CN104899525A - 改进动态操作的云数据完整性证明方案 - Google Patents

Abstract

本发明公开了一种改进动态操作的云数据完整性证明方案，其拥有一个功能强大的第三方审计者，用户不仅能够委托其承担审计工作而且能够使其代理完成动态操作的任务，减轻了用户在执行动态操作时所带来的通信和计算负担。同时在任务处理的过程，系统能够保证用户的数据在第三方审计者中的隐私性。

Description

改进动态操作的云数据完整性证明方案

技术领域

本发明属于信息安全技术领域，更为具体地讲，是在云环境下，改进动态操作的云数据完整性证明方案。

背景技术

云存储系统能够给用户提供可靠的、自定义的、资源利用率最大化的服务。用户可以将自己的本地数据存储在云端，在不同地点通过网络访问云端数据。这样的数据存储方式有着很多优点：节约了用户的本地存储空间与维护复杂度、用户可以更加灵活的访问自己的数据、同时可以获得更加强大的计算能力而不必担心硬件和软件等条件的限制。

云计算在给用户带来便利性的同时，由于用户并不真正存储数据，从而难以保证数据的完整性和可用性。首先，云存储服务器会不可避免的受到外界和内部的攻击，而使数据存在丢失与篡改等安全问题。其次，云服务提供商可能会为了获取更大利益，而刻意删除、更改用户数据。这些问题都会使数据的完整性和可用性难以保证，同时在传统的支持动态操作的云存储系统中，对于云中动态文件的动态操作所产生的计算和通信开销是由用户完全承担的，这给用户带来了相应的计算和通信压力。

本方案旨在提出一个支持第三方代理审计和动态操作的云存储系统，系统为了减轻用户的计算和通信负担，设计了一个功能强大的第三方审计者，用户不仅能够委托其承担审计工作而且能够使其代理完成动态操作的任务。

发明内容

为了克服上述现有云数据审计中动态操作方案的不足，本发明提供了一种改进动态操作的云数据完整性验证方案，减少了传统方案中用户执行动态操作的通信和计算负担。通过对系统中数据签名和Merkle哈希树(Merkle hash tree，简记为MHT)签名所用密钥的分离，来实现让第三方代理审计平台代替用户执行动态操作的目的。

本发明所采用的技术方案是：本发明中的云存储系统含有三个实体：分别是用户端(Cloud User，简记为CU)，云服务提供商(Cloud Server Provider，简记为CSP)和第三方审计平台(Third Party Verifier，简记为TPV)。

本发明由三个步骤组成：初始化、审计和动态操作，在此三个步骤中由7个逻辑函数执行逻辑过程：KeyGen、ParaGen、GenChal、GenProof、VerifyProof、ExecUpdate、VerifyUpdate。

三个步骤的具体叙述。

1)：初始化：初始化阶段，用户端运行KeyGen函数产生用户端和TPV的私钥和公钥。然后利用公私钥运行ParaGen函数产生文件块的签名和Merkle哈希树根的签名。最后用户端将文件块、文件块的签名集合和哈希树根的签名发送到云端保存。

2)：审计：在审计阶段，TPV首先生成挑战信息“chal”，然后发送给TPV申请审计，CSP收到挑战信息后运行GenProof函数生成审计的证据发送给TPV，TPV运行VerifyProof函数进行验证完成审计。

3)：动态操作：动态操作阶段用户将要更新的数据块和其签名发送到CSP，同时也把新数据产生的Merkle哈希树叶子节点发送给TPV。CSP运行ExecUpdate函数进行更新，并将新的Merkle哈希树根、旧根以及旧根的签名作为更新后证据发送给TPV进行验证。TPV验证成功后对新根进行签名，发送给CSP完成动态操作。

7个逻辑函数的具体叙述。

1)：KeyCen(1^k)→(pk，sk)：此函数的功能是产生一对公钥和私钥，在开始阶段由用户执行，输入一个安全参数，然后输出相应的公钥和私钥。

2)：ParaGen(csk，tsk，F)→(S，sig_tsk(h(R)))：在开始阶段由用户运行此函数，输入要存放在云端的文件，用户和TPV的私钥，函数将产生文件块的签名信息和Merkle哈希树根的签名。

3)：GenChal()→(chal)：此函数是由TPV在审计阶段运行产生挑战信息“chal”。

4)：Gen Proof(F，S，w，chal)→(proof)：此函数是由CSP在审计阶段运行，输入TPV发送来的审计信息和文件的内容，签名集合等参数，函数将产生此次审计的证据。

5)：Verify Proof(pk，chal，proof)→(result)：此函数是由TPV在审计阶段接收到CSP发送回来的证据之后运行此函数验证收到的证据是否正确从而完成审计工作。

