CN105791321A - 一种具有抗密钥泄露特性的云存储数据公共审计方法 - Google Patents

Abstract

本发明属于通信技术领域，具体涉及一种具有抗密钥泄露特性的云存储数据公共审计方法。本发明的方法主要包括：系统初始化：对数据文件进行分块处理，产生云用户和云服务器的公私钥对；审计证明产生：云用户调将数据文件及其标签以及数据块的签名集合发送到云服务器；审计挑战应答：第三方审计者产生审计挑战信息发送到云服务器；云服务器根据审计挑战信息计算组合信息以及聚合签名，并发送审计证明响应信息给第三方审计者；第三方审计者验证此审计证明响应信息的有效性。本发明的有益效果为，能够防止因用户签名私钥泄漏而造成数字签名伪造以及审计证明响应信息的伪造，确保恶意云服务器不能产生伪造的审计证明响应信息欺骗TPA通过审计验证过程。

Description

一种具有抗密钥泄露特性的云存储数据公共审计方法

技术领域

本发明属于通信技术领域，具体涉及一种具有抗密钥泄露特性的云存储数据公共审计方法。

背景技术

随着云计算的快速发展，将会有越来越多的用户将数据存储在云上。云存储作为新一代存储服务模式已日益盛行。这种存储服务给用户带来了许多新的便利，但同时也让用户对存储在云服务器的数据的安全隐私问题担忧。虽然云服务提供商可以为用户提供更加安全的数据存储设备，但是，目前网络空间中产生的海量数据一旦存储在云服务器，也避免不了来自各种外界敌手的主动攻击威胁。事实上，云服务提供商由于一些经济利益往往会删除一些很少被用户访问的数据，从而节省存储空间，并且他们也不会及时地向被删除的这些数据的主人反应真实情况。此外，云服务提供商也可能会因为一些意外操作而造成用户的数据丢失，他们也会向这些数据的主人隐瞒真实情况，从而维护自己的商业名誉。因此可以看出，云存储服务虽然能带来很多优势和便利，但是它并不能保证用户存储数据的真实性和完整性。为了解决上面提到的云存储数据的安全问题，我们需要对存储在云服务器上的数据进行完整性验证，这种可以对存储在云服务器上的数据进行完整性验证的方案称为云存储数据审计方案。

目前可行的云存储数据审计方案中，公共审计是一种应用广泛的数据完整性验证技术。这种技术将审计工作委托给一个有能力的第三方审计者(Third-partyAuditor,TPA)。

随着大量移动设备以及一些不安全的密码设备的应用，密钥泄露更容易发生。这样比起仅依靠解决密码学困难问题假设来获得签名私钥，敌手更容易入侵到用户的存储设备获取到用户的签名私钥。因此，签名私钥泄漏问题已成为现有数字签名算法的重大安全威胁。当前绝大部分云存储数据审计方案没有考虑因用户签名私钥泄露，而导致的签名伪造以及产生伪造的审计证明响应信息的问题。至今只有一个方案能够解决此类问题，但方案需要第三方审计者计算开销较大的模指数与双线性对运算。同时在密钥更新过程中，该方案采用了二叉树技术实现用户签名私钥的更新，计算效率和通信效率都比较慢，而且该方案还不能抵抗量子计算机的攻击。此外，当前的绝大多数云存储数据审计方案都是基于证书的，使得用户公钥证书管理存在着诸多复杂问题。考虑到大数据将会在量子时代长期存在，因此设计能够抵抗量子攻击的抗密码泄露的格上基于身份的云存储数据公共审计方案具有重要的应用价值。

发明内容

本发明的目的是为了解决上述问题，提供一种抗密钥泄露的格上基于身份的云存储数据公共审计方法，此方法能够有效抵抗量子计算机以及因签名私钥泄露造成的签名伪造攻击。

本发明的技术方案为：一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，包括以下步骤：

a.系统初始化，具体包括：

a1.对数据文件进行分块处理，设置格密码算法的安全参数和安全的哈希函数；

a2.密钥产生中心通过格基代理算法分别产生云用户和云服务器的公私钥对；

b.审计证明产生，具体包括：

b1.云用户调用格上基于身份的前向安全同态数字签名算法产生数据块的签名；

b2.利用签名算法计算数据文件标签，将数据文件及其标签以及步骤b1中产生的数据块的签名集合发送到云服务器；

b3.在客户端将签名集合以及原来的数据文件删除；

c.审计挑战应答，具体包括：

c1.第三方审计者产生审计挑战信息发送到云服务器；

c2.云服务器根据审计挑战信息计算组合信息以及聚合签名，然后选取一个随机向量，并运用格上原像抽样算法产生此随机向量的数字签名，将组合信息盲化，并发送审计证明响应信息给第三方审计者；

