CN106790303A - 云存储中借助第三方完成的数据完整性验证方法 - Google Patents

Abstract

本发明公开了一种云存储中借助第三方完成的数据完整性验证方法。其步骤为：1、对文件进行分块，2、对文件进行加密，3、生成文件块标签，4、生成完整性验证的挑战信息，5、生成完整性验证的响应信息，6、判断是否满足完整性验证结果，7、验证数据完整，8、验证数据不完整。本发明克服了现有技术给用户带来大量的计算负担和通信负担，提高了验证的效率，在验证过程数据隐私安全问题，抵抗了云服务器发起的伪造攻击，使得数据的完整性和安全性得到保证。

Description

云存储中借助第三方完成的数据完整性验证方法

技术领域

本发明属于计算机技术领域，进一步涉及信息安全技术领域中的一种云存储中借助第三方完成的数据完整性验证方法。本发明中的用户将加密数据上传给第三方，第三方为这些加密数据生成标签，并将加密数据和标签发送给云服务提供商，随后，第三方发送挑战信息，云服务提供商返回响应信息给第三方，第三方对响应信息进行验证，验证通过则表示用户数据完整，否则用户数据被破坏。

背景技术

云存储作为一种新型的存储模型，具有远程存储数据的能力，已经得到了广泛的应用。越来越多的公司和个人，将本地的数据存储到云端，以减小本地数据存储的压力。但是云存储并不是完全值得信任的，可能会对云存储中的数据造成损坏，给公司和个人带来巨大的损失。因此，用户需要对存储在云中的数据进行数据完整性验证。

M.Jogdand和R.H.Goudar在其发表的论文“Dynamic remote data auditing forsecuring big data storage in cloud computing”(Information Sciences,2015:101-116.)中提出了一种远程的数据完整性验证方法。该方法的具体步骤是：在预处理阶段，用户先对要上传到云存储中的数据进行分块处理，并为每个分块的数据生成相应的数据标签，然后将数据上传到云存储中，在挑战-响应阶段，用户向云存储服务器发起数据完整性验证挑战，云存储服务器返回相应的验证响应；在用户验证阶段，用户对返回的响应进行验证，如果验证成功则输出接受，否则输出拒绝。该方法存在的不足之处是，在用户验证阶段，验证所需要的所有信息皆来源于不可信云服务提供商，因此云服务可以伪造证明信息来欺骗用户。

北京航空航天大学在其申请的专利文献“一种多重云环境下数据完整性验证方法”(申请号：201310631352.2，公开号：103605784A)中公开了一种数据完整性验证的方法。该方法的具体步骤是：在预处理阶段，由客户端执行，包括初始化，文件分块，数据标签的生成，文件、标签、公开参数的存储四个步骤；在挑战-响应阶段，用户与云服务提供商交互的一个过程，不管是在数据更新前，还是更新后，用户向云服务提供商发起挑战，服务器做出相应的回应，用户根据服务器给的回应进行完整性验证；在用户验证阶段，当用户收到组织者返回的数据P＝{P1,P2}时，从第三方处获得存储的公开参数，验证云服务提供商存储的数据是否是完整的，如果验证成功则输出接受，否则输出拒绝。该方法存在的不足之处是，该方法中，第三方仅为用户进行数据完整性的验证，而没有为用户初始化阶段的数据标签生成做任何贡献，这在很大程度上并没有降低用户的计算和存储花费。除此之外，该方法也存在着验证过程中数据隐私泄露的问题。

发明内容

本发明的目的是针对上述现有技术的不足，提出了一种云存储中基于第三方的完整性验证方法。

实现本发明目的的具体思路是：用户先对要上传到云存储服务器的数据进行分块加密，然后将加密后的文件块发送给第三方；第三方为每个加密的文件块生成相应的文件主标签和辅助标签，再将加密文件块、主标签和辅助标签一起上传到云服务器。在数据完整性验证过程中，第三方生成挑战信息并发送给第三方；云服务生成对应的响应信息返回给第三方；第三方验证响应信息，以判断云中的数据是否完整。这个验证过程不仅保证了数据的隐私安全，而且抵抗云服务提供商发起的伪造攻击，同时提高数据完整性验证方案的效率。