6)：Exec Update(i，m_i′，s_i′，update)→(F′，S′，P_update)：此函数由CSP在动态操作阶段运行，CSP收到用户发送过来的要更新的信息，然后进行更新同时产生更新的证据。

7)：VerifyUpdate(pk，update，P_update)→(result，sig_sk1(H(R′)))：此函数是由TPV在动态操作阶段收到CSP的更新的证据和用户的更新信息时运行，运行后如验证成功会产生新的Merkle哈希树的根的签名，否则输出false。

与传统方案相比，本发明的有益效果是：减少了用户在动态操作过程中的计算负担，使用户更加快捷的对云数据进行动态操作和审计。

具体实施方式

本发明由三步骤组成：初始化，审计和动态操作。三个步骤的具体实施过程如下。

符号引入。

·F-(m_1，1，m_1，2，...，m_1，2，m_1，1，m_2，2，...，m_1，2，...，m_m，1，m_m，2，...，m_m，2)：F是通过文件分区技术划分的二级分区的文件数据块组成的集合。

·h(·)-{0，1}^*→G：密码学中的哈希函数,G是一个循环乘法群。

·H(·)-{0，1}^*→G：密码学中的哈希函数,G是一个循环乘法群。

·伪随机函数(PRF)。

·伪随机排列(PRP)。

首先定义一个双线性映射，G、G_T是给定素数p阶的循环乘法群，e：G×G→G_T，令g为G的生成元。

(一)初始化阶段。

1-1)：用户运行KeyGen(1^k)函数产生系统中的私钥和公钥：首先选择两个随机数csk←Z_P，tsk←Z_P作为私钥，然后选择一个随机数u←G，计算v=u^tsk，w＝g^csk作为公钥。所以系统的私钥集合sk＝(csk，tsk)，公钥集合pk＝(g，v，u，w)，其中tsk作为TPV的私钥由用户保存之后发送给TPV，csk用于对数据块的签名。

1-2)：用户运行ParaGen(csk，tsk，F)函数计算文件块和Merkle哈希树根的签名。文件块的签名：S为F的n个文件块的签名集合，z为每个文件块二级分区的数量。用户根据Merkle哈希树的构造方法生成树根R，其中Merkle哈希树的叶子节点是由每个一级文件块的哈希值构成。Merkle哈希树根R的值为h(R)，用户用TPV的私钥tsk对Merkle哈希树的根进行签名sig_tsk(h(R))＝(h(R))^tsk∈G。

1-3)：用户将(F，S，sig_tsk(h(R)))发送给CSP并删除本地数据。

(二)审计阶段。

2-1)：在审计阶段首先由TPV运行GenChal()函数从[1,n]中选择一组随机序列：I＝{c₁，c₂，...，c_q}，1＜q＜n，c_q＝π_key(q)，key为每次审计时随机选取，然后再为每个c∈I选择一个随机参数：chal为挑战信息，c即要挑战的文件块号。TPV将挑战信息chal发送给CSP进行挑战。

2-2)：CSP收到TPV发送的挑战信息chal，运行函数GenProof(F,S,chal)生成证据。首先CSP执行f_key(chal)选择一个随机数其中key为每次审计时随机选取，然后令k＝w^r＝(g^csk)^r∈G，π_j′＝Σ_c∈Iρ_c·m_c，j， $\mathrm{\δ}={\mathrm{\Π}}_{c\∈I}{s_c}^{p_c}\∈G,$ CSP生成证据： $\mathrm{Proof}=\{\mathrm{\π},\mathrm{\δ},k,{({\mathrm{\Π}}_{j=1}^{z}h\left(m_{c,j}\right),{\mathrm{\Ω}}_c)}_{c\∈I},{\mathrm{sig}}_{\mathrm{tsk}}\left(h\left(R\right)\right)\},$ Ω_c为MHT相应结点的辅助序列，CSP将证据proof发送给TPV进行验证。

2-3)：TPV接收到proof后执行VerifyProof(pk,chal,proff)进行验证。首先用产生MHT的根h(R)然后验证e(sig_tsk(h(R))，u)？＝e(h(R)，v)是否正确，如果错误输出false，如果正确再验证证据： $e(\mathrm{\δ}\·\left(k^{h\left(k\right)}\right),g)?=e({\mathrm{\Π}}_{c\∈I}{\mathrm{\Π}}_{j=1}^{z}H{\left(m_{c,j}\right)}^{p_c}\·g^{\mathrm{\π}},w),$ 当挑战信息中的数据块和签名在CSP中存放正确时验证通过。

