CN104993937A - 一种用于云存储数据完整性的检验方法 - Google Patents

Abstract

本发明属于通信技术领域，具体的说是涉及一种用于云存储数据完整性的检验方法。本发明的方法主要为：系统初始化，为用户分配签名密钥和对应的认证密钥；用户将存储数据上传到云服务器；通过独立的第三方审计者检验存储在云服务器上的存储数据的完整性；用户判断第三方审计者检验的正确性。本发明的工艺有以下优点：第三方审计者不需要管理用户的证书，亦即TPA不会面临证书管理问题；并且本方案可以有效的抵御恶意第三方审计者，当第三方审计者背离正确的协议内容时，不会威胁到本方案的安全性，不能成功的欺骗云用户和(或)云服务器。

Description

一种用于云存储数据完整性的检验方法

技术领域

本发明属于通信技术领域，具体的说是涉及一种能够抵抗恶意审计者的无证书的用于云存储数据完整性的检验方法。

背景技术

云计算是学术界与工业界最为关注的下一代信息技术(Information Technology，IT)架构，它具有迄今为止众多已成熟应用于工业界的IT技术所不具有的诸多特性，诸如：按需获取自助式服务、无处不在的网络接入、独立于地点的资源池、资源的快速伸缩、按使用付费以及风险转嫁。云计算汇集了庞大的计算资源、存储资源以及其他服务资源，为用户提供了多种新颖便捷可靠的服务，给云服务提供商们带来了巨大的商机和利益。在诸多服务中，云存储服务由于其为用户提供了一种更为简便、高效以及可靠的数据管理方式，而成为广受学术界与工业界关注的焦点。用户可以将自己的海量数据存储于云服务器中，在需要的时候对这些数据进行存取操作。这一服务模式为用户释放了其本地数据存储与维护的压力，并能让用户随时随地按需存取这些数据。总之，这一服务模式为用户带来了极大的便利。

然而，在用户将自己的数据存储于云服务器后，数据便完全受控于服务器，继而使得存储于云上的数据面临着严重的安全威胁，主要表现在以下几个方面：

1.外部安全威胁。尽管云服务器利用了更加安全的存储技术并提供了更加可靠的存储设备，但是，在实际的云环境中，存在着众多恶意的敌手，他们出于各自的利益，试图篡改或毁坏存储于云服务器上的用户数据。

2.内部安全威胁。对云服务提供商自己而言，在经济利益的驱使下，他们很有可能不会将数据的真实状态回馈给用户。确切的说，如果存储于云服务器上的数据由于云服务提供商自己的过失而遭到破坏，为了逃避责任或维护声誉，云服务提供商很可能会隐瞒数据已经遭到破坏的事实。

基于以上两点我们可以看出，云存储服务虽然为用户带来了巨大的便捷，但是由于其不能保证用户数据的完整性，成为了其广泛应用的瓶颈。

为了解决上述问题,我们需要周期性的对存储于云上的数据进行完整性检验,一种最简单的方式是用户本身进行这种完整性检验,但这同样面临着如下两个问题。

1.用户本身可能不具备周期性检验的能力。这一问题表现在两个方面。首先，用户可能不具备周期性检验云数据完整性的计算能力。其次，用户可能不具备周期性检验云数据完整性的通信能力。

2.检验的公平性不能得到保证。由于用户对自己的云数据进行完整性检验，因而，用户的检验结果，尤其是对云服务器不利的检验结果，是不能完全让云服务器信服的。

基于此，在目前可行的云数据完整性检验方案中，公共检验是一种应用广泛的检验技术手段。这种技术将检验工作委托给一个有能力的独立第三方(Third-party Auditor，TPA)进行，这样同时兼顾了检验的可靠性与公平性。

Ateniese等人对于公共检验技术进行了先行研究，他们提出了一种名为数据可回取证明技术(proofs of retrievability,POR)。利用该技术对云数据完整性的进行检验能够极大的减少了用户的计算开销与通信开销。后续Hovav Shacham与Brent Waters提出了一种简洁的POR技术，其中支持公众审计的方案则是利用一个BLS短签名来进行数据完整性检验的。在Hovav Shacham与Brent Waters的工作之上，诸多公众完整性审计方案都被提出，但是绝大多数公众完整性审计方案中，TPA必须要管理用户的证书来选取正确的密钥来保证审计工作的进行。这意味着这些方案中的TPA，面临着证书管理的问题。此外，所有现存的公众完整性审计方案，都假设TPA是一个完全可信的实体，相应地，当TPA有恶意行为时，这些方案都面临着严重的安全威胁。