本发明的具体步骤包括：

(1)将待上传到云服务器的文件进行分块：

用户将待上传到云存储中的云服务器里进行完整性验证的数据均等分块生成长度为l的多个数据块，当最后一个数据块长度小于l时，对最后一个数据块末尾补0，使最后一个数据块长度为l；

(2)对数据块进行加密并传给第三方：

(2a)按照下式，生成一个乘法循环群：

{gⁱ}_0≤i≤p-1→G₁

其中，gⁱ表示乘法循环群中的第i个元素，{}表示乘法循环群的集合符号，p表示乘法循环群的阶，→表示生成操作，G₁表示乘法循环群；

(2b)从乘法循环群G₁的元素中，随机选择一个元素，作为高级加密标准AES算法的加密密钥ssk；

(2c)按照下式，用户计算每一个数据块的密文块：

m_j＝E_ssk(F(j))

其中，m_j表示第j个数据块对应的密文块，E_ssk(·)表示加密密钥为ssk的高级加密标准AES算法，F(j)表示第j个数据块，j表示每一个数据块对应的标号，1≤j≤n，n表示数据块的总数；

(2d)将所有的密文块集合后生成密文块集合发送给第三方；

(3)生成密文块的标签并传给云服务器：

(3a)按照下式，第三方计算每一个密文块的主标签：

T_t＝S_γ(m_t||ID_F||t)

其中，T_t表示第t个密文块的主标签，S_γ(·)表示代数签名函数，m_t表示第t个密文块，||表示级联操作，ID_F表示待上传到云服务器的数据身份认证标号，t表示密文块的标号；

(3b)按照下式，第三方计算每个加密后的密文块的辅助标签：

C_t＝S_γ(ID_F||t)

其中，C_t表示第三方计算的第t个密文块的辅助标签，S_γ(·)表示代数签名函数，||表示级联符号，ID_F表示待上传到云服务器的数据身份认证标号，t表示密文块的标号；

(3c)将密文块的标签集合后生成标签集合，连同密文块集合传送给云服务器；

(4)生成挑战信息并发送给云服务器：

(4a)第三方从整数集合[1,q]中，随机选择一个含有c个元素的子集，其中，q表示上传到云服务器的密文块的总数；

(4b)第三方将含有c个元素的子集作为挑战信息发送给云服务器；

(5)生成响应信息并返回给第三方：

(5a)按照下式，云服务器计算含有c个元素的子集对应的密文块的响应值：

其中，σ表示含有c个元素的子集对应的密文块的响应值，c表示所选择的子集的元素总数，Σ表示求和操作，k表示含有c个元素的子集中第k个元素对应的标号，表示含有c个元素的子集中的第k个元素r_k对应的密文块，·表示相乘操作，r_k表示含有c个元素的子集中的第k个元素；

(5b)按照下式，云服务计算含有c个元素的子集对应的密文块标签的响应值：

μ＝(g^β)^y

其中，μ表示含有c个元素的子集对应的密文块的标签响应值，g^β表示第三方利用从乘法循环群G₁中随机选取的私钥β生成的公钥，y表示含有c个元素的子集对应的密文块标签的临时响应值；

(5c)云服务器将密文块的响应值集合、密文块的标签响应值集合作为响应信息返回给第三方；

(6)第三方计算映射：

(6a)按照下式，第三方计算挑战信息的映射结果:

Λ＝e(μ,g^α)

其中，Λ表示挑战信息的映射结果，e(·)表示乘法循环群G₁上的双线性映射操作，g^α表示用户利用从乘法循环群G₁中随机选取的私钥α生成的公钥；

(6b)按照下式，第三方计算响应信息的映射结果:

其中，Υ表示响应信息的映射结果，表示第三方利用含有c个元素的子集对应的密文块的响应值生成的响应信息，g^αβ表示第三方利用用户的公钥g^α和自己从乘法循环群G₁中随机选取的私钥β生成的共享密钥；