推导过程如下：

$\begin{array}{c}e(\mathrm{\δ}\·\left(k^{h\left(k\right)}\right),g)\\ =e({\mathrm{\Π}}_{c\∈I}{s_c}^{p_c}\·{\left({\left(g^{\mathrm{csk}}\right)}^{\mathrm{\γ}}\right)}^{h\left(k\right)},g)\\ =e({\mathrm{\Π}}_{c\∈I}({({\mathrm{\Π}}_{j=1}^{z}H\left(m_{c,j}\right)\·g^{m_{c,j}})}^{\mathrm{csk}}{)}^{p_c}\·{\left({\left(g^{\mathrm{csk}}\right)}^{\mathrm{\γ}}\right)}^{h\left(k\right)},g)\\ =e{({\mathrm{\Π}}_{c\∈I}{({\mathrm{\Π}}_{j=1}^{z}H\left(m_{c,j}\right)\·g^{m_{c,j}})}^{p_c}\·g^{\mathrm{\γh}\left(k\right)},g)}^{\mathrm{csk}}\\ =e({\mathrm{\Π}}_{c\∈I}{\left({\mathrm{\Π}}_{j=1}^{z}H\left(m_{c,j}\right)\right)}^{p_c}\·g^{p_c{m}_{c,j}+\mathrm{\γh}\left(k\right)},w)\\ =e({\mathrm{\Π}}_{c\∈I}{\mathrm{\Π}}_{j=1}^{z}H{\left(m_{c,j}\right)}^{p_a}\·g^z,w)\end{array}.$

(三)动态操作阶段。

动态操作包括用户对数据的插入、修改、删除操作，动态操作是基于Merkle哈希树实现的，动态操作后的验证工作由TPV代理实现。

3-1)：插入操作：当用户要在原有文件中插入一个新文件块的时候，用户将插入位置i，文件块m_j′，文件块签名s_i′和操作符“insert”发送给CSP进行动态操作。同时用户将要插入的信息i，“insert”和发送给TPV在验证时使用，然后CSP根据用户发送过来的操作符判断用户要进行的操作。CSP执行ExecUpdate(i，m_i′，s_i′，insert)函数对文件进行更新。首先CSP将m_i′插入到原文件的第i文件块处生成新的F′，并保存文件块签名s_i′，生成新的签名集合S′，然后CSP根据Merkle哈希树的构造生成新的MHT根R′。CSP将更新后的证据发送给TPV，由TPV执行VerifyUpdate函数验证更新是否成功。验证过程，首先由计算出MHT旧的根R，然后验证e(sig_tsk(h(R))，u)？＝e(h(R)，v)，如果不相等输出false，验证正确则继续进一步验证。进一步验证时，TPV根据Ω_i和生成新的根R″,如果R″和R′不相等输出false，相等则TPV对新的根R′进行签名sig_tsk(h(R)′)＝(h(R)′)^tsk发送给CSP完成动态操作，然后输出true。

3-2)：修改操作：用户将要更新的信息{i，m_i′，s_i′，“modify”}发送给CSP，{i，“modify”，}发送给TPV，“modify”代表用户是要进行修改操作。CSP接收到用户发送来的更新信息运行ExecUpdate(i，m_i′，s_i′，“modify”)函数生成新的F′，S′，R′。然后将更新的证据P_update发送给TPV进行验证。TPV收到更新的证据运行VerifyUpdate函数进行验证从而完成修改操作，验证方法同插入操作，验证通过后TPV生成新根的签名发送给CSP，然后输出true。

3-3)：删除操作：用户将更新信息{i，“delete”}发送给CSP和TPV，CSP收到删除信息后运行ExecUpdate(I,“delete”)将i位置的数据块，签名，MHT叶子节点删除，生成新的F′，S′，R′。然后将更新的证据P_update发送给TPV进行验证完成删除操作，验证的步骤同插入操作，验证通过后TPV生成新根的签名发送给CSP，然后输出true。

Claims (2)

1.一种改进动态操作的云数据完整性证明方案，其特征在于拥有一个功能强大的第三方审计者，用户不仅能够委托其承担审计工作而且能够使其代理完成动态操作的任务，减轻了用户在执行动态操作时所带来的通信和计算负担；改进动态操作的数据完整性证明方案包含了以下内容：

1)：初始化：初始化阶段，用户端运行KeyGen函数产生用户端和TPV的私钥和公钥；然后利用公私钥运行ParaGen函数产生文件块的签名和Merkle哈希树根的签名；最后用户端将文件块、文件块的签名集合和哈希树根的签名发送到云端保存；

2)：审计：在审计阶段，TPV首先生成挑战信息“chal”，然后发送给TPV申请审计，CSP收到挑战信息后运行GenProof函数生成审计的证据发送给TPV，TPV运行VerifyProof函数进行验证完成审计；

3)：动态操作：动态操作阶段用户将要更新的数据块和其签名发送到CSP，同时也把新数据产生的Merkle哈希树叶子节点发送给TPV；CSP运行ExecUpdate函数进行更新，并将新的Merkle哈希树根、旧根以及旧根的签名作为更新后证据发送给TPV进行验证；TPV验证成功后对新根进行签名，发送给CSP完成动态操作。