发明内容

本发明所要解决的，就是针对上述问题，提出一种TPA不需要管理用户的证书同时可以有效的抵御恶意TPA的用于云存储数据完整性的检验方法。

为实现上述目的，本发明采用如下技术方案：

一种用于云存储数据完整性的检验方法，其特征在于，包括以下步骤：

a.系统初始化，为用户分配签名密钥和对应的认证密钥；

b.用户将存储数据上传到云服务器，具体方法为：

对将要上传到云服务器上的存储数据进行如下处理：

b1.对存储数据进行标识，获得文件标签；

b2.将存储数据分为n个数据块，分别对每一个数据进行签名获得n个签名；

将存储数据、文件标签和n个签名上传至云服务器；其中，n为任意的正整数；

c.通过独立的第三方审计者检验存储在云服务器上的存储数据的完整性，具体方法为：

c1.第三方审计者生成挑战信息，并将挑战信息发送到云服务器；、

c2.云服务收到挑战信息后，生成对应的证明信息，将证明信息发送到第三方审计者；所述证明信息至少包括文件标签；

c3.第三方审计者根据接收到的证明信息，检验文件标签是否合法，若是，则进入步骤b4，若否，则返回检验失败信息；

c4.检验证明信息是否合法，若是，则进入步骤b5，若否，则返回检验失败信息；

c5.将接收到的证明信息存储在日志文件中；

d.用户判断第三方审计者检验的正确性，具体方法为：用户判断日志文件中存储的证明信息是否合法，若是，则通过检验，若否，则判定存储数据完整性已被破坏，同时判定云服务器和第三方审计者中至少有一方背离了正确的协议。

进一步的，所述步骤a具体包括以下步骤：

a1.系统初始化并生成系统参数，具体方法为：

a11.密钥产生中心根据安全参数l，选取群G₁和G₂，相应的双线性映射为e:G₁×G₁→G₂，其中，G₁为一个加法循环群，阶为q，生成元为P；G₂为一个乘法循环群；

a12.从模为q的整环Zq中随机选取一个λ作为主密钥，通过公式P_M＝λP得到主公玥P_M，其中P为加法循环群G₁的生成元；

a13.选择哈希函数H(),H₁(),H₂(),H₃(),H₄()；

生成的系统参数SysPara＝{G₁,G₂,e,P,P_M,H(),H₁()～H₄()}；

a2.获取用户的签名密钥和对应的认证密钥，具体方法为：

a21.假设用户u的身份标识为ID_u，则用户u的部分私钥D_u,0和D_u,1可通过如下步骤获取：

a212.通过公式Q_u,0＝H₁(ID_u,0)和Q_u,1＝H₁(ID_u,1)获得Q_u,0和Q_u,1；

a212.通过公式D_u,0＝λQ_u,0和D_u,1＝λQ_u,1获得D_u,0和D_u,1；

a23.用户u从正整环中随机选择x_u作为自己的另一部分私玥；同时通过公式pk_u＝x_uP获得对应的另一部分公玥pk_u，其中P为加法循环群G1的生成元；

则用户u获得的签名密钥为ssk_u＝{x_u,D_u,0,D_u,1}；对应的验证密钥为spk_u＝{pk_u,Q_u,0,Q_u,1}。

更进一步的，所述步骤b1的具体方法为：

用户u选择一个随机元素name来对存储数据进行命名；通过公式获得文件标签τ，其中，Sig(·)为无证书的数字签名算法。

更进一步的，所述步骤b2的具体方法为：

用户u采用纠删码技术对存储文件F进行处理，获得n个数据块，将其表示为F＝{m_i}_1≤i≤n；通过以下步骤对每一个数据块m_i,i∈[1,n]进行分别产生一个签名：

b21.选择一个一次性的数Δ；

b22.对于每一个i，选择一个随机数r_i，通过公式R_i＝r_iP获得R_i；其中，P为加法循环群G1的生成元；

b23.通过公式T＝H₂(Δ)，V＝H₃(Δ)和W＝H₄(Δ)分别获取三个哈希值T、V和W；

b24.通过公式S_i＝m_i(D_u,0+x_uV)+H(i||name)(D_u,1+x_uW)+r_iT获得S_i；

b25.则得到m_i的签名σ_i＝{R_i,S_i}；

更进一步的，所述步骤c1的具体方法为：

c11.根据当前的时间t，第三方审计者获取在t时刻产生的比特币的哈希值Bl_t；

c12.使用Bl_t作为随机比特生成器GetRandomness()的种子，得到θ＝GetRandomness(Bl_t)；

c13.为了保证产生挑战信息时取样的公正性与随机性，要根据θ和安全参数l共同确定选取哪些序号作为取样信息。因为，根据θ和安全参数l，产生一个集合{1,...,n}的随机子集I，I为产生挑战信息时的取样的序号；