(7)判断挑战信息映射结果是否等于响应信息映射结果，若是，则执行步骤(8)，否则，执行步骤(9)；

(8)确定第三方验证云服务器中的数据未被破坏，数据是完整的；

(9)确定第三方验证云服务器中的数据被破坏，数据是不完整的。

本发明与现有技术相比具有以下优点：

第一，由于本发明用户对文件块进行加密并传给第三方，克服了现有技术在数据完整性验证过程中数据隐私的泄露的问题，使得本发明在数据完整性验证过程数据隐私得到保护。

第二，由于本发明第三方生成文件块标签并传给云服务器的过程中，第三方计算每一个加密后文件块的主标签和辅助标签，克服了现有技术给数据完整性验证的用户带来大量的计算和存储负担的缺陷，使得本发明在文件的标签生成的过程中数据完整性验证的用户具有更低的存储和计算费用，提高了整个数据完整性验证的效率。

第三，由于本发明第三方在判断挑战信息映射结果是否等于响应信息映射结果的过程中，第三方自己生成一个验证信息，克服了现有技术中在数据破坏的情况下，云服务器伪造一个假的响应信息来欺骗用户通过验证的问题，提高了验证云服务器中数据的完整性的准确性。

附图说明

图1为本发明的流程图。

具体实施方式

下面结合附图1对本发明作进一步的详细描述。

步骤1，将待上传到云服务器的文件进行分块。

用户将待上传到云存储中的云服务器里进行完整性验证的数据均等分块生成长度为的多个数据块，其中表示向下取整操作，L表示待上传到云存储中的云服务器里进行完整性验证的数据长度，n表示用户需要生成的数据块个数。当最后一个数据块长度小于l时，对最后一个数据块末尾补0，使最后一个数据块长度为l；

步骤2，对数据块进行加密并传给第三方。

(2a)按照下式，生成一个乘法循环群：

{gⁱ}_0≤i≤p-1→G₁

其中，gⁱ表示乘法循环群中的第i个元素，{}表示乘法循环群的集合符号，p表示乘法循环群的阶，→表示生成操作，G₁表示乘法循环群；

(2b)从乘法循环群G₁的元素中，随机选择一个元素，作为高级加密标准AES算法的加密密钥ssk；

(2c)按照下式，用户计算每一个数据块的密文块：

m_j＝E_ssk(F(j))

其中，m_j表示第j个数据块对应的密文块，E_ssk(·)表示加密密钥为ssk的高级加密标准AES算法，F(j)表示第j个数据块，j表示每一个数据块对应的标号，1≤j≤n，n表示数据块的总数；

(2d)将所有的密文块集合后生成密文块集合发送给第三方；

步骤3，生成密文块的标签并传给云服务器。

(3a)按照下式，第三方计算每一个密文块的主标签：

T_t＝S_γ(m_t||ID_F||t)

其中，T_t表示第t个密文块的主标签，S_γ(·)表示代数签名函数,代数签名函数是一种具有代数性质的哈希函数，其代数性质是指对于b个数据块之和的代数签名函数值等于b个数据块代数签名函数值之和。m_t表示第t个密文块，||表示级联操作，ID_F表示待上传到云服务器的数据身份认证标号，t表示密文块的标号；

(3b)按照下式，第三方计算每个加密后的密文块的辅助标签：

C_t＝S_γ(ID_F||t)

其中，C_t表示第三方计算的第t个密文块的辅助标签，S_γ(·)表示代数签名函数，||表示级联符号，ID_F表示待上传到云服务器的数据身份认证标号，t表示密文块的标号；

