CN106452748A - 基于多用户的外包数据库审计方法 - Google Patents

Abstract

本发明公开了一种基于多用户的外包数据库审计方法，主要解决现有技术签名验证效率低和解密繁琐的问题。其技术方案是：1.数据拥有者采用代理重加密方式加密数据，形成二级密文，并根据查询用户的公钥生成重加密密钥，通过Evdokimov加密方式生成查找标签，采用聚合签名生成哈希树根的签名；将签名和二级密文、重加密密钥、查找标签传给云服务器；2.云服务器对二级密文加密生成一级密文；3.用户向云服务器发出查询请求，云服务器检索返回相应的一级密文；3.用户解密一级密文形成明文，并对明文进行聚合验证。本发明大大减轻了数据拥有者的负担，并减少了一次交互，提高了数据的隐私保护，可用于云计算环境下的数据安全外包。

Description

基于多用户的外包数据库审计方法

技术领域

本发明涉及数据处理技术领域，具体涉及一种多用户的外包数据库审计方法，可用于云计算环境下的数据安全外包。

背景技术

随着云计算的不断发展，云计算环境下的安全外包计算技术得到很好的应用，使得资源受限的用户可以通过按需付费的方式来购买云计算平台所提供的无尽的计算和存储资源，大大减轻了用户对软件管理硬件维护的负担。外包数据库的审计是安全外包中很重要的一种技术，该技术通常需要满足数据的隐私性和查询结果的正确性、完整性。它通过数据拥有者将自己的加密数据上传到云服务器，用户对云服务器提出自己的查询需求，云端返回满足用户查询需求的所有结果并返回给用户，最后用户对接收到的结果进行正确性验证和完整性验证。

2015年Wang和Chen在“Verifiable Auditing for Outsoucred Database inCloud Computing”(Wang J,Chen X,Huang X,et al.Verifiable auditing foroutsourced database in cloud computing[J].IEEE Transactions on Computers,2015,64(11):3293‐3303.)一文中提出了一种新的外包数据库审计方案。该方案在数据隐私上，使用了Evdokimov在“Encryption techniques for secure database outsourcing”(Evdokimov S,Günther O.Encryption techniques for secure database outsourcing[C]//European Symposium on Research in Computer Security.Springer BerlinHeidelberg,2007:327‐342.)中提出的数据加密方案去保证数据的私有性。其加密方案如下：

步骤一：给出明文(a₁:x₁…a_l:x_l)，数据拥有者随机选择加密密钥k₀，加密明文x_i为密文其中x_i是属性a_i的值，是一个IND‐CPA安全的对称加密方案；

步骤二：数据拥有者随机选择两个加密密钥k₁和k₂，利用伪随机置换生成临时密钥且得到临时密文最后生成查找标签其中X＝{0,1}^m是一个伪随机置换，是一个IND‐CPA安全的对称加密方案，且密钥空间和明文空间相同。

步骤三：当所有的属性值被加密后，数据拥有者将密文(a₁:(t₁,c₁),…,a_l:(t_l,c_l))上传给云服务器。

步骤四：云服务器将相应的密文发送给数据拥有者，数据拥有者利用加密密钥k₀解密密文。例如，将密文(t_i,c_i)解密为

在此加密方案中，当用户得到满足自己查询需求的结果时，必须把自己所得到的密文传送给数据拥有者。数据拥有者再利用自己的加密密钥解密密文，并将解密后的明文发送给用户。这样用户在查询数据时要想得到明文，就必须要求数据拥有者在线为其进行解密，导致数据拥有者的负担增大，且在传输明文的过程中数据存在安全隐患。

该方案在可验证性上，使用了布隆过滤器BF算法和哈希树MHT算法去验证数据的正确性和完整性。布隆过滤器BF用于检索一个元素是否在一个集合中，他的优点是空间效率和查询时间都远远超过一般的算法。哈希树MHT用于验证数据的正确性，他的优点是双方的交互很少。该方案可以可以同时解决在服务器返回空值和虚假的信息时的情况，并且可以对返回结果不完整的情况进行验证。数据拥有者对哈希树的恨节点进行签名时，使用的是普通的数字签名方案。在用户得到满足自己查询请求的所有结果时，用户必须去一个一个去验证签名的正确性和完整性，导致用户的负担增大，并且使验证效率低下。