c14.对于取样集合的每个序号i∈I，随机选取一个v_i∈Z_p，获得挑战信息{(i,v_i)}_i∈I，v_i用于保证云服务器在每次回应第三方审计者时要产生一个新鲜的证明信息。第三方审计者将挑战信息发送至云服务器。

更进一步的，所述步骤c2的具体方法为：

云服务器根据接收到的挑战信息{(i,v_i)}_i∈I，生成证明信息proof＝{S,R,μ,Δ}，其中，

7、根据权利要求6所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤c4的具体方法为：

通过验证等式是否成立判断证明信 息是否合法。

更进一步的，所述步骤c5的具体方法为：

第三方审计者根据证明信息proof＝{S,R,μ,Δ}创建条目(S^(l),R^(l),μ^(l),Δ)，将其依次存入日志文件中，其中上标_(l)为证明信息的编号。

更进一步的，所述步骤d中用户判断日志文件中存储的证明信息是否合法的具体方法为：

d1.选择一个由比特币标号所构成的一个随机集合B；

d2.产生一个挑战消息的集合其中b为集合B中元素的个数；

d3.将B发送给第三方审计者，并从日志文件中获得相应的Δ,S^(B),R^(B),μ^(B)，其中，

d4.验证等式是 否成立，若成立，则判定证明信息合法，若不成立，则判定证明信息不合法。

本发明的有益效果为，本发明基于无证书的聚合签名算法，其安全性依赖于椭圆曲线的有限循环加群上的离散对数问题，与基于证书的云数据完整性检验方案相比，在同样的安全强度时，具有如下特点：TPA不需要管理用户的证书，亦即TPA不会面临证书管理问题；并且本方案可以有效的抵御恶意TPA：当TPA背离正确的协议内容时，不会威胁到本方案的安全性，不能成功的欺骗云用户和(或)云服务器。。

具体实施方式

下面详细描述本发明的技术方案：

本发明主要包括以下步骤：

系统初始化阶段：系统生成必要的公共参数，并生成用户的签名密钥与对应的认证密钥。

用户处理数据阶段：用户将自己将要外包存储的文件命名，并计算一个文件标签，并将该文件分为n个数据块，然后对每一个数据块使用一个无证书的聚合签名算法进行签名。最后将文件、文件标签、对应的所有签名上传至云服务器。云服务器收到这些数据后，验证数据是否正确上传。

TPA审计云服务器阶段：为了检验外包存储于云服务器上的数据的完整性，TPA首先产生一个挑战信息，并将挑战信息发送给云服务器。云服务器收到挑战信息后，产生对应的证明信息，并将证明信息发回给TPA。TPA得到证明信息后，首先检验文件标签的合法性，然后检验证明信息的合法性。如果检验失败，则拒绝；检验成功，则接受，并将收到的证明信息作为一个条目，存储于一个日志文件中。

用户审计TPA阶段：用户通过审计日志文件的合法性来检验TPA执行协议的正确性。用户产生一个日志文件中所有条目索引的子集，然后检验这些子集所对应的条目是否合法。如果检验通过，则接受；若失败，则用户认为其数据完整性已遭到破坏，并且云服务器与TPA至少有一方背离了正确的协议步骤。