(3c)将密文块的标签集合后生成标签集合，连同密文块集合传送给云服务器；

步骤4，生成挑战信息并发送给云服务器。

(4a)第三方从整数集合[1,q]中，随机选择一个含有c个元素的子集，其中，q表示上传到云服务器的密文块的总数；

(4b)第三方将含有c个元素的子集作为挑战信息发送给云服务器；

步骤5，生成响应信息并返回给第三方。

(5a)按照下式，云服务器计算含有c个元素的子集对应的密文块的响应值：

其中，σ表示含有c个元素的子集对应的密文块的响应值，c表示所选择的子集的元素总数，Σ表示求和操作，k表示含有c个元素的子集中第k个元素对应的标号，表示含有c个元素的子集中的第k个元素r_k对应的密文块，·表示相乘操作，r_k表示含有c个元素的子集中的第k个元素；

(5b)按照下式，云服务计算含有c个元素的子集对应的密文块标签的响应值：

μ＝(g^β)^y

其中，μ表示含有c个元素的子集对应的密文块的标签响应值，g^β表示第三方利用从乘法循环群G₁中随机选取的私钥β生成的公钥，y表示含有c个元素的子集对应的密文块标签的临时响应值,含有c个元素的子集对应的密文块标签的临时响应值是由下式计算得到的：

其中，c表示所选择的子集的元素总数，Σ表示求和操作，k表示含有c个元素的子集中第k个元素对应的标号，表示含有c个元素的子集中的第k个元素r_k对应的密文块的主标签，表示异或操作，表示含有c个元素的子集中的第k个元素r_k对应的密文块的辅助标签，r_k表示含有c个元素的子集中的第k个元素。

(5c)云服务器将密文块的响应值集合、密文块的标签响应值集合作为响应信息返回给第三方；

步骤6，第三方计算映射。

(6a)按照下式，第三方计算挑战信息的映射结果:

Λ＝e(μ,g^α)

其中，Λ表示挑战信息的映射结果，e(·)表示乘法循环群G₁上的双线性映射操作，g^α表示用户利用从乘法循环群G₁中随机选取的私钥α生成的公钥；

(6b)按照下式，第三方计算响应信息的映射结果:

其中，Υ表示响应信息的映射结果，表示第三方利用含有c个元素的子集对应的密文块的响应值生成的响应信息，g^αβ表示第三方利用用户的公钥g^α和自己从乘法循环群G₁中随机选取的私钥β生成的共享密钥；

步骤7，判断挑战信息映射结果是否等于响应信息映射结果，若是，则执行步骤(8)，否则，执行步骤(9)。

步骤8，确定第三方验证云服务器中的数据未被破坏，数据是完整的。

步骤9，确定第三方验证云服务器中的数据被破坏，数据是不完整的。

Claims (4)

1.一种云存储中借助第三方完成的数据完整性验证方法，包括以下具体步骤：

(1)将待上传到云服务器的文件进行分块：

用户将待上传到云存储中的云服务器里进行完整性验证的数据均等分块生成长度为l的多个数据块，当最后一个数据块长度小于l时，对最后一个数据块末尾补0，使最后一个数据块长度为l；

(2)对数据块进行加密并传给第三方：

(2a)按照下式，生成一个乘法循环群：

{gⁱ}_0≤i≤p-1→G₁

其中，gⁱ表示乘法循环群中的第i个元素，{}表示乘法循环群的集合符号，p表示乘法循环群的阶，→表示生成操作，G₁表示乘法循环群；

(2b)从乘法循环群G₁的元素中，随机选择一个元素，作为高级加密标准AES算法的加密密钥ssk；

(2c)按照下式，用户计算每一个数据块的密文块：

m_j＝E_ssk(F(j))

其中，m_j表示第j个数据块对应的密文块，E_ssk(·)表示加密密钥为ssk的高级加密标准AES算法，F(j)表示第j个数据块，j表示每一个数据块对应的标号，1≤j≤n，n表示数据块的总数；

(2d)将所有的密文块集合后生成密文块集合发送给第三方；

(3)生成密文块的标签并传给云服务器：

(3a)按照下式，第三方计算每一个密文块的主标签：

T_t＝S_γ(m_t||ID_F||t)

其中，T_t表示第t个密文块的主标签，S_γ(·)表示代数签名函数，m_t表示第t个密文块，||表示级联操作，ID_F表示待上传到云服务器的数据身份认证标号，t表示密文块的标号；