发明内容

本发明的目的是针对上述现有技术的不足，提出一种基于多用户的外包数据库审计方法。以有效的减少数据拥有者的负担和使用者的负担，增加数据的安全性。

为实现上述目的，本发明的技术方案包括如下：

(1)数据拥有者采用代理重加密方式对数据进行加密，形成二级密文C₁，并根据查询用户的公钥生成重加密密钥sk′；

(2)数据拥有者采用Evdokimov的加密方式生成查找标签t；

(3)数据拥有者根据自己的每组数据生成哈希树MHT，并生成相应的哈希树的根h(r)；

(4)数据拥有者采用聚合签名方式对自己的哈希树的根h(r)进行签名，并将该签名σ和二级密文C₁、重加密密钥sk′、查找标签t一起上传给云服务器；

(5)云服务器收到数据拥有者的二级密文C₁和重加密密钥sk′后，利用重加密密钥对二级密文C₁进行加密，形成一级密文C₂并保存在云服务器上；

(6)用户向云服务器发出查询需求，云服务器利用查找标签进行检索，查找到相应的结果，该查询结果包括一级密文C₂和签名值σ，并返回给用户；

(7)用户得到查询结果后，利用自己的私钥对查询结果中的一级密文C₂进行解密，得到明文m，并重构出相应的哈希树的根h(r)；

(8)用户利用返回结果中的签名值σ对哈希树的根h(r)进行验证。

本发明与现有技术相比具有以下优点：

第一，由于本发明采用的加密方式为代理重加密机制，所以当数据拥有者将自己的数据经过第一次加密后成为二级密文，并根据用户的公钥生成重加密密钥，然后将自己的二级密文和重加密密钥一起上传给云服务器。云服务器根据数据拥有者上传的二级密文和重加密密钥生成一级密文。当用户去给云服务器发出自己的查询需求时，云服务器将返回相应的重加密后的一级密文。用户得到一级密文后，不用再去向数据拥有者请求解密，而是可以直接利用自己的私钥进行解密操作，从而得到明文，大大减轻了数据拥有者的负担，并且减少了一次交互，提高了数据的隐私保护。

第二，由于本发明采用的签名机制是聚合签名机制，所以当用户得到符合自己查询需求的所有数据时，不需要对每一组数据的签名进行一一验证，特别是当数据拥有者的数量增加时，用户去验证签名的计算量增大时，本发明采用聚合签名进行统一的验证，大大减少了用户的计算代价和通信开销。

附图说明

图1为本发明的实现总流程图。

图2为本发明中代理重加密的子流程图。

图3为本发明中聚合签名的子流程图。

图4为本发明中生成一级密文的的子流程图。

具体实施方式

参照图1，本发明的实施步骤如下：

步骤1，数据拥有者采用代理重加密方式对数据进行加密形成二级密文C₁，并根据查询用户的公钥生成重加密密钥sk′。

代理重加密是由密码学家Blaz，Bleumer和Strauss在1998年提出来的一个密码学概念。根据代理钥的性质，代理重加密分为双向代理重加密和单向代理重加密两种。根据代理密文能否被多次转换这一性质，代理重加密又分为多跳代理重加密和单跳代理重加密两种。本发明采用的是Ateniese等人利用双线性构造的单跳单向代理重加密方案。

参照图2，本步骤的具体实现如下：

1.1)参数设置：输入安全参数1^k，输出双线性映射参数(q,g,G,G_T,e)，其中G是素数q阶的第一个群，G_T是素数q阶的第二个群，g是群G的第一个生成元，双线性映射e定义为：G×G→G_T，在第一个群G中随机选择第二个生成元h，计算公共子参数Z＝e(g,h)，设置公共参数PP＝(g,h,Z)；

1.2)生成密钥：选择第一个随机数a和第二个随机数b，设置公钥pk＝(Z^a,g^b)和私钥sk＝(a,b)，其中a,b∈Z_q，Z_q为整数集合；

1.3)加密：数据拥有者A选择第一个随机数a₁和第二个随机数a₂，生成自己的第一对公钥为私钥为sk_A＝(a₁,a₂)，数据拥有者A选择第三个随机数k，利用自己的公钥对消息m进行加密，行成二级密文其中a₁,a₂∈Z_q，k∈Z_q；