本发明的系统初始化具体包括以下步骤：

(1)密钥产生中心(Key Generation Center,KGC)以如下步骤产生系统参数：

1.根据安全参数l，KGC选取对应的群G₁，G₂以及相应的双线性映射e:G₁×G₁→G₂。

2.从Zq中随机选取一个λ作为主密钥，并计算P_M＝λP作为主公玥。

3.选择合适的哈希函数H(),H₁(),H₂(),H₃(),H₄()。

此时，系统的参数为SysPara＝{G₁,G₂,e,P,P_M,H(),H₁()～H₄()}

(2)KGC利用用户的身份ID_u计算用户u的部分私钥，具体步骤如下：

1.计算Q_u,0＝H₁(ID_u,0)和Q_u,1＝H₁(ID_u,1)。

2.计算D_u,0＝λQ_u,0和D_u,1＝λQ_u,1。

(3)用户从中随机选择x_u作为自己的另一部分私玥。同时计算pk_u＝x_uP作为对应的另一部分公玥。

此时，用户的签名密钥为ssk_u＝{x_u,D_u,0,D_u,1}；对应的验证密钥为spk_u＝{pk_u,Q_u,0,Q_u,1}。

本发明的用户处理数据阶段具体包括以下步骤：

用户u首先使用纠删码技术将自己想要存在云服务器上的文件进行处理，处理后的文件分为n个数据块，形式为F＝{m_i}_1≤i≤n。随后，u选择一个随机元素name来对该文件文件进行命名。并且计算文件标签然后，u为每一个数据块m_i,i∈[1,n]以如下方式产生一个签名：

1.选择一个一次性的数Δ。

2.对于每一个i∈[1,n]，选择一个随机的并计算R_i＝r_ig。

3.计算三个哈希值T＝H₂(Δ)，V＝H₃(Δ)和W＝H₄(Δ)。

4.计算S_i＝m_i(D_u,0+x_uV)+H(i||name)(D_u,1+x_uW)+r_iT。

5.输出m_i的签名σ_i＝{R_i,S_i}。

此时，u得到φ＝{σ_i}_i∈[1,n],τ,Δ}。最后，u将上传至云服务器C。

在收到后，C验证下面公式是否成立，来检验是否被正确上传。

若等式成立，则C接受

本发明的TPA审计云服务器阶段具体包括以下步骤：

(1)TPA以如下方式产生一个挑战信息：

1.基于当前的时间t，获取在t时刻产生的比特币的哈希值Bl_t。

2.使用Bl_t作为随机比特生成器GetRandomness()的种子，得到θ＝GetRandomness(Bl_t)。

3.根据θ和l产生一个集合{1,...,n}的随机子集I。

4.对于每个i∈I，随机选取一个v_i∈Z_p(其中p是一个远小于q的素数)。

然后，TPA发送挑战信息{(i,v_i)}_i∈I至云服务器C。

(2)根据收到的挑战信息{(i,v_i)}_i∈I，C计算：

C将证明信息proof＝{S,R,μ,Δ}发送至TPA。

(3)根据证明信息，TPA首先检验文件标签τ的有效性，然后，TPA验证下面的等式是否成立：

若不成立，则TPA将审计结果设为Reject。若成立，则将审计结果设为Accept，并执行接下来的步骤。

(4)TPA创建一个如下形式的条目。

(Bl_t,S,R,μ,Δ)

然后，TPA将该条目存入一个如表1所示的日志文件中。

表1日志文件表

本发明的用户审计TPA阶段具体包括以下步骤：

(一)用户审计TPA阶段

u通过审计日志文件的有效性来检验TPA行为的正确性。

u以如下的方式检验日志文件的有效性。

1.选择一个由比特币标号所构成的一个随机集合B。

2.产生一个挑战消息的集合其中b为集合B中元素的个数。

3.将B发送给TPA，并从TPA处获得相应的Δ,S^(B),R^(B),μ^(B)，其中

4.验证：

若验证失败，则u认为云数据完整性已经遭到破坏并且在云服务器C与TPA之间至少有一方背离的正确的协议步骤。

Claims (9)

1.一种用于云存储数据完整性的检验方法，其特征在于，包括以下步骤：

a.系统初始化，为用户分配签名密钥和对应的认证密钥；

b.用户将存储数据上传到云服务器，具体方法为：

对将要上传到云服务器上的存储数据进行如下处理：

b1.对存储数据进行标识，获得文件标签；

b2.将存储数据分为n个数据块，分别对每一个数据进行签名获得n个签名；

将存储数据、文件标签和n个签名上传至云服务器；其中，n为任意的正整数；

c.通过独立的第三方审计者检验存储在云服务器上的存储数据的完整性，具体方法为：

c1.第三方审计者生成挑战信息，并将挑战信息发送到云服务器；、

c2.云服务收到挑战信息后，生成对应的证明信息，将证明信息发送到第三方审计者；所述证明信息至少包括文件标签；

c3.第三方审计者根据接收到的证明信息，检验文件标签是否合法，若是，则进入步骤b4，若否，则返回检验失败信息；

c4.检验证明信息是否合法，若是，则进入步骤b5，若否，则返回检验失败信息；

c5.将接收到的证明信息存储在日志文件中；

d.用户判断第三方审计者检验的正确性，具体方法为：用户判断日志文件中存储的证明信息是否合法，若是，则通过检验，若否，则判定存储数据完整性已被破坏，同时判定云服务器和第三方审计者中至少有一方背离了正确的协议。

