CN105007284B

CN105007284B - 多管理者群组共享数据中具有隐私保护的公开审计方法

Info

Publication number: CN105007284B
Application number: CN201510494258.6A
Authority: CN
Inventors: 付安民; 秦宁元; 宋建业; 苏铓; 张功萱
Original assignee: Nanjing University of Science and Technology
Current assignee: Nanjing University of Science and Technology
Priority date: 2015-08-12
Filing date: 2015-08-12
Publication date: 2019-04-12
Anticipated expiration: 2035-08-12
Also published as: CN105007284A

Abstract

本发明公开了一种多管理者群组共享数据中具有隐私保护的公开审计方法，包括如下步骤：(1)系统建立步骤；(2)用户注册步骤；(3)用户撤销步骤；(4)数据签名产生步骤；(5)审计挑战步骤；(6)审计证明步骤；(7)审计验证步骤；(8)用户追踪步骤。本发明的方案，基于前向安全可撤销的群签名和(t,s)秘密共享，构建了一个支持多个群管理者的同态可验证群签名方案，具有较高的效率；针对云服务器，外包数据的完整性得到了确定；针对审计者，群组用户的身份隐私得到了保护，同时用户的身份是可追踪的，并且这个追踪过程是公平的，用户不会被恶意陷害。

Description

多管理者群组共享数据中具有隐私保护的公开审计方法

技术领域

本发明涉及云存储和信息安全领域，具体是一种多管理者群组共享数据中具有隐私保护的公开审计方法。

背景技术

随着数据共享的应用越来越多，如iCloud、Google Doc等，用户可以将数据存储在云上与其他用户共享。但是由于云服务器是“半可信”的，并且用户在本地失去了对数据的控制，无法确定存储在云服务器中的数据是否完好。因此，如何在本地没有数据副本的情况下，高效地对用户存储的数据进行完整性验证，是一个亟待解决的问题。

为此，研究人员提出了云存储数据完整性审计的概念并给出了很多用于验证数据完整性的审计方案。特别地，在审计的过程中，为了减轻用户的负担，可以引入第三方审计者来帮助用户进行公开审计。然而，由于第三方审计者通常是诚实可信的，但又是好奇的，即在数据审计过程中，第三方审计者可能会窃取用户的隐私信息，因此，研究者提出了一些诸如数据隐私保护和用户身份隐私保护的公开审计方案。

尽管已经有了很多关于云存储公开审计的研究，但现有方案只考虑了群组用户中仅有单个群管理者的情形。而在实际的云端群组共享数据应用中，群组用户可能包含多个群管理者。比如，一个项目组需要共享的资料并不是由一个管理员创建的，而是由多个管理员共同创建，之后的数据管理工作和用户管理工作也是由他们共同承担，作为共享数据的最原始的拥有者，他们身份平等，这样就需要一种面向多管理者群组共享数据的完整性公开审计方案。

此外，在现有具有隐私保护的公开审计方案中，用户的身份追踪过程是由单个实体(比如，单个群管理员)实现的，这样单个实体完全拥有追踪用户的特权，因此无辜用户可能会被恶意陷害，而恶意用户也有可能会被包庇。因此，群组用户身份追踪过程中的陷害性问题也是群组共享数据完整性公开审计方案中有待解决的关键问题。

发明内容

本发明提供了一种多管理者群组共享数据中具有隐私保护的公开审计方法，

本发明为解决其技术问题采用如下技术方案，具体包括如下步骤：

针对多管理者的群组用户共享数据模型，公开审计过程涉及到的实体如下：可信中心TC(Trusted Center)，群组管理员GMs(Group Managers)，群组用户U，云服务器和第三方审计者TPA(the Third Party Auditor)。

(1)系统建立步骤：

可信中心TC为系统设置公开参数{ε,k,l_p,λ₁,λ₂,γ₁,γ₂,q,G₁,G₂,g₀,e,H₁,H₂,A,B}，为每一个群管理者GM_l分发公/私钥对mpk/msk_l，初始化群成员关系Ω。