c3.第三方审计者按照格上基于身份的前向安全同态数字签名验证方法来验证此审计证明响应信息的有效性。

进一步的，所述步骤a1的具体方法为：

a11.将数据文件F分成l个数据块，即其中 是模q上的m维向量；

a12.设置安全参数n，并设置素数q＝poly(n)，整数m≥2nlogq，设置χ为离散高斯噪声分布，q是关于n的多项式；并设置两组安全的高斯参数δ，

a13.设置第一安全哈希函数H₁:{0,1}^*→Z^m×m、第二安全哈希函数第三安全哈希函数第四安全哈希函数其中，第一哈希函数H₁的值输出在D_m×m分布中，是模q上的n×m维矩阵，是模q上的n维向量，Z^m×m是m×m维低范数矩阵，Z_q是模q剩余类环，上标m是矩阵列数，上标n是矩阵行数，下标q是素数，D_m×m是低范数m×m唯矩阵分布；

a14.通过格基陷门生成算法产生密钥产生中心的主公钥A和主私钥T_A，再设置一个公私钥对为(spk,ssk)的数字签名算法。

进一步的，所述步骤a2的具体方法为：

a21.密钥产生中心采用步骤a14中生成的主私钥T_A产生用户身份信息id＝ID_u||T对应的私钥SK_id||0，其中ID_u为用户的身份，T为预先设置的密钥更新的时间周期，具体包括：

a211.设置获取A_id||0＝A(R_id||0)^-1；

a212.密钥产生中心通过格基代理算法NewBasisDel(A,R_id||0,T_A,σ₀)产生SK_id||0＝T_id||0作为云用户的私钥，然后密钥产生中心通过安全信道将云用户的私钥发送给云用户。

a22.密钥产生中心获取其中ID_c为云服务的身份，然后通过格基代理算法NewBasisDel(A,H₁(ID_c),T_A,σ₀)产生作为云服务器的私钥。

进一步的，所述步骤a212还包括，对产生的云用户私钥进行更新：

a2121.给定(id,i,T_id||i-1)，其中id＝ID_u||T，i是当前时刻，SK_id||i-1＝T_id||i-1为i-1时刻的签名私钥；；

a2122.判断i是否等于0，若是，则返回T_id||0为用户此时的私钥，若否，则进入步骤a2123；

a2123.计算A_id||i-1＝A(R_id||i-1)^-1作为i-1时刻的T_id||i-1；

a2124.计算R_i＝H₁(id||i)，然后通过格基代理算法NewBasisDel(A_id||i-1,R_i,T_id||i-1,σ_i)产生T_id||i，最后，返回SK_id||i＝T_id||i为用户此时的私钥。

进一步的，所述步骤b1具体包括：

假设数据文件F＝{m₁,m₂,…,m_l}的文件名称为name∈{0,1}^*，对于每一个数据块输入当前时刻i，用户的公钥A_id||i，云服务器的公钥用户的私钥T_id||i，其中id＝ID_u||T，云用户ID_u产生数据块的签名如下：

b11.计算n个向量1≤k≤n；

b12.对于每一个数据块m_j，计算并计算内直积f_i,j,k＝<ρ_j,λ_i,k>，得到

b13.对于每一个云用户运行格上原像抽样算法SamplePre(A_id||i,T_id||i,f_i,j,δ)得到签名

b14.定义签名集合为同时云用户通过公式ξ＝name||SSig_ssk(name)获取数据文件F的标签，SSig_ssk(name)是利用签名算法的私钥ssk对name进行签名得到的，最后，云用户发送{i,F,ξ,Ω_i}给云服务器。

进一步的，所述步骤c1的具体方法为：

第三方审计者首先取回数据文件标签ξ，并利用公钥spk验证签名SSig_ssk(name)的有效性；当验证完标签的有效性之后，第三方审计者产生审计挑战信息如下：从集合中选择一个含有c个元素的子集第三方审计者选取一个随机比特串最后第三方审计者发送审计挑战信息给云服务器。