1.4)生成重加密密钥：用户B选择第四个随机数b₁和第五个随机数b₂，生成自己的公钥为私钥为sk_B＝(b₁,b₂)，数据拥有者A选择第六个随机数r和第七个随机数w，利用用户B的公钥pk_B生成重加密密钥：

其中b₁,b₂∈Z_q，r,w∈Z_q。

步骤2，数据拥有者生成查找标签t。

数据拥有者A随机选择两个加密密钥，即第一个加密密钥k₁和第二个加密密钥k₂，利用伪随机置换生成临时密钥且得到临时密文其中表示利用k₁作为密钥进行伪随机置换，表示利用k₂作为密钥进行伪随机置换。

根据临时密钥k_s生成查找标签表示利用临时密钥k_s对消息m进行选择明文安全的IND‐CPA对称加密。

步骤3，数据拥有者根据自己的每组数据生成哈希树MHT，并生成相应的哈希树根h(r)。

步骤4，对步骤三生成的哈希树根h(r)进行聚合签名。

聚合签名是在欧密会议2003年提出的，聚合签名可以认为是多签名方案的扩展。聚合签名是基于RSA,双线性配对函数构造的签名方案。聚合签名又分为有序聚合签名和无序聚合签名，其中有序是指在聚合的过程中，不仅保证消息的可验证性，同时，对消息聚合的顺序也可以验证。本发明采用的是Boneh等人提出的基于双线性配对函数的无序聚合签名方案。

参照图3，本步骤的具体实现如下：

4.1)参数设置：选择第一个循环群G₁，第二个循环群G₂，第三个循环群G_T，并满足双线性映射关系e，其中e表示为G₁×G₂→G_T；

4.2)生成密钥：数据拥有者A设置私钥为x、公钥为v＝g₁ ^x的第二对密钥，其中x∈Z_p，g₁为G₁的生成元；

4.3)签名：当数据拥有者增加为多个时，每个数据拥有者都会有自己数据的的哈希树根，对于每一个数据拥有者u_i∈U，给出各自的哈希树根h_i(r)，计算相应的哈希值H_i＝h₁(h_i(r))，并计算相应的签名σ_i＝H_i ^x，其中i∈{1,k＝|U|}，U表示数据拥有者集合，h₁表示整数集合映射到G₂上的全域哈希函数；

4.4)聚合签名：根据每个数据拥有者的签名σ_i，计算得到聚合签名

步骤5，云服务器对步骤一生成的二级密文和重加密密钥进行重加密生成一级密文。

参照图4，本步骤的具体实现如下：

5.1)云服务器接收到二级密文后，确定该密文是否正确：

5.1.1)云服务器分别进行计算e(g^k,h)和e(g,h^k)，其中e(g^k,h)表示对群G的第一个生成元g的k次方g^k和群G的第二个生成元h进行双线性映射e的运算，e(g,h^k)表示群G的第一个生成元g和群G的第二个生成元h的k次方h^k进行双线性映射e的运算；

5.1.2)将e(g^k,h)与e(g,h^k)进行比较：

如果e(g^k,h)≠e(g,h^k)，表示接收的二级密文C₁有误，则中止重加密；

如果e(g^k,h)＝e(g,h^k)，表示二级密文C₁是有效密文，则执行5.2对它进行重加密。

5.2)对有效的二级密文进行重加密：

5.2.1)计算第一个临时密文其中表示对群G的第一个生成元g的b₂(a₁+r)次方和群G的第二个生成元h的k次方h^k进行双线性映射e的运算；

5.2.2)计算第二个临时密文其中e(g^k,h^r)表示对群G的第一个生成元g的k次方g^k和群G的第二个生成元h的r次方h^r进行双线性映射e的运算；

5.2.3)利用重加密密钥sk′对二级密文C₁进行重加密，得到一级密文其中w′∈Z_q。

步骤6，用户对云服务器提出查询需求，云服务器利用步骤2生成的查找标签进行检索并返回相应的一级密文和签名。

用户生成查询需求并发送给云服务器，其中表示利用第一加密密钥k₁进行伪随机置换，表示利用第二加密密钥k₂进行伪随机置换，其中A_q表示用户所查询的属性，a表示属性的数值。