2.根据权利要求1所述的改进动态操作的数据完整性证明方案，其特征在于包含以下步骤：

(1)初始化阶段：

1-1)：用户运行KeyGen(1^k)函数产生系统中的私钥和公钥：首先选择两个随机数 作为私钥，然后选择一个随机数u←G，计算v＝u^tsk，w＝g^csk作为公钥；所以系统的私钥集合sk＝(csk，tsk)，公钥集合pk＝(g，v，u，w)，其中tsk作为TPV的私钥由用户保存之后发送给TPV，csk用于对数据块的签名；

1-2)：用户运行ParaGen(csk，tsk，F)函数计算文件块和Merkle哈希树根的签名；文件块的签名：S为F的n个文件块的签名集合，z为每个文件块二级分区的数量；用户根据Merkle哈希树的构造方法生成树根R，其中Merkle哈希树的叶子节点是由每个一级文件块的哈希值构成；Merkle哈希树根R的值为h(R)，用户用TPV的私钥tsk对Merkle哈希树的根进行签名sig_tsk(h(R))＝(h(R))^tsk∈G；

1-3)：用户将{F，S，sig_tsk(h(R))}发送给CSP并删除本地数据；

(2)审计阶段：

2-1)：在审计阶段首先由TPV运行GenChal()函数从[1,n]中选择一组随机序列：

I＝{c₁，c₂，...，c_q}，1＜q＜n，c_q＝π_key(q)，key为每次审计时随机选取，然后再为每个c∈l选择一个随机参数：chal为挑战信息，c即要挑战的文件块号；TPV将挑战信息chal发送给CSP进行挑战；

2-2)：CSP收到TPV发送的挑战信息chal，运行函数GenProof(F,S,chal)生成证据；首先CSP执行f_key(chal)选择一个随机数其中key为每次审计时随机选取，然后令k＝w^γ＝(g^csk)^γ∈G，π_j′＝Σ_ceIρ_c·m_c，j， CSP生成证据：Ω_c为MHT相应结点的辅助序列，CSP将证据proof发送给TPV进行验证；

2-3)：TPV接收到proof后执行VerifyProof(pk,chal,proff)进行验证；首先用 产生MHT的根h(R)然后验证e(sig_tsk(h(R))，u)？＝e(h(R)，v)是否正确，如果错误输出false，如果正确再验证证据：当挑战信息中的数据块和签名在CSP中存放正确时验证通过；

(3)动态操作阶段：

动态操作包括用户对数据的插入、修改、删除操作，动态操作是基于Merkle哈希树实现的，动态操作后的验证工作由TPV代理实现；

3-1)：插入操作：当用户要在原有文件中插入一个新文件块的时候，用户将插入位置i文件块m_j′，文件块签名s_i′和操作符“insert”发送给CSP进行动态操作；同时用户将要插入的信息i，“insert”和发送给TPV在验证时使用，然后CSP根据用户发送过来的操作符判断用户要进行的操作；CSP执行ExecUpdate(i，m_i′，s_i′，insert)函数对文件进行更新；首先CSP将m_i′插入到原文件的第i文件块处生成新的F′，并保存文件块签名s_i′，生成新的签名集合S′，然后CSP根据Merkle哈希树的构造生成新的MHT根R′；CSP将更新后的证据发送给TPV，由TPV执行VerifyUpdate函数验证更新是否成功；验证过程，首先由计算出MHT旧的根R，然后验证e(sig_tsk(h(R))，u)？＝e(h(R)，v)，如果不相等输出false，验证正确则继续进一步验证；进一步 验证时，TPV根据Ω_i和生成新的根R″,如果R″和R′不相等输出false，相等则TPV对新的根R′进行签名sig_tsk(h(R)′)＝(h(R)′)^tsk发送给CSP完成动态操作，然后输出true；

3-2)：修改操作：用户将要更新的信息{i，m_i′，s_i′，“modify”}发送给CSP，{i，“modify”，}发送给TPV，“modify”代表用户是要进行修改操作；CSP接收到用户发送来的更新信息运行ExecUpdate(i，m_i′，s_i′，“modify”)函数生成新的F′，S′，R′；然后将更新的证据P_update发送给TPV进行验证；TPV收到更新的证据运行VerifyUpdate函数进行验证从而完成修改操作，验证方法同插入操作，验证通过后TPV生成新根的签名发送给CSP，然后输出true；

3-3)：删除操作：用户将更新信息{i，“delete”}发送给CSP和TPV，CSP收到删除信息后运行ExecUpdate(I,“delete”)将i位置的数据块，签名，MHT叶子节点删除，生成新的F′，S′，R′；然后将更新的证据P_update发送给TPV进行验证完成删除操作，验证的步骤同插入操作，验证通过后TPV生成新根的签名发送给CSP，然后输出true。