进一步的，所述步骤c2的具体方法为：

c21.云服务器接收到审计挑战信息后，计算组合信息块以及聚合签名

c22.为了进一步盲化数据块μ_i，云服务器选取随机向量然后运行算法产生w_i的数字签名β_i；

c23.云服务器计算μ_i'＝β_i+H₄(w_i)μ_i，发送{μ_i',θ_i,w_i}作为审计证明响应信息给第三方审计者。

进一步的，所述步骤c3的具体方法为：

c31.第三方审计者计算n个向量1≤k≤n；

c32.通过公式获取；

c33.获取内直积1≤k≤n，得到

c34.验证方程和不等式是否成立，若是，则判断审计证明响应信息有效，若否，则判断审计证明响应信息无效。

本发明的有益效果为，能够防止因用户签名私钥泄漏而造成数字签名伪造以及审计证明响应信息的伪造，且该审计方法基于格上非齐次小整数解(ISIS)困难性问题能够确保恶意云服务器不能产生伪造的审计证明响应信息欺骗TPA通过审计验证过程；该审计方法利用格上原像抽样函数技术实现随机掩饰码的构造，可有效防止TPA从数据文件中恢复出云用户的原始数据块信息；该审计方法在计算量方面非常有利于TPA,它只需计算有限的线性方程就能成功验证存储在云服务器上的数据完整性,并不需要计算开销较大的模指数运算和双线性对运算，这在后量子通信环境中具有很大的实际应用价值。

具体实施方式

下面详细描述本发明的技术方案：

本发明的步骤分为四个部分：

系统初始阶段：系统首先对数据文件进行分块处理，设置此阶段所需格密码算法的安全参数以及安全的哈希函数。密钥产生中心PKG调用格基代理算法产生云用户和云服务器的公私钥。

密钥更新阶段：给定用户身份、系统预先设置的密钥更新周期以及当前时刻云用户的签名私钥，云用户调用格基代理算法产生下一时刻的云用户的签名私钥。

审计证明产生阶段：云用户调用格上基于身份的前向安全同态数字签名算法产生数据块的签名，再利用一个简单签名算法计算数据文件标签，将数据块的签名集合、数据文件及其标签发送到云服务器，并且在客户端将签名集合以及原来的数据文件删除。

审计挑战应答阶段：第三方审计者产生审计挑战信息给云服务器，云服务器根据审计挑战信息，计算组合信息以及聚合签名，选取随机向量，并运用格上原像抽样算法产生此随机向量的数字签名，将组合信息盲化，并发送审计证明响应信息给第三方审计者。最后，第三方审计者按照格上基于身份的前向安全同态数字签名验证方法来验证此审计证明响应信息的有效性。

以下给出一个具体实例说明：

实施中用到的符号说明见下表：

抗密钥泄露的格上基于身份的云存储数据公共审计方法包括以下基本步骤：Setup(初始化)，KeyExtract(密钥生成)，KeyUpdate(密钥更新)，SigGen(审计证明产生)，ProofGen(审计挑战应答)，VerifyProof(审计证明验证)。

Setup:包括以下四个子步骤：

(1)系统首先将数据文件F分成个数据块其中

(2)对于安全参数n，设置素数q＝poly(n)，整数m≥2nlogq，设置χ为离散高斯噪声分布。为了两个算法SamplePre，NewBasisDel能够正确运行，系统分别设置两组安全的高斯参数δ,

(3)设置抗碰撞的安全哈希函数H₁:{0,1}^*→Z^m×m，H₁的输出值在D_m×m分布中，以及哈希函数

(4)系统运行陷门产生函数TrapGen产生密钥产生中心PKG的主公钥A，主私钥T_A。系统再选取一个简单的数字签名算法SSig，其公私钥对(spk,ssk)。

KeyExtract:PKG利用自己的主私钥T_A产生用户身份信息id＝ID_u||T对应的私钥SK_id||0，其中ID_u为用户的身份，T为预先设置的密钥更新的时间周期。此过程包括以下两个子步骤：

(1)设置计算A_id||0＝A(R_id||0)^-1。

(2)PKG调用算法NewBasisDel(A,R_id||0,T_A,σ₀)产生SK_id||0＝T_id||0作为云用户的私钥，然后PKG通过安全信道发送给云用户。