(2)用户注册步骤：

群管理者和新用户交互完成签名密钥usk_i、撤销密钥rvk_i和用户成员密钥upk_i的生成，同时更新群组用户列表。

(3)用户撤销步骤：

当有用户撤销时，群管理者更新Ω和群组用户列表。

(4)数据签名产生步骤：

用户把数据分块，然后基于群签名方法对数据块m_j进行签名生成σ_j，再将所有的数据块连同相应的签名上传到云服务器。

(5)审计挑战步骤：

当用户需要检查数据的完整性时，向第三方审计者发送审计请求，然后第三方审计者生成挑战消息，再将该消息发送给云服务器。

(6)审计证明步骤：

云服务器收到审计挑战后，根据所选的块生成审计证明消息，再将该消息返回给第三方审计者。

(7)审计验证步骤：

第三方审计者验证审计证明消息的正确性并得出结论。

(8)用户追踪步骤：

当需要追踪用户的真实身份时，可由指定数目的群管理员合作恢复出追踪密钥，进而从数据块的签名中揭露出签名者的真实身份。

与现有技术相比，本发明的显著优点为：

(1)支持多管理者群组共享数据模型

本发明首次提出面向多管理者群组共享数据的公开审计安全模型。将具有前向安全的群签名方法和(t,s)门限方法结合，构造了一个支持多个群管理者的同态可验证群签名。

(2)多层次的隐私保护

根据群签名的匿名性，第三方审计者在验证审计证明消息的过程中，不会知道签名用户的身份隐私；同时根据群签名的可追踪性，群管理者可以利用追踪密钥从签名信息中揭露出签名者的真实身份，实现用户身份的可追踪性；但是，追踪密钥的获取是由指定数量的群管理员共同合作完成的，消除了权限集中带来的安全隐患，保证了追踪过程中用户的不可陷害性。

(3)支持群组动态

当群管理者撤销用户时，对现有的用户没有影响，用户及不需要更新密钥，也不需要更新签名。同时，因服务有效期失效而被撤销的用户想再次续约服务时，只需要向管理员重新请求加入群组，群管理员会更新群成员关系，设置新的有效时间，不需要重新生成密钥。

(4)审计开销小。

审计过程中的通信开销、计算开销都是独立于群组用户数量的，在一定程度上解决背景技术中计算量大、通信开销大的问题。

附图说明

图1是本发明的系统模型。

图2是本发明的多管理者群组共享数据中具有隐私保护的公开审计方法的基本流程图。

具体实施方式

本发明方法的系统模型如图1所示，包含三类实体：云服务器、第三方审计者TPA(the Third Party Auditor)和群组用户，而群组用户包括多个群管理者GMs(GroupManagers)和一些普通用户U。当用户需要检查共享数据的完整性时，用户向TPA发出审计请求，然后TPA向云服务器发送审计挑战消息。云服务器收到挑战后，会生成审计证据返回给TPA。然后，TPA验证审计证据的正确性，再将审计结果返回给用户。

本发明多管理者群组共享数据中具有隐私保护的公开审计方法能够支持多管理者的群组用户模型，在确保外包数据完整性的同时，能够实现群组用户的身份隐私保护，当需要追踪用户身份时，可以由管理者对恶意用户进行身份的追踪，且追踪过程是公平的，保证了用户的不可陷害性，同时该方法的开销独立于群组用户的数量，能很好地支持群动态。