云服务器接收到查询需求后，解密每一个数据拥有者上传的所有查找标签t_q，检索所有满足的标签，并将相应的一级密文C₂返回给用户。

步骤7，用户对步骤5生成的一级密文进行解密得到明文。

用户B利用自己的私钥sk_B＝(b₁,b₂)去解密一级密文C₂，得到明文m：

步骤8，用户对步骤6返回的签名进行验证。

8.1)用户计算每一个哈希树根的哈希值H_i＝h₁(h(r))，确定返回结果是否正确：

8.1.1)用户分别计算e(g₁,σ)与其中e(g₁,σ)表示第一个循环群G₁的生成元g₁和聚合签名σ进行双线性映射e的运算，e(v_i,H_i)表示每一个数据拥有者的第二对公钥v_i与每一个哈希树根的哈希值H_i进行双线性映射e的运算；

8.1.2)将e(g₁,σ)与进行比较：

如果表示返回结果正确，则接受云服务器返回的结果；

如果表示返回结果错误，则放弃云服务器返回的结果。

以上描述仅是本发明的一个具体实例，显然对于本领域的专业人士来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想修正和改变仍在本发明的权利要求保护范围之内。

Claims (8)

1.一种基于多用户的外包数据库审计方法，包括：

(1)数据拥有者采用代理重加密方式对数据进行加密，形成二级密文C₁，并根据查询用户的公钥生成重加密密钥sk′；

(2)数据拥有者采用Evdokimov的加密方式生成查找标签t；

(3)数据拥有者根据自己的每组数据生成哈希树MHT，并生成相应的哈希树的根h(r)；

(4)数据拥有者采用聚合签名方式对自己的哈希树的根h(r)进行签名，并将该签名σ和二级密文C₁、重加密密钥sk′、查找标签t一起上传给云服务器；

(5)云服务器收到数据拥有者的二级密文C₁和重加密密钥sk′后，利用重加密密钥对二级密文C₁进行加密，形成一级密文C₂并保存在云服务器上；

(6)用户向云服务器发出查询需求，云服务器利用查找标签进行检索，查找到相应的结果，该查询结果包括一级密文C₂和签名值σ，并返回给用户；

(7)用户得到查询结果后，利用自己的私钥对查询结果中的一级密文C₂进行解密，得到明文m，并重构出相应的哈希树的根h(r)；

(8)用户利用返回结果中的签名值σ对哈希树的根h(r)进行验证。

2.根据权利要求1所述的方法，其中步骤(1)所述的数据拥有者采用代理重加密方式对数据进行加密，按如下步骤进行：

(1a)参数设置：输入安全参数1^k，输出双线性映射参数(q,g,G,G_T,e)，其中G是素数q阶的第一个群，G_T是素数q阶的第二个群，g是群G的第一个生成元，双线性映射e定义为：G×G→G_T，在第一个群G中随机选择第二个生成元h，计算公共子参数Z＝e(g,h)，设置公共参数PP＝(g,h,Z)；

(1b)生成密钥：选择第一个随机数a和第二个随机数b，设置公钥pk＝(Z^a,g^b)和私钥sk＝(a,b)，其中a,b∈Z_q，Z_q为整数集合；

(1c)加密：数据拥有者A选择第一个随机数a₁和第二个随机数a₂，生成自己的第一对公钥为私钥为sk_A＝(a₁,a₂)，数据拥有者A利用自己的公钥加密消息m，并选择第三个随机数k，计算二级密文其中a₁,a₂∈Z_q，k∈Z_q；

(1d)生成重加密密钥：用户B选择第四个随机数b₁和第五个随机数b₂，生成自己的公钥为私钥为sk_B＝(b₁,b₂)，数据拥有者A将自己的消息m加密后生成二级密文发送给云服务器，云服务器利用重加密密钥生成一级密文发送给用户B，数据拥有者A选择第六个随机数r和第七个随机数w，计算重加密密钥 其中b₁,b₂∈Z_q，r,w∈Z_q。

3.根据权利要求1所述的方法，其中步骤(2)所述的数据拥有者采用Evdokimov的加密方式生成查找标签t，按如下步骤进行：

(2a)数据拥有者A随机选择两个加密密钥，即第一个加密密钥k₁和第二个加密密钥k₂，利用伪随机置换生成临时密钥且得到临时密文其中表示利用k₁作为密钥进行伪随机置换，表示利用k₂作为密钥进行伪随机置换；