PKG以类似的方式可以产生云服务器的身份ID_c对应的私钥，由于本发明方法只考虑用户签名私钥泄露的情况，这里PKG只需计算并运行NewBasisDel(A,H₁(ID_c),T_A,σ₀)产生作为云服务器的私钥。

KeyUpdate:给定(id,i,T_id||i-1)，其中id＝ID_u||T，i是当前时刻，SK_id||i-1＝T_id||i-1为i-1时刻的签名私钥，云用户执行步骤如下：

(1)如果i＝1，T_id||0即为用户此时的私钥。

(2)计算A_id||i-1＝A(R_id||i-1)^-1作为i-1时刻的T_id||i-1。

(3)计算R_i＝H₁(id||i)，然后运行算法NewBasisDel(A_id||i-1,R_i,T_id||i-1,σ_i)产生T_id||i，最后，返回SK_id||i＝T_id||i。

SigGen:给定数据文件文件名称为name∈{0,1}^*，对于每一个数据块输入当前时刻i，用户的公钥A_id||i，云服务器的公钥用户的私钥T_id||i，其中id＝ID_u||T，云用户ID_u产生数据块的签名如下：

(1)计算n个向量1≤k≤n。

(2)对于每一个数据块m_j，计算并计算内直积f_i,j,k＝<ρ_j,λ_i,k>，得到

(3)对于每一个云用户运行算法SamplePre(A_id||i,T_id||i,f_i,j,δ)得到签名

定义签名集合为为了确保数据文件名称name的完整性，云用户调用一个简单数字签名算法计算ξ＝name||SSig_ssk(name)作为数据文件F的标签，其中SSig_ssk(name)是利用这个签名算法的私钥ssk对name进行签名得到的。最后，云用户发送{i,F,ξ,Ω_i}给云服务器，并在客户本地端删除这些信息。

ProofGen:第三方审计者TPA首先取回数据文件标签ξ，并利用公钥spk验证签名SSig_ssk(name)的有效性。当验证完标签的有效性之后，TPA产生审计挑战信息如下：从集合中选择一个含有c个元素的子集TPA选取一个随机比特串最后TPA发送审计挑战信息给云服务器。

一旦接收到审计挑战信息云服务器计算组合信息块以及聚合签名为了进一步盲化数据块μ_i，云服务器选取随机向量然后运行算法产生w_i的数字签名β_i。然后，云服务器计算μ_i'＝β_i+H₄(w_i)μ_i，发送{μ_i',θ_i,w_i}作为审计证明响应信息给TPA。

VerifyProof：TPA按照如下步骤验证审计证明响应信息的有效性：

(1)计算n个向量1≤k≤n。

(2)计算

(3)计算内直积1≤k≤n，于是得到

(4)验证方程和不等式是否成立。

审计证明验证过程正确性如下：

这样方程成立。此外，由于θ_i,j是在i时刻数据块m_j的数字签名，于是，对于每一个 成立，因此不等式成立。

Claims (8)

1.一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，包括以下步骤：

a.系统初始化，具体包括：

a1.对数据文件进行分块处理，设置格密码算法的安全参数和安全的哈希函数；

a2.密钥产生中心通过格基代理算法分别产生云用户和云服务器的公私钥对；

b.审计证明产生，具体包括：

b1.云用户调用格上基于身份的前向安全同态数字签名算法产生数据块的签名；

b2.利用签名算法计算数据文件标签，将数据文件及其标签以及步骤b1中产生的数据块的签名集合发送到云服务器；

b3.在客户端将签名集合以及原来的数据文件删除；

c.审计挑战应答，具体包括：

c1.第三方审计者产生审计挑战信息发送到云服务器；

c2.云服务器根据审计挑战信息计算组合信息以及聚合签名，然后选取一个随机向量，并运用格上原像抽样算法产生此随机向量的数字签名，将组合信息盲化，并发送审计证明响应信息给第三方审计者；

c3.第三方审计者按照格上基于身份的前向安全同态数字签名验证方法来验证此审计证明响应信息的有效性。

2.根据权利要求1所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤a1的具体方法为：

a11.将数据文件F分成l个数据块，即其中 是模q上的m维向量；

a12.设置安全参数n，并设置素数q＝poly(n)，整数m≥2nlogq，设置χ为离散高斯噪声分布，q是关于n的多项式；并设置两组安全的高斯参数

a13.设置第一安全哈希函数H₁:{0,1}^*→Z^m×m、第二安全哈希函数第三安全哈希函数第四安全哈希函数其中，第一哈希函数H₁的值输出在D_m×m分布中，是模q上的n×m维矩阵，是模q上的n维向量，Z^m×m是m×m维低范数矩阵，Z_q是模q剩余类环，上标m是矩阵列数，上标n是矩阵行数，下标q是素数，D_m×m是低范数m×m唯矩阵分布；

