群G₁中一个乘法的计算量，双线性群G_T中一个乘法的计算量，Z_p,Z_q中一个乘法的计算量。

分别代表Z_p,Z_q中一个加法的计算量。

代表哈希值映射到Z_p,Z_q及群G₁上需要的计算量。

Enc_ε分别代表在群Z_p、G₁和双线性群G_T中一个指数运算的计算量，一个双线性对的计算量，一个轻量级对称密码算法所需要的计算量。

|q|,|p|分别代表在Z_q,Z_p中的元素的比特数，|G₁|,|G_T|分别代表在群G₁、双线性群G_T中一个元素的比特数，|n|代表审计挑战信息中配比的系数长度。

由上表可知，Wang的方法需要2个双线性对运算，相比其它计算，这需要更大的计算量，并且|G₁|,|G_T|所需通信量也明显比其它高。我们的云存储数据安全审计方法不需要双线性对运算，在计算量和通信量上都比Wang的方法更占优势，并且我们的方法是基于离散对数困难问题的Schnorr变型签名算法，其安全性也得到了足够的保证。

本发明提供一种无双线性对的云存储数据安全审计方法。在本发明方案产生签名步骤中，用户将自己的信息通过轻量级对称密码算法加密再存到云服务器上，这样可以防止用户信息泄露。而且在产生审计证明步骤中，云服务器使用了随机掩码技术，来防止好奇的第三方审计者(TPA)通过解线性方程组来获取用户的信息。因此本发明解决了现有云存储数据存在的保密性较差不能保证用户数据的完整性和正确性的问题，并且保证用户的原始数据不被泄漏给云服务器和第三方审计者。本发明方案，将数据文件进行更细粒度的划分，这有利于对文件更细粒度的审计。相比以前的审计方案，本发明不需要耗时巨大的双线性对运算，而且方法简单，操作方便，在云存储数据安全领域具有很好的应用前景。

Claims (1)

1.无双线性对的云存储数据安全审计方法，其特征在于，包括以下步骤：

1)系统初始化

1-1)将数据文件M分成n个数据块，这n个数据块分别分成在Z_q中的k个元素，q为大素数，Z_q为模q的剩余类环；

1-2)系统产生伪随机数发生器PRG:伪随机函数PRF:K_prf×I→Z_q，

其中，→表示映射至箭头方向，K_prg,K_prf分别为伪随机数发生器PRG和伪随机函数PRF的私钥集合，表示定义在模q剩余类环上的k维向量表示模q的剩余类环中取k个数据，I为文件中n个数据块的索引指数集合；

1-3)用户选取使得g^q≡1 mod p，∈表示属于，≡表示恒等于，表示模p剩余类环中的非零元，mod表示取模，g为q阶循环群的生成元，记此循环群为G；接着均匀随机地选取私钥x,且1<x<q；利用私钥x计算公钥y，y≡g^xmod p，并随机均匀地产生密钥对skp＝(sk_prg,sk_prf)，其中sk_prg∈K_prg，sk_prf∈K_prf；

1-4)用户选取一个轻量级对称密码算法ε，对称密码算法ε的对称密钥为τ，并设置一个安全的哈希函数H：G→Z_q；

2)签名步骤

2-1)用户计算第j个数据块m_j的同态消息认证码t_j，其中j＝1,2,…,n，中间变量 $\mathrm{\&delta;}=({\mathrm{\&delta;}}_1,...{\mathrm{\&delta;}}_k)\&LeftArrow;\mathrm{PRG}\left({\mathrm{sk}}_{\mathrm{prg}}\right)\&Element;Z_q^k,$ l∈{1,…,k}，中间变量b_j←PRF(sk_prf,j)∈Z_q，PRG(sk_prg)表示利用密钥sk_prg作为伪随机数发生器输入，伪随机数发生器生成的k个随机数；PRF(sk_prf,j)表示利用密钥sk_prf作为伪随机函数输入，伪随机函数输出为第j个数据生成的随机数；

2-2)用户调用Schnorr变型签名算法对每一个数据块m_j的同态消息认证码t_j进行签名：随机选取随机数k_j←Z_q，计算签名数据r_j与签名数据s_j，s_j≡(r_j'k_j+t_jx)mod q，其中，r_j'≡r_jmod q，记同态消息认证码t_j的签名为σ_j＝(r_j,s_j)这样数据文件M的n个数据块的消息认证码的签名集合为Ψ＝{σ_j}_1≤j≤n；

2-3)用户再调用轻量级对称密码算法ε对每一个数据块进行加密，数据文件 $M=\left(\begin{array}{c}{m}_1\\ .\\ .\\ .\\ m_n\end{array}\right)$ 被加密为 $M^{\&prime;}=\left(\begin{array}{c}{m_1}^{\&prime;}\\ .\\ .\\ .\\ {m_n}^{\&prime;}\end{array}\right);$

2-4)用户将加密数据块与数据块消息认证码的签名集合{M',Ψ}发送给服务器，并且将原始数据文件M与消息认证码的签名集合Ψ在用户端删除；

3)审计证明产生步骤

3-1)用户向可信审计者TPA发送审计请求信息；TPA接到请求信息后，产生审计挑战信息chal＝{(j,y_j)}_j∈J，TPA向云服务器发送审计挑战信息chal；挑战信息数据j∈J，J为TPA在集合{1,2,...,n}中随机选取含有c个元素的集合，n表示存储在云服务器上的数据块的总数，c为集合J的元素个数，y_j为TPA产生相应于挑战信息数据j的随机匹配系数；

3-2)当云服务器接到审计挑战信息chal,云服务器生成审计响应信息(μ,r,s,T)：

计算响应信息数据∏表示累乘；

计算响应信息数据∑表示累加；

计算中间数据其中l∈{1,…,k}

云服务器再选择一个随机数η_l←Z_q，计算并且盲化中间数据μ′_l为μ_l≡μ′_l+η_lH(T_l)，得到响应信息数据μ＝(μ₁,…,μ_k)、T＝(T₁,…,T_k)，最后云服务器发送审计响应信息(μ,r,s,T)至TPA；

4)审计证明验证步骤：

当TPA接到云服务器发给他的审计响应信息(μ,r,s,T)，TPA调用伪随机数发生器PRG、伪随机函数PRF以及轻量级对称密码算法ε，TPA验证审计响应信息的正确性如下：

4-1)计算中间变量与b_j←PRF(sk_prf,j)∈Z_q,其中j∈J。

4-2)计算中间变量 ${\mathrm{\&lambda;}}_1\&equiv;\underset{l=1}{\overset{k}{\mathrm{\&Sigma;}}}{\mathrm{\&delta;}}_l{\mathrm{\&mu;}}_l+\underset{j\&Element;J}{\mathrm{\&Sigma;}}{y}_j{b}_j\mathrm{mod}q$ 与 ${\mathrm{\&lambda;}}_2\&equiv;\underset{l=1}{\overset{k}{\mathrm{\&Sigma;}}}\underset{j\&Element;J}{\mathrm{\&Sigma;}}{\mathrm{\&delta;}}_l{y}_j{\mathrm{\&epsiv;}}_{\mathrm{\&tau;}}(l,j)\mathrm{mod}q,$ 以及哈希函数H(T_l)，其中l∈{1,…,k}，ε_τ为密钥为τ的轻量级对称密码算法；

4-3)验证是否成立；如是，则表示用户存储服务器上的数据块是完整且安全，如否，表示用户存储服务器上的数据块已被修改。