(2b)根据临时密钥生成查找标签 表示利用临时密钥k_s对消息m进行选择明文安全的IND‐CPA对称加密。

4.根据权利要求1所述的方法，其中步骤(4)所述的数据拥有者采用聚合签名方式对自己的哈希树的根h(r)进行签名，按如下步骤进行：

(4a)参数设置：选择第一个循环群G₁，第二个循环群G₂，第三个循环群G_T，并满足双线性映射关系e，其中e表示为G₁×G₂→G_T；

(4b)生成密钥：数据拥有者A设置第二对私钥为x，公钥为v＝g₁ ^x，其中x∈Z_p，g₁为G₁的生成元；

(4c)签名：对于每一个数据拥有者子集u_i∈U，给出各自的消息M_i∈{0,1}^*，计算相应的哈希值h_i＝h₁(M_i)，并计算相应的签名σ_i＝h_i ^x，其中i∈{1,k＝|U|}，U表示用户集合，h₁()表示映射到G₂上的全域哈希函数，{0,1}^*表示0，1序列的集合；

(4d)聚合签名：计算聚合签名其中σ∈G₂。

5.根据权利要求1所述的方法，其中步骤(5)所述的云服务器利用重加密密钥对二级密文C₁进行加密形成一级密文C₂，按如下步骤进行：

(5a)云服务器接收到二级密文后，确定待重加密的密文是否正确：

如果e(g^k,h)≠e(g,h^k)，表示接收的二级密文C₁有误，则中止程序，其中e(g^k,h)表示对群G的第一个生成元g的k次方g^k和群G的第二个生成元h进行双线性映射e的运算，e(g,h^k)表示群G的第一个生成元g和群G的第二个生成元h的k次方h^k进行双线性映射e的运算；

如果e(g^k,h)＝e(g,h^k)，表示二级密文C₁是有效密文，执行下述步骤；

(5b)计算第一个临时密文其中表示对群G的第一个生成元g的b₂(a₁+r)次方和群G的第二个生成元h的k次方h^k进行双线性映射e的运算；

(5c)计算第二个临时密文其中e(g^k,h^r)表示对群G的第一个生成元g的k次方g^k和群G的第二个生成元h的r次方h^r进行双线性映射e的运算；

(5d)利用重加密密钥sk′对二级密文C₁进行加密，得到一级密文其中w′∈Z_q。

6.根据权利要求1所述的方法，其中步骤(6)所述的用户向云服务器发出查询需求，云服务器利用查找标签进行检索，按如下步骤进行：

(6a)用户生成查询需求并发送给云服务器，其中表示利用第一加密密钥k₁进行伪随机置换，表示利用第二加密密钥k₂进行伪随机置换，其中A_q表示用户所查询的属性，a表示属性的数值，；

(6b)云服务器接收到查询需求后，解密每一个数据拥有者上传的所有查找标签t_q，检索所有满足的标签，并将相应的一级密文C₂和签名返回给用户。

7.根据权利要求1所述的方法，其中步骤(7)所述的用户得到查询结果后，利用自己的私钥对查询结果中的一级密文C₂进行解密，按如下步骤进行：

(7a)用户B利用自己的私钥sk_B＝(b₁,b₂)去解密一级密文C₂，得到明文m：

$C_2=(Z^{b_2\left(k\right(a_1+r)+{\mathrm{ww}}^{\′})},m\·Z^{k(a_1+r)+{\mathrm{ww}}^{\′}}),$

$m=(m\·Z^{k(a_1+r)+{\mathrm{ww}}^{\′}})/{\left(Z^{b_2\left(k\right(a_1+r)+{\mathrm{ww}}^{\′})}\right)}^{1/b_2}.$

8.根据权利要求1所述的方法，其中步骤(8)所述的用户利用返回结果中的签名值σ对哈希树根h(r)进行验证，按如下步骤进行：

(8a)用户计算每一个哈希树根的哈希值h_i＝h₁(h(r))，确定返回结果是否正确：

如果表示返回结果正确，则接受云服务器返回的结果，其中e(g₁,σ)表示第一个循环群G₁的生成元g₁和聚合签名σ进行双线性映射e的运算，e(v_i,h_i)表示每一个数据拥有者的第二对公钥v_i与每一个哈希树根的哈希值h_i进行双线性映射e的运算；

如果表示返回结果错误，则放弃云服务器返回的结果。