结合附图及实施示例对本发明作进一步详细说明。

为了更好地理解本实施例提出的方法，选取一次云存储环境下用户U_i对其在云存储服务器上存储的文件的数据完整性验证事件。

如本发明方法基本流程图(图2)所示，本实施例具体实施步骤如下：

步骤101：系统建立：可信中心TC为系统设置公开参数，为每一个群管理者GM_l分发公/私钥对{mpk,msk_l}，初始化群成员关系Ω。具体如下：

1)输入安全参数ε>1，k，l_p∈N，可信中心TC随机选择参数λ₁，λ₂，γ₁，γ₂，满足λ₁>ε (λ₂+k)+2，λ₂>4l_p，γ₁>ε(γ₂+k)+2，γ₂>λ₁+2；选择阶为q的乘法循环群G₁、G₂，G₁的生成元是 g₀，选择双线性对映射e：G₁×G₁→G₂；选择两个单向哈希函数H₁：{0,1}^*→Z_q，H₂：{0,1}^*→G₁；定义区间以上参数均公开。

2)TC为每个群管理者GM_l(总共有S个GM，1<l≤S)计算共享群公钥mpk＝(n,a,a₀,Y,g₀,g,h,g₁,g₂,η₁,η₂)，私钥msk_l＝(p’,q’,X_l)。具体步骤如下：

(1a)随机选择l_p比特的素数p’、q’，满足P＝2p’+1，Q＝2q’+1。设置模n＝PQ(注意：接下来的所有算术运算都是模n运算，除非特别说明)。

(1b)随机选择元素a，a₀，g，h，g₁，g₂，η₁，η₂∈QR(n)。

(1c)随机选择秘密值设置Y＝g^X。

(1d)选择t-1次多项式f(x)＝b₀+b₁x+…+b_t-1x^t-1，其中，b₀＝X，b₁，…，b_t-1∈Z_q。计算X_l＝f(l)(l＝1，2，…，S)，也就是将X分解为S个X_l。

(1f)将(mpk,msk_l)和Ω安全地发送给每个GM_l。

3)初始化成员信息Ω＝(c,u)，其中c初始化为g₁，u初始化为1。

步骤102：用户注册：群管理者GMs和新用户U_i交互完成签名密钥usk_i、撤销密钥rvk_i和用户成员密钥upk_i的生成，同时更新群组用户列表。具体如下：

1)U_i选择一个秘密指数随机整数计算将C₁广播给所有的GMs。

2)GMs收到C₁后检查C₁是否属于QR(n)，若属于，则共同协商选择随机数α_i,然后将(α_i,β_i)发送给U_i。

3)U_i计算再将C₂广播给所有的GMs。

4)GMs收到C₂后检查C₂是否属于QR(n)，若属于，则共同协商选择随机数e_i，π∈B，计算ρ＝g₀ ^π，然后将(A_i,e_i,π)发送给U_i。

5)U_i验证等式是否成立，若等式成立，则设置签名密钥usk_i＝(x_i,π)，撤销密钥rvk_i＝e_i，用户成员密钥upk_i＝A_i。

6)U_i的密钥生成后，由GMs共同将U_i的密钥usk_i、rvk_i、upk_i和有效时间加入群组用户列表。

步骤103：用户撤销：若用户U_i因为行为不当或服务有效期失效而被撤销时，群管理者更新群成员关系和群组用户列表。具体如下：

1)GMs共同更新u＝u·rvk_i。

2)GMs将用户列表中该用户的有效时间设置为0。

步骤104：数据签名产生：用户将共享数据M被分解为w块，即M＝{m₁,m₂,…,m_w}，用户U_i对数据块m_j∈Z_q，1≤j≤w，索引为id_j，计算签名σ_j＝(V_j,1,V_j,2,θ_j)过程如下：

1)V_j,1的生成过程如下：

(1a)随机选择计算

(1b)随机选择计算

(1c)计算

(1d)计算s_j,3＝r_j,3－v_j,1· rvk_i·r_j，s_j,4＝r_j,4－v_j,1·r_j。

(1e)输出V_j,1＝(v_j,1,s_j,1,s_j,2,s_j,3,s_j,4,T_j,1,T_j,2,T_j,3)。

2)V_j,2的生成过程如下：

(2a)因为U_i未被撤销，所以gcd(rvk_i,u)＝1(rvk_i不包含在u＝u·rvk_i中)。U_i可以找到f，b∈Z满足f·u+b·rvk_i＝1，设置d＝g₁ ^-b。