a14.通过格基陷门生成算法产生密钥产生中心的主公钥A和主私钥T_A，再设置一个公私钥对为(spk,ssk)的数字签名算法。

3.根据权利要求2所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤a2的具体方法为：

a21.密钥产生中心采用步骤a14中生成的主私钥T_A产生用户身份信息id＝ID_u||T对应的私钥SK_id||0，其中ID_u为用户的身份，T为预先设置的密钥更新的时间周期，具体包括：

a211.设置获取A_id||0＝A(R_id||0)^-1；

a212.密钥产生中心通过格基代理算法NewBasisDel(A,R_id||0,T_A,σ₀)产生SK_id||0＝T_id||0作为云用户的私钥，然后密钥产生中心通过安全信道将云用户的私钥发送给云用户。

a22.密钥产生中心获取其中ID_c为云服务的身份，然后通过格基代理算法NewBasisDel(A,H₁(ID_c),T_A,σ₀)产生作为云服务器的私钥。

4.根据权利要求3所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤a212还包括，对产生的云用户私钥进行更新：

a2121.给定(id,i,T_id||i-1)，其中id＝ID_u||T，i是当前时刻，SK_id||i-1＝T_id||i-1为i-1时刻的签名私钥；；

a2122.判断i是否等于0，若是，则返回T_id||0为用户此时的私钥，若否，则进入步骤a2123；

a2123.计算A_id||i-1＝A(R_id||i-1)^-1作为i-1时刻的T_id||i-1；

a2124.计算R_i＝H₁(id||i)，然后通过格基代理算法NewBasisDel(A_id||i-1,R_i,T_id||i-1,σ_i)产生T_id||i，最后，返回SK_id||i＝T_id||i为用户此时的私钥。

5.根据权利要求4所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤b1具体包括：

假设数据文件F＝{m₁,m₂,…,m_l}的文件名称为name∈{0,1}^*，对于每一个数据块输入当前时刻i，用户的公钥A_id||i，云服务器的公钥用户的私钥T_id||i，其中id＝ID_u||T，云用户ID_u产生数据块的签名如下：

b11.计算n个向量1≤k≤n；

b12.对于每一个数据块m_j，计算并计算内直积f_i,j,k＝<ρ_j,λ_i,k>，得到f_i,j＝(f_i,j,1,…,f_i,j,n)^T；

b13.对于每一个云用户运行格上原像抽样算法SamplePre(A_id||i,Ti_d||i,f_i,j,δ)得到签名

b14.定义签名集合为同时云用户通过公式ξ＝name||SSig_ssk(name)获取数据文件F的标签，SSig_ssk(name)是利用签名算法的私钥ssk对name进行签名得到的，最后，云用户发送{i,F,ξ,Ω_i}给云服务器。

6.根据权利要求5所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤c1的具体方法为：

第三方审计者首先取回数据文件标签ξ，并利用公钥spk验证签名SSig_ssk(name)的有效性；当验证完标签的有效性之后，第三方审计者产生审计挑战信息如下：从集合中选择一个含有c个元素的子集第三方审计者选取一个随机比特串最后第三方审计者发送审计挑战信息给云服务器。

7.根据权利要求6所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤c2的具体方法为：

c21.云服务器接收到审计挑战信息后，计算组合信息块以及聚合签名

c22.为了进一步盲化数据块μ_i，云服务器选取随机向量然后运行算法产生w_i的数字签名β_i；

c23.云服务器计算μ′_i＝β_i+H₄(w_i)μ_i，发送{μ′_i,θ_i,w_i}作为审计证明响应信息给第三方审计者。

8.根据权利要求7所述的一种具有抗密钥泄露特性的云存储数据公共审计方法，其特征在于，所述步骤c3的具体方法为：

c31.第三方审计者计算n个向量1≤k≤n；

c32.通过公式获取；

c33.获取内直积1≤k≤n，得到

c34.验证方程和不等式是否成立，若是，则判断审计证明响应信息有效，若否，则判断审计证明响应信息无效。