(3b)按照下式，第三方计算每个加密后的密文块的辅助标签：

C_t＝S_γ(ID_F||t)

其中，C_t表示第三方计算的第t个密文块的辅助标签，S_γ(·)表示代数签名函数，||表示级联符号，ID_F表示待上传到云服务器的数据身份认证标号，t表示密文块的标号；

(3c)将密文块的标签集合后生成标签集合，连同密文块集合传送给云服务器；

(4)生成挑战信息并发送给云服务器：

(4a)第三方从整数集合[1,q]中，随机选择一个含有c个元素的子集，其中，q表示上传到云服务器的密文块的总数；

(4b)第三方将含有c个元素的子集作为挑战信息发送给云服务器；

(5)生成响应信息并返回给第三方：

(5a)按照下式，云服务器计算含有c个元素的子集对应的密文块的响应值：

$\mathrm{\σ}=\underset{k=1}{\overset{c}{\Σ}}{m}_{r_k}\·r_k$

其中，σ表示含有c个元素的子集对应的密文块的响应值，c表示所选择的子集的元素总数，Σ表示求和操作，k表示含有c个元素的子集中第k个元素对应的标号，表示含有c个元素的子集中的第k个元素r_k对应的密文块，·表示相乘操作，r_k表示含有c个元素的子集中的第k个元素；

(5b)按照下式，云服务计算含有c个元素的子集对应的密文块标签的响应值：

μ＝(g^β)^y

其中，μ表示含有c个元素的子集对应的密文块的标签响应值，g^β表示第三方利用从乘法循环群G₁中随机选取的私钥β生成的公钥，y表示含有c个元素的子集对应的密文块标签的临时响应值；

(5c)云服务器将密文块的响应值集合、密文块的标签响应值集合作为响应信息返回给第三方；

(6)第三方计算映射：

(6a)按照下式，第三方计算挑战信息的映射结果:

Λ＝e(μ,g^α)

其中，Λ表示挑战信息的映射结果，e(·)表示乘法循环群G₁上的双线性映射操作，g^α表示用户利用从乘法循环群G₁中随机选取的私钥α生成的公钥；

(6b)按照下式，第三方计算响应信息的映射结果:

其中，Υ表示响应信息的映射结果，表示第三方利用含有c个元素的子集对应的密文块的响应值生成的响应信息，g^αβ表示第三方利用用户的公钥g^α和自己从乘法循环群G₁中随机选取的私钥β生成的共享密钥；

(7)判断挑战信息映射结果是否等于响应信息映射结果，若是，则执行步骤(8)，否则，执行步骤(9)；

(8)确定第三方验证云服务器中的数据未被破坏，数据是完整的；

(9)确定第三方验证云服务器中的数据被破坏，数据是不完整的。

2.根据权利要求1所述的云存储中借助第三方完成的数据完整性验证方法，其特征在于,步骤(1)中所述的生成长度为l的多个数据块中的其中表示向下取整操作，L表示待上传到云存储中的云服务器里进行完整性验证的数据长度，n表示用户需要生成的数据块个数。

3.根据权利要求1所述的云存储中借助第三方完成的数据完整性验证方法，其特征在于，步骤(3a)中所述的代数签名函数是一种具有代数性质的哈希函数，其代数性质是指对于b个数据块之和的代数签名函数值等于b个数据块代数签名函数值之和。

4.根据权利要求1所述的云存储中借助第三方完成的数据完整性验证方法，其特征在于，步骤(5b)中所述的含有c个元素的子集对应的密文块标签的临时响应值是由下式计算得到的：

$y=\underset{k=1}{\overset{c}{\Σ}}{T}_{r_k}\⊕C_{r_k}\·r_k$

其中，c表示所选择的子集的元素总数，Σ表示求和操作，k表示含有c个元素的子集中第k个元素对应的标号，表示含有c个元素的子集中的第k个元素r_k对应的密文块的主标签，表示异或操作，表示含有c个元素的子集中的第k个元素r_k对应的密文块的辅助标签，r_k表示含有c个元素的子集中的第k个元素。