(2b)计算

(2c)随机选择计算

(2d)计算

(2e)计算s_j,7＝r_j,7－v_j,2· rvk_i·r_j，s_j,8＝r_j,8－v_j,2·r_j。

(2f)输出V_j,2＝(v_j,2,s_j,5,s_j,6,s_j,7,s_j,8,T_j,3,T_j,4)。

3)计算

4)输出签名σ_j＝(V_j,1,V_j,2,θ_j)。

5)将数据块连同对应的签名上传到云服务器，在本地删除数据和签名。

步骤105：审计挑战：当用户U_i需要检查数据的完整性时，向第三方审计者TPA发送审计请求，然后TPA生成挑战消息，再将该消息发送给云服务器。具体如下：

1)TPA随机选择[1,w]的子集Г，|Г|＝D，即集合Г中包含D个元素。

2)生成随机数y_j∈Z_q，j∈Г。

3)向云服务器发送审计挑战消息{(j,y_j)}_j∈Г。

步骤106：审计证明：云服务器收到审计挑战后，根据所选的块生成审计证明消息，再将该消息返回给第三方审计者TPA。具体如下：

1)云服务器计算λ＝∑_j∈Γy_jm_j∈Z_q，聚合所选块的标签

2)根据所选择的块输出Ф_j＝{V_j,1,V_j,2}_j∈Г，其中V_j,1＝(v_j,1,s_j,₁,s_j,2,s_j,3,s_j,4,T_j,1,T_j,2,T_j,3)，V_j,2＝(v_j,2,s_j,₅,s_j,6,s_j,7,s_j,8,T_j,3,T_j,4)。

3)向TPA发送审计证据{{id_j}_j∈Г,{Ф_j}_j∈Г,λ,Θ}。

步骤107：审计验证：第三方审计者验证审计证明消息的正确性并得出结论，同时保证不泄露群组用户的身份隐私。具体如下：

1)TPA计算

2)验证以下等式是否成立：

3)若以上三个等式均成立，则向用户U_i返回一个有效的应答，否则返回一个无效的应答

步骤108：用户追踪：当需要追踪用户的真实身份时时，可由指定数目的群管理员合作恢复出追踪密钥，进而从数据块的签名中揭露出签名者的真实身份，保证了用户身份的可追踪性和不可陷害性。具体如下：

1)t个群管理者GM协商构建一个多项式其中拉格朗日插值系数

2)计算

3)计算根据用户成员密钥upk_i得到签名者的身份。

Claims

1.一种多管理者群组共享数据中具有隐私保护的公开审计方法，其特征在于步骤如下：

(1)系统建立步骤：

可信中心TC设置公开参数{ε,k,l_p,λ₁,λ₂,γ₁,γ₂,q,G₁,G₂,g₀,e,H₁,H₂,A,B}，为每一个群管理者GM_l分发公/私钥对mpk/msk_l，初始化群成员关系Ω；其中，安全输入参数ε>1，k、l_p∈N，N为自然数；λ₁，λ₂，γ₁，γ₂为随机数，满足λ₁>ε(λ₂+k)+2，λ₂>4l_p，γ₁>ε(γ₂+k)+2，γ₂>λ₁+2；G₁、G₂是乘法循环群，阶均为q；g₀是G₁生成元，双线性对映射e满足e：G₁×G₁→G₂；单向哈希函数H₁、H₂满足：H₁：{0,1}^*→Z_q，Z_q表示阶为q的整数域，H₂：{0,1}^*→G₁；区间A、B满足

(2)用户注册步骤：

群管理者GMs和新用户U_i交互完成签名密钥usk_i、撤销密钥rvk_i和用户成员密钥upk_i的生成，同时更新群组用户列表，将该用户、用户的相关密钥和服务有效时间均加入到用户列表；