2.根据权利要求1所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤a具体包括以下步骤：

a1.系统初始化并生成系统参数，具体方法为：

a11.密钥产生中心根据安全参数选取群G₁和G₂，相应的双线性映射为e:G₁×G₁→G₂，其中，G₁为一个加法循环群，阶为q，生成元为P；G₂为一个乘法循环群；

a12.从Zq中随机选取一个λ作为主密钥，其中Zq为模q的整环，通过公式P_M＝λP得到主公玥P_M，其中P为加法循环群G₁的生成元；

a13.选择哈希函数H(),H₁(),H₂(),H₃(),H₄()；

生成的系统参数SysPara＝{G₁,G₂,e,P,P_M,H(),H₁()～H₄()}；

a2.获取用户的签名密钥和对应的认证密钥，具体方法为：

a21.假设用户的身份标识为则用户的部分私钥可通过如下步骤获取：

a212.通过公式和获得第一验证密钥和第二验证密钥

a212.通过公式和获得第一私钥和第二私钥

a23.用户从中随机选择作为自己的另一部分私玥，其中为模为q的正整环；同时通过公式获得对应的另一部分公玥其中P为群G₁的生成元；

则用户获得的签名密钥为对应的验证密钥为

3.根据权利要求2所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤b1的具体方法为：

用户选择一个随机元素name来对存储数据进行命名；通过公式获得文件标签τ，其中，Sig(·)为无证书的数字签名算法。

4.根据权利要求3所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤b2的具体方法为：

用户采用纠删码技术对存储文件F进行处理，获得n个数据块，将其表示为F＝{m_i}_1≤i≤n；通过以下步骤对每一个数据块m_i,i∈[1,n]进行分别产生一个签名：

b21.选择一个一次性的数Δ；

b22.对于每一个i，选择一个随机数r_i，通过公式R_i＝r_iP获得R_i；其中，

b23.通过公式T＝H₂(Δ)，V＝H₃(Δ)和W＝H₄(Δ)分别获取三个哈希值T、V和W；

b24.通过公式获得S_i；

b25.则得到m_i的签名σ_i＝{R_i,S_i}。

5.根据权利要求4所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤c1的具体方法为：

c11.根据当前的时间t，第三方审计者获取在t时刻产生的比特币的哈希值Bl_t；

c12.使用Bl_t作为随机比特生成器GetRandomness()的种子，得到θ＝GetRandomness(Bl_t)；

c13.为了保证产生挑战信息时取样的公正性与随机性，根据θ和安全参数共同确定选取哪些序号作为取样信息，因此，根据θ和安全参数，产生一个集合{1,...,n}的随机子集I，I为产生挑战信息时取样的序号；

c14.对于取样集合的每个序号i∈I，随机选取一个v_i∈Z_p，获得挑战信息{(i,v_i)}_i∈I，v_i用于保证云服务器在每次回应第三方审计者时要产生一个新鲜的证明信息，第三方审计者将挑战信息发送至云服务器。

6.根据权利要求5所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤c2的具体方法为：

云服务器根据接收到的挑战信息{(i,v_i)}_i∈I，生成证明信息proof＝{S,R,μ,Δ}，其中，

7.根据权利要求6所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤c4的具体方法为：

通过验证等式是否成立判断证明信息是否合法。

8.根据权利要求7所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤c5的具体方法为：

第三方审计者根据证明信息proof＝{S,R,μ,Δ}创建条目将其依次存入日志文件中，其中上标_(l)为证明信息的编号。

9.根据权利要求8所述的一种用于云存储数据完整性的检验方法，其特征在于，所述步骤d中用户判断日志文件中存储的证明信息是否合法的具体方法为：

d1.选择一个由比特币标号所构成的一个随机集合B；

d2.产生一个挑战消息的集合其中b为集合B中元素的个数；

d3.将B发送给第三方审计者，并从日志文件中获得相应的Δ,S^(B),R^(B),μ^(B)，其中，

d4.验证等式是否成立，若成立，则判定证明信息合法，若不成立，则判定证明信息不合法。