(3)数据签名产生步骤：

用户把数据M分为w块，即M＝{m₁,m₂,…,m_w}，然后基于群签名方法计算数据块m_j的签名σ_j，整数j∈[1,w]，再将所有的数据块连同相应的签名上传到云服务器；其中，签名σ_j＝(V_j,1,V_j,2,θ_j)，V_j,1＝(v_j,1,s_j,1,s_j,2,s_j,3,s_j,4,T_j,1,T_j,2,T_j,3),V_j,2＝(v_j,2,s_j,5,s_j,6,s_j,7,s_j,8,T_j,3,T_j,4)，v_j,1,s_j,1,s_j,2,s_j,3,s_j,4,T_j,1,T_j,2,T_j,3,v_j,2,s_j,5,s_j,6,s_j,7,s_j,8,T_j,3,T_j,4均是通过群签名方法计算得到属于域Z_q上的值，随机数π∈B，id_j为数据块m_j的索引；

(4)审计挑战步骤：

当用户需要检查数据的完整性时，向第三方审计者发送审计请求，然后第三方审计者生成挑战消息{(j,y_j)}_j∈Г，再将该消息发送给云服务器；其中，Г为[1,w]的任意子集，随机数y_j∈Z_q，整数j∈Г；

(5)审计证明步骤：

云服务器收到审计挑战后，根据所选的块生成审计证明消息{{id_j}_j∈Г,{Ф_j}_j∈Г,λ,Θ}，再将该消息返回给第三方审计者；其中，λ＝∑_j∈Γy_jm_j∈Z_q，Ф_j＝{V_j,1,V_j,2}_j∈Г；

(6)审计验证步骤：

第三方审计者验证审计证明消息的正确性并得出结论。

2.根据权利要求1所述的多管理者群组共享数据中具有隐私保护的公开审计方法，其特征在于：步骤(1)中TC为每一个群管理者GM_l分发公/私钥对mpk/msk_l过程如下：

1)随机选择l_p比特的素数p’、q’，满足P＝2p’+1，Q＝2q’+1，设置模n＝PQ；

2)随机选择元素a，a₀，g，h，g₁，g₂，η₁，η₂∈QR(n)，QR(n)表示域的二次剩余集合；

3)随机选择秘密值设置Y＝g^X；

4)选择t-1次多项式f(x)＝b₀+b₁x+…+b_t-1x^t-1，其中，b₀＝X，b₁，…，b_t-1∈Z_q；计算X_l＝f(l)，l＝1，2，…，S，即将X分解为S个X_l。

3.根据权利要求1所述的多管理者群组共享数据中具有隐私保护的公开审计方法，其特征在于：步骤(6)中审计验证过程如下：

1)TPA计算 a，a₀，g，h，g₁，g₂∈QR(n)，QR(n)表示域的二次剩余集合，c初始化为g₁；

式中，Y＝g^X，

2)验证以下等式是否成立：

ρ＝g₀ ^π；

3)若以上三个等式均成立，TPA则向用户返回一个有效的应答，否则返回一个无效的应答。

4.根据权利要求1所述的多管理者群组共享数据中具有隐私保护的公开审计方法，其特征在于：当有用户需要被撤销时，群管理者可以在步骤(2)之后的任意一步更新群成员关系Ω和群组用户列表。

5.根据权利要求1所述的多管理者群组共享数据中具有隐私保护的公开审计方法，其特征在于：当需要对用户的身份进行追踪时，群管理者可以在步骤(3)之后的任意一步进行追踪，追踪过程如下：

1)t个群管理者GM协商构建一个多项式其中拉格朗日插值系数l是属于集合[1,S]的整数，h’是属于集合[0,t]的整数；

2)计算

3)计算根据用户成员密钥upk_i得到签名者的身份。